Windowsサービスアカウントのパスワードリセット

Windowsサービスアカウントとは、システムプログラムがアプリケーションサービスやプロセスを実行するために使用するアカウントです。通常のユーザーアカウントとは異なり、これらのアカウントは多くの場合、より高い権限を保持しているため、侵害に対して極めて機密性が高いものとなります。多くのサードパーティサービス、スケジュールされたタスク、またはプロセスがサービスアカウントを共有する可能性があるため、適切に管理しないと、依存関係が複雑化し、リスクが高まる可能性があります。

ほとんどの企業環境では、ネットワークアクセスを必要とするWindowsサービス用に、専用のWindowsドメインアカウントが構成されています。PAM360は、ドメインアカウントに関連付けられたサービスを自動的に検出することで、こうしたアカウントの管理を簡素化します。PAM360で管理されているドメインアカウントのパスワードがローテーションされると、PAM360はそのアカウントに関連付けられているすべてのサービスを特定し、サービスアカウントのパスワードを自動的に更新します。

特定のシナリオにおいては、ローテーションされたパスワードを有効にするために、サービスの再起動が必要となります。PAM360のWindowsサービスアカウントパスワードリセット機能は、このプロセス全体を自動化し、重要なサービスが円滑に機能し続けることを保証すると同時に、安全なパスワード管理を徹底します。

このヘルプ ドキュメントでは、次のトピックについて詳しく説明します。

1. 前提条件
2. ワークフロー
3. サービスアカウントのパスワードリセットの設定
4. サービスアカウントの状態確認

1.前提条件

PAM360でWindowsサービスアカウントパスワードリセット機能を使用する前に、サービスが実行されている対象のWindowsサーバーで以下の前提条件が満たされていることを確認してください。

1. ソフトウェア要件
   • Microsoft .NET Framework 4.5.2以降
   • Microsoft Visual C++ 2015 Redistributable
2. さらに、以下のサービスが実行されていることを確認してください。
   • Windows RPCサービス
   • Windows Management Instrumentation (WMI) サービス - PAM サーバーからメンバー サーバーおよびドメイン コントローラーへの WMI 接続

これらのコンポーネントは、PAM360がターゲットサーバーとの安全な接続を確立し、関連するドメインアカウントのパスワードがリセットされた際にサービスアカウント構成を正常に更新するために必要です。

2.ワークフロー

ドメインアカウントのパスワードが更新されると、PAM360は、関連するメンバーサーバー上でそのアカウントにより実行されているすべてのWindowsサービスを自動的に検知します。その後、各サーバーとの安全な接続を確立し、Windowsサービス制御マネージャー（SCM）に保存されている認証情報を新しいパスワードで更新し、変更が正常に適用されるようにサービスを再起動または同期します。

このプロセスが円滑に機能するようにするには、関連するサービスが実行されているすべてのメンバーサーバーを静的リソースグループに追加し、このリソースグループを対応するドメインアカウントに関連付けます。この設定により、ドメインアカウントのパスワードがリセットされるたびに、PAM360は関連するすべてのWindowsサービスの認証情報を自動的に更新できます。

サービスアカウントが実行されているメンバーサーバーを含むリソースグループをドメインアカウントに関連付ける前に、以下の構成が既に完了していることを確認してください。

1. ドメインコントローラーが、PAM360にWindowsドメインリソースとして追加されていること。そうでない場合は、このリンクに記載されている手順に従って、ドメインコントローラーをリソースとして追加してください。
2. サービスで使用されるドメイン管理者アカウントの認証情報を、Windowsドメインリソースに追加します。リソースにアカウントを追加する詳細な手順については、こちらのリンクをご覧ください。
3. Windowsドメインリソースに対して、リモートパスワードリセットが設定されていること。Windowsドメインリソースのリモートパスワードリセットを設定するための詳細な手順については、こちらのリンクを参照してください。
4. サービスアカウントが実行されているすべてのメンバーサーバーが、PAM360にリソースとして追加されていること。
5. すべてのメンバーサーバーが、静的リソースグループに追加されていること。このリンクをクリックして、リソースを静的グループに追加してください。

3.サービスアカウントのパスワードリセットの設定

サービスが実行されているメンバーマシンを含むリソースグループをドメインアカウントに関連付けるには、以下の手順に従ってください。これにより、ドメインアカウントのパスワードが変更されたときに、サービスアカウント構成に保存されている認証情報が自動的に更新されます。

1. リソースタブに移動し、Windowsドメインリソースをクリックします。
2. 表示されたアカウント情報ウィンドウで、ドメイン管理者アカウントの横にあるアカウントアクションアイコンをクリックし、表示されたオプションからアカウントを編集を選択します。
3. 表示されるアカウントを編集ウィンドウで、このサービス アカウントのリソースグループを連携するの下にある、サービスが実行されているメンバー サーバーを含む目的のリソース グループをクリックし、右矢印ボタンをクリックします。
   
4. PAM360がパスワード更新後すぐにWindowsサービスを再起動するようにするには、再起動チェックボックスを有効にしてください。
5. Windowsドメインリソースに追加したサービスアカウントのチェックボックスを選択し、保存をクリックします。
6. 関連サービスを確認するには、アカウントを選択し、[サービス アカウントの状態] >> [ サポートされるサービス アカウント]に移動します。ここでは、このドメインアカウントをログインアカウントとして使用するサービスの一覧が表示されます。ドメインアカウントのパスワードをリセットすると、リモートマシン上の関連サービスに新しいパスワードが更新されます。

ドメインアカウントのパスワードリセット時には、サービスを停止して再起動する必要がある場合があります。このような場合、ドメインアカウントのパスワード変更後にサービスを再起動する前に、PAM360が特定の時間間隔を待機するように設定できます。設定手順については、以下の手順に従ってください。

1. [管理] >> [カスタマイズ] >> [一般設定] に移動します。
2. 一般設定ページで、左側のパネルからパスワード変更を選択し、待つXX秒（サービス アカウントのパスワードをリセットした後、サービスを停止してから開始するまで待つ必要のある時間）。チェックボックスをオンにします。
3. デフォルトでは、PAM360はサービスを再起動する前に60秒間待機します。必要に応じて、この欄に秒単位で期間を入力してください。
4. 変更を保存するには、[保存] をクリックします。

4.サービスアカウントの状態確認

サービスアカウントのパスワードリセットが有効になっているWindowsドメインアカウントについては、関連付けられているサービスアカウントとスケジュールされたタスクの詳細、およびドメインアカウントのパスワードリセット中にパスワードが変更されたかどうかを確認できます。サービスアカウントのステータスを確認するには、以下の手順に従ってください。

1. リソースタブに移動し、目的のWindowsドメインリソースをクリックします。
2. 表示されるアカウント情報ウィンドウで、サービスアカウントのパスワードリセットのステータスを確認したいドメインアカウントを選択し、上部のパネルにあるサービスアカウントボタンをクリックします。
3. 表示されたウィンドウで、サービスアカウントの状態タブに切り替えると、関連付けられているすべてのサービスアカウントの状態と、サービス名、サービスが実行されているリソース、状態、タイムスタンプなどの関連情報が表示されます。