Windowsドメインで信頼されていない管理者に対処する
私は、ドメインに参加しているWindowsワークステーションを持っている会社にコンサルティングを提供しています。基本的な要件の1つは、(管理者を含む)誰も他のユーザーとしてログインできないようにすることです。
ドメイン管理者はすべて強力で、誰かのパスワードを変更したり、自分を偽装したりするなど、さまざまな不正を行う可能性があります。また、ログをクリアして、自分の行動の痕跡を残すこともできます。
だから、私の質問は:
- 「パスワードのリセット」などのアクションを強制して、複数の管理者の承認を要求することは可能ですか?
- ドメイン管理者がアクションを改ざんできないようにアクションを監査することは可能ですか?
- 信頼できない管理者がいる環境に対処するためのその他のアプローチを提案しますか?
答えは簡単です:ドメイン管理者を許可しない。管理の仕事をしている特定の人々に特定の機能へのアクセスを与えます。 「ドメイン管理者」グループは空である必要があり、ユーザーがこのグループに追加されるとアラートが表示されます。
小さなチームでは、これは少しトリッキーかもしれませんが、IT管理スタッフ以外の人を監督のために含めることができます。また、改ざんを防ぐために必要な特権の一部のみをスタッフが取得できるようにするスキームを作成できます。
- 単一のマシンにのみログインできるユーザーにパスワード管理を提供し、他のユーザーがそのマシンにログインするかどうかを監査します。
- ユーザーアカウントを変更できない人にログアクセスを許可する
- これが職場での「最小特権」の原則であり、あらゆるレベルの「不信」に対処する方法です
1-「パスワードのリセット」などのアクションを強制して、複数の管理者の承認を要求することはできますか?
ユーザーの作成とパスワードのリセットを分けるのは良い考えです。ユーザーの作成を管理者に割り当て、パスワードのリセットをヘルプデスクなどに任せることができます。
Active Directoryでは、ユーザーを作成するためにドメイン管理者は必要ありません。特定のアカウントアクセス権を持つユーザーグループを作成できます。これはADの優れた点であり、アクセス許可は非常に細かく設定できます。
2-ドメイン管理者がそれらを改ざんできないようにアクションを監査することは可能ですか?
はい、ログソリューションがない場合は(ログサーバーを用意することをお勧めします)、管理者に対する作成のみのアクセス許可をファイルサーバーに構成し、ログファイルをそこに配置するようにサーバーを構成できます(オプション)。また、GPO設定を使用して、Windowsマシンの監査を制御します。
3-信頼できない管理者がいる環境に対処するための他のアプローチを提案しますか?
- 2要素認証を使用します。
- セッションレコーダーソフトウェアとキーロガーを使用します。
- すべてを別のサーバーに記録し、暗号化して改ざん防止します。
同志Sadaeq、
セキュリティの基本的な原則の1つは、システム自体の管理者からシステムを保護できないことです。これは、管理者がシステムを変更/制御する手段を持っているため、いつでも必要なものにアクセスする方法を見つけることができるためです。
あなたへの私のアドバイスは、ドメイン管理者の数を信頼できる本当に少数の人々に減らすようにクライアントにアドバイスすることです。同志シュローダーが提案したように、優れた委任モデルに基づいて、システム管理の他の部分を他の委任管理者に委任することが常に最善です。
ただし、Active Directoryでの委任について留意すべきことの1つは、ドメイン管理者アカウントが他のアカウントと同じOUにないことを確認することです。その場合、そのOUの管理を委任管理者に委任したので、その委任管理者は権限継承を使用して、ドメイン管理者アカウントに十分な権限を付与し、ドメイン管理者のパスワードをリセットして、ドメイン管理者としてログインできます。 (この概念は新しいものではなく、「Active Directory特権エスカレーション」として知られています)
他のすべてのタスク(アカウントの作成、OU管理、グループメンバーシップの管理など)を他の委任管理者に委任してドメイン管理者の数を減らし、完全に信頼できる管理者のみを管理者にすることをお勧めします。 (他の仲間によって提案されているように、ドメイン管理者は両方をオフにすることができるため、ロギングも監査もシステムをドメイン管理者から保護しません。)
頑張って。