Reading Time: 1 minutes我々が所有しているサーバーにはそれぞれ起動しているサービスがあります。そのサービスの多くは、サービスアカウント関連でActive Directoryのユーザーアカウントを要求します。サービスアカウントとはそれぞれに与えられたジョブ実行権限を持つ非常に重要なアカウントです。しかしながら、もしサービスアカウントが認証結果をドメインコントローラーに送るのを失敗してしまったら、多くの問題が発生します。更にもしサービスアカウントが何度も認証を失敗してしまったのならば、そのユーザーはロックアウトされてしまいます。以下では、この問題に対する理解を深めていただき、よりよい対応策を追求していきたいと思います。 何がサービスアカウントの認証失敗を招き、ユーザーがロックアウトされてしまう原因を作るのでしょうか。ほぼ全てのケースにおいて、問題はパスワードの「誤入力」にあります。根本的な原因は、パスワードがWindows サーバーのサービスでハードコードされており、ユーザーアカウントのパスワードがサービス内ではなく、Active Directory内で変更されてしまうことです。たくさんのサービスアカウントが、一つあるいはそれ以上のサーバー/サービスで使用されることから、それぞれのサービスに対して設定したパスワードを忘れてしまいがちです。... >>続きを読む
Latest Posts
ユーザーアカウントがロックされたときにアラートを受け取る
Reading Time: 1 minutes我々は皆、重役の方々(役員ルームにいるような人々)が大切だということは理解しています。重役の方々は従業員の中でも特別なグループに属しており、大切にされなければなりません。その方々はコンピューターの使い方を知らないかもしれませんし、パスワードを誤って入力するかもしれませんし、あるいはアカウントを誰よりも多くロックされてしまうかもしれません! 勿論、どの管理者やヘルプデスクの技術者にとっても、ユーザーアカウントがロックされた重役から呼び出されることは、好ましいことではありません。 このような状況を繰り返す代わりに、ユーザーアカウントのロックアウトのアラートを受け取ることで、連絡がある前にこのような状況をコントロールしましょう。このアラート機能を使用することで、重役がロックアウトに気づく前にロックを解除することが出来ます。 そのためには、ADAudit Plusでレポートプロファイルを生成しなくてはいけません。レポートプロファイルは図1を見ていただければわかる通り、簡単に設定を行うことが出来ます。... >>続きを読む
“管理者権限”のログオン失敗のアクセス元IPアドレスを追跡する
Reading Time: 1 minutes特権管理者権限への権限奪取は多くの場合、最初から成功しているわけではありません。攻撃者は一つ、あるいは複数の認証情報によるブルートフォースと呼ばれる手法でログオンを試みますが、ログオンが成功するまでに、それぞれのアカウントで何度も失敗します。 つまりログオン認証の失敗を監視することは、権限奪取を事前に止めることにつながるのです! しかし、大量のユーザー認証失敗記録を監視することはとても大変な作業です。もし管理者権限を持つユーザーアカウントの名前を分かっていたとしても、各ドメインコントローラーのログを監視するということは、不可能ではないとしても、大変骨の折れる作業となります。各ドメインコントローラーのセキュリティログを利用して、管理者権限をもつユーザーのログオン失敗記録を手動で監視しようとする場合、以下の問題を考慮しなければいけません: ● 各ドメインコントローラーには独自のセキュリティログが含まれており、複製は出来ない... >>続きを読む
世界の50以上の場所からWebサイトを監視するサービス、Site24x7
Reading Time: 1 minutes本ブログでは、クラウド型Webサイト監視サービスSite24x7について紹介します。 まず「Site24x7」の読み方ですが「サイト・トゥウェンティフォー・バイ・セブン」と読みます。 Site24x7は、世界のさまざまな場所(50以上)からWebサイトを監視できるWebサービス(クラウド)です。 下図はご利用画面のイメージです。 Site24x7では次のような監視に対応しています。... >>続きを読む
ADManager PlusでActive Directoryの大掃除をしませんか?
Reading Time: 1 minutes年の瀬になると家庭やオフィスで大掃除を行いますが、Active Directoryの整理(掃除)も重要な作業です。 本ブログでは、Active Directory ID管理ツール... >>続きを読む
ADManager Plusで削除されたユーザーを復元する
Reading Time: 1 minutes本ブログでは、Active Directory ID管理ツールADManager Plusで削除されたユーザーを復元する機能を紹介します。 Active... >>続きを読む
Active Directory 監査&管理セミナー 開催レポート
Reading Time: 1 minutes#本記事は開催後レポートです。次回のセミナー情報はこちらをご参照ください。 12月8日に、Active Directory の監査と管理を考える1日セミナー「Active Directory... >>続きを読む
ADManager Plus 6.3(ビルド: 6340)をリリースしました
Reading Time: 1 minutes12月18日にADManager Plus 6.3(ビルド: 6340)をリリースしました。 本ブログでは、新しく追加した「委任の監査レポート」機能を紹介します。... >>続きを読む
NetFlow Analyzerを使って標的型攻撃やゼロディ攻撃に備える
Reading Time: 1 minutes本ブログでは、NetFlow・sFlow対応 フローコレクタ NetFlow Analyzer のアドバンストセキュリティ分析モジュールについて紹介します。... >>続きを読む
ADSelfService Plus 5.3(ビルド: 5307)をリリースしました
Reading Time: 1 minutes12月10日にADSelfService Plus 5.3(ビルド: 5307)をリリースしました。 本ブログでは、新しく追加した機能のうち、2つご紹介します。... >>続きを読む