Table of contents
TOC
目次を折りたたむ
目次を展開する

ワークステーションの特権のアクセス

Corey Plett|最終更新日: 2016/12/05
|
1 投稿者

適用対象: Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

特権のアクセス ワークステーション (足) は、脅威ベクトル インターネットへの攻撃から保護されている機密性の高いタスクの専用のオペレーティング システムを提供します。 ワークステーションを使用して、毎日からこれらの機密性の高いタスクとアカウントを分離して、デバイスから、フィッシング攻撃、アプリケーションとOSの脆弱性、さまざまな偽装攻撃、およびキーストローク ログなどの資格情報の盗難攻撃に非常に強力な保護を提供する-Pass-the-hash、および-Pass-the-ticketします。

アーキテクチャの概要

次の図は、専用の個別の管理者アカウントとワークステーションを維持することによって作成されるadministration (機密性の高いタスク) の別の「チャネル」を示しています。

専用の個別の管理者アカウントとワークステーションを維持することによって作成される (機密性の高いタスク) の管理用の別の「チャネル」を示す図

保護機能がWindows 10で見つかったに基づいて、このアーキテクチャのアプローチCredential GuardDevice Guard機能であり、機密性の高いアカウントとタスクのこれらの保護にとどまりません。

この手法は、価値の高い資産へのアクセス権を持つアカウントに適しています。

  • 管理者特権、足提供高レベルの影響のセキュリティを強化IT管理者の役割とタスクです。 このアーキテクチャは、Active Directoryドメインとフォレストを含め、システムの多くの種類の管理に適用できるMicrosoft Azure Active Directoryテナント、Office 365テナント、プロセス コントロール ネットワーク (PCN)、監督コントロールとデータの取得 (SCADA) システム、自動窓口機 (Atm)、およびデバイスの販売のポイント (PoS)。

  • 高の感度インフォメーション ワーカー、PAWで使用する手法は、機密性の高い情報ワーカー タスクとプレリリース発表合併と取得のアクティビティ、プレリリース版の財務レポート、組織のソーシャル メディア プレゼンス、エグゼクティブ通信、特許営業秘密、機密性の高い調査は、またはその他の専用や機密性の高いデータを含むものなどの個人の保護を提供もできます。 このガイダンスは、これらの情報ワーカー シナリオの詳細の構成を説明または技術的な説明でこのシナリオを含めるはできません。

    メモ

    MicrosoftのITは、Microsoft社内での内部の価値の高いシステムをセキュリティで保護されたアクセスを管理する足 (内部的に「セキュリティで保護された管理ワークステーション」、またはSawと呼ばれます) を使用します。 このガイダンスでは、以下の追加の情報を持つのセクションでmicrosoft PAWの使用方法に関する"Microsoftでは、管理者のワークステーションを使って"方法です。 詳しくはこの価値の高い資産の環境のアプローチでは、記事をご覧くださいセキュリティで保護された管理者のワークステーションで価値の高い資産を保護するします。

このドキュメントがなぜこの推奨される方法は高レベルの影響が特権を持つアカウントを保護するため、保護、管理者特権のこれらのPAWソリューションがどのようにおよびドメインとクラウド サービスの管理用のソリューションをPAWを迅速に展開する方法について説明します。

このドキュメントでは、PAW構成をいくつかの実装の詳細なガイダンスを提供し、共通の高レベルの影響のアカウントを保護することで開始するための詳細な実装方法が含まれます。

  • フェーズ1 - Active Directory管理者迅速な展開これにより、ドメインとフォレストの管理者ロールを組織内で保護できますをすばやくPAW

  • フェーズ2 - すべての管理者にPAWは拡張これにより、Office 365とAzure、enterpriseのサーバー、エンタープライズ アプリケーションでは、ワークステーションなどのクラウド サービスの管理者に対する保護

  • フェーズ3 - PAWの高度なセキュリティこれは追加の保護とPAWセキュリティに関する考慮事項について説明します。

専用のワークステーションなぜですか?

組織の現在の脅威環境は、高度なフィッシング詐欺と継続的なインターネット公開されているアカウントとワークステーションのセキュリティが侵害されるリスクを作成する他のインターネット攻撃だらけです。

この脅威環境には、組織の管理者アカウントなどの価値の高い資産とビジネスの機密性の高い資産の保護を設計するときに、「違反を前提としています」のセキュリティ状態を採用する必要があります。 これら価値の高い資産を両方直接インターネット上の脅威と攻撃から保護する必要があるその他のワークステーション、サーバー、および環境でのデバイスからマウントします。

攻撃者が制御機密性の高い資格情報が使われるユーザー ワークステーションの場合、管理対象の資産へのリスクを示す図

次の図は、攻撃者コントロール機密性の高い資格情報が使われるユーザー ワークステーションの場合、管理対象の資産へのリスクを示しています。

オペレーティング システムのコントロールで、攻撃者が、不正ワークステーション上のすべてのアクティビティにアクセスし、正当なアカウントを偽装するためのさまざまな方法です。 このレベルのアクセスを取得するために、さまざまな既知および不明な攻撃の手法を使用できます。 容量の増加とcyberattacksの巧妙になっており行ったこと機密性の高いアカウントでクライアント オペレーティング システムを完全に分離分離という概念を拡張するために必要です。 この種の攻撃の詳細については、アクセス、のハッシュを渡すwebサイト有益のホワイト ペーパーやビデオします。

PAWアプローチは、管理の担当者に別の管理者とユーザー アカウントを使用する実績の推奨される方法の拡張です。 この演習は、ユーザーの標準ユーザー アカウントから完全に独立した個別に割り当てられている管理者アカウントを使用します。 PAWは、それらの機密性の高いアカウントに信頼できるワークステーションを提供することによって、そのアカウントの分離の演習用に基づいています。

メモ

MicrosoftのITは、Microsoft社内での内部の価値の高いシステムをセキュリティで保護されたアクセスを管理する足 (内部的に「セキュリティで保護された管理ワークステーション」、またはSawと呼ばれます) を使用します。 このガイダンスは、セクション内のmicrosoft PAWの使用方法に関する追加情報を持つ"方法、Microsoftは、管理者のワークステーションを使用して"

詳しくはこの価値の高い資産の環境のアプローチでは、この記事をご覧くださいセキュリティで保護された管理者のワークステーションで価値の高い資産を保護するします。

このPAWガイダンスについては、高い特権を持つIT管理者などの価値の高いアカウントと感度が高いビジネス アカウントを保護するためには、この機能の実装を支援するものです。 ガイダンスを支援します。

  • 信頼されているホストのみに資格情報の露出を制限します。

  • 管理タスクに簡単に実行できるように、管理者に高度なセキュリティ ワークステーションを提供します。

セキュリティ強化の足のみを使用して機密性の高いアカウントを制限することは、管理者にとって非常に使いやすいと非常に困難を突破する攻撃者の両方である、簡単なこれらのアカウント保護です。

-制限、に関する考慮事項、および統合の別の方法

このセクションには、代替方法のセキュリティをPAWを比較する方法と正しくPAWアーキテクチャ内でこれらのアプローチを統合する方法に関する情報が含まれています。 すべてこれらのアプローチは、重大なリスクを単独で実装されているときに実行は、一部のシナリオでPAWの実装に値を追加できます。

Credential GuardとMicrosoft Passport

Windows 10で導入されたCredential Guard派生資格情報を保護することにより - Pass-the-hashなどの一般的な資格情報の盗難攻撃を軽減するために、ハードウェアと仮想化ベースのセキュリティを使用します。 秘密キーによって使用される資格情報のMicrosoft Passportできますもトラステッド プラットフォーム モジュール (TPM) のハードウェアによって保護します。

強力な軽減策は、これらがワークステーションはまだ脆弱である特定の攻撃に対して場合でも、資格情報はCredential GuardまたはPassportによって保護します。 攻撃には特権と、Credential Guardを有効にする前に盗難された資格情報を再利用、侵害されたデバイスから直接資格情報の使用の悪用などが含まれますとワークステーション上の管理ツールと脆弱なアプリケーションの構成の悪用します。

このセクションでPAWガイダンスには、これらのテクノロジの多くの高感度アカウントとタスクの使用が含まれています。

VMの管理

管理用の仮想マシン (VM) は、標準ユーザーのデスクトップでホストされている管理タスクの専用オペレーティング システムです。 このアプローチは、管理タスクの専用のOSを提供することでPAWに似ていますが、ときに、管理VMはそのセキュリティ標準ユーザーのデスクトップに依存することで、致命的な欠陥を持ちます。

次の図は、ユーザーのワークステーションで、管理者VM関心のあるターゲット オブジェクトをコントロール チェーンを追跡する攻撃者の機能を示しています。と逆の構成パスを作成するが困難であることです。

標準的な会社のイメージを持つユーザーVMは1台のPCにすべての責任用担当者を提供するPAWホスト上でホストできは管理者、ユーザーのワークステーションでVMがホストするため、PAWアーキテクチャは許可しませんができます。

PAWアーキテクチャの図

サーバーを移動します。

管理サーバー"ジャンプ"アーキテクチャでは、管理コンソールのサーバーは小さな数を設定し、それらの管理タスクを使用する担当者を制限します。 これは通常、リモート デスクトップ サービス、サード パーティ製のプレゼンテーションの仮想化ソリューション、または、仮想デスクトップ インフラストラクチャ (VDI) のテクノロジに基づきます。

単独でジャンプ サーバー アプローチに違反するために特定の攻撃に対して脆弱がこのアプローチを選択し、管理へのリスクを軽減するために提案が頻繁には、いくつかのセキュリティ保証を提供、「クリーンなソース」原則します。 クリーンなソースの原則には、セキュリティで保護されているオブジェクトとして、ユーザーが信頼できるすべてのセキュリティの依存関係が必要です。

単純なコントロールの関係を示す図

次の図は、単純なコントロールの関係を示しています。 任意のサブジェクト オブジェクトのコントロールでは、そのオブジェクトのセキュリティの依存関係です。 攻撃者が、ターゲット オブジェクト (サブジェクト) のセキュリティの依存関係を制御できる場合は、そのオブジェクトを制御ができます。

ジャンプ サーバー上の管理者のセッションは、同時にアクセスして、ローカル コンピューターの整合性に依存します。 このコンピューターは、フィッシング攻撃の対象ユーザー ワークステーションとその他のインター ネット ベースの攻撃ベクトルを管理者のセッションもそれらのリスクの対象となります。

攻撃者が、確立されているコントロール チェーンに従います関心のあるターゲット オブジェクトにする方法を示す図

上の図は、攻撃者が、確立されているコントロール チェーンに従います関心のあるターゲット オブジェクトにする方法を示しています。

一部の高度なセキュリティ コントロールなど、多要素認証は、攻撃者がユーザー ワークステーション、セキュリティ機能なしからこの管理者のセッションを引き継ぐの難易度を増やすことができるとき、攻撃者の技術的な攻撃から保護して完全には、(など、正規のセッション ハイジャック正規のプロセスでは、やに不法コマンドを挿入する。) 移行元コンピューターの管理アクセス権を持つ

このPAWガイダンスでは既定の構成は、PAWに管理ツールをインストールが必要な場合は、ジャンプ サーバーのアーキテクチャを追加することもできます。

方法コントロールの関係を元に戻すと、管理者のワークステーションからユーザーのアプリへのアクセスを指定する攻撃者パスを指定せずに対象となるオブジェクトを示す図

次の図は、方法コントロールの関係を元に戻すと、管理者のワークステーションからユーザーのアプリへのアクセスを指定する攻撃者パスを指定せずに、対象となるオブジェクトを示しています。 ユーザー ジャンプ サーバーは、ので、そのインターネットに接続するコンピューターの適切な防護コントロール、検出コントロール、および応答のプロセスを適用する必要がありますまだにまだリスクに公開されます。

