脅威とその対策

脅威とその対策

公開日: 2006年8月14日

ダウンロード

『脅威とその対策ガイド』のダウンロード

ユーザー権利により、ユーザーはコンピュータ上またはドメイン上のタスクの実行を許可されます。ユーザー権利には、ログオンの権利特権があります。ログオンの権利では、コンピュータにログオンする権限のあるユーザーとログオン方法を設定します。特権では、コンピュータおよびドメイン リソースへのアクセスを制御したり、特定のオブジェクトに設定されているアクセス許可を変更したりできます。

ログオンの権利の例としては、コンピュータにローカルでログオンする権利があります。特権の例としては、コンピュータをシャット ダウンする権利があります。これら 2 種類のユーザー権利は、管理者によって、コンピュータのセキュリティ設定の一部として個々のユーザーまたはグループに割り当てられます。この章で説明している設定の概要については、このガイドに付属の Microsoft® Excel® ブック「Windows Default Security and Services Configuration」を参照してください。このブックでは、既定のユーザー権利の割り当て設定について説明しています。

: IIS (Internet Information Services) では、サーバーが使用するビルトイン アカウントに割り当てられる特定のユーザー権利が必要です。この章のユーザー権利の割り当て設定では、IIS がどの権利を必要とするかを指定します。これらの要件の詳細については、https://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx の「IIS and Built-In Accounts (IIS 6.0)」(英語情報) リストを参照してください。

トピック

ユーザー権利の割り当ての設定 関連情報

ユーザー権利の割り当ての設定

ユーザー権利の割り当ての設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て

ネットワーク経由でコンピュータへアクセス

このポリシー設定は、ユーザーにネットワークからコンピュータへの接続を許可するかどうかを決定します。この権利は、サーバー メッセージ ブロック (SMB) ベースのプロトコル、NetBIOS、CIFS (Common Internet File System)、および COM+ (Component Object Model Plus) などのさまざまなネットワーク プロトコルに必要です。

[ネットワーク経由でコンピュータへアクセス] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

自分のコンピュータからネットワークに接続できるユーザーは、アクセス許可が与えられているコンピュータ上のリソースにアクセスできます。たとえば、ユーザーが共有プリンタや共有フォルダに接続する場合には、[ネットワーク経由でコンピュータへアクセス] ユーザー権利が必要です。Everyone グループにこの権利が与えられていて、同一のグループが読み取りアクセス権を持てるよう、いくつかの共有フォルダに共有と NTFS ファイル システム (NTFS) のアクセス許可が設定されている場合、グループ内の誰でもそれらの共有フォルダ内のファイルを見ることができます。ただし、Microsoft Windows Server™ 2003 SP1 を新規インストールする場合には、このような状況は起こりません。Windows Server 2003 では、Everyone グループに既定で共有および NTFS アクセス許可が与えられていないからです。コンピュータを Windows NT® 4.0 または Windows 2000 からアップグレードした場合、この脆弱性のリスクが高くなる可能性があります。これらのオペレーティング システムの既定のアクセス許可は、Windows Server 2003 の既定のアクセス許可ほど制限が厳しくないからです。

対策

[ネットワーク経由でコンピュータへアクセス] ユーザー権利を、サーバーにアクセスする必要があるユーザーのみに制限します。たとえば、このポリシー設定を Administrators グループと Users グループに設定すると、ローカルの User グループに Domain Users のメンバが含まれている場合、ドメインにログオンしたユーザーはドメイン内のサーバーの共有リソースにアクセスできます。

考えられる影響

ドメイン コントローラ上で [ネットワーク経由でコンピュータへアクセス] ユーザー権利をすべてのユーザーから削除すると、誰もドメインにログインしたり、ネットワーク リソースを使用したりできなくなります。メンバ サーバー上でこのユーザー権利を削除すると、ユーザーはネットワーク経由でそれらのサーバーに接続できなくなります。ASP.NET や IIS (Internet Information Services) などのオプション コンポーネントをインストールしている場合、これらのコンポーネントに必要な追加のアカウントにこのユーザー権利を割り当てる必要がある場合があります。許可されているユーザーに、ネットワークへのアクセスが必要なコンピュータに関して、この権利を確実に割り当てることが大切です。

オペレーティング システムの一部として機能

このポリシー設定は、プロセスによるユーザー ID の推測、およびそのユーザーがアクセスを許可されたリソースへのアクセスを許可するかどうかを決定します。一般に、このユーザー権利を必要とするのは低レベルの認証サービスだけです。ただし、アクセスできるのは、既定でユーザーにアクセスが許可されている場合のみとは限りません。呼び出しプロセスがアクセス トークンに任意の特権を追加するよう要求することもあります。さらに、呼び出しプロセスでは、システム イベント ログで監査するためのプライマリ ID が用意されていないアクセス トークンが構築されることもあります。

[オペレーティング システムの一部として機能] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[オペレーティング システムの一部として機能] ユーザー権利は非常に強力です。この権利を持つすべてのユーザーはコンピュータを完全に制御でき、実行した操作の証拠を抹消できます。

対策

[オペレーティング システムの一部として機能] ユーザー権利を与えるアカウントを、できるだけ少数に抑えます。通常は、Administrators グループにも割り当てるべきではありません。サービスにこのユーザー権利が必要な場合は、そのサービスを、この特権が最初から設定されているローカル システム アカウントを使用してログオンするように設定します。別途アカウントを作成し、このユーザー権利を割り当てることはしないでください。

考えられる影響

ローカル システム アカウント以外のアカウントでは、[オペレーティング システムの一部として機能] ユーザー権利を必要とすることはあまりないので、影響はほとんどないか、まったくありません。

ドメインにワークステーションを追加

このポリシー設定は、ユーザーに特定のドメインにコンピュータを追加することを許可するかどうかを決定します。この権利を有効にするには、少なくとも 1 つのドメイン コントローラに適用するように、この権利を割り当てる必要があります。このユーザー権利を与えられたユーザーは、最大 10 個のワークステーションをドメインに追加できます。組織単位 (OU) または Active Directory® の Computers コンテナに対する [コンピュータ オブジェクト作成] 権限を持つユーザーは、コンピュータをドメインに参加させることもできます。この権限を与えられているユーザーは、[ドメインにワークステーションを追加] ユーザー権利を持っているかどうかに関係なく、ドメインにコンピュータを無制限に追加できます。

[ドメインにワークステーションを追加] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[ドメインにワークステーションを追加] ユーザー権利の脆弱性は中程度です。この権利を持つユーザーは、組織のセキュリティ ポリシーに違反するような構成のドメインにコンピュータを追加することができます。たとえば、組織でユーザーにコンピュータの管理者特権を与えないようにしていても、ユーザーは自分のコンピュータに Windows をインストールして、そのコンピュータをドメインに追加できます。ユーザーがローカル管理者アカウントのパスワードを知っていて、そのアカウントでログオンし、自分のドメイン アカウントをローカルの Administrators グループに追加する可能性もあります。

対策

[ドメインにワークステーションを追加] 設定を、情報技術 (IT) チームの許可されたメンバのみがコンピュータをドメインに追加できるように構成します。

考えられる影響

ユーザーが自分のコンピュータをセットアップしてドメインに追加することを一切許可していない組織では、この対策による影響はありません。一部またはすべてのユーザーに自分のコンピュータを構成することを許可している組織では、そうした手順を今後も実施するための正式なプロセスを確立することが必要になります。既存のコンピュータの場合、それらをドメインから削除して、再度追加しない限り、この対策による影響はありません。

