グループポリシー

第11回 オブジェクトの監査管理【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ グループポリシーによる監査の有効化方法について解説 ・ イベントログの確認方法について解説 前回のコラムでは、GUIやCUIの管理ツールを用いたオブジェクトの作成および管理について解説しました。今回は、オブジェクトの監査について解説します。 ■ オブジェクトの監査とは オブジェクトの監査とは、Active Directoryのオブジェクトに対する操作を記録することです。小規模な環境であれば1人の管理者によって全てのオブジェクトの管理をおこなうことも可能ですが、ある程度以上の規模の場合には複数人の管理者で管理することも少なくありません。このような場合、特定のユーザーに対して必要最低限の管理権限を与えて運用します。しかし、複数人で管理することで、設定ミスやインシデントが起きる可能性は高くなることが考えられます。監査の設定をおこない、「誰が」「いつ」「どのオブジェクトに対して」「どのような」操作をおこなったのかを記録することで、設定ミスの早期発見やインシデントが起きてしまった際にどのようなことがおこなわれたかを把握するのに役立ちます。 ユーザーの作成や変更のようなActive Directoryのオブジェクトの監査をおこなうためには、以下の2つの設定が必要です。 グループポリシーによる監査の有効化 監査対象のオブジェクトに対する監査設定 この2つの設定を適切に構成することにより、Active Directoryへの書き込みやプロパティの変更などを監視し、操作の内容をイベントログとして出力できます。 ■ グループポリシーによる監査の有効化 グループポリシーには、監査を有効化するためのポリシー設定が用意されています。監査をおこなうには、そのポリシー設定を構成し、ドメインコントローラーに対してグループポリシーを適用する必要があります。Active Directoryのオブジェクトの監査をおこなうためには、次のいずれかのポリシー設定を構成します。ドメインコントローラー以外のコンピューターには適用する必要がないため、ポリシーの編集時はDefault...

ADAudit Plus , セキュリティ , 一般 1 min read

USBメモリーに潜むリスクと対策

Reading Time: 1 minutesこの記事の所要時間: 約 4分 昔から問題として挙がっているものの、依然、セキュリティインシデントの発生源とる一つとして、USBメモリーなどの可搬記録媒体が挙げられます。USBメモリーは、ハードディスクに比べると記憶容量は小さいですが、そのコンパクトさから、持ち運びが簡単にでき、場所を取らないという点で非常に優れています。さらに、CD-ROMなどはデータを書き込む際に特別なソフトウェアが必要ですが、USBメモリーの場合はパソコン本体に差し込むことで、データの読み書きを行うことができる点も大きなメリットです。 このようにメリットの多いUSBメモリーですが、一方で、利用に伴うリスクが存在していることも事実です。リスクの一例として、紛失による「情報漏えい」や、情報の受け渡し時の「ウイルス感染」が考えられます。 情報処理推進機構 (IPA)の「2014 年度 情報セキュリティ事象被害状況調査」によると、情報漏えいの原因となった媒体のおよそ2割は、USBメモリーなどの可搬記録媒体です。コンパクトで持ち運びができやすいというメリットの反面、その小ささから紛失の可能性が高く、保管していたデータを漏えいさせてしまう危険性があります。   参照:情報処理推進機構 (IPA) 「2014 年度 情報セキュリティ事象被害状況調査」 https://www.ipa.go.jp/files/000043418.pdf   また、もう一つのリスクに、ウイルス感染があります。NPO 日本ネットワークセキュリティ協会(JNSA)の「2014年 情報セキュリティインシデントに関する調査報告書」によると、コンピューターウイルスの感染経路の3割以上が、USBメモリーなどの可搬記録媒体によるものです。例えば、ウイルスに感染した自宅のパソコンでUSBメモリーを使用後に、会社のパソコンで使用することでウイルスに感染してしまい、その結果社内全体に感染が拡大するといった問題が考えられます。   参照:NPO日本ネットワークセキュリティ協会(JNSA)「2014年 情報セキュリティインシデントに関する調査報告書」 http://www.jnsa.org/result/incident/data/2014incident_survey_ver1.1.pdf   このような、セキュリティインシデントが起こる前の対策として、まずは全従業員に注意を促す必要がありますが、それだけでは不十分で、USBメモリーなどの可搬記録媒体の使用制限が最も有効な手段です。以下では、グループポリシーを使用した制限方法、さらに、弊社提供ツールのDesktop Centralを使用した制限方法について、ご紹介します。...

