詳細設定の機能と設定について


ユーザーブロック:


連続してセキュリティ質問回答に失敗した疑わしいユーザーアカウントをADSelfService Plusからブロックする設定ができます。


質問: パスワードセルフサービスソリューションは、コンピューターからブロックされたユーザーをサポートすべきものであるにも関わらず、ソリューション自体がユーザーをブロックし始め、サービスを拒否すると上記目的に矛盾してしまいます。


回答:ADSelfService Plusに対し、一秒間に30万のパスワードの組み合わせでハッカーが辞書攻撃プログラムを使用してきたと想定してみましょう。見張り番としてのロックアウトの仕組みがなければ、ドメインの有効なユーザー名情報を持つ(もしくは推測する)ハッカーに常にアカウントの回答を突き止められてしまう可能性があります。そのため、万が一に備えてロックアウトの仕組みを設定することはとても重要なことです。


望ましいロックアウトしきい値とその期間:


所属する組織により異なるでしょう

 

業界基準のActive Directoryロックアウトの仕組み:


低いセキュリティ: ロックアウトのしきい値 – 定義しない、もしくは10回以上失敗した場合 | ロックアウトの期間 – 0分間 (ロックアウト期間なし)


中間のセキュリティ: ロックアウトしきい値 – 5回失敗 | ロックアウト期間 – 30分間


高いセキュリティ: ロックアウトしきい値 – 1~5回失敗 | ロックアウト期間 – 管理者が自由に設定可能


上記設定には、セルフサービスソリューションに適合するようある程度の緩和が必要です。顧客からのいくつかのフィードバックによると、次の制限が妥当といえるでしょう;


5回失敗したら、30分間のロックアウト期間を設定


失敗5回と設定すれば、辞書攻撃ソフトウェアの可能性は低くなるでしょう。


覚えておきたいこと:

通知タブ:

これら通知を有効にすると、ユーザーがパスワードをリセット/変更、もしくはブロックされたアカウントのロック解除を行うと、通知メールが送信されます。


ベストプラクティスとして、この機能は常にONしておくことを推奨します。


理由: ユーザーがADSelfService Plusを使用してパスワードリセットを実行すると、その操作の状況についてソフトウェアから通知されますが、ユーザーのメールに通知を送信すると、誰かがパスワードをリセットしてしまったという不本意な場合のアラート機能として有用となるからです。これはクレジットカードの使用と似ており、カードを使用する度にその使用についてクレジット会社、もしくは銀行が連絡してくれる仕組みと同様です。

.
推奨: 常にこれら機能をONに設定します。

 

一般タブ:

ユーザーがパスワードをリセット、もしくはアカウントのロック解除する前に、ADSelfService Plusでは、CAPTCHA承認が要求されます。これは、使用するユーザーが人間であり、ソリューションにアクセスしようとする自動ハッキングソフトウェアではないことを確認します。


このCAPTCHA機能を非表示にすると、CAPTCHA認証を無効にします。

 

利点

欠点

この機能は、自動ハッキングソフトウェアからのハッキングやDoS攻撃を回避できます。

ユーザーはゆがんだ画像が理解できず苛立つ場合があります。

 

推奨: 非表示設定は行わない。 多くのユーザーは、特に問題なくCAPTCHA認証を実行しています。

この機能を有効にすると、"パーソナライズ"タブをユーザーのポータルから削除します。


自動化タブ


機能1: 期限切れドメインユーザーのパスワードを自動的にリセットする
機能2: ドメイン内アカウントロックを自動的にロック解除する


これらの機能により、ネットワークスキャンで期限切れパスワード、もしくはロックされたアカウントを検出し、それらに対しソリューションを提供します。


また、これらの機能は様々な教育機関で採用されており、カスタムメイドで使用している学校もあります。大量のアカウントロック、もしくはパスワードの期限切れが発生した場合に非常に有用です。


しかし、これらの機能の使用は任意です。有用と思えない機能については、有効に設定する必要はありません。次の説明を参考にし、これら機能の使用について検討してください;


稼働方法:任意の頻度でドメインスキャンを設定できるスケジューラーとして機能します。スケジューラーの一括処理中にロックされたアカウント、もしくは期限切れのパスワードが検出されると、アカウントのロック解除、もしくはパスワードのリセットが行われます。

 

アドバイス:

 

とても便利な機能です。この製品の大きな特長の一つともいえます。この機能をリクエストする学校や大学もあります。


推奨:本機能が必要でない場合、有効にする必要はありません。


質問&回答設定


セキュリティ質問を一問ずつ表示させ、一度にすべてを表示させない。


回答設定:


次の設定を常にONにします;


ユーザーが複数の質問に同じ回答をすることを防止する
ユーザーが回答内容に、質問の内容を使用することを防止する
RP/UAの際には、大文字、小文字を区別してセキュリティ質問を確認する

 

注意事項1:可逆暗号でセキュリティ回答を保存してはいけません。


リセット/ロック解除操作の際、"回答確認"ボックスを非表示にする


一般:


"CAPTCHAを非表示にする"を有効に設定しないでください。


通知:常に有効に設定する


リセット&ロック解除:パスワードリセットの際ロック解除する


注意事項2:ユーザーのパスワードを自動リセットした場合、次回ログオン時にユーザーにパスワード変更を必ず実行させてください。


セッションを常に設定


パスワードの強度解析を有効に設定

 

Copyright � 2011, ZOHO Corp. All Rights Reserved.
ManageEngine