プロセスのメモリ クォータの増加

このポリシー設定は、ユーザーにプロセスで使用できる最大メモリを調整することを許可するかどうかを決定します。この権利は、コンピュータの調整に役立ちますが、悪用されるおそれがあります。たとえば、サービス拒否 (DoS) 攻撃に利用される可能性もあります。

[プロセスのメモリ クォータの増加] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[プロセスのメモリ クォータの増加] 特権を持つユーザーは、プロセスで使用可能なメモリ サイズを減らすことができますが、ビジネスクリティカルなネットワーク アプリケーションの実行速度が遅くなったり、実行できなくなったりすることがあります。

対策

[プロセスのメモリ クォータの増加] ユーザー権利を、ジョブを実行するためにこの権利を必要としているユーザーのみに与えます。たとえば、データベース管理システムの保守を担当するアプリケーション管理者や、組織のディレクトリおよび組織のディレクトリがサポートしているインフラストラクチャの管理を担当するドメイン管理者などです。

考えられる影響

ユーザーに役割を割り当てる際に与える特権を制限していなかった組織にとっては、この対策の実施は困難なことかもしれません。また、ASP.NET や IIS などのオプション コンポーネントをインストールしている場合、[プロセスのメモリ クォータの増加] ユーザー権利を、これらのコンポーネントに必要な追加のアカウントに割り当てる必要がある場合があります。IIS では、この特権を IWAM_<コンピュータ名> アカウント、ネットワーク サービス アカウント、およびサービス アカウントに明示的に割り当てる必要があります。そうでなければ、この対策はほとんどのコンピュータに影響を与えません。ユーザー アカウントにこのユーザー権利が必要な場合、ドメイン アカウントではなくローカル コンピュータ アカウントに割り当てることができます。

ローカル ログオンを許可する

このポリシー設定は、ユーザーにコンピュータで対話型セッションを開始することを許可するかどうかを決定します。この権利を持っていないユーザーでも、[ターミナル サービスを使ったログオンを許可する] 権利を持っている場合は、コンピュータで対話型リモート セッションを開始できます。

[ローカル ログオンを許可する] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[ローカル ログオンを許可する] ユーザー権利を持つアカウントを使用すると、コンピュータのコンソールでログオンできます。このユーザー権利をコンピュータのコンソールにログオンする必要がある正規ユーザーのみに与えるようにしないと、許可されていないユーザーが悪意のあるコードをダウンロードして実行し、自分の特権を昇格させる可能性があります。

対策

ドメイン コントローラでは、[ローカル ログオンを許可する] ユーザー権利を Administrators グループのみに許可します。その他のサーバーの役割では、Backup OperatorsPower Users にも許可してかまいません。エンドユーザー コンピュータでは、この権利を Users グループにも与える必要があります。

あるいは、Account OperatorsServer OperatorsGuests などのグループに [ローカルでログオンを拒否する] ユーザー権利を割り当てることもできます。

考えられる影響

これらの既定のグループを削除すると、環境内で特定の管理役割に割り当てられているユーザーの権限が制限される可能性があります。ASP.NET や IIS (Internet Information Services) などのオプション コンポーネントをインストールしている場合、これらのコンポーネントに必要な追加のアカウントに [ローカル ログオンを許可する] ユーザー権利を割り当てる必要がある場合があります。IIS では、このユーザー権利を、IUSR_<コンピュータ名> アカウントに割り当てる必要があります。委任されているアクティビティが悪影響を受けないことを確認してください。

ターミナル サービスを使ったログオンを許可する

このポリシー設定は、ユーザーにリモート デスクトップ接続を使ってコンピュータにログオンすることを許可するかどうかを決定します。このユーザー権利を追加ユーザーまたはグループに割り当てないようにしてください。その代わりに、Remote Desktop Users グループにユーザーを追加するかグループから削除して、コンピュータへのリモート デスクトップ接続を許可するユーザーを制御することをお勧めします。

[ターミナル サービスを使ったログオンを許可する] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[ターミナル サービスを使ったログオンを許可する] ユーザー権利を持つアカウントはすべて、コンピュータのリモート コンソールにログオンできます。このユーザー権利をコンピュータのコンソールにログオンする必要がある正規ユーザーのみに与えるようにしないと、許可されていないユーザーが悪意のあるコードをダウンロードして実行し、自分の特権を昇格させる可能性があります。

対策

ドメイン コントローラの場合、[ターミナル サービスを使ったログオンを許可する] ユーザー権利を Administrators グループのみに許可します。他のサーバーの役割とエンドユーザー コンピュータについては、Remote Desktop Users グループにも許可します。アプリケーション サーバー モードで実行されていないターミナル サーバーでは、コンピュータをリモート管理する必要がある、許可された IT 担当者だけがどちらかのグループに属するようにします。

警告 : アプリケーション サーバー モードで実行されているターミナル サーバーについては、サーバーにアクセスする必要のあるユーザーのみが Remote Desktop Users グループに属しているアカウントを持つようにしてください。このビルトイン グループには、既定でこのログオン権利が与えられているからです。

あるいは、Account OperatorsServer OperatorsGuests などのグループに [ターミナル サービスを使ったログオンを拒否する] ユーザー権利を与えることもできます。ただし、この方法では、[ターミナル サービスを使ったログオンを拒否する] ユーザー権利を持つグループに属している正規の管理者のアクセスを妨げる可能性があるので、注意が必要です。

考えられる影響

他のグループから [ターミナル サービスを使ったログオンを許可する] ユーザー権利を削除したり、これらの既定のグループのメンバシップを変更すると、環境内で特定の管理役割を実行しているユーザーの権利が制限される可能性があります。委任されているアクティビティが悪影響を受けないことを確認してください。

ファイルとディレクトリのバックアップ

このポリシー設定は、ファイルおよびディレクトリのアクセス許可とは無関係に、コンピュータをバックアップすることを、ユーザーに許可するかどうかを決定します。このユーザー権利は、アプリケーションが、NTBACKUP.EXE などのバックアップ ユーティリティを使用して、NTFS バックアップ アプリケーション プログラミング インターフェイス (API) を介したアクセスを試みる場合にのみ有効です。それ以外の場合は、通常のファイルおよびディレクトリのアクセス許可を適用します。

[ファイルとディレクトリのバックアップ] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

コンピュータからデータをバックアップできるユーザーは、バックアップ メディアを自分が管理者特権を持つ、ドメインに属していないコンピュータに移して、データを復元できます。また、ファイルの所有権を取得して、バックアップ セット内の暗号化されていない任意のデータを表示できます。

対策

[ファイルとディレクトリのバックアップ] ユーザー権利を、日常の担当業務の一環として組織データのバックアップを行う必要がある IT チームのメンバのみに与えるようにします。特定のサービス アカウントで実行されるバックアップ ソフトウェアを使用している場合、IT スタッフではなくこれらのアカウントだけに [ファイルとディレクトリのバックアップ] ユーザー権利を許可する必要があります。

考えられる影響

[ファイルとディレクトリのバックアップ] ユーザー権利を持つグループのメンバシップを変更すると、環境内で特定の管理役割に割り当てられているユーザーの権限が制限される可能性があります。許可されているバックアップ管理者がバックアップ操作を実行可能なことを確認してください。

走査チェックのバイパス

このポリシー設定は、ユーザーが NTFS ファイル システムまたはレジストリ内のオブジェクト パスを使用して移動する際、特別な "フォルダのスキャン" アクセス許可の有無を確認することなく、ユーザーにフォルダをスキャンすることを許可するかどうかを決定します。このユーザー権利を持っていても、ユーザーはフォルダをスキャンできるだけで、フォルダの内容を一覧表示することはできません。

