Reading Time: 1 minutes
Active Directoryデータベースには少なくとも1つのユーザーアカウントが作成されていますが、1度もログオンしていないアカウントが存在している可能性もあります。利用者がログオンしないことは、様々な要因が考えられます。しかし、ログオンされていないアカウントが存在するのは問題です。 それがなぜ問題なのかと思うかもしれません。
そこでユーザーアカウントの作成時のいくつかの一般的な設定の流れを振り返ってみます。
- ユーザーアカウントは、従業員が入社する前に数時間前あるいは数日前に作成します
- 作成時には、共通のパスワードを初期パスワードに設定します
- 入社後すぐにファイルサーバーや必要なリソースへアクセスするための権限を付与します
これらの設定が行われているため、攻撃の起点として使用される可能性のあるユーザーアカウントになっているということを認識しておく必要があります。 既知の共通したパスワードを持つユーザーアカウントが存在するという事は、重大なセキュリティ懸案事項であるため、ログオンしていないユーザーアカウントは何らかの方法で対処する必要があります。
本ブログでは、こういったアカウント情報を収集する方法をご紹介します。
Active Directory ユーザーとコンピューター(ADUC)のクエリ保存機能
ADUCは普段、アカウント作成やOU変更などADを運用する際に通常利用する画面になりますが、ADUCは、事前に定義した条件に一致するオブジェクトを繰り返し表示する方法として、「クエリを保存」するオプションがあります。
例えば、期限が設定されていないパスワード、n日間ログオンしていないユーザーアカウントなどを表示するためのクエリが事前に定義されています。
また、図1のようなカスタムクエリを作成して、ログオンしていないユーザーアカウントを表示することも可能です。
図1.クエリの画面
この方法は、定期的に確認する際に、効率よく確認できます。 しかし、この方法を使用する場合、致命的な問題があります。ログオンしていないアカウントかどうかを知ることは重要ですが、同時にアカウントの作成時期を知ることも重要です。 これにより、管理者は、アカウントがログオンを待っている期間についての洞察を得ることができます。わずか数日または数週間であれば、ユーザーは引き続きアカウントを使用する可能性がありますが、アカウントが1か月以上前に作成された場合、アカウントが使用される可能性は低くなります。 致命的な問題というのは、この保存したクエリからは、各ユーザーの作成日を同時に取得するのは困難であるということです。
ADManager Plus
ADManager Plusは、Microsoftの「クエリ保存」で出来ないことが可能です。 図2のように、ADManager Plusでは、「一度もログオンしていないユーザー」のレポートに
アカウント名とそのアカウントが作成された日時を同時に表示することが可能です。
図2. ADManager Plus – 「一度もログオンしていないユーザー」レポート
また、アカウントの状態(有効または無効)も、同時に確認できます。これらの詳細はすべて、管理者にとって、アカウントがセキュリティ上のリスクであるかどうかの判断することに役立てられます。 リスト化したアカウントは、このレポートから直接無効化/有効化、移動、削除などの操作を行なうことが可能です。
もし、少しでもご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、技術サポートもご利用可能です。
ADManager Plusのダウンロードページ
https://www.manageengine.jp/products/ADManager_Plus/download.html
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。