Active Directoryを再確認!

#ID管理

schedule 2017/09/26  refresh 2023/11/09

 

 

Active Directoryとは?

Active Directory(AD:アクティブディレクトリ)は、2000年Windows2000サーバーの新機能として登場し、その後機能拡張が行われています。

 

ディレクトリサービス(LDAP)の1つで、ネットワークに接続されたPCやプリンター等の情報機器、およびそれを利用するユーザーのアカウント(IDとパスワード等)の管理と認証を行います。

 

(画像はPixabayより)

 

情報システムの管理者は、PC端末、プリンターやルーター等のネットワーク接続機器が一括集中管理でき、使用状況を把握することができます。

 

また、リモートでPC端末等の設定を行うことができるので、管理下にあるPC端末へのアプリケーションのインストール、更新プログラムの適用、大量導入した際の各種初期設定等で威力を発揮します。

 

ドメイン内にあるサーバー等のアクセス権とユーザーのアカウントを一括管理しているため、アカウント管理が簡単で、シングルサインオン(SSO)を実現できます。ユーザーにとっては、ADに管理されているPC端末に1回アカウント情報を入力し認証されると、ドメイン内のすべてのサーバー等にアクセスできるため、大変便利です。

 

また、OSやアプリケーションの脆弱性を解消するセキュリティパッチの適用等は、管理者側が自動実行してくれるので、ユーザーが実施する必要がありません。ADは社内のIT資産やユーザーを一括管理できるサービスであるため、社内ポリシーに基づいた統一的な管理やセキュリティ対策を行うことができ、管理コストの削減も可能です。

 

では改めて、ADの機能を確認しましょう。

 

 

ADが提供するサービス

ADは、Windows Serverに標準搭載されていますので、別途購入する必要はありません。

ADが提供するサービスの概略を、以下に説明します。

 

 

1.ADドメインサービス(ADDS)

ADDSは、「ドメイン」というユーザーとPC等の管理単位で、ディレクトリサービスにより、それらを「ドメインコントローラー」サーバーで、一元管理することができます。

管理者は、ADDSにより、ユーザー、PCその他デバイスのネットワーク機器を、階層的に管理できます。例えば、人事情報と連携し、氏名だけでなく、組織や所属部署、役職などを階層的にまとめますので、アクセス権限の設定などに便利です。

 

2.AD証明書サービス(ADCS)

ADCSは、ユーザーやネットワーク機器などに対し、公開鍵暗号(PKI)を用いた、デジタル証明書、デジタル署名のWindows認証局としてセキュリティ機能を提供します。

ドメイン内の認証には、Kerberos認証プロトコルが使われます。他に、NTLM認証プロトコルが使われる場合もあります。

また、グループ・ポリシーを使用した証明書の配布と管理も提供します。

 

 

3.ADフェデレーションサービス(ADFS)

ADFSは、社内の単一ドメインだけでなく、組織間のWebシングルサインオン(SSO)の機能を提供します。

ADDSは、組織内のWindows認証によりSSO機能を実現していますが、ADFSでは、この機能がインターネット対応アプリケーションにまで拡張され、外部の顧客、パートナーなどがWebのSSO機能を利用することができます。

さらに、フェデレーションサーバーを複数の組織に展開すれば、異なる組織間においてもSSO機能が使えます。

 

 

4.ADライツマネジメントサービス(ADRMS)

ADRMSは、Information Rights Management(IRM)ポリシーに基づき、特定のファイルに対する暗号化とアクセス制御機能を提供します。

管理者やユーザーは、ドキュメントなどのファイルにアクセス許可を指定できるため、不正ユーザーによる機密情報の印刷、転送、コピーを防止できます。

 

 

5.ADライトウェイトディレクトリサービス(ADLDS)

ADLDSは、ディレクトリ対応アプリケーションに、固有のLDAPディレクトリサービスを提供します。

ADLDSは、ADDSと異なりドメインに依存することなく、ディレクトリ対応アプリケーションのデータを読み書きできます。また、ADDSと共存できます。

 

マイクロソフト社は、ADと同様な機能をクラウド環境でも実現したMicrosoft Azureを提供しています。

 

 

ADのセキュリティ

ADには、様々なセキュリティ対策が施されていますが、ADのドメイン管理者等に対する標的型攻撃への対処が最も重要です。管理者のパスワード等が窃取されると、ADが乗っ取られ、社内システム全体が危険に晒されます。

 

現に、JPCERT/CCでは、AD乗っ取りの事例を多数確認しているとのことです。標的型攻撃には、ADの脆弱性の悪用やPC端末に保存された認証情報の窃取があります。

 

標的型攻撃を防御するには、ADの更新プログラムの適用は欠かせません。また、攻撃を検知するため、Windowsのイベントログを常時監視しチェックします。不審なイベントを発見したら、直ちに対策しましょう。

 

管理者アカウントを使用する端末を限定し、メモリに認証情報を保存しない、などの対策も非常に有効です。