[走査チェックのバイパス] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[走査チェックのバイパス] 設定の既定の構成では、誰でも走査チェックをバイパスできます。経験を積んだ Windows システム管理者であれば、ファイル システム アクセス制御リスト (ACL) を構成して対処できます。既定の構成で問題が起きるのは、アクセス許可を構成する管理者がこのポリシー設定の動作を理解していない場合です。たとえば、フォルダにアクセスできないユーザーは、そのフォルダのサブフォルダの内容にもアクセスできないと管理者が思い込んでいる場合があります。ただし、そのようなことは非常にまれなことなので、この脆弱性のリスクは非常に低いといえます。

対策

セキュリティに大きな不安を感じている組織の場合は、[走査チェックのバイパス] ユーザー権利を持つグループの一覧から Everyone グループを削除できます。また、Users グループを削除してもかまいません。走査割り当ての権利を明示的に制御するのは、機密情報へのアクセスを制御するのに大変有効な方法です (他に、Windows Server 2003 SP1 に追加された Access–based Enumeration 機能を使用することもできます。アクセスベースの列挙を使用すると、ユーザーがアクセス許可を持たないフォルダおよびファイルは表示されません。この機能の詳細については、https://www.microsoft.com/download/details.aspx?FamilyID=04A563D9-78D9-4342-A485-B030AC442084&displaylang=en (英語情報) を参照してください)。

考えられる影響

Windows オペレーティング システムおよび多くのアプリケーションでは、コンピュータに正規にアクセスできるユーザーがこのユーザー権利を持つことが想定されています。したがって、[走査チェックのバイパス] ユーザー権利の割り当てを変更する場合は、運用システムに適用する前に、変更を十分にテストすることをお勧めします。特に、IIS では、ネットワーク サービス、ローカル サービス、IIS_WPG、IUSR_<コンピュータ名>、および IWAM_<コンピュータ名> のアカウントに、このユーザー権利が必要です (また Users グループのメンバシップを通じて ASPNET アカウントに割り当てられる必要があります)。この設定は既定のままにしておくことをお勧めします。

システム時刻の変更

このポリシー設定は、ユーザーにコンピュータの内部時計の時刻を調整することを許可するかどうかを決定します。タイムゾーンや、その他のシステム時刻の表示方法の変更には、このユーザー権利は必要ありません。

[システム時刻の変更] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

コンピュータの時刻を変更できるユーザーが、問題を引き起こす可能性があります。イベント ログ エントリのタイム スタンプが不正確になる、作成または変更されたファイルやフォルダのタイム スタンプが不正確になる、ドメインに属しているコンピュータが、そのコンピュータ自体、またはそのコンピュータからドメインにログオンしようとするユーザーを認証できないなどの問題です。また、Kerberos 認証プロトコルでは、リクエスタとオーセンティケータが管理者によって定義された歪み時間の範囲内にクロックを同期する必要があるため、コンピュータの時刻を変更する攻撃者により、そのコンピュータが Kerberos チケットを取得または許可できなくなる可能性があります。

ただし、ほとんどのドメイン コントローラ、メンバ サーバー、およびエンドユーザー コンピュータでは、Windows Time サービスにより、次の方法で自動的にドメイン コントローラとの時刻の同期が取られるため、そのような事態によるリスクが緩和されます。

  • すべてのクライアント デスクトップ コンピュータおよびメンバ サーバーは、内部タイム パートナーとして認証ドメイン コントローラを使用します。

  • ドメイン内のすべてのドメイン コントローラが、プライマリ ドメイン コントローラ (PDC) エミュレータ操作マスタを受信時刻パートナーとして指定します。

  • すべての PDC エミュレータ操作マスタが、ドメインの階層に従って受信時刻パートナーを選択します。

  • ドメインのルートにある PDC エミュレータ操作マスタは、組織が信頼しているものです。したがって、このコンピュータを信頼できる外部タイム サーバーと同期するように構成することをお勧めします。

この脆弱性は、攻撃者がシステム時刻を変更して Windows Time サービスを停止したり、正確でないタイム サーバーと同期するように再構成したりできる場合には、非常に重大な問題になります。

対策

[システム時刻の変更] ユーザー権利を、IT チームのメンバなど、正当な理由に基づいてシステム時刻を変更する必要があるユーザーのみに与えます。

考えられる影響

ほとんどの組織では、ドメインに属しているすべてのコンピュータの時刻の同期処理は完全に自動化されるので、影響はありません。ドメインに属していないコンピュータは、外部ソースと同期するように構成する必要があります。

ページ ファイルの作成

このポリシー設定は、ユーザーにページ ファイルの作成およびサイズ変更を許可するかどうかを決定します。特に、ユーザーが、[システムのプロパティ] ダイアログ ボックスの [詳細設定] タブにある [パフォーマンス オプション] ボックスで、特定のドライブに対するページ ファイルのサイズを指定できるかどうかを決定します。

[ページ ファイルの作成] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

ユーザーがページ ファイルのサイズを変更できると、サイズを非常に小さくしたり、細かく断片化された記憶域ボリュームにファイルを移動したりして、コンピュータ パフォーマンスの低下を引き起こす可能性があります。

対策

[ページ ファイルの作成] ユーザー権利を、Administrators グループのメンバのみに与えます。

考えられる影響

なし。これは既定の構成です。

トークン オブジェクトの作成

このポリシー設定は、プロセスによるトークンの作成を許可するかどうかを決定します。プロセスは、NtCreateToken() または他のトークン作成 API を使用するときに、作成したトークンを使用してローカル リソースにアクセスできます。

[トークン オブジェクトの作成] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

オペレーティング システムでは、ユーザーのアクセス トークンを調べて、そのユーザーの特権レベルを判別します。アクセス トークンは、ユーザーがローカル コンピュータにログオンするとき、またはネットワーク経由でリモート コンピュータに接続するときに作成されます。特権を無効にすると、その変更は即座に記録されますが、ユーザーのアクセス トークンには、次回ユーザーがログオンまたは接続するまで変更が反映されません。トークンを作成または変更できるユーザーであれば、現在ログオンしているアカウントのアクセス レベルを変更できます。そのため、自分の特権を昇格させたり、DoS 状態に陥らせるおそれがあります。

対策

[トークン オブジェクトの作成] ユーザー権利をどのユーザーにも割り当てないようにします。このユーザー権利を必要とするプロセスでは、このユーザー権利が割り当てられた別のユーザー アカウントを使用するのではなく、あらかじめこのユーザー権利を持つシステム アカウントを使用する必要があります。

考えられる影響

なし。これは既定の構成です。

グローバル オブジェクトの作成

このポリシー設定は、ユーザーにすべてのセッションに使用できるグローバル オブジェクトの作成を許可するかどうかを決定します。このユーザー権利が割り当てられていないユーザーも、自分のセッションに固有のオブジェクトは作成できます。

[グローバル オブジェクトの作成] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

グローバル オブジェクトを作成できるユーザーは、他のユーザーのセッションで稼働しているプロセスに影響を及ぼす可能性があります。これにより、アプリケーションの障害やデータ破損などのさまざまな問題が発生する可能性があります。

対策

[グローバル オブジェクトの作成] ユーザー権利を、ローカルの Administrators グループおよび Service グループのメンバに与えます。

考えられる影響

なし。これは既定の構成です。

永続的共有オブジェクトの作成

このポリシー設定は、ユーザーにオブジェクト マネージャでディレクトリ オブジェクトを作成することを許可するかどうかを決定します。このユーザー権利を持つユーザーは、デバイス、セマフォ、ミューテックスなど、永続的共有オブジェクトを作成できます。このユーザー権利は、オブジェクトの名前空間を拡張するカーネルモードのコンポーネントで役立ちます。それらのコンポーネントには、あらかじめこのユーザー権利が設定されています。したがって、通常は、改めてこのユーザー権利を割り当てる必要はありません。