この構成では、管理者は密接にことを確認することがない誤って管理者の資格情報、ユーザーのセッションに、デスクトップ上の動作のプラクティスに従う必要があります。

方法、PAWから、管理ジャンプ サーバーへのアクセスを付けませんパス、攻撃者が管理資産を示す図

この図では、方法、PAWから、管理ジャンプ サーバーへのアクセスを付けませんパス、攻撃者が管理資産に示しています。 ジャンプ サーバーが、PAWできますここでは管理アクティビティを監視し、管理アプリケーションとツールを配布するための場所の数を統合します。 これにより、設計多少複雑になりますが、アカウントとワークステーションの数が多いはPAW実装で使われる場合、セキュリティの監視とソフトウェアの更新プログラムを簡素化できます。 ジャンプ サーバーは、ビルドおよび、PAWとして類似のセキュリティ標準を構成する必要があります。

特権の管理ソリューション

特権の管理ソリューションは、オンデマンドで個別の権限または特権を持つアカウントを一時的にアクセスを提供するアプリケーションです。 特権の管理ソリューションでは、特権のアクセスをセキュリティで保護し、非常に重要視認性と管理のアクティビティの責任を提供するための完全な戦略の非常に重要なコンポーネントをします。

これらのソリューションが通常柔軟なワークフローを使用してアクセス許可を付与およびその他のセキュリティ機能とサービス アカウントのパスワードの管理および管理ジャンプ サーバーとの統合などの機能の多くがあります。 特権のMicrosoft身元マネージャー (MIM) が特権のアクセスの管理 (PAM) 1つは、管理機能を提供する市場での多くのソリューションがあります。

PAWへのアクセス特権管理ソリューションを使用することをお勧めします。 足にのみ、これらのソリューションへのアクセスを付与してください。 お勧めしません違反へのアクセス特権が危害を受けた可能性のあるユーザー デスクトップからこれらのソリューションを使用するための代わりとしてのPAWのこれらのソリューションを使用して、クリーン ソース原則として、次の図に示されています。

どのようにお勧めしませんクリーンなソースの原則に違反へのアクセス特権危害を受けた可能性のあるユーザー デスクトップからこれらのソリューションを使用するための代わりとしてのPAWのこれらのソリューションを使用してを示す図

これらのソリューションにアクセスする、PAWを提供することによりPAWと、特権の管理ソリューションでは、両方のセキュリティ上の利点を取得するために次の図に示されています。

方法、PAWにこれらのソリューションのアクセスを提供することにより、PAWと特権の管理ソリューションの両方のセキュリティ上の利点を獲得できることを示す図

メモ

これらのシステムは、管理および以上そのレベルのセキュリティで保護されますが、特権の最高の層に分類する必要があります。 これらは層0ソリューションや層0アセットを管理するように構成がよくであり、階層0に分類される必要があります。 層モデルの詳細については、次を参照してください。http://aka.ms/tiermodelについて層0グループの詳細については、階層0で等価である特権のアクセスのセキュリティで保護する参考資料します。

MicrosoftのIdマネージャー (MIM) が特権のアクセスの管理 (PAM) を展開する方法については、次を参照してくださいhttp://aka.ms/mimpamdeploy。

Microsoftは、管理者のワークステーションを使用する方法

Microsoftは、システムで内部的におよびお客様との両方にPAWアーキテクチャのアプローチを使用します。 マイクロソフトでは、さまざまなMicrosoft ITインフラストラクチャ、Microsoftクラウド ファブリック インフラストラクチャ開発し、運用、およびその他の価値の高い資産の管理を含む容量の内部で管理者のワークステーションを使用します。

このガイダンスはcybersecurity攻撃からお客様を保護するために、cybersecurity専門的なサービスのチームによって展開されている特権を持つアクセス ワークステーション (PAW) 参照アーキテクチャに直接基づきます。 管理者のワークステーションも、強化されたセキュリティ管理環境 (ESAE) 管理フォレスト参照アーキテクチャ、ドメインの管理タスクの最も強力な保護の重要な要素です。

ESAE管理フォレストについて詳しくは、次を参照してください。ESAE管理フォレスト デザイン アプローチでセクション特権のアクセスのセキュリティで保護する参考資料します。

環境内のPAWまたはESAEを展開するMicrosoftサービスを魅力的な詳細については、Microsoftの担当者にお問い合わせまたはアクセスこのページします。

特権のアクセス ワークステーション (PAW) とは何ですか。

最もシンプルな条件は、機密性の高いアカウントとタスクの高度なセキュリティの保証を提供するように設計されたセキュリティ強化やロックダウン ワークステーションは、PAWです。 足は、idシステム、クラウド サービス、およびプライベート クラウド ファブリック、機密性の高いビジネス機能の管理用に推奨されます。

メモ

PAWアーキテクチャは、これは、共通の構成も、ワークステーション、アカウントの1対1のマッピングを必要としません。 PAWでは、1つまたは複数のアカウントを使用できる、信頼されているワークステーション環境を作成します。

優れたセキュリティを提供するために足は常に最も最新かつセキュリティで保護されたオペレーティング システムを実行利用可能な: Microsoftは、多く他のエディションで利用できないその他のセキュリティ機能にはが含まれているWindows 10 Enterpriseを強くお勧め (具体的には、Credential GuardDevice Guard)。

メモ

Windows 10 Enterpriseにアクセスすることがなく、組織は、Windows 10 Pro、足、トラスト ブートやBitLockerには、リモート デスクトップなどの多くの重要な基本的なテクノロジを含む使用できます。 お客様の教育は、Windows 10 Educationを使用できます。 Windows 10 Home使わないでくださいをPAW用です。

Windows 10の各エディションの比較マトリックスを読み取るこの資料します。

PAW内のセキュリティ コントロールは、非常に大きな影響とが侵害される可能性が最も高いリスクを軽減するために重点をします。 これらは、環境への攻撃を軽減し、時間の経過と共に、PAWコントロールが低下するリスクを軽減するとおりです。

  • インターネットへの攻撃-ほとんどの攻撃は、直接的または間接的をインターネット ソースから取得したし、それらを持ち出すおよびコマンドとコントロール (c 2)、インターネットを使用します。 開いているインターネットからPAWを切り離すこととは、PAWを実現するために重要な要素が危険にさらされないです。

  • ユーザビリティ リスク-管理者が職務を容易に回避策を作成する意欲なります、PAWが日常的なタスクに使用することが難しい場合。 多くの場合、これらの回避策を開き、管理者のワークステーション アカウント、重要なセキュリティ リスクに関与して、安全にこれらの操作性の問題を軽減するために、PAWユーザーを支援することが重要であるためです。 ツールのインストール、フィードバックを確認することによってこれは多くの場合、ジョブとすべての管理者を実行するために必要なスクリプトを認識しているPAW、どのようなPAWの使用に必要な理由は、正しくや正常に使う方法です。

  • 環境のリスク-その他多くのコンピューターや環境でのアカウントは、インターネット上のリスク ディレクトリまたは間接的に公開される、ため、PAWを運用環境で危害を受けたアセットからの攻撃から保護する必要があります。 これには、管理ツールおよびアカウントにセキュリティで保護し、これらの特殊なワークステーションを監視するための最小限の足へのアクセスを制限することが必要です。

  • チェーン改ざん提供- ながら、攻撃者に簡単に利用できる重要な攻撃を軽減できますハードウェアとソフトウェア、いくつかのキーの操作を実行するために、サプライ チェーン内改ざんの考えられるすべてのリスクを削除することはできません。 これは、すべてのインストール メディアの整合性の検証が含まれています (クリーン ソース原則) とハードウェアおよびソフトウェアの信頼性とよく知られたサプライヤーを使用します。

  • 物理的な攻撃の物理的なモバイルおよび物理的なセキュリティで保護された施設の外に使用できるため足跡、それらがコンピューターに物理的に承認されていないアクセスを利用できる攻撃から保護する必要があります。

メモ

PAWが既にアクセス権を取得管理Active Directoryフォレスト経由で攻撃者から環境保護されません。 Active Directoryドメイン サービスの多くの既存の実装は、資格情報の盗難のリスクに年オペレーティングされましたがので、組織は違反を前提としていますや、ドメインまたは企業の管理者の資格情報の検出、セキュリティ侵害がある、ことが発生する可能性を考慮する必要があります。 ドメインのセキュリティ侵害と予想できる組織では、professionalインシデント対応サービスの使用を検討してください。

応答と回復のガイダンスについては、「不審なアクティビティに対応」を参照してください。およびセクションの"侵害から回復" Mitigating-Pass-the-hashおよびその他の資格情報の盗難、バージョン2です。

訪問Microsoftのインシデントの応答と回復サービスの詳細についてのページです。

PAWハードウェア プロファイル

管理の担当者にも標準ユーザー - だけでなく、PAWも、標準ユーザー ワークステーションにメールをチェックする、webの閲覧、および企業の基幹業務アプリケーションにアクセスする必要があります。 生産的かつ安全なの両方の管理者はままにしておくことを確認することは、任意のPAW展開の成功に不可欠です。 (これは、安全でない方法で) 場合でも、生産性を向上させることにユーザーが生産性を大幅に制限する安全なソリューションは中止されます。

セキュリティの必要性と生産性の必要性のバランスを取るためには、Microsoftは、これらPAWのハードウェア プロファイルのいずれかを使ってお勧めします。

  • 専用のハードウェアに個別の管理タスクとユーザーのタスクの専用のデバイス

  • 同時使用-ユーザー タスクと管理タスク同時に実行できるOSやプレゼンテーションの仮想化を利用して単一のデバイス。

組織には、1つだけのプロファイル、またはその両方を使用できます。 ハードウェア プロファイルの間の相互運用性の問題はなく、組織が、特定のニーズと、特定の管理者の場合に、ハードウェア プロファイルと一致する柔軟性があります。

メモ

、これらのシナリオは、すべての管理者が発行されるは別の管理者アカウントで指定されている標準のユーザー アカウントが重要です。 管理者アカウントは、PAW管理オペレーティング システムでのみ使用する必要があります。

次の表は、相対の長所と短所やすさの運用と生産性やセキュリティの観点からは、各ハードウェア プロファイルのまとめたものです。 ハードウェアの両方のアプローチでは、管理者アカウント資格情報の盗難と再利用に対する強力なセキュリティを提供します。

シナリオ利点短所
専用のハードウェアにタスクの感度は、強い信号
最も強力なセキュリティ分離
-追加デスク スペース
の (リモート作業は) 用追加の太さ
ハードウェアのコスト
同時に使用がハードウェア低コストで済みます
-1つのデバイス エクスペリエンス
-不注意によるエラー/リスクのリスクを作成するキーボード/マウスを1回の共有

このガイダンスでは、専用のハードウェアのアプローチPAW構成の詳しい手順については、含まれています。 同時使用のハードウェア プロファイルの要件がある場合は、このガイダンスに基づいた手順を対応するしたりなどを支援するためにMicrosoft専門的なサービスの組織を採用できます。

専用のハードウェア

このシナリオでは、メール、ドキュメントの編集、および開発作業などの日常の業務のために使われるPCから完全に分離されている管理用、PAWが使用されます。 PAWにすべての管理ツールとアプリケーションをインストールし、すべての生産性アプリケーションは標準ユーザーのワークステーションでインストールします。 このガイドのステップ バイ ステップ手順は、このハードウェア プロファイルに基づいています。

同時使用のVMローカル ユーザーを追加します。

この同時使用シナリオでは、1台のPCを管理タスクと日常的なメール、ドキュメントの編集、および開発作業などの両方に対応するために使用します。 この構成では、ユーザーのオペレーティング システムは、(ドキュメントを編集して、ローカルにキャッシュされたメール取り組んで) の切断、中に利用しますが、この切断状態に対応できる、ハードウェアとサポートのプロセスが必要です。

メール、ドキュメントの編集、および開発作業などの管理タスクと毎日の活動の両方に使用同時使用のシナリオでは、1台のPCを示す図

物理的なハードウェアでは、2つのオペレーティング システムをローカルで動作します。

  • 管理者OS -物理ホストPAW管理タスク ホストでWindows 10を実行します。

  • ユーザーOSに、Windows 10クライアントHYPER-Vで仮想マシン ゲスト会社のイメージを実行します。

Windows 10Hyper V、ゲスト仮想マシン (もWindows 10を実行する) は、サウンド、ビデオ、およびSkype for Businessなどのインターネット通信のアプリケーションをなど、豊富なユーザー エクスペリエンスができます。

この構成では、管理者特権を必要としない毎日の作業は、正規の企業のWindows 10イメージがあり、PAWホストに適用される制限の対象ではありませんが、ユーザーOSの仮想マシンで行われます。 すべての管理作業は、管理者OSで行われます。

これを構成するには、PAWホストには、このガイドの手順に従って、クライアントHYPER-V機能を追加、ユーザーの仮想マシンを作成し、ユーザーVMにWindows 10の会社のイメージをインストールします。

読み取りクライアントHYPER-Vこの機能の詳細については資料です。 ゲスト仮想マシンで、オペレーティング システムごとにライセンス付与する必要があることに注意してくださいMicrosoft製品のライセンスも記述されているここします。

同時使用 - RemoteApp、RDP、またはvdi環境の追加

この同時使用シナリオでは、両方の管理タスクの1台のPCを使用し、日常的なメール、ドキュメントの編集と開発のように動作します。 この構成で、ユーザーのオペレーティング システムの展開し、一元管理されている (クラウド上または、データ センター内) けれど切断されているときに利用します。

両方の管理タスクの同時使用のシナリオでは、1台のPCを示す図が使われ、日常的なメール、ドキュメントの編集および開発などの動作

物理的なハードウェアでは、管理タスクのローカルの単一のPAWオペレーティング システムを実行し、Microsoftまたはサード パーティ用のリモート デスクトップ サービス メール、ドキュメントを編集するには、基幹業務アプリケーションなどのユーザーのアプリケーションに接触します。

この構成では、管理者特権を必要としない日常的な作業は、リモートOS(es) とPAWホストに適用される制限の対象ではないアプリケーションで行われます。 すべての管理作業は、管理者OSで行われます。

これを構成するには、PAWホストには、このガイドの手順に従って、リモート デスクトップ サービス、ネットワーク接続を許可およびアプリケーションにアクセスするPAWユーザーのデスクトップにショートカットを追加します。 多くの方法などでは、リモート デスクトップ サービスをホストする可能性があります。

  • 既存のリモート デスクトップまたはVDIサービス (社内またはクラウド)

  • 社内をインストールする新しいサービスまたはクラウド

  • Office 365の事前構成済みのテンプレートまたは、独自のインストールのイメージを使用してazure RemoteApp

Azure RemoteAppの詳細については、参照このページします。

PAWシナリオ

このセクションには、ガイダンスがどのシナリオでは、このPAWガイダンスに適用する必要が含まれています。 すべてのシナリオで、管理者はのみ足を使用してリモート システムのサポートを実行するためにトレーニングを受ける必要があります。 正常で安全な使用を促すことPAWのすべてのユーザーもされるすべき提供PAWエクスペリエンスを向上させるためにフィードバックしてこのフィードバックは、PAWプログラムとの統合について慎重に検討する必要があります。

すべてのシナリオで後の段階での他の強化し、このガイドで異なるハードウェア プロファイルは役割の操作性やセキュリティの要件を満たすに使用できます。

メモ

すべてのホストとサービスのこのガイダンスが、(AzureやOffice 365管理ポータルでは) など、インターネットおよび「開くインターネット」上の特定のサービスへのアクセスを必要との間で区別明示的に注意してください。

ご覧ください、層モデル ページ層の呼称について詳しくはします。

シナリオPAWを使用しますか。スコープおよびセキュリティに関する考慮事項
Active Directoryの管理者に階層0[はい]フェーズ1のガイダンスを使って構築されたPAWは、このロールだけで十分です。

がこのシナリオの最も強力な保護を提供する、管理者、フォレストを追加できます。 ESAE管理フォレストの詳細については、次を参照してくださいESAE管理フォレスト デザイン アプローチ。
-PAWは、複数のドメインまたは複数のフォレストの管理に使用できます。
-場合、ドメイン コント ローラーは、サービス (IaaS) または社内での仮想化ソリューションとしてのインフラストラクチャでホストされているが、管理者は、これらのソリューションの足を実装する優先順位付けする必要があります。
管理者のAzure IaaS、PaaSサービス - 層0または第1層 (スコープと設計に関する考慮事項を参照してください)[はい]フェーズ2で提供されるガイダンスを使用して構築されたPAWは、このロールだけで十分です。

足に使用するには、少なくとも、グローバル管理者と管理者のサブスクリプションの請求します。 緊急または重要なサーバーの委任された管理者の足を使用することも必要があります。
にオペレーティング システムを管理するため足を使用する必要があり、ディレクトリ同期とのフェデレーションを識別を提供するアプリケーションのクラウド サービスなどAzure AD ConnectとActive Directoryフェデレーション サービス (ADFS)。
-出力方向のネットワーク制限では、フェーズ2で、ガイダンスを使用して承認されたクラウド サービスにのみ接続を許可する必要があります。 足からオープン インターネット アクセスが許可されません必要があります。
-ワークステーションで使用されるすべてのブラウザーのEMETを構成する必要があります注:サブスクリプションは、フォレストの層を0にする場合は、ドメイン コント ローラーまたはその他の層0ホストは、サブスクリプションと見なされます。 Azureの階層0サーバーがないホストされている場合は、サブスクリプション、第1層
管理者のOffice 365テナント
層1
[はい]フェーズ2で提供されるガイダンスを使用して構築されたPAWは、このロールだけで十分です。

-足を少なくともの使用は、管理者のサブスクリプションの請求、グローバル管理者、Exchange管理者、SharePointの管理者とユーザー管理の管理者の役割です。 また強く足の高い緊急または重要なデータの委任された管理者の使用を検討してください。
-EMETは、ワークステーションで使用されるすべてのブラウザーのように構成する必要があります。
-出力方向のネットワークの制限は、のみフェーズ2でこのガイダンスを使用してMicrosoftサービスへの接続を許可する必要があります。 足からオープン インターネット アクセスが許可されません必要があります。
その他のIaaSまたはPaaSクラウド サービスの管理
-階層0または第1層 (スコープと設計に関する考慮事項を参照してください)
フェーズ2で提供されるガイダンスを使用して構築されたPAWは、このロールだけで十分です。

の管理者権限を持つエージェントをインストール、ハード_ディスクのファイルをエクスポートまたは記憶域にアクセスする機能を含むクラウド ホスト型Vm上のオペレーティング システムや機密性の高いデータは、ビジネスの重要なデータをハード ドライブが保存されている任意の役割足を使用してください。
-出力方向のネットワークの制限は、のみフェーズ2でこのガイダンスを使用してMicrosoftサービスへの接続を許可する必要があります。 足からオープン インターネット アクセスが許可されません必要があります。
-EMETは、ワークステーションで使用されるすべてのブラウザーの構成する必要があります。 注:場合は、ドメイン コント ローラーまたはその他の層0ホストは、サブスクリプションでは、サブスクリプションがフォレストの層0です。 サブスクリプションは、Azureで層0サーバーがホストされていない場合、第1層をします。
仮想化管理者
-階層0または第1層 (スコープと設計に関する考慮事項を参照してください)
[はい]フェーズ2で提供されるガイダンスを使用して構築されたPAWは、このロールだけで十分です。

-足は、ハード ドライブとゲスト オペレーティング システムの情報や機密性の高いデータは、ビジネスの重要なデータが格納される場所エージェントをインストール、仮想ハード_ディスクのファイルをエクスポートまたは記憶域にアクセスする機能などをVmで管理者権限を持つ任意のロールを使用してください。 注:仮想化システム (とそのadmins) とは見なさ層0フォレストのサブスクリプションはドメイン コント ローラーまたはその他の層0ホストします。 サブスクリプションは、仮想化システムで層0サーバーがホストされていない場合、第1層ができます。
サーバーのメンテナンス管理者
層1
[はい]フェーズ2で提供されるガイダンスを使用して構築されたPAWは、このロールだけで十分です。

更新、更新プログラム、およびエンタープライズ サーバーとサーバーのWindowsやLinux、および他のオペレーティング システムを実行しているアプリのトラブルシューティングを行う管理者にとって-PAWを使用してください。
-専用の管理ツールは、これらの管理者のより大きなスケールを処理する足用に追加する必要があります。
ユーザーのワークステーション管理者
層2
[はい]フェーズ2で提供されるガイダンスを使って構築PAWを (などの役割をサポートするは、ヘルプデスクおよびデスクサイド) は、エンド ユーザー デバイスの管理者権限を持つ役割だけで十分です。

-追加のアプリケーションは、チケットの管理やその他のサポート機能を有効にする足にインストールする必要があります。
-EMETは、ワークステーションで使用されるすべてのブラウザーの構成する必要があります。
専用の管理ツールは、これらの管理者のより大きなスケールを処理する足用に追加する必要があります。
SQL、SharePoint、または基幹業務 (LOB) 管理者
層1
フェーズ2ガイダンスを使って構築されたPAWは、このロールだけで十分です。

-追加の管理ツールは、リモート デスクトップを使用しているサーバーに接続することがなくアプリケーションを管理する管理者の許可を足にインストールする必要があります。
ユーザーがソーシャル メディアの存在を管理します。部分的にフェーズ2で提供されるガイダンスを使って構築PAWは、これらの役割のセキュリティを提供する出発点として使用できます。

-保護し、共有、保護、ソーシャル メディア アカウントへのアクセスの追跡のAzure Active Directory (AAD) を使用して、ソーシャル メディア アカウントを管理できます。
この機能について詳しくは「このブログ投稿します。
-出力方向のネットワーク制限では、これらのサービスへの接続を許可する必要があります。 開かれているインターネット接続 (よりはるかに高いセキュリティ リスクがPAW保証の多くが打ち消されます) を許可することで、または (取得を求める場合があります)、サービスに必要なDNSアドレスのみを許可することで、これを実行することができます。
標準ユーザー違います標準ユーザーのセキュリティ強化の多くの手順を使用できますが、PAWのほとんどのユーザーが職務を必要とする、開いているインターネット アクセスのアカウントを分離するものです。
ゲストVDI/キオスク違います多くのセキュリティ強化のステップは、ゲストのキオスク システムに対して使用できますが、PAWアーキテクチャは、機密性の高いアカウント、低い感度アカウントいない高度なセキュリティの高度なセキュリティを提供するものです。
VIPユーザー (役員、研究者など)部分的にフェーズ2で提供されるガイダンスを使って構築PAWは、これらの役割のセキュリティを提供する出発点として使用できます。

-このシナリオでは、標準ユーザー デスクトップと似ていますが、通常より小さく、簡単になって、既知のアプリケーション プロファイルを持ちます。 通常、このシナリオを検出して、機密性の高いデータ、サービス、およびアプリケーション (ことがあり、デスクトップにインストールされていない可能性があります) を保護する必要があります。
-これらの役割は、通常、ユーザーの優先順位を満たすために設計の変更を必要とする高度なセキュリティと使いやすさ、非常に高度が必要です。
工業の管理システム (SCADA、PCN、およびドメイン コント ローラーなど)部分的にフェーズ2で提供されるガイダンスを使用して構築されたPAWが使えます開くインターネットの閲覧や電子メールのチェックほとんどICSにこれらの役割のセキュリティを提供する出発点として本体 (このような一般的な標準SCADAとPCNを含む) が必要としません。

-物理機械を制御するために使われるアプリケーションは、統合しの互換性をテストし、適切に保護する必要
組み込みのオペレーティング システム違いますPAWから多くの強化手順は、組み込みのオペレーティング システムの使用できますが、カスタム ソリューションは、このシナリオで強化用に開発する必要があります。
メモ

組み合わせシナリオいくつかの担当者は、複数のシナリオにまたがって管理の役割を必要があります。 このような場合は、留意する重要な規則は、いる層モデルの規則は常に従う必要があります。 詳しくは、層モデルのページを参照してください。

メモ

PAWプログラムを拡大/縮小PAWプログラムは、管理者とロールの詳細が含まれるように拡大縮小、としてを引き続き操作性とセキュリティ標準に準拠しているを維持することを確認する必要があります。 これは、可能性があります、ITを更新する構造をサポートしてPAW PAW配布準備プロセス、インシデントの管理、構成の管理などの具体的な問題を解決するのには新しい規則を作成、必要課題をアドレス操作性にフィードバックを収集します。 1つの例は、管理者は、デスクトップの足からラップトップ足 - その他のセキュリティに関する考慮事項が必要になる場合がありますが、shiftキーを押しへの移行を必要となる作業在宅シナリオを有効にする組織が決定する可能性があります。 作成するか、PAW適切に使う上のコンテンツを含むようになりました必要がある新しい管理者 - トレーニングのトレーニングを更新するもう1つの一般的な例は、(理由など、重要でどのようなPAW、いない)。 PAWプログラムを拡張する際に対応する必要が他の考慮事項、画面の指示のフェーズ2を参照してください。

このガイダンスには、詳しい手順についてには前述のシナリオでPAW構成が含まれます。 場合は、他のシナリオの要件がある場合は、このガイダンスに基づいた手順を適応または専門的なサービスの組織を支援するためにMicrosoftのようなを採用できます。

お客様の環境向けに調整されたPAWを設計するMicrosoftサービスを魅力的な詳細については、Microsoftの担当者にお問い合わせまたはアクセスこのページします。

PAWインストール手順

オブジェクトをPAWは、管理をセキュリティで保護された信頼できるソースを提供する必要があります、ために、ビルド プロセスでが安全で信頼されている重要なことができます。 このセクションでは、一般的な原則を使用して、独自のPAWを構築することができるようにする詳しい手順を提供します。およびと類似してMicrosoft ITとMicrosoftによって使われる概念は、エンジニア リングをクラウドし、管理の組織のサービスします。

手順は、すばやくにおいて最も重要な軽減策を配置し、段階的に増やすと、企業のPAWの使用量を展開するには、どのフォーカスを3つのフェーズに分かれています。

  • フェーズ1 - Active Directory管理者迅速な展開

  • フェーズ2 - すべての管理者にPAWを拡張します。

  • フェーズ3 - PAWの高度なセキュリティ

ことが重要フェーズ常に実行を順番に含められる予定され、同じ全体的なプロジェクトの一部として実装されている場合でもに注意してください。

フェーズ1 - Active Directory管理者迅速な展開

目的: は、社内ドメインとフォレスト管理の役割を保護することをすばやくPAWを提供します。

Enterprise Admins、(すべてのドメインで)、Domain Adminsおよびその他の権限のあるidシステムの管理者を含むスコープ: 層0の管理者です。

フェーズ1では、攻撃の対象と頻繁に非常に重要の役割は、社内のActive Directoryドメインを管理する管理者に焦点を当てています。 これらのidのシステムは、サービス (IaaS)、または別のIaaSプロバイダーとしてAzureインフラストラクチャで、社内でのデータ センターで、Active Directoryドメイン コント ローラー (Dc) がホストされているかどうかは、これらの管理者を保護するため効果的に機能します。

このフェーズでは、自分の足を展開するほか、特権のアクセス ワークステーション (PAW) をホストにセキュリティで保護された管理Active Directory組織単位 (OU) 構造を作成します。 この構造体は、グループ ポリシーと、PAWをサポートするために必要なグループにも含まれます。 提供されているPowerShellスクリプトを使用して構造の大部分は作成TechNetギャラリーします。

スクリプトは、次のOuとセキュリティ グループを作成します。

  • 組織単位 (OU)

    • 6つの新しい最上位Ou: 管理者です。グループです。第1層サーバーです。ワークステーション;ユーザー アカウント。コンピューターを検査します。 それぞれの最上位OUは、さまざまな子Ouが含まれます。
  • グループ

    • 6つの新しいセキュリティが有効なグローバル グループ: 層0レプリケーションの保守。第1層サーバーの保守。サービスのデスク演算子です。ワークステーションの保守。PAWユーザーです。PAW保守。

さまざまなグループ ポリシー オブジェクトを作成することも、: PAWメンテナンス;PAWは、MSTSC RestrictedAdmin; が必要です。PAW発信制限します。PAWのログオン制限します。ワークステーションへのログオンを制限します。

フェーズ1では、次の手順が含まれています。

  1. 前提条件します。

    1. すべての管理者が管理し、エンドユーザーの活動について、独立した個別のアカウントを使用することを確認(メール、インターネットの閲覧、基幹業務アプリケーション、およびその他の管理者以外の活動を含む)。 個々 の承認された担当者に、標準ユーザー アカウントから管理者アカウントを割り当てることは、PAWモデルでは、基本的なPAW自体へのログオンを許可する特定のアカウントのみです。

      メモ

      各管理者は、管理用、自分のアカウントを使用する必要があります。 管理者アカウントを共有することはできません。

    2. 階層0特権管理者の数を最小限に抑えるします。 各管理者が、PAWを使う必要がありますので、管理者の数を減らすと、関連のコストとそれらをサポートするために必要な足の数が短縮されます。 管理者の下の数は、低い漏えいこれらの特権と関連するリスクも発生します。 PAWを共有する1つの場所での管理者に対することはできますが、別の物理的な場所での管理者に別々 の足が必要です。

    3. すべての技術要件を満たしている信頼されたサプライヤーからのハードウェアを入手します。 記事の技術要件を満たしているハードウェアの取得をお勧めします。Credential Guardによるドメイン資格情報を保護するします。

      メモ

      これらの機能なしのハードウェアにインストールされているPAWが重大な保護を提供できますが、Credential Guard、Device Guardなどの高度なセキュリティ機能は利用できません。 Credential GuardとDevice Guardは、フェーズ1展開では、必要はありませんが、フェーズ3 (高度なセキュリティ強化) の一部として強くお勧めします。

      製造元や組織が信頼できるセキュリティ ポリシーを持つサプライヤーから、PAWに使用したハードウェアが供給されることを確認します。 これは、チェーンのセキュリティを提供するには、クリーンなソースの原則のアプリケーションです。

      メモ

      サプライ チェーンのセキュリティの重要性の詳細については、訪問このサイトします。

    4. 取得し、必要なWindows 10のEnterprise Editionおよびアプリケーション ソフトウェアを検証します。 PAWに必要なソフトウェアを取得し、検証のガイダンスを使ってクリーン インストール メディア ソースします。

    5. イントラネット上の利用可能なWSUSサーバーがあることを確認します。 WSUSサーバーをダウンロードして更新プログラムをインストールPAWのイントラネットで必要になります。 Windows 10のすべてのセキュリティ更新プログラムを自動的に承認するこのWSUSサーバーを構成する必要がありますか、管理の担当者には、役割とアカウンタビリティ急速にソフトウェア更新プログラムを承認する必要があります。

      メモ

      詳しくは、「自動的に承認更新プログラムのインストール」セクションをご覧、更新プログラムの承認ガイダンスします。

  2. 展開、足をホストする管理者OUフレームワーク

    1. ダウンロードからPAWスクリプト ライブラリTechNetギャラリー

      メモ

      すべてのファイルをダウンロードし、同じディレクトリに保存以下で指定した順序で実行します。 Create-PAWGroupsによって作成されたグループ異なりますSet-PAWOUDelegationとCreate-PAWGroupsはCreate-PAWOUs、によって作成されたOUの構造体によって異なります。 スクリプトまたはコンマ区切り値 (CSV) ファイルのいずれかの変更はしないでください。

    2. Create-PAWOUs .ps1スクリプトを実行します。 このスクリプトは、Active Directoryで新しい組織単位 (OU) 構造を作成し、必要に応じて、新しいOuにGPOを継承します。

    3. Create-PAWGroups .ps1スクリプトを実行します。 このスクリプトは、適切なOuで、新しいグローバル セキュリティ グループを作成します。

      メモ

      中に、このスクリプトでは、新しいセキュリティ グループを作成、ことがない入力に自動的にされます。

    4. Set-PAWOUDelegation .ps1スクリプトを実行します。 このスクリプトでは、適切なグループに新しいouアクセス許可を割り当てます。

  3. Admin\Tier 0\Accounts OUに階層0アカウントを移動します。 ドメイン管理者は、エンタープライズ管理者は、のメンバーである各アカウントを動かすか、0と同等のグループ (入れ子になったメンバーシップを含む) をこのOUの階層化します。 組織は、これらのグループに追加されている独自のグループを持つ場合は、Admin\Tier 0\Groups OUにこれらを移動する必要があります。

    メモ

    グループを階層0は詳しくは、「層0等価である」を参照してください特権のアクセスのセキュリティで保護する参考資料します。

  4. 関連するグループに適切なメンバーを追加します。

    1. PAWユーザードメインの階層0管理者を追加または、エンタープライズ管理者がグループ化する - 手順1のフェーズ1で指定しました。

    2. PAWメンテナンス- PAWメンテナンスのために使われる1つ以上のアカウントを追加し、トラブルシューティング作業です。 まれPAWメンテナンス アカウントが使用されます。

      メモ

      ユーザーのPAWとPAWメンテナンスの両方に、同じユーザー アカウントまたはグループを追加することはしないでください。 PAWセキュリティ モデルは、両方ではありませんが、自身に、PAWユーザー アカウントが、PAWさせたり管理対象システム上の権利を特権ことを前提に部分的に基づいています。

      • これは、優れた管理プラクティスとフェーズ1で習慣を構築するために重要です。
      • これは、フェーズ2およびその他PAW帯をまたがることのできるされる足跡としてを通じて特権の昇格を防ぐために極めて重要です。

      理想的には、関税の分離の原則を適用する複数の層で関税に担当者が割り当てられていないが、Microsoftがスタッフ (またはその他の組織の要件) 多くの組織を制限していることを認識してこのフル分離を許可しないことです。 このような場合は、同じ担当者は、両方の役割を割り当てることができますが、これらの関数と同じアカウントを使用しないでください。

  5. 「PAW構成-コンピューター」グループ ポリシー オブジェクト (GPO) と階層0デバイスOUにリンクを作成(層0\Adminの下の「デバイス」)。 このセクションでは、新しい「PAW構成-コンピューター」これらの足の特定の保護を提供するGPOを作成します。

    メモ

    既定のドメイン ポリシーにこれらの設定を追加しないします。 これを行うと、Active Directory環境全体での操作は可能性のある影響します。 ここでは、説明、新しく作成したGpoでのみこれらの設定を構成し、のみPAW OUに適用します。

    1. PAWメンテナンス アクセス- このがの設定を特定のユーザー セットに足に対して特定の特権を持つグループのメンバーシップに設定します。 移動コンピューターConfiguration\Preferences\Controlパネルの設定 \ ユーザーとグループ次の手順に従います。

      1. クリックして新規クリックローカル グループ

      2. 選択、更新処理、および "管理者 (ビルトイン)

      3. 選択、メンバーのすべてのユーザーを削除メンバーのすべてのグループを削除チェック ボックス

      4. PAWメンテナンス (pawmaint) および管理者を追加する (もう一度、参照ボタンを使わないで管理者] を選択) します。

        メモ

        ローカルのAdministratorsグループのメンバーシップの一覧をPAW Usersグループを追加しないでください。 いるPAWユーザー故意にまたは誤って変更できませんPAW自体のセキュリティ設定させるには、ローカルのAdministratorsグループのメンバー設定することはなりません。

        グループ ポリシーの基本設定を使用して、グループのメンバーシップを変更する詳細については、TechNetの記事をご覧くださいローカル グループ項目を構成するします。

    2. ローカル グループのメンバーシップを制限する-この設定により、ワークステーション上のローカル管理者グループのメンバーシップが空常を保証

      1. コンピューターConfiguration\Preferences\Controlパネルの設定 \ ユーザーとグループに移動し、次の手順に従います。

        1. クリックして新規クリックローカル グループ

        2. 選択、更新操作と選択"Backup Operators (組み込み)"(参照ボタンを使わないでドメインBackup Operatorsグループを選択します)。

        3. 選択、メンバーのすべてのユーザーを削除メンバーのすべてのグループを削除チェック ボックス。

        4. グループにメンバーを追加しないでください。 クリックするだけOKします。 空のリストを割り当てることによって、グループ ポリシーが自動的にすべてのメンバーを削除して各時間のグループ ポリシーが更新される空白のメンバーシップの一覧が確認されます。

      2. 次の追加グループに対して、上記の手順を実行するには。

        • 暗号化演算子

        • HYPER-V管理者

        • ネットワーク構成演算子

        • Power Users

        • リモート デスクトップのユーザー

        • Replicator

      3. PAWのログオン制限を - この設定は、PAWにログオンできることをアカウントに制限されます。 この設定を構成するのには、次の手順に従います。

        1. ローカル コンピューター ポリシー \windows設定 \ ポリシー \ ユーザー権利Assignment\Allowログオンに移動します。

        2. 選択は、これらのポリシー設定を定義し、「PAWユーザー」を追加

      4. 着信ネットワーク トラフィックをブロック-この設定は、PAWに一方的な受信ネットワーク トラフィックが許可されていないされることを確認します。 この設定を構成するのには、次の手順に従います。

        1. コンピューターの構成 \ ポリシー \windows \windows settings \security settings \windows Firewallはセキュリティが強化されたAdvanced security \windows Firewall withに移動し、次の手順に従います。

          1. セキュリティが強化されたWindowsファイアウォールを右クリックし、選択ポリシーをインポートします。

          2. クリックしてはいこれ、既存のファイアウォール ポリシーが上書きされることに同意します。

          3. PAWFirewall.wfwを参照して選択開くします。

          4. クリックしてOKします。

            メモ

            アドレスまたは未承諾のトラフィックこの時点で (などのセキュリティ スキャンまたは管理ソフトウェアPAWに到達する必要がありますサブネットを追加することがあります。 WFWファイルの設定はファイアウォール プロファイルのすべての「- 既定のブロック」モードでは、ファイアウォールを有効にする、規則が結合をオフにし、ドロップしたと失敗の両方のパケットのログを有効にします。 これらの設定がunsolicitiedトラフィックをブロックは双方向通信を許可する、PAWから開始された接続で、一方からは、GPOの設定を上書きし、PAWアウト トラフィックが記録されていることを確認するローカルのファイアウォール規則を作成するローカル管理者のアクセス権を持つユーザーを防止します。 このファイアウォールを開き、PAWに対する攻撃を展開し、セキュリティ リスクが増大します。すべてのアドレスを追加するには、前に、このガイダンスでPAW操作と管理のセクションをご覧ください。します。

      5. WSUS用のWindows Updateの構成-、足をWindows Updateを構成する設定を変更するのには、次の手順に従います。

        1. コンピューターの構成 \ 管理用テンプレート \windowsコンポーネントwindowsコンポーネントの更新に移動し、次の手順に従います。

          1. 有効にする、自動更新の構成ポリシーします。

          2. オプションを選択4 - が自動的にダウンロードし、インストールのスケジュール設定します。

          3. オプションを変更スケジュール インストール日0 - 毎日とオプションインストール時刻をスケジュール、組織の優先順位にします。

          4. オプションを有効にする少イントラネットMicrosoft updateサービスの場所ポリシー、し、両方のオプションでESAE WSUSサーバーのURLを指定します。

      6. とおりPAW構成のコンピューターのGPOをリンクします。

        ポリシーリンクの位置
        PAW構成Admin\Tier 0\Devices
  6. "PAW構成-User"グループ ポリシー オブジェクト (GPO) と階層0ユーザーOU (層0\Admin未満の「ユーザー」) へのリンクを作成します。 このセクションでは、新しい「PAW構成-ユーザー」これらの足の特定の保護を提供するGPOを作成します。

    メモ

    既定のドメイン ポリシーにこれらの設定を追加しません。

    1. インターネットの閲覧をブロックする- 不注意によるインターネットの閲覧を阻止するこのループバック アドレス (127.0.0.1のプロキシのアドレスが設定されます)。

      1. ユーザーConfiguration\Preferences\Windowsレジストリに移動: New\Registry項目をクリックし、次の設定を構成します。

        1. 操作: 置換

        2. ハイブ: HKEY_CURRENT_USER

        3. キー パス: Software\Microsoft\Windows\CurrentVersion\Internet設定

        4. 値の名前: ProxyEnable

          メモ

          値の名前の左側に既定のボックスを選択することはしません。

        5. 値の型: REG_DWORD

        6. データの値: 1

          1. . 一般的なタブをクリックし、選択適用が不要になった場合は、この項目を削除するします。

          2. [共通] タブを選択項目レベルのターゲット設定クリックターゲットします。

          3. クリックして新しい項目のセキュリティ グループします。

          4. 「…」ボタンとPAW Usersグループに対する参照を選択します。

          5. クリックして新しい項目のセキュリティ グループします。

          6. 「…」ボタンを選択し、参照、クラウド サービス管理者グループです。

          7. クリックして、クラウド サービス管理者項目し、クリックして項目のオプションします。

          8. 選択します。

          9. クリックしてOKのターゲット設定ウィンドウに表示されます。

        7. クリックしてOK ProxyServerグループ ポリシー設定を完了するには

      2. ユーザーConfiguration\Preferences\Windowsレジストリに移動し、[新規] をクリックしてレジストリ項目し、次の設定を構成します。

        • 操作: 作成

        • ハイブ: HKEY_CURRENT_USER

        • キー パス: Software\Microsoft\Windows\CurrentVersion\Internet設定

        • 値の名前: ProxyServer

          メモ

          値の名前の左側に既定のボックスを選択することはしません。

        • 値の種類: REG_SZ

        • データの値: 127.0.0.1:80

          1. クリックして、共通タブをクリックして適用が不要になった場合は、この項目を削除するします。

          2. 共通] タブを選択項目レベルのターゲット設定] をクリックしてターゲットします。

          3. クリックして新しい項目のし、[セキュリティ グループです。

          4. 「…」ボタンを選択し、PAW Usersグループを追加します。

          5. クリックして新しい項目のし、[セキュリティ グループです。

          6. 「…」ボタンを選択し、参照、クラウド サービス管理者グループです。

          7. クリックして、クラウド サービス管理者項目し、クリックして項目のオプションします。

          8. 選択します。

          9. クリックしてOKのターゲット設定ウィンドウに表示されます。

      3. クリックしてOK ProxyServerにグループ ポリシー設定を完了するには

    2. 構成 \ 管理用テンプレート \windowsコンポーネント \internet \ に移動し、次のオプションを有効にします。 これらの設定すると、管理者が手動でプロキシの設定を上書きできなくなります。

      1. 有効にする、自動構成の変更を無効にする設定します。

      2. 有効にする、プロキシ設定を変更できないようにするします。

  7. 下の層ホストへのログオンから管理者に制限するします。 このセクションでは、下の層ホストへのログオンに特権を持つ管理者アカウントを防ぐためのグループ ポリシーを構成します。

    1. 新しい作成ワークステーションへのログオン制限GPOでこの設定は制限層0および1層の管理者アカウント標準ワークステーションへのログオンからです。 このGPO、次の設定があります。

      • (i) で [バッチ ジョブとしてログオンでコンピューター \windows設定 \ ポリシー \ ユーザー権利Assignment\Deny、これらのポリシー設定を定義層0とグループの第1層を追加して。

        グループ ポリシー設定を追加する:

        Enterprise Admins

        Domain Admins

        Schema Admins

        DOMAIN\Administrators

        Account Operators

        バックアップ オペレーター

        演算子を印刷します。

        Server Operators

        ドメイン コント ローラー

        Read-Onlyドメイン コント ローラー

        グループ ポリシーの作成者所有者

        暗号化演算子

      メモ

      注: 組み込みの層0グループでは、階層0同等に扱うための詳細のを参照してください。

      その他の委任されたグループ

      メモ

      注: 層0を効果的にアクセスするには、グループを作成した任意のカスタム層0同等に扱うための詳細のを参照してください。

      に関する1管理者

      メモ

      注: 以前フェーズ1で、このグループが作成されました

      • (ii) でサービスとしてログオンにコンピューター \windows設定 \ ポリシー \ ユーザー権利Assignment\Deny、次のように選択します。これらのポリシー設定を定義し層0とグループの第1層を追加します。

        グループ ポリシー設定を追加する:

        Enterprise Admins

        Domain Admins

        Schema Admins

        DOMAIN\Administrators

        Account Operators

        バックアップ オペレーター

        演算子を印刷します。

        Server Operators

        ドメイン コント ローラー

        Read-Onlyドメイン コント ローラー

        グループ ポリシーの作成者所有者

        暗号化演算子

        メモ

        注: 組み込みの層0グループでは、階層0同等に扱うための詳細のを参照してください。

        その他の委任されたグループ

        メモ

        注: 層0を効果的にアクセスするには、グループを作成した任意のカスタム層0同等に扱うための詳細のを参照してください。

        に関する1管理者

        メモ

        注: 以前フェーズ1で、このグループが作成されました

    2. 新しい作成を制限するサーバーにログオンGPOでこの設定は、制限層0管理者アカウント標準ワークステーションへのログオンからです。 このGPO、次の設定があります。

      • (i) で [バッチ ジョブとしてログオンでコンピューター \windows設定 \ ポリシー \ ユーザー権利Assignment\Deny、これらのポリシー設定を定義層0グループを追加して。

        グループ ポリシー設定を追加する:

        Enterprise Admins

        Domain Admins

        Schema Admins

        DOMAIN\Administrators

        Account Operators

        バックアップ オペレーター

        演算子を印刷します。

        Server Operators

        ドメイン コント ローラー

        Read-Onlyドメイン コント ローラー

        グループ ポリシーの作成者所有者

        暗号化演算子

        メモ

        注: 組み込みの層0グループでは、階層0同等に扱うための詳細のを参照してください。

        その他の委任されたグループ

        メモ

        注: 層0を効果的にアクセスするには、グループを作成した任意のカスタム層0同等に扱うための詳細のを参照してください。

      • (ii) でサービスとしてログオンにコンピューター \windows設定 \ ポリシー \ ユーザー権利Assignment\Deny、これらのポリシー設定を定義層0グループを追加して。

        グループ ポリシー設定を追加する:

        Enterprise Admins

        Domain Admins

        Schema Admins

        DOMAIN\Administrators

        Account Operators

        バックアップ オペレーター

        演算子を印刷します。

        Server Operators

        ドメイン コント ローラー

        Read-Onlyドメイン コント ローラー

        グループ ポリシーの作成者所有者

        暗号化演算子

        メモ

        注: 組み込みの層0グループでは、階層0同等に扱うための詳細のを参照してください。

        その他の委任されたグループ

        メモ

        注: 層0を効果的にアクセスするには、グループを作成した任意のカスタム層0同等に扱うための詳細のを参照してください。

      • (iii) でコンピューター \windows設定 \ ポリシー \ ユーザー権利Assignment\Denyログオンをローカルで選択これらのポリシー設定を定義層0グループを追加して。

        グループ ポリシー設定を追加する:

        Enterprise Admins

        Domain Admins

        Schema Admins

        DOMAIN\Administrators

        Account Operators

        バックアップ オペレーター

        演算子を印刷します。

        Server Operators

        ドメイン コント ローラー

        Read-Onlyドメイン コント ローラー

        グループ ポリシーの作成者所有者

        暗号化演算子

        メモ

        注: 組み込みの層0グループでは、階層0同等に扱うための詳細のを参照してください。

        その他の委任されたグループ

        メモ

        注: 層0を効果的にアクセスするには、グループを作成した任意のカスタム層0同等に扱うための詳細のを参照してください。

  8. 展開の足

    メモ

    オペレーティング システムのビルド処理中に、PAWがネットワークから切断されていることを確認します。

    1. 以前に取得した元のクリーン インストール メディアを使ってWindows 10をインストールします。

      メモ

      Microsoft Deployment Toolkit (MDT) や別の自動化されたイメージの展開システムを使用して、PAW展開を自動化する可能性がありますが、ビルド プロセスが、PAWほどの信頼性を確認する必要があります。 特定の敵具体的には検索会社のイメージと展開のシステム (Iso、展開パッケージなどを含む) 常設メカニズムとしてため、既存の展開システム、または画像を使用しないでください。

      PAWの展開を自動化する場合は、次の操作を行う必要があります。

      • 検証のガイダンスを使ってインストール メディアを使ってシステムを構築クリーン インストール メディア ソースします。
      • オペレーティング システムのビルド処理中に、自動化された展開システムがネットワークから切断されていることを確認します。
    2. ローカル管理者アカウントの固有の複雑なパスワードを設定します。 その他のアカウントの環境では使われてきましたが、パスワードを使わないでください。

      メモ

      使用をお勧めします。ローカル管理者のパスワード ソリューション (ラップ)足を含め、すべてのワークステーションのローカル管理者のパスワードを管理します。 ラップを使用する場合は、ことのみ権利を付与するPAWメンテナンス グループを足のラップが管理パスワードを読み取ることを確認します。

    3. リモート サーバー管理ツールでWindows 10向けソースのクリーン インストール メディアをインストールします。

    4. 強化された対策エクスペリエンス ツールキット (EMET) ソースのクリーン インストール メディアを使ってをインストールします。

      メモ

      このガイドの最後の更新の時点で、EMET 5.5がまだでベータ テストしたこと、注意してください。 これはWindows 10でサポートされている最初のバージョンであるためが含まれている次のとおり、ベータ版の状態にかかわらずできます。 PAWにベータ版のソフトウェアをインストールする、リスクの許容範囲を超えている場合は、ここではこの手順を省略可能性があります。

    5. PAWをネットワークに接続します。 PAWが少なくとも1つのドメイン コント ローラー (DC) に接続できることを確認します。

    6. PAWメンテナンス グループのメンバーであるアカウントを使用して、適切なOUのドメインに参加する新しく作成したPAWから、次のPowerShellコマンドを実行します。

      Add-Computer -DomainOrWorkgroupName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"

      参照を置き換えますFabrikam、ドメイン名を持つとして適切です。 場合は、ドメイン名は、複数のレベル (child.fabrikam.comなど) を拡張して、追加で追加の名前、"DC ="ドメインの完全修飾ドメイン名に出現する順序での識別子。

      メモ

      展開した場合、ESAE管理フォレスト(のフェーズ1での管理者を層0)、またはMicrosoft身元マネージャー (MIM) 特権のアクセスの管理 (PAM) (の第1層とフェーズ2で2つの管理者を使用)、その環境内の次のとおり、運用環境のドメインではなくドメインに、PAWに参加するとします。

    7. (管理ツール、エージェントなどを含む)。その他のソフトウェアをインストールする前に、すべての緊急または重要なWindows更新プログラムを適用します。

    8. グループ ポリシーの適用を強制的にします。

      1. 管理者特権のコマンド プロンプトを開き、次のコマンドを入力します。

        Gpupdate /force /sync

      2. コンピューターを再起動します

    9. (省略可能) Active Directory管理者向けの他の必要なツールをインストールします。 他のツールや職務を実行するために必要なスクリプトをインストールします。 PAWに追加する前に任意のツールを使用して、ターゲット コンピューターの資格情報の脅威のリスクを評価することを確認します。 アクセスこのページ管理ツールおよび資格情報の露出リスクの接続方法を評価する上の詳しい情報を入手します。 ガイダンスを使用してすべてのインストール メディアを入手することを確認クリーン インストール メディア ソースします。

      メモ

      これらのツールの1か所にジャンプ サーバーを使用して、セキュリティ境界として機能していない場合でも複雑さを軽減ことができます。

    10. (省略可能)をダウンロードし、リモート アクセスが必要なソフトウェアをインストールします。 管理者は、管理用、PAWをリモートで使用される場合、は、リモート アクセス ソリューションのベンダーからセキュリティ ガイダンスを使用してリモート アクセス ソフトウェアをインストールします。 インストール メディアのクリーンなソースのガイダンスを使ってすべてのインストール メディアを入手することを確認します。

      メモ

      慎重に検討すべてのリスクをPAW経由でリモート アクセスが可能に関連します。 自宅、職場など、多くの重要なシナリオにより、モバイルPAW中にリモート アクセス ソフトウェアは攻撃に対して脆弱な可能性があり、PAWを侵害するために使用します。

    11. 確認し、すべての適切な設定を代わりに、次の手順を使用していることを確認して、PAWシステムの整合性を検証できます。

      1. PAW固有のグループ ポリシーを持つユーザーのみが、PAWに適用されていることを確認します。

        1. 管理者特権のコマンド プロンプトを開き、次のコマンドを入力します。

          Gpresult /scope computer /r

        2. 結果の一覧を確認し、唯一のグループを確実に表示されるポリシーは、上記で作成したものです。

      2. 追加のユーザー アカウントに次の手順に従ってPAW上の特権を持つグループのメンバーがないことを確認するには。

        1. 開いている編集ローカル ユーザーとグループ(lusrmgr.msc)、selectグループ、およびローカルのAdministratorsグループのメンバーのみが、ローカルのAdministratorアカウントとメンテナンスのPAWグローバル セキュリティ グループのことを確認します。

          メモ

          PAW Usersグループには、ローカルのAdministratorsグループのメンバーはできません。 ローカル管理者アカウントとメンテナンスのPAWグローバル セキュリティ グループを唯一のメンバーとして使用することがあります (、PAWユーザー必要がありますできませんそのグローバル グループのメンバーか)。

        2. 使っても編集ローカル ユーザーとグループ、次のグループにメンバーがないこと。

          • バックアップ オペレーター

          • 暗号化演算子

          • HYPER-V管理者

          • ネットワーク構成演算子

          • Power Users

          • リモート デスクトップのユーザー

          • Replicator

    12. (省略可能)場合、組織は、セキュリティ情報とイベントの管理 (SIEM) ソリューションを使用していることを確認、PAW Windowsイベントの転送 (WEF) を使用してシステムのイベントを転送するように構成か、SIEMがアクティブにイベントと情報を受け取る、PAWできるように、ソリューションに登録されてそれ以外の場合。 この操作の詳細は、SIEMソリューションによって異なります。

      メモ

      SIEMは、システム アカウントまたはローカル管理者アカウントとして実行されますが、足でエージェントを必要とする場合は、SIEMsが、ドメイン コント ローラーidシステムと同じレベルの信頼で管理されていることを確認します。

    13. (省略可能)、PAW上のローカル管理者アカウントのパスワードを管理するラップを展開する場合は、パスワードが正常に登録されていることを確認します。

      • 開くアクセス許可を持つアカウントを使用して、ラップが管理パスワードを読み取るActive Directoryユーザーとコンピューター (dsa.msc) します。 高度な機能が有効であり、適切なコンピューター オブジェクトを右クリックすることを確認します。 属性の編集] タブを選択し、パスワードが有効なmsSVSadmPwdの値が表示されていることを確認します。

フェーズ2 - すべての管理者にPAWを拡張します。

範囲: ミッション クリティカルなアプリケーションとの依存関係経由での管理者権限を持つすべてのユーザーです。 これは、少なくともアプリケーション サーバー、動作の正常性、およびセキュリティ ソリューション、仮想化ソリューション、ストレージ システム、およびネットワーク デバイスの監視の管理者です。

メモ

このフェーズでは、画面の指示は、目を通して1のフェーズが完了したことを前提としています。 すべてのフェーズ1で手順を完了するまで、フェーズ2は開始されません。

すべての手順を実行したことを確定すると、2のフェーズを完了するには、次の手順を実行します。

  1. (推奨)を有効にするRestrictedAdminモードでは、既存のサーバーとワークステーション上でこの機能を有効にし、この機能の使用を強制します。 この機能では、対象サーバーがWindows Server 2008 R2を実行している必要が以降が実行されているWindows 7以降にワークステーションをターゲットとします。

    1. 有効にするRestrictedAdminモード、サーバーとワークステーションで利用可能な指示に従ってにページします。

      メモ

      インターネット見開きサーバーの場合は、この機能を有効にするには、前に、特定の敵が以前に盗まれたパスワードのハッシュを使用してこれらのサーバーを認証することができなくのリスクを検討してください。

    2. 「RestrictedAdminのために必要な-コンピューター」グループ ポリシー オブジェクト (GPO) を作成します。 このセクションの使用を強制するGPOを作成する、/RestrictedAdmin発信リモート デスクトップ接続、ターゲット システムで資格情報の盗難からアカウントを保護するために切り替える

      • 資格情報をリモート サーバーのコンピューターの構成 \ ポリシー \ Templates\System\Credentials Delegation\Restrict委任に移動し、設定Enabledします。
    3. リンク、RestrictedAdmin必須: 適切な第1層/層2台のデバイスを次のポリシー オプションを使ってコンピューター。

      コンピューターの構成 - PAWします。

      リンクの位置情報]-> [: Admin\Tier 0\Devices (既存の)

      ユーザーの構成 - をPAWします。

      リンクの位置情報]-> [: Admin\Tier 0\Accounts

      必須 - RestrictedAdminコンピューター

      Admin\Tier1\Devices]-> [または] の [Admin\Tier2\Devices (両方は、省略可能)

      メモ

      これは、これらのシステムは、既に環境内のすべての資産のフル コントロールでは、階層0システム必要はありません。

  2. 適切なOuに層1オブジェクトを移動します。

    1. 第1層のグループに、Admin\Tier 1\Groups OUを移動します。 次の管理者権限を付与して、このOUに移動するすべてのグループを探します。

      • 1つ以上のサーバー上のローカル管理者

      • クラウド サービスへの管理アクセス

      • エンタープライズ アプリケーションに管理者のアクセス

    2. 第1層のアカウントをAdmin\Tier 1\Accounts OUに移動します。 このOUに (入れ子になったメンバーシップを含む)、これらの第1層グループのメンバーである各アカウントに移動します。

  3. 関連するグループに適切なメンバーを追加します。

    • 1 Admins層-このグループには、第2層のホストへのログオンから制限が適用される層1管理者にが含まれます。 すべてのサーバーまたはインターネット サービス経由で管理者特権を持つ、第1層管理グループを追加します。

      メモ

      管理の担当者には、複数の層でアセットを管理する義務がある、層ごとの個別の管理者アカウントを作成する必要があります。

  4. 資格情報の盗難のリスクを軽減し、再利用する資格情報ガードを有効にします。 Credential Guardは、(パス、ハッシュを含む)、資格情報の盗難攻撃を防ぐことの資格情報をアプリケーションのアクセスを制限するWindows 10の新しい機能です。 Credential Guardは、エンドユーザーに対して完全に透過的最小限のセットアップの時間と労力が必要です。 展開の手順とハードウェア要件を含めて、Credential Guardの詳細については、記事をご覧くださいCredential Guardによるドメイン資格情報を保護するします。

    メモ

    構成し、Credential Guardを使用するためには、device Guardを有効にする必要があります。 ただし、Credential Guardを使用するために他のDevice Guardの保護機能を構成する必要はありません。

  5. (省略可能)クラウド サービスへの接続を有効にします。 この手順では、適切なセキュリティの保証をAzureやOffice 365などのクラウド サービスの管理ができます。 この手順は、Microsoft Intune、足を管理する必要もあります。

    メモ

    Intuneによって管理のクラウド サービスと管理に必要なクラウド接続がない場合は、この手順を省略します。

    これらの手順はのみの承認されたクラウド サービスをインターネット (ただし、開いているインターネットではない) 経由で通信を制限して、ブラウザーとインターネットからコンテンツを処理するその他のアプリケーションに保護を追加します。 これらの足管理用は、インターネット通信と生産性のようなタスクを標準ユーザーの決して使用してください。

    サービスをPAWへの接続を有効にするには、次の手順に従います。

    1. 承認されたインターネット目的地のみを許可するPAWを構成します。 クラウド管理を有効にする、PAW展開を拡張すると、場所攻撃がより簡単にマウントする、管理者に対して開いているインターネットからのアクセスをフィルター処理中に認証サービスへのアクセスを許可する必要があります。

      1. 作成クラウド サービス管理者グループ化し、インターネット上のクラウド サービスへのアクセスを必要とすることにすべてのアカウントを追加します。

      2. ダウンロード、PAW proxy.pacファイルからTechNetギャラリー内部のwebサイトで公開します。

        メモ

        更新する必要があります、proxy.pac最新の状態で完全なが高くなるようにダウンロードした後のファイル。
        Microsoft Officeで現在のすべてのOffice 365とAzureのUrlを発行するサポート センターします。

        IaaSの他のプロバイダーには、この一覧に追加がしないいない生産性、エンターテイメント、ニュース、追加またはこの一覧にサイトを検索に有効なその他のインターネットの目的地を追加する必要があります。

        これらのアドレスを使用する有効なプロキシのアドレスを対応するために、PACファイルを調整する必要もあります。

        メモ

        多層防御にも、webプロキシを使用してPAWからのアクセスを制限することもできます。 使ってこの単独でPACファイルがなくてもよう足企業ネットワークに接続しているときにのみアクセスが制限されます勧めしません。

        次の手順では、Office 365、Azure、およびその他のクラウド サービスの管理用に、Internet Explorer (またはMicrosoft Edge) を使用することが想定されています。 管理に必要なサード パーティのブラウザーの任意の同様の制限を構成することをお勧めします。 足上のwebブラウザーは、クラウド サービスの管理と決して一般的なweb閲覧にのみ使用します。

      3. 構成した後、proxy.pacファイル、PAWの構成 - にユーザーのGPOを更新します。

        1. ユーザーConfiguration\Preferences\Windowsレジストリに移動: New\Registry項目をクリックし、次の設定を構成します。

          1. 操作: 置換

          2. ハイブ: HKEY_ 現在のユーザー

          3. キー パス: Software\Microsoft\Windows\CurrentVersion\Internet設定

          4. 値の名前: AutoConfigUrl

            メモ

            選ばない、既定値の名前の左側にあるボックス。

          5. 値の種類: REG_SZ

          6. データの値: 完全なURLを入力、proxy.pac http:// とファイル名 - 例http://proxy.fabrikam.com/proxy.pacを含むファイルです。 URLには、単一ラベルURL - 例: http://proxy/proxy.pacことができます。

            メモ

            PACファイルは、file://server.fabrikan.com/share/proxy.pacの構文を使用して、ファイル共有をホストすることもがfile:// プロトコルを許可する必要があります。 この「注:: File://-basedプロキシ スクリプト廃止」セクションをご覧ください理解Webプロキシ構成必要なレジストリ値を設定する方法についての詳細についてはブログ。

          7. クリックして、共通タブをクリックして適用が不要になった場合は、この項目を削除するします。

          8. 共通] タブを選択項目レベルのターゲット設定] をクリックしてターゲットします。

          9. クリックして新しい項目のセキュリティ グループします。

          10. 「…」ボタンを選択し、参照、クラウド サービス管理者グループです。

          11. クリックして新しい項目のセキュリティ グループします。

          12. 「…」ボタンを選択し、参照、PAWユーザーグループです。

          13. クリックして、PAWユーザー項目し、クリックして項目のオプションします。

          14. 選択します。

          15. クリックしてOKのターゲット設定ウィンドウに表示されます。

          16. クリックしてOKを完了する、AutoConfigUrlポリシー設定をグループ化します。

    2. 次の手順を使用して、正しいOuにWindows 10のセキュリティ ベースラインとクラウド サービスのアクセスのリンク (必要な場合) にアクセスするセキュリティ ベースラインは、Windowsとクラウド サービスが適用されます。

      1. Windows 10のセキュリティ ベースラインのZIPファイルの内容を抽出します。

      2. これらのGpoを作成ポリシーをインポート設定、およびリンク次の表ごと。 各ポリシーをそれぞれの場所にリンクして、順序は次の表に、(テーブルのエントリを低いは後で適用されていると、高い優先順位にあります)。

        ポリシー:

        CM Windows 10 - ドメインのセキュリティ該当なし - 今すぐリンクしません。
        SCM Windows 10 TH2 - コンピューターAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        Windows 10のTH2-BitLockerのSCMAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        SCM Windows 10のCredential GuardAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        SCM Internet Explorer - コンピューターAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        コンピューターの構成 - PAWします。Admin\Tier 0\Devices (既存の)
        Admin\Tier 1\Devices (新しいリンク)
        Admin\Tier 2\Devices (新しいリンク)
        必須 - RestrictedAdminコンピューターAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        SCM Windows 10のユーザーAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        SCM Internet Explorer - ユーザーAdmin\Tier 0\Devices
        Admin\Tier 1\Devices
        Admin\Tier 2\Devices
        ユーザーの構成 - をPAWします。Admin\Tier 0\Devices (既存の)
        Admin\Tier 1\Devices (新しいリンク)
        Admin\Tier 2\Devices (新しいリンク)
        メモ

        「SCM Windows 10-ドメインのセキュリティ」GPOは、PAW、独立してドメインにリンクすることがありますが、ドメイン全体に影響されます。

  6. (省略可能)層1管理者向けの他の必要なツールをインストールします。 他のツールや職務を実行するために必要なスクリプトをインストールします。 PAWに追加する前に任意のツールを使用して、ターゲット コンピューターの資格情報の脅威のリスクを評価することを確認します。 資格情報の露出リスクのためのメソッドがアクセス管理ツールと接続の評価について詳しくはこのページします。 インストール メディアのクリーンなソースのガイダンスを使ってすべてのインストール メディアを入手することを確認します。

  7. 識別し、ソフトウェアと管理のために必要なアプリケーションを安全に取得します。 これは、フェーズ1では、アプリケーション、サービス、およびセキュリティで保護されたシステムの数が増加のための広い範囲で実行される作業に似ています。

    メモ

    これらの新しいアプリケーション (webブラウザーを含む) を保護することを確認して選ぶEMETによって提供される保護にします。

    追加のソフトウェアおよびアプリケーションの例は次のとおりです。

    • Microsoft Azure PowerShell

    • Office 365 PowerShell (とも呼ばれるMicrosoftオンライン サービス モジュール)

    • アプリケーションまたはサービスの管理ソフトウェアがMicrosoft管理コンソールに基づく

    • 独自の (非MMCベースの) アプリケーションまたはサービスの管理ソフトウェア

      メモ

      多くのアプリケーションはwebブラウザーで多くのクラウド サービスを含む経由でのみ管理されています。 これには、PAWにインストールする必要のあるアプリケーションの数が軽減しますが、中にも、ブラウザーの相互運用性のリスクを紹介します。 特定のサービスの管理を有効にする特定のPAWインスタンスに、Microsoft以外のwebブラウザーを展開する必要があります。 その他のwebブラウザーを展開する場合は、すべてのクリーンなソースの原則に従うし、ベンダーのセキュリティのガイダンスに従って、ブラウザーをセキュリティで保護されたことを確認します。

  8. (省略可能)をダウンロードして、必要な管理エージェントをインストールします。

    メモ

    追加の管理エージェント (監視、セキュリティや構成の管理など) をインストールする場合は、ドメイン コント ローラーとidシステムと同じレベルに、管理システムが信頼されていることを確認することが重要です。 追加のガイダンスについては、管理および更新足跡を参照してください。

  9. PAWによって提供されるその他のセキュリティ保護を必要とするシステムを識別するインフラストラクチャを評価します。 どのシステムを保護する必要がまったくを知っていることを確認します。 重要なに関する質問リソース自体など。

    • 管理する必要がありますターゲット システムにはどこですか。 1つの物理的な場所に収集され、または1つの明確に定義されたサブネットに接続されているか。

    • システムの数はありますか。

    • (仮想化、ストレージなど) は、他のシステムに依存して、これらのシステムと、その場合は、これらのシステムを管理する方法ですか。 方法は、これらの依存関係、およびその他のリスクに公開されている重要なシステムに関連付けられているこれらの依存関係ですか。

    • 重要な方法は、管理されているサービスとそれらのサービスが侵害された場合は、予想される損失ですか。

      メモ

      この評価する上で、クラウド サービスが含まれます - 攻撃者はますます安全性の低いクラウドの導入をターゲットし、する場合、社内でミッション クリティカルなアプリケーション安全にそれらのサービスを管理する必要があります。

      この評価を使用して、追加の保護機能を必要とする特定のシステムを識別し、それらのシステム管理者に、PAWプログラムを拡張します。 PAWベースの管理を大幅に利用するシステムの一般的な例には、SQL Server (社内とSQL Azureの両方)、人事アプリケーション、および財務ソフトウェアが含まれます。

      メモ

      Windowsシステムからリソースを管理する場合は、Windows以外のオペレーティング システムやMicrosoft以外のクラウド プラットフォームでアプリケーション自体が実行される場合でも、PAWで管理できます。 たとえば、Amazon Webサービス、サブスクリプションの所有者はそのアカウントを管理するのに、PAWを使用する必要がありますのみです。

  10. 組織内の拡大縮小率の足を展開するための要求と配布方法を開発します。 フェーズ2で展開する足の数、によっては、プロセスを自動化する必要があります。

    • 正式な要求と承認プロセスを使用して、PAWを取得する管理者向けの開発を検討します。 このプロセスは、展開プロセスを標準化PAWデバイスに対する責任を確保し、PAW展開でギャップを特定できるようにために役立ちます。

    • 前述のように、この展開ソリューション (される可能性がありますが侵害された既に) 既存のオートメーション メソッドからは独立して、フェーズ1で説明した原則に従う必要があります。

      メモ

      任意のシステム リソースを管理は、自体同じかそれ以上の信頼レベルで管理する必要があります。

  11. 確認し、必要な場合は、別途PAWハードウェア プロファイルを展開します。 フェーズ1展開用に選択したハードウェア プロファイルは、すべての管理者に適していない場合があります。 ハードウェア プロファイルを確認し、該当する場合は、管理者のニーズに合わせて、その他のPAWハードウェア プロファイルを選択します。 たとえば、(別のPAWおよび毎日使うワークステーション) 専用のハードウェア プロファイルない可能性があります移動距離は多くの場合、管理者に適した - この例では、その管理者の同時使用プロファイル (ユーザーVM PAW) を展開する情報を選択する可能性があります。

  12. トレーニングのニーズに付随する場合、拡張PAW展開されると、文化、運用、通信を検討してください。 このような重要な変更管理モデルは、ある程度変更管理が必要自然し、自体の展開プロジェクトを構築することが不可欠します。 少なくとも、以下を考慮します。

    • 自分のサポートを確認するシニア リーダーシップへの変更をやり取りする方法は、ですか。 バックアップ上級リーダーは、失敗する可能性がないプロジェクトのいずれかまたは資金調達の少なくとも非常に困難に幅広く受け入れられているとします。

    • 管理者、新しいプロセスの文書を化するにですか。 これらの変更は、記載されているし、(する必要があります習慣を変更し、別の方法でリソースの管理) 既存の管理者、だけでなく、新しい管理者 (内から昇格または社外から採用したもの) もを伝達する必要があります。 ドキュメントがクリアされ、完全には重要な脅威、管理者およびPAWを正しく使用する方法を保護するうえでPAWの役割を明確に示しことが重要です。

      メモ

      これは、ヘルプ デスク担当者に限らずなど、高の回転を持つ役割にとって特に重要です。

    • 新しいプロセスへの準拠を確認するにはどうですか。 PAWモデルには、管理者の資格情報の漏洩を防止する技術的なコントロールの数が含まれていますが、純粋な技術的なコントロールを使用するすべての可能な露出を完全に回避することはできません。 たとえばを管理者が特権の資格情報を持つユーザーのデスクトップに正常にログオンするを防ぐことはできますが、ログオンの試行の単純なactはそのユーザーのデスクトップにインストールされているマルウェアへの資格情報を公開できます。 したがって、だけでなく、PAWモデルのメリットが非準拠のリスクを明確化することが不可欠です。 これは、監査し、資格情報の露出を簡単に検出して対応できるようにの警告を補完する必要があります。

フェーズ3: 拡張し、保護の強化

範囲: これらの保護機能は、多要素認証およびネットワーク アクセスの規則を含む高度な機能と基本的な保護を目指す、フェーズ1で構築したシステムを強化します。

メモ

このフェーズは、1のフェーズが完了したら、いつでも実行できます。 これは、2のフェーズの完了に依存することはありませんされ、実行する前に、第2段階の前後で、同時に、したがってにことができます。

このフェーズを構成するのには、次の手順に従います。

  1. 特権を持つアカウント用の多要素認証を有効にします。 多要素認証は、資格情報だけでなく、物理トークンを提供するユーザーを要求することによって、アカウントのセキュリティを強化します。 多要素認証が非常にも、認証ポリシーを補完が認証ポリシーの展開に依存しないこと (および同様に、認証ポリシーを必要としない多要素認証)。 多要素認証のこれらの形式のいずれかを使用することをお勧めします。

    • スマート カード: スマート カードは、Windowsログオン プロセス中に、2つ目の検証を提供するためのデータ改ざんに強いやポータブル物理デバイスです。 個々 のログオンの場合、カードを所持するを求めたり、盗まれた資格情報がリモートで再利用されるのリスクを軽減することができます。 Windowsでのスマート カード ログオンについて詳しくは、この記事をご覧くださいスマート カードの概要します。

    • 仮想スマート カード: 仮想スマート カードと物理スマート カード、特定のハードウェアにリンクされているという利点と同じセキュリティ上の利点を提供します。 展開とハードウェア要件について詳しくは、記事をご覧ください仮想スマート カードの概要仮想スマート カードで開始: チュートリアル ガイドします。

    • Microsoft Passport: Microsoft Passportにより、ユーザーがMicrosoftアカウント、Active Directoryアカウント、Microsoft Azure Active Directory (Azure AD) アカウント、またはFast ID Online (FIDO) 認証をサポートするMicrosoft以外のサービスを認証します。 Microsoft Passport登録時の2段階の初期検証の後に、ユーザーのデバイスでMicrosoft Passportがセットアップされ、ユーザーが、ジェスチャでは、WindowsこんにちはまたはPINを設定します。 Microsoft Passport資格情報は、非対称キー ペア、トラステッド プラットフォーム モジュール (Tpm) の分離環境内で生成されることができます。 Microsoft Passportについて詳しくは読み取り用Microsoft Passportの概要資料です。

    • Azureの多要素認証: Azureの多要素認証 (MFA) は、2番目の認証要素と同様の保護を強化を監視し、コンピューター ベースの学習ベースの分析によってセキュリティを提供します。 Azure MFAは、Azureの管理者は他の多くのソリューションも、だけでなくwebアプリケーション、Azure Active Directoryでは、リモート アクセスとリモート デスクトップなどのオンプレミス ソリューションなどを保護できます。 Azureの多要素認証の詳細については、この記事をご覧ください多要素認証します。

  2. ホワイト リストにはDevice GuardやAppLockerを使用するアプリケーションが信頼できるします。 PAW上で実行する信頼されていないか、署名されていないコードの機能を制限すると、悪意のあるアクティビティおよび侵害の可能性をさらに削減します。 Windowsには、アプリケーション制御のための2つの主なオプションが含まれています。

    • AppLocker: AppLockerはアプリケーションが所定のシステムで実行できる管理者が制御を使用します。 AppLockerを一元的に、グループ ポリシーによって管理され、(足のユーザーを対象となるアプリケーション) の特定のユーザーまたはグループに適用できます。 AppLockerでの詳細については、TechNetの記事をご覧くださいAppLockerの概要します。

    • Device Guard: Device Guardの新機能が影響を受けるデバイス上のAppLockerとは異なりをオーバーライドすることはできませんが強化されたハードウェア ベースのアプリケーション制御を提供します。 AppLockerでのようには、Device Guardをグループ ポリシーによって制御されてし、特定のユーザーを対象とすることができます。 Device Guardでのアプリケーションの使用状況を制限する方法の詳細については、TechNetの記事をご覧くださいDevice Guard展開ガイドします。

  3. さらに、特権を持つアカウントを保護する保護されているユーザー、認証ポリシー、および認証サイロを使用してします。 ユーザーの保護のメンバーでは、資格情報を保護するための他のセキュリティ ポリシーの対象は、ローカル セキュリティ エージェント (LSA) に保存され、大幅に資格情報の盗難や再利用のリスクを最小限に抑えます。 認証ポリシーとサイロ特権をどのようにユーザーを制御するドメイン内のリソースにアクセスできます。 総称して、これらの保護機能では、大幅にこれらの特権を持つユーザーのアカウントのセキュリティを強化します。 これらの機能の詳細については、webの記事をご覧ください保護されているアカウントを構成する方法します。

    メモ

    これらの保護機能は、既存のフェーズ1でのセキュリティ対策を補完する、置き換えないで、ものです。 管理者は、管理と一般的な用途の別のアカウントを使用も必要があります。

管理と更新の足

足がマルウェア対策機能を必要し、これらワークステーションの整合性を維持するために、ソフトウェア更新プログラムを迅速に適用する必要があります。

足で追加の構成管理、動作の監視やセキュリティの管理を使用することもは、各管理機能には、そのツールを使ってPAW侵害のリスクも導入されていますのでにこれらの統合を慎重に考慮する必要があります。 高度な管理機能を紹介するセンサーにかなっているかどうかは、さまざまな要因によって異なります。

  • セキュリティ状態と管理機能を (それらの役割、オペレーティング システム ツールはでホストされているか、管理、およびその他のハードウェアまたはソフトウェアの依存関係そのツールで、ツール、管理者の役割とアカウントのソフトウェア更新プログラムのプラクティスを含む) のプラクティス

  • 頻度とソフトウェアの展開し、足で更新プログラムの数量

  • 在庫と構成に関する詳細情報の要件

  • セキュリティの要件の監視

  • 組織の標準とその他の組織に固有の要因

クリーンなソースの原則に従って、すべてのツールを使用して管理または監視、足、足のレベルの以上で信頼されているいなければなりません。 これには、低い特権ワークステーションからセキュリティの依存関係しないようにするために、PAWから管理するこれらのツール通常必要があります。

次の表では、管理し、足の監視に使用できるさまざまなアプローチを示します。

アプローチ考慮事項
PAWの既定

-Windows Server Update Services
Windows Defender
-追加コストなし
-基本的な必要なセキュリティ機能を実行します。
-このガイドに含まれている手順
管理Intune
  • クラウド ベースの可視性と制御を提供します。

    • ソフトウェアの展開
    • o管理ソフトウェア更新プログラム
    • Windowsファイアウォールのポリシーの管理
    • マルウェア対策の保護
    • リモート アシスタンス
    • ソフトウェアのライセンス管理します。
  • 必要なサーバー インフラストラクチャが存在しません。
  • フェーズ2で「を有効に接続するクラウド サービス」の手順に従う必要があります。
  • PAWコンピューターがドメインに参加していない場合、は、セキュリティ ベースラインのダウンロードで提供されるツールを使用してローカルの画像をSCMベースラインを適用する必要があります。
足を管理するための新しいSystem Centerインスタンス-可視性と構成、ソフトウェアの展開、およびセキュリティ更新プログラムの制御を提供します。
-別のサーバー インフラストラクチャ、足のレベルにセキュリティで保護して、それらの高い特権を持つ担当者スタッフのスキルが必要です。
既存の管理ツールを使って足を管理します。-既存の管理インフラストラクチャは足のセキュリティ レベルに取り上げしない限り、足を侵害する重大なリスクを作成する注: Microsoftは、組織は、それを使用する特別な理由を持っていない限り、このアプローチ防止一般にします。 経験では、通常、非常に高いコストがこれらのツール (および、セキュリティの依存関係) のすべての移行の足のセキュリティ レベルまでです。
のこれらのツールのほとんど可視性と構成、ソフトウェアの展開、およびセキュリティ更新プログラムの制御を提供します。
セキュリティ スキャンまたは監視ツールを管理者のアクセスを必要とします。エージェントのインストールまたはローカル管理者のアクセス権を持つアカウントを必要とする任意のツールが含まれています。

-足のレベルまでツール セキュリティ保証を移行する必要があります。
ツールの機能をサポートする足のセキュリティ状態を削減するが必要 (ポートを開く、Java、またはその他のミドルウェアなどのインストール)、セキュリティのトレードオフの意思決定を作成します。
セキュリティ情報とイベントの管理 (SIEM)
  • SIEMはエージェント場合

    • アカウントを使用してアクセスを管理することがなく足イベントにアクセスできる、イベント ログ リーダーグループ
    • SIEMサーバーからの着信トラフィックを許可するネットワーク ポートを開くが必要になります
  • SIEMには、サポート担当者が必要とする場合は、その他の行を参照してくださいセキュリティ スキャンまたは監視ツールを管理者のアクセスを必要とするします。
Windowsイベントの転送-外部コレクターまたはSIEMに、足からセキュリティ イベントの転送のエージェントレス メソッドを提供します。
アクセスを管理することがなく足でのイベントにアクセス可能
にSIEMサーバーからの着信トラフィックを許可するネットワーク ポートを開くは必要ありません。

足の動作

内の標準を使ってPAWソリューションを運営する必要があります運用標準クリーンなソースの原則に基づいています。

関連トピック

魅力的なMicrosoft Cybersecurityサービス

プレミアの味: ハッシュ パスや他の形式の資格情報の盗難を軽減する方法

Microsoftの脅威の分析の詳細

Credential Guardによるドメインの派生資格情報を保護します。

Device Guardの概要

セキュリティで保護された管理者のワークステーションで価値の高い資産を保護します。

Dave Probert (Channel 9) によるWindows 10の分離ユーザー モード

分離ユーザー モード プロセスとLoganとWindows 10で機能ガブリエル (Channel 9)

プロセスとDave Probert (Channel 9) によるWindows 10の分離ユーザー モードでの機能に関する詳細

Windows 10の分離ユーザー モード (Channel 9) を使用して問題を緩和する資格情報の盗難

Windows KerberosでのKDCの厳密な検証の有効化

Windows Server 2012のKerberos認証の新機能

Windows Server 2008 R2のAD DS用の認証メカニズム保証Step-by-Stepガイド

トラステッド プラットフォーム モジュール

© 2017 Microsoft