安全な管理用のホストを実装する
セキュリティで保護された管理用ホストとは、特権アカウントが Active Directory、ドメイン コントローラー、ドメインに参加しているシステム、およびドメインに参加しているシステムで実行されているアプリケーションで管理タスクを実行できる、安全なプラットフォームを作成するために特別に構成されたワークステーションまたはサーバーのことです。 この場合、"特権アカウント" は、Active Directory 内の最も特権の高いグループのメンバーであるアカウントだけではなく、管理タスクの実行を許可する権限とアクセス許可を委任されたあらゆるアカウントを指します。
これらのアカウントには、ドメイン内のほとんどのユーザーのパスワードをリセットできるヘルプ デスク アカウント、DNS レコードとゾーンの管理に使用するアカウント、構成管理に使用するアカウントなどがあります。 セキュリティで保護された管理用ホストは管理機能専用であり、電子メール アプリケーション、Web ブラウザー、生産性ソフトウェア (Microsoft Office など) などのソフトウェアは実行されません。
"最も特権の高い" アカウントとグループは、それに応じて最も厳重に保護されている必要がありますが、標準ユーザー アカウント以上の権限が付与されているアカウントやグループを保護する必要がなくなるわけではありません。
セキュリティで保護された管理用ホストは、管理タスク用、リモート デスクトップ ゲートウェイ サーバーの役割を実行し、IT ユーザーが宛先ホストの管理を実行するために接続するメンバー サーバー用、または Hyper-V の役割を実行し、各 IT ユーザーが各自の管理タスクのために使用する一意の仮想マシンを提供するサーバー用としてのみ使用される、専用ワークステーションにすることができます。 多くの環境では、3 つのすべてのアプローチを組み合わせて実装できます。
セキュリティで保護された管理用ホストを実装するには、組織の規模、管理手法、リスク選好度、予算との整合性が取れた計画と構成が必要です。 ここで紹介しているセキュリティで保護された管理用ホストを実装する際の考慮事項とオプションは、お客様の組織に適した管理方針を策定する際にご使用ください。
セキュリティで保護された管理用ホストを作成するための原則
攻撃からシステムを効果的にセキュリティで保護するには、以下のいくつかの一般的な原則を考慮する必要があります。
信頼されたシステム (つまり、ドメイン コントローラーなどのセキュリティで保護されたサーバー) は、信頼度の低いホスト (つまり、管理するシステムと同程度のセキュリティで保護されていないワークステーション) からは管理しないでください。
特権アクティビティを実行する場合、単一の認証要素に依存しないでください。つまり、ユーザー名とパスワードの組み合わせは、単一要素 (認識しているもの) しか表さないためため、受け入れ可能な認証と見なすことはできません。 資格情報が生成されて、キャッシュまたは保管される場所を管理シナリオで検討する必要があります。
現在の脅威環境のほとんどの攻撃では、マルウェアや悪意のあるハッキングが利用されていますが、セキュリティで保護された管理用ホストを設計して実装するときに、物理的なセキュリティを省略しないでください。
アカウントの構成
現在、組織でスマート カードを使用していない場合でも、特権アカウントおよびセキュリティで保護された管理用ホストに対してそれらを実装することを検討してください。 管理用ホストは、管理用ホストを含む OU にリンクされた GPO の以下の設定を変更することによって、すべてのアカウントに対してスマート カード ログオンを要求するように構成する必要があります。
[コンピューターの構成]\[ポリシー]\[Windows の設定]\[ローカル ポリシー]\[セキュリティ オプション]\[Interactive logon: Require smart card] (対話型ログオン: スマートカードが必要)
この設定では、Active Directory の個々のアカウントでの構成に関係なく、すべての対話型ログオンでスマート カードを使用する必要があります。
また、セキュリティで保護された管理用ホストを、承認されたアカウントによるログオンのみを許可するように構成する必要もあります。これは、以下で構成できます。
[コンピューターの構成]\[ポリシー]\[Windows の設定]\[ローカル ポリシー]\[セキュリティ設定]\[ローカル ポリシー]\[ユーザー権利の割り当て]
これにより、セキュリティで保護された管理用ホストの承認されたユーザーにのみ、対話型 (および、該当する場合は、リモート デスクトップ サービス) ログオンの権限が付与されます。
物理的なセキュリティ
