ユーザーとアクセス制御
OS を強化した後の次のステップは、誰がシステムにアクセスできるか、何を実行できるかを制御することです。 誤ったアカウント権限、脆弱なパスワード、放置された既定アカウントは、攻撃者が BioStar X サーバーで権限を昇格させる一般的な経路です。 このドキュメントの手順に従って、ユーザーとアクセス制御を強化します。
最小権限の適用
-
Active Directory またはローカルのユーザーとグループで、個別のユーザーグループを作成します。
-
グループを基準に、ファイルシステムとアプリケーションの権限を割り当てます。
-
OS レベルの最小権限モデルを反映するように、BioStar X 内の役割を構成します。
ローカル管理権限の制限
-
lusrmgr.mscを使用して、Administrators グループから不要なアカウントを削除します。 -
通常の作業には標準ユーザーアカウントを使用し、必要な場合のみ管理者アカウントを使用します。
-
ドメイン参加済みの場合は、グループポリシーの制限グループを適用し、一貫した権限を適用します。
強力な認証の適用
-
グループポリシーで、複雑なパスワードを使用するように設定します。 (最小 12~15 文字、大文字、小文字、数字、記号を混在)
-
パスワードの有効期限(例: 90 日ごと)を設定し、再利用を制限します。
-
複数回の失敗後にアカウントをロックするアカウントロックアウトポリシーを構成します。
-
リモートアクセスまたは特権アカウントに多要素認証(MFA)を適用します。
手順
-
ローカルグループポリシーエディター(
gpedit.msc)を起動します。 -
コンピューターの構成 → Windows の設定 → セキュリティの設定 → アカウント ポリシー に移動します。
-
パスワードの長さ、複雑さ、最近のパスワード記憶などを設定します。
-
アカウント ロックアウト ポリシーで、アカウント ロックアウトのしきい値 と アカウント ロックアウト期間 を構成します。
組み込みアカウントの管理
ローカル ユーザーとグループ(lusrmgr.msc)を起動します。
-
Administrator アカウントを右クリックし、分かりにくい名前に変更します。
-
Guest アカウントは、特に必要でない限り無効にします。
-
PowerShell で
net userコマンドを使用し、定期的にアカウントを監査します。
セッション管理
-
15 分間操作がない場合に、アカウントが自動的にロックされるように設定します。
-
可能な場合は、同じアカウントで複数のユーザーが同時にログインすることを防ぎます。
-
使用していないリモートセッションを制限します。
ローカル グループ ポリシー エディター(gpedit.msc)→ コンピューターの構成 → Windows の設定 → セキュリティの設定 → ローカル ポリシー → セキュリティ オプション → 対話型ログオン: コンピューターの非アクティブ時間の制限(例: 900 秒 = 15 分)
監査と監視
-
ログイン試行、権限の使用、アカウント管理の監査機能を有効にします。
-
ログを SIEM または中央ログ収集器に送信します。
-
セキュリティログを定期的に確認し、異常の兆候を調べます。
ローカル グループ ポリシー エディター(gpedit.msc)→ コンピューターの構成 → Windows の設定 → セキュリティの設定 → 詳細監査ポリシーの構成
有効化するカテゴリ: ログオン/ログオフ、アカウント管理、権限の使用