管理者アカウント セキュリティ計画ガイド - 第 2 章
第 2 章 - 管理者アカウントのセキュリティを強化するためのアプローチ
公開日: 2005年7月6日
この章では、管理者アカウントのセキュリティをできる限り強化することの重要性について説明し、コンピュータまたはドメインにログオンできる管理者ユーザー アカウントおよびグループの概要を紹介します。 また、管理者アカウントをセキュリティ保護するための計画を立てる際に考慮する必要のある、基本的な原則についても説明します。
トピック
管理者アカウントをセキュリティ保護することの重要性
管理者アカウントおよびグループの概要
管理者アカウントのセキュリティを強化するための原則
管理者アカウントをセキュリティ保護することの重要性
管理者アカウントを可能な限りセキュリティで保護することは、組織のネットワーク資産を包括的に保護する上で欠かせません。 管理者が使用するコンピュータ (ドメイン コントローラ、サーバー、ワークステーションなど) は、すべて保護する必要があります。 ドメイン コントローラと証明機関サーバーはきわめて信頼性の高い資産と見なされるため、組織の IT グループは、可能な限りこれらのセキュリティを確保する必要があります。 また、管理者のデスクトップ コンピュータとモバイル コンピュータについても、管理者がそれらを使ってフォレスト、ドメイン、およびインフラストラクチャをリモートで管理するため、信頼された資産として保護する必要があります。
ドメイン コントローラに頻繁に接続するメンバ サーバーで接続およびサービス提供を行うには、上位の権限が必要です。 このような場合、通常はサーバーで上位の資格情報 (一般にはドメイン レベルの管理者権限) が保持される必要があるため、サーバーが侵害を受けるとそのままドメイン全体への侵害に直結する可能性があります。 たとえば、1 台のメンバ サーバーが攻撃者に制御されると、そこを起点にドメイン全体が攻撃されることになります。
まして、セキュリティ保護された信頼できる環境をフォレストまたはドメイン全体で構築する場合は、ドメイン管理者アカウントを可能な限りセキュリティ保護することは不可欠な要素です。 組織は責任をもって、信頼するすべてのドメインでドメイン アカウントを使用でき、高水準の管理者アカウント保護がすべてのドメインに同等に適用されるようにする必要があります。 たとえば、Test.com というルート ドメインと、TestA.com および TestB.com という 2 つのサブ ドメインがあるとします。 TestB.com の管理者が TestA.com の管理者権限を明示的に付与されているか、フォレスト全体に適用される Enterprise Admins グループのメンバである場合、TestA.com の管理者アカウントを保護しても意味がありません。 というのも、この場合、TestB.com の管理者アカウントがセキュリティ保護されていなければ、保護されていない TestB.com ドメインに侵入することでセキュリティ保護された TestA.com ドメインにも管理者権限でアクセスできるからです。
コンピュータに Administrator としてログオンするべきでない理由
いつもコンピュータに Administrator としてログオンし、一般的なアプリケーション ベースのタスクを実行している場合、コンピュータは悪意のあるソフトウェアやその他のセキュリティ リスクに対して脆弱になっています。悪意のあるソフトウェアは、ユーザーがログオンに使用した権限で実行されるためです。 インターネット サイトを閲覧しているとか電子メールの添付ファイルを開いているという場合、悪意のあるコードがコンピュータにダウンロードされて実行され、これが展開してコンピュータに損害を与える可能性があります。
ローカル コンピュータの Administrator としてログオンした場合は、悪意のあるコードによって、ハード ディスクの再フォーマット、ファイルの削除、管理者権限を持つ新規ユーザー アカウントの作成などの操作が実行される可能性があります。 Active Directory® ディレクトリ サービスの Domain Admins グループ、Enterprise Admins グループ、または Schema Admins グループのメンバとしてログオンした場合は、悪意のあるコードによって、管理アクセス権を持つ新規ドメイン ユーザー アカウントが作成されたり、スキーマ データ、構成データ、またはドメイン データが危険にさらされたりする可能性があります。
ローカル コンピュータでプログラムの実行やインターネット サイトの閲覧など日常的なタスクを実行する場合は、ドメイン ユーザー アカウントは Administrators グループには追加せず、Users グループのみに追加してください。 ローカル コンピュータまたは Active Directory で管理タスクを実行する必要がある場合は、[別のユーザーとして実行] コマンドを使用して、管理者資格情報でプログラムを起動します。
[別のユーザーとして実行] コマンドを使用すると、コンピュータまたは Active Directory のデータをほとんど危険にさらさずに管理タスクを実行できます。 [別のユーザーとして実行] コマンドの使用方法については、このガイドの「第 3 章 - 管理者アカウントのセキュリティを強化するためのガイドライン」の「Secondary Logon サービスを使用する」を参照してください。