Desktop Central 1 min read

AD監査の負荷をツールで大幅軽減!【5】 グループポリシーの変更履歴を管理

Reading Time: 1 minutesこの記事の所要時間: 約 2分 「グループポリシー」とは、Active Directoryが提供している機能の一つであり、ドメインに所属するリソースに対する設定を一元管理し、作業の効率化を図ることが可能です。また、グループポリシーからパスワードの複雑さを定義したり、アカウントロックアウトの条件を定義することもできるため、セキュリティ面の強化にも有効です。しかし、セキュリティ面に深くかかわる機能だからこそ、知らぬ間に勝手に変更されていた、ということがあれば大変です。 そこで、ADAudit PlusのGPO監査レポートをご利用いただくことにより、 ・ グループポリシーへの変更を即座に検知 ・ 変更前の値と変更後の値を履歴として残す ・ グループポリシーの適用結果を表示 ということが可能になります。 例えば、誰かがグループポリシーに変更を加えたとき、[GPO管理]カテゴリ内にある[最近のGPO変更]レポートに、以下のようなイベントが生成されます。 図1 最近のGPO変更レポート   上記のイベントから、「誰が」「いつ」「何を」「どのように変更したか」を一目で確認することができます。また、[高度なGPOレポート]から、変更が加えられる前の値と、変更が加えられた後の値を、比較してみることも可能です。 図2 変更前と変更後の値   さらに、変更があったグループポリシー名をクリックすることで、現在の設定状況の一覧を、グループポリシーの管理コンソール画面と同じような形で表示する機能もあります。 図3 グループポリシーの適用状況の表示   グループポリシーの適用状況をこまめに記録するということは、手間のかかる作業かと思います。しかし、ADAudit Plusを利用することで、変更が加えられる度に自動的に適用状況を保存し、更にそれを「いつでも」「見やすい形で」表示することができます。それにより、例えば意図せずグループポリシーが上書きされてしまった、という場合にも、変更前の設定状況をすぐに確認することができるため、簡単に復元することが可能になります。...

ADAudit Plus 1 min read

セキュリティ監査のためのグループポリシーの設定【連載:ADについて学ぼう~基礎編(9)~】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 【目次】 連載:ADについて学ぼう 今回はActive Directoryの設定の中で最も基本的かつ重要な設定である「監査ポリシー」についてご紹介します。 この記事でわかること! 監査ポリシーを確認、設定する方法 監査ポリシー設定後によくある課題「集計地獄」 監査ログを簡単に可視化できるツール   標的型攻撃といった高度な攻撃手法が横行する現代において、攻撃の兆候をいち早く察知し、攻撃を阻止することが求められています。そのための手段の一つとして、Windowsに標準搭載されているイベントビューアーの確認が挙げられます。 イベントビューアーはコントロールパネルの「管理ツール」から、あるいはコマンドプロンプトから”eventvwr“と実行して起動しますこのイベントビューアーに残されているログの中でも「セキュリティログ」と呼ばれるログをこまめに確認することが大切になります。 セキュリティログにはユーザーのログオンログオフの記録やオブジェクトに対するアクセス履歴などが記録されるのですが、すべてのログが最初から記録されているというわけではありません。管理者がどのログを記録するのかを、予め設定する必要があるのです。(すべてを記録するよう設定してしまうと、大量のログが出力されサイズが大きくなるのはもちろん、重要なログを見落としてしまう可能性が高くなります。) そしてどのログを記録するのかを決定するのが、今回ご紹介する「監査ポリシー」なのです! 監査ポリシーを確認、設定する方法 監査ポリシーを設定するには、グループポリシー管理エディターを開き設定を行いたいGPOを右クリックして「編集」を実行後、以下のように移動してください。 「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」- 「ローカル ポリシー」-「監査ポリシー」 ※グループポリシー管理エディターを開くにはコマンドプロンプトから以下のコマンドを実行してください。 ≪ドメインコントローラーの場合≫ gpmc.msc ≪メンバーサーバーの場合≫ gpedit.msc 監査ポリシーには以下の9つの項目があります: 例えばログオンイベントに関するログを記録したい場合、「アカウント ログオン...

