パスワード

パスワードの有効期限が切れるユーザーを簡単!抽出

Reading Time: 1 minutesこの記事の所要時間: 約 1分 企業には、必ず一つ以上のアカウントが存在します。それはサービス、アプリケーション、開発や一般的な従業員など、様々な用途で使用されており、企業は、アカウントがロックアウトされていないか、パスワードが更新されているかなどを、きちんと監視する必要があります。また、サービスやアプリケーションに紐づけられているアカウントの有効期限が切れた場合、ログオンができず、動作に影響する恐れもあるため、特に注意が必要です。 パスワードの有効期限を管理しているプロパティ情報は、ユーザーオブジェクトの属性に含まれています。しかし、その値はGUI(Active Directoryユーザーとコンピューターなど)からは直接確認することができず、「ユーザーとコンピューター」のカスタムクエリを使用しても、簡単には抽出できません。Active Directoryの知識に長けている人であれば、スクリプトやPowershellを使用して抽出する方法がありますが、今回は 誰でも簡単に パスワードの有効期限切れが近いユーザー、あるいはすでに有効期限が切れているユーザーを抽出することができるツール『ADManager Plus』についてご紹介します。 ADManager Plusとは、Active Directoryのユーザー、コンピューター、ファイルサーバーといったリソースを、WebベースのGUIから管理し、レポート化することができるツールです。本ツールには、パスワードに関するレポートも豊富に用意されており、それぞれワンクリックで生成可能です。 【パスワード レポート】 ・ N日以内にログオンに失敗したユーザー ・ パスワードを変更できないユーザー ・ パスワードが無期限のユーザー ・ パスワード変更が必要なユーザー ・ パスワードの期限切れのユーザー...

ADManager Plus 1 min read

【なんか遅い!】なぜパスワードのリセットに時間がかかるのか?

Reading Time: 1 minutesこの記事の所要時間: 約 5分 急いでいる時、あるいは外出中に限ってパスワードの有効期限が切れてしまい、PCへのログインや VPN接続ができないといった経験はないでしょうか。 また、そんな急いでいる社員にせかされて、サーバーにログインしてリセット対応するといった経験は ないでしょうか。 本ブログでは、エンドユーザー(社員)から依頼のあるActive Directoryのパスワードリセット要求に対して なぜ対応に時間がかかってしまうのか問題点を確認した上で、ManageEngine ADSelfService Plus、ADManager Plusを使用した場合のパスワードリセットにかかる時間について紹介いたします。 Active Directoryのパスワードリセットは管理者権限やリセット権限が付与されたユーザーでのみ実行 できる処理です。一般のエンドユーザー(社員)権限では自己解決できないため、Eメール、電話、 紙ベースでの申請・問い合わせがおこなわれます。この問い合わせこそ、もっとも時間がかかります。 もちろん、リセット後にエンドユーザーに新しいパスワードをお伝えする必要がある点でも時間がかかる でしょう。 もう1点が、実際にリセットを実行するヘルプデスク担当者や管理者のおこなうリセット作業の時間です。 ドメインコントローラーにアクセスし、Active Directoryが提供するコンソールから実行する場合はそれなりに 時間がかかります。以下の実行手順の場合、2分弱の時間を要します。 【Active Directoryユーザーとコンピューター(ADUC)のコンソールの場合】...

