Windows 2000 セキュリティ強化ガイド
最終更新日: 2004年1月20日
既定のセキュリティ ポリシー設定
| セキュリティの設定 | ローカル セキュリティ ポリシー (Professional および Server/Advanced Server) | ドメイン コントローラ セキュリティ ポリシー | ドメイン セキュリティ ポリシー |
|---|---|---|---|
| アカウント ポリシー | |||
| パスワードのポリシー | |||
| パスワードの履歴を記録する | 0 パスワード数 | 未定義 | 1 パスワード数 |
| パスワードの有効期間 | 42 日 | 未定義 | 42 日 |
| パスワードの変更禁止期間 | 0 日 | 未定義 | 0 日 |
| パスワードの長さ | 0 文字 | 未定義 | 0 文字 |
| パスワードは要求する複雑さを満たす | 無効 | 未定義 | 無効 |
| 暗号化を元に戻せる状態でドメインのすべてのユーザーのパスワードを保存する | 無効 | 未定義 | 無効 |
| アカウントロックアウトのポリシー | |||
| ロックアウト期間 | 未定義 | 未定義 | 未定義 |
| アカウントのロックアウトのしきい値 | 0 回の無効なログイン | 未定義 | 0 回の無効なログイン |
| ロックアウトカウントのリセット | 未定義 | 未定義 | 未定義 |
| Kerberos ポリシー | (このポリシーは利用できません) | ||
| ユーザーログオンの制限を強制する | (利用不可) (ローカルの既定値は有効) | 未定義 | 有効 |
| サービスチケットの最長有効期間 | (利用不可)
(ローカルの既定値は 60 分) |
未定義 | 600 分 |
| チケットの最長有効期間 | (利用不可)
(ローカルの既定値は 7 時間) |
未定義 | 10 時間 |
| ユーザーチケットを更新できる最長有効期間 | (利用不可)
(ローカルの既定値は 10 日) |
未定義 | 7 日 |
| コンピュータの時計の同期の最長トレランス | (利用不可)
(ローカルの既定値は 60 分) |
未定義 | 5 分 |
| ローカルポリシー | |||
| 監査ポリシー | |||
| アカウントログオンイベントの監査 | 監査しない | 監査しない | 未定義 |
| アカウント管理の監査 | 監査しない | 監査しない | 未定義 |
| ディレクトリサービスのアクセスの監査 | 監査しない | 監査しない | 未定義 |
| ログオンイベントの監査 | 監査しない | 監査しない | 未定義 |
| オブジェクトアクセスの監査 | 監査しない | 監査しない | 未定義 |
| ポリシーの変更の監査 | 監査しない | 監査しない | 未定義 |
| 特権使用の監査 | 監査しない | 監査しない | 未定義 |
| プロセス追跡の監査 | 監査しない | 監査しない | 未定義 |
| システムイベントの監査 | 監査しない | 監査しない | 未定義 |
| ユーザー権利の割り当て | |||
| ネットワーク経由でコンピュータへアクセス | Administrators Backup Operators Power Users Users Everyone | Administrators Authenticated Users Everyone IUSR_W2K-<コンピュータ名> IWAM_W2K-<コンピュータ名> | 未定義 |
| オペレーティングシステムの一部として機能 | (空白) | (空白) | 未定義 |
| ドメインにワークステーションを追加 | (空白) | Authenticated Users | 未定義 |
| ファイルとディレクトリのバックアップ | Administrators Backup Operators | Administrators Backup Operators Server Operators | 未定義 |
| 走査チェックのバイパス | Administrators Backup Operators Power Users Users Everyone | Administrators Authenticated Users Everyone | 未定義 |
| システム時刻の変更 | Administrators Power Users | Administrators Server Operators | 未定義 |
| ページファイルの作成 | Administrators | Administrators | 未定義 |
| トークンオブジェクトの作成 | (空白) | (空白) | 未定義 |
| 永続的共有オブジェクトの作成 | (空白) | (空白) | 未定義 |
| プログラムのデバッグ | Administrators | Administrators | 未定義 |
| ネットワーク経由でコンピュータへアクセスを拒否する | (空白) | (空白) | 未定義 |
| バッチジョブとしてログオンを拒否する | (空白) | (空白) | 未定義 |
| サービスとしてログオンを拒否する | (空白) | (空白) | 未定義 |
| ローカルでログオンを拒否する | (空白) | (空白) | 未定義 |
