Windows 2000 セキュリティ強化ガイド
第 5 章 ‐ セキュリティの構成
最終更新日: 2003年12月17日
トピック
アカウント ポリシー
ローカル ポリシー
監査ログの管理
既定のグループ アカウント
既定のユーザー アカウント
システム サービス
ファイル システムを保護する
共有フォルダのアクセス許可
レジストリを保護する
IPSec ポリシー
暗号化ファイル システム
自動画面ロック保護を有効にする
システム修復ディスクを更新する
ここでは、Windows 2000 のセキュリティの改善に使用できるセキュリティ設定について詳細に説明します。設定は、SCE インターフェイスで紹介したカテゴリに従って分類されています。
このドキュメントの「6」では、定義済みのセキュリティ構成テンプレートを適用して、この節で定義するセキュリティ設定のほとんどを自動化する手順について説明しています。付録 C には、システムごとに実行した設定の追跡に使用できる、便利な Windows 2000 セキュリティ構成チェックリストがあります。
アカウント ポリシー
アカウントポリシーは、パスワードポリシー、アカウントロックアウト、Kerberos 認証という 3 つの主要アカウント認証機能を制御する規則です。
パスワードポリシー - パスワードの適用および有効期限などのパスワードの設定を決定します。
アカウントロックアウトポリシー - アカウントがシステムからロックアウトされる時点および期間を決定します。
Kerberos ポリシー - Kerberos 認証は、Windows 2000 以降のコンピュータが Active Directory ドメインのメンバである場合に使用される認証メカニズムです。このポリシーを使用すると、管理者は Kerberos を構成できます。
アカウントポリシーは、ドメインまたは OU のユーザーアカウントに適用できます。フォレスト内の 1 ドメインのアカウントポリシーを、サブドメインを含む他のドメインでも有効にするには、グループポリシーオブジェクトに対する明示的なリンクが必要です。また、アカウントポリシーについては、次の重要事項も心得ておく必要があります。
ドメインポリシーを使用して適用されるドメインアカウントポリシーは、そのドメインおよびサブドメインのドメインコントローラで定義されたアカウントに対してのみ有効になります。これには次の 3 つの設定も含まれます。
ログオン時間の有効期間が切れた場合のユーザーの自動ログオフ
Administrator アカウント名の変更
Guest アカウント名の変更
OU で定義されたアカウントポリシーは、その OU のメンバであるコンピュータに定義されたローカルアカウントに対して有効になります。
パスワード ポリシー
現在のパスワードポリシー設定の表示および編集の手順は、次のとおりです。
使用可能なセキュリティポリシーを GPO、SCE、ローカルセキュリティポリシーのいずれかから開きます。
[セキュリティの設定] を展開します。
[セキュリティの設定] で、[アカウントポリシー] を展開し、[パスワード]、[アカウントロックアウト]、および [Kerberos] を表示します。
[パスワードポリシー] オブジェクトをクリックします。右側の詳細情報のウィンドウ領域に、構成可能なパスワードポリシーの設定が表示されます。
表 4.1 の推奨事項に従って、パスワードポリシーを設定します。
表 4.1 パスワード ポリシーの設定
| パスワード ポリシー | ドメイン WKS | ドメイン ラップトップ | DC | ドメイン サーバー | スタンドアロン WKS | スタンドアロン サーバー |
|---|---|---|---|---|---|---|
パスワード履歴の要件を設定する
セキュリティの目的 : パスワードの再使用可能な頻度の制限を設定します。これを任意の値に設定すると、新しいパスワードがそれ以前の多数のパスワードに照らしてチェックされ、新しいパスワードが既存パスワードのいずれかと一致した場合にパスワードの変更を拒否します (これはクリア テキストのパスワードを保存せずに実行されます)。
手順 :
|
.gif) |
|
|
|
|
|
パスワードの有効期間を設定する
セキュリティの目的 : ユーザーのパスワードが変更を求められるまでの保持可能な期間を設定します。
手順 :
|
|
|
|
|
|
|
パスワード変更禁止期間を設定する
セキュリティの目的 : ユーザーのパスワードの変更が可能になるまでのパスワード保持期間を設定します。
手順 :
|
|
|
|
|
|
|
パスワードの長さを設定する
セキュリティの目的 : ユーザーのパスワードで要求される最小の文字数を設定します。
手順 :
|
|
|
|
|
|
|
| パスワードの複雑さの要件を設定する セキュリティの目的 : 複雑 (強力) なパスワードの使用を要求します。このポリシーは、(1) 大文字、(2) 小文字、(3) 数字、(4) 非英数字という 4 つの文字セットから、少なくとも 3 つを使用するように強制します。パスワードに追加する複雑性の要求と確認の詳細については、「3.3」を参照してください。 推奨事項 : パスワードの複雑さを有効にします。 原理 : パスワードの複雑さは、パスワードの推測とパスワードの解読の防止に最適です。 | |
|
|
|
|
|
| パスワードの元に戻せる暗号化を有効にする セキュリティの目的 : この設定は、特定の下位互換性が必要な環境でセキュリティを弱めることを目的にしています。一部のシナリオでは、ユーザーのクリアテキストによるパスワードを認識しておく必要があります。このようなシナリオで、この設定を有効にしてクリアテキストのパスワードを取得できるようにします。 推奨事項 : このチェックボックスはオンにしないでください。既定の [無効] の設定が有効であることを確認してください。 | |
|
|
|
|
|
| 監査ポリシー | ドメイン WKS | ドメイン ラップトップ | DC | ドメイン サーバー | スタンドアロン WKS | スタンドアロン サーバー | ||
|---|---|---|---|---|---|---|---|---|
| 監査イベントのカテゴリ | 成功 | 失敗 | ||||||
| アカウント ログオンイベントを監査する コンピュータがユーザーの認証に使用された場合にログオンイベントを監査します。言い換えると、DC の場合はすべてのドメインログオンイベントを監査し、ドメインメンバの場合はローカルアカウントが使用されたイベントのみを監査します。 | |
|
|
|
|
|
|
|
| アカウント管理を監査する アカウント作成、アカウントのロックアウト、アカウントの削除など、アカウント管理が関係するすべてのイベントを監査します。 | |
|
|
|
|
|
|
|
| ディレクトリ サービス アクセスを監査する Active Directory オブジェクトへのアクセスの監査を有効にします。この設定単独では、実際のイベントが生成されません。SACL がオブジェクトで定義されている場合のみアクセスが監査されます。このため、成功と失敗の両方の監査を有効にして、SACL すべての有効化を可能にすることをお薦めします。 | |
|
|
|||||
| ログオン イベントを監査する アカウントが存在する場所に関わりなく、ポリシーが適用されるシステムで発生したログオンイベントを監査します。言い換えると、ドメインメンバでこの成功監査を有効にすると、システムへのログオンが行われるたびにイベントが生成されます。ログオンに使用されたアカウントがローカルでアカウントログオンイベントの監査設定も有効化されている場合は、イベントが 2 つ生成されます。 | |
|
|
|
|
|
||
| オブジェクト アクセスを監査する ファイルシステム、レジストリオブジェクトなどの監査可能なすべてのオブジェクトへのアクセスの監査を有効にします (ディレクトリサービスオブジェクトは除く)。この設定単独では、イベントの監査が行われません。SACL が定義されているオブジェクトの監査が可能になるように、監査を有効にするだけです。このため、この設定では成功と失敗の両方で監査を有効にするようにお薦めします。 | |
|
|
|
|
|
|
|
| ポリシーの変更を監査する この設定は、ユーザー権利の割り当てポリシー、監査ポリシー、信頼ポリシーに対する変更を監査するかどうかを定義します。このような種類の失敗の監査は意味がないため、ここでは、成功の監査のみをお薦めします。 | |
|
|
|
||||
| 特権使用を監査する この設定は、特権が使用されるたびに監査イベントを生成するかどうかを設定します。走査チェックのバイパスおよびプログラムのデバッグなど、一部の特権は、この設定があっても監査されません (この監査は FullPrivilegeAuditing レジストリ値を設定するとオンにできます)。ただし、特権の監査を有効にすると、大量のイベントが生成されるため、オンにすることはお薦めしません。 | ||||||||
| プロセス追跡を監査する この設定は、プログラムエントリ、終了、ハンドルの重複、オブジェクトへの間接アクセスなどのプロセスイベントの監査を有効にします。この監査を有効にすると、大量のイベントが生成され、短期間のうちにイベントログがいっぱいになります。このため、デバッグを目的とする場合を除き、広範囲にこれを有効にすることはお薦めしません。プロセス追跡は攻撃の分析にも活用できます。たとえば、コマンドシェルを起動するためにバッファオーバーフローが不正に使用されることがありますが、プロセス追跡がオンの場合はログに記録されます。ただし、プロセス追跡がオンの場合は厳しいログ管理規定を使用する必要があります。 | ||||||||
| システム イベントを監査する システムシャットダウン、起動や、ログのクリアなどのシステムやセキュリティログに影響するイベントを監査します。 | |
|
|
|
|
|
|
| ユーザー権利と特権の割り当て | ドメイン WKS | ドメイン ラップトップ | DC | ドメイン サーバー | スタンドアロン WKS | スタンドアロン サーバー | ||
|---|---|---|---|---|---|---|---|---|
| 特権 | 既定値 | 変更後 | ||||||
| ネットワーク経由でコンピュータへアクセス (Professional/Server) | Administrators Backup Operators Power Users Users Everyone | Administrators Backup Operators Power Users Users Authenticated Users | |
|
|
|
|
|
| ネットワーク経由でコンピュータへアクセス (ドメイン コントローラ) | Administrators Authenticated Users Everyone | Administrators Authenticated Users | |
