最小権限ポリシータイプ

概要

Keeperの最小権限ポリシーは、対象エンドポイント上の標準ユーザーからローカル管理者権限を削除します。Windowsデバイスでは、Keeperは組み込みの管理者アカウントやrootアカウントから管理者権限を削除しません。詳細については「保護対象管理者の除外リスト」をご参照ください。

最小権限ポリシーの有効化

管理コンソールで、[エンドポイント特権マネージャー] > [ポリシー] で新しいポリシーを作成します。ポリシータイプから [最小権限] を選択し、[適用] を指定します。

[詳細設定] を開き、Keeperの管理対象外とするローカル管理者アカウントに除外ポリシーを適用します。

除外リスト

最小権限ポリシーが適用されると、Keeperは除外リストに含まれていないすべてのユーザーからローカル管理者権限を削除します。このリストは、ポリシー編集画面の [詳細設定] 設定で定義します。

以下の箇所を修正します。

"CertificationCheck": [],
"Extension": {
    "Exclusions": [
        "your_username_to_exclude"
    ]
},

最小権限ポリシーが適用されると、エンドポイントに「管理者グループから削除された」ことを示す通知が表示されます。

保護対象管理者の除外リスト

SID (セキュリティ識別子) のパターンマッチングと拡張検出によって、以下の管理者アカウントをデフォルトで保護されます。これにより、rootアカウントに対して最小権限ポリシーが適用されるのを防ぎます。

1. 既知のSIDパターン

• S-1-5-32-544 – 組み込みの管理者グループ

• S-1-5-18 – SYSTEMアカウント

• S-1-5-19 – LOCAL SERVICE

• S-1-5-20 – NETWORK SERVICE

2. ドメイン管理者SIDパターン

• S-1-5-21-*-512 – ドメイン管理者 (任意のドメイン)

• S-1-5-21-*-519 – エンタープライズ管理者 (フォレストルートドメイン)

• S-1-5-21-*-518 – スキーマ管理者 (フォレストルートドメイン)

• S-1-5-21-*-500 – 組み込みの管理者アカウント　(任意のドメイン)

追加の保護対象アカウント

• KeeperUserSession – 常に保護対象 (サービスアカウント)

• Built-in Administrator – 常に保護対象 (名前を変更しても保護されます)

Linux / macOS の保護対象アカウント

• LinuxおよびmacOSの root ユーザー