セキュリティ ベストプラクティス
エンド システムにおけるデータ セキュリティとデータ可用性
最終更新日: 2002年4月30日
Tom Dodds (MCS プリンシパル コンサルタント、MCS 南カリフォルニア)
Warren Kerby (コンサルタント、MCS 南カリフォルニア)
Michael Howard (プログラム マネージャ、Microsoft)
マイクロソフト ソリューション フレームワーク
メモ このホワイト ペーパーは、企業セキュリティのベストプラクティス シリーズの 1 つです。また、セキュリティ要素構成アーキテクチャも併せてご参照ください。
トピック
このホワイトペーパーの趣旨
Web 上のサーバーおよびワークステーションをセキュリティで保護する
ポリシーを使用してセキュリティの構成を適用する
監査と監視方法を策定する
フォールト トレランス ソリューションを設計する
付録 A: 説明されているユーザー権限 (『リソース キット : Group Policy Reference』より)
付録 B: ローカル セキュリティの設定 (『リソース キット : Group Policy Reference』より)
付録 C: HiSecweb.inf ファイル
このホワイトペーパーの趣旨
概要
このペーパーは、マイクロソフト コンサルティング サービス (MCS) が最近対応した大手銀行のセキュリティ管理に基づいて作成しています。次の分野における MCS が推奨する対策について説明します。
Web 上のサーバーおよびワークステーションをセキュリティで保護する
このセクションでは、サーバーおよびワークステーションを攻撃から守る際に考慮しなければならないさまざまな考え方や主な考慮点について、その概要を説明します。
ポリシーを使用してセキュリティの構成を適用する
このセクションでは、セキュリティ モデルの適用方法について、推奨項目をいくつか説明します。
監査と監視方法を策定する
このセクションでは、セキュリティ モデルに予防措置を組み込む際に利用できるツールについてその概要を説明します。
フォールト トレランス ソリューションを設計する
このセクションでは、MCS がお客様に提供した信頼性が高くスケーラブルなソリューションの作成過程の概要を説明します。
このホワイトペーパーで説明しているセキュリティ対策を評価、実施することで、ネットワークおよび Web 環境をより強力なセキュリティで保護することができます。
Web 上のサーバーおよびワークステーションをセキュリティで保護する
一般的な攻撃の種類
いわゆるハッカーが、企業のシステムに侵入、または危害を加えようとする方法には、さまざまなものがあります。これらの攻撃のうち多くのものは、すでによく知られていて、セキュリティ関係の多くの Web サイトでその記事を目にすることができます。有名な攻撃の種類には、次のようなものがあります。
ユーザー識別のスプーフィング (Spoofing、なりすまし)
ユーザー識別のスプーフィングは、ハッカーがユーザーの個人情報を取得した場合や、ユーザーの認証手順中にハッカーが再生可能なものを取得した場合に発生します。スプーフィングの脅威とは、ハッカーが有効なシステム ユーザーまたはリソースになりすますことが可能であり、このためシステムのセキュリティが危険にさらされるものです。
データの改ざん
保存されている情報、または伝送途中の情報に対する不正な変更、ハード ディスクのフォーマット、通信上検出不能なパケットの悪用による不正侵入、および不正侵入者による機密ファイルに対する検出不能な変更は、いずれも改ざんの脅威となります。
否認性
不正な操作を行っても追跡可能な痕跡を残さないユーザーには、"否認性がある" といえます。否認性の脅威は、ユーザーが (悪意を持つ/持たないにかかわらず) 悪事をはたらいても、その行為を立証する手段がなく、ユーザーがその行為を否認できる状態を指します。
情報の開示
個人的、または業務上重要な情報を開示することは、企業自体を危険にさらす可能性があります。情報開示の脅威は、その情報を知ることを想定していない人物に情報をさらしてしまいます。ユーザーがアクセスを認められていないファイルを読めることは、侵入者が 2 台のコンピュータ間で伝送されるデータを読めることと同様に、開示の脅威となります。この脅威は、加害者が正規ユーザーになりすまして情報にアクセスするのではなく、直接情報にアクセスするという点で、スプーフィングの脅威とは異なることに注意してください。
サービス拒否
サービス拒否 (DoS: Denial of Service) 攻撃が行われると、正規のユーザーも通常のサービスを使用できなくなります。DoS 攻撃の影響は、次の 3 つの点から測ることができます。
影響範囲
攻撃を成功させるのに必要な攻撃努力の多寡。最も小さい場合は、コンピュータをクラッシュさせられるパケットが 1 つの場合です。最も大きな場合は、複数の攻撃者による場合など、大量の大規模パケットがあります。
影響度
サービス低下の程度。最も厳しい攻撃の場合、正規のユーザーすべてが、サービスを利用できなくなります。中程度の攻撃の場合、アクセス速度が遅くなりますが、まったく使えなくなるまでには至りません。
持続性
攻撃行為が終了しても、その影響が残る場合、攻撃に持続性があることになります。最も強力な攻撃の場合、攻撃者にはサービスにアクセスできないようにしたとしても、その影響が残ります。攻撃によっては、サーバーを再起動するまでその影響が残る場合があります。弱い攻撃の場合は、攻撃行為が終了すると同時に、その影響もなくなります。
DoS 攻撃の影響範囲は、いやがらせ程度から、セキュリティが危険にさらされる範囲まであります。全体としては、十分なファイアウォールを用意すれば、この発生を防ぐことが可能です。(DoS 攻撃の防止手段については、後の「DoS 攻撃を防止する」を参照してください。)
特権の昇格
特権の昇格に関する脅威は、特権のないユーザーが特権アクセス権を取得し、システム全体を危険にさらしたり、またはシステムを破壊するのに十分なアクセス権を取得した場合に発生します。この脅威のより危険な側面は、検出不能な手段を用いてシステムを危険にさらすことで、システム管理者が把握できない方法でユーザーがその特権を行使してしまう可能性があることです。アクセス権の昇格の脅威には、攻撃者に通常利用できる権限以上の特権が認められ、システム全体のセキュリティが危険にさらされ、システムに重大な損傷を加えるような状況もあります。攻撃者が、システムの防衛機構をたくみにすべて通り抜け、攻撃者自身が信頼されているシステムの一部となると、攻撃者はいかなる操作可能になります。
セキュリティで保護する情報を決定する
最初にとる手順は、環境内の各システムで必要なセキュリティのレベルを決定することです。たとえば、外部に接続されている Web サーバーには、公開されている情報が通常あります。したがって、機密情報を格納しているデータベースとは異なるセキュリティ モデルが必要です。セキュリティを提供するもう 1 つのデバイスは、ファイアウォールです。ファイアウォールは、社内外にいるユーザーの情報へのアクセスを制限するのに通常使用されます。したがって、セキュリティを保護するファイアウォールの設計と実装は、大変重要な計画課題です。ただし、ファイアウォールだけではセキュリティを実現することは不可能です。まず情報のセキュリティとはなにかを最初に定義する必要があります。
このホワイトペーパーで取り上げている銀行プロジェクトで情報のセキュリティを定義する際、次のような質問をしました。
どのような情報を、極秘、秘密、機密、非機密と定義しますか?
社外のネットワークに保存している、匿名ユーザーにはアクセスされてはならない情報 (極秘、秘密、機密に分類される情報) はありますか?
特定グループのみにアクセスを制限する情報はありますか?
社内ユーザーが、社外のリソースに直接アクセスできる接続形態は存在しますか?
外部の人間でも、社内へのアクセスが可能な設備はありますか?
アプリケーションが必要とするアクセス権の種類にはどんなものがあり、また、ユーザーがファイアウォールを経由してアクセスしなければならないものはありますか?