|||||
| ローカルログオン (Professional) | Administrators Backup Operators Power Users Users コンピュータ名\Guest | Administrators Backup Operators Power Users Users | |
|
|
|||
| ローカルログオン (Server) | Administrators Backup Operators Power Users Users コンピュータ名\Guest コンピュータ名\TsInternetUser | Administrators Backup Operators Power Users 注 : この特権は、ターミナル サーバー アプリケーション サーバーの Users に与える必要があります。 | |
|
||||
| ローカル ログオン (ドメイン コントローラ) | Administrators Account Operators Backup Operators Print Operators Server Operators TsInternetUser | Administrators Account Operators Backup Operators Print Operators Server Operators | |
|||||
| ドメインにワーク ステーションを追加 (ドメイン コントローラ) | Authenticated Users | Authenticated Users | |
|||||
| クォータの増加 (ドメインセキュリティ ポリシーのドメイン コントローラ) | (未定義) | Administrators | |
|||||
| スケジューリング優先順位の繰り上げ (ドメイン セキュリティ ポリシーのドメイン コントローラ) | (未定義) | Administrators | |
|||||
| デバイス ドライバのロードとアンロード (ドメイン セキュリティ ポリシーのドメイン コントローラ) | (未定義) | Administrators | |
|||||
| 監査とセキュリティログの管理 (ドメイン セキュリティ ポリシーのドメイン コントローラ) | (未定義) | Administrators | |
|||||
| ファームウェア環境値の修正 (ドメイン セキュリティ ポリシーのドメイン コントローラ) | (未定義) | Administrators | |
|||||
| システム パフォーマンスのプロファイル (ドメイン セキュリティ ポリシーのドメイン コントローラ) | (未定義) | Administrators | |
|||||
| システムのシャットダウン (クライアント) | Administrators Backup Operators Power Users Users | Administrators Backup Operators Power Users Authenticated Users | |
|
|
|||
| システムのシャットダウン (サーバー) | Administrators Power Users (他のグループはシステムによって異なる) | Administrators | |
|
|
|||
| ファイルとその他のオブジェクトの所有権の取得 (ドメイン セキュリティ ポリシーのドメイン コントローラ) | (未定義) | Administrators | |
| セキュリティ オプション | ドメイン WKS | ドメイン ラップトップ | DC | ドメイン サーバー | スタンドアロン WKS | スタンドアロン サーバー |
|---|---|---|---|---|---|---|
[匿名接続の追加を制限する] の設定
セキュリティの目的 : 匿名ユーザーの SAM のアカウントと共有の列挙に対する機能を無効にします。
推奨事項 :
|
|
|
|
|
|
|
| システムをシャットダウンするのにログオンを必要としない セキュリティの目的 : ログオンしていないシステムのシャットダウンをユーザーに許可しません。これはターミナルサーバーでは特に重要です。 推奨事項 : マトリックスのシステムではこのポリシーを [無効] に設定します。 ターミナル サービスが有効になっていないシステムの場合、実際には、この設定でセキュリティが大きく強化されるわけではありません。攻撃者がシャットダウンを行うには、非ターミナル サービス システムへの物理的なアクセスが必要で、物理的なアクセスがあれば単純に配線を切断することもできます。 | |
|
|
|||
| グローバル システム オブジェクトへのアクセスを監査する セキュリティの目的 : グローバル システム オブジェクトへのアクセスを監査する機能を有効にします。このポリシーが有効な場合、ミューテックス、イベント、セマフォ、DOS デバイスなどのシステム オブジェクトが、既定のシステム アクセス制御リスト (SACL) で作成されます。[オブジェクトアクセスの監査] 監査ポリシーも有効にしている場合、これらのシステム オブジェクトへのアクセスが監査されます。 推奨事項 : このポリシーは、特にセキュリティが重要なシステムを除いて無効に保持します。セキュリティが特に重要なシステムでは [有効] にします。 注 この設定は、主に開発者による新しいプログラムのトラブルシューティングを目的として開発されています。大量の監査情報が生成されます。このため、定期的に監査ログの確認、アーカイブ、消去が可能な、監査管理プロセスが厳格に実施されている環境か、またはこの設定によって生成されたイベントが法廷上の処理に実際に役立つ場合にのみ有効にしてください。ログ記録対象のイベントの増加に対応するため、最大ログ サイズも編集する必要があります。 | ||||||
| バックアップと復元の特権の使用を監査する セキュリティの目的 : [ファイルとディレクトリのバックアップ]、または [ファイルとディレクトリの復元] が使用されている場合は、必ず監査イベント エントリを作成する機能を有効にします。既定では、バックアップと復元の特権の使用は監査されません。[特権使用の監査] 監査ポリシーが有効になり、このセキュリティ オプションが設定されていると、バックアップと復元の特権が監査されます。 推奨事項 : この設定では非常に大量のイベントが生成されるため、バックアップ上の問題のトラブルシューティングの際にのみ有効にしてください。 | ||||||
| ログオン時間を経過した場合は自動的にユーザーをログオフする セキュリティの目的 : ユーザーが許可された有効時間を超えてログオンしたままになっている場合に、強制的にネットワークからログオフさせます。 推奨事項 : ログオン時間制限が実施されている環境では、この設定を有効にする必要があります。それ以外の環境では、この設定の効果はありません。 注 ユーザーに特定のログオン有効時間を守らせることは、セキュリティを強化する手段ではありません。言い換えると、ユーザーが操作するシステムをユーザーから保護することにはなりません。 | ||||||
| システムのシャットダウン時に仮想メモリのページ ファイルをクリアする セキュリティの目的 : システムのシャットダウン時に仮想メモリ ページ ファイルを削除します。このページ ファイルは、次回のユーザーのログオン時に再初期化されます。これは、次のユーザーがコンピュータにログオンしたときに、ページ ファイル内に残っている可能性がある情報すべてを確実に利用できないようにすることを目的にしています。 推奨事項 : シャット ダウン時に物理的にセキュリティで保護できないノートブック コンピュータやその他のコンピュータでこの設定を有効にします。 注 この設定を構成すると、システム シャットダウンに要する時間が大幅に延長されます。 | |
|||||
| 常にクライアント側の通信にデジタル署名を行う セキュリティの目的 : コンピュータがクライアント通信に常にデジタル署名を行うかどうかを設定します。Windows 2000 のサーバー メッセージ ブロック (SMB) 認証プロトコルは、「man-in-the-middle」攻撃に対抗する相互認証をサポートし、能動的なメッセージ攻撃を防ぐメッセージ認証をサポートします。SMB 署名は、デジタル署名を SMB のそれぞれに配置することでこの認証を行ってから、クライアントとサーバーの両方によって確認が行われます。 既定では、この設定が無効になっています。このオプションを有効にするには、Windows 2000 SMB クライアント サブシステムで SMB パケット署名を実行する必要があります。この場合、コンピュータからデジタル署名をサポートしないサーバーへの通信ができなくなります。この通信ができなくなる状況が望ましくない場合は、このオプションを設定しないでください。このような場合は、この設定ではなく、署名をサポートするすべてのシステム (Windows 2000 以降) で [可能な場合、クライアントの通信にデジタル署名を行う] オプションが設定されていることを確認し、可能な場合は常に署名が使用されることを確認してください。 推奨事項 : この設定は有効にしないでください。 | ||||||
| 可能な場合、クライアントの通信にデジタル署名を行う セキュリティの目的 : このポリシーが有効になっている場合、Windows 2000 のサーバー メッセージ ブロック (SMB) クライアント サブシステムでは、SMB パケット署名の実行が有効かまたは要求されている SMB サーバーと通信する際に、SMB パケット署名が実行されます。詳細については「常にクライアント側の通信にデジタル署名を行う」を参照してください。 推奨事項 : この設定は既定で有効になっています。そのままにしておいてください。 | ||||||
| 常にサーバーの通信にデジタル署名を行う セキュリティの目的 : このポリシーを有効にすると、システムが SMB サーバーとして機能している場合にサーバーメッセージブロック (SMB) パケット署名の実行が要求されます。このポリシーは、署名を実行していないクライアントシステムとの通信をできなくするため、既定では無効になっています。詳細については「常にクライアント側の通信にデジタル署名を行う」を参照してください。 推奨事項 : 下位レベルシステムに対する SMB サーバーとして機能していないシステムでは、この設定を有効にする必要があります。ドメイン内のクライアントワークステーションがこの機能を果たすことはめったにありません。このため、クライアントワークステーションではこの設定を有効にすることをお薦めします。ドメイン コントローラでこの設定を有効にしておくと、マイクロソフト セキュリティ情報 MS02-070 で説明されているような種類の攻撃を防ぎます。ただし、これは、下位レベルクライアントがこのドメインコントローラと通信できなくなるという事実と比較して検討する必要があります。このため、DC 構成テンプレートではこの設定がオフになっています。Windows 2000 またはそれ以降のクライアントのみの環境では、ドメインコントローラでこの設定を有効にしておきます。 | |
