ネット管理者

Active Directory セキュリティグループ

アクティブディレクトリ(広告) は、Windows ドメインネットワーク用に開発された Microsoft 独自のディレクトリサービスです。これは、ほとんどの Windows Server オペレーティングシステムに含まれており、ネットワーク管理者がネットワーク内でドメイン、ユーザー、オブジェクト、特権、およびアクセスを作成および管理できるようにします。

AD レイアウトは、ドメイン、ツリー、フォレストで構成される階層構造に従います。ドメインは、同じ AD データベースを共有するオブジェクト (ユーザーやデバイスなど) のグループです。ツリーはドメインの集合であり、フォレストはツリーの集合です。別々のフォレスト内のオブジェクトは相互に対話することができず、これが構造的なセキュリティ境界として機能します。これは、ドメインが別のフォレスト内にない限り、相互に保護されないことを意味します。

Active Directory グループは、Active Directory オブジェクトのコレクションです。グループは、ユーザー、コンピュータ、およびその他の AD オブジェクトと、管理可能な単位に収集されたグループで構成されます。個々のオブジェクト (ユーザーやコンピュータなど) とは対照的に、グループで作業すると、ネットワークの管理とメンテナンスが簡素化されます。 Active Directory グループには、Active Directory 配布グループと Active Directory セキュリティグループの 2 つのカテゴリがあります。

サイバー犯罪者が狙うのは一般的にアクティブディレクトリネットワークを介して組織のリソースやデータにアクセスできるようになります。このため、AD のセキュリティに注意を払うことが重要です。この記事では、AD セキュリティグループ、権限、ベストプラクティス、および AD セキュリティグループを管理するためのツールについて説明します。これが、Windows AD ネットワークを保護する方法についてのより良い洞察を得るのに役立つことを願っています。

AD セキュリティグループと権限

Active Directory グループ管理は、ネットワーク上のユーザーとデバイスを AD グループにバンドルすることで分類および管理します。

AD セキュリティグループを使用すると、ネットワーク管理者は、個々のユーザーに一度に 1 人ずつ手動でアクセス許可を割り当てるのではなく、アクセス許可、ポリシー設定、およびユーザーまたはデバイスのコレクション間での共有リソースへのグループアクセスを一度に管理できます。たとえば、人事部門のスタッフに特定のネットワークフォルダーへのアクセスを許可したい場合は、その部門のスタッフで構成されるセキュリティグループを作成する必要があります。

これにより、複数のユーザーに権限を一度に割り当てることができるため、ネットワーク管理が簡素化されます。必要に応じて、ユーザーをグループに追加またはグループから削除できます。グループメンバーシップの変更は、どこでも自動的に有効になります。 AD セキュリティグループを使用すると、ネットワーク管理者は次のことが可能になります。

ユーザー権限の割り当て: ユーザー権限をセキュリティグループに割り当てることができます。これは、グループ内のユーザーがドメインまたはフォレスト内でできること、できないことを制御するのに役立ちます。一部のセキュリティグループでは、管理目的でユーザー権限が自動的に割り当てられ、グループのメンバーがその権限を継承できます。自動的に割り当てられたユーザー権限に特別な注意を払い、それらの権限が必要な境界内にあることを確認することが重要です。

リソースに権限を割り当てます。ユーザー権限はユーザー権限とは異なります。権限はユーザーが持つ機能を定義するのに対し、権限はリソースへのアクセスに関係します。一部のセキュリティグループはデフォルトで作成され、Active Directory ドメインの作成時にアクセス許可が自動的に割り当てられます。繰り返しますが、これらのタイプのグループの管理には、自動セキュリティ権限があるため、特に注意する必要があります。

リソース (ネットワークフォルダー、プリンターなど) にアクセス許可を割り当てる場合は、それらのアクセス許可を個々のユーザーではなくセキュリティグループに割り当てることがベストプラクティスです。セキュリティグループのメンバーは、Active Directory 内のそのグループに割り当てられた権限とアクセス許可を継承します。

Active Directory グループ (セキュリティグループを含む) は、その範囲によって特徴付けられます。グループのスコープは、ドメインツリーまたはフォレスト内でグループが適用される範囲を決定し、グループにアクセス許可を付与できる場所を定義します。次の 3 つのグループスコープが Active Directory によって定義されます。

