[Security] | |||||||||||||||||||
Administratorアカウント名を変更して攻撃を回避する
|
|||||||||||||||||||
|
解説 |
通常、Windows OSをインストールすると、必ず「Administrator」という名前の管理者アカウントが作成される。インストール直後は、このアカウントでログオンしてOSの設定を変更するなどして環境を整備できるようになっている。名前があらかじめ分かっているので扱いやすく、例えば複数の管理者にそのパスワードを伝えることで、Administratorアカウントを共有して利用していることもあるだろう(Administratorアカウントの詳細についてはTIPS「Administratorとは?」参照)。
しかし、管理者アカウントの名前が既知であるということは、パスワードさえ判明すれば容易に管理者権限でログオンできるという危険もはらんでいる。実際、不正侵入の手口としてAdministratorアカウントへの攻撃(パスワード類推によって認証をパスしようとする試み)は定番といえるもので、筆者も管理下のインターネット・サーバのログでその痕跡を見たことがある。
こうした危険を回避するには、「Administrator」という名前を、知られていない別の名前に変更するのが有効だ。具体的には、ローカル・セキュリティ・ポリシーあるいはグループ・ポリシーのセキュリティ・オプションで新しい名前を設定すればよい。
この策は、もちろん完璧な防御ではないが、少なくとも「Administrator」アカウントへの直接攻撃は回避できる。また名前を変更しても、管理者アカウントとしての機能は変わらないし、従来のAdministratorアカウントのプロファイルやセキュリティID(SID)もそのまま引き継がれる。
操作方法 |
ポリシー設定でAdministratorアカウント名を変更する
Administratorアカウントの名前を変更するには、ローカル・セキュリティ・ポリシーやグループ・ポリシーなどのポリシー設定でセキュリティ・オプションを変更する。以下、Windows Server 2003のローカル・セキュリティ・ポリシーを例に変更手順を説明する(グループ・ポリシーについては後述)。特記しない限り、ほかのOSでも手順は同様だ。
まず、[スタート]ボタン−[すべてのプログラム]またはコントロール・パネルから[管理ツール]を開き、[ローカル セキュリティ ポリシー]アイコンをダブルクリックする。ローカル・セキュリティ・ポリシー(ローカル・セキュリティ設定)の画面が表示されたら、左側ペインのツリーから[ローカル ポリシー]−[セキュリティ オプション]を選択する。右側ペインにポリシー一覧が表示されるので、[アカウント: Administrator アカウント名の変更]というポリシーを見つけてダブルクリックし、プロパティを開く(Windows 2000の場合、ポリシー名は「Administrator アカウント名の変更」)。
Administratorアカウント名を変更するポリシー | ||||||
これはローカル・セキュリティ・ポリシーの画面。Administratorの名前を変更するには、のポリシーの設定を変更する。 | ||||||
|
プロパティ画面が開いたら、テキスト・ボックスに記されている「Administrator」を別の名前に変更する(欄が空白なら新しい名前を記入する)。新しい名前は管理者アカウントであると類推されないものが望ましい。また、パスワードにも当てはまることだが、名前は長め(最低でも元の13文字以上)にして突破を難しくさせるべきだ。
Administratorアカウント名を別の名前に変更する | |||||||||
このプロパティ画面で「Administrator」を新しい別の名前に変更できる。 | |||||||||
|
OKボタンをクリックすると変更は完了する。後は、いったんログオフして新しい名前でログオンできるか確認する。
グループ・ポリシーで複数のPCのAdministrator名を変更する
|
グループ・ポリシーを利用すると、複数のPCに対してAdministratorアカウント名の変更が一律に実行できる。それにはまずグループ・ポリシー・エディタを起動して、左側ペインのツリーから、[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]−[ローカル ポリシー]−[セキュリティ オプション]を選択する。あとは前述のローカル・セキュリティ・ポリシーと同じく、[アカウント: Administrator アカウント名の変更]というポリシーのプロパティで新しい名前を指定する。グループ・ポリシー・エディタの使い方などについては関連記事を参照していただきたい。
なお、単一のポリシーでは単一の名前しか適用できないので、もしPCによってAdministratorアカウントの新しい名前を変えたい場合は、その数だけグループ・ポリシー・オブジェクトも作成する必要がある。
この記事と関連性の高い別の記事
- Windows OSの「Administrator」とは?(TIPS)
- パスワードを忘れたWindows OSにログオン(サインイン)する(TIPS)
- Active DirectoryドメインでもMicrosoftアカウントで設定を同期する(TIPS)
- 「ようこそ」画面でログオン・ダイアログを表示する(TIPS)
- システムに自動ログオンする(Windows 7/Windows Server 2008 R2編)(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|