[永続的共有オブジェクトの作成] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[永続的共有オブジェクトの作成] ユーザー権利を持つユーザーは、新規の共有オブジェクトを作成して、機密性の高いデータをネットワーク上に公開できます。

対策

[永続的共有オブジェクトの作成] ユーザー権利をどのユーザーにも割り当てないようにします。このユーザー権利を必要とするプロセスでは、別のユーザー アカウントを使用するのではなく、あらかじめこのユーザー権利を持つシステム アカウントを使用する必要があります。

考えられる影響

なし。これは既定の構成です。

プログラムのデバッグ

このポリシー設定は、ユーザーが所有していないプロセスを含む任意のプロセスを開いたり、プロセスにアタッチしたりするのを、ユーザーに許可するかどうかを決定します。このユーザー権利により、機密性が高く、重要なオペレーティング システム コンポーネントにアクセスできます。

[プログラムのデバッグ] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[プログラムのデバッグ] ユーザー権利を悪用して、システム メモリから機密システム情報を盗んだり、カーネルやアプリケーション構造にアクセスして変更することが可能です。一部の攻撃ツールでは、このユーザー権利を悪用して、ハッシュされたパスワードおよびその他のプライベート セキュリティ情報を抽出したり、Rootkit コードの挿入を試みたりします。既定では、[プログラムのデバッグ] ユーザー権利は管理者のみに割り当てられるので、この脆弱性は軽減されます。

対策

[プログラムのデバッグ] ユーザー権利を、この権利を必要としないすべてのユーザーおよびグループから取り消します。

考えられる影響

このユーザー権利を取り消すと、誰もプログラムをデバッグできなくなります。ただし、通常の状況では、運用コンピュータでこの権利が必要になることはほとんどありません。運用サーバー上で一時的にアプリケーションのデバッグが必要になるような問題が発生した場合は、サーバーを別の OU に移動し、[プログラムのデバッグ] ユーザー権利をその OU の別のグループ ポリシーに割り当てます。

クラスタ サービスに使用されるサービス アカウントには [プログラムのデバッグ] 特権が必要で、これがないと、Windows Clustering は失敗します。コンピュータの強化に併せて Windows Clustering を構成する方法の詳細については、マイクロソフト サポート技術情報の記事 891597 https://support.microsoft.com/default.aspx?scid=891597 の「Windows Server 2003 ベースのクラスタ サーバーに対して、より制限の厳しいセキュリティ設定を適用する方法」を参照してください。

プロセスの管理に使用されるユーティリティは、そのユーティリティを実行する人が所有していないプロセスには有効ではありません。たとえば、Windows Server 2003 Resource Kit ツールの Kill.exe では、管理者が自分が起動していないプロセスを終了するのには、このユーザー権利が必要です。

また、Windows 製品の更新のインストールに使用される Update.exe の古いバージョンの一部では、更新を適用するアカウントにこのユーザー権利が必要です。このバージョンの Update.exe を使用する修正プログラムの 1 つをインストールすると、コンピュータが応答しなくなる場合があります。詳細については、マイクロソフト サポート技術情報の記事 830846 https://support.microsoft.com/default.aspx?scid=830846 の「Windows 更新プログラムのインストール中、応答が停止するか、大部分またはすべての CPU リソースが消費される」を参照してください。

ネットワーク経由でコンピュータへアクセスを拒否する

このポリシー設定は、ユーザーにネットワークからのコンピュータへの接続を許可するかどうかを決定します。

[ネットワーク経由でコンピュータへアクセスを拒否する] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

ネットワーク経由でコンピュータにログオンできるユーザーは、アカウント名、グループ名、および共有リソースの一覧を表示できます。共有フォルダおよびファイルへのアクセス権限があるユーザーは、ネットワーク経由で接続して、データを表示または変更できます。高リスクのアカウント (ローカルの Guest アカウントや、ネットワーク経由でのコンピュータへのアクセスが業務上必要ないその他のアカウントなど) に対してこのログオン権利を明示的に拒否すると、保護をさらに強化できます。

対策

[ネットワーク経由でコンピュータへアクセスを拒否する] ユーザー権利を次のアカウントに割り当てます。

  • ANONYMOUS LOGON

  • ビルトイン ローカル Administrator アカウント

  • ローカル Guest アカウント

  • ビルトイン Support アカウント

  • すべてのサービス アカウント

ただし、ネットワーク経由でコンピュータに接続する必要があるサービスを起動するために使用するサービス アカウントには、例外的にアクセスを許可する必要があります。たとえば、Web サーバーの共有フォルダを、Web サイト経由でそのフォルダの内容にアクセスし、表示するように構成してある場合、共有フォルダがあるサーバーにネットワーク経由でログオンするために、IIS を実行するアカウントにはアクセスを許可する必要があります。法規制に準拠する必要性から、機密情報が処理されるサーバーとワークステーションを構成する必要がある場合、このユーザー権利は特に有効です。

考えられる影響

他のグループに対し [ネットワーク経由でコンピュータへアクセスを拒否する] ユーザー権利を構成すると、環境内で特定の管理役割に割り当てられているユーザーの権限が制限される可能性があります。委任されたタスクが悪影響を受けないことを確認してください。

バッチ ジョブとしてログオンを拒否する

このポリシー設定は、ユーザーにバッチ キュー機能を使用してログオンすることを許可するかどうかを決定します。バッチ キューは Windows Server 2003 の機能で、これを使用すると、ジョブをスケジュールして、後で 1 回または複数回、自動的に起動させることができます。このユーザー権利は、タスク スケジューラを利用してスケジュールされたジョブを起動するのに使用されるすべてのアカウントに必要です。

[バッチ ジョブとしてログオンを拒否する] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[バッチ ジョブとしてログオンを拒否する] ユーザー権利のあるアカウントを使用すると、コンピュータ リソースを過剰に消費するジョブをスケジュールできるため、DoS 状態が発生するおそれがあります。

対策

[バッチ ジョブとしてログオンを拒否する] ユーザー権利をビルトイン Support アカウントとローカル Guest アカウントに割り当てます。

考えられる影響

[バッチ ジョブとしてログオンを拒否する] ユーザー権利を他のアカウントに割り当てると、特定の管理役割に割り当てられているユーザーが必要なジョブ アクティビティを実行できなくなる可能性があります。委任されたタスクが悪影響を受けないことを確認してください。たとえば、このユーザー権利を IWAM_*<コンピュータ名>*アカウントに割り当てると、MSM Management Point が失敗します。このアカウントは、Windows Server 2003 が新規インストールされたコンピュータ上では Guests グループに属しませんが、Windows 2000 からアップグレードされたコンピュータ上では Guests グループのメンバです。したがって、[バッチ ジョブとしてログオンを拒否する] ユーザー権利を割り当てるグループに所属するアカウントを把握しておくことが重要です。

サービスとしてログオンを拒否する

このポリシー設定は、ユーザーにサービスとしてログオンすることを許可するかどうかを決定します。

[サービスとしてログオンを拒否する] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

サービスとしてログオンできるアカウントを使用すると、キーロガーやその他のマルウェアなど、新種の不正サービスの構成や起動が可能です。管理者特権を持つユーザーのみがサービスをインストールして構成できますが、既にそのレベルのアクセス権を取得した攻撃者であれば、サービスを System アカウントで実行するように構成できるという点で、この対策はいくぶん脆弱です。

