ジャンプ サーバーを使用する

  • 5 分

Contoso 向けに生成されたセキュリティ レポートでは、PAW の使用に加えて、ジャンプ サーバーを実装することが推奨さされています。 PAW の使用方法を決定したら、ジャンプ サーバーをさらに調査して、どのような利点が Contoso の IT に得られるかを判断します。

ジャンプ サーバーとは

ジャンプ サーバーは、別のセキュリティ ゾーン内 (内部ネットワークと境界ネットワーク間など) のデバイスにアクセスして管理するために使用される強化されたサーバーです。 ジャンプ サーバーは、連絡および管理の単一ポイントとして機能できます。

中規模な組織の場合は、ジャンプ サーバーで、物理的なセキュリティがより困難な場所でセキュリティを強化するために役立つ方法を提供できます。 例として、データ センターが存在しないブランチ オフィスが挙げられます。 大規模な組織の場合は、管理者がデータ センターに設置したジャンプ サーバーを配置できます。これらのジャンプ サーバーでは、サーバーおよびドメイン コントローラーへの高度に制御されたアクセスを提供できます。

通常、ジャンプ サーバーには機密データがありませんが、ユーザー資格情報がメモリに保存されているため、悪意のあるハッカーは、これらの資格情報を攻撃対象にする可能性があります。 そのため、ジャンプ サーバーを強化する必要があります。

ヒント

通常は、PAW を使用してジャンプ サーバーにアクセスすると、セキュリティで保護されたアクセスが確保されます。

このサーバーは、次のようなハードウェアベースとソフトウェアベースの両方のセキュリティ機能をサポートする専用のハードウェア上で実行されます。

  • メモリ内のドメイン資格情報を暗号化する Windows Defender Credential Guard。
  • 代わりに Kerberos バージョン 5 のシングルサインオン チケットを使用して、リモート資格情報がジャンプ サーバーに送信されないようにする Windows Defender Remote Credential Guard。
  • Windows Defender Device Guard:
    • 仮想化ベースのセキュリティを使用してカーネル モード コンポーネントが強制的にコード整合性ポリシーに従うように、ハイパーバイザーによるコードの整合性の強制 (HVCI) を使用する。
    • 管理者がカスタム コードの整合性ポリシーを作成し、信頼されたソフトウェアを指定できるように、構成コードの整合性を使用する。

ジャンプ サーバーを使用すると、PAW の有無に関係なく、論理セキュリティ ゾーンを作成できます。 ゾーン内では、コンピューターのセキュリティと接続が同様に構成されています。 GPO を使用すると、これらの設定をドメイン環境内で構成できます。

ヒント

管理ユーザーは、リモート デスクトップ プロトコル (RDP) とスマート カードを使用してジャンプ サーバーに接続して、管理タスクを実行できます。

ジャンプ サーバーを実装する

次の図は、ジャンプ サーバーと PAW の一般的な配置を示しています。 管理ユーザーはスマート カードを使用して、標準アカウントを使用した標準のワークステーションに対する認証を行います。 ユーザーは、標準のアプリにアクセスして日常業務の生産性タスクを実行できます。 また、管理者は管理者アカウントも持っていて、スマート カードを使用して管理 PAW に対する認証を行います。 次に、構成された管理ジャンプ サーバーに接続します。このサーバーには、適切なオブジェクトへの管理者アクセス権があります。

図は上記のテキストで説明したシナリオを示しています。

ジャンプ サーバーを実装するときには、次のようないくつかの重要な考慮事項があります。

  • リモート デスクトップ ゲートウェイ。 管理者が (RDP を使用して) ターゲット サーバーに直接接続する必要がある場合は、リモート デスクトップ ゲートウェイを実装します。 これにより、ジャンプ サーバーへの接続と、ジャンプ サーバーの管理に使用される宛先サーバーへの接続に制限を実装できます。
  • Hyper-V。 ジャンプ サーバー上の管理者ごとに、VM を実装することを検討してください。 各 VM は、特定の管理タスクまたは一部の管理タスクが許可されるように構成できます。 そのため、ジャンプ サーバー上に Hyper-V をインストールする必要があります。

ヒント

管理タスクが完了すると、これらの VM を強制的にシャットダウンできます。 VM を未使用時にシャットダウンすると、攻撃面を減らすことができます。

  • サーバーの機能。 ジャンプ サーバーを実装するには、サーバー コンピューターで次の機能がサポートされている必要があります。

    • UEFI セキュア ブート。
    • 仮想化サポート。
    • 署名付きカーネル モード ドライバー。

  • リモート管理ツール。 サーバーを管理するには、常にリモート管理ツールを使用する必要があります。 管理者の VM (Hyper-V を実装していない場合は物理ジャンプ サーバー) に、Windows Admin Center とリモート サーバー管理ツール (RSAT) をインストールします。

    注意事項

    また、汎用のコンピューターでリモート管理ツールを使用できないようにする必要もあります。

  • RDP 接続。 管理者が管理タスクの実行時に、RDP を使用して VM に接続するようにします。