サイバー攻撃に狙われやすい、Active Directoryを守る方法
特権アクセス管理 (PAM) は、ネットワークのセキュリティ維持に役立ちます。Active Directory(AD)環境における大半のセキュリティ上の脅威は、承認されていないアクセスに起因します。PAMを活用することで、信頼性のあるユーザーだけが特定のファイル、フォルダ、グループにアクセスすることのできる安全な環境を作り上げます。
これらの特権ユーザーは、ネットワークにおける重要なリソースに対する上位のアクセス権限を持ち、与えられている権限に基づいて管理操作を実行できます。また、必要に応じていつでも許可を取り下げ可能です。
「特権」に値するアカウントはツールでセキュアな管理を!
ManageEngineが提供するADManager Plusは、Active Directoryのグループの管理や監視をセキュアに行います。ウェブベースのソリューションであり、AD、Exchange、Skype for Business、G Suite、Microsoft 365 (旧称 Office 365) の管理ニーズをすべて満たします。ユーザーのプロビジョニング、 使用されていないアカウントのクリーンアップ、 ,NTFSと共有許可の管理などのルーチンタスクを単純化します。ADManager Plusは、非アクティブまたはロックアウトされたADユーザーアカウント、Microsoft 365 ライセンス、ユーザーの最終ログオン日時を含む 150種類以上の設定済みのレポートも提供します。レポートから即座に管理操作を実行できます。 カスタムワークフロー 構造を作成し、チケットの生成や、コンプライアンスの順守、およびユーザープロビジョニングやデプロビジョニングのような ADのルーチンタスクの自動化 などをサポートします。
ADManager Plusを利用したPAM
ADManager Plusは、様々なレポートと機能により、PAMに役立ちます。
グループの管理と監視
ADグループの管理を、ADManager Plusで効率化が可能です。実行可能事項は以下の通りです:
- 複数のグループを同時に作成、修正、移動、削除
- ワンクリックでユーザーグループに特別な権限を付与
- ADManager Plusの ワークフロー 機能を使用し、リクエストに応じてグループにユーザーを追加
- 一定期間経過後に、グループからメンバーを自動で削除
セキュリティおよび配布グループを含む グループの様々な側面に関するレポート。これらのレポートは、グループの範囲、グループにおけるメンバーの有無、入れ子式メンバーなどに関する詳細を提供します。継承によりグループへのアクセス権限を得た非正規のユーザーを特定し、レポートからメンバーシップを撤回できます。
許可の管理とレポート
環境において誰がどのレベルでリソースにアクセスできるかを把握します。ADManager Plusを使用して、NTFSと共有の許可を一括割り当て/修正 。必要に応じてユーザーアカウントのアクセス権限を強化したり、撤回できます。
ADManager Plusでは、次のようなレポートによりフォルダーへのアクセス許可を監視できます:
- AD環境における共有とフォルダーに対するユーザーとグループのアクセス許可
- 特定のサーバーにおける共有と許可
- 継承許可から保護されているフォルダ
委任の許可の監査
ADManager Plusに搭載されたGUIベースのレポートを使用し、ユーザーによって実行された管理操作を監査します。グループ全体に必要な権限を割り当てることで、ヘルプデスクの技術担当者用にアカウントを作成します。またユーザーはADManager Plusのワークフロー構造を使用してグループに技術担当者を追加するリクエストを依頼できます。
どの操作がどのオブジェクトに対して、いつ実行されたかを含めて、これらのヘルプデスク技術担当者によって実行されたすべての操作を把握します。また、操作が実行された時間に基づいて結果をフィルターできます。
割り当てられた許可すべてを表示、ヘルプデスクの技術担当者から許可を撤回することもできます。監査証跡を確立し、ヘルプデスクの技術担当者に変更を実施した管理者を特定し、どの権限が修正されたかを表示します。
業務上重要な情報を含むファイルとグループを保護し、ユーザーのアクセス権限を監視することで、秘匿リソースの偶然または意図的な悪用を防ぎます。信頼できるユーザーのアクセス権限のみを強化し、ADManager Plusによりそれらを定期的にチェックします。