|
|
|||
| 可能な場合、サーバーの通信にデジタル署名を行う セキュリティの目的 : このポリシーを有効にすると、システムが SMB サーバーとして機能している場合にサーバー メッセージ ブロック (SMB) パケット署名の実行が有効になります。このポリシーは、ワークステーションおよびサーバーのローカル コンピュータ ポリシーでは既定で無効になっています。ドメイン コントローラでは既定で、このポリシーが有効になっています。詳細については「常にクライアント側の通信にデジタル署名を行う」を参照してください。 推奨事項 : すべてのシステムで、この設定を有効にしてください。 注 この設定を使用すると通信のオーバーヘッドがかかり、それが深刻な状況になる場合もあります。このため、使用環境でネットワーク応答時間が許容レベル以上に低下しないか検証が必要です。 | |
|
|
|
|
|
| ログオンに Ctrl+Alt+Del を必要としない セキュリティの目的 : このオプションを有効にすると、信頼されたパスメカニズムは無効になります。信頼されたパスメカニズムの目的は、ユーザーのログオンセッションのなりすましを防ぐことです。このメカニズムは、オペレーティングシステムによって常に Ctrl+Alt+Del キーのシーケンスを遮断し、他のサブシステムとプロセスがこのキーシーケンスをキャプチャできないようにするメカニズムです。このメカニズムが無効になっていると、攻撃者は容易にキーストロークロガーを使用してログオンインターフェイスに対してなりすまし攻撃を仕掛けることができます。このため、この設定は決して有効にしないでください。Windows 2000 コンピュータでは、ポリシーツールでこのオプションが [未定義] と表示される場合がありますが、既定では無効に設定されています。 推奨事項 : このポリシーを無効に設定します。 注 既定の設定をそのままにしておきます。しかし、無効に設定することで、変更されているコンピュータを確実に上書きできます。 | ||||||
| ログオン画面に最後のユーザー名を表示しない セキュリティの目的 : 既定の Windows 2000 ログオン インターフェイスには、そのコンピュータに最後にログオンしたユーザー名が表示されます。このオプションを有効にすると、最後のユーザー名がログオンセッションから削除されます。この結果、ローカルのコンピュータに侵入しようとする攻撃者はパスワードの推測だけではなく、正しいユーザー名の推測も必要になります。ただし、ユーザー名一覧の入手はそれほど困難ではなく、パスワードの使用が適切な防御メカニズムになります。さらに、この設定を有効にすると、ユーザーが各自のユーザー名を思い出せない場合に対処するため、テクニカルサポートコストの増加を招くことが明らかになっています。 推奨事項 : 研究室のワークステーションやターミナル サーバーのように、共有使用が設定されたコンピュータでのみこの設定を有効にするようにお薦めします。それ以外のコンピュータでは、サポート コストの増加と比較検討した場合この設定を使用する価値はほとんどありません。 | ||||||
LAN Manager 認証レベル
セキュリティの目的 : このセキュリティ オプションは、Windows ネットワークに使用される特定の種類の認証プロトコルの強制に使用され、また、新たな種類の認証プロトコル (NTLMv2) を有効にします。NTLMv2 は新しい認証プロトコルで、Windows 認証のセキュリティを大幅に強化します。多数のなりすまし攻撃を防ぎ、クライアントに対してサーバー自体を認証する機能をサーバーに提供します。
NTLM プロトコルでは、パスワード解読者がキャプチャした NTLM 認証セッションを使用してパスワードを解読することができました。これに対抗するため、NTLM バージョン 2 が開発されました。NTLMv2 には次のようなセキュリティ機能が追加実装されています。
NTLMv2 の詳細については、サポート技術情報 147706 を参照してください。NTLMv2 は、Windows NT 4.0 Service Pack 4 以降で使用可能で、また、Windows 9x については、Windows 2000 CD-ROM の Clients\Win9x ディレクトリに収録されている Directory Service Client から使用できます。資料では、この設定を「LMCompatibilityLevel」で示す場合も多く、これは、有効化に使用される実際のレジストリ スイッチの名前です。 この設定は、認証プロトコルと認証後に使用されるセッション セキュリティ プロトコルの両方に作用します。Windows NT 4 SP4 以降の Windows NT ベースのシステム (Windows 2000、Windows XP、Windows Server 2003 を含む) はすべて、追加変更せずに NTLMv2 認証を使用した SMB クライアント接続に対応します。 LMCompatibilityLevel 設定は、次のように認証のいずれかの側面の変更に使用されます。
この動作を管理する設定は 6 つあります。かっこ内の数値は、LMCompatibilityLevel レジストリ値の実際の設定値です。クライアントの動作の列は、この設定でコンピュータがどのように動作するかを示しています。サーバーの動作の列は、サーバーで設定が行われている場合に認証を実行するサーバーがどのように動作するかを示しています。ドメイン アカウントが使用され、DC にアクセス可能な場合は、認証サーバーが常に DC になります。DC にアクセスできない場合やローカル アカウントが使用される場合、認証サーバーは、クライアントの接続先のサーバーになります。 [ 各設定に対する、クライアントおよびサーバーの動作 ] 推奨事項 : 次のガイドラインに従って、環境の許す限り高く設定します。
W2KHG-baseline.inf テンプレートでは、LMCompatibilityLevel が NTLMv2 応答のみ送信する (3) に設定されます。 |
|
|
|
|
|
|
| 承認された使用上の警告を実装する セキュリティの目的 : 対話的ログオン画面にタイトルと警告が記載されたログオンバナーが表示されるように構成します。このバナーは主として承認された使用法ポリシーへの準拠またはユーザーへの通知に使用されます。使用の法的根拠または法的要件があるかどうかについては、弁護士にお問合せください。 推奨事項 : このバナーは、情報セキュリティポリシーに従って設定してください。 | |
|
|
|
||
| ログオン情報のキャッシュを無効にする セキュリティの目的 : Windows 2000 には、ログオン情報をキャッシュする機能があります。ログオン時にドメインコントローラが見つからず、そのユーザーが過去にログオンしたことがある場合に、そのときの資格情報をログオンに使用できます。これは、たとえばユーザーがネットワークから離れたところで使用する必要があるポータブルコンピュータの場合に非常に便利です。CachedLogonsCount Registry 値の設定によって、Windows 2000 でローカルコンピュータのログオンキャッシュに保存されるユーザーアカウントのエントリ数が決定されます。ログオンキャッシュは、コンピュータのセキュリティが保護された領域で、資格情報はシステムで使用可能な最も強力な暗号化形式によって保護されます。このエントリの値が 0 の場合、Windows 2000 のログオンキャッシュにユーザーアカウントデータが保存されません。これでは、ユーザーのドメインコントローラが使用できない場合に、ユーザーアカウント情報のないコンピュータにユーザーがログオンしようとすると、Windows 2000 から次のメッセージが表示されます。 「ログオンできません。ログオン先ドメイン <ドメイン名> は利用できません。」 Administrator がユーザーのドメインアカウントを無効にした場合、そのユーザーは、ネットワークケーブルを切断すれば、キャッシュを使用してログオンできます。これを防ぐため、Administrator は、ログオン情報のキャッシュを無効にできます。既定では、10 セットの資格情報のキャッシュを許可するように設定されています。 推奨事項 : この値は最低でも 2 に設定し、ドメインコントローラの停止中や使用不可の場合でもシステムを使用可能にします。 | |
|
|
|
|
|
| コンピュータ アカウント パスワードのシステム保守をしない セキュリティの目的 : Windows 2000 ドメインのコンピュータをドメイン リソースとして使用可能にするには、ドメイン コントローラに対して自己認証する必要があります。この設定によって、コンピュータ アカウント パスワードが毎週リセットされないようにするかどうかを設定します。Windows 2000 のセキュリティ機能として、コンピュータ アカウントのパスワードが 7 日ごとに自動変更されます。このポリシーを有効にすると、毎週のパスワード変更要求が行われなくなります。このポリシーを無効にすると、コンピュータ アカウントの新規パスワードが毎週生成されます。このポリシーは、既定では無効になっています。 推奨事項 : このポリシーを無効にして、いずれかの時点で上書きされた可能性があるコンピュータも確実に正しく構成されるようにします。このポリシーを有効にする実質的な理由はありません。 | |
|
|
|
||
| ユーザーがプリンタ ドライバをインストールできないようにする
セキュリティの目的 : ユーザー グループのメンバによるプリンタ ドライバのインストールを許可するかどうかを設定します。このポリシーを有効にすると、ユーザーはローカル コンピュータでプリンタ ドライバをインストールできなくなります。これによって、デバイス ドライバがローカル コンピュータにない場合、ユーザーは [プリンタの追加] ができなくなります。このポリシーを無効にすると、ユーザー グループのメンバはコンピュータにプリンタ ドライバをインストールできます。既定では、この設定はサーバーでは有効、ワークステーションでは無効になっていて、管理者によるプリンタ ドライバのインストールを義務付けた場合に発生するサポート オーバーヘッドを軽減します。
この設定を有効にすると、ワークステーションのセキュリティが若干強化されますが、管理オーバーヘッドは大幅に増加します。セキュリティに関する第 3 の鉄則、「悪意のある攻撃者があなたのコンピュータに対して物理的なアクセスを無制限に行える場合、もはやそれはあなたのコンピュータではない」 (https://www.microsoft.com/japan/technet/ archive/community/columns/security/essays/10imlaws.mspx?mfr=true) と比較検討する必要があります。 推奨事項 : この設定は変更しないでください。 |
