セキュリティ脅威の 98% は Active Directory から始まります。
Active Directory は文字通りあなたの王国への鍵を握っています。
Active Directory には、本当に必要な人にだけ管理アクセスを許可する最小特権ポリシーを実装するために、数多くのセキュリティ プロトコルが用意されています。
Active Directory におけるセキュリティ グループとは何か、配布グループとセキュリティ グループの違い、セキュリティ グループを使用する目的、および作成方法について説明します。
Active Directory グループとは
Active Directory とは、一般的には、ユーザーをさまざまなグループに分類するためのプログラムです。
Active Directory グループは、特定のリソースへのアクセスを許可されたユーザーのグループです。
グループにこの種のアクセスを与えるには、Globally Unique Identifier (GUID) または Security Identifier (SID) の 2 つの方法があります。
SID は、主に特定のユーザーにアクセスを与えたい場合に使用され、GUID は、同じリソースへのアクセスを必要とするすべてのユーザーをグループ化する場合に使用されます。
グループは、特定のリソースへのアクセスを必要とする個々のユーザーに基づいて作成することも、グローバル グループ (部署など) や特定のドメインのメンバーに基づいて作成することもできます。
二種類の Active Directory グループ
Active Directory グループは Active Directory セキュリティ グループと Active Directory Distribution Groups という二つのカテゴリに分類されます。
実際に必要なグループの種類は、グループの必要な機能によって異なります。配布グループは、セントラル コントローラーからの一方的な通知のみが必要な場合に使用される、より単純なグループです。
Active Directory セキュリティ グループを使用する理由
セキュリティ チームは、権限が制御不能にならないように、そしてデータのセキュリティに対するリスクが軽減されるように、セキュリティ グループにはるかに多くの注意を払う必要があります。
たとえば、Active Directory のセキュリティ グループを使用して、取締役会のメンバーに高レベルの権限を割り当て、同僚に財務情報と KPI を提出できるようにすることが可能です。
Active Directory のセキュリティ グループは、AD ポータルを介して変更することもでき、ユーザーを移動したり完全に削除したりできます。
Active Directory でセキュリティ グループを作成する方法
次の手順は Windows 10 と Windows Server 2016 に適用されます。 新しいグループを自分で作成できるようにするには、ドメイン管理者グループのメンバーであるか、正しい権限がすでに適用されている必要があることに注意してください
- Active Directory ユーザーとコンピューター コンソールを開きます。
- グループを格納するコンテナ (たとえば、「ユーザー」) を選択します。
- [操作] – [新規] – [グループ] をクリックします。
- グループ名テキストボックスを使用してグループに名前を付け、説明を入力します。
- ご使用の Active Directory フォレスト インフラストラクチャに応じて、正しいグループ スコープを選択します。
- グループの種類として「Security」をクリックし、「Ok」をクリックしてセキュリティ グループを作成します。
残念ながら、多くの企業では、IT チームとセキュリティ チームが十分に効果的にコミュニケーションをとり、セキュリティ グループの権限とメンバーが適切に維持されるようにしていません。
LepideのData Security Platformは、「過剰な権限」を持っていると判断されたユーザーのリストを即座に生成したり、権限が変更されたときにリアルタイムでアラートを生成する機能を提供し、最小権限のポリシーを維持するために必要な措置を取ることができます。
実際にソリューションを確認するには、当社のエンジニアとのデモの日程を今すぐ予約してください。