管理用ホストが信頼できると見なされるには、それらが管理するシステムと同じ程度に構成および保護されている必要があります。 「攻撃に対してドメイン コントローラーをセキュリティで保護する」に記載されている推奨事項のほとんどは、ドメイン コントローラーおよび AD DS データベースの管理に使用するホストにも当てはまります。 ほとんどの環境で安全な管理用のシステムを実装する際の課題の 1 つは、物理的なセキュリティの実装がより困難になる可能性があることです。これは、これらのコンピューターが、データ センターにホストされているサーバーほど安全ではない領域 (たとえば、管理ユーザーのデスクトップなど) に存在することが多いためです。
物理的なセキュリティには、管理用ホストへの物理的なアクセスの制御が含まれます。 小規模な組織では、このことは、使用しないときはオフィスや机の引き出しにロックして保管する専用の管理ワークステーションを維持することを意味します。 あるいは、Active Directory またはドメイン コントローラーの管理を実行する必要があるときに、ドメイン コントローラーに直接ログオンすることを意味する場合もあります。
中規模の組織では、セキュリティで保護された管理 "ジャンプ サーバー" の実装を検討することがあります。これは、オフィス内の安全な場所に置かれ、Active Directory またはドメイン コントローラーの管理が必要な場合に使用されます。 また、ジャンプ サーバーの有無に関係なく、使用しないときは安全な場所にロックされる管理ワークステーションを実装することもあります。
大規模な組織では、Active Directory、ドメイン コントローラー、ファイル、印刷、およびアプリケーションの各サーバーへの厳密に制御されたアクセスを提供する、データ センターに収容されたジャンプ サーバーを展開できます。 ジャンプ サーバー アーキテクチャの実装では、大規模な環境にセキュリティで保護されたワークステーションとサーバーの組み合わせが含まれる可能性が最も高くなります。
組織の規模や管理用ホストの設計に関係なく、物理的なコンピューターを未承認のアクセスや盗難からセキュリティで保護する必要があります。また、BitLocker ドライブ暗号化を使用して、管理用ホスト上のドライブを暗号化して保護する必要があります。 管理用ホストに BitLocker を実装することによって、ホストが盗まれた場合や、そのディスクが削除された場合でも、ドライブ上のデータに未承認のユーザーがアクセスできないようにすることができます。
オペレーティング システムのバージョンと構成
サーバーまたはワークステーションにかかわらず、すべての管理用ホストでは、このドキュメントで前述した理由により、組織で使用している最新のオペレーティング システムを実行する必要があります。 最新のオペレーティング システムを実行することで、管理スタッフは新しいセキュリティ機能、ベンダーの完全なサポート、およびオペレーティング システムで導入されたその他の機能の利点を活用できます。 さらに、新しいオペレーティング システムを評価するときに、最初に管理用ホストにそれを展開することによって、提供される新機能、設定、管理メカニズムについて理解を深める必要があります。これは、後でオペレーティング システムのより広範な展開を計画するときに活用できます。 この時までに、組織内の最も高度なユーザーは、新しいオペレーティング システムをよく理解し、それをサポートする最適な立場にいるユーザーにもなります。
Microsoft セキュリティの構成ウィザード
ジャンプ サーバーを管理用ホスト戦略の一環として実装する場合は、組み込みのセキュリティ構成ウィザードを使用して、サービス、レジストリ、監査、およびファイアウォールの設定を、サーバーの攻撃対象領域を減らすように構成する必要があります。 セキュリティ構成ウィザードの構成設定が収集および構成されている場合は、すべてのジャンプ サーバーで一貫したベースライン構成を適用するために使用される GPO にそれらの設定を変換できます。 この GPO をさらに編集して、ジャンプ サーバーに固有のセキュリティ設定を実装できるほか、Microsoft Security Compliance Manager から抽出したその他のベースライン設定をすべての設定と組み合わせることができます。
Microsoft Security Compliance Manager
Microsoft Security Compliance Manager は、オペレーティング システムのバージョンとロール構成に基づいて Microsoft が推奨するセキュリティ構成を統合し、ドメイン コントローラーのベースライン セキュリティ設定を作成および構成するために使用できる単一のツールと UI でそれらを収集する、無償で利用可能なツールです。 Microsoft Security Compliance Manager テンプレートをセキュリティ構成ウィザードの設定と組み合わせると、ジャンプ サーバーが Active Directory に配置されている OU に展開されている GPO によって展開および適用されるジャンプ サーバーの包括的な構成基準を作成できます。
注意
