Windows 2000 セキュリティ強化ガイド
付録 B ‐ ユーザーの権利と特権
最終更新日: 2004年1月20日
下の表では、Windows 2000 システムでの既定のユーザー権利の割り当てを明らかにし、このガイドで推奨した一連の変更を示します。
この表に示されているのは、スタンドアロンの Windows 2000 Professional システムと Server システム、および Windows 2000 ドメイン コントローラでユーザーに割り当てられる既定のユーザー権利です。また、ドメインセキュリティポリシーでの既定のユーザー権利 (既定で "未定義" となっているものすべて) も示されています。ドメインセキュリティポリシーでの割り当ては、ドメインメンバのローカルセキュリティポリシーの設定より優先されます。
ユーザー権利/特権の割り当ては、ローカルセキュリティポリシーとドメインセキュリティポリシーで次のように確認できます。
Windows 2000 Professional
[管理ツール] → [ローカルセキュリティポリシー] → [セキュリティの設定\ローカルポリシー\ユーザー権利の割り当て]
Windows 2000 Server
[管理ツール] → [ローカルセキュリティポリシー] → [セキュリティの設定\ローカルポリシー\ユーザー権利の割り当て]
Windows 2000 Domain Controller
[管理ツール] → [ドメインコントローラセキュリティポリシー] → [Windows の設定\セキュリティの設定\ローカルポリシー\ユーザー権利の割り当て]
[管理ツール] → [ドメインセキュリティポリシー] → [Windows の設定\セキュリティの設定\ローカルポリシー\ユーザー権利の割り当て]
| ユーザー権利/特権 | 説明 | スタンドアロンの Windows 2000 Professional でこの権利を割り当てられるグループ | スタンドアロンの Windows 2000 Server でこの権利を割り当てられるグループ | Windows 2000 のドメインセキュリティポリシーでこの権利を割り当てられるグループ (ドメイン コントローラ上) | AD サービスを使用する Windows 2000 Domain Controller でこの権利を割り当てられるグループ (ドメインコントローラセキュリティポリシー) |
|---|---|---|---|---|---|
| ログオンの権利 | |||||
| ネットワーク経由でコンピュータへアクセス
(SeNetwork LogonRight) |
ネットワーク経由でコンピュータに接続できるユーザーを特定します。 | 既定値 : Administrators Backup Operators Power Users Users Everyone 推奨する変更 : Administrators Backup Operators Power Users Users Authenticated Users | 既定値: Administrators Backup Operators Power Users Users Everyone 推奨する変更 : Administrators Backup Operators Power Users Users Authenticated Users | 既定値: (未定義) 推奨: 変更なし | 既定値: Administrators Authenticated Users Everyone 推奨する変更 : Administrators Authenticated Users |
| バッチジョブとしてログオン
(SeBatch LogonRight) |
ユーザーに対して、バッチキュー機能を使ってログオンすることを許可します。 | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: なし 推奨: 変更なし |
| ローカルログオン
(SeInteractive LogonRight) |
ユーザーに対して、 コンピュータのキーボードからローカルにログオンすることを許可します。 |
既定値:
Administrators
Backup Operators
Power Users
Users
<コンピュータ名> \Guest 推奨する変更 : Administrators Backup Operators Power Users Users |
既定値:
Administrators
Backup Operators
Power Users
Users
<コンピュータ名> \Guest <コンピュータ名> \TsInternetUser 推奨する変更 : Administrators Backup Operators Power Users Users |
既定値: (未定義) 推奨: 変更なし | 既定値: Administrators Account Operators Backup Operators Print Operators Server Operators TsInternetUser 推奨する変更 : Administrators Account Operators Backup Operators Print Operators Server Operators |
| サービスとしてログオン
(SeService LogonRight) |
セキュリティプリンシパルに対して、サービスとしてログオンすることを許可します。サービスとしてログオンする権利が組み込まれている LocalSystem アカウントで実行されるようにサービスを構成できます。別のアカウントで実行されるサービスには、この権利を割り当てる必要があります。 |
既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: なし 推奨: 変更なし |
| ネットワーク経由でコンピュータへアクセスを拒否する
(SeDenyNetwork LogonRight) |
ユーザーまたはグループに対して、ネットワークからコンピュータに接続することを禁止します。 | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: なし 推奨: 変更なし |
| ローカルログオンを拒否する
(SeDeny Interactive LogonRight) |