| コンピュータとユーザー アカウントに委任時の信頼を付与 | (空白) | Administrators | 未定義 |
| リモートコンピュータからの強制シャットダウン | Administrators | Administrators Server Operators | 未定義 |
| セキュリティ監査の生成 | (空白) | (空白) | 未定義 |
| クォータの増加 | Administrators | Administrators | 未定義 |
| スケジューリング優先順位の繰り上げ | Administrators | Administrators | 未定義 |
| デバイスドライバのロードとアンロード | Administrators | Administrators | 未定義 |
| メモリ内のページのロック | (空白) | (空白) | 未定義 |
| バッチジョブとしてログオン | (空白) | IUSR_W2K-<コンピュータ名> IWAM_W2K-<コンピュータ名> | 未定義 |
| サービスとしてログオン | (空白) | (空白) | 未定義 |
| ローカルログオン | Administrators
Backup Operators
Power Users
Users
<コンピュータ名>/Guest
<コンピュータ名> /TsInternetUser (Server/Advanced Server のみ) |
Administrators Authenticated Users Backup Operators IUSR_W2K-<コンピュータ名> Print Operators Server Operators TsInternetUser | 未定義 |
| 監査とセキュリティログの管理 | Administrators | Administrators | 未定義 |
| ファームウェアの環境値の修正 | Administrators | Administrators | 未定義 |
| 単一プロセスのプロファイル | Administrators Backup Operators | Administrators | 未定義 |
| システムパフォーマンスのプロファイル | Administrators | Administrators | 未定義 |
| ドッキングステーションからコンピュータを削除 | Administrators Backup Operators Users | Administrators | 未定義 |
| プロセスレベルトークンの置き換え | (空白) | (空白) | 未定義 |
| ファイルとディレクトリの復元 | Administrators Backup Operators | Administrators Backup Operators Server Operators | 未定義 |
| システムのシャットダウン | Administrators Backup Operators Power Users Users (Professional のみ) | Account Operators Administrators Backup Operators Print Operators Server Operators | 未定義 |
| ディレクトリサービスデータの同期化 | (空白) | (空白) | 未定義 |
| ファイルとその他のオブジェクトの所有権の取得 | Administrators | Administrators | 未定義 |
| セキュリティオプション | |||
| 匿名接続の追加を制限する | なし。既定のアクセス許可に依存します。 | 未定義 | 未定義 |
| サーバーオペレータがタスクのスケジュールを割り当てるのを許可する (ドメインコントローラのみ) | 未定義 | 未定義 | 未定義 |
| システムをシャットダウンするのにログオンを必要としない | 有効 (Professional のみ) 無効 (Server/Advanced Server のみ) | 未定義 | 未定義 |
| リムーバブル NTFS メディアを取り出すのを許可する | Administrators | 未定義 | 未定義 |
| セッションを切断する前に、ある一定のアイドル時間を必要とする | 15 分 | 未定義 | 未定義 |
| グローバルシステムオブジェクトへのアクセスを監査する | 無効 | 未定義 | 未定義 |
| バックアップと復元の特権の使用を監査する | 無効 | 未定義 | 未定義 |
| ログオン時間を経過した場合は自動的にユーザーをログオフする | (スタンドアロンの Professional、Server、または Advanced Server では利用できないオプション) | 未定義 | 無効 |
| ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル) | 有効 | 未定義 | 未定義 |
| システムのシャットダウン時に仮想メモリのページファイルをクリアする | 無効 | 未定義 | 未定義 |
| 常にクライアント側の通信にデジタル署名を行う | 無効 | 未定義 | 未定義 |
| 可能な場合、クライアントの通信にデジタル署名を行う | 有効 | 未定義 | 未定義 |