ドメインローカル: ドメインローカルは、さまざまなドメインリソース (ファイルやファイルなど) へのアクセス許可を管理します。フォルダ NTFS アクセス許可、リモートデスクトップアクセスなど) が作成されたドメイン内。ドメイン内のどこにでも適用できます。ドメインローカルグループには、信頼できるドメインのメンバーまたは他の種類のメンバーを含めることができます。
グローバル: グローバルグループスコープは、別のドメイン内のリソースへのアクセスを提供するために使用されます。グローバルグループは通常、役割ベースのグループとして使用されます。これは、ドメインオブジェクト (ユーザーやコンピュータなど) がビジネスロールに基づいて定義されることを意味します。
ユニバーサル: 名前が示すとおり、ユニバーサルグループスコープを使用すると、ロールを定義し、フォレスト内の複数のドメインに分散されているリソースへのアクセスを管理できます。

AD セキュリティグループのベストプラクティス

Active Directory セキュリティグループには、管理者、ドメイン管理者、サーバーオペレーター、アカウントオペレーター、ユーザー、ゲストなどが含まれます。ベストプラクティスの考え方に基づいてこれらのセキュリティグループを管理する方法をよく理解することが、システムを安全に保つ鍵となります。 AD セキュリティグループの主要なベストプラクティスは次のとおりです。

デフォルトのセキュリティグループに過剰な権限が与えられていないことを確認します: 定期的に監査権限これらのグループの一部には広範な権限があるため、Active Directory ドメインを設定するときにデフォルトのセキュリティグループによって自動的に割り当てられます。ユーザーが日常業務を実行するために必要なアクセス権のみを持ち、それ以上のアクセス権を持たないようにします。より高いアクセス権が必要な場合は、必要に応じて一時的に提供する必要があります。
ソフトウェアを定期的に更新する: Windows ソフトウェアおよびその他のサードパーティアプリケーションが定期的に更新されていることを確認します。攻撃者は、既知の脆弱性を悪用または利用してシステムを侵害することがよくあります。定期的にパッチを適用すると、このリスクを最小限に抑えることができます。
適切なパスワードポリシー: 実装するパスワードポリシーこれにより、複雑なルールに焦点を当てるのではなく、簡単に覚えられるパスフレーズを使用することがユーザーに奨励されます。複雑なルールによりパスワードは覚えにくくなり、ほとんどのユーザーは結局パスワードを書き留めることになり、そもそもの目的が果たせなくなります。ログイン試行が数回失敗した場合にユーザーをロックアウトするルールを設定することもお勧めします。サポートされている Windows の使用を採用 2FA/MFA 追加の保護のための Windows Hello や FIDO など。
ゼロトラストのポリシーを維持します。ゼロトラストこれは、デフォルトではネットワーク内外から誰も信頼されず、ネットワーク上のリソースにアクセスしようとするすべてのユーザーに対して検証が必要であることを意味します。内部関係者による脅威は、発信元を追跡することが非常に難しいため、どの組織も過小評価すべきではないリスクです。ネットワークリソースへの最小特権アクセスの原則を遵守し、ユーザーが過剰な権限を持たないようにします。
AD セキュリティグループへの変更を監査する: 監査は、異常なユーザーの動作やシステムイベントを検出するのに役立ちます。 AD 関連のセキュリティの脆弱性と脅威は、セキュリティグループ内で発生する変更の可視性を向上させることで防止できる可能性があります。 AD セキュリティグループに対して適切な監査戦略を立てることは、セキュリティの脅威を防ぐ確実な方法です。特権グループへの変更はリアルタイムでアラートを発して、変更を調査し、過剰な権限が作成された場合に元に戻せるようにする必要があります。

AD セキュリティグループを管理するための最適なツールのリストは次のとおりです。

SolarWinds Permissions Analyzer 編集者の選択このシステムは、各レコードをステータスのリストとともに表示することにより、各デバイスに対して持っている権限構造を識別するのに役立ちます。 Windowsサーバー上で動作します。無料で入手してください。
SolarWinds アクセス権マネージャー (ARM)(無料トライアル)このパッケージはすべての AD ドメインのフロントエンドとして動作するため、多くの AD ベースのアプリケーション間ですべてのグループ、アカウント、オブジェクトのアクセス許可を調整できます。 Windowsサーバー上で動作します。
ManageEngine ADManager Plus (無料トライアル)複数の AD ドメインの管理を一元化し、レポート機能も備えたこのツールによるインスタンスの改ざんを防止します。 Windows Server、AWS、Azure 上で動作します。
ManageEngine ADAudit Plus (無料トライアル)このパッケージを使用すると、ユーザーアクティビティの追跡、AD 改ざんの防止、標準準拠の強化によってシステムセキュリティを強化できます。 Windowsサーバーで利用可能
Active Directory 用 Quest Recovery Manager偶発的または悪意のある変更を迅速に元に戻すことができる Active Directory のバックアップサービス。 Windows および Windows Server 上で動作します。

