ロード・オブ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

管理者アカウントの管理について

IDとパスワードの悩み

IDとパスワードの管理が、未だに良く分からない。

パスワード管理で良く言われる、以下の事は頭では理解できる。

  • 数字・記号・アルファベット(大文字・小文字)を混ぜましょう
  • 8文字以上の長さにしましょう
  • パスワードの使いまわしはやめましょう
  • 定期的に変更しましょう

全て出来る人がこの世に存在するのでしょうか?


最近では、開き直って、意味不明なパスワードを設定して、
都度、パスワード回復をしたほうが安全な気もしてきました。

 

個人用アカウントならまだしも、企業内で使用しているActive Directoryの管理者アカウントは、そういう訳にもいかない。

Active Directoryでのアカウント管理について

マイクロソフトからドキュメントが出ている。

docs.microsoft.com

 

かなり大雑把に要約すると、こんな感じ。

  • Administratorアカウントを使用しない。
  • Administrators、Domain admins、Enterprise Adminsの特権ビルトイングループを管理して、特権を最小限にするようにする。
  • 特権アカウントを管理する特殊なアカウントを作成する

こちらも、頭ではわかります。全て出来る会社がこの世に存在するのでしょうか?

ドキュメントで説明するなら、デフォルトで実装しておいて、と言いたくなります。

 

特権ビルトイングループを保護するために、以下を実施とあります。
・ネットワークからこのコンピューターへのアクセスを拒否
・バッチ ジョブとしてのログオン権限を拒否する
・サービスとしてのログオン権限を拒否する
・リモート デスクトップ サービスを使ったログオンを拒否

物理サーバー環境ならわかりますが、仮想化が中心の世の中で、ネットワーク経由で仮想管理基盤にログインできるので、あまり意味がないのでは?と思ってしまう。

 

クラウドではMFA(多要素認証)が叫ばれている昨今、昔ながらの「スマートカード」も、物理サーバー前提か?

 

特権管理アカウントを管理するアカウントの管理をどうする?最終的に、いろんな権限の分散をしたアカウントの保護はどうする?という話に行きつく。

 

最終的に、そこは、監査をしっかりやりましょう、ということになるが、一体どれだけの手間がかかるのか。

 

少し前の資料では、パスワードに対して、パスフレーズを使用しましょう、とか、パスワードを複数人で分割して管理とかの記載があった。

docs.microsoft.com

 

上記から抜粋。

パスフレーズとは、基本的に "My son Aiden is three years older than my daughter Anna (息子の Aiden は娘の Anna より 3 歳年上)" のような記憶できる文章のことです。 文中の各単語の最初の文字を使用すると、かなり強固なパスワードを作成することができます。 この例の場合、"msaityotmda" になります。 しかも、大文字と小文字、数字、特殊文字などを組み合わせると、さらに強固なパスワードにすることができます。 たとえば上の文章に手を加えると、M$"8ni3y0tmd@ というパスワードになります。 パスフレーズは辞書攻撃に対して脆弱ですが、世間に出回っているほとんどのパスワード解読ソフトウェアは、14 文字を超える長さのパスワードをチェックしません。

 まるで、日本人向きではありません。

話は振り出しに戻る

結局、パスワードがしっかり管理できれば、複雑な運用を避けられるのではないか。

パスワードを厳重な金庫に保管して、一部分を共有したり、アクセスを厳密にしたり、ログを把握できるようにする。ActiveDirectoryだけなく、他にも使える。

 

「1Password」というサービスが有名らしい。

1password.com

 

ビジネスプランでは、特定のアカウントをグループで共有できるので、共有前提でアカウント管理ができる。また、パスワードの使いまわしもする必要がなくなる。

 

ここにログインするために、いろんな認証方法が選べるので、そこを集中的に管理すれば良くなる。

 

Active Directory以外のID・パスワード管理の運用も考えれば、この選択は必然なのか。