Reading Time: 1 minutes
本ブログでは、Active Directory監査レポートツールADAudit Plusを利用したパスワードポリシーの監視方法について紹介します。
強固で一貫性のあるグループポリシーは、どの会社においても効果的です。パスワードポリシーを適切に設定していなければ、攻撃者はネットワーク内のリソースへアクセスするチャンスをより多く得ることになります。そこでActive Directoryでは、ドメインユーザーに対して強固なパスワードの設定を強いることができる「パスワードポリシー」という設定を提供しています。
パスワードポリシーは「Default Domain Policy」で設定することができ、これはActive Directoryをインストールした際に自動構成される2つの「Default Domain Policyオブジェクト」のうち1つです。なお、パスワードポリシーは各GPOで構成することが出来るため、設定状況によっては必ずしも「Default Domain Policy」が有効なGPOとはいえない点について注意が必要です。どのGPOがパスワードポリシーの設定として反映されているかは、グループポリシー管理コンソールにある「グループポリシーの結果ウィザード」から確認可能です。図1が問い合わせ結果の画面です。
図1 グループポリシーの検索ウィザードを利用したパスワードポリシーの結果
どのGPOが有効であるかを把握後は、そのポリシーの設定が運用ルールに則った適切なものであるかを確認します。しかし、適切なものであったからといって、油断は禁物です。その後、意図せずパスワードポリシーが変更されていないということを保証するために、ポリシーの変更状況を追跡する必要があります。ところが、それをWindows ServerやActive Directoryに付属しているMicrosoft標準ツールから行う場合、イベントログを一つ一つ確認するという大変手間のかかる作業が発生します。
そこで、当社製品の「ADAudit Plus」を使用することで、ポリシー監査にかかる工数を大幅に削減することが可能です。
ADAudit Plusには、パスワードポリシーに対する変更を可視化するレポートがデフォルトで用意されています。図2をご確認ください。
図2 パスワードポリシーの変更に対する定義済みレポート
このように、「どのGPOに対して」「どのポリシーが」「どう変更されたか」の詳細を確認できます。
また、ADAudit Plusにはアラート機能があり、GPOに対して変更があった際にメールによる通知を行うことが可能です。アラートがどのように設定されるかは、図3をご覧ください。
図3 パスワードポリシーの変更に対するアラート設定
ADAudit Plusを使用してドメインのパスワードポリシーを監査することで、セキュリティの状態を維持することにつながります。もし、少しでもADAudit Plusにご興味を持っていただけましたら、是非「30日間の無料トライアル (評価版) 」をお試しください。評価期間中は、技術サポートもご利用可能です。
製品ホームページ >> Active Directoryログ監査レポート・ログ管理ツール | ADAudit Plus
ADAudit Plus無料評価版のダウンロードはこちらから >> ADAudit Plus 評価版ダウンロード
【1】 ADAudit Plusってどんな製品?
【2】 リアルタイムのログ収集
【3】 リアルタイムのアラート通知
【4】 非ビジネス時間内に発生したイベントの監査
【5】 グループポリシーの変更履歴を管理
【6】 管理者権限を持つグループへのユーザ追加を監査
【7】 パスワードポリシーの変更を簡単可視化
☆☆導入から設定までを解説したスタートアップガイドはこちら
☆☆☆ADAudit Plusの概要を紹介した資料はこちら
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。