Active Directory

第1回 Active Directoryの必要性【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ Active Directoryの必要性について確認 ・ 「認証」と「認可」について解説 ・ ワークグループとドメインでの認証動作の違いについて解説 今回より、Active Directoryのコラムを担当させていただくことになりました、新井と申します。Azure Active Directoryのコラムを担当させていただいている国井と同様に、私も普段はマイクロソフトの製品や技術に関するトレーニングをおこなっております。その中でも、Windows ServerやActive Directoryに関するトレーニングを中心に担当していることもあり、本コラムを担当させていただくことになりました。コラムを通して、現状の環境の再確認や、今後のクラウド化に向けた環境の整理などのために役立てていただければと考えておりますので、宜しくお願いいたします。 さて、初回となる今回は、Active Directoryの必要性について解説していきます。今ではほとんどの組織で当たり前のように導入されている「Active Directory」ですが、あらためてその必要性を確認していきましょう。 ■ 「認証」と「認可」 組織内には、様々なアプリケーションやデータ、サーバーなどのリソースが存在します。そして、扱われるリソースの中には、誰でも閲覧できるように公開したいものもあれば、特定の人だけにアクセスを限定したいものもあります。そのため、コンピューターを使用する上では、どの利用者なのかを識別するプロセスが重要であり、その確認をおこなうための「認証」の仕組みが必要になります。Windowsベースのコンピューターでは、ユーザーアカウントを使用して認証をおこなうことによって、どの利用者なのかを識別しています。その上で、各データに対してどのユーザーだったらアクセスを許可するのかを設定することにより、データへのアクセス制御である「認可」を実現しているのです。...

ADAudit Plus 1 min read

第1回 AzureADを利用する意味【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ オンプレミスとクラウドにおける認証・認可の仕組みについて解説 このたびZoho Japanさんからご依頼をいただき、Azure Active Directoryのコラムを提供させていただくことになった、国井と申します。普段はマイクロソフト製品やサービスを中心としたトレーニングサービスを提供していることもあり、今回のような機会をいただきました。Active Directoryのコラムと交互に提供していきますので、Active Directoryのコラムを提供する新井ともどもよろしくお願いいたします。 私自身、集合研修と言われるトレーニングを提供させていただくことが多いのですが、直接お客様とお会いする中で、最近「オンプレミスからクラウドへの移行を行いたい」とのご相談をよくいただきます。オンプレミスには業務アプリケーションをはじめ、様々なアプリケーションやデータ、そしてサーバーが存在します。これらのリソースをクラウドへ移行することになっても、オンプレミスのときと同じようにユーザー名・パスワードのような本人確認(認証)の仕組みを用意し、特定のユーザーだけが適切なリソースに対してのみアクセスできるような仕組み(認可)を提供しなければなりません。このような認証と認可の仕組みを利用する場合、次のようなパターンが考えられます。 認証・認可の仕組みをオンプレミスに用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする 認証・認可の仕組みをクラウドに用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする 認証・認可の仕組みをオンプレミスとクラウドの両方に用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする パターン1の認証・認可の仕組みをオンプレミスに用意する場合、多くの企業でActive Directoryを利用してきたと思います。Active Directoryは社内のサーバーにアクセスするときの認証・認可の仕組みとして役立ちましたが、Kerberos(ケルベロス)と呼ばれる、特殊なプロトコルを利用して通信するため、インターネット経由で通信を行うクラウドサービスの認証・認可は少し苦手です。 Microsoft...

ADSelfService Plus 1 min read

特権グループに所属しているメンバーを調査する

Reading Time: 1 minutesこの記事の所要時間: 約 3分 Active Directoryのセキュリティを強化するためには、適切なメンバーに対して特権が付与されている状態を、しっかりと保つことが大切です。グループに所属するメンバーの情報を取得すること自体は、複雑な作業ではありません。しかしながら、「継続的に」メンバーの情報を取得すること、そして「権限が昇格されたグループ」まで正しく把握することは、決して簡単なことではありません。そこで、本ブログでは、グループに所属するメンバーの一覧を効率的に取得し、レポート化するための方法について案内します。 まずは、Active Directoryにて特権が付与されているグループの一覧を列挙します。Active Directoryで管理されているグループは、大きく以下の3つに分けられるかと思います。 1. 組み込みの特権グループ・・インストール時に自動登録されるグループ 例) Domain Admins、Enterprise Admins、Administrators、DNSAdmins、Group Policy Creator Ownersなど 2. サービスとアプリケーショングループ・・アプリケーションやサービスを利用されるために使用されるアカウント 例) Exchange Administrative Group、Sharepoint Administrative Group...

