2021.02.08 三和コムテック
システム管理者を悩ます問題のひとつに、アカウントパスワードの管理があります。パスワードは、アカウントにアクセスするユーザーが本人であることを証明するためのものですが、簡単に忘れられる、単純過ぎる(企業も複雑なパスワードの強制は避ける傾向があります)といった短所があります。
このような事態に、Active Directoryのパスワードポリシーはひとつの対策となります。Active Directoryのパスワード管理には下記の機能があります。・ユーザーパスワードの変更・パスワード変更履歴を残す
ユーザーがパスワードを忘れた場合はパスワードを新規発行することでアクセス権を復活させます。セキュリティ面では、すでに漏洩しているパスワードや、推測が簡単なパスワードを変更することで安全性を向上させることができます。そして、特定ユーザーに対してアカウントへのアクセスを遮断する目的でも使われます。Active Directoryのパスワード変更には、ADUC GUI、ADAC GUI、Powershellコマンドが利用できます。
パスワード変更履歴を残すことも重要です。パスワード変更はユーザー自身か、Active Directory管理者によってのみ行われます。もしそれ以外の原因による変更があれば、セキュリティ脅威として対処する必要があります。また、既に侵入した攻撃者がパスワードリセットを行ってユーザーを締め出すこともあります。パスワード変更履歴が対処の際の手掛かりを提供します。
パスワード変更履歴はGPMCから確認できます。パスワード変更履歴で、特定のID 4724(管理者パスワード変更試行) と4723 (ユーザーパスワード変更試行) を検索できます。4740(ユーザーロックアウト)や 4767(ユーザーアカウントアンロック)も、4724または4723と一緒に見られない場合は注意する必要があります。
パスワード変更履歴の定期的な監査で、セキュリティレベルを向上させることが可能です。
2024.11.04
2024.10.08
2024.09.10
2024.08.05
この記事が気に入ったらいいねしよう!
SCT Security Solution Book
Copyright ©2024 Sanwa Comtec KK. All rights reserved.
PAGETOP