あなたのWindows Serverに、誰もがログオンできる理由

Windows Server
スポンサーリンク

Windows Serverでサーバーを構築した場合に、初期設定に気を付ける必要があります。一般社員ユーザーなど、同じActive Directroy内のユーザーがサーバーにログオン出来てしまいます。今回はこの原因と対策方法を解説します。

ケース例

Active Directoryに参加したWindows Serverのサーバーを構築すると、こういうことが起こります。

 管理者
管理者

Aさん、今日からよろしくね。

はい、これが君のドメインユーザー名と初期パスワードだよ。

 新人のAさん
新人のAさん

はい、よろしくお願いします!

私のPCはこれですか?入ってみますね。(カチャカチャ…)

 管理者
管理者

あ、それは君のPCじゃなくて、サーバーだよ。

Windows Serverだから画面が似てるよね。

でも、君のアカウントじゃログオンできないはずだよ。

 新人のAさん
新人のAさん

え? 入れましたよ。

 管理者
管理者

え!? 本当だ・・・

(特別な権限設定していないDomain Usersなのに)

 新人のAさん
新人のAさん

わー、なんか重要そうなデータ開けちゃった。

(カチカチ)

 管理者
管理者

あ、君、ちょっと・・・

(何でファイルまで開けるんだ?)

何が問題か

基本的に、サーバー上では何らかのシステムが動いているはずで、操作できるのは特定の人に限定すべきです。上のケースのように、新人のAさんがサーバー内のファイルを参照する必要はないし、できてはいけないでしょう。

したがって、一般社員がサーバーにログオンする必要はないはずです。なのに、特別な設定をしていないにも関わらず、それができてしまった。Windows Serverでは、こういうことが起こりがちです。

原因

Windows Serverのデフォルト設定では、次のようになっているためです。

  1. 「Users」グループのメンバーも、OSログオンの権限が与えられている(Active Directoryドメインコントローラーは除く)。
  2. Domain Users(Active Directoryドメイン内のユーザー)も、「Users」グループとして扱われる
  3. ファイルのアクセス権限は、デフォルトで「Users」グループに読み取り許可している。

それぞれ、解説していきます。

「Users」グループのメンバーも、OSログオンの権限が与えられている

具体的には次の画面で確認することができます。まず、「ファイル名を指定して実行」から「gpedit.msc」を入力してローカルグループポリシーエディターを起動します。そして下図のように[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権利の割り当て] から「ローカル ログオンを許可」ポリシーをダブルクリックで開きます。

「Users」グループを許可していますね。なお、このポリシーはあくまで「ローカルログオン」ですので、サーバーのコンソールから行うログオン操作のみです。リモートデスクトップ接続や共有フォルダ参照などの、ネットワーク越しの操作は該当しません

Domain Users(Active Directoryドメイン内のユーザー)も、「Users」グループとして扱われる

これは「コンピューターの管理」を開き、[ローカルグループ] > [グループ] にある「Users」のプロパティを開くと、所属するメンバーに「Domain Users」が含まれていることが確認できます。Domain Usersというのは、ドメインのユーザーを作るとデフォルトで所属するグループですので、「そのドメインのユーザーほぼ全て」とも言えます(厳密には違いますが)。

ファイルのアクセス権限は、デフォルトで「Users」グループに読み取り許可している

例えば、「C:\top-secret\data.txt」というファイルを作り、ファイルのアクセス権を見てみると…

「Users」に「読み取りと実行」権限を許可していますね。トップシークレットって名前付けたのに!(名前は関係ないです)

対策方法

いくつか考えられますが、私は原因1.を対処するのが良いと思います。「ローカル ログオンを許可」ポリシーで「Users」を削除してあげることです。こうすれば、2.で個々のアクセス権限を変更したり、3.のDomain Usersグループ設定を変更したりする必要がありません。

なお、サーバー機が施錠されたラック内にあり、管理者しかコンソールにアクセスできない場合は、とりあえず問題は起こりません(リモートデスクトップ接続については、デフォルトでUsersグループが許可されていません)。

それにしても、Windows Serverのデフォルト設定がこのようになっているのは何故なのでしょうね。事務室内にサーバー機を置くことは結構あると思いますが、これは想定していないということでしょうか。いずれにせよ、サーバー機には適していない初期設定だという気がします。

フィードバック

コメント

タイトルとURLをコピーしました