Just Enough Administration

"Just Enough Administration (JEA)" は、PowerShell で管理されるものすべてに対して委任された管理を有効にするセキュリティ テクノロジです。 JEA を使用すると、以下のことを実行できます。

• 通常のユーザーに代わって特権の必要な操作を実行する仮想アカウントまたはグループの管理されたサービス アカウントを使用して、お使いのコンピューター上の管理者の数を減らします。
• ユーザーが実行できる操作を制限します。ここでは、ユーザーが実行できるコマンドレット、関数、および外部コマンドを指定できます。
• トランスクリプションとログを使用して、ユーザーの操作を把握します。このトランスクリプションとログは、ユーザーがセッション中にどんなコマンドを実行したかを正確に示します。

JEA が重要な理由

サーバーの管理に使用される高い特権を持つアカウントには、深刻なセキュリティ リスクがあります。 そのようなアカウントが攻撃者に狙われた場合、組織全体に横展開の攻撃が始まります。 侵害された各アカウントがさらに多くのアカウントやリソースへのアクセスを攻撃者に与え、会社の機密情報の盗難に一歩近づき、サービス拒否攻撃などが始まります。

しかしながら、管理者特権を削除することは簡単なことではありません。 DNS ロールが Active Directory ドメイン コントローラーと同じコンピューターにインストールされるという一般的なシナリオについて考えてみてください。 DNS 管理者には、DNS サーバーでの問題を解決するためにローカル管理者特権が必要です。 しかしそのためには、これらを高い特権を持つ Domain Admins セキュリティ グループのメンバーにする必要があります。 この方法は、ドメイン全体への制御や、そのコンピューター上のすべてのリソースへのアクセス権を DNS 管理者に効果的に付与します。

JEA では、最小限の特権の原則を通じて、この問題に対処しています。 JEA を利用すると、DNS 管理者に管理エンドポイントを構成して、これらの管理者が作業を行うのに必要な PowerShell コマンドだけにアクセスできるようにすることができます。 つまり、DNS 管理者に Active Directory への権限を付与しなくても、侵害された DNS キャッシュを修復したり、DNS サーバーを再起動したり、またはファイル システムを参照したり、潜在的に危険性なスクリプトを実行したりできる適切なアクセスを提供できます。 さらに、JEA セッションが一時的な特権仮想アカウントを使用するように構成されている場合、DNS 管理者は管理者以外の資格情報を使用してサーバーに接続できる一方で、一般的には管理者特権を必要とするコマンドも実行できます。 JEA により、幅広い特権が与えられたローカル/ドメイン管理者ロールからユーザーを削除し、各コンピューターでユーザーに許可する操作を慎重に制御することができます。

次のステップ

JEA を使用するための要件の詳細については、「前提条件」の記事を参照してください。

サンプルと DSC のリソース

JEA 構成の例と JEA DSC リソースは JEA GitHub リポジトリで確認できます。