EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

識別、認証、認可。3つのフェーズを考慮してアクセス制御を改善しよう!

edited by Security Online   2016/05/19 07:00

3つのフェーズを考慮し改善しよう:1. 識別フェーズでの改善

OSデフォルト値を変更すること

 マルウェアの中には、Administratorというアカウントを前提に攻撃を仕掛けるものがあります。つまりAdministratorというアカウントは、OSのデフォルト値としてあらかじめ定義されている場合が多くそれを狙ってくるのです。

 Administratorというアカウント名が変更されているとマルウェアが正しく動かないものもあります。もちろんこれで万全というわけではありませんが、攻撃の成功を許す可能性を少しでも低くすることが目的です。

 ただ、数千台、場合により数万台という多数のPCのローカルAdministratorのアカウントをいちいち変更するのは大変ではと思われるかもしれません。

 しかし、グループポリシーを用いて一括で名前変更することが可能です。

 設定箇所は、コンピューターの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→セキュリティオプションの配下に「アカウント:Administratorアカウント名の変更」です。

 ここでは以下のように、「RenamedAdmin」と設定してみます。

 その結果、ドメイン参加しているクライアントPCのAdministratorというアカウント名がRenamedAdminになっていることがわかります。

 なお、この機能をドメイン全体に適用すると、意図しない結果に結び付く可能性があります。

 現実的な運用として、クライアントPC専用のOUなどを定義し、Administratorというアカウント名を変更しても問題ない端末から適用していくなど、段階的な展開などの工夫が必要になります。


著者プロフィール

  • 香山 哲司(カヤマ サトシ)

    ジーブレイン株式会社 コンサルティング事業部 シニアコンサルタント 2001年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社、エンタープライズサービス部門に所属。主にインフラ領域のITコンサルティングに従事。電力・ガス会社、また政令指定都市向けの大規模環境における認証基盤やスマートカード導入の支援を中心的な役割で担当。2007年CISSPを取得後、異なる企業・組織、異なる分野の専門家をまじえた情報交換の場で積極的に情報発信を続けている。特に、西日本地区でのコミュニティ活動を対象として、2010年7月(ISC)2より第4回アジア・パシフィック Information Security Leadership Achievements アワードを受賞。2013年春の情報セキュリティEXPOでは、専門セミナーにてスピーカーを担当した。2012年より公認情報セキュリティ監査人資格(CAIS)を取得。2019年からは、独立行政法人情報処理推進機構(IPA)が運営している国家資格の情報処理安全確保支援士の集合講習認定講師としても活動。 2019年6月から現職。

バックナンバー

連載:間違いだらけのクライアント・セキュリティ対策

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5