これを執筆している時点では、Microsoft Security Compliance Manager には、ジャンプ サーバーやその他のセキュリティで保護された管理用ホストに固有の設定は含まれていませんが、Security Compliance Manager (SCM) を使用して、管理用ホストの初期ベースラインを作成することはできます。 ただし、ホストを適切にセキュリティ保護するには、高度にセキュリティ保護されたワークステーションとサーバーに適した追加のセキュリティ設定を適用する必要があります。
AppLocker
管理ホストと仮想マシンは、AppLocker またはサード パーティ製のアプリケーション制限ソフトウェアを使用してスクリプト、ツール、アプリケーションによって構成する必要があります。 セキュリティで保護された設定に準拠していない管理用アプリケーションまたはユーティリティは、セキュリティで保護された開発と管理の手法に準拠したツールにアップグレードするか置き換える必要があります。 管理用ホストで新規または追加のツールが必要な場合は、アプリケーションとユーティリティを十分にテストする必要があり、ツールが管理用ホストへの展開に適している場合に、それをシステムに追加できます。
RDP の制限
具体的な構成はお使いの管理システムのアーキテクチャによって異なりますが、管理対象システムへのリモート デスクトップ プロトコル (RDP) 接続を確立するために使用できるアカウントとコンピューターに対する制限を含める必要があります。たとえば、リモート デスクトップ ゲートウェイ (RD ゲートウェイ) ジャンプ サーバーを使用して、承認されたユーザーやシステムからのドメイン コントローラーやその他の管理対象システムへのアクセスを制御します。
承認されたユーザーによる対話型ログオンを許可する必要があります。また、サーバーへのアクセスに不要な他のログオンの種類を削除したり、ブロックしたりする必要もあります。
パッチと構成の管理
小規模な組織では、Windows Update やWindows Server Update Services (WSUS) などのオファリングを使用して、Windows システムへの更新プログラムの展開を管理できますが、大規模な組織では、エンタープライズ パッチや Microsoft Endpoint Configuration Manager などの構成管理ソフトウェアを実装する場合があります。 一般的なサーバーおよびワークステーション群への更新プログラムの展開に使用するメカニズムに関係なく、ドメイン コントローラー、証明機関、管理ホストなどの高度にセキュリティ保護されたシステムの展開を分離することを検討する必要があります。 これらのシステムを一般的な管理インフラストラクチャから分離することにより、管理ソフトウェアまたはサービス アカウントが危険にさらされた場合に、インフラストラクチャ内の最も厳重にセキュリティ保護されたシステムが簡単に侵害されないようにすることができます。
セキュリティで保護されたシステムの手動更新プロセスは実装すべきではありませんが、セキュリティで保護されたシステムを更新するための個別のインフラストラクチャを構成する必要があります。 非常に大規模な組織の場合でも、このインフラストラクチャは通常、セキュリティで保護されたシステム専用の WSUS サーバーと GPO を使用して実装できます。
インターネット アクセスの禁止
管理用ホストは、インターネットへのアクセスを許可したり、組織のイントラネットを参照できるようにしたりすることはできません。 Web ブラウザーおよび類似のアプリケーションは、管理用ホストでは許可されません。 セキュリティで保護されたホストで境界ファイアウォール設定、WFAS 構成、および "ブラック ホール" プロキシ構成の組み合わせを使用して、セキュリティで保護されたホストのインターネット アクセスを禁止できます。 また、アプリケーション許可リスト (allowslist) 使用して、Web ブラウザーが管理用ホストで使用されないようにすることもできます。
仮想化
可能であれば、仮想マシンを管理用ホストとして実装することを検討してください。 仮想化を使用すると、集中的に保管および管理されるユーザー単位の管理システムを構築できます。これは、使用していないときに簡単にシャットダウンできるため、資格情報が管理システム上でアクティブ状態のままにならないようにすることができます。 また、使用が終わるたびに仮想管理用ホストを初期スナップショットに強制的にリセットし、仮想マシンが初期状態のままになるようにすることもできます。 管理用ホストの仮想化に関するオプションの詳細は、以降のセクションに記載されています。
セキュリティで保護された管理用ホストを実装するためのアプローチの例
管理用ホスト インフラストラクチャの設計および展開方法に関係なく、このトピックの「セキュリティで保護された管理用ホストを作成するための原則」に記載されているガイドラインに留意する必要があります。 ここで説明するそれぞれの方法では、IT スタッフが使用する "管理" と "生産性" のシステムを分離する方法について、一般的な情報を提供します。 生産性システムは、IT 管理者が電子メールをチェックしたり、インターネットを閲覧したり、Microsoft Office などの一般的な生産性ソフトウェアを使用したりするために使うコンピューターです。 管理システムは、IT 環境の日常の管理に使用するように強化された専用のコンピューターです。
