Kerberos ポリシー

適用対象: Windows Server 2008,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2

IT プロフェッショナルは、このトピックでは、Kerberos のポリシー設定について説明し、ポリシーの設定の説明へのリンクを提供します。

Kerberos version 5 認証プロトコルでは、認証サービスとユーザーのリソースにアクセスし、そのリソースに対してタスクを実行するために必要な承認データの既定のメカニズムを提供します。 Kerberos チケットの有効期間を減らすことでは、盗まれ、攻撃者が正常に使用される、正当なユーザーの資格情報のリスクを軽減します。 ただし、承認のオーバーヘッドも向上します。 ほとんどの環境でこれらの設定を変更するは必要ありません。

これらのポリシー設定に gpo 名**\Computer Configuration\Windows 設定 \ セキュリティ アカウントをポリシー** ドメイン コント ローラーで設定することができます。

セキュリティ ポリシーの設定方法の詳細については、次を参照してください。 セキュリティ ポリシー設定を構成する方法します。

次のトピックでは、実装、ベスト プラクティスに関する考慮事項、ポリシーの場所、サーバーの種類またはバージョンのオペレーティング システム、セキュリティの考慮事項 (各設定の使用可能な設定の脆弱性を含む)、その対策の違い、実行できるし、各設定の影響を与える可能性がある関連の GPO の既定値の詳細についてを提供します。

• ユーザー ログオンの制限を適用します。

  このポリシー設定では、Kerberos V5 キー配布センター (KDC) がユーザー アカウントのユーザー権利のポリシーに対するセッション チケットのすべての要求を検証するかどうかを決定します。

• サービス チケットの最長有効期間

  このポリシー設定では、与えられたセッション チケットは、特定のサービスにアクセスするために使用できます (分) の最大数を決定します。

• ユーザー チケットの最長有効期間

  このポリシー設定では、最大時間 (時間) をユーザーのチケット保証チケットを使用できる量を決定します。

• ユーザー チケットを更新できる最長有効期間

  このポリシー設定では、ユーザーのチケット保証チケットを更新できる期間 (日数) の期間が決まります。

• コンピューターのクロックの同期の最長トレランス

  このポリシー設定では、最大との時差 (分単位) を Kerberos V5 プロトコルで許容されるクライアントのクロックの時刻と Kerberos 認証を提供するドメイン コント ローラー上の時間を決定します。