AD セキュリティグループの管理に最適なツール

AD セキュリティグループ管理ツールを選択するための方法論

AD セキュリティグループを管理するツールの市場を調査し、次の基準に基づいてオプションを分析しました。

グループとメンバーの表示
検索機能
継承の表示
各グループのデバイス権限への相互参照
複数のドメインを表示する機能
義務のない評価機会または無料ツールの無料トライアル
コストパフォーマンスの高い有料ツール、またはインストールする価値のある無料ツール

これらの選択基準を念頭に置いて、シンプルな無料ツールと、より広範な AD 管理機能を備えたより複雑な有料システムを含む、さまざまな AD セキュリティグループ管理システムを探しました。

1. SolarWinds 権限アナライザー (無料ツール)

Microsoft Active Directory プログラムに共通する課題の 1 つは、権限管理が不十分であることです。ここで、SolarWinds Permissions Analyzer が際立っています。SolarWinds 権限アナライザーこれにより、ネットワーク管理者は、マルチドメイン Active Directory フォレストでも、ユーザーおよびグループのアクセス許可をより適切に把握したり、Active Directory オブジェクトに割り当てられたアクセス許可を確認したり、グループまたはユーザーごとにアクセス許可を参照したり、グループメンバーシップやアクセス許可に基づいてユーザーのアクセス許可を分析したりすることができます。

図 1.0 SolarWinds Permissions Analyzer インターフェイスを示すスクリーンショット

主な特徴:

権限継承マッピング
許可ブラウザ
グループメンバーシップアナライザー
マルチドメイン
無料で使用できます

従業員が会社の主要リソースに対する過剰な権利を取得し、突然内部から悪意のある活動を実行し始めるという内部関係者による脅威のシナリオを想像してください。この従業員があらゆる種類の主要な会社グループ、共有ネットワークフォルダー、およびファイルにアクセスできることがわかります。しかし、何がどれくらいなのかは誰も完全にはわかりません。これは組織にとって重大なセキュリティ問題となる可能性があるため、何が起こっているのかを早急に解明する必要があります。これを調査する 1 つの方法は、スキルと経験がある場合は PowerShell を使用することですが、現実には、誰もがそうするわけではありません。そこで、SolarWinds Permissions Analyzer が活躍します。このツールを使用すると、ネットワーク管理者は、チームのどのメンバーが機密データへのアクセス権限を持っているかを簡単に特定できます。

長所:

AD 権限構造についての洞察を得る強力な方法を提供します
個々のユーザーおよびグループ全体で継承された権限を視覚的に確認できる優れた方法を提供します
継続的なアカウントと権限の監視をサポート
監査、内部脅威の検出、ATO 攻撃の防止に最適
完全に無料です

短所:

大規模な AD 環境に適しています

何よりも、SolarWinds Permissions Analyzer は無料でダウンロードできます。

編集者の選択

SolarWinds 権限アナライザーAD セキュリティグループを管理するツールとしては、AD データが明確でわかりやすい形式で表示されるため、これが最もおすすめです。一見シンプルなインターフェイスは、権限がどのように配置されているかを明確に確認できるため、実際には非常に強力です。ドメインをクエリして特定のグループに焦点を当て、すべてのメンバーアカウントを表示できます。このツールを使用してドメインを越えてアカウントとグループの調整を確認し、すべてのオブジェクトが同期されていることを確認します。

ダウンロード：このツールを無料でダウンロード

オフィシャルサイト：https://www.solarwinds.com/free-tools/permissions-analyzer-for-active-directory/registration

あなた：Windowsサーバー

2. SolarWinds アクセス権マネージャー (ARM) (無料トライアル)

ソーラーウィンズARMは、IT 管理者とセキュリティ管理者がドメイン全体のシステムとデータに対するユーザーのアクセス権と許可を管理および規制できるように設計されており、これは組織をサイバーリスクから保護するための重要なステップです。その監査機能と権限管理機能により、ユーザー認証、アクセス権限、およびグループポリシーを簡単に分析し、誰が何に、いつ、どのようにアクセスしたかをより適切に視覚化できます。

図 2.0 SolarWinds ARM ダッシュボードを示すスクリーンショット

主な特徴:

ユーザープロビジョニング
権限の分析
役割とプロセスの最適化
セキュリティ監視

ユーザープロビジョニングモジュールに移動して、ユーザーアカウントとグループを作成および管理します。これにより、同じ設定を持つ新しいアカウントを複数のドメインに適用できます。