対策

[サービスとしてログオンを拒否する] ユーザー権利をどのアカウントにも割り当てないようお勧めします。これは既定の構成です。セキュリティに大きな不安を感じている組織の場合は、サービスとしてログオンする必要がまったくないことがわかっているグループやアカウントであれば、このユーザー権利を与えてもよいでしょう。

考えられる影響

[サービスとしてログオンを拒否する] ユーザー権利を特定のアカウントに割り当てると、サービスを起動できなくなり、DoS 状態が発生するおそれがあります。

ローカルでログオンを拒否する

このポリシー設定は、ユーザーにコンピュータのキーボードから直接ログオンすることを許可するかどうかを決定します。

[ローカルでログオンを拒否する] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

ローカル ログオンが可能なアカウントを使用すると、コンピュータのコンソールでログオンできます。このユーザー権利をコンピュータのコンソールにログオンする必要がある正規ユーザーのみに与えるようにしないと、許可されていないユーザーがその特権を昇格させる不正コードをダウンロードして実行する可能性があります。

対策

[ローカルでログオンを拒否する] ユーザー権利をビルトイン Support アカウントに割り当てます。ASP.NET などのオプション コンポーネントをインストールしている場合、これらのコンポーネントに必要な追加のアカウントにこのユーザー権利を割り当てることができます。

: Support_388945a0 アカウントを使用すると、ヘルプとサポート サービスと署名済みスクリプトの相互運用が可能になります。このアカウントは、主に、ヘルプとサポート サービスからアクセスできる署名済みスクリプトへのアクセスを制御するのに使用されます。管理者はこのアカウントを使用して、管理アクセス権を持たない一般のユーザーがヘルプとサポート サービスに埋め込まれているリンクから署名済みスクリプトを実行する権限を委任できます。これらのスクリプトは、Support_388945a0 アカウント資格情報をユーザーの資格情報の代わりに使用し、それ以外の方法では一般のユーザーのアカウントで実行不可能である特定の管理作業を、ローカル コンピュータ上で実行するようにプログラムできます。

委任されたユーザーがヘルプとサポート サービス内のリンクをクリックすると、スクリプトが Support_388945a0 アカウントのセキュリティ コンテキストで実行されます。このアカウントは、コンピュータへのアクセスが制限されており、既定では無効になっています。

考えられる影響

追加のアカウントに対して [ローカルでログオンを拒否する] ユーザー権利を割り当てると、環境内で特定の役割に割り当てられているユーザーの権限が制限される可能性があります。ただし、IIS 6.0 を実行するコンピュータ上の ASPNET アカウントには、このユーザー権利を明示的に割り当てる必要があります。委任されているアクティビティが悪影響を受けないことを確認してください。

ターミナル サービスを使ったログオンを拒否する

このポリシー設定は、ユーザーにリモート デスクトップ接続を使ってコンピュータにログオンすることを許可するかどうかを決定します。

[ターミナル サービスを使ったログオンを拒否する] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

ターミナル サービスを使ったログオンの権利を持つアカウントを使用すると、コンピュータのリモート コンソールにログオンできます。このユーザー権利をコンピュータのコンソールにログオンする必要がある正規ユーザーのみに与えるようにしないと、許可されていないユーザーがその特権を昇格させる不正コードをダウンロードして実行する可能性があります。

対策

[ターミナル サービスを使ったログオンを拒否する] をビルトイン ローカル Administrator アカウントとすべてのサービス アカウントに割り当てます。ASP.NET などのオプション コンポーネントをインストールしている場合、これらのコンポーネントに必要な追加のアカウントに、このログオン権利を割り当てることができます。

考えられる影響

他のグループに対して [ターミナル サービスを使ったログオンを拒否する] ユーザー権利を割り当てると、環境内で特定の管理役割に割り当てられているユーザーの権限が制限される可能性があります。このユーザー権利を持つアカウントは、ターミナル サービスまたはリモート アシスタンス経由でコンピュータに接続することができません。委任されたタスクが悪影響を受けないことを確認してください。

コンピュータとユーザー アカウントに委任時の信頼を付与

このポリシー設定は、Active Directory のユーザーまたはコンピュータ オブジェクトの委任に対する信頼の設定を変更することを、ユーザーに許可するかどうかを決定します。このユーザー権利を割り当てられたユーザーまたはコンピュータには、オブジェクトのアカウント制御フラグに対する書き込みアクセス権も必要です。

認証の委任は、複数層クライアント/サーバー アプリケーションで使用される機能です。これにより、フロントエンド サービスでは、クライアントの資格情報を使用してバックエンド サービスを認証できます。この構成を可能にするには、クライアントとサーバーが両方とも委任に対して信頼されているアカウントで実行される必要があります。

[コンピュータとユーザー アカウントに委任時の信頼を付与] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[コンピュータとユーザー アカウントに委任時の信頼を付与] ユーザー権利が不正に使用されると、ネットワーク上での許可されていないユーザーによる他のユーザーの偽装につながる可能性があります。攻撃者がこの特権を悪用してネットワーク リソースにアクセスした場合、セキュリティの問題が起こってからその詳細を調べることが困難になります。

対策

[コンピュータとユーザーアカウントに委任時の信頼を付与] ユーザー権利は、これを本当に必要とする場合にのみ割り当ててください。この権利を割り当てる際は、制限された委任の使用を調査して、委任されたアカウントができることを制御する必要があります。

: このユーザー権利をドメインに属しているメンバ サーバーやワークステーションのユーザーに割り当てるのは意味がなく、その必要もありません。このユーザー権利は、ドメイン コントローラおよびスタンドアロン コンピュータにのみ関連するものです。

考えられる影響

なし。これは既定の構成です。

リモート コンピュータからの強制シャットダウン

このポリシー設定は、ユーザーにネットワーク上の遠隔地からコンピュータをシャットダウンすることを許可するかどうかを決定します。

[リモート コンピュータからの強制シャットダウン] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

ユーザーがコンピュータをシャットダウンできると、DoS 状態が発生するおそれがあります。したがって、このユーザー権利の付与については、厳しい制限を設ける必要があります。

対策

[リモート コンピュータからの強制シャットダウン] ユーザー権利を、Administrators グループか、またはこの権利を必要とする役割に特別に割り当てられたその他のグループのメンバのみに与えるようにします。

考えられる影響

Server Operator グループから [リモート コンピュータからの強制シャットダウン] ユーザー権利を削除すると、環境内で特定の管理役割に割り当てられているユーザーの権限が制限される可能性があります。委任されているアクティビティが悪影響を受けないことを確認してください。

セキュリティ監査の生成

このポリシー設定は、プロセスによるセキュリティ ログの監査レコードの作成を許可するかどうかを決定します。セキュリティ ログの情報を使用すると、許可されていないコンピュータ アクセスをトレースできます。

[セキュリティ監査の生成] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

攻撃者がセキュリティ ログへの書き込みが可能なアカウントを使って、セキュリティ ログを無意味なイベントでいっぱいにすることがあります。必要に応じてイベントを上書きするようにコンピュータが構成されている場合は、この特権を悪用して攻撃者が許可されていないアクティビティの証拠を削除できます。セキュリティ ログへの書き込みが不可能なときはシャットダウンするようにコンピュータが構成されており、ログ ファイルを自動的にバックアップするように構成されていない場合は、この特権の悪用によりサービス拒否 (DoS) 状況が発生する可能性があります。

