前提条件 – セキュリティ強化
概要 このセクションでは、JIMS を使用してシステム アカウントへのアクセスを制限する方法について説明します。
導入の準備
JIMS をインストールするサーバーを定義します。JIMS が定義されたディレクトリ サービスとアイデンティティ プロデューサから読み取りできるように、サービス アカウントを作成します。PC プローブを使用する場合、その PC プローブ用のサービス アカウントを作成する必要があります。
JIMS – Identity Aware Networkの設定
次の手順に従って JIMS を設定し、ID 認識ネットワークを提供します。
- サービス アカウントとポリシー適用ポイントの資格情報を定義します。
- JIMS をインストールします。
- JIMS を構成して、すべての Active Directory サービスに接続します。
- JIMS が、選択したアイデンティティ プロデューサを使用するように設定します。
- Juniper Secure EdgeやSecurity Director Cloudなどの必要な統合を設定します。
- すべての SRX シリーズ ファイアウォールを JIMS に登録します。
アクセス許可制限付きユーザー アカウントの設定
新しいユーザー アカウントの次の手順に従います。
- [スタート] メニューから、[Active Directory ユーザーとコンピューター] を選択します。
- フォレスト内の Users コンテナーに移動します。
- [ユーザー] を右クリックし、[新しいユーザー] を選択します。
- 記述的なファーストネームとミドルネームまたはWindows 2000ユーザー名を指定します。
- 組織のパスワード ポリシーに従ってパスワードを指定します。
- [次回のログイン時にパスワードを変更する必要があります] チェック ボックスをオフにします。
- [ユーザーはパスワードを変更できません] チェック ボックスをオンにします。
- [パスワードの有効期限なし] チェック ボックスをオンにします。
Active Directory グループへの限定された権限ユーザー アカウントの追加
新しいユーザー アカウントを Active Directory グループに追加するには、次の手順に従います。
- [組み込み] オプションを選択します。
- [イベント ログリーダー] グループを選択し、アカウントを追加しますJIMS-EventLogRemoteAccess。
- [分散 COM ユーザー] グループを選択し、アカウントを追加しますJIMS-PC-Probe。
- [リモート管理ユーザー] グループを選択し、アカウントを追加しますJIMS-PC-Probe。
- ドメイン管理者グループを選択し、アカウントを追加しますJIMS-PC-Probe。
制限付き権限ユーザー アカウントのグループ ポリシーを定義する
新しいユーザーアカウントごとにグループポリシーを定義するには、次の手順に従います。
- [スタート] メニューから、[グループ ポリシー管理] を選択します。
- [グループ ポリシー マネージャー] タブ/ウィンドウで、フォレストと既定のドメイン ポリシーを選択します。[デフォルト ドメイン ポリシー] を右クリックし、[編集] を選択します。
- [コンピューターの構成>ポリシー> Windows 設定>セキュリティー設定>ローカル ポリシー>ユーザー権限の割り当てを選択します。
- [ローカルログオンの拒否] を選択し、これらのポリシー設定を定義するを選択し、新しいユーザー アカウントを追加します。
- [リモート デスクトップ サービスでのログオンを拒否する] を選択し、[これらのポリシー設定を定義する] を選択して、新しいユーザー アカウントを追加します。
- [ターミナル サービス経由でのログオンの拒否] を選択し、[これらのポリシー設定を定義する] を選択して、新しいユーザー アカウントを追加します。
- [バッチ ジョブとしてのログオンを拒否する] を選択し、[これらのポリシー設定を定義する] を選択して、新しいユーザー アカウントを追加します。
- [サービスとしてのログオンを拒否する] を選択し、[これらのポリシー設定を定義する] を選択して、新しいユーザー アカウントを追加します。