Microsoft Windows 2000 セキュリティ構成ガイド
最終更新日: 2003年2月18日
Windows 20000 既定のセキュリティ ポリシーの設定
| セキュリティの設定 | ローカル セキュリティ ポリシー (Professional および Server/Adv. Server) | ドメイン コントローラ セキュリティ ポリシー | ドメイン セキュリティ ポリシー |
|---|---|---|---|
| アカウント ポリシー | |||
| パスワード ポリシー | |||
| パスワードの履歴を記録する | パスワードを記憶しない | 未定義 | パスワードを 1 つ記憶する |
| パスワードの有効期間 | 42 日 | 未定義 | 42 日 |
| パスワードの変更禁止期間 | 0 日 | 未定義 | 0 日 |
| パスワードの長さ | 0 文字 | 未定義 | 0 文字 |
| パスワードは要求する複雑さを満たす | 無効 | 未定義 | 無効 |
| 暗号化を元に戻せる状態でドメインのすべてのユーザーのパスワードを保存する | 無効 | 未定義 | 無効 |
| アカウント ロックアウト ポリシー | |||
| ロックアウト期間 | 未定義 | 未定義 | 未定義 |
| アカウントのロックアウトのしきい値 | 無効なログインの試みなし | 未定義 | 無効なログインの試みなし |
| ロックアウト カウントのリセット | 未定義 | 未定義 | 未定義 |
| Kerberos ポリシー | (ポリシー利用不可) | ||
| ユーザー ログオンの制限を強制する | (利用不可) (ローカル既定値は有効) | 未定義 | 有効 |
| サービス チケットの最長有効期間 | (利用不可) (ローカル既定値は 60 分) | 未定義 | 600 分 |
| チケットの最長有効期間 | (利用不可) (ローカル既定値は 7 時間) | 未定義 | 10 時間 |
| ユーザー チケットを更新できる最長有効期間 | (利用不可) (ローカル既定値は 10 日) | 未定義 | 7 日 |
| コンピュータの時計の同期の最長トレランス | (利用不可) (ローカル既定値は 60 分) | 未定義 | 5 分 |
| ローカル ポリシー | |||
| 監査ポリシー | |||
| アカウント ログオン イベントの監査 | 監査しない | 監査しない | 未定義 |
| アカウント管理の監査 | 監査しない | 監査しない | 未定義 |
| ディレクトリ サービスのアクセスの監査 | 監査しない | 監査しない | 未定義 |
| ログオン イベントの監査 | 監査しない | 監査しない | 未定義 |
| オブジェクト アクセスの監査 | 監査しない | 監査しない | 未定義 |
| ポリシーの変更の監査 | 監査しない | 監査しない | 未定義 |
| 特権使用の監査 | 監査しない | 監査しない | 未定義 |
| プロセス追跡の監査 | 監査しない | 監査しない | 未定義 |
| システム イベントの監査 | 監査しない | 監査しない | 未定義 |
| ユーザー権利の割り当て | |||
| ネットワーク経由でコンピュータへアクセス | Administrators Backup Operators Power Users Users Everyone | Administrators Authenticated Users Everyone IUSR_W2K-コンピュータ名 IWAM_W2K-コンピュータ名 | 未定義 |
| ペレーティング システムの一部として機能 | (空) | (空) | 未定義 |
| ドメインにワークステーションを追加 | (空) | Authenticated Users | 未定義 |
| ファイルとディレクトリのバックアップ | Administrators Backup Operators | Administrators Backup Operators Server Operators | 未定義 |
| 走査チェックのバイパス | Administrators Backup Operators Power Users Users Everyone | Administrators Authenticated Users Everyone | 未定義 |
| システム時刻の変更 | Administrators Power Users | Administrators Server Operators | 未定義 |
| ページ ファイルの作成 | Administrators | Administrators | 未定義 |
| トークン オブジェクトの作成 | (空) | (空) | 未定義 |
| 永続的共有オブジェクトの作成 | (空) | (空) | 未定義 |
| プログラムのデバッグ | Administrators | Administrators | 未定義 |
| ネットワーク経由でコンピュータへアクセスを拒否する | (空) | (空) | 未定義 |
| バッチ ジョブとしてログオンを拒否する | (空) | (空) | 未定義 |
| サービスとしてログオンを拒否する | (空) | (空) | 未定義 |
| ローカルでログオンを拒否する | (空) | (空) | 未定義 |
| コンピュータとユーザー アカウントに委任時の信頼を付与 | (空) | Administrators | 未定義 |
