Active Directoryでパスワードの変更を検出する方法

アカウント所有者または正当なIT管理者以外のユーザーが行ったユーザーアカウントのパスワードの変更は、そのアカウントがハッキングされたという兆候となります。ユーザーアカウントにアクセスした悪意のあるユーザーは、機密データを読み取ったり、コピーしたり、削除したり、配布したりして、重要なデータ漏洩の危険にさらされる可能性があります。

ここでは、Active Directoryのパスワード変更を検出する方法を紹介します。

Windows標準機能での監査 vs Netwrix Auditorでの監査

Windows標準機能での監査

  1. GPMC.mscを実行 → 「既定のドメインポリシー」 → コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → ローカルポリシー → 監査ポリシーを開きます。
    • アカウント管理の監査 → 定義 → 成功と失敗
  2. GPMC.mscを実行 → 「既定のドメインポリシー」 → コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → イベントログ → 定義:
    • セキュリティログの最大サイズを1 GBにする
    • セキュリティログの保存方法〜必要に応じてイベントを上書きする
  3. イベントビューアを開き、イベントIDのセキュリティログを検索します。628/4724 – 管理者によるパスワードリセットの試みと627/4723 – ユーザーによるパスワードの変更試行。

Netwrix Auditorでの監査

  1. Netwrix Auditor → Reports → Active Directory Changes → 「User Password Changes」のレポートを選択 → 「View」をクリックすると、ユーザーパスワードの変更を表示できます。
  2. ドメイン管理者によるユーザーパスワードのリセットを表示するには、Netwrix Auditor → Reports → Active Directory Changes → 「Password Resets by Administrator」レポート → [表示]をクリックします。

Active Directoryのパスワード変更とパスワードのリセットを検出して、データ漏洩やシステムのダウンタイムを回避する

アカウント所有者またはIT管理者以外のユーザーが行ったユーザーアカウントのパスワードの変更は、Active Directoryアカウントのハッキングの兆候となる可能性があります。ユーザーアカウントのパスワードを変更するために、管理者の資格情報を盗み出す悪意のあるユーザーは、アカウントへの完全なアクセス権を持ち、Active Directory内のデータの読み取り、コピー、および削除に使用できます。その結果、システムのダウンタイム、業務の中断、機密データの漏えいを被る可能性があります。

Active Directoryのパスワードのリセットを含め、パスワードの変更を綿密に監視することで、IT管理者は疑わしい操作を検出して問題を解決し、攻撃者の侵入を防ぐことができます。「Netwrix Auditor for Active Directory」は、どのアカウントにパスワードが変更されたかを示す定義済みのレポートを提供し、IT管理者がこれらの変更を厳重に管理できるようにします。さらに、このアプリケーションは各ユーザーのパスワードリセットに関する詳細を提供しているため、Active Directoryでユーザーパスワードをリセットしたユーザーと、変更がいつどこで行われたかを簡単に確認できます。

Netwrix Newsとは?

Netwrix News はハイブリッドIT環境の構成・変更・アクセスの見える化を実現する Netwrix Auditor(ネットリックス オ―ディター)のメーカーであるNetwrix社のホームページ・ホワイトペーパー等で提供している、ITシステム監査に役立つ情報や、Netwrix Auditorを活用した効率的な監査方法をご紹介するコーナーです。最新の海外セキュリティ事情などお客様の検討課題や対策の参考にしてください。

Netwrix Newsとは?