ADManager Plus 1 min read

パスワードの有効期限が切れるユーザーを簡単!抽出

Reading Time: 1 minutesこの記事の所要時間: 約 1分 企業には、必ず一つ以上のアカウントが存在します。それはサービス、アプリケーション、開発や一般的な従業員など、様々な用途で使用されており、企業は、アカウントがロックアウトされていないか、パスワードが更新されているかなどを、きちんと監視する必要があります。また、サービスやアプリケーションに紐づけられているアカウントの有効期限が切れた場合、ログオンができず、動作に影響する恐れもあるため、特に注意が必要です。 パスワードの有効期限を管理しているプロパティ情報は、ユーザーオブジェクトの属性に含まれています。しかし、その値はGUI(Active Directoryユーザーとコンピューターなど)からは直接確認することができず、「ユーザーとコンピューター」のカスタムクエリを使用しても、簡単には抽出できません。Active Directoryの知識に長けている人であれば、スクリプトやPowershellを使用して抽出する方法がありますが、今回は 誰でも簡単に パスワードの有効期限切れが近いユーザー、あるいはすでに有効期限が切れているユーザーを抽出することができるツール『ADManager Plus』についてご紹介します。 ADManager Plusとは、Active Directoryのユーザー、コンピューター、ファイルサーバーといったリソースを、WebベースのGUIから管理し、レポート化することができるツールです。本ツールには、パスワードに関するレポートも豊富に用意されており、それぞれワンクリックで生成可能です。 【パスワード レポート】 ・ N日以内にログオンに失敗したユーザー ・ パスワードを変更できないユーザー ・ パスワードが無期限のユーザー ・ パスワード変更が必要なユーザー ・ パスワードの期限切れのユーザー...

ADManager Plus 1 min read

セキュリティ基準を設けることの重要性

Reading Time: 1 minutesこの記事の所要時間: 約 1分 セキュリティ管理者に求められる重要なポイントの一つに、Active Directoryのセキュリティ対策における、現在の自分たちの立ち位置を正確に把握することが挙げられます。そのためには、Active Directoryに関する情報を広範囲にわたり収集することが大切です。 Active Directoryに対するセキュリティ基準の策定 まずは、現在行われているセキュリティ設定の中でコンプライアンスに準拠しないもの、または全体のセキュリティ要件を満たさないものを洗い出し、対策をとることが求められます。 以下が、調査と対策のために見るべき設定の一例です: ・ 特権を有するセキュリティグループ ・ ユーザーの権利 ・ パスワードポリシー ・ アカウントロックアウトポリシー ・ Active Directory 委任 ・ グループポリシー 委任...