||||||
| パスワードが無効になる前にユーザーに変更を促す セキュリティの目的 : Windows 2000 から、パスワードの有効期限が近づいていることを何日前からユーザーに警告するのかを設定します。事前にユーザーに警告することによって、強度の高いパスワードを構成するだけの余裕が得られます。既定では、この値が 14 日間に設定されています。 推奨事項 : なし。既定値で十分です。 | ||||||
| 回復コンソール : 自動管理ログオンを許可する セキュリティの目的 : 既定では、回復コンソールによってシステムへのアクセス前に Administrator アカウントのパスワードの入力が要求されます。このオプションを有効にすると、回復コンソールはパスワードの入力を要求せずに、自動的にシステムにログオンします。ポリシー ツールでは [未定義] と表示されることがありますが、既定ではこの設定は無効になっています。 推奨事項 : このオプションは無効に設定します。 | |
|
|
|
|
|
回復コンソール : すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する
セキュリティの目的 : このオプションを有効にすると、回復コンソールの SET コマンドによる次の回復コンソール環境変数の設定が可能になります。
ポリシーツールでは [未定義] と表示されることがありますが、既定では SET コマンドは無効で、これらの変数はいずれも有効ではありません。 推奨事項 : このオプションを有効にして、回復コンソールを使用したシステムの回復機能を拡張します。 |
|
|
|
|
|
|
| Administrator アカウント名の変更 セキュリティの目的 : アカウント「Administrator」のセキュリティ識別子 (SID) に関連付けられた名前の変更に使用されます。匿名アクセスが無効にされていない場合は、Administrator アカウント名の設定は些細なことであるため、実質的にはセキュリティを強化するものではありません。ただし、[匿名接続の追加を制限する] の設定が [SAM アカウントと共有の列挙を許可しない] に設定されている場合はセキュリティを若干強化できます。しかし、ユーザー名はパスワードではありません。Administrator アカウントを保護するには、一般的でない名前を使用するよりも強力なパスワードを使用する必要があります。さらに、プログラムによっては、Administrator アカウントの名前を変更するとエラーが発生する場合もあります。 推奨事項 : SAM アカウントの匿名列挙の制限が使用できない場合は、セキュリティ強化を目的として Administrator アカウントの名前を変更する必要はありません。 | ||||||
| Guest アカウント名の変更 セキュリティの目的 : アカウント「Guest」のセキュリティ識別子 (SID) に関連付けられた名前の変更に使用されます。この設定はセキュリティを強化するものではありません。 推奨事項 : セキュリティ強化を目的として Guest アカウントの名前を変更する必要はありません。無効になっていることだけを確認してください。 | ||||||
| CD-ROM へのアクセスを、ローカルログオンユーザーだけに制限する セキュリティの目的 : CD-ROM に、ローカルユーザーおよびリモートユーザーの両方が同時にアクセスできるようにするかどうかを設定します。このポリシーを有効にすると、対話型ログオンユーザーのみがリムーバブルメディアである CD-ROM へのアクセスを許可されます。このポリシーを無効にすると、対話的にログオンしたユーザーがいない場合、ネットワーク上で CD-ROM を共有できます。 推奨事項 : 効力があるのは、ユーザーがログオンしているときに限られるため、この設定はほとんどセキュリティ強化の効果がありません。この設定は有効にしないでください。 | ||||||
| フロッピーへのアクセスを、ローカル ログオンユーザーだけに制限する セキュリティの目的 : フロッピーディスクに、ローカルユーザーおよびリモートユーザーの両方が同時にアクセスできるようにするかどうかを設定します。このポリシーを有効にすると、対話型ログオンユーザーのみがリムーバブルメディアであるフロッピーディスクへのアクセスを許可されます。このポリシーを無効にすると、対話的にログオンしたユーザーがいない場合、ネットワーク上でフロッピーディスクを共有できます。 推奨事項 : 効力があるのは、ユーザーがログオンしているときに限られるため、この設定はほとんどセキュリティの強化の効果がありません。この設定は有効にしないでください。 | ||||||
| セキュリティで保護されたチャネル : 常にセキュリティチャネルのデータをデジタル的に暗号化または署名する セキュリティの目的 : コンピュータでセキュリティが保護されたチャネルのデータを、常にデジタル的に暗号化するか、署名するかを設定します。セキュリティが保護されたチャネルは、ドメインコントローラとドメインメンバ間の通信に使用されます。Windows 2000 システムがドメインに参加すると、コンピュータアカウントが作成されます。その後、システムが起動すると、そのアカウントのパスワードを使用して、ドメインに使用されるドメインコントローラでセキュリティが保護されたチャネルが作成されます。セキュリティが保護されたチャネルを介するトラフィックフローの一例にログオントラフィックがあります。セキュリティが保護されたチャネルで送信された要求は認証が行われ、保護を要する情報 (パスワードなど) の暗号化が行われますが、チャネルの整合性チェックは行われず、すべての情報が暗号化されるわけではありません。このポリシーを有効にすると、セキュリティが保護されたチャネルで発信されるトラフィックすべての署名または暗号化が行われます。このポリシーを無効にすると、署名と暗号化についてドメインコントローラとネゴシエーションが行われます。既定では、このポリシーは無効になっています。 推奨事項 : 下位レベル ドメインとの通信を防ぐ必要がある場合を除き、このポリシーは有効にしないでください。 | ||||||
| セキュリティで保護されたチャネル : 可能な場合、セキュリティチャネルのデータをデジタル的に暗号化または署名する セキュリティの目的 : セキュリティが保護されたチャネルの暗号化について、コンピュータがドメインコントローラとネゴシエーションするかどうかを設定します。既定では、セキュリティが重要な情報すべてがすでに暗号化されています。このポリシーを有効にすると、暗号化がサポートされるドメインコントローラと通信する際に、セキュリティが保護されたチャネルを介するトラフィックのすべてが暗号化されます。このオプションは、既定で有効になっています。 推奨事項 : 既定の設定を変更しないでください。 | ||||||
| セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する セキュリティの目的 : コンピュータがセキュリティで保護されたチャネルのデータの整合性に対する署名についてネゴシエーションを行います。セキュリティが保護されたチャネルで送信された要求は認証が行われ、保護を要する情報 (パスワードなど) の暗号化が行われますが、チャネルの整合性チェックは行われず、すべての情報が暗号化されるわけではありません。このポリシーを有効にすると、署名をサポートするドメイン コントローラとの通信の際に、セキュリティが保護されたチャネルのトラフィックがデジタル署名されます。このオプションは、既定で有効になっています。 推奨事項 : 既定の設定を変更しないでください。 | ||||||
| セキュリティで保護されたチャネル : 強力な (Windows 2000 かそれ以降のバージョン) セッションキーを必要とする セキュリティの目的 : このポリシーを有効にすると、セキュリティが保護されたチャネルの発信トラフィックすべてに強力な (Windows 2000 以降) 暗号化キーが必要になります。この設定を無効にすると、キーの強度について DC とネゴシエーションが行われます。このオプションは、信頼されるドメインのすべての DC が強力なキーをサポートしている場合にのみ有効にしてください。既定では、この値は無効になっています。 手順 : 正規の DC すべてが Windows 2000 以降を実行している場合は、このポリシーを有効にします。これ以外の場合は無効にしておいてください。 | |
|
|
|
||
| サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する セキュリティの目的 : このセキュリティ設定を有効にすると、サーバーメッセージブロック (SMB) のリダイレクタから、認証時にパスワード暗号化機能をサポートしない Microsoft 以外の SMB サーバーにクリアテキストのパスワードを送信できます。既定では、このオプションは無効になっています。 推奨事項 : 無効に設定して、個別のコンピュータで行われていた変更を確実に上書きします。 | |
|
|
|
|
|
| セキュリティ監視のログを記録できないときは、直ちにシステムをシャットダウンする セキュリティの目的 : セキュリティイベントのログを記録できないときにシステムをシャットダウンするかどうかを設定します。このポリシーを有効にすると、セキュリティ監査のログが何らかの理由で記録されない場合にシステムが停止されます。一般に、イベントの記録ができなくなるのは、セキュリティ監査ログがいっぱいになった場合や、セキュリティログに指定されている保存方法が [イベントを上書きしない] か [指定した日数を過ぎたら上書きする] の場合です。セキュリティログがいっぱいになり、既存のエントリを上書きできない場合に、このセキュリティオプションが有効になっていると、ブルースクリーンに変わり、次のエラーが表示されます。 |
||||||
スマート カード取り出し時の動作
セキュリティの目的 : ログオン ユーザーのスマート カードがスマート カード リーダーから取り出されたときの動作を設定します。選択できる動作は次のとおりです。
|
|
|
|
|
||
| グローバル システム オブジェクトの既定のアクセス許可を強化する (例 : シンボリック リンク) セキュリティの目的 : システム オブジェクトの既定の随意アクセス制御リスト (DACL) の強度を設定します。Windows 2000 では、DOS デバイス名、ミューテックス、およびセマフォなどの、共有しているシステム リソースのグローバル一覧が管理されます。オブジェクトは、位置の確認とプロセス間での共有が可能です。各オブジェクト タイプは既定の DACL を利用して作成されます。DACL は、オブジェクトにアクセスできるユーザーおよび付与されるアクセス許可を指定します。このポリシーを有効にすると、既定の DACL が強化されます。管理者以外のユーザーに共有オブジェクトの読み取り許可を与えますが、ユーザー自身が作成した共有オブジェクト以外を変更する許可は与えません。既定では、Windows 2000 Professional および Server のローカルでこのオプションが有効になっていますが、ドメイン セキュリティ ポリシーでは定義されていません。 推奨事項 : この設定が有効になっていることを確認します。 | |