注 : Microsoft® Windows® 2000、Windows XP、および Windows Server™ 2003 で [別のユーザーとして実行] を使用する場合の詳細については、サポート技術情報 294676、305780、325859、および 325362 を参照してください。これらの文書は、「サポート技術情報の検索」Web サイトで番号から検索できます。 ** **
管理者アカウントおよびグループの概要
資格情報を使用してコンピュータまたはドメインにログオンできる管理者ユーザー アカウントおよびグループには、いくつかの種類があります。 Active Directory ドメインの管理者アカウントには、次のものがあります。
Administrator アカウント。Active Directory をドメイン内の 1 台目のドメイン コントローラにインストールしたときに作成されます。 ドメイン内で最も権限の強いアカウントです。 Active Directory のインストール担当者は、インストール時にこのアカウントのパスワードを作成します。 フォレスト内で最初に作成されたドメインは、自動的にフォレストのルート ドメインになるため、Enterprise Admins グループもここに含まれます。 このフォレスト ルート ドメインの Administrator アカウントは、既定で Enterprise Admins グループのメンバになり、フォレスト全体の管理者権限を所持することになります。 また、各ドメインで最初に作成された Administrator アカウントは、既定で各ドメインの暗号化ファイル システム (EFS) のデータ回復エージェント (DRA) になります。
ユーザーがインストール後に作成し、管理者権限を直接付与するか管理者権限を持つグループに所属させたアカウント。
EFS データ回復エージェント証明書、登録エージェント証明書、またはキー回復エージェント証明書を使用するアカウント。 このようなエージェント証明書を使用するアカウントは非常に強力なアカウントであるため、これもセキュリティ保護する必要があります。 たとえば、登録エージェント証明書を入手すると、証明書に登録し、組織の代理としてスマート カードを生成できます。 生成したスマート カードを使用すれば、ネットワークにログオンして、本物のユーザーのふりをしていることができます。 エージェント証明書アカウントは強力な機能を備えているため、このようなアカウントを持ったユーザーには強固なセキュリティ ポリシーを適用して管理することをお勧めします。
Active Directory ドメインの管理者グループの数は、インストールしたサービスによって異なります。 専ら Active Directory の管理に使用されるグループとして、次のグループがあります。
Builtin コンテナ内に既に存在する管理者グループ (Account Operators、Server Operators など)。 Builtin コンテナ内のグループは、他の場所に移動できません。
Users コンテナ内に既に存在する管理者グループ (Domain Admins、Group Policy Creator Owners など)。
ユーザーがインストール後に作成し、管理者権限を持つグループに所属させるか管理者権限を直接付与したグループ。
ドメイン環境の既定の管理者グループおよびアカウントには、次のものがあります。
Enterprise Admins (フォレスト ルート ドメインにのみ存在)
Domain Admins (すべてのドメインに存在)
Schema Admins (フォレスト ルート ドメインにのみ存在)
Group Policy Creator Owners (フォレスト ルート ドメインにのみ存在)
Administrators グループ
Administrator アカウント
DS Restore Mode Administrator (ディレクトリ サービス復元モードでのみ使用可能。 このアカウントは、ドメイン コントローラのローカル アカウントです。ドメイン全体に適用されるアカウントではありません。 このアカウントのパスワードは、コンピュータに Active Directory をインストールするときに設定されます)
各管理者アカウントおよびグループの詳細については、Windows Server 2003 のヘルプとサポート センターの「既定のグループ: Active Directory」および「ユーザーとコンピュータのアカウント」トピックを参照してください。
管理者アカウントの種類
コンピュータまたはドメインにログオンする際に使用する管理者アカウントは、基本的に 3 つのカテゴリに分類されます。 どのカテゴリのアカウントにも、それぞれ固有の機能と権限があります。
ローカル管理者アカウント。 このカテゴリのアカウントには、Windows Server 2003 を最初にコンピュータにインストールしたときに作成および使用される、ビルトイン Administrator アカウントなどがあります。 また、インストール後に作成してビルトイン ローカル Administrators グループに追加したユーザー アカウントも、このカテゴリに含まれます。 このグループのメンバは、ローカル コンピュータのすべての機能に無制限にアクセスできます。
