ADManager Plus ナレッジベース

インストールディレクトリのセキュリティ保護手順


本ナレッジでは、インストールディレクトリのセキュリティ保護手順について説明します。

※本ナレッジの内容はグローバル本社のナレッジベース(英語)を翻訳、一部加筆したものです。
[Guide to enhance the protection for ADManager Plus installation] https://download.manageengine.com/products/ad-manager/resources/securing-admanager-plus-installation.pdf

<目次>
概要
対応方法

概要

ビルド7140より前の場合、ADManager PlusはデフォルトでC:\ManageEngine配下にインストールされます。
これにより、Authenticated Usersグループに属する管理者以外のユーザーにも、
<ADManager Plus_インストール ディレクトリ>\bin内のファイル/フォルダーに対するフルコントロール権が付与されます。
つまり、Authenticated Usersグループに属するすべてのドメインユーザーがフォルダーにアクセスし、
ADManager Plusを起動/停止できます。
また、Authenticated Usersをアクセス制御リスト (ACL) から削除のみ行った場合、
管理者以外のユーザーは特権がないことが原因でADManager Plusを起動できなくなるため、この手段は有効とは言えません。

対応方法

手順は2通りございます。「SecureDeployment.exe」を用いて権限を変更する、または手動で権限を編集することも可能です。
下記いずれかの手順をご参照ください。

「SecureDeployment.exe」を用いて権限を変更する

「SecureDeployment.exe」を実行することで、次の内容が自動的に行われます。

  • Authenticated Usersグループのユーザーが<ADManager Plus_インストール ディレクトリ>にアクセスできないようにします。
  • 付与したアカウントにフルコントロール権を付与します。
  • (ADManager PlusをWindowsサービスとしてインストールしている場合のみ)Windowsサービスアカウントを設定

「SecureDeployment.exe」を用いて権限を変更するには、次の手順をご参照ください。

  1. 管理者としてコマンドプロンプトを開きます。
  2. <ADManager Plus_インストール ディレクトリ>\binに移動します。
  3. SecureDeployment.exe」を実行します。

手動で権限を編集する

「C:\ManageEngine」配下の場合

デフォルトでは、WindowsクライアントOSのC: ディレクトリには、
サブフォルダーの変更権限を持つAuthenticated Usersが含まれています。
ただし、Windows Server OSのC: ディレクトリには、ACLにAuthenticated Usersがありません。
そのため、ADManager PlusがインストールされているOSによって手順が異なる場合があります。
a) ADManager PlusをクライアントOSにインストールしている場合
b) ADManager Plusをserver OSにインストールしている場合
デフォルトでは、クライアントOS のC:ディレクトリには、サブフォルダーの変更権限を持つAuthenticated Usersが含まれています。
ただし、サーバー OSのC:ディレクトリには、ACLにAuthenticated Usersがありません。

a) ADManager PlusをクライアントOSにインストールしている場合
  1. C:\ManageEngine\ADManager Plusの継承を無効化
    (詳細は、本ナレッジ下部の補足をご参照ください。)
  2. フォルダーのACLからAuthenticated Usersを削除
    (詳細は、本ナレッジ下部の補足をご参照ください。)
  3. Authenticated Usersから下記フォルダーに対する権限を削除

    ・<ADManager Plus_インストール ディレクトリ>\bin\license
    ・<ADManager Plus_インストール ディレクトリ>\lib\license
    ・<ADManager Plus_インストール ディレクトリ>\temp
    ・<ADManager Plus_インストール ディレクトリ>\webapps\adsm\temp

    (詳細は、本ナレッジ下部の補足をご参照ください。)

  4. ADManager Plusを起動可能なユーザーにC:\ManageEngine\ADManager Plusに対する変更権限を付与
    (詳細は、本ナレッジ下部の補足をご参照ください。)
  5. ADManager Plusがログオンアカウントを使用してWindowsサービスとしてインストールしている場合、
    サービスのプロパティの [ログオン] タブで設定したアカウントにフォルダ変更権限が割り当てられていることを確認
b) ADManager Plusをserver OSにインストールしている場合
  1. Authenticated Usersから下記フォルダーに対する権限を削除

    ・<ADManager Plus_インストール ディレクトリ>\bin\license
    ・<ADManager Plus_インストール ディレクトリ>\lib\license
    ・<ADManager Plus_インストール ディレクトリ>\temp
    ・<ADManager Plus_インストール ディレクトリ>\webapps\adsm\temp

    (詳細は、本ナレッジ下部の補足をご参照ください。)

  2. ADManager Plusを起動可能なユーザーにC:\ManageEngine\ADManager Plusに対する変更権限を付与
    (詳細は、本ナレッジ下部の補足をご参照ください。)
  3. ADManager Plusがログオンアカウントを使用してWindowsサービスとしてインストールしている場合、
    サービスのプロパティの [ログオン] タブで設定したアカウントにフォルダ変更権限が割り当てられていることを確認
    ※クライアントOS/Server OS両方のケースで説明されている手順は、C:\ManageEngine以外の任意の場所でも有効です。

「C:\Program Files」配下の場合
  1. Authenticated Usersから下記フォルダーに対する権限を削除

    ・<ADManager Plus_インストール ディレクトリ>\bin\license
    ・<ADManager Plus_インストール ディレクトリ>\lib\license
    ・<ADManager Plus_インストール ディレクトリ>\temp
    ・<ADManager Plus_インストール ディレクトリ>\webapps\adsm\temp

    (詳細は、本ナレッジ下部の補足をご参照ください。)

  2. ADManager Plusを起動可能なユーザーにC:\ManageEngine\ADManager Plusに対する変更権限を付与
    (詳細は、本ナレッジ下部の補足をご参照ください。)
  3. ADManager Plusがログオンアカウントを使用してWindowsサービスとしてインストールしている場合、
    サービスのプロパティの [ログオン] タブで設定したアカウントにフォルダ変更権限が割り当てられていることを確認
・Microsoft は、ソフトウェアをC:\Program Files配下にインストールすることを推奨しています。
ご要件、組織のポリシーに基づいて、別の場所を選択できます。
補足
継承を無効化する手順
  1. フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[詳細設定]をクリック
  2. [監査]タブ→[継承の無効化]をクリック
  3. [適用]をクリック
  4. [OK]をクリック
Authenticated UsersグループをACL(アクセスコントロールリスト)から削除する手順
  1. フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[編集]をクリック
  2. Authenticated Usersグループを選択
  3. [削除]をクリック
  4. [適用]をクリック
  5. [OK]をクリック
ユーザーまたはグループに権限を付与する手順
  1. フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[編集]をクリック
  2. [追加]をクリック
  3. 追加したいユーザー名またはグループ名を入力
  4. [OK]をクリック
  5. [許可]列にて、該当ユーザーまたはグループに付与する権限にチェック
  6. [適用]をクリック
  7. [OK]をクリック