|
|
|
|
|
署名されていないドライバのインストール時の動作
セキュリティの目的 : ドライバの発行元の署名がないデバイスドライバを Windows 2000 デバイスインストーラを使用してインストールしようとしたときの動作を設定します。
選択できる動作は次のとおりです。
|
||||||
署名されていないドライバ以外のインストール時の動作
セキュリティの目的 : 署名がないデバイスドライバ以外のソフトウェアをインストール使用としたときの動作を設定します。
選択できる動作は次のとおりです。
|
| キーパス : HKLM\SYSTEM\CurrentControlSet\Control\Session Manager | データ型 | 値 |
|---|---|---|
| キー : SubSystems 値の名前 : Optional | REG_MULTI_SZ | すべてのエントリを削除 |
| キーパス : HKLM\SYSTEM\ CurrentControlSet\Services \LanmanServer | データ型 | 値 |
|---|---|---|
| キー : parameters 値の名前 : RestrictNullSessAccess | REG_DWORD | 1 |
| キーパス : HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer | データ型 | 値 |
|---|---|---|
| キー : parameters 値の名前 : NullSessionPipes NullSessionShares | REG_MULTI_SZ | すべての値を削除 |
| キーパス : HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer | データ型 | 値 |
|---|---|---|
| キー : parameters 値の名前 : hidden | REG_DWORD | 1 |
| キーパス : HKLM\SYSTEM\CurrentControlSet\Services | データ型 | 値 |
|---|---|---|
| キー : IPSEC 値の名前 : NoDefaultExempt | REG_DWORD | 1 |
| キーパス : HKLM\SYSTEM\CurrentControlSet\Control | データ型 | 値 |
|---|---|---|
| キー : Session Manager 値の名前 : SafeDllSearchMode | REG_DWORD | 1 |
| キーパス : (ポリシー) HKCU\Software\Policies\Microsoft\Windows\Control Panel | データ型 | 値 |
|---|---|---|
| キー : Desktop 値の名前 : BlockSendInputResets | REG_SZ | 1 |
| キーパス : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog | 形式 | 値 |
|---|---|---|
| キー : Security 値の名前 : WarningLevel | REG_DWORD | 90 |
| キーパス : HKLM\SYSTEM\CurrentControlSet\Services\Tcpip | 形式 | 値 |
|---|---|---|
| キー : Parameters 値の名前 : DisableIPSourceRouting | REG_DWORD | 2 |
| キー : Parameters 値の名前 : EnableDeadGWDetect | REG_DWORD | 0 |
| キー : Parameters 値の名前 : EnableICMPRedirect | REG_DWORD | 0 |
| キー : Parameters 値の名前 : EnableSecurityFilters | REG_DWORD | 1 |
| キー : Parameters 値の名前 : KeepAliveTime | REG_DWORD | 300,000 |
| キー : Parameters 値の名前 : PerformRouterDiscovery | REG_DWORD | 0 |
| キー : Parameters 値の名前 : SynAttackProtect | REG_DWORD | 2 |
| キー : Parameters 値の名前:TcpMaxConnectResponseRetransmissions | REG_DWORD | 2 |
| キー : Parameters 値の名前 : TcpMaxConnectRetransmissions | REG_DWORD | 3 |
| キー : Parameters 値の名前 : TcpMaxDataRetransmissions | REG_DWORD | 3 |
| キー : Parameters 値の名前 : TCPMaxPortsExhausted | REG_DWORD | 5 |
| キーパス : HKLM\SYSTEM\CurrentControlSet\Services\Tcpip | 形式 | 値 |
|---|---|---|
| キー : Parameters 値の名前 : EnablePMTUDiscovery | REG_DWORD | 0 |
| キーパス : HKLM\SYSTEM\CurrentControlSet\Services\NetBT | 形式 | 値 |
|---|---|---|
| キー : Parameters 値の名前 : NoNameReleaseOnDemand | REG_DWORD | 1 |
| キーパス : HKLM\SYSTEM\CurrentControlSet\Services\W32Time | 形式 | 値 |
|---|---|---|
| キー : Parameters 値の名前 : type | REG_SZ | Nt5DS |
| キーパス : HKLM\SYSTEM\CurrentControlSet\Control\LSA | 形式 | 値 |
|---|---|---|
| キー : NoLMHash | N/A | N/A |
| キーパス : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies | 形式 | 値 |
|---|---|---|
| キー : Explorer 値の名前 : NoDriveTypeAutoRun | REG_DWORD | 255 |
| キーパス : HKLM\System\CurrentControlSet\Services\NTDS | 形式 | 値 |
|---|---|---|
| キー : Parameters 値の名前 : LdapServerIntegrity | REG_DWORD | 2 |
| キーパス : HKLM\SYSTEM\CurrentControlSet\Services\Alerter | 形式 | 値 |
|---|---|---|
| キー : Parameters 値の名前 : AlertNames | REG_MULTI_SZ | 上の説明を参照 |
| キーパス : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | 形式 | 値 |
|---|---|---|
| キー : Advanced 値の名前 : WebView | REG_DWORD | 1 |
| キーパス : HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA | 形式 | 値 |
|---|---|---|
| キー : MSV1_0 値の名前 : NtlmMinClientSec および NtlmMinServerSec | REG_DWORD | 0x20080030 |
| 監査の管理と構成 | ドメイン ワークステーション | ドメイン ラップトップ | ドメイン コントローラ | ドメイン サーバー | スタンドアロン ワークステーション | スタンドアロン サーバー |
|---|---|---|---|---|---|---|
| アプリケーション ログの最大サイズを設定する セキュリティ上の目的 : アプリケーションイベントログの最大サイズを指定します。既定値は 512 KB、最大サイズは 4 GB (4,194,240 KB) です。アプリケーションログサイズの要件は、プラットフォームの機能およびアプリケーション関連イベントの過去のレコードに対する必要性によって異なります。 推奨事項 : ほとんどのシステムでは既定の設定で十分です。 | ||||||
| セキュリティ ログの最大サイズを設定する セキュリティ上の目的 : セキュリティイベントログの最大サイズを指定します。既定値は 512 KB、最大サイズは 4 GB です。 推奨事項 : ドメインコントローラおよびサーバーでは、少なくとも 20 MB に設定します。それ以外のシステムでは、ログが参照される頻度やディスクの空き容量などに基づいて、十分なログサイズに設定します。テンプレートでは、その他すべてのシステムに対してログサイズが 5 MB に設定されます。 | |
|
|
|
|
|
| システム ログの最大サイズを設定する セキュリティ上の目的 : システムイベントログの最大サイズを指定します。既定値は 512 KB、最大サイズは 4 GB です。 推奨事項 : ほとんどの環境では、既定の設定で十分です。 | ||||||
| アプリケーション ログへのゲストアクセスを制限する セキュリティ上の目的 : アプリケーションイベントログへの匿名アクセスを防止します。このポリシーを有効にすると、ゲストがアプリケーションイベントログにアクセスできなくなります。既定では、すべての Windows 2000 オペレーティングシステムでこのポリシーがローカルで無効となります。 推奨事項 : このポリシーをすべてのシステムで "有効" に設定します。 注 既定では、すべてのシステムでゲストによるアクセスが禁止されているため、既定のシステムではこの設定による実質的な効果はありません。しかし多層防御を徹底させる意味で、この設定を行います。副次的作用はほとんどありません。 | |
