システム管理者を悩ます問題のひとつに、アカウントパスワードの管理があります。パスワードは、アカウントにアクセスするユーザーが本人であることを証明するためのものですが、簡単に忘れられる、単純過ぎる(企業も複雑なパスワードの強制は避ける傾向があります)といった短所があります。
このような事態に、Active Directoryのパスワードポリシーはひとつの対策となります。Active Directoryのパスワード管理には下記の機能があります。
・ユーザーパスワードの変更
・パスワード変更履歴を残す
ユーザーがパスワードを忘れた場合はパスワードを新規発行することでアクセス権を復活させます。セキュリティ面では、すでに漏洩しているパスワードや、推測が簡単なパスワードを変更することで安全性を向上させることができます。そして、特定ユーザーに対してアカウントへのアクセスを遮断する目的でも使われます。Active Directoryのパスワード変更には、ADUC GUI、ADAC GUI、Powershellコマンドが利用できます。
パスワード変更履歴を残すことも重要です。パスワード変更はユーザー自身か、Active Directory管理者によってのみ行われます。もしそれ以外の原因による変更があれば、セキュリティ脅威として対処する必要があります。また、既に侵入した攻撃者がパスワードリセットを行ってユーザーを締め出すこともあります。パスワード変更履歴が対処の際の手掛かりを提供します。
パスワード変更履歴はGPMCから確認できます。パスワード変更履歴で、特定のID 4724(管理者パスワード変更試行) と4723 (ユーザーパスワード変更試行) を検索できます。4740(ユーザーロックアウト)や 4767(ユーザーアカウントアンロック)も、4724または4723と一緒に見られない場合は注意する必要があります。
パスワード変更履歴の定期的な監査で、セキュリティレベルを向上させることが可能です。
関連記事
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
- トピックス:
- セキュリティ
- 関連トピックス:
- 認証・パスワード管理
