Windowsインフラストラクチャのパスワード管理

ほとんどのIT環境では、Windowsサーバーやシステムがネットワーク環境の重要なコンポーネントとなっています。ローカルアカウントやドメインアカウント、サービスアカウントは、Windowsインフラストラクチャへの重要なアクセス方法となります。したがって、万一、特権を持つアカウントの情報が漏洩した場合、どんな組織にとっても最悪の事態に陥る可能性があります。

  • ローカル管理者アカウント:ドメイン内のすべてのオブジェクトに対して最も広い権限を持つアカウントです。ドメイン管理者アカウントではドメインに対する絶対的なコントロールを行うことができます。ローカルの管理者パスワードが弱い場合、長期間変更されていない場合、また多数のアカウントで同じパスワードが繰り返し使用されている場合、悪意のあるユーザーがワークステーションへの不正なアクセスを行う可能性があります。この場合、ローカルの管理者アカウントへのアクセスを獲得した攻撃者が、ネットワーク上を広く侵入し、ドメイン管理者の特権を奪うことすら可能です。
  • ドメイン管理者アカウント:これらは、ドメイン内のすべてのオブジェクトに対する最も広い権限を持ったアカウントです。これらのアカウントは、すべてのワークステーション、サーバーおよびドメインコントローラーで管理者特権を行使できます。信頼されたわずかな数の管理者のみがドメイン管理者アカウントを使用することが前提となっています。また、このアカウントは、ドメインコントローラーと同等に安全なドメインコントローラー・システムにログオンする場合にのみ使用することが求められています。これは、Windowsシステムがパスハッシュ攻撃に脆弱性を持つためです。Windowsのシングル・サインオン機能では、ユーザがー認証情報を一度入力すれば、再度パスワードを入力する必要なくサインオンすることが可能です。Windowsは、実際には、パスワード・ハッシュの形でシステム内にログイン詳細を保存しています。ドメイン管理者が、過去にドメイン管理者認証情報を使用してログオンした場所に、攻撃者がシステムに不正にアクセスした場合、攻撃者は容易にハッシュを取得し、不正な処理を行うことができます。

    ベストプラクティスとして、ドメイン管理者アカウントを、ドメインコントローラー以外のシステムへのサインオンでは使用しないことが推奨されます。そうする必要がある場合、アクセスパスワードは、一度だけの使用とし、その後にリセットすることが必要です。ドメイン管理者アカウントが信頼されたシステムから適切に使用されている場合でも、定期的に変更することが必要です。

  • サービスアカウント:これらは、アプリケーションソフトウェアサービスあるいはプロセスを実行するためにシステムプログラムが使用する非常に強力なアカウントです。これらのアカウントは多くの場合、必要の範囲を超えた特権を付与されています。サービスアカウントのパスワードは、一般に「変更しない」にセットされています。これは、依存するサービスをすべて検出し、パスワード変更を適用することが困難なためです。しかしながら、静的なサービスアカウントを利用する企業はハッカーにとって格好の的になってしまいます。

    これらの特権アカウントの適切なコントロールや他の標準セキュリティ対策の実行は、脆弱性を軽減し、悪意のある攻撃を阻止することが出来ます。

Windowsインフラストラクチャ内の特権アカウントを容易に発見し管理

Password Manager Proでは、Windowsインフラストラクチャの効果的なパスワード管理手順により、ネットワーク上で様々な特権を持つアカウントを、識別し統合することが可能になります。ローカル管理者アカウントおよびドメイン管理者アカウントを検知し、自動的にインベントリとして登録することが可能です。さらに、ドメインアカウントを使用して実行される様々なWindowsサーバーのコンポーネントを識別し、それぞれのアカウント紐づくサービスやタスクをマッピングすることをサポートします。

定期的なパスワード変更機能でWindowsアカウントの認証情報を保護。

セキュリティのベストプラクティスでは、Windowsインフラストラクチャ上で特権アカウントのパスワードを、定期的にあるいは毎回の使用後(申請/承認フローで一時的に利用した後)に変更することが推奨されます。Windowsリソースのパスワードを頻繁に変更することで、企業の法令遵守も保証されます。

すべてのシステムに対してパスワードリセットを手動で実行するのは負担が大きく、自動システムが大きな役割を果たします。Password Manager Proなら、ローカルとドメイン管理者パスワード(サービスアカウントパスワードを含む)を、スケジュールリセットタスクによって、定期的に変更することができます。セキュリティ強化のため、アカウントのパスワードに アクセス制御ワークフローを適用することもでき ます。これにより、許可された管理者が一度使用した後でも、パスワードが即座に変更されます。

サービスアカウントのパスワードリセットを行う際、Password Manager Proは、アカウントに関連したすべてのサービスを自動的に変更を適用できるため、サービス停止を回避することができます。

パスワード変更したアカウントに関連するWindowsサービスを自動的に再起動

サービスアカウントのパスワード変更された場合、関連するWindowsサービスに変更を適用するため、通常にサービスの再起動が必要にさります。Password Manager Proは、この再起動プロセスの自動化や 実行可能なカスタムスクリプトの実行を自動化することができ、サービスアカウントに関連するすべてのアプリケーションとタスクが正しく更新されるようにします。