対策

[セキュリティ監査の生成] ユーザー権利をサービス アカウントおよびネットワーク サービス アカウントのみに割り当てるようにします。

考えられる影響

なし。これは既定の構成です。

認証後にクライアントを偽装

[認証後にクライアントを偽装] ユーザー権利があると、ユーザーの代わりに実行されるプログラムがそのユーザー (または他の特定のアカウント) を偽装して、ユーザーの代わりに動作できます。この種の偽装に対処するためにこのユーザー権利を要求すると、許可されていないユーザーが、クライアントを信用させて、自分が作成したサービスにリモート プロシージャ コール (RPC) または名前付きパイプなどにより接続させ、そのクライアントを偽装して、自分のアクセス許可を管理レベルまたはシステム レベルに昇格させるという事態を防ぐことができます。

サービス コントロール マネージャによって起動されたサービスでは、ビルトイン Service グループがそれらのサービスのアクセス トークンに既定で追加されます。COM インフラストラクチャによって起動され、特定のアカウントで実行されるように構成されている COM サーバーでも、Service グループがそれらのサーバーのアクセス トークンに追加されます。そのため、これらのプロセスの起動時に、このユーザー権利が割り当てられます。

さらに、次のいずれかの条件が成立すると、ユーザーはアクセス トークンを偽装できます。

  • 偽装されるアクセス トークンが、そのユーザー用のものである。

  • ユーザーは、このログオン セッションで、明示的な資格情報を使用してネットワークにログオンし、アクセス トークンを作成した。

  • 要求されたレベルが、匿名や識別など、偽装よりも低いレベルである。

このような理由から、ユーザーは通常、このユーザー権利の割り当てを必要としません。

[認証後にクライアントを偽装] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[認証後にクライアントを偽装] ユーザー権利を持つ攻撃者は、サービスを作成し、クライアントを欺いて自分が作成したサービスに接続させ、そのクライアントを偽装して、自分のアクセス権のレベルをそのクライアントのアクセス権のレベルに昇格させる可能性があります。

対策

メンバ サーバーでは、[認証後にクライアントを偽装] ユーザー権利を Administrators グループおよび Service グループのみに与えるようにしてください。IIS 6.0 を実行するコンピュータでは、このユーザー権利を IIS_WPG グループ (ネットワーク サービス アカウントにこの権利を許可するグループ) に割り当てる必要があります。

考えられる影響

ほとんどの場合、この構成による影響はありません。ASP.NET や IIS などのオプション コンポーネントをインストールしている場合、IUSR_<コンピュータ名>、IIS_WPG、ASP.NET、または IWAM_<コンピュータ名> など、これらのコンポーネントに必要な追加のアカウントに、[認証後にクライアントを偽装] ユーザー権利を割り当てる必要がある場合があります。

スケジューリング優先順位の繰り上げ

このポリシー設定は、プロセスの基本優先順位クラスを繰り上げることを、ユーザーに許可するかどうかを決定します (優先順位クラスにおける相対的な優先順位の繰り上げは、特権が与えられた操作ではありません)。このユーザー権利は、オペレーティング システムで提供される管理ツールでは必要ありませんが、ソフトウェア開発ツールでは必要とされることがあります。

[スケジューリング優先順位の繰り上げ] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

このユーザー権利を持つユーザーは、プロセスのスケジューリング優先順位を [リアルタイム] に繰り上げることができます。これにより、他のすべてのプロセスの処理時間がほとんどなくなり、DoS 状態が発生するおそれがあります。

対策

[スケジューリング優先順位の繰り上げ] ユーザー権利が Administrators グループのみに割り当てられていることを確認します。

考えられる影響

なし。これは既定の構成です。

デバイス ドライバのロードとアンロード

このポリシー設定は、ユーザーにデバイス ドライバの動的なロードおよびアンロードを許可するかどうかを決定します。新しいハードウェアの署名済みドライバが、コンピュータ上の Driver.cab ファイル内に既に存在する場合、このユーザー権利は不要です。

[デバイス ドライバのロードとアンロード] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

デバイス ドライバは、高度な特権が与えられたコードとして実行されます。[デバイス ドライバのロードとアンロード] ユーザー権利を持つユーザーが、デバイス ドライバとして振る舞う悪意あるコードを、知らずにインストールする可能性があります。管理者は、十分な注意を払って、検証されたデジタル署名を持つドライバのみをインストールする必要があります。

: ローカル プリンタ用の新しいドライバをインストールしたり、ローカル プリンタを管理して両面印刷などのオプションの既定値を設定するには、このユーザー権利を持っており、かつ、Administrators グループまたは Power Users グループのメンバである必要があります。このユーザー権利と Administrators グループまたは Power Users グループのメンバシップの両方を持つという要件は、Windows XP と Windows Server 2003 で新たに加わったものです。

対策

[デバイス ドライバのロードとアンロード] ユーザー権利を Administrators 以外のユーザーまたはグループに割り当てないようにします。ドメイン コントローラの場合は、このユーザー権利を Domain Admins 以外のユーザーまたはグループに割り当てないようにします。

考えられる影響

Print Operators グループまたはその他のアカウントから [デバイス ドライバのロードとアンロード] ユーザー権利を削除すると、環境内で特定の管理役割に割り当てられているユーザーの権限が制限される可能性があります。委任されたタスクが悪影響を受けないことを確認してください。

メモリ内のページのロック

このポリシー設定は、プロセスによる物理メモリでのデータの保持を許可するかどうかを決定します。プロセスが物理メモリにデータを保持すると、ディスク上の仮想メモリへのデータのページングは行われません。このユーザー権利を割り当てると、コンピュータのパフォーマンスが著しく低下するおそれがあります。

[メモリ内のページのロック] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[メモリ内のページのロック] ユーザー権利を持つユーザーが物理メモリを複数のプロセスに割り当てると、他のプロセスが使用できる RAM がほとんど、またはまったく残らなくなり、DoS 状態が発生するおそれがあります。

対策

[メモリ内のページのロック] ユーザー権利を、どのアカウントにも割り当てないでください。

考えられる影響

なし。これは既定の構成です。

バッチ ジョブとしてログオン

このポリシー設定は、タスク スケジューラ サービスなどのバッチ キュー機能を使用してログオンすることを、ユーザーに許可するかどうかを決定します。管理者がタスクの追加ウィザードを使用して、特定のユーザー名およびパスワードで実行するようにタスクをスケジュールすると、そのユーザーには [バッチ ジョブとしてログオン] ユーザー権利が自動的に割り当てられます。スケジュールされた時間になると、タスク スケジューラ サービスにより、ユーザーが対話型ユーザーではなくバッチ ジョブとしてログオンし、タスクがユーザーのセキュリティ コンテキストで実行されます。

[バッチ ジョブとしてログオン] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[バッチ ジョブとしてログオン] ユーザー権利の脆弱性はリスクが低いものです。ほとんどの組織では、既定の設定で十分です。

対策

特定のユーザー アカウントに対してタスクが実行されるようにスケジュールする場合は、このユーザー権利をコンピュータによって自動的に管理できるようにしておく必要があります。タスク スケジューラをこの方法で使用しない場合は、ローカル サービス アカウントとローカル サポート アカウント (Support_388945a0) のみに [バッチ ジョブとしてログオン] ユーザー権利を構成してください。IIS サーバーについては、ドメインベースのグループ ポリシーではなく、ローカルでこのポリシーを構成してください。これにより、ローカルの IUSR_<コンピュータ名> および IWAM_<コンピュータ名> アカウントに、このログオン権利を与えることができます。