銀行は、以上のすべての質問に対して概略的な回答を提示しました。また、セキュリティ チームを設置し、セキュリティ管理者を任命し、さらに全社規模のセキュリティ ポリシーを作成しました。このような準備が終了したところで、適切なセキュリティ モデルを開発し、セキュリティで保護されたインフラストラクチャを作成するのに必要な詳細事項の策定を完了しました。
セキュリティ レベルの決定
セキュリティを実現するのに必要な事項を、情報の機密性に基づいて分類し、またその内容を理解することが重要です。たとえば、セキュリティで保護された情報にアクセスできるレベルを決定することから開始することができます。エンタプライズ セキュリティには、対照的な例として次の 2 種類があります。
許可されていない情報については、適切な権限なしにはアクセスさせない。
この場合、だれがどの情報にアクセスできるかを情報技術 (IT) グループが決定します。閉鎖的な方法ですが制御は可能です。また、よく知られたモデルでもあり、長い間に渡って採用されてきています。この手法の目的は、全てのリソースにアクセスを許可する場合、全ての認証情報に対してアクセス制御を行うことです。
不許可以外の情報については、だれでもアクセスできる。
この方法では、ユーザーが身分を明示せずに情報にアクセスする場合、その操作についてはユーザー自身にその責任を委ねることになります。Web の利用者にとっては、この方法が望ましいのですが、セキュリティの観点からは煩わしい部分があります。この方法の場合、ユーザーはログインするのに身分を明かす必要はありませんので、データへのアクセスの制御は難しくなります。
今回の銀行プロジェクトの場合、この極端な 2 つの方法の中間のセキュリティ ポリシー、つまりデータへのアクセスを制御しながらも、ユーザーができるだけ必要な情報を入手できるようにするポリシーを採用することにしました。
物理的セキュリティ
物理的セキュリティには、サーバーかワークステーションかにかかわらず、機密データや重要データの保存や処理に使用するコンピュータ自体を保護することも含まれます。過失または故意によるアクセス (コンピュータのセットアップ方法の改変を含む) を防止するにあたっては、ユーザーの業務遂行を妨げたり、ユーザーのリソース利用が非現実的なほど難しくなるような障壁を用意すべきではありません。
標準セキュリティ
標準的なセキュリティとしては、高価な備品などと同様に、コンピュータ機器を保護する必要があります。今回の銀行プロジェクトの場合、関係者以外は立ち入ることのできない鍵のかかる建物内にコンピュータを設置しました。
前のセクションで述べたとおり、セキュリティで保護されたインフラストラクチャ構築の最初の手順は、各サーバーとワークステーションの現行のセキュリティ レベルを検証することです。標準のセキュリティ モデルで物理的セキュリティを実現するには、鍵となる項目がいくつかあり、その概要を次に示します。次のセクション以降では、セキュリティ モデルを構築する際に重要となる点について、より詳細に説明します。次の推奨項目を実際に適用する方法については、このペーパーの第 3 部「ポリシーを使用してセキュリティの構成を適用する」で説明します。第 3 部では、次の設定を Windows 2000 環境下で適用する方法について詳しく説明します。また、最新情報がないかどうか https://www.microsoft.com/japan/security/default.mspx を必ず定期的に確認してください。
サーバーおよびクライアントについて最初に検証しなければならないことは、コンピュータの筐体自体の物理的セキュリティと、その設置環境です。次の表は、クライアントとサーバーの保護について銀行に提出した提案書から抜粋したものです。
物理的セキュリティ | クライアントまたはサーバー |
---|---|
盗難防止対策 | クライアントとサーバー |
鍵のかかる部屋 | サーバー |
空調管理が行き届いた環境 | サーバー |
入室管理 | サーバー |
鍵のかかる配線室 (ハブが露出していてはならない) | サーバー |
コンピュータを机に鍵付きワイヤなどで取り付ける。サーバーについては、鍵付きラックに収納し、収納場所については、会社の身分証明書がないと入室できないなど、セキュリティ コントロール (ドアの施錠、部屋の施錠) を設けること。 | クライアントとサーバー |
物理的管理手順/修理手順 (スペア部品をオンサイトで用意する) | クライアントとサーバー |
電源/サージ プロテクタ | クライアントとサーバー |
フロッピーの無効化 (少なくとも、フロッピー デバイスを使用するには管理者でログオンする必要があること) | クライアントとサーバー |
フロッピー ディスク ドライブの取り外し (使用する必要がない場合) | 高度なセキュリティが必要な環境下のクライアントとサーバー |
パワーオン パスワード | 高度なセキュリティが必要な環境下のクライアントとサーバー |
boot.ini を編集して起動待ち時間を 0 秒に設定する | 高度なセキュリティが必要な環境下のクライアントとサーバー |
すべてのドライブで NTFS ファイル システムのみを使用 | 高度なセキュリティが必要な環境下のクライアントとサーバー |
キー : | Tcpip\Parameters |
値の種類 : | REG_DWORD— ブール値 |
有効範囲 : | 0、1、または 2 |
既定値 : | 0 |
説明 : | 有効にすると、SYN 攻撃が発生していると見なした場合、TCP が SYN-ACK の再送信を調整し、タイム アウトまでの接続応答待ち時間を短縮します。この判断は、TcpMaxPortsExhausted パラメータに基づいて行われます。 |
0: | 既定値 – SYN 攻撃に対する通常の保護。 |
1: | 高い保護 – SYN 攻撃が発生していると見なした場合、TCP が SYN-ACK の再送信を調整し、タイム アウトまでの接続応答待ち時間を短縮します。この判断は、TcpMaxPortsExhausted、TCPMaxHalfOpen、および TCPMaxHalfOpenRetried パラメータに基づいて行われます。 |
2: | 最大の保護 – SYN 攻撃が継続している場合、さらに接続指示を遅延させて、TCP 接続要求のタイムアウトをさらに短縮します。この設定をお勧めします。この設定を使用すると、スケーラブル ウィンドウ (RFC 1323) およびアダプタ別構成の TCP パラメータ (初期 RTT、ウィンドウ サイズ) は、どのソケットについても無効になることを注意してください。 |
キー : | Tcpip\Parameters |
値の種類 : | REG_DWORD— ブール値 |
有効範囲 : | 0 (FALSE) または 1 (TRUE) |
既定値 : | 1 (TRUE) |
説明 : | このパラメータが 1 に設定されている場合は、TCP がデッド ゲートウェイの検出を実行できます。この機能を有効にすると、複数の接続で問題が発生している場合に TCP が IP に対してバックアップ ゲートウェイへの切り替えを要求することがあります。バックアップ ゲートウェイは、ネットワーク コントロール パネルの [TCP/IP 設定] ダイアログの [詳細] タブで設定できます。詳細については、「デッド ゲートウェイの検出」を参照してください。 |
推奨値 : | 0 – 攻撃にゲートウェイの切り替えを強制することができます。結果として、意図したゲートウェイ以外に切り替えさせることができます。 |
キー : | Tcpip\Parameters |
値の種類 : | REG_DWORD— ブール値 |
有効範囲 : | 0 (FALSE) または 1 (TRUE) |
既定値 : | 1 (TRUE) |
説明 : | このパラメータが 1 (TRUE) に設定されている場合は、TCP がリモート ホストへのパスの最大転送ユニット (MTU、最大パケット サイズ) の発見を試行します。パス MTU が検出され TCP セグメントがこのサイズに限られることによって、別の MTU でネットワークに接続するパスにあるルーターで TCP により断片化が解消されます。断片化は TCP スループットとネットワークの混雑によくない影響があります。このパラメータを 0 に設定すると、ローカル サブネット上に存在しないホストへのすべての接続に対して、MTU が 576 バイトに設定されます。 |
推奨値 : | 0 – MTU サイズを限定しないと、攻撃者によって MTU をもっと小さい値にされ、スタックの負荷を増大させられます。 |
キー : | Tcpip\Parameters |
値の種類 : | REG_DWORD— 時間 (単位 : ミリ秒) |
有効範囲 : | 1–0xFFFFFFFF |
既定値 : | 7,200,000 (2 時間) |
説明 : | このパラメータでは、TCP がアイドル状態の接続に Keep-alive パケットを送信して、その接続が維持されていることを確認する頻度を制御します。リモート システムが Keep-alive 転送に応答すれば、そのシステムがまだ到達可能で、機能しているものと見なされます。Keep-alive パケットは、既定では送信されません。この機能は、アプリケーションから接続に対して有効化されることがあります。 |
推奨値 : | 300,000 (5 分) |
キー : | Netbt\Parameters |
値の種類 : | REG_DWORD— ブール値 |
有効範囲 : | 0 (FALSE) または 1 (TRUE) |
既定値 : | 0 (FALSE) |
説明 : | このパラメータでは、コンピュータがネットワークから名前解放要求を受信したときに自分の NetBIOS 名を解放するかどうかを決定します。これは、名前解放を悪用した攻撃からコンピュータを保護できるようにするために追加されたパラメータです。 |
キー : | Tcpip\Parameters\Interfaces\< インターフェイス > |
値の種類 : | REG_DWORD— ブール値 |
有効範囲 : | 0: 無効 1: 有効 2: DHCP によって制御されるが、既定ではオフ |
既定値 : | 2 |
説明 : | このパラメータでは、RFC 1256 で規定されているルーター探索を Windows NT でインターフェイス別に実行するかどうかを制御します。 |
推奨値 : | 0 – これは、不正なルーター通知を防ぎます。 |
メモ : | Tcpip\Parameters\Adapters にある値を使用して、どのインターフェイスの値がネットワーク アダプタにマッチするかを見つけます。 |
監査内容 | ポリシーの設定 |
---|---|
アカウント ログオン イベントの監査 | 成功と失敗 |
アカウント管理の監査 | 成功と失敗 |
ディレクトリ アクセスの監査 | 未定義 |
ログオン イベントの監査 | 成功と失敗 |
オブジェクト アクセスの監査 | 成功 |
ポリシーの変更の監査 | 成功と失敗 |
特権使用の監査 | 成功と失敗 |
プロセス追跡の監査 | 未定義 |
システム イベントの監査 | 成功と失敗 |
xcopy.exe | wscript.exe | cscript.exe | net.exe | ftp.exe | telnet.exe |
arp.exe | edlin.exe | ping.exe | route.exe | at.exe | finger.exe |
posix.exe | rsh.exe | atsvc.exe | qbasic.exe | runonce.exe | syskey.exe |
cacls.exe | ipconfig.exe | rcp.exe | secfixup.exe | nbtstat.exe | rdisk.exe |
debug.exe | regedt32.exe | regedit.exe | edit.com | netstat.exe | tracert.exe |
nslookup.exe | rexec.exe | cmd.exe |
アカウント | ポリシーの設定 |
---|---|
管理操作用のアカウントと通常のユーザー操作用のアカウントは別にする。 | ポリシーに設定。 |
管理者アカウントをそれとわかりにくい別の名前に変更する。 | ポリシーに設定。 |
Guest に対しては、ファイル、ディレクトリ、およびレジストリ キーの書き込みおよび削除を禁止する (情報を記録するディレクトリでは、この制限をかけないこともできます)。 | Guest を無効にする。 |
サーバーが一定時間使用されていない場合、サーバーを自動的にロックするように設定する。Ctrl + Alt + Del が必要な 32 ビットスクリーン セーバーを [パスワードによる保護] をオンにして使用する。 | ログオン スクリーン セーバーを 5 分に設定する。 |
パスワード | ポリシーの設定 |
---|---|
パスワードの有効期間 | 30 日に設定する。 |
パスワードの一意性の保証 | 過去 5 回のパスワードが同一でないように設定する。 |
パスワードは、大文字小文字、数字、および記号を混用して作成する。(インストールされている強力なパスワード オプション 『JP161990』 を参照。) | 強力なパスワードを使用する必要があります。 |
パスワードの入力が 3 回失敗したら、そのアカウントをロックする。 | アカウントの再試行に要する時間を 60 分にする。 |
少なくとも 8 文字を使用する。 | 8 文字に設定する。 |