|
|
|
|
|
| セキュリティ ログへのゲスト アクセスを制限する セキュリティ上の目的 : セキュリティ イベント ログへの匿名アクセスを防止します。このポリシーを有効にすると、ゲストがセキュリティ イベント ログにアクセスできなくなります。既定では、すべての Windows 2000 オペレーティング システムでこのポリシーがローカルで無効となります。ユーザーがセキュリティ ログにアクセスするには、「監査とセキュリティログの管理」ユーザー権利が必要です。ゲストにはこの権利がないため、この設定は単に多層防御の目的で行います。 推奨事項 : このポリシーをすべてのシステムで "有効" に設定します。 | |
|
|
|
|
|
| システム ログへのゲスト アクセスを制限する セキュリティ上の目的 : システム イベント ログへの匿名アクセスを防止します。このポリシーを有効にすると、ゲストがシステム イベント ログにアクセスできなくなります。既定では、すべての Windows 2000 オペレーティング システムでこのポリシーがローカルで無効となります。 推奨事項 : このポリシーをすべてのシステムで "有効" に設定します。 | |
|
|
|
|
|
| アプリケーション ログを保存する セキュリティ上の目的 : ドメインポリシーでアプリケーションログの保存方法が "指定した日数を過ぎたら上書きする" に設定されている場合、またはスタンドアロンのワークステーションまたはサーバーのアプリケーション ログの [プロパティ] ウィンドウで [イベントを上書きする] オプションが選択されている場合に、アプリケーションログでイベントを保存する日数を決定します。この値は、定期的にログをアーカイブする場合にのみ設定してください。また、アプリケーションログの最大サイズが、次にアーカイブされるまでにイベントを保存できるだけの大きさであることを確認してください。 推奨事項 : 既定の設定 "未定義" のままにします。 | ||||||
| セキュリティ ログを保存する セキュリティ上の目的 : ドメインポリシーでセキュリティ ログの保存方法が "指定した日数を過ぎたら上書きする" に設定されている場合、またはスタンドアロンのワークステーションまたはサーバーのセキュリティ ログの [プロパティ] ウィンドウで [イベントを上書きする] オプションが選択されている場合に、セキュリティログでイベントを保存する日数を決定します。この値は、定期的にログをアーカイブする場合にのみ設定してください。また、セキュリティログの最大サイズが、次にアーカイブされるまでにイベントを保存できるだけの大きさであることを確認してください。 推奨事項 : 既定の設定 "未定義" のままにします。 | ||||||
| システム ログを保存する セキュリティ上の目的 : ドメインポリシーでシステム ログの保存方法が "指定した日数を過ぎたら上書きする" に設定されている場合、またはスタンドアロンのワークステーションまたはサーバーのシステム ログの [プロパティ] ウィンドウで [イベントを上書きする] オプションが選択されている場合に、システムログでイベントを保存する日数を決定します。この値は、定期的にログをアーカイブする場合にのみ設定してください。また、システムログの最大サイズが、次にアーカイブされるまでにイベントを保存できるだけの大きさであることを確認してください。 推奨事項 : 既定の設定 "未定義" のままにします。 | ||||||
| アプリケーション ログの保存方法 セキュリティ上の目的 : 最大サイズに達したアプリケーションログを、オペレーティングシステムがどのように処理するかを決定します。 推奨事項 : "必要に応じてイベントを上書きする" に設定して、最近発生したイベントがログに記録されるようにします。 注 法的証拠またはトラブルシューティングの目的で過去のイベントを残しておく必要がある場合は、ログを定期的にアーカイブすることが不可欠です。必要に応じてイベントを上書きすると、ログには常に最近発生したイベントが保持されますが、これによって過去のデータが失われる可能性があります。 | |
|
|
|
|
|
| セキュリティ ログの保存方法 セキュリティ上の目的 : 最大サイズに達したセキュリティログを、オペレーティングシステムがどのように処理するかを決定します。 推奨事項 : "必要に応じてイベントを上書きする" に設定して、最近発生したイベントがログに記録されるようにします。 注 法的証拠またはトラブルシューティングの目的で過去のイベントを残しておく必要がある場合は、ログを定期的にアーカイブすることが不可欠です。必要に応じてイベントを上書きすると、ログには常に最近発生したイベントが保持されますが、これによって過去のデータが失われる可能性があります。 | |
|
|
|
|
|
| システム ログの保存方法 セキュリティ上の目的 : 最大サイズに達したシステムログを、オペレーティングシステムがどのように処理するかを決定します。 推奨事項 : "必要に応じてイベントを上書きする" に設定して、最近発生したイベントがログに記録されるようにします。 注 法的証拠またはトラブルシューティングの目的で過去のイベントを残しておく必要がある場合は、ログを定期的にアーカイブすることが不可欠です。必要に応じてイベントを上書きすると、ログには常に最近発生したイベントが保持されますが、これによって過去のデータが失われる可能性があります。 | |
|
|
|
|
|
| セキュリティ ログがいっぱいになったときにコンピュータをシャットダウンする セキュリティ上の目的 : セキュリティイベントを記録できなくなった場合にシステムをシャットダウンするかどうかを決定します。このポリシーを有効にすると、セキュリティ監査のログが何らかの理由で記録できなくなった場合にシステムが停止します。一般に、イベントをログに記録できなくなるのは、セキュリティ監査ログがいっぱいになり、かつセキュリティログの保存方法が "イベントを上書きしない" または "指定した日数を過ぎたら上書きする" に指定されている場合です。 推奨事項 : この設定を無効にしておきます。有効にすると、サービス拒否攻撃がきわめて容易になり、アップタイムに大きく影響します。 |
| グループ メンバシップの変更 | ドメイン ワークステーション | ドメイン ラップトップ | ドメイン コントローラ | ドメイン サーバー | スタンドアロン ワークステーション | スタンドアロン サーバー | ||
|---|---|---|---|---|---|---|---|---|
| グローバルおよびユニバーサルグループ | 既定のメンバ | 変更/確認 | ||||||
| DnsUpdateProxy | なし | このグループにはアカウントを追加しないでください。 | |
|||||
| Domain Admins | Administrator | このグループには非管理アカウントを追加しないでください。 | |
|||||
| Domain Guests | Guest | このグループにはアカウントを追加しないでください。 | |
|||||
| Domain Users | Administrator Guest Krbtgt TsInternetUser (新規ユーザーはすべて既定で追加されます) | Guest アカウントを削除し、TsInternetUser アカウントを確実に無効にします。 注 : Guest アカウントを削除する前に、そのアカウントのプライマリ グループを Domain Guests に変更します。 | |
|||||
| Enterprise Admins | Administrator (ドメインコントローラ管理者) | このグループには非管理アカウントを追加しないでください。 警告 : このグループには、フォレスト全体のあらゆるコンピュータに対する完全な管理特権が与えられます。どのような状況であっても、このグループのアカウントは、システム管理以外の目的に使用しないでください。 | |
|||||
| Group Policy Creator Owner | Administrator | このグループには非管理アカウントを追加しないでください。 | |
|||||
| Schema Admins | Administrator | このグループには非管理アカウントを追加しないでください。 | |
|||||
| ドメインローカルグループ | 既定のメンバ | 変更/確認 | ||||||
| Account Operators | なし | このグループは、アカウントの管理のみを実行できる管理者だけに使用してください。このユーザーは、通常の管理者と同様に選別する必要があります。 | |
|||||
| Administrators | Administrator Domain Admins Enterprise Admins | このグループには非管理アカウントを追加しないでください。 | |
|||||
| Backup Operators | なし | このグループには非管理アカウントを追加しないでください。 注 : バックアップオペレータは、システム上のすべてのファイルを、そのファイルのアクセス許可に関係なく読み取ることができます。これらのオペレータはファイルを復元することもできるため、システムのセキュリティと安定性に悪影響を与える可能性があります。 | |
|||||
| DnsAdmins | なし | このグループには非管理アカウントを追加しないでください。 | |
|||||
| Guests | Guest (ローカル) Domain Guests TsInternetUser | このグループは使用しないでください。 | |
|
||||
| Pre-Windows2000 Compatible Access | なし | Windows 2000 より前のオペレーティングシステムとの下位互換性を実現します。このグループを使用すると、Active Directory に対するアクセス許可が大幅に緩和されます。既定では、このグループにメンバは含まれていません。ただし、ドメインが "Pre-Windows 2000 互換性モード" で作成された場合は、Everyone グループがこのグループのメンバになり、Everyone にすべての Active Directory オブジェクトへの読み取りアクセス許可が与えられます。これを無効にするには、Pre-Windows 2000 Compatible Access グループから Everyone グループを削除し、すべてのドメインコントローラを再起動します。ただし、これによって下位互換性に影響が生じます。 | |
|||||
| Print Operators | なし | このグループには非管理アカウントを追加しないでください。このユーザーは、カーネルモードドライバをインストールできるため、安定性とセキュリティの両方を脅かす可能性があります。 | |
