Windows リモート ターゲット アカウントの設定
Windows リモート ターゲット アカウントの設定手順
capam332
ここでは、Windows リモート ターゲット アカウントの設定手順について説明します。
2
Windows リモート ターゲット アカウントの前提条件
Windows サービスを含む、Windows リモート ターゲット アカウントを設定するには、以下のタスクが完了していることを確認します。
- デバイス タイプをパスワード管理としてデバイス(ターゲット サーバ)を追加します。AWS Windows デバイスを追加する場合は、アカウントの[アドレス]フィールドのプライベート IP アドレスを使用します。一部の機能は、パブリック IP アドレスを使用すると正しく機能しません。
- ターゲット サーバのターゲット アプリケーションを追加します。この手順には、Windows アカウントが存在するホストと Windows リモートの関連付けが含まれます。「Windows リモート ターゲット コネクタの追加」を参照してください。
- Windows リモート ターゲット アカウントが管理者アカウント タイプである場合、アカウントには Windows サーバの管理者権限が必要です。ターゲット アカウントをサービス アカウントとして使用する場合(他のターゲット アカウントのパスワードのローテーションに使用する場合)、このアカウントが対話形式にログインできないようにすることをお勧めします。これを行うには、Windows アカウントに以下のユーザ権利を割り当てます。
- ローカル ログオンを拒否
- リモート デスクトップ サービスを使用したログオンを拒否
CLI を使用して Windows リモート ターゲット アカウントを追加するには、「Windows リモート ターゲット コネクタ CLI 設定」を参照してください。
Windows リモート ターゲット アカウントの作成
以下の手順に従います。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。[ターゲット アカウント]ページに、既存のアカウントのリストが表示されます。
- [追加]を選択します。[ターゲット アカウントの追加]ページが表示されます。
- [ホスト名]の虫眼鏡を選択して、既存のターゲット サーバを検索し、[ホスト名]と[デバイス名]を入力します。
- [アプリケーション名]の虫眼鏡を選択してターゲット サーバ上の既存のターゲット アプリケーションを検索するか、または[+]を選択して、ターゲット アプリケーションを作成します。ターゲット アプリケーションの Windows リモート タイプを選択、または作成します。Windows リモートが[ターゲット アカウントの追加]ページに表示されます。
- [アカウント名]を入力します。アカウント名は、特定のターゲット アプリケーションに対して一意である必要があり、ターゲット システムが使用するアカウント名である必要があります。
- アカウントの[パスワード表示ポリシー]を選択します。
- 最初のアカウントパスワードを入力するか、[認証情報を生成する]の鍵アイコンを選択してデフォルトのパスワードを生成します。
- [パスワード]タブで、[許可されたディスカバリ]を選択し、Windows リモート システムのアカウントを検出します。適切な同期オプションを選択します。
- 認証情報マネージャ サーバのみの更新: パスワードは認証情報マネージャでのみ更新されます。認証情報マネージャとターゲットシステムのパスワードが異なることがあります。
- 認証情報マネージャ サーバとターゲット システムの両方を更新: 整合性を維持するために認証情報マネージャとターゲット システムの両方でパスワードの更新が実行されます。
- [Windows リモート]タブで、以下の手順に従います。
- [アカウント タイプ]を選択します。
- ユーザ: 通常のユーザ アカウントを使用します。
- 管理者: 管理者アカウントを使用します。
- 変更プロセスを選択します。
- [アカウント タイプ]に[ユーザ]を選択した場合は、[以下のアカウントを使用して、パスワードの変更を行ってください]を選択し、名前を入力するか眼鏡アイコンを使用して、同じ Windows リモート アプリケーションの管理者アカウント タイプのアカウントを指定します。
- [アカウント タイプ]に[管理者]を選択した場合は、いずれかの[変更プロセス]オプションを使用します。
- (オプション)アカウントを追加または更新していて、既存のパスワードがわからない場合は、[強制パスワード変更]チェック ボックスを選択します。アカウントが同期していない場合でも、既存のパスワードが変更されます。
- [OK]を選択して保存します。
新しい Windows ターゲット アカウントが[ターゲット アカウント]ページ上のアカウントのリストに追加されます。
管理者権限のないユーザが Windows リモート ターゲット アカウントを管理者権限なしでロック解除できるように PAM を設定する
この機能は、特権ユーザが表示権限のあるパスワードを持つアカウントから誤ってロックアウトされた場合に、そのユーザに対してセルフサービスのロック解除機能を提供します。ただし、特権アカウント アクセスを提供する管理者には、この機能を設定する際のセキュリティおよびコンプライアンス ポリシーの影響を考慮することを強くお勧めします。セルフサービスのロック解除イベントは、監査目的で
セッション ログ
に含まれます。- ユーザは PAM にログインし、Windows システムのターゲット アカウントにアクセスして、認証情報をチェックアウトします。ターゲット アカウントには、以下のオプションが設定されたパスワード表示ポリシーが割り当てられています。
- チェックアウト/チェックイン
- 表示時にパスワードを変更
