Active Directory のリスクアナリシス

ここでは Identity Manager による Active Directory のリスクアナリシスの方法を説明します。

前提条件

• Identity Manager がインストールされている。
  Identity Manager のインストール を参考にしてください。
• Active Dirctory Resource Adapter が設定されていて、接続確認ができている。
  • kimimasa's blog : 【Identity Manager】Active Directoryの接続ユーザを作ってみよう。
  • kimimasa's blog : 【Identity Manager】gateway をインストールしよう。
    を参考にしてください。

Active Directory 上にユーザを作成する。

Active Directory 側で、リスク分析レポートおよび非アクティブ アカウント スキャン レポートに引っかかるような
ユーザを作成しておく。(使用される環境に応じて、コンテナの作成場所などは変更してください。）

1. まず、今回対象とするユーザコンテナを作成しておく。今回は ou=Users,ou=Japan,dc=example,dc=com
   
2. 無効化されたアカウントを作成する。
   
3. 期限切れパスワードのユーザを作成する
   
   今回は初期ログイン時にパスワードが必要チェックボックスにチェックをつけてテスト
4. 所有者のないアカウントの作成
   　（今回は省略）
5. パスワード不要のアカウントの作成
   　（今回は省略）
6. 期限切れアカウントの作成
   
7. 最後のログインがxx日前というユーザを作成
   
   作成後、一度ログインしておきます。グループを割り当てているのはリモートからのログインができるようにするためです。
8. 一度もログインされていないアカウントでxx日前に作成されてアカウントを作成
   
   この人はログインしないので、ログインするためのグループ割り当てはしていません。
9. パスワードの変更がxx日前のアカウントを作成
   　（今回は省略）

リスク分析・非アクティブアカウントスキャンの作成

1. Windows 2000 / Active Directory リスク分析レポートタスク の作成（ 使用されている環境に応じて、ADリソース名や、ADのコンテナの場所などは変更してください。 ）
   1. Identity Managerにログイン
   2. レポート タブ -> リスク分析の実行 タブと進む。
   3. ドロップダウンリストから、Windows 2000 / Active Directory リスク分析レポート を選択
   4. 下記のように入力して保存をクリック。
      
2. Windows 2000 / Active Directory 非アクティブ アカウント スキャン レポートタスク の作成（ 使用されている環境に応じて、ADリソース名や、ADのコンテナの場所などは変更してください。 ）
   1. Identity Managerにログイン
   2. レポート タブ -> リスク分析の実行 タブと進む。
   3. ドロップダウンリストから、Windows 2000 / Active Directory リスク分析レポート を選択
   4. 下記のように入力して保存をクリック。
      

リスク分析・非アクティブアカウントスキャンレポートでの Actvie Directory 上のユーザの監査（スキャン）

1. Windows 2000 / Active Directory リスク分析レポートタスク の実行
   1. Identity Managerにログイン
   2. レポート タブ -> リスク分析の実行 タブと進む。
   3. 作成した、Windows 2000 / Active Directory リスク分析レポート を実行
      
   4. 下のようにリスクのあるアカウントに関するレポートが表示される。
      
      
      
2. Windows 2000 / Active Directory 非アクティブ アカウント スキャン レポートタスク の実行
   1. Identity Managerにログイン
   2. レポート タブ -> リスク分析の実行 タブと進む。
   3. 作成した、Windows 2000 / Active Directory 非アクティブ アカウント スキャン レポート を実行
      
      ここでは パスワードの変更日 をチェックするレポートを実行してみます。
   4. 下記のようにパスワードの変更日に問題のあるアカウントに関するレポートが表示される。
      
      
   5. 作成した、Windows 2000 / Active Directory 非アクティブ アカウント スキャン レポート を実行
      
      ここでは 一度もログインされていないアカウント をチェックするレポートを実行してみます。
   6. 下記のように一度もログインされていないアカウントに関するレポートが表示される。
      
      
   7. 作成した、Windows 2000 / Active Directory 非アクティブ アカウント スキャン レポート を実行
      
      ここでは 最終ログイン日 をチェックするレポートを実行してみます。
   8. 下記のように最終ログイン日に関するレポートが表示される。
      
      

リスク分析・非アクティブアカウントスキャンのスケジューリング設定

1. Windows 2000 / Active Directory リスク分析レポートタスク のスケジューリング設定
   1. Identity Managerにログイン
   2. サーバータスク タブ -> スケジュールの管理 タブと進む。
      
   3. スケジュール可能なタスク の中から、Windows 2000 / Active Directory リスク分析レポート をクリック
      
   4. 下記のように入力して保存をクリック。
      20080411_ADRiskAnalysist6.PNG|thumbnail!
   5. スケジュールされたタスク として登録される。
      
2. Windows 2000 / Active Directory 非アクティブ アカウント スキャン レポートタスク のスケジューリング設定
   1. Identity Managerにログイン
   2. サーバータスク タブ -> スケジュールの管理 タブと進む。
      
   3. スケジュール可能なタスク の中から、Windows 2000 / Active Directory 非アクティブ アカウント スキャン をクリック
      
   4. 下記のように入力して保存をクリック。
      
      
   5. スケジュールされたタスク として登録される。
      

スケジューリングされたリスク分析・非アクティブアカウントスキャンレポートでの Actvie Directory 上のユーザの監査（スキャン）結果の確認

1. スケジューリングされた Windows 2000 / Active Directory リスク分析レポートタスク の結果確認
   1. Identity Managerにログイン
   2. サーバータスク タブ -> すべてのタスク タブと進む。
   3. Active Directory Risk Analysis をクリック。
      
   4. 下記のように監査（スキャン）結果のレポートが表示される。( メール転送 の設定をしていないためメールが送れなかったというエラーが表示されていますが、スキャン自体は問題なく行なわれています。）
      
      
2. スケジューリングされた Windows 2000 / Active Directory 非アクティブ アカウント スキャン レポートタスク の結果確認
   1. Identity Managerにログイン
   2. サーバータスク タブ -> すべてのタスク タブと進む。
   3. Active Directory Inactive Account Scan をクリック。(後ろの番号は結果を上書きしない設定にしているため表示されます。番号がないものが最新の結果です。）
      
   4. 下記のように監査（スキャン）結果のレポートが表示される。
      

参考情報

1. Sun Java™ System Identity Manager 7.1 管理ガイド>>第 7 章 レポート>> リスク分析