ADManager Plusインストールのセキュリティ強化

このページには、ADManager Plusインスタンスのセキュリティを改善するために必要な手順が記載されています。

問題:

ユーザーが認証されたユーザーグループに属している場合、悪意のあるユーザーがADManager Plusのbinフォルダーを改ざんする可能性があります。

Description: デフォルトでは、ADManager PlusはC:\ManageEngineフォルダーにインストールされます。これにより、認証されたユーザーグループに属する管理者以外のユーザーにも、binディレクトリ内のファイルに対するフルコントロールアクセス許可が付与されます。そのため、すべてのドメインユーザーがフォルダーにアクセスし、製品を起動または停止できます。

ACLから認証済みユーザーを削除しても解決しません。管理者以外のユーザーは、特権が不足しているため、サービスまたはアプリケーションとしてADManager Plusを起動できません。

ソリューション:

この問題に取り組むには2つの方法があります。アクセス許可設定を手動で変更するか、SecureDeployment.exeファイルを使用して、設定を自動的に変更できます。

  1. SecureDeployment.exeを使用
  2. 許可を手動で変更
  1. ADManager PlusがC:\ManageEngineフォルダーにインストールされている場合
  2. ADManager PlusがC:\Program FIles folderフォルダーにインストールされている場合

1.SecureDeployment.exeを使用

binディレクトリ内の「SecureDeployment.exe

ファイルは自動的に以下を実行します:

  • 「認証済みユーザー」グループのユーザーがADManager Plusインストールフォルダーにアクセスできないようにします。
  • 指定されたアカウントに「完全な許可」を割り当てます。
  • ADManager Plusがサービスとしてアクセスされる場合、「ログオン」アカウント資格情報を設定します。

SecureDeployment.exeファイルにより、展開環境が保護されます。

2.許可を手動で変更

ADManager PlusがC:\ManageEngineフォルダーにインストールされている場合に実行するステップ:

i. ADManager PlusがクライアントOSにインストールされている場合

ii.ADManager PlusがサーバーOSにインストールされている場合

デフォルトでは、クライアントOS C:ディレクトリには、サブフォルダーの変更権限を持つ認証済みユーザーがいます。ただし、サーバーOSのC:ディレクトリには、ACLに認証済みユーザーがありません。

i) ADManager PlusがクライアントOSにインストールされている場合

クライアントOSでADManager Plusを起動または停止する権限が少ないユーザーを許可するには、次の手順に従います:

  1. C:\ManageEngine\ADManager Plusフォルダーの継承を無効にします。
  2. ACLから「認証済みユーザー」を削除します。
  3. 製品のインストールフォルダーからこれらのフォルダーの「認証済みユーザー」の許可を削除します:bin\licenses、lib\licenses、temp、webapps\adsm\temp
  4. 製品の起動を担当するユーザーのC:\ManageEngine\ADManager Plusフォルダーに「変更」権限を割り当てます。製品が「ログオン」アカウントでサービスとしてインストールされている場合、このアカウントに「変更」権限があることを確認してください。

ii) ADManager PlusがサーバーOSにインストールされている場合

  1. 製品のインストールフォルダーからこれらのフォルダーの「認証済みユーザー」の許可を削除します:bin\licenses、lib\licenses、temp、webapps\adsm\temp
  2. 製品の起動を担当するユーザーのC:\ManageEngine\ADManager Plusフォルダーに「変更」権限を割り当てます。製品が「ログオン」アカウントでサービスとしてインストールされている場合、このアカウントに「変更」権限があることを確認してください。
注記:上記の両方のケースで説明されている手順は、C:\ManageEngine以外の任意の場所で有効です。

b. ADManager PlusがC:\Program Filesフォルダーにインストールされている場合に実行するステップ:

  1. 製品のインストールフォルダーからこれらのフォルダーの「認証済みユーザー」の許可を削除します:bin\licenses、lib\licenses、temp、webapps\adsm\temp
  2. 製品の起動を担当するユーザーのC:\Program Files\ADManager Plusフォルダーに「変更」権限を割り当てます。製品が「ログオン」アカウントでサービスとしてインストールされている場合、このアカウントに「変更」権限があることを確認してください。

注記:

- Microsoftは、すべてのソフトウェアをProgram Filesディレクトリにインストールすることをお勧めします。特定のニーズや組織のポリシーに基づいて、別の場所を選択できます。

- このガイドに記載されている手順は、デフォルトのインストール場所として「C:\ManageEngine」を持つすべてのManageEngine製品に適用されます。