Active Directoryドメインに参加しているWindows Serverに、通常ログオンするユーザーとして、ドメインのAdministratorユーザー(Domain Admins)を使っているケースを見かけます。でもこれは避けるべきです。その理由を一言で言えば「最小権限の原則に反する」からなのですが、具体的に何がまずいのか解説します。
使いたい理由
ドメイン参加したWindows Serverであっても、ローカルのAdministratorでログオンすることは可能です(ドメインコントローラーは除く)。しかしそれだと、共有フォルダなどのドメインリソースにアクセスする際には、いちいちドメインユーザーとパスワードを指定する必要があり、不便です。
サーバーのログオン用にドメインユーザーを用意する手もありますが、ちょっと面倒です。かといって個人のドメインユーザーを使うと、担当者が複数いる場合にそれぞれログオン環境を設定する必要があり、それも面倒です。
ドメインのAdministratorなら、最初から用意されているし、デフォルトでサーバーに管理者としてログオン可能です。しかもドメイン内の全リソースにアクセスできます。おまけにUACの確認ダイアログが出ないので、作業の邪魔にならない。と、このように作業する上では非常に便利です。だから使ってしまうのでしょう。
使うべきで無い理由
理由1:不必要に強大な権限を与えてしまう
まずは、ドメインのAdministratorの権限の大きさを理解しましょう。デフォルトで「Domain Admins」というグループに所属し、これはドメイン内のWindows/Windows ServerのAdministratorsの権限を持ちます。つまり、ドメイン内の全サーバ・クライアントをフルコントロールする特権を持っています。
ファイルサーバー上に、トップマネジメント層だけがアクセスできる共有フォルダがあったとして、これの参照・変更・削除ができてしまいます。たとえアクセスログが残ったとしても、それを改竄することもできるでしょう。また、ADで認証局(CA)を構築している環境では、CA管理者としての権限も持っていたりします。
特定のサーバーの管理だけできれば良いはずなのに、そのような強大な権限を与えるとどうなるでしょうか。そうです、組織内で不正が行われるリスクを抱えてしまいます。
「いやいや、ウチにそんなことをする人はいない」と言うかも知れません。だとしても、万が一トラブルが起きてしまったら、その特権を持っている人を疑わなくてはならなくなります。それって、特権をもってしまった人が可哀想ではないでしょうか?その人を疑いの目から守る意味でも、むやみに強大な権限を与えるべきではありません。
理由2:権限管理が無意味になる
通常のログオンユーザーとしてドメインのAdministratorを使っていると、そのユーザーを色々なところで使ってしまいがちです。例えば、システムサービスの実行用ユーザーとしたり、バッチ処理の実行用ユーザーとして使ったり・・・。
このユーザーはドメイン内の全リソースをフルコントロールできるので、”便利”なのです。処理実行用ユーザーで悩んだら、このユーザーを使っておけば全部何とかなります。「自分はそんな雑なことはしない」と考えていても、あなた以外のメンバーがやります。こんな断言したら怒られるかもしれませんが、そう考えた方がいいと思います。「仮で設定しておいて、後で修正するつもりだった」とか、いくらでも言い訳できます。そしてそれを前例として、別のところでもドメインのAdministratorが使われていく。
そのうちに、多くの担当者に特権のパスワードが知れ渡ります。そうなると、もはや権限管理が無意味になってきます。せっかく権限ごとにユーザーやグループを用意しても、最上位の特権ユーザーを使われると全部無意味になってしまいます。トップマネジメント専用のフォルダを作っても、みんなが見れてしまいますので。
理由3:パスワード変更時の影響が大きすぎる
ドメインのAdministratorをサーバーのログオン用として複数人で使っている場合、メンバーの異動や退職時には、パスワードを変更すべきでしょう。その場合はそのサーバーのみならず、別のサーバーや、ドメイン全体にまでパスワード変更の影響が及んでしまいます。
そもそも、こういうケースでは、前述のようにあちこちでドメインのAdministratorが使われていることでしょう。その状態でパスワード変更すると、おそらく大変な事になります。変えた瞬間何らかのサービスが動かなくなったり・・・。それを恐れるあまり、事実上パスワード変更ができなくなるという可能性もあります。
理由4:マルウェア感染時に被害が拡大しやすい
そのサーバーでウイルスやランサムウェアを実行してしまった時に、自サーバーが被害を受けるのはもちろんですが、他のサーバーやクライアントにも被害が拡大しやすくなります。前述のように、ドメイン内の全サーバー・クライアントのフルコントロール権限を持つのですから、感染拡大は想像しやすいでしょう。
マルウェアを使う犯罪者の立場で考えてみれば、他のコンピューターを狙うときに、わざわざOSの脆弱性を突いたりしなくてもコントロールを奪えるのですから好都合なはずです。
こういう話をすると「ウイルスバスターを入れてるから、現実的に感染はあり得ない。そのリスク考慮する必要ある?」みたいに反論する方がいます。しかし、ウイルス対策ソフトが検知できないケースは十分考えられます。とりわけ標的型攻撃では、「既存のウイルス対策ソフトで検知されない」ことをテストして開発された新種のウイルスが送り込まれます。そのため、感染は現実的なものとして対策する必要があるのです。
理由5:権限管理のノウハウが身につかない
前述のように、ドメインのAdministratorは”便利”すぎます。最上位の特権ですので、これを使っておけば「権限がありません」みたいに権限設定で悩むことがほぼありません。一見メリットに見えますが、反則行為みたいなもので、まともなセキュリティを構築しようとすると通用しません。最小権限の原則に沿った適切な権限設計・管理をするには、ノウハウが必要になってきます。
特権を使うのが当たり前になってしまうと、組織のメンバーにとって、このノウハウを得る機会が無くなることに繋がります。そうなると、いざセキュアなシステムを構築しようとしたときに困ってしまいます。
だったら何のユーザーを使えばいいの?
これについては、別記事にまとめています。
おわりに
今回の記事は以上です。不備やご意見等ありましたら、下のコメント欄やtwitterからお願いします。
Windows Server の知識をさらに深めるには、書籍もおすすめです。Windows Server は実は機能が豊富で、Webに情報がないケースも多いです。無駄に探し回らないために、良書を手元に置いておくと効率的です。おすすめの本は、以下記事にまとめています。
最後まで読んでいただきありがとうございました。
フィードバック
あなたが抱えている疑問や悩みは解決できたでしょうか?当ブログではそれを最重視しています。今後もあなたの役に立つ情報を提供するために、ぜひ教えて下さい。
コメント