ユーザーログオン活動のリアルタイム監査
ユーザーによるコンピューターへのアクセスは、企業規模に関わらず毎日行われる作業です。アクセスログは、一見すると単純なActive Directoryイベントに見えるかもしれませんが、システム管理者にとって、監査/コンプライアンス/および運用上のニーズなど、様々な用途で使用できる価値あるものです。Active Directoryのユーザーログオンログに関する監査は、以下の運用ニーズにおいて必要とされます。
- 従業員の欠勤および出勤の確認
- ドメインコントローラーへアクセスしているユーザー数の確認
- リモートネットワークコンピュータを介してワークステーションまたはドメインコントローラーにアクセスしているユーザーの検出
- ドメイン内におけるユーザーのログオンピーク時間の識別
- 重要なドメインコンピューターに最後にログオンした人物の特定
- 権限のない端末にログオンしようとしたユーザー(悪意のあるユーザー)がいるかどうかの特定
(※通常、Active Directoryのドメインコントローラーやメンバーサーバーへのログオンには高い権限が必要となります。) - ドメイン内のすべてのユーザーのログオン履歴の表示
(※不正な行為が疑われる従業員に質問を行う際、従業員が業務中にアクセス、変更したActive Directoryのオブジェクト、例えばコンピューター・グループ・他のユーザーアカウントなどの情報を用意する必要があります。)
Active Directoryのユーザーログオン監査にツールが必要と考えられる理由
Active Directoryのログオンログは、Active Directory ドメインコントローラーのセキュリティログに継続的に記録されます。ドメインコントローラーのイベントビューアーに記録されるデータの特徴は、次のとおりです。
- 専門知識が必要
イベントログを正しく読み取るためには、イベントIDと他の項目(ログオンタイプ)との相関関係を理解する必要があります。 - データ量が大きい
Active Directoryのログオン活動はドメインコントローラーに継続的に記録されるため、イベントログデータは膨大な量となります。 - アクセスが制限されている
ドメインコントローラーはActive Directoryにおける重要なコンポーネントであり、アクセスは基本的に管理者に限定されています。
Active Directoryが提供するイベントビューアーのその他制限としては、監査人/人事担当者など、管理者以外のユーザーがログオン操作を追跡できないことが挙げられます。また、ドメインコントローラー/メンバーサーバーに対するログオン活動など、重要なログオンイベントについては異常発生時における即時アラートの生成や継続的な監査が必要です。しかし、この重要な情報は膨大に出力されるログの中で見逃される可能性が高くなります。
ユーザーログオン時のADAudit Plusにおける監査レポート
ログオン失敗レポート
選択した期間内におけるログイン失敗および失敗理由を表示します。また、ユーザーアカウントによる複数のログオン失敗試行を確認することができ、攻撃の可能性があるアカウントの特定を容易化します。レポートからは、ログオン失敗が発生した時間/ログオンに失敗したアカウント/考えられる理由など、ログオン失敗に関する詳細を確認することができます。
特に注意すべきエラーは、「パスワードの期限が切れました」「アカウントの無効化/期限切れ/ロックアウト」「管理者はアカウントのパスワードをリセットする必要があります」です。他のエラーとしては、「ワークステーション/ログオンの時間制限」「新しいコンピューターアカウントがまだレプリケートされていません」「コンピューターがpre-w2kです」「ワークステーションの時刻がドメインコントローラーの時刻と同期していません」が挙げれらます。
ドメインコントローラーのログオン活動
ドメインコントローラーとは変更作業が行われるActive Directoryの中心かつ重要なコンポーネントです。ドメインコントローラーへのログオンは、特権ユーザーまたは管理者ユーザーに限定され、他のユーザーが実行したログオン試行に関する情報は管理者に通知されるような対応が望まれます。
ADAudit Plusでは、ドメインコントローラーにログオンしたすべてのユーザー情報を確認できます。さらに、ログオンの時間/ログオン元のクライアントホスト名/ログオンの成功や失敗/失敗の理由といった詳細が表示されます。
メンバーサーバーとワークステーションのログオン活動
選択したメンバーサーバーまたはワークステーションへのユーザーログオン情報が表示されます。本レポートは「ドメインコントローラーのログオン活動レポート」と同様に機能し、メンバーサーバーおよびワークステーションに対するログオン活動を可視化します。
ユーザーログオン活動
選択したドメインユーザーがアクセスする「サーバー」または「ワークステーション」に対するログオン履歴を表示します。ユーザーのログオン履歴は、対象ユーザーのログオン傾向を理解するために非常に重要です。また、レポートをエクスポートすることで、監査人や管理者など、任意のユーザーに関してデータを提供することができます。
最近のユーザーログオン活動
ログオン失敗イベントの監査は意図しない認証の痕跡を発見するのに役立ちます。ADAudit Plusの「最近のユーザーログオン活動」レポートには、選択した期間にわたるユーザーのログオン活動が一覧で表示されます。さらに、認証失敗の場合は、失敗原因も表示されます。特定の日付/選択した日付/指定期間にネットワークに正常にログインしたユーザーの一覧も、本レポートから簡単に抽出可能です。
ワークステーションの最後ログオン
ログインに成功/失敗したユーザーの情報や、ワークステーションまたはコンピューターに対して、最後にログオンした時刻を確認することが可能です。
コンピューターでのRADIUSログオン
リモートコンピューターにログオンしているユーザーによる、リモート認証ダイヤルインユーザーサービス(RADIUS)を使用したネットワークへのアクセスを監査します。RADIUSログオン失敗(NPS)やRADIUSログオン履歴(NPS)などのレポートでは、Active Directory内のすべてのRADIUS認証を監査できます。なお、現在はNetwork Policy Server(Windows Server 2008)経由のRADIUSログオン活動のみサポートされています。
ユーザー活動時間(勤怠管理)
ユーザーがコンピューターにログオンした時間、活動時間、休止時間を監査します。活動時間を算出する際はユーザーのログオン/ログオフ時間を追跡しますが、退勤の都度ログオフやシャットダウンを実施しないというユーザーのため、スクリーンセーバーの起動、画面のロック、リモートセッションの切断などの情報も加味して活動時間を算出します。これにより、従業員が実際にコンピューターを操作していた時間を特定することが可能です。
レポートの詳細事項についてはこちらをご覧ください。
※レポート内で[詳細]リンクをクリックすると、[ユーザー活動時間]画面が表示され、スクリーンセーバーの起動やロック時間を除いた実際の活動時間が表示されます。