Active Directoryによる 統 合 セキュリティ 管 理 グローバルナレッジネットワーク 株 式 会 社 横 山 哲 也 Microsoft MVP for Windows Server Directory Services
自 己 紹 介 1994 年 ~ ITプロ 向 けWindowsけ 関 連 教 育 2003 年 ~ マイクロソフトMVP 最 近 の 著 書 雑 誌 記 事 実 践 Active Directory 逆 引 きリファレンス ( 毎 日 コミュニケーションズ) ひと 目 でわかるMicrosoft Windows Server 2003ネットワーク 設 定 管 理 術 ( 日 経 BP) Windows Server 2003 完 全 技 術 解 説 ( 日 経 BP) Twitter ID: yokoyamat 2
Agenda Active Directoryと 企 業 システム パスワード グループポリシー セキュリティ 設 定 の 一 元 管 理 修 正 プログラムの 一 元 管 理 ファイルアクセス 許 可 の 一 元 管 理 3
Active Directoryと と 企 業 システム ワークグループ ドメイン シングルサインオン ディレクトリサービス
ワークグループ ユーザー情報をコンピュータ単位で管理 レジストリ内のSAM (Security Account Manager) コンピュータごとにユーザー登録が必要 5
ドメイン Active Directoryドメインサービス: AD DS ユーザー登録データベース (ディレクトリデータベース) ドメイン コントローラ (ドメインサーバー) 6
シングルサインオン ログオン時の情報で全サーバーを利用可能 IE/IISやSQL Serverなどの統合認証 アクセス 認証 ドメインコントローラ (ドメインサーバー) 7
ディレクトリサービス 利用者 ドメイン内のあらゆる資源利用可能 管理者 ユーザーやコンピュータの一元管理が可能 開発者 ログオン認証やアクセス許可 を容易に構成可能 ディレクトリ データベース 8
パスワード パスワードポリシー ロックアウトポリシー パスワードの留意点 9
パスワードポリシー パスワードの長さ(最低長) パスワードの有効期間 (最長期間) パスワードの変更禁止期間(最短期間) パスワードの履歴を記録する(再利用制限) パスワードは複雑さの要件を満たす 英大文字 小文字 数字 記号のうち3種類 ユーザー名と異なる不可 暗号化を元に戻せる状態でパスワードを保存 UNIXベースのKerberos等の互換用 10
ロックアウトポリシー ロックアウトのしきい値 何回連続して間違えても良いか ロックアウトカウンタのリセット 何分間経てば間違えても許されるか Observation Window しきい値(3)を超えて ロックアウト期間 パスワードを誤入力 何分間利用禁止にするか ロックアウトカウンタのリセット ロックアウト期間 (ログオン不可) (間違い回数を加算) 11
パスワードの留意点 利用者への注意 単純な規則にしない(Pa$$w0rd 末尾-1等) 難しいパスワードは使いにくい(P! #$iad等) パスワード強度は文字種と長さで決まる (人間にとっての難しさではない) パスワードポリシー 長いパスワードを使う 複雑さを要求する ロックアウトポリシー 本当に必要か検討(ロックアウト攻撃のリスク) 12
グループポリシー グループポリシーの意味 コンピュータの構成 ユーザーの構成 ループバックの処理モード 13
グループポリシーの意味 システムの構成を利用者に強制 セキュリティ 放置すると緩くなりがち トラブル1: 厳しすぎて仕事ができない トラブル2: 管理者の裏をかく 複雑な構成 利用者による設定が困難 トラブル1: 利用者が思っていた設定と違う トラブル2: 環境が違っても融通が利かない 基本的な考え方 システム管理者が 利用者の代わりに設定 14
コンピュータの構成 コンピュータアカウントのある場所に適用 例: レガシープロトコルの利用 サービス ユーザーの ログオン 構成 GPO コンピュータ の構成 GPO 15 ユーザー の構成 OU OU GPO
ユーザーの構成 ユーザーアカウントのある場所に適用 例: スクリーンセーバー エクスプローラ ユーザーの ログオン 構成 GPO コンピュータ の構成 GPO 16 ユーザー の構成 OU OU GPO
ループバックの処理モード 本来はユーザーのポリシーなのに コンピュータに対して割り当て ユーザーの 構成 ログオン GPO コンピュータ の構成 GPO 17 ユーザー の構成 OU OU GPO
