インストールディレクトリのセキュリティ保護手順
本ナレッジでは、インストールディレクトリのセキュリティ保護手順について説明します。
※本ナレッジの内容はグローバル本社のナレッジベース(英語)を翻訳、一部加筆したものです。
[Guide to secure your ADSelfService Plus installation]
https://download.manageengine.com/products/self-service-password/securing-adselfservice-plus-installation.pdf
概要
ADSelfService Plusインストール ディレクトリには、ADSelfService Plusが
正常に機能するための重要なファイル(製品の起動/停止に使用するファイル、ライセンスファイルなど)が含まれています。
ADSelfService PlusはデフォルトでC:\ManageEngine配下にインストールされます。
これにより、Authenticated Usersグループに属する管理者以外のユーザーにも、
ADSelfService Plusインストール ディレクトリ内のファイル/フォルダーに対するフルコントロール権が付与されます。
つまり、Authenticated Usersグループに属するすべてのドメインユーザーがフォルダーにアクセスし、内容を変更できるため、
ADSelfService Plusを使用できなくなる可能性があります。
また、Authenticated Usersをアクセス制御リスト (ACL) から削除のみ行った場合、
管理者以外のユーザーは特権がないことが原因でADSelfService Plusを起動できなくなるため、この手段は有効とは言えません。
対応方法
ADSelfService Plusがインストールされている場所により手順が異なります。該当する手順をご参照ください。
・「C:\ManageEngine」配下の場合
・「C:\Program Files」配下の場合
「C:\ManageEngine」配下の場合
※クライアントOS/Server OS両方のケースで説明されている手順は、C:\ManageEngine以外の任意の場所でも有効です。
デフォルトでは、WindowsクライアントOSのC: ディレクトリには、
サブフォルダーの変更権限を持つAuthenticated Usersが含まれています。
ただし、Windows Server OSのC: ディレクトリには、ACLにAuthenticated Usersがありません。
そのため、ADSelfService PlusがインストールされているOSによって手順が異なる場合があります。
a) ADSelfService PlusをクライアントOSにインストールした場合
b) ADSelfService Plusをserver OSにインストールした場合
a) ADSelfService PlusをクライアントOSにインストールした場合
- C:\ManageEngine\ADSelfService Plusの継承を無効化
(詳細は、本ナレッジ下部の補足をご参照ください。) - フォルダーのACLからAuthenticated Usersを削除
(詳細は、本ナレッジ下部の補足をご参照ください。) - Authenticated Usersから下記フォルダーに対する権限を削除
・<ADSelfService Plus_インストール ディレクトリ>\bin\license
・<ADSelfService Plus_インストール ディレクトリ>\temp
・<ADSelfService Plus_インストール ディレクトリ>\webapps\adssp\temp(詳細は、本ナレッジ下部の補足をご参照ください。)
- ADSelfService Plusを起動可能なユーザーにC:\ManageEngine\ADSelfService Plusに対する変更権限を付与
(詳細は、本ナレッジ下部の補足をご参照ください。) - ADSelfService Plusがログオンアカウントを使用してWindowsサービスとしてインストールしている場合、
サービスのプロパティの [ログオン] タブで設定したアカウントにフォルダの変更権限が割り当てられていることを確認
b) ADSelfService Plusをserver OSにインストールしている場合
- Authenticated Usersから下記フォルダーに対する権限を削除
・<ADSelfService Plus_インストール ディレクトリ>\bin\license
・<ADSelfService Plus_インストール ディレクトリ>\temp
・<ADSelfService Plus_インストール ディレクトリ>\webapps\adssp\temp(詳細は、本ナレッジ下部の補足をご参照ください。)
- ADSelfService Plusを起動可能なユーザーにC:\ManageEngine\ADSelfService Plusに対する変更権限を付与
(詳細は、本ナレッジ下部の補足をご参照ください。) - ADSelfService Plusがログオンアカウントを使用してWindowsサービスとしてインストールしている場合、
サービスのプロパティの [ログオン] タブで設定したアカウントにフォルダの変更権限が割り当てられていることを確認
「C:\Program Files」配下の場合
- Authenticated Usersから下記フォルダーに対する権限を削除
・<ADSelfService Plus_インストール ディレクトリ>\bin\license
・<ADSelfService Plus_インストール ディレクトリ>\temp
・<ADSelfService Plus_インストール ディレクトリ>\webapps\adssp\temp(詳細は、本ナレッジ下部の補足をご参照ください。)
- ADSelfService Plusを起動可能なユーザーにC:\ManageEngine\ADSelfService Plusに対する変更権限を付与
(詳細は、本ナレッジ下部の補足をご参照ください。) - ADSelfService Plusがログオンアカウントを使用してWindowsサービスとしてインストールしている場合、
サービスのプロパティの [ログオン] タブで設定したアカウントにフォルダの変更権限が割り当てられていることを確認
ご要件、組織のポリシーに基づいて、別の場所を選択できます。
補足
継承を無効化する手順
- フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[詳細設定]をクリック
- [監査]タブ→[継承の無効化]をクリック
- [適用]をクリック
- [OK]をクリック
Authenticated UsersグループをACL(アクセスコントロールリスト)から削除する手順
- フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[編集]をクリック
- Authenticated Usersグループを選択
- [削除]をクリック
- [適用]をクリック
- [OK]をクリック
ユーザーまたはグループに権限を付与する手順
- フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[編集]をクリック
- [追加]をクリック
- 追加したいユーザー名またはグループ名を入力
- [OK]をクリック
- [許可]列にて、該当ユーザーまたはグループに付与する権限にチェック
- [適用]をクリック
- [OK]をクリック