マイクロソフトの Securing Windows 2000 Server ソリューション: 付録 B ‐ レジストリのアクセス制御の変更
付録 B ‐ レジストリのアクセス制御の変更
Microsoft Windows 2000 Server のレジストリに適用される既定のアクセス許可 (アクセス制御リスト (ACL) とも呼ばれる) は、Microsoft Windows NT Version 4.0 のものよりも大幅に安全になっています。このアクセス許可を、アプリケーションの互換性の問題が発生するリスクを増大させることなく、さらに厳格にすることができます。Member Server Baseline Policy (MSBP) は、hisecws.inf で定義されているレジストリの ACL を変更しません。この ACL では、認証されていないユーザー、Users、Power Users がレジストリに対して持つアクセス許可のレベルを制限しています。次のような変更によって、管理者権限よりも低いアクセス許可を持つ攻撃者がレジストリに対して望ましくない変更を加えることが非常に難しくなります。
重要 : 既存の ACL を変更する前に、環境内で十分なテストを行う必要があります。
hisecws.inf で定義されている ACL は、主に、Windows NT 4.0 ベースの環境との下位互換性を維持するために既定で作成される Power Users グループを変更します。このテンプレートは、Power Users グループが Windows 2000 の Users グループと同じアクセス許可を持つようにします。
注 : Power Users グループは、ドメイン コントローラでは定義されません。
表 1 レジストリのアクセス制御の変更
| セキュリティで保護されるキー | 適用されるアクセス許可 | 継承し構成 | 上書きで構成 | 上書きしない | 継承 |
|---|---|---|---|---|---|
| HKLM\Software | Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\Software\Classes | Everyone: 読み取り | ○ | |||
| HKLM\SOFTWARE\Microsoft\ NetDDE |
Administrators: フル コントロール Creator/Owner: フル コントロール System: フル コントロール |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Protected Storage System Provider |
なし | ○ | ○ | ||
| HKLM\SOFTWARE\Microsoft\ Secure |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ SystemCertificates |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion |
Everyone: 読み取り | ○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Accessibility |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ AEDebug |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ AsrCommands |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り Backup Operators: 特殊なアクセス許可 (読み取りと書き込み) |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Classes |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Drivers32 |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ EFS |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Font Drivers |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ FontMapper |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ IniFileMapping |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Perflib |
Administrators: フル コントロール Creator/Owner: フル コントロール Interactive: 読み取り System: フル コントロール |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Perflib\009 |
なし | ○ | ○ | ||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ ProfileList |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ SecEdit |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Setup\RecoveryConsole |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Svchost |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Time Zones |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Windows |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon |
Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\ Group Policy |
なし | ○ | ○ | ||
| HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\ Installer |
なし | ○ | ○ | ||
| HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\ Policies |
なし | ○ | ○ | ||
| HKLM\System | Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| HKLM\SYSTEM\Clone | なし | ○ | ○ | ||
| HKLM\SYSTEM\ControlSet001 | なし | ○ | ○ | ||
| HKLM\SYSTEM\ControlSet002 | なし | ○ | ○ | ||
| HKLM\SYSTEM\ControlSet003 | なし | ○ | ○ | ||
| HKLM\SYSTEM\ControlSet004 | なし | ○ | ○ | ||
| HKLM\SYSTEM\ControlSet005 | なし | ○ | ○ | ||
| HKLM\SYSTEM\ControlSet006 | なし | ○ | ○ | ||
| HKLM\SYSTEM\ControlSet007 | なし | ○ | ○ | ||
| HKLM\SYSTEM\ControlSet008 | なし | ○ | ○ | ||
| HKLM\SYSTEM\ControlSet009 | なし | ○ | ○ | ||
| HKLM\SYSTEM\ControlSet010 | なし | ○ | ○ | ||
| HKLM\SYSTEM\CurrentControlSet\ Control\Computername |
Everyone: 読み取り | ○ | |||
| HKLM\SYSTEM\CurrentControlSet\ Control\ContentIndex |
Everyone: 読み取り | ○ | |||
| HKLM\SYSTEM\CurrentControlSet\ Control\Keyboard Layout |
Everyone: 読み取り | ○ | |||
| HKLM\SYSTEM\CurrentControlSet\ Control\Keyboard Layouts |
Everyone: 読み取り | ○ | |||
| HKLM\SYSTEM\CurrentControlSet\ Control\Print\Printers |
Everyone: 読み取り | ○ | |||
| HKLM\SYSTEM\CurrentControlSet\ Control\ProductOptions |
Everyone: 読み取り | ○ | |||
| HKLM\SYSTEM\CurrentControlSet\ Control\SecurePipeServers\winreg |
Administrators: フル コントロール Backup Operators: 読み取り |
○ | |||
| HKLM\SYSTEM\CurrentControlSet\ Control\WMI\Security |
Administrators: 読み取り Creator Owner: フル コントロール System: フル コントロール |
○ | |||
| HKLM\SYSTEM\CurrentControlSet\ Enum |
なし | ○ | ○ | ||
| HKLM\SYSTEM\CurrentControlSet\ Hardware Profiles |
なし | ○ | ○ | ||
| HKLM\SYSTEM\CurrentControlSet\ Services\EventLog |
Everyone: 読み取り | ○ | ○ | ||
| HKLM\SYSTEM\CurrentControlSet\ Services\Tcpip |
Everyone: 読み取り | ○ | ○ | ||
| USERS\. DEFAULT | Administrators: フル コントロール Creator/Owner: フル コントロール Power Users: 読み取り System: フル コントロール Users: 読み取り |
○ | |||
| USERS\. DEFAULT\Software\ Microsoft\NetDDE |
Administrators: フル コントロール Creator/Owner: フル コントロール System: フル コントロール |
○ | |||
| USERS\. DEFAULT\SOFTWARE\ Microsoft\Protected Storage System Provider |
○ | ○ |
目次
付録 B ‐ レジストリのアクセス制御の変更
付録 E ‐ セキュリティで保護された LDAP および SMTP 複製を行うためのドメイン コントローラでのデジタル証明書の構成