Active Directoryのセキュリティー対策、お勧めの情報源（前） - Active Directoryのセキュリティー対策、お勧めの情報...：CIO Magazine - 日経BP

TOP ＞セキュリティ＞ Active Directoryのセキュリティー対策、お勧め...

関連カテゴリー：アプリ／OS

　クラウドサービスの導入後もActive Directoryの利用を続けている企業は多いと思う。管理者の皆さんは、Active Directoryのセキュリティー対策に最新の情報をきちんと反映できているだろうか。実はMicrosoftのWebサイト自体、更新が行き届いているとは限らない。例えば、Active Directoryのセキュリティー対策のベストプラクティスについて説明したページを見ると、2013年時点の内容だという注意書きがある。幸い、Active Directoryのセキュリティーについては、Microsoftのサイト以外にも有益な情報源がある。筆者が日頃からチェックしているサイトやその関連情報をいくつか紹介する。

Sean Metcalf氏のブログ「Active Directory Security」と動画

Credit: GaudiLab / Shutterstock

　真っ先に紹介したいのは、米セキュリティー企業Trimarc Securityの創業者Sean Metcalf氏のブログ「Active Directory Security」だ。攻撃の仕組みや防御の方法について、有益な知識やヒントを数多く得ることができる。また、同社が2022年6月にYouTubeで公開したWebセミナーの動画も参考になる。Active Directoryのセキュリティーを今すぐに強化する方法トップ10と題して、Active Directoryを狙う攻撃の手法やその対策について、Metcalf氏らが解説している。

　この動画で取り上げている10項目の中には、管理者グループのアカウントを定期的に見直して、年1回のパスワード変更を適用し、使用していない管理者アカウントを削除するという項目がある。さらに筆者としては、管理者アカウントに多要素認証を導入するという点も付け加えておきたい。

　また、ドメインへのワークステーション追加の権限を持つアカウントを減らすという項目もある。この権限（SeMachineAccountPrivilege）をデフォルト値のままにしておく必要はない。攻撃者がこれを悪用して侵害を拡大する恐れがある。そのほか、制限なしの委任（Unconstrained Delegation）を使用しているアカウントを確認し、Kerberosのサービスプリンシパル名がないものは削除するという項目もある。

　ドメインコントローラーや外部向けのサーバーで不要なサービスを動かさないという点も忘れずチェックしておきたい。攻撃者はいずれかのワークステーションを足がかりに、印刷スプーラーなどのサービスを使って攻撃を拡大していく場合がある。こうしたサービスを動かす必要がないワークステーションやサーバーでは停止しておくこと。