Windows TIPS
[Security]
Tips   Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

Administratorアカウント名を変更して攻撃を回避する

解説をスキップして操作方法を読む

デジタルアドバンテージ 島田 広道
2010/02/26
対象OS
Windows 2000
Windows XP Professional
Windows Server 2003
Windows Vista Business
Windows Vista Ultimate
Windows Vista Enterprise
Windows Server 2008
Windows 7 Professional
Windows 7 Ultimate
Windows 7 Enterprise
Windows Server 2008 R2
Windows OSでは通常、インストール時に「Administrator」という名前の管理者アカウントが作成される。
Administratorアカウントは、名前が知られているためパスワードが突破されると即、管理者権限が奪われてしまうので、類推の難しい別の名前に変更したほうがよい。
Administratorアカウントの名前を変更するには、ポリシー設定のセキュリティ・オプションを変更する。

解説

 通常、Windows OSをインストールすると、必ず「Administrator」という名前の管理者アカウントが作成される。インストール直後は、このアカウントでログオンしてOSの設定を変更するなどして環境を整備できるようになっている。名前があらかじめ分かっているので扱いやすく、例えば複数の管理者にそのパスワードを伝えることで、Administratorアカウントを共有して利用していることもあるだろう(Administratorアカウントの詳細についてはTIPS「Administratorとは?」参照)。

 しかし、管理者アカウントの名前が既知であるということは、パスワードさえ判明すれば容易に管理者権限でログオンできるという危険もはらんでいる。実際、不正侵入の手口としてAdministratorアカウントへの攻撃(パスワード類推によって認証をパスしようとする試み)は定番といえるもので、筆者も管理下のインターネット・サーバのログでその痕跡を見たことがある。

 こうした危険を回避するには、「Administrator」という名前を、知られていない別の名前に変更するのが有効だ。具体的には、ローカル・セキュリティ・ポリシーあるいはグループ・ポリシーのセキュリティ・オプションで新しい名前を設定すればよい。

 この策は、もちろん完璧な防御ではないが、少なくとも「Administrator」アカウントへの直接攻撃は回避できる。また名前を変更しても、管理者アカウントとしての機能は変わらないし、従来のAdministratorアカウントのプロファイルやセキュリティID(SID)もそのまま引き継がれる。

操作方法

ポリシー設定でAdministratorアカウント名を変更する

 Administratorアカウントの名前を変更するには、ローカル・セキュリティ・ポリシーやグループ・ポリシーなどのポリシー設定でセキュリティ・オプションを変更する。以下、Windows Server 2003のローカル・セキュリティ・ポリシーを例に変更手順を説明する(グループ・ポリシーについては後述)。特記しない限り、ほかのOSでも手順は同様だ。

 まず、[スタート]ボタン−[すべてのプログラム]またはコントロール・パネルから[管理ツール]を開き、[ローカル セキュリティ ポリシー]アイコンをダブルクリックする。ローカル・セキュリティ・ポリシー(ローカル・セキュリティ設定)の画面が表示されたら、左側ペインのツリーから[ローカル ポリシー]−[セキュリティ オプション]を選択する。右側ペインにポリシー一覧が表示されるので、[アカウント: Administrator アカウント名の変更]というポリシーを見つけてダブルクリックし、プロパティを開く(Windows 2000の場合、ポリシー名は「Administrator アカウント名の変更」)。

Administratorアカウント名を変更するポリシー
これはローカル・セキュリティ・ポリシーの画面。Administratorの名前を変更するには、のポリシーの設定を変更する。
これを選ぶ。
これをダブルクリックするとプロパティが開く。→

 プロパティ画面が開いたら、テキスト・ボックスに記されている「Administrator」を別の名前に変更する(欄が空白なら新しい名前を記入する)。新しい名前は管理者アカウントであると類推されないものが望ましい。また、パスワードにも当てはまることだが、名前は長め(最低でも元の13文字以上)にして突破を難しくさせるべきだ。

Administratorアカウント名を別の名前に変更する
このプロパティ画面で「Administrator」を新しい別の名前に変更できる。
  このタブを選ぶ。
  「Administrator」を消して、新しい名前を記入する。なおWindows 2000の場合、未変更であればここは空欄である。なるべく元の13文字以上で、かつ管理者アカウントを想起させない名前を付けること。
  これをクリックすると変更は完了する。

 OKボタンをクリックすると変更は完了する。後は、いったんログオフして新しい名前でログオンできるか確認する。

グループ・ポリシーで複数のPCのAdministrator名を変更する

TIPS「グループ・ポリシー・エディタの使用法」
TIPS「GPMCを活用する」

 グループ・ポリシーを利用すると、複数のPCに対してAdministratorアカウント名の変更が一律に実行できる。それにはまずグループ・ポリシー・エディタを起動して、左側ペインのツリーから、[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]−[ローカル ポリシー]−[セキュリティ オプション]を選択する。あとは前述のローカル・セキュリティ・ポリシーと同じく、[アカウント: Administrator アカウント名の変更]というポリシーのプロパティで新しい名前を指定する。グループ・ポリシー・エディタの使い方などについては関連記事を参照していただきたい。

 なお、単一のポリシーでは単一の名前しか適用できないので、もしPCによってAdministratorアカウントの新しい名前を変えたい場合は、その数だけグループ・ポリシー・オブジェクトも作成する必要がある。End of Article

「Windows TIPS」

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
  • ドメインの情報を提供するDNSのコンテンツサーバ (2017/6/22)
     DNSサーバには、ドメインの情報を定義・公開するコンテンツサーバと、それを利用するリゾルバの2種類がある。今回はコンテンツサーバの機能についてまとめておく
  • DNS(Domain Name System)とは (2017/6/21)
     インターネット上にあるサーバやサービスの「名前」とIPアドレスとの対応を管理してインターネットを支えている「DNS」。今回は、DNSの役割や構造の概要を解説
  • 第551話 プライバシー保護新時代 2 (2017/6/20)
     サービスの処理実体がクラウドにある以上、ネットサービス利用とプライバシー保護はトレードオフになります……
  • トラブル時にAzure Web Appsを自動的に復旧させる (2017/6/19)
     Azure Web Appsでは、サーバエラーの連続発生やメモリ消費量の増大などをトリガーとして、自動的にワーカープロセスを再起動できる。その設定方法は?
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH