Windows Admin CenterでWindows PCを管理する準備をする
Admin CenterはWindows 10/11などのクライアントPCを管理対象にすることができますが、Windows Serverと違っていくつかの準備が必要です。
また、ある程度セキュリティを意識した準備をしておかないと、思わぬセキュリティ事故を引き起こす可能性もあるのでしっかりと準備していきましょう。
前提の環境
Admin CenterはWindows Remote Management Service(WinRM)を使って管理対象の情報取得やコマンド実行を行いますが、Windows 10/11のデフォルト設定では下記のような状態になっています。
- WinRMサービスは手動起動(通常は起動していない)
- WinRMサービスはTCP Port 5985で通信を受け入れる
- TCP5985はWindowsファイアウォールで閉じている
つまりそのままでは使えないということです。
そのため、Admin CenterからWindows 10/11に接続する場合はなんとかしてWinRMサービスを起動し、TCP5985ポートをリッスン状態にしておく必要があります。
しかし、常にWinRMサービスを起動してTCP5985ポートをリッスン状態にしておくわけにはいきません。
WinRMはその名前の通り、Windowsをリモートで管理するためのサービスです。仮に外出先や出張先でポートスキャニング攻撃を受けてTCP5985が開いていることが分かると、WinRMサービスが動いている可能性は容易に攻撃側にバレます。もしアカウント情報まで窃取されて第三者にWinRMサービス経由のセッションが確立されてしまうと、クライアントPCは好き放題されます。
また、どれだけ好き放題されてもPC画面上の変化は一切無いので悪さをされていること自体に気づかないでしょう。
ここからはセキュリティを確保しつつAdmin CenterでWindowsクライアントPCに接続できる環境を準備する実装例をご紹介します。
サービスはユーザーに起動してもらってTCPポートは事前に許可
この方法はActive Directory(AD)は不要で構成可能です。ただし、事前設定としてTCPポートを許可するファイアウォール設定の変更は必要です。
サービスの起動はコマンドプロンプトで”net start WinRM”で実行できますが管理者権限が必要です。クライアントPCに管理者権限を付与していない場合はこの方法は使えません。
ファイアウォールの設定は下記画像のような感じで。
この構成はADドメイン環境は不要ですが、WinRMを使って接続するときに管理者権限+ユーザー側での操作が必要になります。
上記を満たす環境であればサービススタートとFW設定追加のバッチファイルを作って配信しておくといいでしょう。
WinRMサービスはPC再起動によって停止するため、長期間起動しっぱなしの心配はありません。
サービスは常に起動、TCPポートはドメインネットワークのみ許可
この構成はADドメイン環境が必要です。事前にドメイングループポリシーでクライアントPCのWinRMサービスを自動起動するように設定を反映させておきます。
また、TCPポートをオープンするファイアウォールポリシーもドメイングループポリシーで追加します。
ただし、全てのネットワークでオープンにしておくと不正アクセスの危険性が増しますのでドメインネットワークに限定します。
このように設定すると、クライアントPCがドメインネットワーク(ADサーバに疎通可能なネットワーク)に接続しているときだけTCP5985ポートがオープンになります。
より安全にする場合、WinRM接続元のPCが固定IPアドレスであればスコープのリモートIPアドレスリストに追加する方法でもOKです。
特定のIPアドレス設定が難しい場合はネットワークセグメントでの指定も可能です。
IPアドレス以外に接続元(リモート)のコンピュータ名での制御も可能です(ここでは割愛)。
このように設定するとドメインネットワークに接続しているときだけWinRMサービスの利用ができるようになります。
ただしWinRMサービスは常に起動している状態のため、ファイアウォールをバイパスするような攻撃(マルウェアの水平展開とか不審な添付開いちゃったとか)には少し脆弱になります。
サービスは資産管理ソフトやセキュリティソフトで遠隔起動、ポートはドメインネットワークで許可
やっぱりサービス常時起動はやめて必要な時だけ起動したいよね、という場合はこんな方法があります。
企業向け(エンタープライズ向け)の資産管理ソフトやセキュリティソフトを導入済みの場合は、遠隔操作でコマンドを実行できる場合があります。
ポートは上記の方法で事前にドメインネットワークで許可しておいて、サービスの起動を資産管理ソフトやセキュリティソフト経由で実施する方法です。
エージェントが代理でnet start WinRMコマンドを実行するイメージで、サービスの起動タイミングを管理者が好き放題できるメリットがあります。
ユーザーの操作を一切介さずにディレクトリを作ったりファイルを送ったりイベントログを確認したりできます。
ただし、あまり無いとは思いますが管理者権限でコマンドを実行できないソフトウェアの場合は対応できません。
まとめ
いろいろな構成がありますが、要点は必要な時だけサービスをどうやって起動するかとポートをどうやって開けるかになります。
この記事に掲載した方法以外にも組み合わせが可能ですので、自社環境に合った方法を模索してみてください。