「Windows Server 2025」の新機能から学ぶActive Directoryのセキュリティ対策：今だからこそ学び直すActive Directory基礎のキソ（7）

「Active Directory」が動作する新しいWindows Serverとして「Windows Server 2025」がリリースされました。Windows Server 2025では、これまでのActive Directoryへの攻撃事例を踏まえた新しい機能が提供されています。今回はWindows Server 2025で提供された新機能を確認しながら、Active Directoryのセキュリティ対策に必要な知識を学び直します。

[国井傑，株式会社エストディアン]

今だからこそ学び直すActive Directory基礎のキソ

安全なサービスアカウントの提供

　Windows Serverではサーバ向けアプリケーションをバックグラウンドで継続的に稼働させたい場合、そのアプリケーションを「サービス」として登録して実行させます。サービスとして登録されたアプリケーションは“実行するためのユーザー”を指定する必要がありますが、このユーザーを「サービスアカウント」と呼びます。

　Active Directoryドメインに参加しているサーバ（メンバーサーバ）で動作するサービスであれば、サービスアカウントはActive Directoryのユーザーとして作成する必要があります。このときにサービスアカウントを通常のユーザーで作成すると、Active Directory側でパスワードを変更した場合、変更したパスワードはサービス側に自動的に反映されず、サービスが起動できなくなるという問題が発生します。

　そのため、Windows Serverではサービス専用のアカウントとして「Group Managed Service Account」（gMSA）と呼ばれるアカウント種類を提供しています。gMSAのパスワードはWindows Serverで自動的に管理されるため、gMSAのパスワードが変更されてもサービス側のパスワード変更などの手間は不要になるというメリットがあります。

　そして「Windows Server 2025」では、新たに「Delegated Managed Service Account」（dMSA）という概念が登場しました。gMSAと異なり、dMSAはメンバーサーバを固定して利用します。そのため、ドメインコントローラーがセキュリティ侵害を受けて、サービスアカウントのパスワードが盗まれるようなことがあったとしても、そのパスワード（dMSA）は特定のサーバ上でしか利用できないので、セキュリティ侵害による被害を最小限に食い止められます（図1）。