ADAudit Plus 1 min read

Active Directoryのグループポリシーとは?【連載:ADについて学ぼう~基礎編(6)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう 今回はActive Directoryのグループポリシーについて説明してきます。 ◆ Point ・ グループポリシーのメリットについてご紹介 ・ GPOの適用順位をご紹介   「グループポリシー」とは、Active Directoryが提供している機能の一つであり、ドメインに所属するコンピューターの使用環境を制限することが可能となっています。 近年、大企業の顧客情報流出など、セキュリティ関係の事件が増加しています。情報が流出する経路や要因は様々あり、ネットワークを介して流出するケース、あるいは盗難や紛失による物理的な要因などが挙げられます。ネットワークから流出するケースとしては、例えば特定の社員に対してコンピューターウイルスを添付したメールを送信する「標的型サイバー攻撃」や、辞書などに掲載されている単語を組み合わせて、パスワードなどを推測する「辞書攻撃」などがあります。それらの攻撃は、企業の規模の大小に関係なく、常に攻撃の標的となる危険があるのです。 万が一、そのような攻撃にあり情報流出などの事件が起きた場合、企業は社会的な信頼を著しく失うことになり、最悪倒産につながります。そのような惨事を未然に防ぐため、多くの企業は、何かしらの対策を打っているのではないかと思います。Active Directoryにおける対策の一つとして、用意されている機能が「グループポリシー」です。 グループポリシーを設定するメリット グループポリシーを使用するメリットは2つあります。 1つ目は、上で述べたように、使用環境を制限することによるセキュリティ面の強化です。 そして2つ目は、コンピューターを、より便利に、より効率よく使用するための環境が設定可能という点です。例えば、プリンタの場合、通常はパソコンを起動し、ログオンした時点ではプリンタの設定は行われていないので、ユーザーが各自でプリンタを追加する必要があります。しかし、管理者が予め使用して欲しいプリンタをグループポリシーで定義することにより、ドメインに所属するユーザーはログオン後、すぐにプリンタを使用することが可能になるのです。このようにユーザー一人ひとりがプリンタを追加する必要がないというのは、作業の効率化にもつながりますね。 GPOの適用と適用順位 グループポリシーを使用することで様々なルールや制限を定義することが出来ますが、一つ一つのルールや制限のことを「ポリシー」といい、さらにポリシーの集合体を「グループポリシーオブジェクト(GPO)」と呼びます。なお、GPOは作成しただけではユーザーやコンピューターにルールや制限が適用されません。作成したGPOを適用対象に「リンク」させることにより、初めてグループポリシーが対象に適用されるのです。ここでいう「リンク」とは、グループポリシーの適用対象に対するGPOの関連付けをいいます。...

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

GPOの変更履歴ってどのように管理していますか?

Reading Time: 1 minutesこの記事の所要時間: 約 0分 Active Directoryで管理しているPCには、GPO(グループ ポリシー オブジェクト)によって、様々な制限を行なうことができますが、何時どのポリシーを変更したか記録できていますか? Active Directoryの監査ツールである、ADAudit Plusを使用すると、ドメインコントローラーのログから何時どのポリシーに変更があったかレポート表示することができます。 また、レポートで表示できる内容は、詳細にドリルダウンすることができ、何時変更したかではなく、変更したポリシー内の項目まで表示することができますので、GPOの履歴管理として管理することが可能です。 図:ADAudit Plusグループポリシーの設定の履歴レポート もし、少しでもご興味を持っていただけましたら、 「30日間の無料トライアル(評価版)」を是非お試しください。 評価期間中は、技術サポートもご利用可能です。 ManageEngine ADAudit Plusのダウンロードページはこちらです。

ADAudit Plus 1 min read