| リモートコンピュータからの強制シャットダウン | Administrators | Administrators Server Operators | 未定義 |
| セキュリティ監査の生成 | (空) | (空) | 未定義 |
| クォータの増加 | Administrators | Administrators | 未定義 |
| スケジューリング優先順位の繰り上げ | Administrators | Administrators | 未定義 |
| デバイス ドライバのロードとアンロード | Administrators | Administrators | 未定義 |
| メモリ内のページのロック | (空) | (空) | 未定義 |
| バッチ ジョブとしてログオン | (空) | IUSR_W2K-コンピュータ名 IWAM_W2K-コンピュータ名 | 未定義 |
| サービスとしてログオン | (空) | (空) | 未定義 |
| ローカル ログオン | Administrators Backup Operators Power Users Users コンピュータ名/Guest コンピュータ名/TsInternetUser (Server/Adv. Server のみ) | Administrators Authenticated Users Backup Operators IUSR_W2K-コンピュータ名 Print Operators Server Operators TsInternetUser | 未定義 |
| 監査とセキュリティ ログの管理 | Administrators | Administrators | 未定義 |
| ファームウェア環境値の修正 | Administrators | Administrators | 未定義 |
| 単一プロセスのプロファイル | Administrators Backup Operators | Administrators | 未定義 |
| システム パフォーマンスのプロファイル | Administrators | Administrators | 未定義 |
| ドッキング ステーションからコンピュータを削除 | Administrators Backup Operators Users | Administrators | 未定義 |
| プロセス レベル トークンの置き換え | (空) | (空) | 未定義 |
| ファイルとディレクトリの復元 | Administrators Backup Operators | Administrators Backup Operators Server Operators | 未定義 |
| システムのシャットダウン | Administrators Backup Operators Power Users Users (Professional のみ) | Account Operators Administrators Backup Operators Print Operators Server Operators | 未定義 |
| ディレクトリ サービス データの同期化 | (空) | (空) | 未定義 |
| ファイルとその他のオブジェクトの所有権の取得 | Administrators | Administrators | 未定義 |
| セキュリティ オプション | |||
| 匿名接続の追加を制限する | なし。既定のアクセス許可に依存。 | 未定義 | 未定義 |
| サーバー オペレータがタスクのスケジュールを割り当てるのを許可する (ドメイン コントローラのみ) | 未定義 | 未定義 | 未定義 |
| システムをシャットダウンするのにログオンを必要としない | 有効 (Professional のみ) 無効 (Server/Adv. Server のみ) | 未定義 | 未定義 |
| リムーバブル NTFS メディアを取り出すのを許可する | Administrators | 未定義 | 未定義 |
| セッションを切断する前に、ある一定のアイドル時間を必要とする | 15 分 | 未定義 | 未定義 |
| グローバル システム オブジェクトへのアクセスを監査する | 無効 | 未定義 | 未定義 |
| バックアップと復元の特権の使用を監査する | 無効 | 未定義 | 未定義 |
| ログオン時間を経過した場合は自動的にユーザーをログオフする | (スタンドアロンの Professional、Server、または Advanced Server ではこのオプションは利用不可) | 未定義 | 無効 |
| ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル) | 有効 | 未定義 | 未定義 |
| システムのシャットダウン時に仮想メモリのページ ファイルをクリアする | 無効 | 未定義 | 未定義 |
| 常にクライアント側の通信にデジタル署名を行う | 無効 | 未定義 | 未定義 |
| 可能な場合、クライアントの通信にデジタル署名を行う | 有効 | 未定義 | 未定義 |
| 常にサーバーの通信にデジタル署名を行う | 無効 | 未定義 | 未定義 |
| 可能な場合、サーバーの通信にデジタル署名を行う | 無効 | 有効 | 未定義 |
| ログオンに Ctrl+Alt+Del を必要としない | 未定義 (Professional のみ) 無効 (Server/Adv. Server のみ) | 未定義 | 未定義 |
