Active Directory LAPSの監査
管理者の資格情報にアクセスする際、セキュリティ対策は万全ですか?
ADAudit PlusのLAPS監査では、ローカル管理者の認証情報を誰が閲覧・変更しているか、継続的に 追跡します。
ADAudit PlusのLAPS監査ツールは次のような情報を提供します:
- パスワードを閲覧したユーザー
- パスワードの有効期限日時を変更したユーザー。
通常、LAPSは定期的にパスワードを自動更新しています。ADAudit Plusは、疑わしいパスワー ドの有効期限延長イベントを管理者に通知します。
※実画面は日本語で表示されます
ローカル管理者のアカウントは、端末に対する完全なアクセス権限を有しており、必要に応じて ユーザーに対して権限とアクセス許可を割り当てることができます。しかし、ローカル管理者のア カウント自体の安全な管理が常に課題でした。ヘルプデスク管理者同士で共通のユーザー名とパス ワードを共有することで簡易なアクセス手段を共有することが、従来の標準的な管理方法でした。 ところがこの方法では、パスワードを盗み取るハッシュ攻撃などの攻撃に対してシステムが脆弱に なってしまいます。
ローカル管理者パスワードソリューション(LAPS)は、追加のソフトウェアやハードウェアを導入 する必要なく、Active Directoryのローカル管理者向けのパスワードの集中レポジトリとして機能し ます。
LAPSは、グループポリシーのクライアント側での拡張機能を利用して、ドメイン上の全てのメン バーのパスワードをランダムに生成します。また、パスワードの有効期限が切れると自動的に新し いパスワードを生成します。パスワードは、Active Directoryのコンピュータアカウント内の安全な 属性に格納されます。ドメイン管理者は自らのAD資格情報を使用して、それぞれのユーザー与えら れたパスワードの読み取り権限を付与することができます。
LAPSにはドメイン全体のローカル管理者のセキュリティ情報が含まれているため、LAPSの監視と 監査は不可欠です。