Active Directoryパスワードのマネジメント

システム管理者を悩ます問題のひとつに、アカウントパスワードの管理があります。パスワードは、アカウントにアクセスするユーザーが本人であることを証明するためのものですが、簡単に忘れられる、単純過ぎる(企業も複雑なパスワードの強制は避ける傾向があります)といった短所があります。

このような事態に、Active Directoryのパスワードポリシーはひとつの対策となります。Active Directoryのパスワード管理には下記の機能があります。
・ユーザーパスワードの変更
・パスワード変更履歴を残す

ユーザーがパスワードを忘れた場合はパスワードを新規発行することでアクセス権を復活させます。セキュリティ面では、すでに漏洩しているパスワードや、推測が簡単なパスワードを変更することで安全性を向上させることができます。そして、特定ユーザーに対してアカウントへのアクセスを遮断する目的でも使われます。Active Directoryのパスワード変更には、ADUC GUI、ADAC GUI、Powershellコマンドが利用できます。

パスワード変更履歴を残すことも重要です。パスワード変更はユーザー自身か、Active Directory管理者によってのみ行われます。もしそれ以外の原因による変更があれば、セキュリティ脅威として対処する必要があります。また、既に侵入した攻撃者がパスワードリセットを行ってユーザーを締め出すこともあります。パスワード変更履歴が対処の際の手掛かりを提供します。

パスワード変更履歴はGPMCから確認できます。パスワード変更履歴で、特定のID 4724(管理者パスワード変更試行) と4723 (ユーザーパスワード変更試行) を検索できます。4740(ユーザーロックアウト)や 4767(ユーザーアカウントアンロック)も、4724または4723と一緒に見られない場合は注意する必要があります。

パスワード変更履歴の定期的な監査で、セキュリティレベルを向上させることが可能です。