Windows ターゲット デバイスのログイン オプションの設定

Windows ターゲット デバイスに対して、以下のオプションを設定できます。
capam33
Windows ターゲット デバイスに対して、以下のオプションを設定できます。
2
RDP アクセスのネットワーク レベル認証ログイン
Windows サーバへの RDP セッションは、サービス妨害(DoS)攻撃の対象となる可能性があります。 DoS 攻撃のリスクを削減するために、Windows サーバの管理者はネットワーク レベル認証(NLA)を設定できます。 NLA では、サーバとのセッションを確立する前にユーザの認証が求められます。
Symantec PAM
は NLA に対応しているため、Windows ターゲット サーバへの接続を正常に完了できます。
アプライアンスで NLA の要件に対応するために特別な設定は必要ありません。 Windows ターゲット デバイス レコードにユーザを追加するだけで済みます。 デバイスの設定では、
[デバイス名]
[アドレス]
、および
[アクセス方法]
(RDP)のみが必須です。
[ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する]
の設定を使用して RDP-Tcp アクセス方法を設定する場合、アプライアンスは NLA の要件に適切に対応できます。 RDP-Tcp アクセス方法を設定するには、[RDP-Tcp のプロパティ]ダイアログ ボックスの[全般]タブを選択します。
NLA でのユーザ エクスペリエンス
ユーザが RDP アクセス方法を選択すると、RDP ページが表示され、セキュリティ ダイアログ ボックスで NLA ベースの認証情報が要求されます。 ユーザが認証情報を入力すると、ログインを完了するために、その情報がアプライアンスによって Windows ターゲット デバイスに送信されます。
Windows ターゲット デバイスでパスワード プッシュを有効にすると、このログイン プロンプトはオーバーライドされます。
RDP パスワード適用でのパスワード プッシュの有効化
Windows リモート デスクトップ サービスのインターフェースには、
[常にパスワードを要求]
というオプションがあります。 Windows 管理者はこのオプションを使用して、クライアント ワークステーションが自動接続するように設定されている場合でも、パスワード プロンプトを強制的に表示させることができます。
TLS セキュリティ レイヤを使用して RDP サーバ上で NLA が有効になっている場合、
[常にパスワードを要求]
オプションはサーバで無視されます。 ユーザはパスワードを求められません。 パスワード
オプションを適用するために、Windows の管理者は RDP セキュリティ レイヤでサーバを設定する必要があります。
パスワードを難読化してパスワード プロンプトに自動入力するようにデバイス グループを設定できます。
以下の手順では、以下のコンポーネントがセットアップ済みであることが前提となっています。
  • ユーザ
  • デバイス
  • ターゲット アカウント
  • ターゲット アカウントの自動接続に関するポリシー
以下の手順に従います。
  1. 設定権限を持つ管理者として UI にログインします。
  2. [デバイス]
    -
    [デバイス グループ管理]
    に移動します。
  3. 既存のデバイス グループを選択するか、
    [追加]
    を選択してグループを作成します。
  4. [デバイス]
    タブで、自動接続ポリシーでパスワード プッシュを必要とするターゲット デバイスを選択します。
  5. [有効]
    タブを選択し、
    [「常にパスワードを要求」に対して認証情報を提供する]
    チェック ボックスをオンにします。 この設定により、デバイス グループ内の任意のデバイスにデバイス レベルでの自動接続が強制されます。
    ログイン時にリーガル ノーティスも表示される場合は、
    [Windows ログオン画面において「リーガル ノーティス」を設定している場合でも自動ログインを有効にする]
    チェック ボックスをオンにして、リーガル ノーティスを自動的に受け入れることができます。
  6. ポリシー
    ]-[
    ポリシーの管理
    ]に移動します。
  7. 以前に設定したユーザ/ユーザ グループおよびデバイス グループのポリシーを準備します。 ポリシーのアクセス方法として RDP を選択します。
  8. [OK]を選択します。
パスワード プッシュが有効になります。
パスワード プッシュが設定されたユーザ エクスペリエンス
ユーザが
CA Privileged Access Manager
にログインして RDP アクセス方法を選択すると、以下のアクションが発生します。
  1. RDP アクセス方法のスプラッシュ ページが表示されます。
  2. RDP ウィンドウに、Windows のログイン画面が表示されます。
  3. アプライアンスによってログイン プロンプトがすぐにオーバーライドされます。 自動接続が完了するまでユーザにカウントダウン画面が表示される間、わずかな遅延が発生します。
リモート ユーザがログインします。