ユーザー名 | ポリシーの設定 |
---|---|
会社名やアプリケーションの名前を部分的にも使用しない。 | ポリシー。 |
ユーザー名には、少なくとも 8 文字を使用する。 | 8 文字に設定する。 |
パスワードの入力が 3 回失敗したら、そのアカウントをロックする。 | セキュリティ ポリシーに設定。 |
ファイル タイプ | ACL |
---|---|
CGI、.EXE、.DLL、.CMD、.PL | Everyone (読み取りと実行 (RX)) Administrators (フル コントロール) System (フル コントロール) |
スクリプト ファイル (.ASP など) | Everyone (読み取りと実行 (RX)) Administrators (フル コントロール) System (フル コントロール) |
インクルード ファイル (.INC、.SHTML、および .SHTM) | Everyone (読み取りと実行 (RX)) Administrators (フル コントロール) System (フル コントロール) |
静的なコンテンツ (.HTML、.GIF、および .JPEG) | Everyone (特殊なアクセス権 (R)) Administrators (フル コントロール) System (フル コントロール) |
以上の設定は、Web サイトを運営しているコンピュータいずれにも当てはまります。
各ファイルごとに ACL を設定するのではなく、ファイルの種類ごとに別にディレクトリを用意し、そのディレクトリに ACL を設定することで、ACL がファイルに継承されるようにすることをお勧めします。たとえば、ディレクトリの構造は次のようになります。
c:\inetpub\wwwroot\myserver\static (.html 用)
C:\inetpub\wwwroot\myserver\include (.inc 用)
C:\inetpub\wwwroot\myserver\script (.asp 用)
c:\inetpub\wwwroot\myserver\executable (.dll 用)
c:\inetpub\wwwroot\myserver\images (.gif、および .jpeg 用)
実際の ACL 継承は、セキュリティ構成エディタをインストールした Windows NT4 SP4 の機能です。
また、FTP と SMTP を使用している場合は、それらのディレクトリに対して特別な注意が必要です。
IIS ログ ファイルに ACL を設定する
不正なユーザーが、その痕跡を隠すのにファイルを削除できないようにするには、適切な IIS ログ ファイルに ACL を設定します。IIS が生成したログ ファイル (%systemroot%\system32\LogFiles) に対する ACL を次のように設定することをお勧めします。
Administrators (フル コントロール)
System (フル コントロール)
以上の設定は、Web サイトを運営しているコンピュータいずれにも当てはまります。
ログの記録を有効にする
サーバーが攻撃されているかどうかを確認するときに最も重要なのは、ログの記録です。IIS MMC スナップインをロードして、W3C (World Wide Web Consortium) 拡張ログファイル形式を使用する必要があります。これには、次のように操作します。
Web サイトを右クリックします。
[プロパティ] をクリックします。
[W3C 拡張ログ ファイル形式] をクリックします。
また、ログ ファイルの [プロパティ] ダイアログ ボックスで、必要な全般プロパティと拡張プロパティをすべて設定してください。
以上の設定は、Web サイトを運営しているコンピュータいずれにも当てはまります。
すべてのサンプル アプリケーションを無効化または削除する
サンプルはあくまでもサンプルですので、運用サーバーにはインストールすべきではありません。サンプル アプリケーションには、ドキュメント (SDK のドキュメントにはサンプル コードも含まれます)、SDK に同梱されている Exploration Air サンプル サイトなどが含まれます。主要なサンプルの既定の場所は次のとおりです。
テクノロジ | 場所 |
---|---|
IIS | c:\inetpub\iissamples |
IIS SDK | c:\inetpub\iissamples\sdk |
管理スクリプト | c:\inetpub\AdminScripts |
データ アクセス | c:\Program Files\Common Files\System\msadc\Samples |
アカウント ポリシー – パスワードのポリシー | |
---|---|
パスワードの履歴を記録する | 0 |
パスワードの変更禁止期間 | 42 |
パスワードの長さ | 0 |
パスワードは要求する複雑さを満たす | 無効 |
暗号化を元に戻せる状態でドメインのすべてのユーザーのパスワードを保存する | 無効 |
アカウント ポリシー – アカウント ロックアウトのポリシー | |
ロックアウト期間 | 0 |
アカウントのロックアウトのしきい値 | 0 |
ロックアウト カウントのリセット | 30 |
アカウント ポリシー – Kerberos のポリシー | |
ユーザー ログオンの制限を強制する | 有効 |
サービス チケットの有効期間 | 600 分 |
チケットの有効期間 | 10 時間 |
ユーザー チケットを更新できる有効期間 | 7 日 |
コンピュータの時計の同期のトレランス | 5 分 |
ローカル ポリシー – 監査ポリシー | |
アカウント ログオン イベントの監査 | 監査しない |
アカウント管理の監査 | 監査しない |
ディレクトリ サービスのアクセスの監査 | 監査しない |
ログオン イベントの監査 | 監査しない |
オブジェクト アクセスの監査 | 監査しない |
ポリシーの変更の監査 | 監査しない |
特権使用の監査 | 監査しない |
プロセス追跡の監査 | 監査しない |
システム イベントの監査 | 監査しない |
ローカル ポリシー – アプリケーション イベント ログ | |
アプリケーション イベント ログ – MaximumLogSize | 未定義 |
アプリケーション イベント ログ – AuditLogRetentionPeriod | 未定義 |
アプリケーション イベント ログ – RestrictGuestAccess | 未定義 |
ローカル ポリシー – セキュリティ イベント ログ | |
アプリケーション イベント ログ – MaximumLogSize | 未定義 |
アプリケーション イベント ログ – AuditLogRetentionPeriod | 未定義 |
アプリケーション イベント ログ – RestrictGuestAccess | 未定義 |
ローカル ポリシー – システム イベント ログ | |
アプリケーション イベント ログ – MaximumLogSize | 未定義 |
アプリケーション イベント ログ – RestrictGuestAccess | 未定義 |
ユーザー権利の割り当て – 既定のドメイン コントローラ ポリシーから作成される | |
ネットワーク経由でコンピュータへアクセス | Administrators、Backup Operators、Power Users、Users、Everyone、IUSR_< コンピュータ名 > |
オペレーティングシステムの一部として機能 | LocalSystem |
ドメインにワークステーションを追加 | Authenticated Users |
ファイルとディレクトリのバックアップ | Administrators、Backup Operators |
走査チェックのバイパス | Administrators、Backup Operators、Power Users、Users、Everyone、IUSR_< コンピュータ名 > |
システム時刻の変更 | Administrators、Server Operators |
ページファイルの作成 | Administrators |
トークン オブジェクトの作成 | LocalSystem |
永続的共有オブジェクトの作成 | LocalSystem |
プログラムのデバッグ | Administrators、LocalSystem |
ネットワーク経由でコンピュータへアクセスを拒否する | < なし > |
バッチジョブとしてログオンを拒否する | < なし > |
サービスとしてログオンを拒否する | < なし > |
ローカルでログオンを拒否する | < なし > |
コンピュータとユーザー アカウントに委任時の信頼を付与 | |
リモート コンピュータからの強制シャットダウン | Administrators、Server Operators |
セキュリティ監査の生成 | LocalSystem |
クォータの増加 | Administrators |
スケジューリング優先順位の繰り上げ | Administrators |
デバイス ドライバのロードとアンロード | Administrators |
メモリ内のページのロック | 現在では使用されていません。 |
バッチ ジョブとしてログオン | LocalSystem |
サービスとしてログオン | アクセス許可を与えません。 |
ローカル ログオン | Administrators、Backup Operators、Power Users、Users、ISInternet User |
監査とセキュリティ ログの管理 | Administrators |
ファームウェア環境値の修正 | Administrators、LocalSystem |
単一プロセスのプロファイル | Administrators、LocalSystem |
システム パフォーマンスのプロファイル | Administrators、LocalSystem |
ドッキング ステーションからコンピュータを削除 | Administrators、Power Users、Users |
プロセス レベル トークンの置き換え | LocalSystem |
ファイルとディレクトリの復元 | Administrators、Backup Operators、Server Operators |
システムのシャットダウン | Administrators、Backup Operators、Server Operators |
ディレクトリ サービス データの同期化 | 現在は使用されていません。 |
ファイルとその他のオブジェクトの所有権の取得 | Administrators |
セキュリティ オプション | |
匿名接続の追加を制限する | なし (既定のアクセス権に依存) |
サーバー オペレータがタスクのスケジュールを割り当てるのを許可する (ドメイン コントローラのみ) | 未定義 |
システムをシャットダウンするのにログオンを必要としない | 無効 |
リムーバブル NTFS メディアを取り出すのを許可する | Administrators |
セッションを切断する前に、ある一定のアイドル時間を必要とする | 15 分 |
グローバル システム オブジェクトへのアクセスを監査する | 無効 |
バックアップと復元の特権の使用を監査する | 有効 |
ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル) | 有効 |
システムのシャットダウン時に仮想メモリのページ ファイルをクリアする | 無効 |
常にクライアント側の通信にデジタル署名を行う | 有効 |
可能な場合、クライアントの通信にデジタル署名を行う | 有効 |
常にサーバーの通信にデジタル署名を行う | 有効 |
可能な場合、サーバーの通信にデジタル署名を行う | 有効 |
ログオンに Ctrl + Alt + Del を必要としない | 無効 |
ログオン画面に最後のユーザー名を表示しない | 有効 |
LAN Manager 認証レベル | LM NTLM 応答の送信 |
ログオン時のユーザーへのメッセージのテキスト | |
ログオン時のユーザーへのメッセージのタイトル | |
ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 | 10 ログオン |
コンピュータ アカウント パスワードのシステム保守をしない | 無効 |
ユーザーがプリンタ ドライバをインストールできないようにする | 有効 |
パスワードが無効になる前にユーザーに変更を促す | 14 日 |
回復コンソール : 自動管理ログオンを許可する | 無効 |
回復コンソール : ドライブとフォルダに、フロッピーのコピーとアクセスを許可する | 無効 |
Administrator アカウント名の変更 | 未定義 |
Guest アカウント名の変更 | 未定義 |
CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する | 有効 |
フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する | 有効 |
セキュリティで保護されたチャネル : 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する | 無効 |
セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する | 有効 |
セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する | 有効 |
セキュリティで保護されたチャネル : 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする | 無効 |
サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する | 無効 |
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする | 無効 |
スマート カード取り出し時の動作 | 何もしない |
グローバル システム オブジェクトの既定のアクセス許可を強化する | 有効 |
署名されていないドライバのインストール時の動作 | 未定義 |
署名されていないドライバ以外のインストール時の動作 | 未定義 |
セキュリティ オプション | |
---|---|
匿名接続の追加を制限する | なし (既定のアクセス権に依存) |
サーバー オペレータがタスクのスケジュールを割り当てるのを許可する (ドメイン コントローラのみ) | 未定義 |
システムをシャットダウンするのにログオンを必要としない | 無効 |
リムーバブル NTFS メディアを取り出すのを許可する | Administrators |
セッションを切断する前に、ある一定のアイドル時間を必要とする | 15 分 |
グローバル システム オブジェクトへのアクセスを監査する | 無効 |
バックアップと復元の特権の使用を監査する | 有効 |
ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル) | 有効 |
システムのシャットダウン時に仮想メモリのページ ファイルをクリアする | 無効 |
常にクライアント側の通信にデジタル署名を行う | 無効 |
可能な場合、クライアントの通信にデジタル署名を行う | 有効 |
常にサーバーの通信にデジタル署名を行う | 無効 |
可能な場合、サーバーの通信にデジタル署名を行う | 有効 |
ログオンに Ctrl + Alt + Del を必要としない | 無効 |
ログオン画面に最後のユーザー名を表示しない | 有効 |
LAN Manager 認証レベル | NTLMv2 応答のみ送信する |
ログオン時のユーザーへのメッセージのテキスト | 認証されていないアクセスであることを示すメッセージ |
ログオン時のユーザーへのメッセージのタイトル | I M P O R T A N T N O T I C E ! ! |
ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 | 10 ログオン |
コンピュータ アカウント パスワードのシステム保守をしない | 無効 |
ユーザーがプリンタ ドライバをインストールできないようにする | 有効 |
パスワードが無効になる前にユーザーに変更を促す | 14 日 |
回復コンソール : 自動管理ログオンを許可する | 無効 |
回復コンソール : ドライブとフォルダに、フロッピーのコピーとアクセスを許可する | 無効 |
Administrator アカウント名の変更 | 未定義 |
Guest アカウント名の変更 | Vistor |
CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する | 有効 |
フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する | 有効 |
セキュリティで保護されたチャネル : 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する | 有効 |
セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する | 有効 |
セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する | 有効 |
セキュリティで保護されたチャネル : 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする | 有効 |
サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する | 無効 |
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする | 無効 |
スマート カード取り出し時の動作 | 何もしない |
グローバル システム オブジェクトの既定のアクセス許可を強化する | 有効 |
署名されていないドライバのインストール時の動作 | 警告するがインストールは許可する |
署名されていないドライバ以外のインストール時の動作 | 警告するがインストールは許可する |
ユーザー権限 | レジストリ キーと説明 (『リソース キット : Group Policy Reference』より) |
---|---|
ネットワーク経由でコンピュータへアクセス | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ネットワーク経由でコンピュータに接続できるユーザーおよびグループを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
|
オペレーティング システムの一部として機能 | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment このポリシーは、プロセスをユーザーと同様に認証し、ユーザーと同じリソースにアクセスできるようにします。低レベルの認証サービスのみがこの特権を必要とします。 実行可能なアクセスは、ユーザーと既定で関連付けられたものに限定されません。任意の特権をアクセス トークンに追加するように呼び出し側プロセスが要求する可能性があります。さらに重要な点は、いずれのアクセスもすべて提供する匿名トークンを呼び出し側プロセスが作成できます。また、匿名トークンは、監査ログのイベントを追跡するためのプライマリ ID を提供しません。 この特権が必要なプロセスは、この特権を特別に割り当てた別のユーザー アカウントを使用するのではなく、この特権を既に持っている LocalSystem アカウントを使用することをお勧めします。 既定では、LocalSystem アカウントだけがオペレーティング システムの一部として機能する権限を持っています。 |
ファイルとディレクトリのバックアップ | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ファイルとディレクトリのアクセス許可の有無にかかわらずシステムをバックアップ可能なユーザーを決めます。 具体的には、この特権は、システム上のすべてのファイルとフォルダに対する次のアクセス許可をユーザーとグループに認めるのと類似しています。
このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
|
走査チェックのバイパス | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 通過するディレクトリに対するアクセス権を持っていなくてもディレクトリ ツリーを通過できるユーザーを決めます。この特権では、ユーザーはディレクトリを通過できるだけで、ディレクトリの内容を一覧表示することはできません。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
|
システム時刻の変更 | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment コンピュータの内部時計の日付と時刻を変更できるユーザーおよびグループを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
|
ページ ファイルの作成 | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ページファイルの作成およびサイズの変更ができるユーザーおよびグループを決めます。ページファイルの作成は、[システムのプロパティ] の [パフォーマンス オプション] で、ページング ファイルを作成するドライブを選択してから、そのファイル サイズを指定することで行います。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、ページファイルの作成が許可されているのは Administrators です。 |
トークン オブジェクトの作成 | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment トークンを作成するのにプロセスが使用するアカウントを決めます。この作成されたトークンとは、プロセスが NtCreateToken() またはほかのトークン作成 API を使用した場合にアクセスできるいずれのローカル リソースにもアクセスできるトークンです。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 この特権が必要なプロセスでは、この特権を特別に割り当てた別のユーザー アカウントを使用するのではなく、この特権を既に持っている LocalSystem アカウントを使用することをお勧めします。 |
プログラムのデバッグ | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 任意のプロセスにデバッガをアタッチできるユーザーを決めます。この特権により、オペレーティング システムの機密に属する重要なコンポーネントに強力にアクセスできます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、Administrators および LocalSystem アカウントのみが、プログラムをデバッグする特権を持っています。 |
ネットワーク経由でコンピュータへアクセスを拒否する | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment コンピュータに対するネットワーク経由でのアクセスを拒否するユーザーを決めます。同じユーザー アカウントに、このポリシーと [ネットワーク経由でコンピュータへアクセス] のポリシーの両方が設定されている場合、このポリシーが優先されます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、プロセスがセキュリティ監査を生成するのに使用する特権を持っているのは、LocalSystem アカウントだけです。 |
バッチ ジョブとしてログオンを拒否する | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment バッチ ジョブとしてログオンを拒否するアカウントを決めます。同じユーザー アカウントに、このポリシーと [バッチ ジョブとしてログオン] のポリシーの両方が設定されている場合、このポリシーが優先されます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、バッチ ジョブとしてログオンを拒否されているアカウントはありません。 |
サービスとしてログオンを拒否する | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment サービスとしてプロセスの登録を拒否するサービス アカウントを決めます。同じアカウントに、このポリシーと [サービスとしてログオン] のポリシーの両方が設定されている場合、このポリシーの方が優先されます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、サービスとしてログオンを拒否されているアカウントはありません。 |
ローカルでログオンを拒否する | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment コンピュータに対するキーボードからのログオンを拒否するユーザーを決めます。同じアカウントに、このポリシーと [ローカル ログオン] ポリシーの両方が設定されている場合、このポリシーが優先されます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、ローカルでのログオンを拒否されているアカウントはありません。 |
コンピュータとユーザー アカウントに委任時の信頼を付与 | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ユーザーまたはコンピュータ オブジェクトの [コンピュータを委任に対して信頼する] を設定できるユーザーを決めます。 この特権が与えられたユーザーまたはオブジェクトは、ユーザーまたはコンピュータ オブジェクトのアカウント コントロール フラグの書き込みアクセス権を持っている必要があります。委任に対して信頼されているコンピュータ上 (またはユーザー コンテキスト下) で実行されているサーバー プロセスは、クライアントが委任した資格情報を使用してほかのコンピュータ上のリソースにアクセスすることができます。ただし、クライアントのアカウントが、[アカウントは委任できない] アクセス コントロール フラグを設定している場合は除きます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
この特権または [コンピュータを委任に対して信頼する] の設定を不注意に使用すると、ネットワークがトロイの木馬プログラムを使った巧妙な攻撃にさらされる危険があります。トロイの木馬プログラムは、着信クライアントになりすましてクライアントの資格情報を使用し、ネットワーク リソースにアクセスしようとするプログラムです。 |
リモート コンピュータからの強制シャットダウン | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ネットワーク上のリモートからコンピュータをシャットダウンできるユーザーが決まります。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
|
セキュリティ監査の生成 | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment プロセスがセキュリティ ログにエントリを追加するのに使用するアカウントを決めます。セキュリティ ログは、不正なシステム アクセスを追跡するのに使用できます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、LocalSystem アカウントだけに、プロセスがセキュリティ監査を生成するのに使用できる権限があります。 |
クォータの増加 | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ほかのプロセスに割り当てられたプロセッサ クォータを増やすのに、ほかのプロセスへのプロパティの書き込みアクセスを持つプロセスを使用できるアカウントを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
|
スケジューリング優先順位の繰り上げ | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ほかのプロセスの実行優先順位を繰り上げられるプロセスが別にあり、後者のプロセスに対してプロパティの書き込みアクセスを持つもう 1 つ別のプロセスがある場合、このプロセスを使用できるアカウントを決めます。この特権を持つユーザーは、[ Windows タスク マネージャ] ダイアログ ボックスでプロセスのスケジューリング優先度を変更できます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
|
デバイス ドライバのロードとアンロード | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment デバイス ドライバを動的にロードおよびアンロードできるユーザーを決めます。プラグ アンド プレイ用のドライバをインストールするにはこの権限が必要です。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
|
メモリ内のページのロック | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment この権限は現在では使用されていませんので、この権限の有無が確認されることはありません。 このポリシーでは、システムがディスク上の仮想メモリにデータをページングしないように、物理メモリ内にデータを保持するプロセスを使用できるアカウントを決めます。この権限を行使すると、システムのパフォーマンスに著しく影響します。 |
バッチ ジョブとしてログオン | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ユーザーは、バッチキュー機能を使ってログオンできるようになります。 たとえば、ユーザーがタスク スケジューラを使用してジョブをサブミットした場合、タスク スケジューラは、そのユーザーを、対話型ユーザーとしてではなく、バッチ ユーザーとしてログに記録します。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、LocalSystem アカウントだけがバッチ ジョブとしてログオンできる権限を持っています。 「バッチジョブとしてログオンを拒否する」も参照してください。 Windows 2000 の最初のリリースでは、タスク スケジューラがこの権限を必要な権限として自動的に認めていました。 |
サービスとしてログオン | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment プロセスをサービスとして登録できるサービス アカウントを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、サービスとしてログオンできる権限を持っているアカウントはありません。 |
ローカルでログオン | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment キーボードからコンピュータにログオンできるユーザーを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
|
監査とセキュリティ ログの管理 | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ファイル、Active Directory オブジェクト、レジストリ キーなどの個々のリソースにオブジェクト アクセス監査オプションを指定できるユーザーを決めます。 この権限を持っているユーザーは、選択したオブジェクトの監査オプションを指定するのに、[プロパティ] ダイアログ ボックスにある [セキュリティ] タブのセキュリティ許可設定エディタを使用することができます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、Administrators のみが監査ログとセキュリティ ログを管理する権限を持っています。 このポリシーでは、ユーザーが、ファイルとオブジェクトのアクセス監査を有効に指定することは認められていません。このような監査を実行するには、[監査ポリシー] の [オブジェクト アクセスの監査] の設定を構成する必要があります。 |
単一プロセスのプロファイル | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment システム外プロセスのパフォーマンスを監視するのに、Windows NT と Windows 2000 のパフォーマンス監視ツールを使用できるユーザーを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、Administrators および LocalSystem アカウントのみが、単一システム外プロセスをプロファイルできる権限を持っています。 |
システム パフォーマンスのプロファイル | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment システム プロセスのパフォーマンスを監視するのに、Windows NT と Windows 2000 のパフォーマンス監視ツールを使用できるユーザーを決めます。このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、Administrators および LocalSystem アカウントのみが、単一システム外プロセスをプロファイルできる権限を持っています。 |
ドッキング ステーションからコンピュータを削除 | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ラップトップ コンピュータをそのドッキング ステーションから取り外せるユーザーを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 サーバーおよびワークステーションについては、Administrators、Power Users および Users が、Windows 2000 をアップグレードしたものではなく、"クリーン インストール" したコンピュータのドッキング ステーションからラップトップ コンピュータを取り外せる権限を持っています。コンピュータのオペレーティング システムを Windows NT から Windows 2000 にアップグレードしている場合、ラップトップ コンピュータをドッキング ステーションから取り外せる権限を、対象のグループまたはユーザーに対して明示的に認める必要があります。 |
プロセス レベル トークンの置き換え | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 起動されたサブプロセスに関連付けられている既定のトークンを置き換えるプロセスを起動できるユーザー アカウントを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、LocalSystem アカウントのみが、この権限を持っています。 |
ファイルとディレクトリの復元 | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment バックアップしたファイルとディレクトリの復元時にファイルとディレクトリのアクセス許可の有無に拘束されないユーザーと、オブジェクトの所有者として有効な任意のセキュリティ プリンシパルを設定できるユーザーを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
|
システムのシャットダウン | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ローカルにコンピュータにログオンしたユーザーの中で、シャットダウン コマンドを使用してそのオペレーティング システムをシャットダウンできるユーザーを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
|
ディレクトリ サービス データの同期化 | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment このポリシー設定は、Windows 2000 の最初のリリースでは使用されていませんでした。 |
ファイルとその他のオブジェクトの所有権の取得 | Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Active Directory オブジェクト、ファイルとフォルダ、プリンタ、レジストリ キー、プロセス、スレッドなどシステム内の保護できる任意のオブジェクトの所有権を取得できるユーザーを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、Administrators のみがファイルなどのオブジェクトの所有権を取得する権限を持っています。 |
付録 B: ローカル セキュリティの設定 (『リソース キット : Group Policy Reference』より)
匿名接続の追加を制限する
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Windows 2000 では、匿名ユーザーは、ドメイン アカウント名やネットワーク共有の列挙などの特定の操作行うことができます。たとえば、相互の信頼関係を行っていない信頼される側のドメインで、管理者がユーザーのアクセスを認める場合などは好都合です。既定では、匿名ユーザーには、特定のリソースに対して Everyone グループに認められているのと同じ権限があります。
このセキュリティ オプションを使用すると、匿名接続に対して次のような制限事項を追加することができます。
なし (既定のアクセス権に依存)
SAM のアカウントと共有の列挙を許可しない
このオプションでは、リソースに対するセキュリティのアクセス許可について、"Everyone" を "Authenticated Users" に置き換えます。
明示的な匿名アクセス権がない場合アクセスを許可しない
このオプションを設定すると、匿名ユーザー トークンから "Everyone" と "Network" が削除されます。こうすると、"Anonymous" には必要なリソースに対する明示的なアクセス権を付与することが必要になります。
システムをシャットダウンするのにログオンを必要としない
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Windows にログオンすることなくコンピュータをシャットダウンできるかどうかを決めます。
このポリシーを有効にすると、Windows のログオン画面に [シャットダウン] が表示されます。
このポリシーを無効にすると、コンピュータをシャットダウンするオプションが Windows のログオン画面に表示されなくなります。この場合、ユーザーはコンピュータに正常にログオンできる必要があり、また、システムをシャットダウンするにはシステムをシャットダウンできる権限が必要になります。
既定では、このオプションは、ローカル コンピュータ ポリシーの設定で、ワークステーションでは有効になっていて、サーバーでは無効になっています。
リムーバブル NTFS メディアを取り出すのを許可する
レジストリの設定
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
コンピュータからリムーバブル NTFS メディアを取り出せる人を決めます。