|||||
| Replicator | なし | このグループには非管理アカウントを追加しないでください。 | |
|||||
| Server Operators | なし | このグループには非管理アカウントを追加しないでください。このグループは、善意のユーザーが管理者である場合に与えかねない損害をできる限り防ぐ目的で設計されています。悪意のあるユーザーがシステムを脅かそうとするのを阻止するために設計されたのではありません。 | |
|||||
| Users | Authenticated Users Domain Users INTERACTIVE (新規のローカルユーザーはすべて既定で追加されます) | 認証されていないアクセスを行う可能性のあるアカウント (Guest など) は、このグループに追加しないでください。 | |
|||||
| ローカルグループ | 既定のメンバ | 変更/確認 | ||||||
| Administrators | スタンドアロン : Administrator ドメイン メンバ : Administrator Domain Admins | このグループには非管理アカウントを追加しないでください。 | |
|
|
|
|
|
| Backup Operators | なし | このグループには非管理アカウントを追加しないでください。 | |
|
|
|
|
|
| Guests | スタンドアロンの Professional : Guest スタンドアロンの Server : Guest TsInternetUser ドメイン メンバ : 上記に Domain Guests を追加します | このグループは使用しないでください。このグループからは、Guest を含めたすべてのアカウントを削除します。 | |
|
|
|
|
|
| Power Users | なし | このグループの権限は、Server Operators グループと同じです。このグループは、通常のユーザーとして実行されないアプリケーションとの下位互換性のために提供されています。Power Users を使用することで、各組織は、ユーザーを管理者にしなくてもユーザーにこれらのアプリケーションの実行を許可できます。 環境によっては、Power Users が絶対的に必要となります。これを使用しないと、ユーザーを Administrators にしなければならないためです。ただし、Power Users グループを必要としない環境では、グループポリシーでこれを制限されたグループにすることで、そのメンバシップを制御する必要があります。 ユーザーを Power Users グループのメンバにしても、そのユーザーは依然として簡単に Administrator になることができるので注意が必要です。このグループには、善意のユーザーを含めることになっています。悪意のあるユーザーを含めることはできません。このため、その用途を慎重に評価する必要があります。 | |
|
|
|
|
|
| Replicator | なし | このグループには非管理アカウントを追加しないでください。 | |
|
|
|
|
|
| Users | スタンドアロン : Authenticated Users INTERACTIVE (新規のローカルユーザーはすべて既定で追加されます) ドメイン メンバ : Authenticated Users Domain Users INTERACTIVE (新規のローカルユーザーはすべて既定で追加されます) | 認証されていないアクセスを行う可能性のあるアカウント (Guest など) は、このグループに追加しないでください。 | |
|
|
|
|
|
| システムグループ | 既定のメンバ | 変更/確認 | ||||||
| Anonymous Logon | 認証されていないすべてのユーザー | このグループは、認証を行わない、または認証できないユーザーに対してリソースへのアクセスを許可するために使用されます。一般に、これは望ましい操作ではありません。このため、アプリケーションや使用時のシナリオで必要とならない限り、このグループは使用しないでください。このグループには、リソースへのアクセス許可やユーザー権利を付与しないでください。 | |
|
|
|
|
|
| Authenticated Users | 認証されているすべてのユーザー | このグループを Everyone の代わりに使用することで、リソースへの匿名アクセスを防止します。 | |
|
|
|
|
|
| DIALUP | すべてのダイヤルイン ユーザー | このグループは、Dialup ユーザーが通常は与えられない特別なアクセス許可を必要とするごくまれなケースで役立ちます。簡素化するには、このグループを使用しない方が簡単です。 | |
|
|
|
|
|
| SERVICE | サービスとして実行されるプロセスはこの SID を取得します。 | 一般に、このグループを使用して権利を割り当てる必要はありません。 | |
|
|
|
|
|
| SELF | オブジェクトによって表されるセキュリティプリンシパル。 | この SID は、ユーザーに対し、Active Directory でそのユーザー自身のオブジェクトを変更する権利を割り当てるために使用します。 | |
|
|
|
|
|
| NETWORK | ネットワーク経由でコンピュータへアクセスするユーザー。 | この SID は、主に IIS 用に使用されます。認証された Web アクセス (基本認証以外) を通じてサーバーにアクセスするユーザーは、この SID を取得します。したがって、この SID を使用してこれらのユーザーにリソースへのアクセスを許可することができます。 | |
|
|
|
|
|
| INTERACTIVE | ローカルに、つまりコンソールでコンピュータにアクセスするすべてのユーザー。また、基本認証または認証された FTP と Telnet を使用する Web サーバー経由でコンピュータにアクセスするユーザーも、この SID を取得します。 | この SID に対してアクセスを割り当てる場合は、十分に注意してください。これによって、システムへローカルにアクセスできるすべてのユーザーに、これらのリソースへのアクセスが許可されます。また、IIS への匿名アクセスはローカルログオンと見なされることにも留意してください。このため、INTERACTIVE がアクセスできるリソースが IIS VRoot 経由で公開されると、匿名の Web ユーザーがこれらのリソースにアクセスできるようになります。 | |
|
|
|
|
|
| Everyone | ローカルに、またはネットワークか RAS 経由でコンピュータにアクセスするすべてのユーザー。これには、認証されているユーザーと認証されていないユーザーがすべて含まれます。 | このアカウントには、リソースへのアクセス許可やユーザー権利を割り当てないでください。必要に応じて、Authenticated Users または特定のユーザーアカウントおよびグループを使用します。 注 : このグループは、システムで認証されないダウンレベルのクライアントをサポートする一部の状況で必要となります。 | |
|
|
|
|
|
| TERMINAL SERVER USER | なし | ターミナルサービスのユーザーがシステムに対話的に接続する際に、通常ではそれらのユーザーに与えられないアクセス許可を提供するために使用します。ほとんどの場合、Users グループを使用する方が簡単です。 | |
|
|
| ユーザー アカウントの変更 | ドメイン ワークステーション | ドメイン ラップトップ | ドメイン コントローラ | ドメイン サーバー | スタンドアロン ワークステーション | スタンドアロン サーバー | ||
|---|---|---|---|---|---|---|---|---|
| ローカル ユーザー アカウント | 説明 | 変更/確認 | ||||||
| Administrator | コンピュータ/ドメインを管理するためのビルトインアカウント | 日常の管理にはこのアカウントを使用しないでください。管理者には、電子メールを読むなどの日常業務に使用するアカウントと、管理業務用のアカウントを割り当てます。セキュリティ上の理由から、電子メール関連の操作には管理用アカウントを使用しないでください。 | |
|
|
|
|
|
| Guest | コンピュータ/ドメインへのゲストアクセスに使用されるビルトインアカウント | このアカウントは無効にしてください。 | |
|
|
|
|
|
| TsInternetUser | ターミナルサービスが使用するユーザーアカウント。このアカウントは、ターミナルサービスのインターネットコネクタライセンスが使用するもので、Windows 2000 Server で利用できます。インターネットコネクタライセンスが有効になっている場合、Windows 2000 ベースのサーバーは匿名のみの接続を 200 件まで受け付けます。ターミナルサービスのクライアントは、ログオンダイアログボックスでログオンを要求されるのではなく、TsInternetUser アカウントを使って自動的にログオンされます。 | このアカウントは、他の匿名アカウントと同様に扱います。 ドメイン コントローラでは匿名アカウントの使用を許可しないでください。 | |
|
|
|
|
ファイル システムを保護する
Windows 2000 では、アクセス許可の集合とも呼ばれる随意アクセス制御リスト (DACL) を使用してファイルを保護することができます。Service Pack 3 が適用された後の既定のファイルおよびディレクトリのアクセス許可のセットは、ほとんどのアプリケーション環境で妥当な水準のセキュリティを実現します。ただし、一部の DACL をこれらの既定よりも強化することができます。ファイルとディレクトリの既定のアクセス許可は、オペレーティングシステムのインストール時に "setup security.inf" というセキュリティテンプレートファイルを通じて適用されます。このテンプレートファイルは、"そのまま使える既定のセキュリティ設定" を含んでいると説明されています。
セキュリティをさらに強化するには、オペレーティングシステムをインストールし、最新のサービスパックおよびそのサービスパック以降に発行されたすべてのパッチでオペレーティングシステムを更新した直後に、下の表で推奨されているようにファイル、ディレクトリ、またはサブディレクトリのアクセス許可を変更することを検討してください。Windows 2000 の継承機能を使用して、ディレクトリツリーのできるだけ上位でアクセス許可を設定します。これによって、アクセス許可の管理が大幅に簡素化されます。以下で推奨されているアクセス許可の変更は、すべての Windows 2000 オペレーティングシステムに当てはまります。ドメイン内のすべての Windows 2000 プラットフォームまたは Windows 2000 プラットフォームのグループでアクセス許可を実装するには、グループポリシーを使用します。アクセス許可は、ドメインレベルではなく OU レベルで設定する方が適切です。OU なら、特定のセキュリティ要件を持つすべてのコンピュータを含めるように構築するのも簡単です。個々の Windows 2000 コンピュータでのローカルなアクセス許可は、セキュリティ構成エディタのインターフェイスに含まれているテンプレートを使って設定できます。
