特権アクセス ワークステーションを使用する

完了

Contoso のコンサルタントが作成したセキュリティ レポートを確認すると、悪意のあるハッカーは、インフラストラクチャへの高レベルのアクセス権を持つ管理者によって定期的に使用されるワークステーションを集中的に攻撃することがわかりました。 そのため、このようなワークステーションがセキュリティで保護されていることを確認することが重要です。

特権アクセス ワークステーションとは

特権アクセス ワークステーション (PAW) は、ID システム、クラウド サービス、その他の機密性の高い機能の管理などの管理タスクを実行するために使用できるコンピューターです。 このコンピューターはインターネットから保護され、必要な管理アプリのみを実行できるようにロック ダウンされます。

注意事項

管理ユーザー アカウントが標準ユーザー アカウントとして使用されないことを確認します。

このワークステーションは、Web 閲覧、電子メール、その他の一般的なエンドユーザー アプリで使用しないでください。また、厳密なアプリケーション制御が必要です。 ワイヤレス ネットワークまたは外部 USB デバイスへの接続を許可しないでください。 PAW には、多要素認証 (MFA) などのセキュリティ機能を実装する必要があります。

ヒント

非特権ワークステーションからの接続を受け入れないように、特権サーバーを構成する必要があります。

Microsoft では、PAW 用に Windows 11 Enterprise を使用することが推奨されています。 これは、Windows 11 Enterprise では、その他のエディションで使用できないセキュリティ機能がサポートされているためです。 次の表では、これらの Windows Defender 機能について説明します。

機能	説明
Windows Defender Application Control	既定ですべてのアプリケーションが信頼できると見なされる従来のアプリケーション信頼モデルから、アプリケーションを実行するために信頼を得る必要がある信頼モデルに移行します。
Windows Defender Credential Guard	NTLM パスワード ハッシュ、Kerberos チケット保証チケット、およびドメイン資格情報としてアプリケーションに格納されている資格情報を保護します。 これらはローカル セキュリティ機関 (LSA) には格納されなくなるため、侵害されたシステムでも資格情報の盗難をブロックできる可能性があります。
Windows Defender Device Guard	Windows アプリケーション制御の機能と、Windows Hyper-V ハイパーバイザーを使用する機能を組み合わせて、Windows カーネル モード プロセスを悪意のあるコードまたは未検証のコードが挿入および実行されないように保護します。
Windows Defender Exploit Guard	管理者は、攻撃面や悪用を減らすためのポリシー、ネットワーク保護、および疑わしいアプリから一般的な攻撃対象のフォルダーへのアクセスの保護を定義して管理できます。

PAW ハードウェア プロファイル

管理者はユーザーでもあることを覚えておくことが重要です。 つまり、電子メールを使用したり、Web を閲覧したり、Microsoft Office などの生産性アプリを実行したりします。 正しく構成された PAW は、非管理タスクにおけるユーザーの生産性に大きく影響します。

注意事項

ユーザーは生産性を向上させる安全でないソリューションを優先し、生産性を制限する安全なソリューションを断念する傾向があることを覚えておいてください。

セキュリティを保持するには、管理者ユーザーに 2 台のワークステーションを提供する必要があります。 1 台のワークステーションは PAW であり、もう 1 台は昇格の必要がない日常のタスク用に使用されます。 このような分離は、PAW ハードウェア プロファイルを使用して実現できます。 Microsoft では、次のハードウェア プロファイルのいずれかを使用することが推奨されています。

• 専用のハードウェア。 ユーザー タスク用と管理タスク用に別々の専用デバイス。 管理ワークステーションでは、トラステッド プラット フォーム モジュール (TPM) などのハードウェア セキュリティ機構がサポートされ、既に説明した Windows 10 Enterprise のセキュリティ機能が実装されている必要があります。
• 同時使用。 2 台のオペレーティング システム (1 台はユーザー システム、もう 1 台は管理者システム) を実行して、ユーザー タスクと管理タスクを同時に実行できる単一のデバイス。 これを行うには、VM で日常的に使用される別々のオペレーティング システムを実行します。

注意事項

単一のデバイスを使用している場合は、PAW が物理コンピューター上で実行されていて、通常のワークステーションが VM として実行されていることを確認してください。 これにより、適切なセキュリティが実現されます。

次の表には、これらのアプローチの長所と短所を示します。

シナリオ	長所	短所
専用のハードウェア	強力なセキュリティ分離	2 つのデバイスが必要です。 これを実装するには、より多くの領域とコストが必要です。
同時使用	ハードウェア コストを削減できる	同じキーボードとマウスを共有すると、エラーが発生し、セキュリティ上のリスクが生じる可能性があります。

クイック レビュー

1.

サインイン プロセス中にユーザー資格情報を保護する際に役立つ Windows 10 Enterprise の機能は何ですか。また、その機能を有効にするには何が必要ですか。

この保護は、Windows Defender Credential Guard で提供されます。 Windows Defender Credential Guard を実装するには、Hyper-V 機能と、理想的には TPM と Unified Extensible Firmware Interface (UEFI) ロックが必要です。

この保護は、Windows Defender Device Guard で提供されます。 Windows Defender Device Guard を実装するには、Hyper-V 機能、セキュア ブート、および理想的には TPM と UEFI ロックが必要です。

この保護は、Windows Defender Credential Guard で提供されます。 Windows Defender Credential Guard を実装するには、Hyper-V 機能、セキュア ブート、および理想的には TPM と UEFI ロックが必要です。

作業を確認する前にすべての問題に回答する必要があります。