- PR -

指定外 IP からの AD ログオン拒否設定

1
投稿者投稿内容
tamisuha
ベテラン
会議室デビュー日: 2004/05/31
投稿数: 54
投稿日時: 2005-05-16 16:41
お世話になります
Windows 2000 Server AD 環境で使用しています

専用線で接続されている別ネットワークから
不正なログオンのアタックがありました

この対策として
指定した IP 範囲以外からのログオンを
拒否させたいとおもいます

例)
192.168.1.0/24 ---> OK
192.168.2.0/25 ---> OK
それ以外 ---> NG

ポリシーの設定など一通り確認しましたが
それらしき箇所が見つかりません

このような設定を行うことは
できるのでしょうか?

ファイアウォール製品などで
アクセス拒否のIPを設定する方法も考えましたが
できたら OS の基本機能で実現したいと思います

何か情報がありましたら
よろしくお願いします
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-05-16 18:06
各ユーザのログオン先コンピュータ名を指定する、というのが、
ActiveDirectoryの機能としての唯一の方法かと思います。

AD以外のOSの機能となると、RRASでのパケットフィルタになりますが、
これをやるくらいならルータやファイアウォールで止める方が賢明でしょう。
# ルータやファイアウォールをWindowsにリプレースとかってのも

元々、ADを含めたWindowsの認証では、認証情報を元にはじくのが大前提であり、
ネットワークアドレスではじく仕組みは特に考慮されてません。
その辺を認証サーバで実施するにしても、
本来的にはルータやファイアウォールの仕組みで実現すべきものでしょう。

許可するつもりの無い認証パケットが、到達できてしまってるネットワーク構成自体がおかしいです。
ドメインではじいたところで、クライアントのローカルAdministratorへの接続認証はどうするの?とか。
意識せずにドメイン認証しにくるユーザだけを考慮するなら、実現させる方法が準備されて
いるのかは別として考え方はおかしくないんですが、
悪意を持ったユーザも含めて考えているなら、上記のケースを見れば考え方に漏れがあるのは自明です。

[ メッセージ編集済み 編集者: Mattun 編集日時 2005-05-16 18:09 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-05-16 23:00
こんばんわ.

自分も Mattun 様の意見に賛成です.
Firewall を使うのが正論であり,
そうで無いならそれなりな手練手管を使うことになるかと.
それに,server に認証をしに来るとしたら,
そこへ侵入がうまく行かない場合はどうするでしょう?
自分なら次は client を狙うのではないと.
とすると,同様に client の守りも固めないとならず,
場当たりになってしまうでしょう.
tamisuha
ベテラン
会議室デビュー日: 2004/05/31
投稿数: 54
投稿日時: 2005-05-17 09:02
Mattun 様、kaz 様
書き込みありがとうございます

> 許可するつもりの無い認証パケットが
> 到達できてしまってるネットワーク構成自体がおかしいです

おっしゃるとおりです

専用線の接続先は海外の本社で
日本ルータを含めてすべて本国管理なので
手をつけられていませんでした

その結果 日本ネットワークは
本国にさらされている状態なのです

FireWall を検討することにしました
ありがとうございました
1

スキルアップ/キャリアアップ(JOB@IT)