必要最小限の管理

Just Enough Administration (JEA) は、PowerShell で管理されるものすべてに対する委任された管理を有効にするセキュリティ テクノロジです。 JEA を使用すると、以下のことを実行できます。

• 仮想アカウントまたはグループ管理サービス アカウントを使用して、通常のユーザーに代わって特権アクションを実行するマシンの管理者の数を減らします。
• 実行できる コマンドレット、関数、および外部コマンドを指定して、ユーザーが実行できる操作を制限します。
• セッション中にユーザーが実行したコマンドを正確に示すトランスクリプトとログを使用して、ユーザーが何を行っているかをよりよく理解します。

JEA が重要なのはなぜですか?

サーバーの管理に使用される高い特権を持つアカウントには、深刻なセキュリティ リスクがあります。 攻撃者がこれらのアカウントの 1 つを侵害した場合、組織全体で 横攻撃を開始する 可能性があります。 侵害された各アカウントは、攻撃者によりさらに多くのアカウントとリソースへのアクセスを許可し、会社のシークレットの盗み、サービス拒否攻撃の開始などの 1 歩近くになります。

しかしながら、管理者特権を削除することは簡単なことではありません。 ACTIVE Directory ドメイン コントローラーと同じコンピューターに DNS ロールがインストールされる一般的なシナリオを考えてみましょう。 DNS 管理者には、DNS サーバーでの問題を解決するためにローカル管理者特権が必要です。 ただし、これを行うには、高い特権を持つ Domain Admins セキュリティ グループのメンバーにする必要があります。 この方法により、DNS 管理者はドメイン全体を制御し、そのマシン上のすべてのリソースにアクセスできるようになります。

JEA は 、最小限の特権の原則を使用してこの問題に対処します。 JEA を利用すると、DNS 管理者に管理エンドポイントを構成して、これらの管理者が作業を行うのに必要な PowerShell コマンドだけにアクセスできるようにすることができます。 つまり、DNS 管理者に Active Directory への権限を付与しなくても、侵害された DNS キャッシュを修復したり、DNS サーバーを再起動したり、またはファイル システムを参照したり、潜在的に危険性なスクリプトを実行したりできる適切なアクセスを提供できます。 さらに、JEA セッションが一時的な特権仮想アカウントを使用するように構成されている場合、DNS 管理者は 管理者以外 の資格情報を使用してサーバーに接続し、通常は管理者特権を必要とするコマンドを実行できます。 JEA を使用すると、広く特権を持つローカル/ドメイン管理者ロールからユーザーを削除し、各マシンで実行できる操作を慎重に制御できます。

次のステップ

JEA を使用するための要件の詳細については、 前提条件に関する記事を 参照してください。

サンプルと DSC リソース

JEA 構成と JEA DSC リソースのサンプルは、 JEA GitHub リポジトリにあります。