Active Directoryはこう使えグローバルナレッジネットワーク株式会社横山哲也 22 Mar. 2003 Agenda Active Directoryでできること Active Directoryでできないこと Active Directoryはこう使え  3つの鉄則 Active Directoryでできること 1. 2. 3. 4. グループポリシーの提供範囲パスワードポリシーセキュリティオプションユーザーインターフェースの制限 1. グループポリシーの提供範囲 組織(ドメイン) のセキュリティポリシー ドメインコントローラのセキュリティポリシー 組織単位(OU)のセキュリティポリシー サイトのセキュリティポリシー オペレーティングシステム  Windows 2000/XP/2003に限定 Windows 9x / NT MS-DOSは不可 2. パスワードポリシー 有効期限 最低長 複雑さ(英字・数字・記号などの混在) ロックアウト  一定回数以上間違えた場合ログオン拒否覚えにくいパスワードは? 紙に書く? ロックアウト頻発? 3. セキュリティオプション ユーザー権利の割り当て SMB署名の強制 Administratorアカウントの名前変更 その他… Windows 9xと通信できる? sambaと通信できる? 4. ユーザーインターフェースの制限 コントロールパネルの制限  IEのカスタマイズ禁止 実行プログラムの制限  ハッシュ値による許可・禁止 実行パスの制限  キャッシュからの実行を禁止エンドユーザーの不満は? Active Directoryでできないこと 1. 非ドメインメンバーの管理 2. Windows 9x / NTの管理 3. 利用者の心情の管理 1. 非ドメインメンバーの管理 ワークグループは管理できない勝手に持ち込まれたノートPC 2. Windows 9x / NTの管理 グループポリシー不可  システムポリシーが使える場合もあるが… 基本的機能の欠落(Windows 9x)  SMB署名  安全なログオン … Windows 9xはセキュリティを考慮しない 3. 利用者の心情の管理 「自分のPCを好きに使って悪いか!」  自由にできるのがPC  セキュリティを考慮しない方が使いやすい 「業務を知らない奴がうるさい!」  管理ポリシーの目をくぐり抜けるセキュリティリテラシの啓蒙 Active Directoryはこう使え: 3つの鉄則 1. 古いOSは捨てる 2. 利用者の勝手を許すな 3. 管理者の勝手を許すな 1. 古いOSは捨てる(1/2) 古いOS  Windows NT 「動いているものは直すな」という鉄則は?  Windows 9x  MS-DOS/Windows 3.1 古いOSが踏み台となるケースもある  パスワード漏洩  各種サーバーセキュリティリスクのあるOSは「動いている」と言えない 1. 古いOSは捨てる(2/2) Windows 9x以前  OSが保護されていない  OSのユーザー認証機能がない  SMB署名  MS-CHAP v2 (VPNのみ可)  全員が管理者 Windows NT  グループポリシーが使えない  最新サービスパックでかなり安全(2004年末まで) 2. 利用者の勝手を許すな 利用者の要望  セキュリティリスクが高いことが多い  鍵はかけたくないが空き巣は困る できることとできないことがある  管理者には、利用者への説明責任 3. 管理者の勝手を許すな 管理者の勝手なポリシー  使いにくい  利用者の反乱 管理者は業務をよく理解する  管理者が説明責任を持つ使いにくい規則は守られないまとめ: 3つの鉄則 古いOSは捨てる  Windows 9x以前は特に危険 利用者の勝手を許すな  使いやすさはセキュリティリスクにつながる (ことがある) 管理者の勝手を許すな  使いにくい規則は守られないおまけ グローバルナレッジネットワーク  http://www.globalknowledge.co.jp セキュリティ教材(eラーニング/CD-ROM)  http://www.globalknowledge.co.jp/reference/Reference.asp?K BN=5&DCODE=30&SCODE=75&PCODE=1055 セキュリティ教材(講義+演習)  http://www.globalknowledge.co.jp/reference/Referen ce.asp?KBN=1&DCODE=9&SCODE=22