考えられる影響

ドメインベースのグループ ポリシーで [バッチ ジョブとしてログオン] 設定を行った場合、コンピュータはタスク スケジューラのスケジュールされたジョブに使用されるアカウントに、このユーザー権利を与えることができません。ASP.NET や IIS などのオプション コンポーネントをインストールする場合、これらのコンポーネントに必要なアカウントにこのユーザー権利を割り当てる必要がある場合があります。たとえば、IIS では、このユーザー権利を IIS_WPG グループと、IUSR_<コンピュータ名>、**IWAM_<コンピュータ名 アカウントに割り当てる必要があります。これらのグループおよびアカウントにこのユーザー権利が割り当てられていない場合、IIS が正常に機能するために必要な一部の COM オブジェクトを実行できなくなります。

サービスとしてログオン

このポリシー設定は、セキュリティ プリンシパルにサービスとしてログオンすることを許可するかどうかを決定します。サービスは、サービスとしてログオンするビルトイン権利を持つ、ローカル システム、ローカル サービス、またはネットワーク サービス アカウントで実行するように構成できます。別のユーザー アカウントで実行されるサービスには、このユーザー権利を割り当てる必要があります。

[サービスとしてログオン] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[サービスとしてログオン] は強力なユーザー権利で、この権利が与えられたアカウントでは、コンソールに誰もログオンしていなくても、ネットワーク サービスや、コンピュータ上で継続的に実行されるサービスを起動できます。このリスクは、管理者特権のあるユーザーのみがサービスをインストールおよび構成できることで抑えられますが、そのレベルのアクセスが可能な攻撃者は、サービスをローカル システム アカウントで実行されるように構成できます。

対策

[サービスとしてログオン] ユーザー権利を持つ既定のセキュリティ プリンシパルは、ローカル システム、ローカル サービス、およびネットワーク サービスに制限されます。これらはすべてビルトイン ローカル アカウントです。このユーザー権利を持つその他のアカウントの数を、最小限にする必要があります。

考えられる影響

ほとんどのコンピュータではこれが既定の構成で、悪影響はありません。ただし、ASP.NET や IIS などのオプション コンポーネントをインストールしている場合、[サービスとしてログオン] ユーザー権利を、これらのコンポーネントに必要な追加のアカウントに割り当てる必要がある場合があります。IIS では、ASPNET ユーザー アカウントにこのユーザー権利を明示的に与える必要があります。

監査とセキュリティ ログの管理

このポリシー設定は、ファイル、Active Directory オブジェクト、レジストリ キーなどの個々のリソースのオブジェクト アクセス監査オプションを指定することを、ユーザーに許可するかどうかを決定します。オブジェクト アクセス監査は、[セキュリティの設定] 、[ローカル ポリシー] の下の [監査ポリシー] を使用して有効にしなければ、実行されません。このユーザー権利を持つユーザーは、イベント ビューアからセキュリティ イベント ログを表示およびクリアすることもできます。

[監査とセキュリティ ログの管理] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

セキュリティ イベント ログを管理する権利は、強力なユーザー権利であり、扱いには厳重な注意が必要です。このユーザー権利を持つユーザーは、セキュリティ ログをクリアして、不正なアクティビティの重要証拠を消すことができます。

対策

[監査とセキュリティ ログの管理] ユーザー権利をローカル Administrators グループのみに与えるようにしてください。

考えられる影響

なし。これは既定の構成です。

ファームウェア環境値の修正

このポリシー設定は、API 経由のプロセスによって、またはユーザーがシステムのプロパティを使用してシステム環境変数を変更することを、ユーザーに許可するかどうかを決定します。

[ファームウェアの環境値の修正] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[ファームウェアの環境値の修正] ユーザー権限を持つユーザーがハードウェア コンポーネントを適切に設定しなかった場合、障害が起きる可能性があります。その結果、データの破損や DoS 状態が発生するおそれがあります。

対策

[ファームウェア環境値の修正] ユーザー権利をローカル Administrators グループのみに与えるようにしてください。

考えられる影響

なし。これは既定の構成です。

ボリュームの保守タスクを実行

このポリシー設定は、管理者以外のユーザーまたはリモート ユーザーに、既存のボリュームの最適化、ボリュームの作成または削除、ディスク クリーンアップ ツールの実行などのボリュームまたはディスク管理タスクを実行することを許可するかどうかを決定します。Windows Server 2003 では、ユーザーのセキュリティ コンテキストで実行されるプロセスが SetFileValidData() を呼び出すときに、ユーザーのアクセス トークンのこのユーザー権利を確認します。

[ボリュームの保守タスクを実行] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[ボリュームの保守タスクを実行] ユーザー権利を持つユーザーがボリュームを削除すると、データの喪失や DoS 状態が発生するおそれがあります。

対策

[ボリュームの保守タスクを実行] ユーザー権利をローカル Administrators グループのみに与えるようにしてください。

考えられる影響

なし。これは既定の構成です。

単一プロセス プロファイル

このポリシー設定は、ユーザーにアプリケーション プロセスのパフォーマンスのサンプリングを許可するかどうかを決定します。通常、Microsoft 管理コンソール (MMC) パフォーマンス スナップインを使用するのにこのユーザー権利は必要ありません。ただし、システム モニタが WMI (Windows Management Instrumentation) を使用してデータを収集するように設定されている場合は、このユーザー権利が必要です。

[単一プロセス プロファイル] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[単一プロセス プロファイル] ユーザー権利の脆弱性は中程度です。このユーザー権利を持つ攻撃者は、コンピュータのパフォーマンスを監視し、直接の攻撃対象とする重要なプロセスを識別できます。また、攻撃者は、コンピュータ上で実行されているプロセスを調べて、ウイルス対策ソフトウェアや侵入検出システムなどの回避する必要のある対策を識別したり、コンピュータにログオンしている他のユーザーを調べたりすることもできます。

対策

[単一プロセス プロファイル] ユーザー権利をローカル Administrators グループのみに与えるようにしてください。

考えられる影響

Power Users グループまたはその他のアカウントから [単一プロセス プロファイル] ユーザー権利を削除すると、環境内で特定の管理役割に割り当てられているユーザーの権限が制限される可能性があります。委任されたタスクが悪影響を受けないことを確認してください。

システム パフォーマンスのプロファイル

このポリシー設定は、ユーザーにコンピュータ システム プロセスのパフォーマンスのサンプリングを許可するかどうかを決定します。この特権は、WMI を使用してデータを収集するように構成されている MMC パフォーマンス スナップインでのみ必要です。通常、MMC パフォーマンス スナップインを使用するのにこのユーザー権利は必要ありません。ただし、システム モニタが WMI を使用してデータを収集するように構成されている場合は、このユーザー権利が必要です。

[システム パフォーマンスのプロファイル] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[システム パフォーマンスのプロファイル] ユーザー権利の脆弱性は中程度です。このユーザー権利を持つ攻撃者は、コンピュータのパフォーマンスを監視し、直接の攻撃対象とする重要なプロセスを識別できます。また、攻撃者は、コンピュータ上で実行されているプロセスを調べて、ウイルス対策ソフトウェアや侵入検出システムなど、回避する必要がある対策を識別することもできます。

対策

[システム パフォーマンスのプロファイル] ユーザー権利をローカル Administrators グループのみに与えるようにしてください。

考えられる影響

なし。これは既定の構成です。

ドッキング ステーションからコンピュータを削除

このポリシー設定は、ポータブル コンピュータのユーザーに [スタート] メニューの [PC の取り外し] をクリックしてコンピュータの装着を解除することを許可するかどうかを決定します。

[ドッキング ステーションからコンピュータを削除] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[ドッキング ステーションからコンピュータを削除] ユーザー権利を持つユーザーは、ドッキング ステーションから起動したポータブル コンピュータを取り外すことができます。次のような場合、この対策の効果は低下します。

