Active Directory LAPSの監査

管理者の資格情報にアクセスする際、セキュリティ対策は万全ですか?

ADAudit PlusのLAPS監査では、ローカル管理者の認証情報を誰が閲覧・変更しているか、継続的に 追跡します。

ADAudit PlusのLAPS監査ツールは次のような情報を提供します:

  • パスワードを閲覧したユーザー
  • パスワードの有効期限日時を変更したユーザー。
    通常、LAPSは定期的にパスワードを自動更新しています。ADAudit Plusは、疑わしいパスワー ドの有効期限延長イベントを管理者に通知します。

※実画面は日本語で表示されます

 

ローカル管理者のアカウントは、端末に対する完全なアクセス権限を有しており、必要に応じて ユーザーに対して権限とアクセス許可を割り当てることができます。しかし、ローカル管理者のア カウント自体の安全な管理が常に課題でした。ヘルプデスク管理者同士で共通のユーザー名とパス ワードを共有することで簡易なアクセス手段を共有することが、従来の標準的な管理方法でした。 ところがこの方法では、パスワードを盗み取るハッシュ攻撃などの攻撃に対してシステムが脆弱に なってしまいます。

ローカル管理者パスワードソリューション(LAPS)は、追加のソフトウェアやハードウェアを導入 する必要なく、Active Directoryのローカル管理者向けのパスワードの集中レポジトリとして機能し ます。

LAPSは、グループポリシーのクライアント側での拡張機能を利用して、ドメイン上の全てのメン バーのパスワードをランダムに生成します。また、パスワードの有効期限が切れると自動的に新し いパスワードを生成します。パスワードは、Active Directoryのコンピュータアカウント内の安全な 属性に格納されます。ドメイン管理者は自らのAD資格情報を使用して、それぞれのユーザー与えら れたパスワードの読み取り権限を付与することができます。

LAPSにはドメイン全体のローカル管理者のセキュリティ情報が含まれているため、LAPSの監視と 監査は不可欠です。