| ログオン画面に最後のユーザー名を表示しない | 無効 | 未定義 | 未定義 |
| LAN Manager 認証レベル | LM & NTLM 応答の送信 | 未定義 | 未定義 |
| ログオン時のユーザーへのメッセージのテキスト | (空) | 未定義 | 未定義 |
| ログオン時のユーザーへのメッセージのタイトル | (空) | 未定義 | 未定義 |
| ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 | 10 ログオン | 未定義 | 未定義 |
| コンピュータ アカウント パスワードのシステム保守をしない | 無効 | 未定義 | 未定義 |
| ユーザーがプリンタ ドライバをインストールできないようにする | 無効 (Professional のみ) 有効 (Server/Adv. Server のみ) | 未定義 | 未定義 |
| パスワードが無効になる前にユーザーに変更を促す | 14 日 | 未定義 | 未定義 |
| 回復コンソール: 自動管理ログオンを許可する | 無効 | 未定義 | 未定義 |
| 回復コンソール: すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する | 無効 | 未定義 | 未定義 |
| Administrator アカウント名の変更 | 未定義 | 未定義 | 未定義 |
| Guest アカウント名の変更 | 未定義 | 未定義 | 未定義 |
| CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する | 無効 | 未定義 | 未定義 |
| フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する | 無効 | 未定義 | 未定義 |
| セキュリティで保護されたチャネル: 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する | 無効 | 未定義 | 未定義 |
| セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化または署名する | 有効 | 未定義 | 未定義 |
| セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する | 有効 | 未定義 | 未定義 |
| セキュリティで保護されたチャネル: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする | 無効 | 未定義 | 未定義 |
| システム パーティションの保護 (RISC プラットフォームのみ) | (スタンドアロンの Professional、Server、または Advanced Server ではこのオプションは利用不可) | 未定義 | 未定義 |
| サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する | 無効 | 未定義 | 未定義 |
| セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする | 無効 | 未定義 | 未定義 |
| スマート カード取り出し時の動作 | 無動作 | 未定義 | 未定義 |
| グローバル システム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク) | 有効 | 未定義 | 未定義 |
| 署名されていないドライバのインストール時の動作 | 未定義 | 未定義 | 未定義 |
| 署名されていないドライバ以外のインストール時の動作 | 未定義 | 未定義 | 未定義 |
| イベント ログ | |||
| イベント ログの設定 | イベント ビューアにおけるログ プロパティの設定 | ||
| アプリケーション ログの最大サイズ | 512 Kb | 未定義 | 未定義 |
| セキュリティ ログの最大サイズ | 512 Kb | 未定義 | 未定義 |
| システム ログの最大サイズ | 512 Kb | 未定義 | 未定義 |
| アプリケーション ログのゲスト アクセスの制限 | (利用不可) | 未定義 | 未定義 |
| セキュリティ ログのゲスト アクセスの制限 | (利用不可) | 未定義 | 未定義 |
| システム ログのゲスト アクセスの制限 | (利用不可) | 未定義 | 未定義 |
| アプリケーション ログの保存日数 | 7 日を超えたイベントを上書きする | 未定義 | 未定義 |
| セキュリティ ログの保存日数 | 7 日を超えたイベントを上書きする | 未定義 | 未定義 |
| システム ログの保存日数 | 7 日を超えたイベントを上書きする | 未定義 | 未定義 |
| アプリケーション ログの保存方法 | 7 日を超えたイベントを上書きする | 未定義 | 未定義 |
| セキュリティ ログの保存方法 | 7 日を超えたイベントを上書きする | 未定義 | 未定義 |
| システム ログの保存方法 | 7 日を超えたイベントを上書きする | 未定義 | 未定義 |
| セキュリティの監査ログがいっぱいになったら、コンピュータをシャットダウンする | (利用不可) | 未定義 | 未定義 |