管理者アカウント セキュリティ計画ガイド
第 1 章 - はじめに
公開日: 2005年7月6日
トピック
要点
Microsoft® Windows Server™ 2003 オペレーティング システムを実行しているコンピュータの管理者アカウントは、アクセス許可を継承できる上に強力な権限を持っているため、コンピュータ上で最も有用なアカウントですが、最も危険なものになりうるアカウントでもあります。 管理者権限と同等の権限が許可されている他のアカウントにも、同様の高いリスクがあります。
このガイドは、Windows Server 2003 および Windows® XP など Microsoft Windows NT® ベースのオペレーティング システムで管理者レベルのアカウントをセキュリティ保護する戦略を立てる場合に、不可欠のリソースとなります。 管理者アカウント資格情報を入手することでネットワークを侵害する侵入者の問題に対応します。 このガイドの主な目的は、ローカルおよびドメイン ベースの管理者レベルのアカウントとグループをセキュリティ保護する手順に関して、規範的なガイダンスを提供することです。 このガイダンスは、マイクロソフトの Security Center of Excellence (SCoE) の顧客環境での体験に基づいて作成されたものであり、マイクロソフトのベスト プラクティスを提示するものです。
概要
ネットワーク セキュリティの重要な部分として、スタンドアロン コンピュータおよびドメイン メンバ コンピュータ上にあるローカル アカウント データベース、ならびにドメイン コントローラ上にある Active Directory® ディレクトリ サービスに対して、管理者権限でアクセスできるユーザーおよびグループの管理があります。 警戒する必要のある攻撃者は、主に次の 2 種類です。
メンバ サーバーまたはドメイン コントローラに対する管理者レベルのアクセス権を取得し、ネットワーク全体のセキュリティを破ることができるようになった悪意のある個人。 悪意のある個人とは、管理者パスワードを不正に取得したユーザーの場合もあれば、正規の管理者が強要されて、または自社に対する不満が理由で不正を行うという場合もあります。
管理者アクセスを許可されたユーザー。 このようなユーザーが、設定を変更することで引き起こされる悪影響を理解していないために、不注意で問題の原因となる場合があります。
許可されていないのに管理者権限を持っているユーザー、または管理者権限を持ちながらその認識に欠けているユーザーは、機密データをコピーまたは削除したり、ウイルスを広めたり、ネットワークを無効にしたりする操作によって、故意にまたは誤って組織に損害を与える可能性があります。 ネットワーク内のサーバーおよびドメイン コントローラに対して管理者アクセス権を持つユーザーおよびグループを、正しく管理することは非常に重要です。
Windows Server 2003 の既定のセキュリティ設定は、さまざまな脅威からローカル アカウントおよび Active Directory アカウントを十分にセキュリティ保護できる設定になっています。 ただし、ネットワークのセキュリティ レベルを向上させるためには、管理者アカウントの既定の設定を一部強化する必要があり、このガイドではその作業の方法について説明します。
このガイドに記載されている原則と推奨事項に準拠すれば、権限のないユーザーがドメイン コントローラ、メンバ サーバー、および Active Directory に管理者としてアクセスするリスクを軽減することができます。 ネットワーク資産を完全にセキュリティ保護することを求めている組織にとって、管理者アカウントのセキュリティは重要な第一歩です。
対象読者
このガイドは、Windows Server 2003 のアプリケーションまたはインフラストラクチャ開発、および展開の計画段階を担当するコンサルタント、セキュリティ専門家、システム設計者、および IT 技術者を主な対象として作成されています。 このような職種には、たとえば、通常の業務として次のようなことを行う人間が含まれます。
組織でクライアントのためにアーキテクチャの運営に当たる設計者またはプランナー
組織内の複数のプラットフォームに適用できるセキュリティ対策に取り組む IT セキュリティ専門家
特定のネットワークではなくエンタープライズ全体を管理するエンタープライズ設計者
特定のビジネス上の問題を解決するためにどのテクノロジを使用するかを決定する責任を持つ IT 管理者
クライアント サポート次第の重要なビジネス上の目的と要件を抱えた、ビジネス アナリストおよびビジネス上の意思決定者 (BDM)
企業ユーザーおよびパートナー向けの有効な関連情報の詳細なリソースを必要とする、マイクロソフト サービスおよびマイクロソフト パートナーのコンサルタント
管理者アカウント セキュリティ計画ガイドは、基本的には上記のような職務に就いている人間が対象読者ですが、中規模および大規模な組織の IT ゼネラリスト、ならびに Microsoft Operations Framework (MOF) チーム モデルで特定されているインフラストラクチャ、運用、およびセキュリティ チームの担当者にも有用なガイドになります。 MOF の詳細については、「Microsoft Operations Framework」ページを参照してください。
設計ガイドの概要
このガイドは、次の章から構成されています。
第 1 章 : はじめに
この章では、要点と概要、および推奨される対象読者について説明します。 このガイドの各章の概要についても紹介します。
第 2 章 : 管理者アカウントのセキュリティを強化するためのアプローチ
この章では、コンピュータまたはドメインにログオンできる管理者ユーザー アカウントおよびグループの概要、ならびに管理者アカウントのセキュリティ保護計画を立てる際に適用する必要のある原則について説明します。
第 3 章 : 管理者アカウントのセキュリティを強化するためのガイドライン
この章では、管理者アカウントをセキュリティ保護する場合に従う必要のある推奨事項のガイドラインをいくつか紹介します。 ここで紹介するガイドラインは、前の章で説明した原則に従ったものです。
第 4 章 : 要約
この章では、紹介したガイダンスについて要約し、このガイダンスを適用した場合に発生する可能性のある問題に対処する方法について説明します。 その他の参考資料へのリンクも提供していますので、参考にしてください。