ドメイン ポリシーによってアクセス許可を設定する
ドメインに対してファイルまたはフォルダのアクセス許可ポリシーを設定します。ドメインコントローラに対してファイルまたはフォルダのアクセス許可ポリシーを設定します。
適切なグループポリシーオブジェクトを開きます。
[セキュリティの設定] を展開します。
[セキュリティの設定] 内の [ファイルシステム] を右クリックします。
[ファイルの追加] を選択します。
[ファイルまたはフォルダを追加します] ウィンドウから、目的のファイルまたはフォルダまで移動し、それを選択します。
.gif)
[OK] をクリックします。[データベース セキュリティ - <パス\ファイル名>] というラベルの付いたウィンドウが表示されます。
.gif)
必要に応じてアクセス許可を設定します。ファイルおよびフォルダのアクセス許可の設定は、表 4.12 に示されています。
.gif){kind=link}
.gif){kind=link}
セキュリティ構成エディタからローカルにアクセス許可を設定する
スタンドアロンシステムで、またはローカルに同じアクセス許可を繰り返し設定するには、セキュリティ構成エディタツールを使うのが最も簡単です。次に示す手順では、新たに追加されたドライブのルートでアクセス許可を定義および設定する方法を示します。
[スタート]、[ファイル名を指定して実行] の順にクリックして「MMC」と入力することで、Microsoft 管理コンソールを開きます。
[コンソール] の [スナップインの追加と削除] をクリックし、[追加] をクリックします。
[セキュリティの構成と分析] および [セキュリティテンプレート] をダブルクリックし、[閉じる] をクリックします。[OK] をクリックします。必要であればコンソールを保存します。
[セキュリティテンプレート] ノードを展開し、[新しいテンプレート] を選択します。新しいテンプレートに判別しやすい名前を付けて保存します。
.gif)
新しいテンプレートを展開すると、[ファイルシステム] ノードが表示されます。
[ファイルシステム] を右クリックし、[ファイルの追加] を選択します。新しいドライブ (この例では D:) を選択します。
次の図のように、アクセス許可を設定します。
.gif)
[OK] をクリックしてすべてのダイアログボックスを閉じます。新しいテンプレートを右クリックし、[保存] をクリックします。
[セキュリティの構成と分析] を右クリックし、[データベースを開く] を選択します。
任意のデータベース名を入力し、[OK] をクリックします。
既存のデータベースを開く場合は、次のダイアログボックスで必ず [インポートする前にこのデータベースをクリアする] チェックボックスをオンにします。先ほど作成した新しいテンプレートを選択し、[開く] をクリックします。
.gif)
[セキュリティの構成と分析] を右クリックし、[コンピュータの構成] を選択します。エラーログのパスを選択します (既定のパスでかまいません)。
これで、Windows エクスプローラの標準 ACL エディタでアクセス許可を検証できるようになりました。ただし、これらの ACL は今後のために保存するか、別のシステムに適用することができます。
.gif){kind=link}
.gif){kind=link}
表 4.12 ファイルとフォルダのアクセス許可の設定
| ファイルとフォルダ | DACL の設定 | 継承方法 (セキュリティポリシーツールから設定) | ドメイン ワークステーション | ドメイン ラップトップ | ドメイン コントローラ | ドメイン サーバー | スタンドアロン ワークステーション | スタンドアロン サーバー |
|---|---|---|---|---|---|---|---|---|
| %SystemDrive% 注 : Windows 2000 オペレーティングシステムがインストールされているドライブ 注 : これらのアクセス許可は、その他すべての非リムーバブルドライブにも適用する必要があります。 これらのアクセス許可がすべてのドライブのルートに設定されていれば、ユーザーはフォルダ、およびその中のファイルを作成できますが、ユーザー自身が作成していないドライブ上のファイルやフォルダは変更できません。Everyone の使用にも注意してください。システムへの匿名アクセスは制限されているため、Everyone は、Guest アカウントが無効である限り、認証されているユーザーと同等になります。 | Administrators : フルコントロール CREATOR OWNER : フルコントロール (サブフォルダとファイル) SYSTEM : フルコントロール Users : 読み取りと実行 (このフォルダ、サブフォルダ、およびファイル) Users : フォルダの作成/データの追加 (このフォルダとサブフォルダ) Users : ファイルの作成/データの書き込み (サブフォルダのみ) Everyone : 読み取りと実行 | 継承 | |
|
|
|
|
|
| レジストリキー | サブキーの DACL 設定 | 継承方法 | ドメイン ワークステーション | ドメイン ラップトップ | ドメイン コントローラ | ドメイン サーバー | スタンドアロン ワークステーション | スタンドアロン サーバー |
|---|---|---|---|---|---|---|---|---|
| \SOFTWARE\Microsoft\Windows NT\CurrentVersion |
|
置換 | |
|
||||
| \SOFTWARE\Microsoft\Windows NT\CurrentVersion |
|
置換 | |
|||||
| \SOFTWARE\Microsoft\Windows NT\CurrentVersion |
|
置換 | |
|
|
|||
| \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
|
置換 | |
|||||
| \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
|
置換 | |
|
|
|
|
|
| 残りの設定では、明示的な DACL を持つ複数のサブキーで既定の DACL をリセットします。これらの設定を行わない場合は、上で行った変更によってこれらの設定が変更されます。 | ||||||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\ProfileList |
|
このキーではアクセス許可の置換を許可しないでください。 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\AEDebug |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Accessibility |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\AsrCommands |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Classes |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\EFS |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\FontMapper |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Font Drivers |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Windows |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Time Zones |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Svchost |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\SecEdit |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Perflib |
|
置換 | |
|
|
|
|
|
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\ProfileList |
|
このキーではアクセス許可の置換を許可しないでください。 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\AEDebug |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Accessibility |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\AsrCommands |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Classes |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\EFS |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\FontMapper |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Font Drivers |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Windows |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Time Zones |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Svchost |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\SecEdit |
|
置換 | |
|||||
| HKLM\System\Software\Microsoft\Windows NT\CurrentVersion\Perflib |
|
置換 | |