Active Directoryを再確認!
schedule 2017/09/26 refresh 2023/11/09
Active Directoryとは?
Active Directory(AD:アクティブディレクトリ)は、2000年Windows2000サーバーの新機能として登場し、その後機能拡張が行われています。
ディレクトリサービス(LDAP)の1つで、ネットワークに接続されたPCやプリンター等の情報機器、およびそれを利用するユーザーのアカウント(IDとパスワード等)の管理と認証を行います。
(画像はPixabayより)
情報システムの管理者は、PC端末、プリンターやルーター等のネットワーク接続機器が一括集中管理でき、使用状況を把握することができます。
また、リモートでPC端末等の設定を行うことができるので、管理下にあるPC端末へのアプリケーションのインストール、更新プログラムの適用、大量導入した際の各種初期設定等で威力を発揮します。
ドメイン内にあるサーバー等のアクセス権とユーザーのアカウントを一括管理しているため、アカウント管理が簡単で、シングルサインオン(SSO)を実現できます。ユーザーにとっては、ADに管理されているPC端末に1回アカウント情報を入力し認証されると、ドメイン内のすべてのサーバー等にアクセスできるため、大変便利です。
また、OSやアプリケーションの脆弱性を解消するセキュリティパッチの適用等は、管理者側が自動実行してくれるので、ユーザーが実施する必要がありません。ADは社内のIT資産やユーザーを一括管理できるサービスであるため、社内ポリシーに基づいた統一的な管理やセキュリティ対策を行うことができ、管理コストの削減も可能です。
では改めて、ADの機能を確認しましょう。
ADが提供するサービス
ADは、Windows Serverに標準搭載されていますので、別途購入する必要はありません。
ADが提供するサービスの概略を、以下に説明します。
1.ADドメインサービス(ADDS)
ADDSは、「ドメイン」というユーザーとPC等の管理単位で、ディレクトリサービスにより、それらを「ドメインコントローラー」サーバーで、一元管理することができます。
管理者は、ADDSにより、ユーザー、PCその他デバイスのネットワーク機器を、階層的に管理できます。例えば、人事情報と連携し、氏名だけでなく、組織や所属部署、役職などを階層的にまとめますので、アクセス権限の設定などに便利です。
2.AD証明書サービス(ADCS)
ADCSは、ユーザーやネットワーク機器などに対し、公開鍵暗号(PKI)を用いた、デジタル証明書、デジタル署名のWindows認証局としてセキュリティ機能を提供します。
ドメイン内の認証には、Kerberos認証プロトコルが使われます。他に、NTLM認証プロトコルが使われる場合もあります。
また、グループ・ポリシーを使用した証明書の配布と管理も提供します。
3.ADフェデレーションサービス(ADFS)
ADFSは、社内の単一ドメインだけでなく、組織間のWebシングルサインオン(SSO)の機能を提供します。
ADDSは、組織内のWindows認証によりSSO機能を実現していますが、ADFSでは、この機能がインターネット対応アプリケーションにまで拡張され、外部の顧客、パートナーなどがWebのSSO機能を利用することができます。
さらに、フェデレーションサーバーを複数の組織に展開すれば、異なる組織間においてもSSO機能が使えます。
4.ADライツマネジメントサービス(ADRMS)
ADRMSは、Information Rights Management(IRM)ポリシーに基づき、特定のファイルに対する暗号化とアクセス制御機能を提供します。
管理者やユーザーは、ドキュメントなどのファイルにアクセス許可を指定できるため、不正ユーザーによる機密情報の印刷、転送、コピーを防止できます。
5.ADライトウェイトディレクトリサービス(ADLDS)
ADLDSは、ディレクトリ対応アプリケーションに、固有のLDAPディレクトリサービスを提供します。
ADLDSは、ADDSと異なりドメインに依存することなく、ディレクトリ対応アプリケーションのデータを読み書きできます。また、ADDSと共存できます。
マイクロソフト社は、ADと同様な機能をクラウド環境でも実現したMicrosoft Azureを提供しています。
ADのセキュリティ
ADには、様々なセキュリティ対策が施されていますが、ADのドメイン管理者等に対する標的型攻撃への対処が最も重要です。管理者のパスワード等が窃取されると、ADが乗っ取られ、社内システム全体が危険に晒されます。
現に、JPCERT/CCでは、AD乗っ取りの事例を多数確認しているとのことです。標的型攻撃には、ADの脆弱性の悪用やPC端末に保存された認証情報の窃取があります。
標的型攻撃を防御するには、ADの更新プログラムの適用は欠かせません。また、攻撃を検知するため、Windowsのイベントログを常時監視しチェックします。不審なイベントを発見したら、直ちに対策しましょう。
管理者アカウントを使用する端末を限定し、メモリに認証情報を保存しない、などの対策も非常に有効です。