ユーザーまたはグループに対して、キーボードからローカルにログオンすることを禁止します。 | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: なし 推奨: 変更なし |
| バッチジョブとしてログオンを拒否する
(SeDenyBatch LogonRight) |
ユーザーまたはグループに対して、バッチキュー機能を使ってログオンすることを禁止します。 | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: なし 推奨: 変更なし |
| サービスとしてログオンを拒否する
(SeDenyService LogonRight) |
ユーザーまたはグループに対して、サービスとしてログオンすることを禁止します。 | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: なし 推奨: 変更なし |
| 特権 | |||||
| オペレーティングシステムの一部として機能 (SeTcbPrivilege) | プロセスに対して、ユーザーとして認証を行い、ユーザーと同じリソースにアクセスすることを許可します。このサービスを必要とするのは、低レベルの認証サービスだけです。 アクセスはユーザーに既定で関連付けられているものに限定されません。これは、呼び出しプロセスが任意の追加アクセスをアクセストークンに加えることを要求する可能性があるためです。さらに重要なのは、呼び出しプロセスがありとあらゆるアクセスを提供できる匿名トークンを構築できる点です。さらに、匿名トークンは監査ログでイベントを追跡するためのプライマリ ID を提供しません。 LocalSystem アカウントは、既定でこの特権を使用します。 | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: なし 推奨: 変更なし |
| ドメインにワークステーションを追加
(SeMachine AccountPrivilege) |
ユーザーに対して、特定のドメインにコンピュータを追加することを許可します。この特権を有効にするには、ドメイン内のドメインコントローラのローカルセキュリティポリシーの一部としてこの特権をユーザーに割り当てる必要があります。この特権を持つユーザーは、ドメインにワークステーションを 10 台まで追加できます。 Windows 2000 では、この特権の動作が、組織単位の "コンピュータオブジェクトの作成" アクセス許可および Active Directory の既定のコンピュータコンテナによって再現されます。"コンピュータオブジェクトの作成" アクセス許可を持つユーザーは、ドメインに任意の数のコンピュータを追加できます。 | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: Authenticated Users 推奨する変更 : Domain Admins |
| ファイルとディレクトリのバックアップ
(SeBackup Privilege) |
ユーザーに対して、ファイルとディレクトリのアクセス許可を回避してシステムをバックアップすることを許可します。この特権は、アプリケーションが NTFS バックアップアプリケーションインターフェイス経由でアクセスしようとする場合にのみ選択されます。それ以外の場合は、通常のファイルとディレクトリのアクセス許可が適用されます。 | 既定値: Administrators Backup Operators 推奨: 変更なし | 既定値: Administrators Backup Operators 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: Administrators Backup Operators Server Operators 推奨: 変更なし |
| 走査チェックのバイパス
(SeChange NotifyPrivilege) |
ユーザーに対して、任意の Microsoft Windows ファイルシステムまたはレジストリ内のオブジェクトパスをナビゲートする際に、通常はアクセスできないフォルダを通過することを許可します。この特権では、ユーザーはフォルダの内容を一覧表示できず、そのディレクトリを走査することのみ可能です。 | 既定値:
Administrators
Backup Operators Power Users Users Everyone 推奨: 変更なし |
既定値:
Administrators
Backup Operators Power Users Users Everyone 推奨: 変更なし |
既定値: (未定義) 推奨: 変更なし | 既定値: Administrators Authenticated Users Everyone 推奨: 変更なし |
| システム時刻の変更
(SeSystem TimePrivilege) |
ユーザーに対して、コンピュータ内部の時計の時刻を設定することを許可します。 | 既定値:
Administrators Power Users 推奨: 変更なし |
既定値:
Administrators Power Users 推奨: 変更なし |
既定値: (未定義) 推奨: 変更なし | 既定値: Administrators Server Operators 推奨: 変更なし |
| トークンオブジェクトの作成
(SeCreate TokenPrivilege) |
プロセスに対して、NtCreateToken() またはその他のトークン作成 API を呼び出してアクセストークンを作成することを許可します。 | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: なし 推奨: 変更なし |
| 永続的共有オブジェクトの作成
(SeCreate Permanent Privilege) |
プロセスに対して、Windows 2000 オブジェクトマネージャでディレクトリオブジェクトを作成することを許可します。この特権は、Windows 2000 オブジェクトの名前空間を拡張するカーネルモードコンポーネントに役立ちます。カーネルモードで実行されているコンポーネントには、既にこの特権が与えられているので、新たに割り当てる必要はありません。 |
既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: なし 推奨: 変更なし |
| ページファイルの作成
(SeCreate Pagefile Privilege) |
ユーザーに対して、ページファイルの作成とサイズ変更を許可します。 | 既定値: Administrators 推奨: 変更なし | 既定値: Administrators 推奨 : 変更なし | 既定値: (未定義) 推奨する変更 : Administrators | 既定値: Administrators 推奨 : 変更なし |
| プログラムのデバッグ
(SeDebug Privilege) |
ユーザーに対して、プロセスにデバッガをアタッチすることを許可します。 | 既定値: Administrators 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし |
| ユーザーとコンピュータに委任時の信頼を付与
(SeEnable Delegation Privilege) |
ユーザーに対して、Active Directory でのユーザーまたはグループに関する "委任に対して信頼されている" 設定を変更することを許可します。この特権を付与されるユーザーまたはコンピュータには、オブジェクトのアカウント制御フラグに対する書き込みアクセス権も必要です。 | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし |
| リモートコンピュータからの 強制シャットダウン (SeRemote Shutdown Privilege) |
ユーザーに対して、ネットワーク上のリモートコンピュータからコンピュータをシャットダウンすることを許可します。 | 既定値: Administrators 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし | 既定値: (未定義) 推奨する変更 : Administrators | 既定値: Administrators Server Operators 推奨: 変更なし |
| セキュリティ監査の生成
(SeAudit Privilege) |
プロセスに対して、 セキュリティログでエントリを生成することを許可します。セキュリティログは、システムへの権限のないアクセスおよびその他のセキュリティに関連する動作状況の追跡に使用されます。 |
既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: なし 推奨: 変更なし |
| クォータの増加
(SeIncrease QuotaPrivilege) |
別のプロセスに対する "プロパティの書き込み" アクセスを持つプロセスに対して、もう一方のプロセスに割り当てられているプロセッサクォータを増やすことを許可します。この特権はシステムのチューニングに便利ですが、サービス拒否攻撃などに悪用される可能性もあります。 | 既定値: Administrators 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし | 既定値: (未定義) 推奨する変更 : Administrators | 既定値: Administrators 推奨: 変更なし |
| スケジューリング優先順位の 繰り上げ (SeIncrease BasePriority Privilege) |
別のプロセスに対する "プロパティの書き込み" アクセスを持つプロセスに対して、もう一方のプロセスの実行優先 順位を上げることを 許可します。 |
既定値: Administrators 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし | 既定値: (未定義) 推奨する変更 : Administrators | 既定値: Administrators 推奨: 変更なし |
| デバイスドライバのロードと アンロード (SeLoadDriver Privilege) |
ユーザーに対して、 プラグアンドプレイ デバイスドライバのインストールとアンインストールを許可します。この特権は、プラグアンドプレイ以外のデバイスドライバには適用 されません。これらのデバイスをインストールできるのは、Administrators だけです。デバイスドライバは、信頼された (高度な特権を持つ) プロセスとして実行されることに注意してください。ユーザーがこの特権を悪用して、悪質なプログラムをインストールし、そのプログラムからリソースに有害なアクセスを行う可能性があります。 |
既定値: Administrators 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし | 既定値: (未定義) 推奨する変更 : Administrators | 既定値: Administrators 推奨: 変更なし |
| メモリ内のページのロック
(SeLockMemory Privilege) |
プロセスに対して、 物理メモリにデータを保持することを許可します。これによって、 システムはディスク上の仮想メモリにデータをページングできなくなります。この特権を割り当てると、システム パフォーマンスが大幅に低下するおそれがあります。 |
既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: なし 推奨: 変更なし |
| 監査とセキュリティログの管理
(SeSecurity Privilege) |
ユーザーに対して、ファイル、Active Directory オブジェクト、レジストリキーなどの個別リソースにオブジェクトアクセス監査オプションを指定することを許可します。オブジェクトアクセスの監査は、監査ポリシーで有効になっていない限り、実際には実行されません。この特権を持つユーザーは、イベントビューアからセキュリティログを表示およびクリアすることもできます。 | 既定値: Administrators 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし | 既定値: (未定義) 推奨する変更 : Administrators | 既定値: Administrators 推奨: 変更なし |
| ファームウェアの環境値の修正
(SeSystem Environment Privilege) |