ADAudit Plus , ADManager Plus 1 min read

「MS14-068」の脆弱性とは?JPCERT/CCが推奨するログの活用方法と併せてご紹介

Reading Time: 1 minutesこの記事の所要時間: 約 4分   本投稿では、「MS14-068」の脆弱性とはどのようなものなのかを解説後、MS14-068の脆弱性を悪用した攻撃検知のため、JPCERT/CCで監視が推奨されているイベントログをご紹介します。また、最後には、そのイベントログを見逃さないためのツールとして、弊社製品のEventLog Analyzerを使用した場合の監視の流れについて、簡単にご案内させていただきます。 1. 「MS14-068」とはどのような脆弱性なのか   2014年11月、Microsoft WindowsのKerberos認証にて、リモートから特権のないドメインアカウントに対して権限昇格を行うことが可能な脆弱性(CVE-2014-6324)が発見され、サポートされているすべてのエディションに対して、脆弱性の深刻度が4段階中最も高い、「緊急」と評価されました。これは、Kerberos認証のチケット認証に関する脆弱性を突いたものであり、署名に細工をすることでドメインの特権ユーザーへ昇格し、本来はアクセスできないリソースにもアクセスできてしまうものとなります。 「MS14-068」の脆弱性を悪用した攻撃では、以下のような流れが考えられます。 1.(攻撃者) ドメインに所属するクライアントへ侵入 2.(ドメインユーザー) ドメインにアクセスするためKerberosチケットをリクエスト 3.(ドメインユーザー) ドメインコントローラーからチケットを取得する 4.(攻撃者) ドメインユーザーが認証に使用したチケット情報を盗む 5.(攻撃者) 攻撃コードを含むスクリプトを実行して、Kerberosチケットに対して特権を付与する細工を実施 6.(攻撃者) チケットの有効期限を書き換える ※チケットの有効期限は仕様上10時間となっていますが、「100年間有効」というように期限を書き換えることにより、リソースへ半永久的にアクセス可能となったチケットのことを、「Golden Ticket」といいます。...

EventLog Analyzer 1 min read

Pass the Hash攻撃とは?-Active Directory環境に対する攻撃を検知-

Reading Time: 1 minutesこの記事の所要時間: 約 3分 Active Directory環境下のコンピューターが、ドメイン認証によりログオンを行う場合、通常はドメインコントローラーと通信を行い認証する必要があります。しかし、例えば外出時など、ドメインコントローラーと通信ができない場合でも、ドメインアカウントでPCへログオンできるように、実はハッシュ化されたパスワード情報が、コンピューター内にキャッシュされています。 過去にそのコンピューターに対して、ソフトウェアのインストールやメンテナンスなどの様々な理由により、高権限を持つドメインのアカウントによって一度でもログオンを行ったことがある場合は、マルウェアやハッキングなどの不正アクセスにより、高権限のパスワード情報が簡単に盗まれてしまう可能性があります。 ここで、以下のような疑問を持つ方もいるかもしれません。 「でも、パスワードがハッシュ化されているのならば、仮に盗まれたとしても問題ないのでは?」 しかし、平文の状態のパスワードを使用しなくても、ハッシュ情報を使用してログオンができてしまう手法があります。その手法を利用した攻撃こそが、「Pass the Hash攻撃」です。​ 1.Pass the Hash攻撃とは Pass the Hash攻撃とは、認証時に使用されるパスワードのハッシュ情報を不正に取得し、そのハッシュ情報を使用して認証を行う、なりすまし攻撃のことを言います。では、Pass the Hash攻撃はどうやって行われるのでしょうか。Pass the Hash攻撃に使用されるツールの一つに、「psexec」が挙げられます。「psexec」はMicrosoftが提供するリモート実行ツールで、本来は管理者が運用管理を行う際、プログラムの遠隔操作を行うために提供されました。しかし、現在は攻撃者が遠隔操作を行う際に使用されるケースが多く報告されており、Pass the Hash攻撃にも使用されます。 そこで、以下では「psexec」を使用してPass the...

EventLog Analyzer 1 min read

ADへ一度もログオンしていないユーザーを見つける方法とは?

