Windows OSではAdministratorの管理者アカウントがデフォルトで作成される仕様となっているが、セキュリティ観点から考えると、誰もが名前を知っているアカウントが管理者権限を持っているということは非常に脆弱であり、アカウントの乗っ取り等が発生した際の影響が大きくなる。
そこでよくあるセキュリティ対策の方法としては、大きく2つある。
- 管理者アカウントの名前を変える
- 無効にして別の管理者アカウントを作る
セキュリティ対策として有効かつシステム影響が少ないのは、後者の管理者アカウントを無効にする方法となる。なぜ後者が有効であるかは、Microsoft社の「
管理者アカウント セキュリティ計画ガイド」の記載がわかりやすいので引用しておく。
既定の Administrator アカウントの名前を変更しても、ある種の攻撃しか防ぐことはできません。 攻撃者の側から、どのアカウントが既定の Administrator アカウントかを特定することは比較的簡単です。というのも、このアカウントのセキュリティ ID は常に同じものになるからです。 また、グループのメンバを列挙するツールが一般に出回っており、このツールを使用すると、元の Administrator アカウントが常に先頭に表示されます。 ビルトイン Administrator アカウントへの攻撃に対する最善の防御策は、新しい管理者アカウントを作成し、ビルトイン アカウントは無効にすることです。
ビルトインAdministratorはActive Directoryのメンバーサーバであっても引き続き利用できてしまう。そこで今回は、Active Directoryのメンバーサーバに対して、ビルトインAdministratorをグループポリシーで一括で無効化する方法を記載する。
グループポリシーでビルトインAdministratorを無効化する
「グループポリシー管理エディター」を使って以下の通り対応する。今回は「Default Domain Policy」に対して設定し、所属する全メンバーサーバのビルトインAdministratorを無効化する。
1. グループポリシー管理エディターで設定項目を選択
「コンピューターの構成」→「基本設定」→「コントロールパネルの設定」→「ローカルユーザーとグループ」を選択する。
2. ポリシーを新規作成
右クリックし、「新規作成」→「ユーザー」を選択する。
ダイアログボックスが表示されるので以下を選択する。
- ユーザー名 : Administrator (ビルトイン)
- アカウントを無効にする : チェック
3. グループポリシーを適用
グループポリシーを適用するため、任意のメンバーサーバにてコマンドプロンプトを開き、
gpupdate.exeを実行する。
4. 適用後の確認
メンバーサーバにて、「コンピュータの管理」→「ローカルユーザーとグループ」→「ユーザー」を確認すると、ビルトインAdministratorが無効化されたことが確認できる(名前のアイコンに下矢印が表示されている)。
<グループポリシー適用前>
<グループポリシー適用後>
