そこでよくあるセキュリティ対策の方法としては、大きく2つある。
- 管理者アカウントの名前を変える
- 無効にして別の管理者アカウントを作る
既定の Administrator アカウントの名前を変更しても、ある種の攻撃しか防ぐことはできません。 攻撃者の側から、どのアカウントが既定の Administrator アカウントかを特定することは比較的簡単です。というのも、このアカウントのセキュリティ ID は常に同じものになるからです。 また、グループのメンバを列挙するツールが一般に出回っており、このツールを使用すると、元の Administrator アカウントが常に先頭に表示されます。 ビルトイン Administrator アカウントへの攻撃に対する最善の防御策は、新しい管理者アカウントを作成し、ビルトイン アカウントは無効にすることです。ビルトインAdministratorはActive Directoryのメンバーサーバであっても引き続き利用できてしまう。そこで今回は、Active Directoryのメンバーサーバに対して、ビルトインAdministratorをグループポリシーで一括で無効化する方法を記載する。
グループポリシーでビルトインAdministratorを無効化する
「グループポリシー管理エディター」を使って以下の通り対応する。今回は「Default Domain Policy」に対して設定し、所属する全メンバーサーバのビルトインAdministratorを無効化する。1. グループポリシー管理エディターで設定項目を選択
「コンピューターの構成」→「基本設定」→「コントロールパネルの設定」→「ローカルユーザーとグループ」を選択する。2. ポリシーを新規作成
右クリックし、「新規作成」→「ユーザー」を選択する。ダイアログボックスが表示されるので以下を選択する。
- ユーザー名 : Administrator (ビルトイン)
- アカウントを無効にする : チェック
3. グループポリシーを適用
グループポリシーを適用するため、任意のメンバーサーバにてコマンドプロンプトを開き、gpupdate.exe
を実行する。4. 適用後の確認
メンバーサーバにて、「コンピュータの管理」→「ローカルユーザーとグループ」→「ユーザー」を確認すると、ビルトインAdministratorが無効化されたことが確認できる(名前のアイコンに下矢印が表示されている)。<グループポリシー適用前>
<グループポリシー適用後>
0 件のコメント:
コメントを投稿