このポリシーは、ローカル コンピュータ ポリシーに既定で定義されています。既定では、管理者だけがリムーバブル NTFS メディアを取り出せる権限を持っています。このポリシーの設定は、対話型ユーザーがコンピュータからリムーバブル NTFS メディアを取り出せるように変更することができます。
セッションを切断する前に、ある一定のアイドル時間を必要とする
レジストリの設定
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
非アクティブ状態によりセッションを切断される前にサーバー メッセージ ブロック (SMB) セッションを通過するための、ある一定のアイドル時間を決めます。
管理者はこのポリシーを使用して、非アクティブな SMB セッションの切断を制御することができます。クライアントの接続が続く場合、このセッションは自動的に再接続されます。
このポリシーは、サーバーではローカル コンピュータ ポリシーに既定で定義されています。既定値は 15 分になっています。このポリシーは、ワークステーションでは定義されていません。
このポリシー設定で、値を 0 にすると最速でアイドル セッションを切断します。最大値は 0xFFFFFFFF で、設定は無効になります。
グローバル システム オブジェクトへのアクセスを監査する
レジストリの設定
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
グローバル システム オブジェクトへのアクセスを監査するかどうかを決めます。このポリシーを有効にすると、既定のシステム アクセス制御リスト (SACL) で、ミューテックス、イベント、セマフォ、DOS デバイスなどのシステム オブジェクトを作成できるようになります。オブジェクト アクセスの監査の監査ポリシーも有効にしている場合、これらのシステム オブジェクトに対するアクセスも監査されます。
このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。
バックアップと復元の特権も含めすべての権限の使用を監査する
レジストリの設定
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
バックアップと復元を含めユーザー権限の使用をすべて監査するかどうかを決めます。このポリシーが有効になっていて、かつ特権使用の監査のポリシーも有効にして適用している場合、行使されているユーザー権限のインスタンスが、セキュリティ ログに記録されます。このポリシーを無効にしている場合に、ユーザーがバックアップまたは復元特権を使用すると、特権使用の監査が有効であってもこれらのイベントは監査されません。セキュリティ ログの成長を抑えるには、このポリシーを無効にする必要があります。
このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。
ログオン時間を経過した場合は自動的にユーザーをログオフする
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
ユーザー アカウントに設定されているログオン可能時間外に、ローカル コンピュータに接続しているユーザーを切断するかどうかを決めます。この設定は、Windows 2000 Server のサーバー メッセージ ブロック (SMB) コンポーネントに影響します。このポリシーを有効にすると、SMB サーバーとのクライアント セッションは、クライアントのログオン可能時間が経過すると強制的に切断されます。このポリシーが無効になっている場合、確立されているクライアント セッションは、ログオン可能時間が経過してもそのセッションを続けることができます。
ローカルのログオン可能時間が経過した場合にユーザーを自動的にログオフするのは、各コンピュータ上のみで行われますが、このポリシー自体は、ドメイン内のすべてのコンピュータに適用されます。
システムのシャットダウン時に仮想メモリのページ ファイルをクリアする
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
システムのシャットダウン時に、仮想メモリのページ ファイルをクリアするかどうかを決めます。Windows 2000 の仮想メモリ サポートは、メモリ ページがアクティブに使用されていないと、メモリ ページをディスク上にスワップするのに、システム ページ ファイルを使用します。実行中のシステムでは、ページ ファイルはオペレーティング システムにより排他的にオープンされていて、また十分に保護されています。ただし、コンピュータがほかのオペレーティング システムでも起動できるように構成されている場合は、Windows 2000 のシャットダウン時にシステム ページ ファイルが確実にクリアされるようにします。プロセス メモリからページ ファイルに書き出された可能性がある機密情報を、ページ ファイルに直接アクセスすることで覗こうとする認証されていないユーザーには見せなくすることができます。
このポリシーを有効にすると、システム ページ ファイルは通常のシャットダウン時にクリアされます。また、このセキュリティ オプションを有効にしていると、休止が無効になっているラップトップ コンピュータ上の休止ファイル (hiberfil.sys) にはすべてゼロが書き込まれます。このポリシーを無効にすると、シャットダウン時に仮想メモリ ページ ファイルはクリアされません。
このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。
常にクライアント側の通信にデジタル署名を行う
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
コンピュータが常にクライアント側の通信にデジタル署名を行うかどうかを決めます。Windows 2000 のサーバー メッセージ ブロック (SMB) の認証プロトコルは、相互認証をサポートしています。これは "待ち伏せ" 攻撃を防止するもので、active message 攻撃を防止するメッセージ認証をサポートしています。SMB 署名では、クライアントとサーバーの両方で確認される各 SMB にデジタル署名を付けることでこの認証を可能にしています。
SMB 署名を使用するには、その署名を有効にするか、SMB クライアントと SMB サーバーの両方でその署名を要求するようにする必要があります。サーバー上で SMB 署名が有効になっていて、クライアント側でも SMB 署名が有効になっている場合は、引き続き行われるすべてのセッションで、パケット署名プロトコルが使用されます。サーバー上で SMB 署名が必要とされている場合、クライアント側で少なくとも SMB 署名が有効になっていないと、クライアントはセッションを確立することはできません。このポリシーが有効になっている場合、Windows 2000 SMB クライアントは SMB パケット署名を行う必要があります。このポリシーが無効になっている場合は、SMB クライアントが SMB パケット署名を行う必要はありません。
このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。
メモ SMB 署名は、システムのパフォーマンスを低下させます。ネットワーク帯域を余計に消費することはありませんが、クライアント側でもサーバー側でも CPU の負荷が増えます。
可能な場合、クライアントの通信にデジタル署名を行う
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
このポリシーが有効になっている場合、Windows 2000 のサーバー メッセージ ブロック (SMB) クライアントは、SMB パケット署名が有効、または必要とされる SMB サーバーとの通信で SMB パケット署名を行います。
このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では有効になっています。
常にサーバーの通信にデジタル署名を行う
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
このポリシーが有効になっている場合、Windows 2000 サーバー メッセージ ブロック (SMB) サーバーは SMB パケット署名を行う必要があります。このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。
クライアント/サーバー間の通信でのデジタル署名使用の詳細については、前の「常にクライアント側の通信にデジタル署名を行う」を参照してください。
可能な場合、サーバーの通信にデジタル署名を行う
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
このポリシーが有効になっている場合、Windows 2000 サーバー メッセージ ブロック (SMB) サーバーは SMB パケット署名を行おうとします。このポリシーは、ワークステーションとサーバー プラットフォームについては、既定ではローカル コンピュータ ポリシーで無効になっています。このポリシーは、ドメイン コントローラについては、既定のドメイン コントローラ グループ ポリシー オブジェクトで既定では有効になっています。
クライアント/サーバー間の通信でのデジタル署名使用の詳細については、前の「常にクライアント側の通信にデジタル署名を行う」を参照してください。
ログオンに Ctrl + Alt + Del を必要としない
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
ユーザーがログオンするのに Ctrl + Alt + Del キーを押す必要があるかどうかを決めます。このポリシーがコンピュータ上で有効になっている場合、ユーザーがログオンするのに Ctrl + Alt + Del キーを押す必要はありません。Ctrl + Alt + Del キーを押すことを不要にすると、ユーザーは、ユーザーのパスワードを傍受しようとする攻撃を受けやすくなります。ログオンする前に Ctrl + Alt + Del キーを必要とすることで、ユーザーはそのパスワードの入力時に、信頼されたパスで通信していることを確認できます。
このポリシーが無効になっている場合、ユーザーは、Windows にログオンする際に、Ctrl + Alt + Del キーを押す必要があります (ログオンにスマート カードを使用している場合は除きます)。このポリシーは、ドメインに参加しているワークステーションとサーバーでは、既定で無効になっています。スタンドアロン ワークステーションでは、既定で有効になっています。
ログオン画面に最後のユーザー名を表示しない
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
最後にログオンしたユーザーの名前を Windows のログオン画面に表示するかどうかを決めます。このポリシーが有効になっている場合、最後に正常にログオンしたユーザーの名前は [Windows へログオン] ダイアログ ボックスに表示されません。このポリシーが無効になっている場合、最後にログオンしたユーザーの名前が表示されます。
このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。
LAN Manager 認証レベル
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
ネットワーク ログオンの暗号化認証に使用するプロトコルを決めます。この選択により、クライアントが使用する認証プロトコルのレベル、ネゴシエートするセッション セキュリティのレベル、および次のようなサーバーが受け付ける認証レベルが決まります。
LM NTLM 応答の送信。 クライアントは、LM と NTLM 認証を使用し、NTLMv2 セッション セキュリティは使用しません。ドメイン コントローラは、LM、NTLM、および NTLMv2 認証を受け付けます。
ネゴシエートされた場合 LM NTLM を送信 - NTLMv2 セッション セキュリティを使用する。 クライアントは、LM と NTLM 認証を使用し、サーバーが NTLMv2 をサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLMv2 認証を受け付けます。
NTLM 応答のみ送信する。 クライアントは、NTLM 認証のみを使用し、サーバーが NTLMv2 をサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLMv2 認証を受け付けます。
NTLMv2 応答のみ送信する。 クライアントは、NTLMv2 認証のみを使用し、サーバーが NTLMv2 をサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLMv2 認証を受け付けます。
NTLMv2 応答のみ送信 LM を拒否する。 クライアントは、NTLMv2 認証のみを使用し、サーバーが NTLMv2 をサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、NTLM および NTLMv2 認証のみを受け付け、LM 認証は拒否します。
NTLMv2 応答のみ送信 LM と NTLM を拒否する。 クライアントは、NTLMv2 認証のみを使用し、サーバーが NTLMv2 をサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、NTLMv2 認証のみを受け付け、LM および NTLM 認証は拒否します。