  • 攻撃者がコンピュータを再起動できた場合、BIOS が起動してからオペレーティング システムが起動するまでの間にドッキング ステーションからそのコンピュータを取り外す可能性があります。

  • サーバーは通常ドッキング ステーションにインストールされていないので、この設定はサーバーには影響しません。

  • 攻撃者がコンピュータとドッキング ステーションを盗む可能性があります。

対策

[ドッキング ステーションからコンピュータを削除] ユーザー権利をローカル Administrators グループおよび Power Users グループのみに与えるようにしてください。

考えられる影響

これは既定の構成で、影響はほとんどありません。しかし、組織のユーザーが Power Users グループまたは Administrators グループのメンバでない場合、コンピュータをシャットダウンしないとドッキング ステーションからポータブル コンピュータを取り外すことはできません。したがって、[ドッキング ステーションからコンピュータを削除] 特権を、ポータブル コンピュータを使用するローカル Users グループに与えることもできます。

プロセス レベル トークンの置き換え

このポリシー設定は、子プロセスに関連付けられたアクセス トークンを置換することを、親プロセスに許可するかどうかを決定します。

[プロセス レベル トークンの置き換え] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[プロセス レベル トークンの置き換え] 特権を持つユーザーは、他のユーザーとしてプロセスを起動できます。これらのユーザーは、この方法を使ってコンピュータ上での許可されていない操作を隠すことができます (Windows 2000 コンピュータでは、[プロセス レベル トークンの置き換え] ユーザー権利を使用するユーザーは、この章の前半で説明した [プロセスのメモリ クォータの増加] ユーザー権利も必要です)。

対策

メンバ サーバーの場合、[プロセス レベル トークンの置き換え] ユーザー権利をローカル サービス アカウントおよびネットワーク サービス アカウントのみに与えるようにしてください。

考えられる影響

ほとんどのコンピュータではこれが既定の構成で、悪影響はありません。ただし、ASP.NET や IIS などのオプション コンポーネントをインストールしている場合、[プロセス レベル トークンの置き換え] 特権を追加のアカウントに割り当てる必要がある場合があります。たとえば、IIS では、サービス、ネットワーク サービス、および IWAM_<コンピュータ名> アカウントにこのユーザー権利を明示的に与える必要があります。

ファイルとディレクトリの復元

このポリシー設定は、ユーザーがバックアップされたファイルやディレクトリを復元するときに、それらのファイルやディレクトリのアクセス許可を回避することと、オブジェクトの所有者として有効なセキュリティ プリンシパルを設定することを、ユーザーに許可するかどうかを決定します。

[ファイルとディレクトリの復元] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[ファイルとディレクトリの復元] ユーザー権利を持つ攻撃者は、機密性の高いデータをコンピュータに復元して、最新のデータを上書きできます。その結果、重要なデータの喪失、データの破損、または DoS 状態が発生するおそれがあります。攻撃者が正当な管理者またはシステム サービスによって使用される実行可能ファイルを悪質なコードを含むバージョンで上書きして、自分の特権を昇格したり、データを侵害したり、コンピュータへのアクセスを継続させるバックドアをインストールしたりする可能性があります。

: この対策を施しても、攻撃者は引き続き自分が制御するドメインのコンピュータにデータを復元することができます。したがって、組織ではデータのバックアップに使用されるメディアを慎重に保護することが重要です。

対策

組織でバックアップと復元の担当者が明確に決まっていない場合は、[ファイルとディレクトリの復元] ユーザー権利をローカル Administrators グループのみに与えるようにしてください。

考えられる影響

Backup Operators グループおよびその他のアカウントから [ファイルとディレクトリの復元] ユーザー権利を削除すると、特定の作業を委任されたユーザーがそれらの作業を実行できなくなる可能性があります。この変更を行っても、組織のスタッフが各自のジョブを問題なく実行できることを確認してください。

システムのシャットダウン

このポリシー設定は、ユーザーにローカル コンピュータのシャットダウンを許可するかどうかを決定します。

[システムのシャットダウン] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

ドメイン コントローラのシャットダウンは、ごく少数の信頼できる管理者のみが実行できるようにする必要があります。[システムのシャットダウン] ユーザー権利を使うには、サーバーにログオンできる必要がありますが、ドメイン コントローラのシャットダウンを許可するアカウントやグループは慎重に決定してください。

ドメイン コントローラをシャットダウンすると、ログオン処理、グループ ポリシーの提供、LDAP (Lightweight Directory Access Protocol) クエリへの応答などの機能を実行できなくなります。FSMO (Flexible Single Master Operations) の役割を持つドメイン コントローラをシャットダウンすると、新しいパスワードによるログオンの処理などの主要ドメイン機能 (プライマリ ドメイン コントローラ (PDC) エミュレータの役割) を無効にできます。

対策

[システムのシャットダウン] ユーザー権利を、メンバ サーバーについては Administrators および Backup Operators のみに与え、ドメイン コントローラについては Administrators のみに与えるようにしてください。

考えられる影響

[システムのシャットダウン] ユーザー権利からこれらの既定グループを削除すると、環境内で割り当てられている役割で、委任されている権限が制限されることがあります。委任されているアクティビティが悪影響を受けないことを確認してください。

ディレクトリ サービス データの同期化

このポリシー設定では、オブジェクトとプロパティに対する保護にかかわらず、プロセスによるディレクトリ内のすべてのオブジェクトおよびプロパティの読み取りを許可するかどうかを決定します。この特権は、LDAP ディレクトリ同期 (Dirsync) サービスを使用するために必要です。

[ディレクトリ サービス データの同期化] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[ディレクトリ サービス データの同期化] ユーザー権利はドメイン コントローラに影響します。ディレクトリ サービス データを同期化できるのはドメイン コントローラのみです。同期処理はドメイン コントローラの System アカウントのコンテキストで実行されるので、ドメイン コントローラにはあらかじめこのユーザー権利が設定されています。このユーザー権利を持つ攻撃者は、ディレクトリ内に保存されているすべての情報を表示できます。その後、この情報の一部を使用して、さらに攻撃を加えたり、電話番号や住所などの機密性の高いデータを公開したりできます。

対策

[ディレクトリ サービス データの同期化] ユーザー権利をどのアカウントにも設定しないでください。

考えられる影響

なし。これは既定の構成です。

ファイルとその他のオブジェクトの所有権の取得

このポリシー設定は、Active Directory オブジェクト、NTFS ファイルとフォルダ、プリンタ、レジストリ キー、サービス、プロセス、スレッドなど、コンピュータ内のセキュリティで保護できるオブジェクトの所有権を取得することを、ユーザーに許可するかどうかを決定します。

[ファイルとその他のオブジェクトの所有権の取得] で設定できる値は、次のとおりです。

  • ユーザー定義のアカウント一覧

  • 未定義

脆弱性

[ファイルとその他のオブジェクトの所有権の取得] ユーザー権利を持つユーザーは、オブジェクトに対するアクセス許可がなくても、任意のオブジェクトを制御して、あらゆる変更を加えることができます。その結果、データの漏洩、データの破損、または DoS 状態が発生するおそれがあります。

対策

[ファイルとその他のオブジェクトの所有権の取得] ユーザー権利をローカル Administrators グループのみに与えるようにしてください。

考えられる影響

なし。これは既定の構成です。

ページのトップへ

関連情報

次のリンクは、Windows Server 2003 と Windows XP でのユーザー権利の割り当てに関する追加情報を提供しています。

ページのトップへ

目次

ページのトップへ