Active Directory内の組織単位(OU)とグループの変更を検出する方法

Active Directory内の組織単位(OU)やグループに偶発的または悪意のある変更が加えられた場合、IT管理者、ユーザーの両方に大きな影響を与えます。たとえば、ユーザーアカウントを含む組織単位(OU)が削除された場合、ユーザーはログインできなくなります。既にログインしているユーザーは、電子メール、ファイル、SharePointおよびその他のリソースにアクセスできない可能性があります。

ここでは、Active Directory内の組織単位(OU)とグループの変更を検出する方法を紹介します。

Windows標準機能での監査 vs Netwrix Auditorでの監査

Windows標準機能での監査

  1. ファイル名を指定して実行 GPMC.msc→新しいGPOを作成し、コンピュータの構成→それを編集してWindowsの設定 → セキュリティ設定 → ローカルポリシー → ポリシー → 監査ポリシー:
    • アカウント管理の監査 → 定義 → 成功
    • ディレクトリー・サービス・アクセスの監査 → 定義 → 成功
  2. セキュリティ設定レベルに戻る → イベントログ:
    • 最大セキュリティログサイズ → 4GBに定義
    • セキュリティログの保持方法 → 必要に応じてイベントを上書きするように定義します
  3. 新しいGPOをリンクする:「グループポリシーの管理」→ドメインまたはOUを右クリック→既存のGPOのリンクを選択→作成したGPOを選択します。
  4. グループポリシーの更新を行います。「グループポリシーの管理」で、定義済みのOUを右クリックし、[グループポリシーの更新]をクリックします。
  5. オープンADSI編集 ドメイン → プロパティ → セキュリティ(タブ) → アドバンス(ボタン) → 監査の名前とコンテキスト → 右クリックのdomainDNSオブジェクトを命名デフォルトにADSI編集 → [接続]を右クリック → (タブ) → Principal “Everyone”を追加 → “Success”と入力 → “このオブジェクトとDescendantオブジェクト” → Permissions → “フルコントロール”をクリックしてすべてのチェックボックスを選択します。 読み取り権限 → 「OK」をクリックします。
  6. イベントビューアを開き、セキュリティログをフィルタリングしてイベントIDを検索する(Windows Server 2003 / 2008-2012):
    • 4727、4731、4754、4759、4744、4749 – グループが作成されました
    • 4728、4732、4756、4761、4746、4751 – グループに追加されたメンバー
    • 4729、4733、4757、4762、4747、4752 – メンバーはグループから削除されました
    • 4730、4734、4758、4748、4753、4763 – グループが削除されました
    • 4735、4737、4745、4750、4755、4760 – グループが変更されました
    • 4662 – オブジェクトに対して操作が実行されました(タイプ:ディレクトリサービスアクセス)

Netwrix Auditorでの監査

  1. Netwrix Auditorを実行→「Search」 → 「Advanced」を選択→以下のフィルタを設定します:
    • Audited system = Active Directory
    • Object type = Group
    • Then click “Modify” and “Search”.
      次に、 “Modify”と “Search”をクリックします。
  2. グループやOUにどのような変更が加えられたかがわかります。

OUおよびグループの変更を継続的に監視してシステムのダウンタイムを回避する

Active Directory組織単位(OU)への意図しない変更または悪意のある変更は、深刻な影響を及ぼす可能性があります。たとえば、ユーザーアカウントを含むActive Directory OUが削除されると、ユーザーはログインできなくなり、既にログインしているユーザーは電子メール、ファイルサーバーおよびその他の重要なリソースにアクセスする際に問題が発生する可能性があります。Active Directoryでグループを削除すると、ユーザーがグループメンバーシップによって重要なアクセス許可を得ることが多いため、同様の問題が発生する可能性があります。これらの問題はすべて、業務を混乱させ、生産性を低下させ、IT管理者の負担を増大させます。

「Netwrix Auditor for Active Directory」は、Active Directory 内のグループおよびOUに加えられたすべての変更を監査でき、Active Directoryオブジェクトのロールバック機能により、不正な変更を迅速に取り消すことができます。つまり、意図しない変更や悪意のある変更が発生した場合、「Netwrix Auditor for Active Directory」は、バックアップからの復元を行わずに、すべての構成設定を以前の状態にすばやく戻すことができます。また、削除されたユーザーのパスワードを復元することもできます。つまり、セキュリティ上の脅威を示す可能性があるActive DirectoryのOUに対する変更を迅速に戻すことができます。

Netwrix Newsとは?

Netwrix News はハイブリッドIT環境の構成・変更・アクセスの見える化を実現する Netwrix Auditor(ネットリックス オ―ディター)のメーカーであるNetwrix社のホームページ・ホワイトペーパー等で提供している、ITシステム監査に役立つ情報や、Netwrix Auditorを活用した効率的な監査方法をご紹介するコーナーです。最新の海外セキュリティ事情などお客様の検討課題や対策の参考にしてください。

Netwrix Newsとは?

Netwrix社ホームページ

Netwrix社ホームページはこちら(英語)