サーバーに対する既定の設定は、LM NTLM 応答の送信です。
この設定は、Windows NT 4.0 以前のクライアントとの Windows 2000 コンピュータのネットワーク経由の通信機能に影響します。たとえば、本書執筆時点では、SP4 より前の Windows NT 4.0 コンピュータは NTLMv2 をサポートしていません Win9x コンピュータは、NTLM をサポートしていません。
ログオン時のユーザーへのメッセージのテキストとタイトル
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Title)
ログオンするユーザー向けのメッセージ テキストが表示されるウィンドウのタイトル バーに、指定したタイトルを表示することができます。
サーバーに対しては、このポリシーは有効になっていますが、指定された既定のテキストはありません。ワークステーションに対しては、このポリシーは既定では定義されていません。
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Text)
ユーザーのログオン時に表示するテキスト メッセージを指定します。会社の情報を流用する行為に対する警告や、コンピュータの操作が監査されていることを警告するなど、法的要件からこのテキストがしばしば使用されます。サーバーに対しては、このポリシーは有効になっていますが、指定された既定のテキストはありません。ワークステーションに対しては、このポリシーは既定では定義されていません。
ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
ユーザーが、キャッシュされたアカウント情報を使用して Windows ドメインにログオンできる回数を決めます。Windows 2000 は、ユーザーが前にログオンしたときの情報をローカルにキャッシュします。したがって、次にユーザーがログオンしようとしたときに、ドメイン コントローラが使用できない場合にも、ユーザーはログオンすることができます。ドメイン コントローラが使用不可能で、ユーザーのログオン情報がキャッシュされていない場合、ユーザーには次のメッセージが表示されます。
ドメイン < ドメイン名 > を利用できないため、ログオンできません。
このポリシー設定で、値を 0 にするとログオンのキャッシングが無効になります。50 を超える値を設定したとしても、キャッシュされるログオン要求は 50 回までです。サーバーに対しては、このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていて、既定の値は 10 ログオンです。
コンピュータ アカウント パスワードのシステム保守をしない
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
コンピュータ アカウント パスワードを毎週リセットされないようにする必要があるかどうかを決めます。Windows 2000 のセキュリティ機能の一部として、コンピュータ アカウント パスワードは、7 日ごとに自動的に変更されます。このポリシーが有効になっている場合、コンピュータは、週次のパスワード変更を要求しません。このポリシーが無効になっている場合、コンピュータ アカウントの新しいパスワードが、毎週生成されます。
このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。
ユーザーがプリンタ ドライバをインストールできないようにする
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Users グループのメンバはプリンタ ドライバをインストールできないようにするかどうかを決めます。このポリシーが有効になっている場合、ユーザーがプリンタ ドライバをローカル コンピュータにインストールすることを防止できます。ローカル コンピュータにそのプリンタのデバイス ドライバが存在しない場合に、ユーザーが "プリンタを追加" できないようにします。このポリシーが無効になっている場合、Users グループのメンバは、コンピュータにプリンタ ドライバをインストールできます。
既定では、サーバーではこの設定が有効になっていて、ワークステーションでは無効になっています。
パスワードが無効になる前にユーザーに変更を促す
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
パスワードの期限が切れるどの程度前から、Windows 2000 がパスワードの変更をユーザーに促すかどうかを決めます。ユーザーに事前に警告することで、ユーザーは、十分に強度のあるパスワードを考える時間が持てます。
既定では、この値は 14 日です。
回復コンソール : 自動管理ログオンを許可する
既定では、回復コンソールはシステムにアクセスする以前に Administrator アカウントのパスワードを要求します。このオプションを有効にすると、回復コンソールはパスワードの要求を行わず、システムに自動ログオンします。
回復コンソール : すべてのドライブに、フロッピーのコピーとアクセスを許可する
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
このオプションを有効にすると、回復コンソールの SET コマンドが有効になります。このコマンドを使用すると、回復コンソールの次の環境変数を設定することができます。
AllowWildCards - DEL コマンドなどのいくつかのコマンドに対して、ワイルドカード サポートを有効にします。
AllowAllPaths - コンピュータ上のすべてのファイルとフォルダに対するアクセスを許可します。
AllowRemovableMedia - フロッピー ディスクなどリムーバブル メディアへのファイルのコピーを許可します。
NoCopyPrompt - 既存のファイルを上書きする前に確認しません。
既定では、SET コマンドは無効になっていて、以上のすべての変数は無効になっています。
CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
ローカル ユーザーとリモート ユーザー両方共に、CD-ROM に同時にアクセスできるかどうかを決めます。有効にしている場合、このポリシーは、対話型ログオン ユーザーのみに、CD-ROM メディアへのアクセスを許可します。対話型でログオンしているユーザーがいない場合、ネットワーク経由で CD-ROM を共有することができます。
このポリシーが無効になっている場合、ローカル ユーザーとリモート ユーザーは、CD-ROM に同時にアクセスすることができます。
フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
ローカル ユーザーとリモート ユーザー両方共に、フロッピー メディアにアクセスできるかどうかを決めます。有効な場合、このポリシーは、対話型ログオン ユーザーのみに、フロッピー メディアへのアクセスを許可します。対話型でログオンしているユーザーがいない場合、ネットワーク経由でフロッピー メディアを共有することができます。
このポリシーが無効になっている場合、ローカル ユーザーとリモート ユーザーは、フロッピー メディアに同時にアクセスすることができます。
セキュリティで保護されたチャネル : 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
コンピュータが、常にセキュリティで保護されたチャネルのデータに、デジタル的に暗号化または署名を行うかどうかを決めます。Windows 2000 システムがドメインに参加する場合、コンピュータ アカウントが作成されます。その後このシステムが起動されると、システムはそのアカウントのパスワードを使用して、ドメイン内のドメイン コントローラとのセキュリティで保護されたチャネルを作成します。セキュリティで保護されたチャネルに送信される要求は認証され、パスワードなどの機密情報は暗号化されますが、そのチャネルの整合性は確認されず、すべての情報が暗号化されるわけではありません。
このポリシーが有効になっている場合、セキュリティで保護されたチャネルを経由して送出されるすべてのトラフィックは、署名されるか、または暗号化される必要があります。
このポリシーが無効になっている場合、署名と暗号化がドメイン コントローラとネゴシエートされます。
既定では、このポリシーは無効になっています。
注意 : このオプションを有効にするのは、信頼されているドメインにあるすべてのドメイン コントローラが署名と封印をサポートしている場合のみに限る必要があります。
このパラメータが有効になっている場合、"セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する" は自動的に有効になります。
セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
コンピュータが、常にセキュリティで保護されたチャネルのデータに、デジタル的に暗号化または署名を行うかどうかを決めます。Windows 2000 システムがドメインに参加する場合、コンピュータ アカウントが作成されます。その後このシステムが起動されると、システムはそのアカウントのパスワードを使用して、ドメイン内のドメイン コントローラとのセキュリティで保護されたチャネルを作成します。セキュリティで保護されたチャネルに送信される要求は認証され、パスワードなどの機密情報は暗号化されますが、そのチャネルの整合性は確認されず、すべての情報が暗号化されるわけではありません。
このポリシーが有効になっている場合、セキュリティで保護されたチャネルを経由して送出されるすべてのトラフィックは、暗号化される必要があります。
このポリシーが無効になっている場合、セキュリティで保護されたチャネルを経由して送出されるトラフィックは、暗号化されません。
既定では、このオプションは有効になっています。
セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
コンピュータが、常にセキュリティで保護されたチャネルのデータに、デジタル的に暗号化または署名を行うかどうかを決めます。Windows 2000 システムがドメインに参加する場合、コンピュータ アカウントが作成されます。その後このシステムが起動されると、システムはそのアカウントのパスワードを使用して、ドメイン内のドメイン コントローラとのセキュリティで保護されたチャネルを作成します。セキュリティで保護されたチャネルに送信される要求は認証され、パスワードなどの機密情報は暗号化されますが、そのチャネルの整合性は確認されず、すべての情報が暗号化されるわけではありません。
このポリシーが有効になっている場合、セキュリティで保護されたチャネルを経由して送出されるすべてのトラフィックは、署名される必要があります。
このポリシーが無効になっている場合、セキュリティで保護されたチャネルを経由して送出されるトラフィックで署名されるものはありません。
既定では、このオプションは有効になっています。
メモ "セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する" が有効になっている場合、このオプションのそのほかの設定はすべて上書きされ、強制的に有効になります。
セキュリティで保護されたチャネル : 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
このポリシーが有効になっている場合、セキュリティで保護されたチャネルを経由して送出されるすべてのトラフィックには、強力な (Windows 2000 かそれ以降のバージョン) 暗号化キーが必要です。このポリシーが無効になっている場合、キーの強度はドメイン コントローラとネゴシエートされます。このオプションを有効にするのは、信頼されているドメインにあるすべてのドメイン コントローラが強力なキーをサポートしている場合のみに限る必要があります。
既定では、この値は無効になっています。
サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
このポリシーが有効になっている場合、サーバー メッセージ ブロック (SMB) リダイレクタは、認証時の暗号化パスワードに対応していない Microsoft SMB 以外のサーバーに対して、クリア テキスト パスワードを送信することができます。
既定では、このオプションは無効になっています。
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
セキュリティ イベントのログを記録できない場合は、直ちにシステムをシャットダウンする必要があるかどうかを決めます。このポリシーが有効になっている場合に、セキュリティ監査のログが何らかの理由で記録できないと、システムは停止します。通常、イベントのログへの記録が失敗するのは、セキュリティ監査のログがいっぱいになり、セキュリティ ログに指定されている保存方法が、"イベントを上書きしない" または "指定した日数を過ぎたら上書きする" になっている場合です。セキュリティ ログがいっぱいになり、既存のエントリを上書きできない、かつこのセキュリティ オプションを有効にしている場合は、次のブルー スクリーン エラーが発生します。
STOP: C0000244 {Audit Failed}
An attempt to generate a security audit failed.
