インストールディレクトリのセキュリティ保護手順
作成日:2022年9月9日 | 更新日:2022年9月9日
本ナレッジでは、インストールディレクトリのセキュリティ保護手順について説明します。
※本ナレッジの内容はグローバル本社の以下ドキュメント(英語)を翻訳、一部加筆したものです。
[Guide to secure your M365 Manager Plus installation]
https://download.manageengine.com/microsoft-365-management-reporting/securing-m365-manager-plus-installation.pdf
概要
<M365 Manager Plus_インストール ディレクトリ>には、M365 Manager Plusが正常に機能するための重要なファイル(製品の起動/停止に使用するファイル、ライセンスファイルなど)が含まれています。
ビルド4425以前のM365 Manager PlusはデフォルトでC:\ManageEngine配下にインストールされます。
これにより、Authenticated Usersグループに属する管理者以外のユーザーにも、<M365 Manager Plus_インストール ディレクトリ>内のファイル/フォルダーに対するフルコントロール権が付与されます。
つまり、Authenticated Usersグループに属するすべてのドメインユーザーがフォルダーにアクセスし、内容を変更できるため、
M365 Manager Plusを使用できなくなる可能性があります。
また、Authenticated Usersをアクセス制御リスト (ACL) から削除のみ行った場合、管理者以外のユーザーは特権がないことが原因でM365 Manager Plusを起動できなくなるため、この手段は有効とは言えません。
対応方法
M365 Manager Plusがインストールされている場所により手順が異なります。該当する手順をご参照ください。
・「C:\ManageEngine」配下の場合
・「C:\Program Files」配下の場合
「C:\ManageEngine」配下の場合
デフォルトでは、WindowsクライアントOSのC: ディレクトリには、Authenticated Usersにサブフォルダーの変更権限が付与されています。
ただし、Windows Server OSのC: ディレクトリには、ACLにAuthenticated Usersがありません。
そのため、M365 Manager PlusがインストールされているOSによって手順が異なる場合があります。
a) M365 Manager PlusがクライアントOSにインストールされている場合
b) M365 Manager Plusがserver OSにインストールされている場合
デフォルトでは、クライアントOS のC:ディレクトリには、サブフォルダーの変更権限を持つAuthenticated Usersが含まれています。
ただし、サーバー OSのC:ディレクトリには、ACLにAuthenticated Usersがありません。
a) M365 Manager PlusがクライアントOSにインストールされている場合
- C:\ManageEngine\M365 Manager Plusの継承を無効化
(詳細は、本ナレッジ下部の補足をご参照ください。) - フォルダーのACLからAuthenticated Usersを削除
(詳細は、本ナレッジ下部の補足をご参照ください。) - Authenticated Usersから下記フォルダーに対する権限を削除
・<M365 Manager Plus_インストール ディレクトリ>\bin\license
・<M365 Manager Plus_インストール ディレクトリ>\temp
・<M365 Manager Plus_インストール ディレクトリ>\webapps\o365\temp(詳細は、本ナレッジ下部の補足をご参照ください。)
- M365 Manager Plusを起動可能なユーザーにC:\ManageEngine\M365 Manager Plusに対する変更権限を付与
(詳細は、本ナレッジ下部の補足をご参照ください。) - M365 Manager PlusがWindowsサービスとしてインストールされている場合、サービスのプロパティの [ログオン] タブで設定されているアカウントにフォルダーの変更権限が割り当てられていることを確認
b) M365 Manager Plusがserver OSにインストールされている場合
- Authenticated Usersから下記フォルダーに対する権限を削除
・<M365 Manager Plus_インストール ディレクトリ>\bin\license
・<M365 Manager Plus_インストール ディレクトリ>\temp
・<M365 Manager Plus_インストール ディレクトリ>\webapps\o365\temp(詳細は、本ナレッジ下部の補足をご参照ください。)
- M365 Manager Plusを起動可能なユーザーにC:\ManageEngine\M365 Manager Plusに対する変更権限を付与
(詳細は、本ナレッジ下部の補足をご参照ください。) - M365 Manager PlusがWindowsサービスとしてインストールされている場合、サービスのプロパティの [ログオン] タブで設定されているアカウントにフォルダーの変更権限が割り当てられていることを確認
「C:\Program Files」配下の場合
- Authenticated Usersから下記フォルダーに対する権限を削除
・<M365 Manager Plus_インストール ディレクトリ>\bin\license
・<M365 Manager Plus_インストール ディレクトリ>\temp
・<M365 Manager Plus_インストール ディレクトリ>\webapps\o365\temp(詳細は、本ナレッジ下部の補足をご参照ください。)
- M365 Manager Plusを起動可能なユーザーにC:\ManageEngine\M365 Manager Plusに対する変更権限を付与
(詳細は、本ナレッジ下部の補足をご参照ください。) - M365 Manager PlusがWindowsサービスとしてインストールされている場合、サービスのプロパティの [ログオン] タブで設定されているアカウントにフォルダーの変更権限が割り当てられていることを確認
補足
継承を無効化する手順
- フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[詳細設定]をクリック
- [監査]タブ→[継承の無効化]をクリック
- [適用]をクリック
- [OK]をクリック
Authenticated UsersグループをACL(アクセスコントロールリスト)から削除する手順
- フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[編集]をクリック
- Authenticated Usersグループを選択
- [削除]をクリック
- [適用]をクリック
- [OK]をクリック
ユーザーまたはグループに権限を付与する手順
- フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[編集]をクリック
- [追加]をクリック
- 追加したいユーザー名またはグループ名を入力
- [OK]をクリック
- [許可]列にて、該当ユーザーまたはグループに付与する権限にチェック
- [適用]をクリック
- [OK]をクリック