Windows TIPS
| [Security] |
Administratorアカウント名を変更して攻撃を回避する
→ 解説をスキップして操作方法を読む
デジタルアドバンテージ 島田 広道
2010/02/26 |
| 対象OS |
| Windows 2000 |
| Windows XP Professional |
| Windows Server 2003 |
| Windows Vista Business |
| Windows Vista Ultimate |
| Windows Vista Enterprise |
| Windows Server 2008 |
| Windows 7 Professional |
| Windows 7 Ultimate |
| Windows 7 Enterprise |
| Windows Server 2008 R2 |
|
|
 |
| ■ |
Windows OSでは通常、インストール時に「Administrator」という名前の管理者アカウントが作成される。 |
| ■ |
Administratorアカウントは、名前が知られているためパスワードが突破されると即、管理者権限が奪われてしまうので、類推の難しい別の名前に変更したほうがよい。 |
| ■ |
Administratorアカウントの名前を変更するには、ポリシー設定のセキュリティ・オプションを変更する。 |
|
|
通常、Windows OSをインストールすると、必ず「Administrator」という名前の管理者アカウントが作成される。インストール直後は、このアカウントでログオンしてOSの設定を変更するなどして環境を整備できるようになっている。名前があらかじめ分かっているので扱いやすく、例えば複数の管理者にそのパスワードを伝えることで、Administratorアカウントを共有して利用していることもあるだろう(Administratorアカウントの詳細についてはTIPS「Administratorとは?」参照)。
しかし、管理者アカウントの名前が既知であるということは、パスワードさえ判明すれば容易に管理者権限でログオンできるという危険もはらんでいる。実際、不正侵入の手口としてAdministratorアカウントへの攻撃(パスワード類推によって認証をパスしようとする試み)は定番といえるもので、筆者も管理下のインターネット・サーバのログでその痕跡を見たことがある。
こうした危険を回避するには、「Administrator」という名前を、知られていない別の名前に変更するのが有効だ。具体的には、ローカル・セキュリティ・ポリシーあるいはグループ・ポリシーのセキュリティ・オプションで新しい名前を設定すればよい。
この策は、もちろん完璧な防御ではないが、少なくとも「Administrator」アカウントへの直接攻撃は回避できる。また名前を変更しても、管理者アカウントとしての機能は変わらないし、従来のAdministratorアカウントのプロファイルやセキュリティID(SID)もそのまま引き継がれる。
ポリシー設定でAdministratorアカウント名を変更する
Administratorアカウントの名前を変更するには、ローカル・セキュリティ・ポリシーやグループ・ポリシーなどのポリシー設定でセキュリティ・オプションを変更する。以下、Windows Server 2003のローカル・セキュリティ・ポリシーを例に変更手順を説明する(グループ・ポリシーについては後述)。特記しない限り、ほかのOSでも手順は同様だ。
まず、[スタート]ボタン-[すべてのプログラム]またはコントロール・パネルから[管理ツール]を開き、[ローカル セキュリティ ポリシー]アイコンをダブルクリックする。ローカル・セキュリティ・ポリシー(ローカル・セキュリティ設定)の画面が表示されたら、左側ペインのツリーから[ローカル ポリシー]-[セキュリティ オプション]を選択する。右側ペインにポリシー一覧が表示されるので、[アカウント: Administrator アカウント名の変更]というポリシーを見つけてダブルクリックし、プロパティを開く(Windows 2000の場合、ポリシー名は「Administrator アカウント名の変更」)。
 |
| Administratorアカウント名を変更するポリシー |
これはローカル・セキュリティ・ポリシーの画面。Administratorの名前を変更するには、 のポリシーの設定を変更する。 |
|
 |
これを選ぶ。 |
|
|
これをダブルクリックするとプロパティが開く。→ へ |
|
プロパティ画面が開いたら、テキスト・ボックスに記されている「Administrator」を別の名前に変更する(欄が空白なら新しい名前を記入する)。新しい名前は管理者アカウントであると類推されないものが望ましい。また、パスワードにも当てはまることだが、名前は長め(最低でも元の13文字以上)にして突破を難しくさせるべきだ。
|
 |
| Administratorアカウント名を別の名前に変更する |
| このプロパティ画面で「Administrator」を新しい別の名前に変更できる。 |
| |
|
このタブを選ぶ。 |
| |
|
「Administrator」を消して、新しい名前を記入する。なおWindows 2000の場合、未変更であればここは空欄である。なるべく元の13文字以上で、かつ管理者アカウントを想起させない名前を付けること。 |
| |
 |
これをクリックすると変更は完了する。 |
|
OKボタンをクリックすると変更は完了する。後は、いったんログオフして新しい名前でログオンできるか確認する。
グループ・ポリシーで複数のPCのAdministrator名を変更する
グループ・ポリシーを利用すると、複数のPCに対してAdministratorアカウント名の変更が一律に実行できる。それにはまずグループ・ポリシー・エディタを起動して、左側ペインのツリーから、[コンピュータの構成]-[Windowsの設定]-[セキュリティの設定]-[ローカル ポリシー]-[セキュリティ オプション]を選択する。あとは前述のローカル・セキュリティ・ポリシーと同じく、[アカウント: Administrator アカウント名の変更]というポリシーのプロパティで新しい名前を指定する。グループ・ポリシー・エディタの使い方などについては関連記事を参照していただきたい。
なお、単一のポリシーでは単一の名前しか適用できないので、もしPCによってAdministratorアカウントの新しい名前を変えたい場合は、その数だけグループ・ポリシー・オブジェクトも作成する必要がある。
Windows Server Insider フォーラム 新着記事