これを回復するには、管理者でログオンし、できればログを保存し、ログをクリアする必要があります。次に、必要に応じて、このオプションを再設定します。
既定では、このポリシーは無効になっています。
スマート カード取り出し時の動作
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
ログオン ユーザーのスマート カードがスマート カード読み取り装置から取り出された場合の動作を決めます。このオプションは次のとおりです。
何もしない
ワークステーションをロックする
ログオフを強制する
既定では、"何もしない" が指定されています。
"ワークステーションをロックする" が指定されている場合、スマート カードが取り出されるとワークステーションはロックされるので、ユーザーは自分のスマート カードを持ってその場所を離れることができます。この場合、ユーザーが席を離れても、保護されたセッションはそのまま維持されます。"ログオフを強制する" が指定されている場合は、スマート カードが取り出された時点でユーザーは自動的にログオフされます。
グローバル システム オブジェクトの既定のアクセス許可を強化する
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
オブジェクトに対する既定の任意のアクセス制御リスト (DACL) の強度を決めます。Windows 2000 は、DOS デバイス名、ミューテックス、セマフォなどの共有システム リソースのグローバル リストを管理しています。オブジェクトはこのようにして、その所在場所を特定されることができ、またプロセス間で共有されることができます。オブジェクトの各種類は、既定の DACL を使用して作成されます。DACL には、オブジェクトにアクセスできるユーザーと、そのアクセス権が指定されています。
このポリシーが有効になっている場合、既定の DACL は強力で、管理者以外のユーザーでも共有オブジェクトを読み取ることができます。ただし、ユーザーが作成したオブジェクトでなければ、共有オブジェクトを変更することはできません。
既定では、このオプションは有効になっています。
付録 C: HiSecweb.inf ファイル
この付録では、Hisecweb.inf の日本語訳を掲載します。このファイルは、銀行のチームが、カスタマイズしたセキュリティ テンプレートを作成するのに使用したものです。 このファイルの最新バージョンについては、https://www.microsoft.com/japan/security/default.mspx を参照してください。
; テンプレート バージョン : 05.00.HB.0000
;
; -------------------------------------------------------------------
; 更新履歴
; -------------------------------------------------------------------
; 日付 コメント
; 1999 年 9 月 3 日 次の前提に基づき第 1 版を作成
; コンピュータは、ドメイン コントローラではない。
; DC は、Web サーバーではない。
; コンピュータは、スタンドアロン サーバーではない。
; コンピュータが、ドメインに参加している場合、
; ドメインレベルのポリシーで、以下の設定を上書き
; できる (不参加の場合は、できない)。
; コンピュータが、ドメインに参加している場合、
; その組織単位に所属している必要があり、また
; このテンプレートは、組織単位レベルで適用しなければならない。
; コンピュータは、Web サーバー専用機であり、物理的に保護されていること。
; コンピュータには、Windows 2000 を既定値にてクリーンインストールしていること。
; ACL、ユーザー権限等は、一切変更されていない。
; 管理者以外は、だれもコンピュータにローカルにログオンできない。
; 管理者は、ネットワーク経由ではログオンできない
; (管理者が、当該 Web サーバーを管理する際は、当該機を直接操作する必要がある)。
; Admin/Guest アカウントは、このアンプレートでは名前を変更 (リネーム) できない。
; 1999 年 1 月 4 日 レジストリ エントリを更新
; -------------------------------------------------------------------
[version]
signature="$CHICAGO$"
Revision=1
[System Access]
MinimumPasswordAge = 2
MaximumPasswordAge = 42
MinimumPasswordLength = 8
PasswordComplexity = 1
PasswordHistorySize = 24
LockoutBadCount = 5
ResetLockoutCount = 30
LockoutDuration = -1
RequireLogonToChangePassword = 0
ClearTextPassword = 0
[System Log]
RestrictGuestAccess = 1
[Security Log]
MaximumLogSize = 10240
AuditLogRetentionPeriod = 0
RestrictGuestAccess = 1
[Application Log]
RestrictGuestAccess = 1
;----------------------------------------------------------------------
; ローカル ポリシー/監査ポリシー
;----------------------------------------------------------------------
[Event Audit]
AuditSystemEvents = 3
AuditLogonEvents = 3
AuditObjectAccess = 1
AuditPrivilegeUse = 3
AuditPolicyChange = 3
AuditAccountManage = 3
AuditAccountLogon = 3
[Privilege Rights]
SeInteractiveLogonRight = %SceInfAuthUsers%
SeNetworkLogonRight = %SceInfAuthUsers%
SeDenyNetworkLogonRight = %SceInfAdmins%
[Group Membership]
%SceInfPowerUsers%__Memberof =
%SceInfPowerUsers%__Members =
[Strings]
SceInfAdministrator = Administrator
SceInfAdmins = Administrators
SceInfAcountOp = Account Operators
SceInfAuthUsers = Authenticated Users
SceInfBackupOp = Backup Operators
SceInfDomainAdmins = Domain Admins
SceInfDomainGuests = Domain Guests
SceInfDomainUsers = Domain Users
SceInfEveryone = Everyone
SceInfGuests = Guests
SceInfGuest = Guest
SceInfPowerUsers = Power Users
SceInfPrintOp = Print Operators
SceInfReplicator = Replicator
SceInfServerOp = Server Operators
SceInfUsers = Users
[HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE
/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/SynAttackProtect]
"ValueType"=dword:00000004
"DisplayType"=dword:00000000
"DisplayName"="TCPIP: Syn Attack Protection"
[Registry Values]
MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,5
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,2
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown=4,1
MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff=4,1
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword=4,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange=4,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey=4,1
MACHINE\Software\Microsoft\Driver Signing\Policy=3,2
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD=4,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SecurityLevel=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SetCommand=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateCDRoms=1,1
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD=1,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateFloppies=1,1
MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPrinting=4,1
MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer=4,0
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect=4,0
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableSecurityFilters=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect=4,0
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery=4,0
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime=4,300000
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions=4,2
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxDataRetransmissions=4,3
MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NoNameReleaseOnDemand=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters\DynamicBacklogGrowthDelta=4,10
MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters\EnableDynamicBacklog=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters\MinimumDynamicBacklog=4,20
MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters\MaximumDynamicBacklog=4,20000
MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText=1,
This is a private computer system. <add your own text>
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption=1,A T T E N T I O N !
[Service General Setting]
Alerter,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
ClipSrv,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Browser,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dhcp,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Fax,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
SharedAccess,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Messenger,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
mnmsrvc,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Spooler,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
RasAuto,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
RasMan,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
RemoteRegistry,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Schedule,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
TapiSrv,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
TermService,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
PolicyAgent,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"
W3SVC,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"
IISADMIN,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"
Irmon,4,"D:AR(A;;RPWPDTRC;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"
© 2000 Microsoft Corporation. All rights reserved.
本書は暫定的な文書であり、本書の情報は発行日現在における当社の最新の見解を表すものです。当社では市場のニーズの変化に対応して変更が必要となる場合があり、そのため本書の内容は当社のコミットメントを示すものではなく、また発行日以降、その情報の正確性を保証するものでもありません。
この文書は、情報提供のみを目的としています。当社は本書の情報を、明示または暗黙に関わらず保証するものではありません。
Microsoft、BackOffice、MS-DOS、Outlook、PivotTable、PowerPoint、Microsoft Press、Visual Basic、Windows、Windows NT、および Office ロゴは米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
目次
- 管理権限におけるデータ セキュリティとデータ可用性
- エンド システムにおけるデータ セキュリティとデータ可用性
- ローカル通信システムの IP セキュリティ
- エンド システムの監視と監査
- 名前解決の管理者権限