セキュリティ設定の一元管理 GPOの継承 GPOの継承禁止 GPOの強制 GPO適用のフィルタリング 18
GPOの継承 ユーザー環境の統一(強制) コンピュータ設定の統一(強制) ソフトウェアの自動インストール OU GPO Active Directory ドメイン OU 19 GPO GPO
GPOの継承禁止 上位OUからの継承を禁止 上位GPOが存在しないのと同じ 既定値を使用 GPO OU GPO Active Directory ドメイン OU 20 GPO
GPOの強制 特定のGPOを優先的に適用 競合しない設定は累積 継承禁止よりも優先 GPO 強制 OU GPO Active Directory ドメイン OU 21 GPO
GPO適用のフィルタリング セキュリティフィルタ GPOにACL(アクセス許可)を設定 GPOの適用 = 読み取り + 適用 静的フィルタリング WMIフィルタ Windows XP以降のクライアント クライアント側でWMIクエリを実行 動的フィルタリング 22
GPOの適用原則 ベストプラクティス なるべく既定値を使う ローカル サイト ドメイン 上位OU 下位OU 強制は全社セキュリティに限定 継承禁止は使わない セキュリティフィルタリングは禁止に使う WMIフィルタリングは必要最小限に留める 23
修正プログラムの一元管理 Windows Update Windows Server Update Services System Center Configuration Manager 24
Windows Update Microsoft Update 更新の可否と時刻 利用者個人またはGPO 更新内容...選択不可 Microsoft Update ソフトウェア更新 クライアント 更新配付 25
WSUS Windows Server Update Services 適用するかどうかを管理者が判断可能 Microsoft Update ソフトウェア更新 クライアント WSUS 更新配付 26 管理者が承認
SCCM System Center Configuration Manager より詳細な条件指定 更新結果の収集 Microsoft Update ソフトウェア更新 クライアント SCCM 更新配付 27 管理者が承認
ファイルアクセス許可の一元管理 アクセス許可戦略 A-G-L-Pポリシー A-G-DL-Pポリシー A-G-U-DL-Pポリシー アクセス許可戦略のまとめ 28
アクセス許可戦略 ACLの継承を効果的に利用 ACLの割り当ての原則 アクセス許可の変化に対応 役割の変化に対応 ACLの割り当てポリシー A-G-L-Pポリシー A-G-DL-Pポリシー A-G-U-DL-Pポリシー 29
A-G-L-Pポリシー ポリシー A:アカウントを G:グローバルグループにまとめ L:ローカルグループのメンバとして P:許可(Permission)を与える 利点 アクセス許可の変化と役割の変化に追従 欠点 30 ローカルグループはサーバー毎(GPOでも可) めんどくさい
A-G-L-Pポリシーの意味 プロジェクトX P L FULL 管理者 役割 RW 編集者 役割 R 参照者 役割 G 開発1課 31 A 開発2課 開発3課 広報部 社長室
A-G-DL-Pポリシー ポリシー A:アカウントを G:グローバルグループにまとめ DL:ドメインローカルグループのメンバとして P:許可(Permission)を与える 利点 アクセス許可の変化と役割の変化に追従 Active Directoryのみで構成可能 欠点 32 めんどくさい
A-G-U-DL-Pポリシー ポリシー A:アカウントを G:グローバルグループにまとめ U:ユニバーサルグループのメンバにしてから DL:ドメインローカルグループのメンバとして P:許可(Permission)を与える 利点 クロスドメインメンバシップに対応 欠点 33 もっとめんどくさい
アクセス許可戦略のまとめ ユーザーの集合: グローバルグループ 許可の種類: ドメインローカルグループ ユニバーサルグループのメンバは 増えすぎないように 継承を効果的に利用 ファイルよりもフォルダ 下位よりも上位 34
まとめ
まとめ Active Directoryと企業システム パスワード グループポリシー セキュリティ設定の一元管理 修正プログラムの一元管理 ファイルアクセス許可の一元管理 36
参考資料 グローバルナレッジネットワーク株式会社 http://www.globalknowledge.co.jp/ 定期開催コース Windows Server 2008システム管理基礎 (前編 後編) GKラーニングクラブ http://www.globalknowledge.co.jp/gklc 37