セキュリティで保護された管理用ホストを実装する最も簡単な方法は、IT スタッフに、管理タスクを実行できるセキュリティで保護されたワークステーションを提供することです。 ワークステーションのみの実装では、サーバーやその他のインフラストラクチャを管理するための管理ツールと RDP 接続を起動するために、それぞれの管理ワークステーションが使用されます。 ワークステーションのみの実装は、小規模な組織では効果的ですが、より大規模で複雑なインフラストラクチャでは、専用の管理サーバーとワークステーションを使用する管理用ホスト向けの分散設計のメリットを活用できます。これについては、このトピックの後半にある「セキュリティで保護された管理ワークステーションとジャンプ サーバーを実装する」で説明しています。
別個の物理ワークステーションを実装する
管理ホストを実装できる 1 つの方法は、各 IT ユーザーに 2 台のワークステーションを支給することです。 1 台目のワークステーションを "通常の" ユーザー アカウントで使用して、電子メールのチェックや生産性アプリケーションの使用などのアクティビティを実行し、2 台目のワークステーションは厳密に管理機能専用とします。
生産性ワークステーションでは、セキュリティで保護されていないコンピューターにログオンするために特権アカウントを使用するのではなく、IT スタッフに通常のユーザー アカウントを付与できます。 管理ワークステーションは、厳密に制御された設定で構成する必要があり、IT スタッフは、別のアカウントを使用して管理ワークステーションにログオンする必要があります。
スマート カードを実装している場合は、スマート カードのログオンを要求するように管理用ワークステーションを構成する必要があります。また、IT スタッフは、管理用に別個のアカウントが付与され、対話型ログオンにスマート カードを必要とするように構成されている必要があります。 前に説明したように、管理用ホストは強化する必要があり、指定された IT ユーザーのみが管理用ワークステーションにローカルでログオンすることを許可されている必要があります。
長所
別々の物理システムを実装することで、各コンピューターがその役割に合わせて適切に構成され、IT ユーザーが誤って管理システムを危険にさらすことがないようにすることができます。
短所
別々の物理コンピューターを実装すると、ハードウェア コストが増加します。
リモート システムの管理に使用する資格情報で物理コンピューターにログオンすると、メモリ内に資格情報がキャッシュされます。
管理ワークステーションが安全に保管されていない場合、物理ハードウェアのキー ロガーやその他の物理的な攻撃などのメカニズムによって侵害を受けやすくなる可能性があります。
仮想化された生産性ワークステーションを使用してセキュリティで保護された物理ワークステーションを実装する
このアプローチでは、IT ユーザーにセキュリティで保護された管理ワークステーションが提供され、そこでリモート サーバー管理ツール (RSAT) やサーバーへの RDP 接続をそれぞれの責任の範囲内で使用して、日常の管理業務を実行できます。 IT ユーザーが生産性タスクを実行する必要がある場合、仮想マシンとして実行されているリモート生産性ワークステーションに RDP 経由で接続できます。 ワークステーションごとに別個の資格情報を使用する必要があります。また、スマート カードなどのコントロールを実装する必要があります。
長所
管理ワークステーションと生産性ワークステーションは分離されています。
セキュリティで保護されたワークステーションを使用して生産性ワークステーションに接続する IT スタッフは、個別の資格情報とスマート カードを使用できます。また、特権資格情報は安全性の低いコンピューターには保管されません。
短所
このソリューションを実装するには、設計と実装の作業と信頼性の高い仮想化のオプションが必要になります。
物理ワークステーションが安全に保管されていない場合、ハードウェアやオペレーティング システムを危険にさらし、通信傍受の影響を受けやすくする物理的な攻撃に対して脆弱になる可能性があります。
"生産性" と "管理" の別々の仮想マシンに接続するセキュリティで保護された単一のワークステーションを実装する
このアプローチでは、前述のようにロックして保管され、IT ユーザーが特権アクセス権を持たない単一の物理ワークステーションを IT ユーザーに支給できます。 専用のサーバーにホストされている仮想マシンにリモート デスクトップ サービス接続を提供し、電子メールや他の生産性アプリケーションを実行する 1 台の仮想マシンと、ユーザーの専用の管理ホストとして構成されたもう 1 台の仮想マシンを IT スタッフが使用できるようにします。