Reading Time: 1 minutesこの記事の所要時間: 約 2分 Active Directoryデータベースには少なくとも1つのユーザーアカウントが作成されていますが、1度もログオンしていないアカウントが存在している可能性もあります。利用者がログオンしないことは、様々な要因が考えられます。しかし、ログオンされていないアカウントが存在するのは問題です。 それがなぜ問題なのかと思うかもしれません。 そこでユーザーアカウントの作成時のいくつかの一般的な設定の流れを振り返ってみます。 ユーザーアカウントは、従業員が入社する前に数時間前あるいは数日前に作成します 作成時には、共通のパスワードを初期パスワードに設定します 入社後すぐにファイルサーバーや必要なリソースへアクセスするための権限を付与します これらの設定が行われているため、攻撃の起点として使用される可能性のあるユーザーアカウントになっているということを認識しておく必要があります。 既知の共通したパスワードを持つユーザーアカウントが存在するという事は、重大なセキュリティ懸案事項であるため、ログオンしていないユーザーアカウントは何らかの方法で対処する必要があります。 本ブログでは、こういったアカウント情報を収集する方法をご紹介します。 Active Directory ユーザーとコンピューター(ADUC)のクエリ保存機能 ADUCは普段、アカウント作成やOU変更などADを運用する際に通常利用する画面になりますが、ADUCは、事前に定義した条件に一致するオブジェクトを繰り返し表示する方法として、「クエリを保存」するオプションがあります。 例えば、期限が設定されていないパスワード、n日間ログオンしていないユーザーアカウントなどを表示するためのクエリが事前に定義されています。 また、図1のようなカスタムクエリを作成して、ログオンしていないユーザーアカウントを表示することも可能です。 図1.クエリの画面 この方法は、定期的に確認する際に、効率よく確認できます。 しかし、この方法を使用する場合、致命的な問題があります。ログオンしていないアカウントかどうかを知ることは重要ですが、同時にアカウントの作成時期を知ることも重要です。 これにより、管理者は、アカウントがログオンを待っている期間についての洞察を得ることができます。わずか数日または数週間であれば、ユーザーは引き続きアカウントを使用する可能性がありますが、アカウントが1か月以上前に作成された場合、アカウントが使用される可能性は低くなります。 致命的な問題というのは、この保存したクエリからは、各ユーザーの作成日を同時に取得するのは困難であるということです。 ADManager Plus...

ADManager Plus 1 min read

Active Directoryのユーザーアカウント作成とは?【連載:ADについて学ぼう~導入編(1)~】

Reading Time: 2 minutesこの記事の所要時間: 約 6分 【目次】 連載:ADについて学ぼう Active Directoryの代表的なオブジェクトには、「ユーザーアカウント」「グループアカウント」「コンピューターアカウント」などがありますが、この記事ではまず初めに作成するであろう、「ユーザーアカウント」の代表的な作成方法を、3つご紹介していきたいと思います。 目次 1.Microsoftが提供している管理ツールを使用 2.コマンドラインを使用 3.弊社製品の「ADManager Plus」を使用   1.Microsoftが提供している管理ツールを使用 ユーザーアカウントを作成する際に、おそらく最も多くの方が使用している方法が、Microsoft提供の管理ツールなのではないでしょうか。なお、使用可能な管理ツールには、従来からある[ユーザーとコンピューター]と、Windows Server2012R2から追加された[管理センター]の2つがあります。 1-1. [ユーザーとコンピューター]を使用した場合 [コントロール パネル] -> [管理ツール] から、[Active Directory ユーザーとコンピューター]...

ADAudit Plus , ADManager Plus , ADSelfService Plus 2 min read

【なんか遅い!】なぜパスワードのリセットに時間がかかるのか?

Reading Time: 1 minutesこの記事の所要時間: 約 5分 急いでいる時、あるいは外出中に限ってパスワードの有効期限が切れてしまい、PCへのログインや VPN接続ができないといった経験はないでしょうか。 また、そんな急いでいる社員にせかされて、サーバーにログインしてリセット対応するといった経験は ないでしょうか。 本ブログでは、エンドユーザー(社員)から依頼のあるActive Directoryのパスワードリセット要求に対して なぜ対応に時間がかかってしまうのか問題点を確認した上で、ManageEngine ADSelfService Plus、ADManager Plusを使用した場合のパスワードリセットにかかる時間について紹介いたします。 Active Directoryのパスワードリセットは管理者権限やリセット権限が付与されたユーザーでのみ実行 できる処理です。一般のエンドユーザー(社員)権限では自己解決できないため、Eメール、電話、 紙ベースでの申請・問い合わせがおこなわれます。この問い合わせこそ、もっとも時間がかかります。 もちろん、リセット後にエンドユーザーに新しいパスワードをお伝えする必要がある点でも時間がかかる でしょう。 もう1点が、実際にリセットを実行するヘルプデスク担当者や管理者のおこなうリセット作業の時間です。 ドメインコントローラーにアクセスし、Active Directoryが提供するコンソールから実行する場合はそれなりに 時間がかかります。以下の実行手順の場合、2分弱の時間を要します。 【Active Directoryユーザーとコンピューター(ADUC)のコンソールの場合】...

ADManager Plus , ADSelfService Plus 1 min read