プロセスが API を通じて、またはユーザーが "システムプロパティ" アプレットを通じてシステム環境変数を変更することを許可します。 | 既定値: Administrators 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし | 既定値: (未定義) 推奨する変更 : Administrators | 既定値: Administrators 推奨: 変更なし |
| 単一プロセスのプロファイル
(SeProfileSingle ProcessPrivilege) |
ユーザーに対して、Microsoft Windows NT および Windows 2000 のパフォーマンス監視ツールを使ってシステム外プロセスのパフォーマンスを監視することを許可します。 | 既定値: Administrators Power Users 推奨: 変更なし | 既定値: Administrators Power Users 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし |
| システムパフォーマンスの プロファイル (SeSystem ProfilePrivilege) |
ユーザーに対して、Microsoft Windows NT および Windows 2000 のパフォーマンス監視ツールを使ってシステムプロセスのパフォーマンスを監視 することを許可します。 |
既定値: Administrators 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし | 既定値: (未定義) 推奨する変更 : Administrators | 既定値: Administrators 推奨: 変更なし |
| ドッキングステーションから コンピュータを削除 (SeUndock Privilege) |
ポータブルコンピュータのユーザーに対して、[スタート]、[PC の取り外し] の順にクリックしてコンピュータのロックを解除することを許可します。 | 既定値: Administrators Power Users Users 推奨: 変更なし | 既定値: Administrators Power Users Users 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし |
| プロセスレベルトークンの 置き換え (SeAssign Primary TokenPrivilege) |
親プロセスに対して、子プロセスに関連付けられたアクセストークンを置換することを許可します。 | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: なし 推奨: 変更なし |
| ファイルとディレクトリの復元
(SeRestore Privilege) |
ユーザーに対して、バックアップされたファイルとディレクトリを復元する際にファイルとディレクトリのアクセス許可を回避すること、および有効なセキュリティプリンシパルを オブジェクトの所有者として設定することを許可します。 |
既定値: Administrators Backup Operators 推奨: 変更なし | 既定値: Administrators Backup Operators 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: Administrators Backup Operators Server Operators 推奨: 変更なし |
| システムのシャットダウン
(SeShutdown Privilege) |
ユーザーに対して、ローカルコンピュータのシャットダウンを許可します。 | 既定値: Administrators Backup Operators Power Users Users 推奨する変更 : Administrators Backup Operators Power Users Authenticated Users | 既定値: Administrators Backup Operators Power Users 推奨する変更 : Administrators Backup Operators Power Users Authenticated Users | 既定値: (未定義) 推奨: 変更なし | 既定値: Administrators Account Operators Backup Operators Server Operators Print Operators 推奨: 変更なし |
| ディレクトリサービスデータの同期化
(SeSyncAgent Privilege) |
サービスに対して、ディレクトリ同期化サービスの提供を許可します。この特権は、ドメインコントローラのみに関係します。 ドメインコントローラで LDAP ディレクトリ同期化サービスを使用する場合に必要となります。この特権によって、オブジェクトとプロパティがどのように保護されていても、ディレクトリ内のすべてのオブジェクトとプロパティを読み取れるようになります。ドメインコントローラの Administrator および LocalSystem アカウントには、既定でこの特権が割り当てられます。 | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: (未定義) 推奨: 変更なし | 既定値: Administrator 推奨: 変更なし |
| ファイルとその他のオブジェクトの所有権の取得
(SeTake Ownership Privilege) |
ユーザーに対して、Active Directory オブジェクト、ファイルとフォルダ、プリンタ、レジストリキー、プロセス、スレッドなどのセキュリティで保護できるオブジェクトの所有権を取得することを許可します。 | 既定値: Administrators 推奨: 変更なし | 既定値: Administrators 推奨: 変更なし | 既定値: (未定義) 推奨する変更 : Administrators | 既定値: Administrators 推奨: 変更なし |
| ターミナルデバイスからの 非送信請求データの読み取り (SeUnsolicited InputPrivilege) |
ターミナルデバイスからの非送信請求入力を読み取るために必要です。この特権は廃止されて使われなくなったため、システムでは効力がありません。 | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし | 既定値: なし 推奨: 変更なし |