[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
(質問)
ドメイン管理のセキュリティについて
Windows Server 2003 SP2を使っています。
私が構築したものではないのですが、
社内にActive Directoryが構築されており、
ドメイン管理されています。
社員は1人1台の端末を渡されており、
全員ドメイン管理されたユーザーでログインするルールになっております。
そこでAさんの端末のOSににBさんのユーザーIDと
パスワードでログインしたところ、
ログインすることができました。
ドメイン管理していると、これは当然のことなのでしょうか?
Aさんの端末には、Bさんに見られたくない情報がありますが、
Bさんは、BさんのユーザーIDとパスワードを使えば、
Aさんの端末のOSにログインできますので、情報を取得することができます。
そこで、社内のセキュリティ対策が不十分ではないかと思いました。
これはActive Directoryの構築方法が悪いのでしょうか?
それとも、ドメイン管理をするということは、
他人の端末にログインできるというのは当然のことなのでしょうか?
そもそもドメイン管理している目的は、
社内のメンバーであれば、お互いの共有フォルダに自由にアクセスし合いたいと
いうものです。
Active Directoryの構築方法に誤りがあるのではないか?
と思っているのですが、
その点についてご存知でしたら、教えて頂けませんか?
ぜひよろしくお願いいたします。
(質問・続)
ご回答ありがとうございます。
結局、他人のPCにログインできてしまうのは、
仕方ないということなのでしょうか?
そう考えると私の会社でのActive Directoryの構築は
失敗であるような気がしてしまいます。
パスワードポリシーの設定やスクリーンセイバー保護のポリシーの設定は
確かに必要だとは思いますが、
重要なPC内の情報に対して、他人がアクセスできてしまうのは、
とても問題に感じております。
部長のPCに新人社員がログインして情報を盗めてしまいます。
この問題にはどのように対策するのが良いのでしょうか?
電源パスワードは外し方があるので、
セキュリティ対策としては完璧ではないと思います。
この場合は、内部犯には対策しきれないのでしょうか?
(Active Directoryの構築によって、セキュリティホールを作り出してしまっているのでしょうか?)
もしよろしければ、アドバイスください。
よろしくお願い致します。
--------------------------------------
(回答)
多分 いろいろと 方向性の問題と思われますが、
Active Directoryを導入することのメリットの一つがデメリット化して見えているという事だと思います。
ADを構築し、ドメイン参加させたコンピュータと ドメインユーザを用いることで、
基本すべてのドメインユーザがすべてのクライアントコンピュータにログオンできるようになります。
これは、
AさんのPCが壊れた時、予備のPCや、BさんのPCを用いて業務を継続できる
ということで、Aさん専用にPCを準備しないとにっちもさっちもいかないという 困難を無くしているのです。
上記を元に言うと、各PCには余り各個人のデータを置くべきでなく、逆にないからこそどのPCでも
利用して業務が出来ると言うことになります。
運用的に間違えていると思われるのは
~~~
そもそもドメイン管理している目的は、
社内のメンバーであれば、お互いの共有フォルダに自由にアクセスし合いたいと
いうものです。
~~~
ここですね。
まず1つに各PCに業務データが分散しているということは データバックアップなどの点で多大な問題を抱えていると言えます。
有るべき姿とするには、
1.社内に別途ファイルサーバを設営する。
これはそれなりのディスク容量を持ち、バックアップ用の装置を持っていることが重要。
ディスクアレイ構成は必須+UPSなどの対策も考慮ください。
2.ファイルサーバ内に共有フォルダを構築し、アクセス権をADユーザやADグループで設定します。
3.各共有フォルダを正しくバックアップするようにスケジュールバックアップなど設定します。
4.各ユーザは、各PCのローカルではなく、ファイルサーバ内に必要なデータを置くようにします。
必要があれば、「ファイルサーバの役割」等を入れれば ディスククォータ & フォルダクォータの管理が出来、
各自が手当たり次第にファイルサーバのディスク容量を食いつぶす事を防ぐことも出来ます。
ディスククォータ → 記憶違いでなければ、指定ユーザが指定ドライブに対してデータを置ける最大値の制限
フォルダクォータ → 指定フォルダ以下のディスク容量の最大値の制限 (Windows 2003 R2以降必要・・・だったはず)
AさんがAさんに意外に見せたくないデータを置きたいなら、 Aさん専用のフォルダを作成し、アクセス許可をAさんのにし、
フォルダクォータを仕掛けます。
AさんがAさんの所属するグループに対して公開のデータなら グループ向けのフォルダを同様に作成します。
こんな感じで再構成されてはいかがでしょうか?
後、それでもAさんのPCにはAさんしかログインさせない という感じにしたいなら、
「ADユーザとコンピュータ」管理ツールでユーザのプロパティを開き、
アカウントタブの [ログオン先]ボタンをクリックすると、そのアカウントがログインできるコンピュータを
制限できます。ここにドメインコントローラとファイルサーバとAさんのPCを入れておけばきっと。
その代わりBさんのPCの共有フォルダも見れなくなりますけどね、、、多分。
>Active Directoryの構築によって、セキュリティホールを作り出してしまっているのでしょうか?
つまるところ 運用の仕方がおかしい という回答となってしまうとは思います。
--------------------------------------
(回答・その2)
回答済みのチェックがつかないので別のMVP氏がさらに丁寧に回答している。
△△△△です。
まず、この件ですが、セキュリティの観点から「なにがダメでなにを許容するか」というところを、ある程度説明していただかないと、皆さん答えるのに困ってしまう点があるのかな?と思います。
直接のご要望になる、「指定したアカウント以外をログオンさせない」という機能は、SHIMSOFTさんのコメントにある方法で実現できます。これはWindows NT時代からある実装で、「あるユーザに対してコンピュータの利用時間を強制したい」という目的で設定されているのかなと思います。
なので、「ドメインコントローラやメンバサーバ」といったコンピュータアカウントの設定は無意味だったはずですよ。
> 後、それでもAさんのPCにはAさんしかログインさせない という感じにしたいなら、
> 「ADユーザとコンピュータ」管理ツールでユーザのプロパティを開き、
> アカウントタブの [ログオン先]ボタンをクリックすると、そのアカウントがログインできるコンピュータを
> 制限できます。
で、ご懸念?の「別のユーザがログオンすると、中身を盗み見されてしまう」という危険については、2つの方法でカバーできます。
1.各ユーザが「マイドキュメント」フォルダ内にファイルを置くようにする
ユーザがログオンしてアプリケーションを使うと、たいていは「マイドキュメント」フォルダ内にダウンロードしたり保存したりする、動作を行うと思います。「マイドキュメント」は、自分専用のドキュメントを保存するフォルダで、このフォルダは(ネットワーク経由でもローカルでログオンしても)他のユーザからアクセスすることはできないようになっています(アクセス許可でそうなるよう設定されています)。
うえの機能は、ログオン時に自分用の「ユーザープロファイル」がコンピュータに設定されることで、実現されます。ユーザープロファイルは、そのユーザ専用の設定ファイルやデータ保存用フォルダで構成されたもので、システム管理者を除く他のユーザからアクセスはできません。
2.EFS(暗号化ファイルシステム) を使う
EFSを使うと、指定したファイルが個別に暗号化され、暗号化を指定したユーザ以外には、元に戻す(復号)することができなくなります。この機能を使えば、コンピュータ内のどこにファイルがあっても、そのファイルを暗号化したユーザ以外、ファイルの内容を見られることがなくなります。
こういう資料が参考になると思いますよ。
ユーザー プロファイルの概要
[HOW TO] Windows XP でフォルダを暗号化する方法
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア