管理者特権のパーティション分割の階層モデル

この記事では、危険度の高いゾーンから高い特権のアクティビティを隔離することによって、特権の昇格から保護するためのセキュリティ モデルについて説明します。

重要

この記事のモデルは MIM PAM を使用する分離された Active Directory 環境のみを対象としています。 ハイブリッド環境の 場合は、「」を参照してください。

Active Directory フォレストにおける特権の昇格

Windows Server Active Directory (AD) フォレストに対して永続的な管理者特権を与えられているユーザー、サービス、アプリケーションのアカウントにより、組織の任務と業務に多大なリスクが発生します。 これらのアカウントは、侵害に成功した場合、ドメイン内の他のサーバーやアプリケーションに接続する権利を持つことになるため、攻撃者の標的となることがよくあります。

階層モデルは、管理するリソースに基づいて管理者の間に区分を設けます。 ユーザー ワークステーションを制御する管理者は、アプリケーションを制御する管理者やエンタープライズ ID を管理する管理者から分離されています。

ログオン制限による資格情報の公開の制限

管理者アカウントの資格情報が盗難されるリスクを軽減するには、一般に管理作業を変更して、攻撃者への公開を制限する必要があります。 最初の手順として、組織は次を実行することをお勧めします。

• 管理者の資格情報が公開されるホストの数を制限する。
• ロールの権限を最低限必要なものに制限する。
• 標準ユーザーのアクティビティ (電子メールや Web 閲覧など) に使用されるホストで、管理タスクが実行されないようにする。

次の手順は、ログオン制限を実装し、プロセスと作業が階層モデル要件を遵守できるようにすることです。 理想的には、資格情報の公開を各階層内のロールに最低限必要な権限に縮小する必要もあります。

高い特権を持つアカウントにセキュリティ レベルの低いリソースへのアクセス権を付与しないようにするには、ログオン制限を適用する必要があります。 次に例を示します。

• ドメイン管理者 (階層 0) は、エンタープライズ サーバー (階層 1 ) と標準ユーザー ワークステーション (階層 2) にログオンできません。
• サーバー管理者 (階層 1) は、標準ユーザー ワークステーション (階層 2) にログオンできません。

Note

サーバー管理者はドメイン管理者グループに属していてはなりません。 ドメイン コントローラーとエンタープライズ サーバーの両方を管理する責任を負うユーザーは、個別のアカウントが必要です。

ログオン制限は次によって適用することができます。

• 次を含むグループ ポリシー ログオン権限の制限:
  • ネットワークからこのコンピューターへのアクセスを拒否
  • バッチ ジョブとしてのログオンを拒否する
  • サービスとしてのログオンを拒否する
  • ローカルでのログオンを拒否
  • リモート デスクトップ設定によるログオンを拒否する
• Windows Server 2012 以降を使用している場合は、認証ポリシーとサイロ
• アカウントが専用管理者フォレスト内にある場合、認証の選択

次のステップ

• 次の記事「Planning a bastion environment (要塞環境の計画)」では、Microsoft Identity Manager に専用管理フォレストを追加し、管理者アカウントを確立する方法について説明します。
• デバイスを保護することで、インターネット攻撃や脅威ベクターから保護された機密性の高いタスク専用のオペレーティングシステムが提供されます。