サーバ乗っ取りセキュリティ対策|Administratorアカウント無効化を推奨します


クラホス技術担当のタカハマです。今回は Windows Server を作成したら、最初に実施頂く事を推奨している「Administratorアカウントの無効化」についてのお話です。

BIGLOBEクラウドホスティングでWindows Serverを作成すると、必ず「Administrator」という名前の管理者アカウントが作成されます。
こちらはWindows Serverにデフォルトで作成される管理者アカウントであり、サーバ作成直後はこのアカウントでログオンしてOSの設定を変更するなどして環境構築を行いますが、一般的には別の管理者権限を持つアカウントを作成し、Administratorアカウントは無効化することが推奨されています。
何故、デフォルトの管理者アカウントを無効化することを推奨するかについては、以下のようなことがあげられます。

【理由1】

Administratorアカウントでは、UAC(User Account Control)が機能しない為、システム変更等の重要な操作でも警告メッセージが表示されずに実行される危険なアカウントとなります。
一方で管理者権限を持つユーザアカウントは、通常時は一般ユーザと同じ権限となっており、管理者権限の必要な処理を実行しようとした際に警告ダイアログを表示して「本当に実行してよいか」の確認が求められます。このことから、意図しない不要なソフトのインストールや誤操作による設定変更等のリスクを軽減できます。

【理由2】

Administratorアカウントは アカウント名とSID(OSが管理するアカウントの内部数値)が固定となっているため、パスワードさえ判明すれば容易に管理者権限でログオンできるという危険をはらんでおり、外部からの攻撃(不正侵入)を受ける可能性が高くなります。
Administratorアカウントは権限が強力でロックアウトされないため、攻撃者はパスワードを推測するさまざまな手法を用いて侵入を試みますので、このアカウントを無効にすることはセキュリティ対策の一つとして重要となります。

administratorアカウントを無効化にする重要性について把握できたところで、実際の対応方法について見て行きます。
対応方法は、大きくは3つのステップとなります。
1.管理者権限を持ったアカウントの作成
2.作成したアカウントによる接続確認
3.Administratorアカウントの無効化

 

1.管理者権限を持ったアカウントの作成

①「リモートデスクトップ接続」を起動、Administratorアカウントでログオンし、左下のWindowsスタートボタンを右クリックして「コンピュータの管理」を選択します。

 

②コンピュータの管理の左側にある一覧から、「ローカルユーザーとグループ」-「ユーザー」を右クリックして「新しいユーザー」を選択します。

 

③ユーザ名とパスワードを入力して「作成」を選択します。

※他の項目は任意となります。
※ユーザ名には 20 文字以内 (半角の場合) の文字列を指定でき、次の文字を除く任意の大文字または小文字を使用できます。
” / \ [ ] : ; | = , + * ?< > @
ピリオド (.) またはスペースだけのユーザ名は受け付けられません。
※パスワードは、127 文字以内 (半角) のパスワードを入力できます。
※強力なパスワードおよび適切なパスワード ポリシーを使用すると、コンピュータを攻撃から保護するうえで役立ちます。

 

④作成したユーザは一覧に表示されます。

 

⑤作成したユーザを右クリックし、プロパティを選択します。

 

⑥プロパティから「所属するグループ」タブを表示させ「追加」を選択します。

 

⑦「選択するオブジェクト名を入力してください」の欄に「Administrators」を入力し「OK」で閉じます。

※この操作により、対象アカウントが管理者グループに所属します。

 

⑧「Administrators」が追加されたことを確認して「OK」を選択します。

管理者権限を持ったアカウントの作成完了です。

⑨サーバからサインアウトします。

 

 

2.作成したアカウントによる接続確認

①「リモートデスクトップ接続」を起動し、対象サーバへ作成したアカウントで接続します。

 

②正常にログイン出来る事が確認出来ればOKです。

サーバにログオンしたまま、次の工程に移ります。

 

3.Administratorアカウントの無効化

①左下の Windowsスタートボタンを右クリックして「コンピュータの管理」を選択します。

 

②コンピュータの管理の左側にある一覧から、「ローカルユーザーとグループ」-「ユーザー」を選択し、右側の一覧にある「Administrator」アカウントを右クリックし「プロパティ」を選択します。

 

③プロパティから「全般」タブを選択し、「アカウントを無効にする」にチェックを入れ「OK」を選択します。

 

④「リモートデスクトップ接続」を起動し、対象サーバへAdministratorアカウントで接続します。

 

⑤ユーザーアカウントは無効のメッセージウィンドウが表示されればOKです。

 

尚、その他のセキュリティ対策として、「ファイアウォール」や「VPN」、「ウィルス対策ソフト」等の導入を併せてご検討下さい。

以上です。

 

カテゴリー: 技術情報 タグ: , , , パーマリンク