ドメイン管理者アカウント。 このカテゴリのアカウントには、Active Directory を最初にインストールしたときに作成および使用される、ビルトイン ドメイン Administrator アカウントなどがあります。 また、インストール後に作成してビルトイン ローカル Administrators グループまたは Domain Admins グループに追加したユーザー アカウントも、このカテゴリに含まれます。 これらのグループのメンバは、ドメイン (適切にセキュリティ保護されていない場合はフォレスト全体) のすべての機能に無制限にアクセスできます。
フォレスト管理者アカウント。 このカテゴリのアカウントには、フォレストに最初に作成したドメイン (フォレスト ルート ドメイン) のビルトイン ドメイン Administrator アカウントなどがあります。これは、フォレスト ルート ドメインの Administrator アカウントは Active Directory のインストール時に Enterprise Admins グループに自動的に追加されるためです。 また、インストール後に作成して Enterprise Admins グループに追加したユーザー アカウントも、このカテゴリに含まれます。 Enterprise Admins グループのメンバは、フォレスト全体のすべての機能に無制限にアクセスできます。 Enterprise Admins では、証明機関をインストールすることもできます。したがって、これを利用してフォレスト内の任意のユーザーのふりをすることができます。
管理者アカウントのセキュリティを強化するための原則
管理者アカウントのセキュリティを強化する計画を立てる際には、次の点に注意してください。
必要最小限の権限の原則を適用します。
管理者アカウントのセキュリティを強化するための推奨事項のガイドラインに従います。
必要最小限の権限の原則
必要最小限の権限の原則の実装については、ほとんどのセキュリティ関連のトレーニング コースや文書で触れられていますが、実際にその原則に従っている組織はほとんどありません。 原則自体は単純ですが、正しく適用すれば大幅なセキュリティ強化とリスク低減を実現できます。 この原則の内容は、すべてのユーザーは、現在のタスクの完了に必要な権限以外には何もない最小限の権限のみを付与されたユーザー アカウントを使用してログオンする、というものです。 この原則に従えば、各種の攻撃の中でも特に、悪意のあるコードによる攻撃を防御できます。 この原則は、コンピュータとそのユーザーに適用します。
この原則がうまく作用する理由の 1 つは、ある種の内部調査を行う必要があるからです。 たとえば、コンピュータまたはユーザーにとって本当に必要なアクセス権を特定し、それを実装する必要があります。 最初は、このような作業を行うのは非常に手間がかかると多くの組織で受け止められるかもしれませんが、ネットワーク環境のセキュリティ保護を確実に行うためには不可欠な手順です。
必要最小限の権限という概念に基づいて、すべてのドメイン管理者ユーザーにドメイン権限を付与する必要があります。 たとえば、管理者が権限のあるアカウントを使用してログオンし、誤ってウイルス プログラムを実行してしまった場合、そのウイルスはローカル コンピュータとドメイン全体に管理者権限でアクセスします。 管理者が権限のない (管理者以外の) アカウントを使用してログオンしていれば、ウイルスはローカル コンピュータ ユーザーとして実行されるため、感染の範囲はローカル コンピュータだけに留まります。
また、ドメイン レベルの管理者権限を付与したアカウントに別のフォレストでの上位権限を付与するようなことは、フォレスト間に信頼関係がある場合でも行わないようにします。 そうしておけば、管理対象フォレストの 1 つが攻撃者に侵入された場合でも損害が広がることを防ぐことができます。 組織は、ネットワークを定期的に監査して、不正に権限が昇格されるような事態を防止する必要があります。
管理者アカウントのセキュリティを強化するための推奨事項
Windows Server 2003 でセキュリティを強化された管理者アカウントを使用するには、次の推奨事項のガイドラインに従ってください。
ドメイン管理者とエンタープライズ管理者の役割を区別する。
ユーザー アカウントと管理者アカウントを別にする。
Secondary Logon サービスを使用する。
管理を行う場合は別のターミナル サービス セッションを実行する。
既定の Administrator アカウントの名前を変更する。
おとりの Administrator アカウントを作成する。
代わりの管理者アカウントを作成し、ビルトイン Administrator アカウントを無効にする。
リモートでの管理者ログオンに対してアカウントのロックアウトを有効にする。
強固な管理者パスワードを作成する。
脆弱なパスワードを自動的にスキャンする。
管理者資格情報は、信頼されたコンピュータのみで使用する。
アカウントとパスワードを定期的に監査する。
アカウントの委任を禁止する。
管理者のログオン プロセスを管理する。
以上の推奨事項ガイドラインの詳細については、このガイドの「第 3 章 - 管理者アカウントのセキュリティを強化するためのガイドライン」を参照してください。
目次
- 概要
- 第 1 章 - はじめに
- 第 2 章 - 管理者アカウントのセキュリティを強化するためのアプローチ
- 第 3 章 - 管理者アカウントのセキュリティを強化するためのガイドライン
- 第 4 章 - 要約
- 謝辞