- その後、ユーザは、以前にチェックアウトされたパスワードを使用して、外部端末エミュレータから Windows システムにログインしようとしますが、以下のいずれかの理由でパスワードが有効ではなくなりました。
- パスワード表示ポリシーに設定されている[強制チェックインをする期限]が期限切れになり、パスワードがローテーションされた。
- ローカル管理者が、Windows システム上でパスワードを変更した。
- ユーザは、Windows システムで設定されている許可されたログイン試行の最大数を超えてパスワードを繰り返し使用したため、アカウントがロックされました。
サーバの設定
以下の手順を実行して、管理者以外のユーザがロックされた Windows リモート ターゲット アカウントをロック解除できるように
Privileged Access Manager
を設定します。以下の手順に従います。
- [認証情報]-[ターゲット管理]-[アカウント]に移動します。
- Windows システムのターゲット アカウントを選択し、[更新]を選択します。
- 表示される[更新]ダイアログ ボックスで、[Windows リモート]タブを選択します。
- [以下のアカウントを使用して、パスワードの変更を行ってください]オプションを選択し、Windows マシン上のアカウントをロック解除する権限を持つターゲット アカウントの名前を指定します。
- [ロックされているアカウントのロック解除]オプションを設定します。
- [OK]を選択して保存します。
ロック解除の状況
以下のロック解除の状況は、このセクションで前述したように、管理者以外のユーザが、Windows リモート ターゲット アカウントを管理者権限なしでロック解除できるように PAM が設定されている場合にのみ適用されます。
Privileged Access Manager
は、以下のいずれかのアクションが発生した場合に、ロックされた Windows アカウントのロックを解除し、新しいパスワードを生成します。- 関連するパスワード表示ポリシーに[表示時にパスワードを変更]オプションが設定されており、標準ユーザが、ロックされたアカウントに関連付けられている既存のパスワードをチェックインした。
- 必要な権限を持つPrivileged Access Manager管理者がパスワードをローテーションした。
- スケジュールされたジョブによってパスワードがローテーションされた。
ログ記録
ロック解除イベントは、セッション ログ(セッション、ログ)に記録されます。これらを分離するには、以下のフィルタ パラメータを使用します。
- Column=Details
- Value=PAM-CM-5030
以下に例を示します。
/content/logging.png/_jcr_content/renditions/original)
[ユーザ名]
フィールドは、ロック解除が標準ユーザ、管理者、スケジュールされたジョブのどれによって実行されたかを示します。 Windows サービスおよびスケジュール済みタスクの検出
アカウント検出を使って、複数の Windows サービスとスケジュール済みタスクの認証情報を管理できます。
PAM
は、ターゲット アカウントを使用して、このアカウントを使用するサービスとスケジュール済みタスクの変更および更新を管理できます。個々のサービスまたはスケジュール済みタスクごとにパスワードを更新する必要はありません。この手順は、ローカル Windows アカウント向けです。Active Directory アカウントのサービスおよびスケジュール済みタスクを検出するには、「AD アカウントのサービスおよびスケジュール済みタスクの検出」を参照してください。
前提条件
アカウントのディスカバリを実行する前に、Windows リモート ターゲット アプリケーションの[アカウント ディスカバリ]タブに移動します。サービスまたはタスクの検出オプションを選択します。両方を選択できます。
サービスおよびタスクの検出
Windows リモート アカウントで新しいタスクおよびサービスを検出するには、以下の手順に従います。
- [認証情報]-[ディスカバリ]を選択します。
- [スキャン プロファイル]タブで、更新するアカウントのプロファイルの[実行]を選択します。プロファイルが存在しない場合は、以下の手順に従います。
- [追加]を選択します。
- プロファイルの[名前]を入力します。
- [サーバ]タブで、リモート アカウントに関連付けられているサーバを選択します。
- [実行]を選択します。
- [検出されたアカウント]タブを選択します。利用可能な更新がある Windows リモート アカウントには、[使用可能な更新]列の下に緑色のチェックボックスが表示されています。
- 利用可能な更新がある Windows リモート アカウントの[更新]ボタンを選択します。[検出されたアカウントの更新]ウィンドウが表示されます。[Available Services (利用可能なサービス)]および[スケジュール済みタスク]がそれぞれのタブに表示されます。
- [OK]を選択します。
- [選択したアカウントの更新]の確認を求められたら、[はい]を選択します。
- 以下の手順で、サービスおよびスケジュール済みタスクのリストを確認します。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。
- [サービス]タブと[スケジュール済みタスク]タブを選択して、アカウント リストを表示します。
Windows リモート ターゲット アカウントからタスクおよびサービスを削除するには、以下の手順に従います。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。
- 変更するアカウントを選択します。
- [更新]を選択します。
- [サービス]タブまたは[スケジュール済みタスク]タブを選択します。
- サービスまたはタスクを削除するには、エントリの隣にある[X]を選択します。