「ローカル管理者」のパスワード管理、どうする?(その2)――LAPSログを一元管理しよう:Active Directoryによるローカル管理者のパスワード管理(2)(3/3 ページ)
「PCのローカル管理者パスワード」を効率的に管理するためのツール「Local Administrator Password Solution(LAPS)」の使い方第2弾です。今回はLAPSが出力するログを一元管理する方法を紹介します。
グループポリシーを用いてクライアントを設定する
前述の設定内容のうち、クライアント側での設定は、グループポリシーを用いて一度に行うことが可能です。以下に、設定例をまとめて紹介します。ただしこれらの方法を実行するためには、クライアント利用者のドメインアカウントに対して、そのクライアントのローカル管理者権限が与えられている必要があります。
LAPSによるログ生成を設定する
| ポリシーの箇所 | [コンピューターの構成] - [基本設定] - [Windowsの設定] - [レジストリ] |
|---|---|
| 設定 | (全般タブ) 【アクション】を「作成」(レジストリ値を変更する場合は更新) 【ハイブ】を「HKEY_LOCAL_MACHENE」 【キーのパス】を「SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\ExtensionDebugLevel」 【値の名前】は任意の名前を入力する 【値の種類】は「REG_DWORD」 【値のデータ】は「0または1または2」 【表記】は「16進数」 |
| (共通タブ) 特になし |
WinRMサービスを構成する
| ポリシーの箇所 | [コンピューターの構成] - [基本設定] - [Windowsの設定] - [レジストリ] |
|---|---|
| 設定 | (全般タブ) 【アクション】を「作成」 【ハイブ】を「HKEY_LOCAL_MACHENE」 【キーのパス】を「SOFTWARE\Microsoft\Windows NT\CurrentVersion\RunOnce」 【値の名前】は任意の名前を入力する 【値の種類】は「REG_SZ」 【値のデータ】は「winrm quickconfig -quiet」 |
| (共通タブ) 【1度だけ適用し、再適用しない】にチェック |
コレクターのコンピューターアカウントを追加する
| ポリシーの箇所 | [コンピューターの構成] - [基本設定] - [Windowsの設定] - [レジストリ] |
|---|---|
| 設定 | (全般タブ) 【アクション】を「作成」 【ハイブ】を「HKEY_LOCAL_MACHENE」 【キーのパス】を「SOFTWARE\Microsoft\Windows NT\CurrentVersion\RunOnce」 【値の名前】は任意の名前を入力する 【値の種類】は「REG_SZ」 【値のデータ】は「net localgroup administrators <ドメイン名>\<コレクターのコンピューターアカウント>$ /add」 |
| (共通タブ) 【1度だけ適用し、再適用しない】にチェック |
これにより、クライアント側でLAPSによるログ生成の設定とWinRMサービスの構成が行われ、ローカルのAdministratorsアカウントにコレクターのコンピューターアカウントが追加されます。なお、RunOnceキーの値は、ローカルの管理者権限を持つアカウントがログオンした際に実行されることに注意して下さい。
さて、本連載では2回にわたり、LAPSの特徴と設定方法、そしてLAPSのログの生成および収集方法について紹介してきました。本稿を参考にしていただき、LAPSのようなマイクロソフトが無償提供しているソリューションやWindowsの標準の機能を活用することで、皆さまの組織の問題が少しでも解決できれば幸いです。
著者プロフィール
泉田 幸宏(いずみた ゆきひろ)
ソフトバンク・テクノロジー株式会社。
現役のペネトレーションテスター。官公庁、民間を問わず、多数の検査実績を持つ。
Active Directoryサーバに特化した診断などの、ネットワーク診断サービスに従事。
日々脆弱(ぜいじゃく)性の情報をチェックしつつ、「被害想定が大きい」「攻撃が容易」といった攻撃手法が公開された場合は検証を行い、時にソフトバンク・テクノロジーのレポートとして公開を行っている。
Copyright © ITmedia, Inc. All Rights Reserved.