物理コンピューターへのログオンに使用されるアカウントとは別のアカウントを使用して、仮想マシンに対してスマート カードまたは他の多要素ログオンを要求する必要があります。 IT ユーザーは、物理コンピューターにログオンした後、自分の生産性スマート カードを使用して各自のリモート生産性コンピューターに接続し、別のアカウントとスマート カードを使用して各自のリモート管理コンピューターに接続できます。
長所
IT ユーザーは、1 台の物理ワークステーションを使用できます。
各仮想ホストに個別のアカウントを要求し、仮想マシンへのリモート デスクトップ サービス接続を使用することによって、IT ユーザーの資格情報はローカル コンピューター上のメモリにキャッシュされません。
物理ホストを管理ホストと同じレベルのセキュリティで保護し、ローカル コンピューターのセキュリティ侵害の可能性を減らすことができます。
IT ユーザーの生産性仮想マシンまたは管理仮想マシンのセキュリティが侵害された可能性がある場合、仮想マシンを "既知の良好な" 状態に簡単にリセットできます。
物理コンピューターのセキュリティが侵害された場合、特権資格情報はメモリにキャッシュされません。また、スマート カードを使用することにより、キーストローク ロガーによる資格情報の侵害を防ぐことができます。
短所
このソリューションを実装するには、設計と実装の作業と信頼性の高い仮想化のオプションが必要になります。
物理ワークステーションが安全に保管されていない場合、ハードウェアやオペレーティング システムを危険にさらし、通信傍受の影響を受けやすくする物理的な攻撃に対して脆弱になる可能性があります。
セキュリティで保護された管理ワークステーションとジャンプ サーバーを実装する
セキュリティで保護された管理ワークステーションの代わりに、またはそれらと組み合わせて、セキュリティで保護されたジャンプ サーバーを実装できます。また、管理ユーザーは RDP とスマート カードを使用してジャンプ サーバーに接続し、管理タスクを実行できます。
ジャンプ サーバーと、そこから管理される宛先サーバーへの接続に対して制限を実装できるようにするリモート デスクトップ ゲートウェイの役割を実行するようにジャンプ サーバーを構成する必要があります。 可能であれば、Hyper-V の役割をインストールし、管理ユーザーがジャンプ サーバー上の各自のタスクに使用する個人用仮想デスクトップまたはユーザーごとの他の仮想マシンも作成します。
ジャンプ サーバー上のユーザーごとの仮想マシンを管理ユーザーに提供することによって、管理ワークステーションの物理的なセキュリティを実現します。また、管理ユーザーは、使用していないときに仮想マシンをリセットしたりシャットダウンしたりできます。 Hyper-V の役割とリモート デスクトップ ゲートウェイの役割を同じ管理用ホストにインストールすることが望ましくない場合は、それらを別々のコンピューターにインストールできます。
可能な限り、リモート管理ツールを使用してサーバーを管理する必要があります。 リモート サーバー管理ツール (RSAT) 機能は、ユーザーの仮想マシン (または管理用にユーザーごとの仮想マシンを実装しない場合はジャンプ サーバー) にインストールする必要があります。また、管理スタッフは、RDP 経由で仮想マシンに接続して管理タスクを実行する必要があります。
管理ユーザーが RDP 経由で宛先サーバーに接続してそれを直接管理する必要がある場合は、適切なユーザーとコンピューターを使用して宛先サーバーへの接続が確立されている場合のみ接続を許可するように RD ゲートウェイを構成する必要があります。 汎用ワークステーションや、ジャンプ サーバーではないメンバー サーバーなど、指定された管理システムではないシステムでは、RSAT (または同様の) ツールの実行を禁止する必要があります。
長所
ジャンプ サーバーを作成することにより、特定のサーバーをネットワーク内の "ゾーン" (同様の構成、接続、セキュリティ要件を持つシステムのコレクション) にマップし、各ゾーンの管理を実施するときに、セキュリティで保護された管理用ホストから指定の "ゾーン" サーバーに管理スタッフが必ず接続するよう求めることができます。
ジャンプ サーバーをゾーンにマップすることで、接続プロパティと構成要件に対してきめ細かい制御を実装し、承認されていないシステムからの接続の試行を簡単に特定できます。
ジャンプ サーバーに管理者ごとの仮想マシンを実装することによって、管理タスクの完了時に強制的に仮想マシンをシャットダウンして、既知のクリーンな状態にリセットします。 管理タスクの完了時に仮想マシンのシャットダウン (または再起動) を強制することで、攻撃者は仮想マシンを標的にできなくなります。また、メモリにキャッシュされた資格情報は再起動後に保持されないため、資格情報の盗難攻撃が実行不可能になります。
短所
物理または仮想のいずれの場合でも、専用のサーバーがジャンプ サーバーに必要になります。
指定されたジャンプ サーバーと管理ワークステーションを実装するには、環境で構成されているセキュリティ ゾーンに対応する慎重な計画と構成が必要になります。