Table of contents

Just Enough Administration

Ryan Puffer|最終更新日: 2017/02/22
|
1 投稿者

Just Enough Administration (JEA) は、PowerShell で管理できるものすべてに対する委任された管理を有効にするセキュリティ テクノロジです。 JEA を使用すると、以下のことを実行できます。

  • お使いのコンピューター上の管理者の数を減らします。このためには、通常のユーザーに代わって特権の必要な操作を実行する仮想アカウントを活用します。
  • ユーザーが実行できる操作を制限します。ここでは、ユーザーが実行できるコマンドレット、関数、および外部コマンドを指定できます。
  • トランスクリプションとログを使用して、ユーザーの操作を把握します。このトランスクリプションとログは、ユーザーがセッション中にどんなコマンドを実行したかを正確に示します。

これが重要な理由:

サーバーの管理に使用される高い特権を持つアカウントには、深刻なセキュリティ リスクがあります。 そのようなアカウントが攻撃者に狙われた場合、組織全体に横展開の攻撃が始まります。 侵害されたアカウントがさらに多くのアカウントやリソースへのアクセスを与え、会社の機密情報の盗難に一歩近づき、サービス拒否攻撃などが始まります。

しかしながら、管理者特権を削除することは簡単なことではありません。 DNS ロールが Active Directory ドメイン コントローラーと同じコンピューターにインストールされるという一般的なシナリオについて考えてみてください。 DNS 管理者は、DNS サーバーでの問題を解決するためにローカル管理者特権が必要ですが、そのためには、これらの管理者を高い特権を持つ "Domain Admins" セキュリティ グループのメンバーにする必要があります。 この方法は、ドメイン全体への制御や、そのコンピューター上のすべてのリソースへのアクセス権を DNS 管理者に効果的に付与します。

JEA は最小限の特権の原則の導入を支援し、この問題の対処に役立ちます。 JEA を利用すると、DNS 管理者に管理エンドポイントを構成して、これらの管理者が作業を行うのに必要なすべての PowerShell コマンドにアクセスできるように、またそれ以外のことを実行できないように指定できます。 つまり、DNS 管理者に Active Directory への権限を付与しなくても、侵害された DNS キャッシュを修復したり、DNS サーバーを再起動したり、またはファイル システムを参照したり、潜在的に危険性なスクリプトを実行したりできる適切なアクセスを提供できます。 さらに、JEA セッションが一時的な特権仮想アカウントを使用するように構成されている場合、DNS 管理者は管理者以外の資格情報を使用してサーバーに接続できる一方で、一般的には管理者特権を必要とするコマンドも実行できます。 この機能により、幅広い特権が与えられたローカル/ドメイン管理者ロールからユーザーを削除し、代わりに、各コンピューターでユーザーに許可する操作を慎重に制御できます。

JEA の使用を開始する

現在、Windows Server 2016 か Windows 10 を実行しているあらゆるコンピューターで JEA の使用を開始できます。 JEA は、Windows Management Framework の更新プログラムがインストールしてある以前のオペレーティング システムでも実行できます。 JEA の使用要件、JEA エンドポイントの作成、使用、監査方法については、次のトピックをご覧ください。

  • 前提条件 - JEA を使用するための環境の設定方法について説明します。
  • ロール機能 - JEA セッションでユーザーに許可する操作を決定するロールの作成方法について説明します。
  • セッション構成 - ユーザーをロールにマッピングし、JEA ID を設定する JEA エンドポイントの構成方法について説明します。
  • JEA の登録 - JEA エンドポイントを作成し、ユーザーがそれに接続できるようにします。
  • JEA の使用 - JEA のさまざまな使用方法について説明します。
  • セキュリティの考慮事項 - JEA 構成オプションのセキュリティ ベスト プラクティスとその意味について確認します。
  • JEA の監査とレポート - JEA エンドポイントの監査とレポートの方法について説明します。
© 2017 Microsoft