SolarWinds ARM の権限分析機能は、管理者がどのユーザーがどのデータにアクセスできるかを定義するのに役立ちます。このモジュールの機能を使用すると、権限設定を表示し、アクセスパスを追跡し、ネストされたグループ権限を理解することができます。

ロールオプティマイザーを使用して、ビジネスユニットや部門全体でデータ所有者を決定するプロセスを自動化します。データ所有者は、ユーザーのアクセス権と権限を決定および定義する上で重要な役割を果たします。

セキュリティ監視により、ネットワーク管理者は Active Directory、ファイルサーバー、その他のシステムやツール全体からのログを活用して、主要なアクティビティを追跡するレポートやアラートを生成できます。

カスタムレポート生成機能を使用すると、管理用の単純なレポートから監査人に適したより技術的で詳細なレポートまで、さまざまな AD レポートを迅速に作成できます。

長所:

自動マッピングと視覚化により、権限とファイル構造を明確に把握できます。
事前構成されたレポートにより、コンプライアンスを簡単に実証できます
スキャン後にコンプライアンス問題の概要が説明され、修復アクションと関連付けられます。
システム管理者は、Windows やその他のアプリケーションのアクセス権と制御をカスタマイズできます

短所:

SolarWinds Access Rights Manager は、システム管理者向けに設計された詳細なプラットフォームであり、完全に習得するには時間がかかる場合があります。

SolarWinds Access Rights Manager 30 日間の無料トライアルをダウンロード

3. ManageEngine ADManager Plus (無料トライアル)

ADManager Plusは、Windows Active Directory の一元管理と管理を提供する、Web ベースの AD 管理およびレポートツールです。 IT 管理者は、使いやすい GUI を介して 1 か所から AD オブジェクトとグループを管理できます。ネットワーク管理者は、ADManager Plus を使用して次の機能を実行できます。

ユーザー、コンピューター、グループ (非アクティブなユーザー、無効なユーザー、入れ子になったグループ内のユーザー、配布グループ、セキュリティグループ、非アクティブなコンピューターなど) に関する詳細なレポートを生成および表示します。
Exchange メールボックスやターミナルサービスのプロパティなど、既存のユーザーアカウントのプロパティを変更します。
CSV ファイルからプロパティを柔軟にインポートできるので、Active Directory にユーザーアカウントを一括作成できます。
セキュリティプリンシパルへのアクセス許可を付与または取り消すためのセキュリティロールを作成および委任します。

図 3.0 ADManager Plus ダッシュボードを示すスクリーンショット

ManageEngine ADManager Plus を使用すると、レポート生成プロセスを自動化できます。これにより、Active Directory プログラムを手動で操作するために費やされる時間が短縮され、Active Directory がさらに便利になります。

主な特徴:

オブジェクトの一括作成と管理
パスワード管理
非アクティブなアカウントの検出

ADManager Plus システムは、複数のドメインに中央管理コンソールを提供します。パッケージ内のツールを使用すると、ユーザーアカウントを一括で作成、変更、差分処理でき、また、ユーザーアカウントをまとめてグループに割り当てることもできます。このアクションは、CSV ファイルからレコードをロードすることで実装できます。

管理者は、ユーザーへのリクエストをトリガーすることで、アカウントを検索し、そのパスワードを直接保存できます。ユーザーアカウントまたはグループにその他の変更を手動で個別に行うこともできます。インターフェイスには非アクティブなアカウント識別子が含まれており、ロックされたアカウントを特定でき、オンデマンドでロックを解除できます。アカウントはグループ間で移動することもできます。

このツールは、iOS および Android を実行しているモバイルデバイスの管理に使用でき、Exchange Server、Microsoft 365、Google Workspaces、Skype for Business のアカウントも管理します。このシステムは、デバイスとリソースの権限を管理し、グループに権限を割り当てるのに役立ちます。

長所:

Active Directory全体での権限の一括変更をサポート
詳細なレポート。すべての主要な規格 (PCI、HIPAA など) のコンプライアンスレポートを生成できます。
複数のドメインをサポート – 大規模なマルチサイト組織に最適
NOC またはヘルプデスクチームの委任をサポート
共有権限とセキュリティグループの詳細を視覚的に表示できます。

短所:

複数のドメインをサポートする大規模な組織、MSP、およびサーバーに適しています。

ManageEngine ADManager Plus は、30日間の無料トライアル。管理するドメインの数に基づいて、年間サブスクリプションでライセンスが付与されます。 Active Directory管理をより便利にしたい方、高品質なレポート機能を活用したい方におすすめの製品です。

ManageEngine ADManager Plus 30 日間の無料トライアルを開始する

4.ManageEngine ADAudit Plus (無料トライアル)