| 常にサーバーの通信にデジタル署名を行う | 無効 | 未定義 | 未定義 |
| 可能な場合、サーバーの通信にデジタル署名を行う | 無効 | 有効 | 未定義 |
| ログオンに Ctrl+Alt+Del を必要としない | 未定義 (Professional のみ) 無効 (Server/Advanced Server のみ) | 未定義 | 未定義 |
| ログオン画面に最後のユーザー名を表示しない | 無効 | 未定義 | 未定義 |
| LAN Manager 認証レベル | LM & NTLM 応答の送信 | 未定義 | 未定義 |
| ログオン時のユーザーへのメッセージのテキスト | (空白) | 未定義 | 未定義 |
| ログオン時のユーザーへのメッセージのタイトル | (空白) | 未定義 | 未定義 |
| ドメインコントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 | 10 ログオン | 未定義 | 未定義 |
| コンピュータアカウントパスワードのシステム保守をしない | 無効 | 未定義 | 未定義 |
| ユーザーがプリンタドライバをインストールできないようにする | 無効 (Professional のみ) 有効 (Server/Advanced Server のみ) | 未定義 | 未定義 |
| パスワードが無効になる前にユーザーに変更を促す | 14 日 | 未定義 | 未定義 |
| 回復コンソール: 自動管理ログオンを許可する | 無効 | 未定義 | 未定義 |
| 回復コンソール: すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する | 無効 | 未定義 | 未定義 |
| Administrator アカウント名の変更 | 未定義 | 未定義 | 未定義 |
| Guest アカウント名の変更 | 未定義 | 未定義 | 未定義 |
| CD-ROM へのアクセスを、ローカルログオンユーザーだけに制限する | 無効 | 未定義 | 未定義 |
| フロッピーへのアクセスを、ローカルログオンユーザーだけに制限する | 無効 | 未定義 | 未定義 |
| セキュリティで保護されたチャネル: 常にセキュリティチャネルのデータをデジタル的に暗号化または署名する | 無効 | 未定義 | 未定義 |
| セキュリティで保護されたチャネル: 可能な場合、セキュリティチャネルのデータをデジタル的に暗号化または署名する | 有効 | 未定義 | 未定義 |
| セキュリティで保護されたチャネル: 可能な場合、セキュリティチャネルのデータをデジタル的に署名する | 有効 | 未定義 | 未定義 |
| セキュリティで保護されたチャネル: 強力な (Windows 2000 かそれ以降のバージョン) セッションキーを必要とする | 無効 | 未定義 | 未定義 |
| サードパーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する | 無効 | 未定義 | 未定義 |
| セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする | 無効 | 未定義 | 未定義 |
| スマートカード取り出し時の動作 | 何もしない | 未定義 | 未定義 |
| グローバルシステムオブジェクトの既定のアクセス許可を強化する (例: シンボリックリンク) | 有効 | 未定義 | 未定義 |
| 署名されていないドライバのインストール時の動作 | 未定義 | 未定義 | 未定義 |
| 署名されていないドライバ以外のインストール時の動作 | 未定義 | 未定義 | 未定義 |
| イベントログ | |||
| イベントログの設定 | イベントビューアログのプロパティに含まれています | ||
| アプリケーションログの最大サイズ | 512 KB | 未定義 | 未定義 |
| セキュリティログの最大サイズ | 512 KB | 未定義 | 未定義 |
| システムログの最大サイズ | 512 KB | 未定義 | 未定義 |
| アプリケーションログのゲストアクセスの制限 | (利用不可) | 未定義 | 未定義 |
| セキュリティログのゲストアクセスの制限 | (利用不可) | 未定義 | 未定義 |
| システムログのゲストアクセスの制限 | (利用不可) | 未定義 | 未定義 |
| アプリケーションログの保存日数 | 7 日間を過ぎたらイベントを上書きする | 未定義 | 未定義 |
| セキュリティログの保存日数 | 7 日間を過ぎたらイベントを上書きする | 未定義 | 未定義 |
| システムログの保存日数 | 7 日間を過ぎたらイベントを上書きする | 未定義 | 未定義 |
| アプリケーションログの保存方法 | 7 日間を過ぎたらイベントを上書きする | 未定義 | 未定義 |
| セキュリティログの保存方法 | 7 日間を過ぎたらイベントを上書きする | 未定義 | 未定義 |
| システムログの保存方法 | 7 日間を過ぎたらイベントを上書きする | 未定義 | 未定義 |
| セキュリティの監査ログがいっぱいになったら、コンピュータをシャットダウンする | (利用不可) | 未定義 | 未定義 |