ADManager Plus , ADSelfService Plus 1 min read

セキュリティを強化するための3つの重要なパスワードポリシー

Reading Time: 1 minutesこの記事の所要時間: 約 2分 多くの組織は、Microsoftのパスワードポリシーとそれが提供する機能に精通しています。 MicrosoftのActive Directoryドメインのパスワードポリシーは、17年以上も前から今も同じです。 いくつかの組織では多要素認証を実装する取り組みを行っていますが、これらのテクノロジーは高価だったり、複雑であったりするため、導入するにはエンドユーザーのトレーニングやサポートが必要になります。 多要素認証の導入が不可能な場合は、パスワードを保護するために、いくつかの制限を検討する必要がありますが、パスワードポリシーを定義するために3つの重要な点を解説します。 <1点目> パスワードは15文字またはそれ以上にする必要があります。セキュリティのため、パスワードとして適切な最小文字数は何年にもわたって議論されてきました。適切な最小文字数はありませんが、考えておかなければいけない事項がいくつかあります。最小文字数が15文字の理由は、LAN Manager(LM)認証プロトコルが関係します。 LM(およびNTLM)のパスワードは最大14文字です。これは、Windows 3.11の時代にハードコードされた制限です。したがって、15文字のパスワードを設定すると、LMとNTLMを認証プロトコルとして使用することはできません。これは、LM / NTLMをサポートするパスワードが弱く、簡単に侵入される可能性があるためです。 <2点目> パスワードには特殊文字を含める必要があります。攻撃者は、ユーザーがパスワードに特殊文字を含めないで設定することを知っています。そのため、攻撃者は強制的に特殊文字を使用したり、レインボーテーブル(※1)を使ってパスワードをハッキングしたりすることがあります。パスワードに特殊文字を含めることで、これらのパスワードクラッキング手法を無効化することが可能となります。 ※1.レインボーテーブル:ハッシュ値と平文が1対1となった情報 <3点目> ユーザーは、辞書にある単語をパスワードに含めるべきではありません。多くのパスワードクラッキングツールには、パスワードを解読するための 基礎情報として辞書(言語と攻撃パターン)をインポートする機能があります。パスワードを解読するための簡単な方法があれば、新しく設定したパスワードに、辞書に登録されている単語が含まれていないことを確認することが不可欠で、それにより簡単なセキュリティ対策を行なうことができます。簡単な方法ですが、辞書を使用したパスワード解読がもはや不可能となります。 パスワードに関して、全体的な構成を改善するためには、すべての追加の機能、技術、または概念が、設定したパスワードを保護するのに役立ちます。私たちは、攻撃者とパスワードクラッカーの先を行く必要があります。この3つのヒントにより、パスワードのセキュリティを高めることが可能となります。 ※この記事は「ManageEngine Blog」に2016年12月29日に投稿された「Three neglected...

一般 1 min read

共有したパスワードを表示しない設定

Reading Time: 1 minutesこの記事の所要時間: 約 1分 特権ID管理ツールのPassword Manager Proは、サーバー管理を行なうユーザーへパスワードを共有し、共有されたパスワードを利用して管理対象サーバーへログインすることが可能です。 共有するパスワードを表示しない設定も可能です。 本ブログでは、それぞれのオプションを設定した際のユーザー側での見え方を紹介します。 1)パスワードを見せる設定 [管理] > [一般設定] > パスワード取得 “自動ログオン設定済みのパスワードをユーザーが取得を許可” のチェックボックスをオンにした状態 <図:管理者設定画面> <図:パスワードユーザーの画面> ↓ クリックすると <図:パスワードユーザーの画面> 2)パスワードを見せない設定 [管理] > [一般設定] >...

Password Manager Pro 1 min read

DeviceExpertへ登録した機器にログイン情報を設定する方法

Reading Time: 1 minutesこの記事の所要時間: 約 1分 本ブログでは、ネットワーク機器コンフィグ管理ソフトDeviceExpertへ登録した機器にログイン情報を設定する方法について紹介します。 DeviceExpertでは、機器を登録した後、コンフィグ取得やコンフィグ投入などを可能にするため、機器の認証を設定する必要があります。 機器へ認証を設定する手順は次のとおりです。 1. [インベントリ]メニューへ移動 2. 該当の機器の名前をクリック 3. 機器の監視画面の右にある[実行]で[クレデンシャル]をクリック 4. 認証情報を入力 ログイン名、パスワード、プロンプト、Enable ユーザ名、Enable パスワード、Enable プロンプトなどを設定します。 なお、複数機器で共通の認証を使用している場合など、認証をプロファイルとして登録しておき、それを利用することも可能です。認証のプロファイルは、[管理]メニューの[クレデンシャルプロファイル]で設定できます。 また、DeviceExpertと機器の間の通信を確立するためのプロトコルの組み合わせは次のとおりです。 ・TELNET – TFTP : Telnetを使用して通信を確立し、TFTPを使用してコンフィグを転送します。 ・TELNET : Telnetを使用して通信を確立し、デバイス上でshowコマンドを使用してコンフィグ情報を得ます。 ・SSH...

DeviceExpert 1 min read

ADSelfService Plusでドメインユーザーが使用できる操作のポリシーを設定する

Reading Time: 1 minutesこの記事の所要時間: 約 0分 本ブログでは、Active Directory アカウント管理セルフサービスソフトADSelfService Plusのポリシー設定について紹介します。 ADSelfService Plusでは、ドメインユーザーが使用できる操作についてポリシーを設定できます。主なポリシーの内容は次のとおりです。 ・パスワードのリセット ・アカウントロックの解除 ・セルフアップデート ・パスワードの変更 ポリシーの設定方法は次のとおりです。 1. [設定]メニュー – [ポリシー設定]に移動 2. [ポリシーの追加]をクリック 3. ポリシー名を入力 4. ドメインユーザーの操作として許可する項目にチェックを入れる 5....

ADSelfService Plus 1 min read