ADAudit PlusManageEngine は、ネットワーク管理者がアクティブディレクトリ、ログインおよびログオフのレコード、ファイル、および Windows サーバーデータを監査し、リアルタイムのユーザーアクティビティレポートを生成できる AD 監査ツールです。主な AD 監査機能には次のようなものがあります。

Active Directoryの監査
Windows ファイルサーバーの監査
NASデバイスファイルの監査
Windowsサーバーの監査
ワークステーションの監査
Azure ADの監査

図 4.0 ADAudit Plus ダッシュボードを示すスクリーンショット

主な特徴:

データ保護
インサイダー脅威の検出
コンプライアンス監査証跡

このツールを使用すると、Windows サーバーとファイルサーバー上で、どの従業員がいつ何をしたか、誰がそれを行ったかを追跡できます。ドメインコントローラーおよびファイルサーバーに関するレポートを取得し、そのレポートを CSV、PDF、XLSX、および HTML 形式にエクスポートできます。ネットワーク管理者は、正当なユーザーによるアクセス権限の乱用をブロックまたは防止できるようになります。このソリューションの主な利点の 1 つは、業界固有の規制遵守に対する固有のサポートです。これには、SOX、HIPAA、GLBA、PCI-DSS、FISMA 標準に準拠した、事前設定された標準準拠レポートがバンドルされています。したがって、コンプライアンスを証明するためにシステムをカスタマイズしたり、独自のレポートを設定したりする必要はありません。

長所:

コンプライアンス要件に重点を置いているため、業界のコンプライアンスを維持するための優れたオプションとなっています
事前設定されたコンプライアンスレポートにより、数回クリックするだけで現状を確認できます
AD、Azure、Windows ファイルシステムを含む複数の環境をサポート
堅牢な自動化およびスクリプトツールをサポート
優れたユーザーインターフェイス – 非常に有益なダッシュボードとビジュアル

短所:

小規模なネットワークには最適なオプションではありません

ADAudit Plus には、Free、Standard、Professional の 3 つのエディションがあります。あ30日間の無料トライアルとオンラインデモProfessional Edition のすべての機能が含まれており、すべて利用できます。全体として、ADAudit Plus の優れたダッシュボードと分析により、AD 環境に対する洞察と可視性を得る強力なツールになります。

ManageEngine ADAudit Plus 30 日間の無料トライアルを開始する

5. Active Directory 用 Quest Recovery Manager

人的エラー、ハードウェア、ソフトウェアのクラッシュは必ず発生します。 AD オブジェクトは多くの場合、誤って変更されたり、削除されたりする可能性があります。また、スクリプトに欠陥があると属性が上書きされる可能性があります。これにより、Active Directory またはグループポリシーデータが破損し、計画外のシステムダウンタイムが発生する可能性があります。

図 5.0 Quest Recovery Manager for Active Directory インターフェイスを示すスクリーンショット

Active Directory のリカバリ ネットワーク管理者が AD 環境への変更をオブジェクトおよび属性レベルで正確に特定し、ディレクトリ (オンプレミス AD と Azure AD の両方) のセクション全体、選択したオブジェクト、または個々の属性を迅速に回復できるサードパーティの AD ツールです。 AD コントローラーをオフラインにすることなく。実際には、Active Directory でオブジェクトが失われた場合、それを回復するにはドメインコントローラーを再起動する必要があります。 Recovery Manager for Active Directory を使用すると、オフラインにせずにオブジェクトを回復できるため、この不便さが解消されます。

主な特徴:

ライブ復元
オブジェクトレベルのリカバリ
スケジュールされたバックアップ

システムは、自動バックグラウンドバックアップによって回復の準備が整っています。 AD インスタンスをバックアップまたはリカバリするためにオフラインにする必要はありません。組織単位、サイト、グループ、ユーザー、コンピューターなど、あらゆる種類のオブジェクトを復元できます。グループポリシーオブジェクト (GPO)、オブジェクト属性、システム構成など、あらゆる種類のデータを復元できます。

長所:

限られたリソースや古い AD 環境でも実行できる軽量ツール
スケジュールされたバックアップとドメインコントローラーの一元管理をサポートします。
ユーザー、OU、サブネット、サイトごとに並べ替えとフィルタリングが可能 – 大規模な環境に最適

短所:

競合ツールに比べてユーザーインターフェースが時代遅れに感じる

Recovery Manager for Active Directory の主な問題は、価格が比較的高いことです。したがって、複数の場所で複数の AD ドメインコントローラーを実行している組織に最適です。あ 30日間の無料トライアル利用可能です。