セキュリティ オプション

  • [アーティクル]

 

対象: Windows Vista、Windows Server 2008、Windows 7、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2012、Windows 8

IT プロフェッショナル向けのこのリファレンス トピックは、下にある設定に概説 セキュリティ オプション のローカル セキュリティ ポリシーおよび各設定の詳細情報へのリンク。

セキュリティ オプション 、ローカル コンピューターの動作を構成するためのセキュリティ ポリシー設定の以下のグループが含まれています。 これらのポリシーの一部は、グループ ポリシー オブジェクトに含まれることができますあり、企業の分散します。

ローカルのコンピュータでポリシーの設定を編集する場合、編集した設定はそのコンピュータにのみ適用されます。 Active Directory ドメインにホストされているグループ ポリシー オブジェクト (GPO) の設定を構成する場合、GPO に属するすべてのコンピュータに設定が適用されます。 Active Directory ドメインのグループ ポリシーの詳細については、次を参照してください。 グループ ポリシー(https://go.microsoft.com/fwlink/?LinkId=55625)。

セキュリティ ポリシー スナップインで、関連するテクノロジの機能については、次を参照してください。 セキュリティ ポリシー設定の技術概要します。

ローカル セキュリティ ポリシー スナップイン (secpol.msc) を開きに移動 コンピューターの構成 \windows の設定 \ セキュリティ \ セキュリティ オプションします。

ローカル コンピューターのアクセス許可: ローカルの Administrators グループまたはそれと同等のメンバーシップが最低限のこれらのポリシー設定を変更する必要です。

セキュリティ ポリシーの設定方法の詳細については、次を参照してください。 セキュリティ ポリシー設定を構成する方法します。

グループ化 セキュリティ ポリシーの設定
[アカウント] - アカウント: 管理者アカウントの状態
- アカウント:Microsoft アカウントをブロックする
- アカウント: Guest アカウントの状態
- コンソール ログオンのみにパスワードが空白のローカル アカウントの使用を制限するアカウント。
- 名前の変更管理者アカウントのアカウント:
- Guest アカウントを変更するアカウント。
Audit - 監査: グローバル システム オブジェクトへのアクセスを監査します。
- 監査: バックアップと復元の特権の使用を監査します。
- 監査: Force 監査ポリシーのサブカテゴリ設定 (Windows Vista またはそれ以降) をポリシー カテゴリの監査設定をオーバーライドするには
- 監査: セキュリティ監査を記録できない場合は直ちにシステムをシャット ダウンします。
DCOM - セキュリティ記述子定義言語 (SDDL) 構文で DCOM: コンピューター アクセス制限
- セキュリティ記述子定義言語 (SDDL) 構文で DCOM: コンピューター起動制限
デバイス - : デバイスでは、ログオンなしの装着解除
- リムーバブル メディアを取り出すできる、デバイスの場合。
- デバイスの場合: ユーザーをプリンター ドライバーをインストールできないようにします。
- デバイス: CD-ROM へのアクセスをローカルでログオンしているユーザーのみに制限します。
- デバイス: フロッピーへのアクセスをローカルでログオンしているユーザーのみに制限します。
ドメイン コントローラー - ドメイン コント ローラー: サーバー オペレーターがタスクのスケジュール設定を許可します。
- ドメイン コント ローラー: LDAP サーバー署名必須
- ドメイン コント ローラー: コンピューター アカウントのパスワードの変更を拒否します。
ドメイン メンバー - ドメインのメンバー: デジタル暗号化または署名をセキュリティで保護されたチャネルのデータ (常時).
- ドメインのメンバー: デジタル的に可能な場合)、セキュリティで保護されたチャネルのデータを暗号化
- ドメインのメンバー: デジタル署名はセキュリティ チャネルのデータ (可能な場合)
- ドメインのメンバー: コンピューター アカウントのパスワードの変更を無効にします。
- ドメインのメンバー: 最大コンピューター アカウントのパスワードの有効期間
- ドメインのメンバー: 強力な (Windows 2000 またはそれ以降) のセッション キーが必要
対話型ログオン - 対話型ログオン: セッションがロックされている場合は、ユーザー情報を表示
- 対話型ログオン: 最後のユーザー名を表示しません。
- 対話型ログオン: CTRL + ALT + DEL を必要としません。
- 対話型ログオン: コンピューター アカウントのロックアウトのしきい値
- 対話型ログオン: コンピューターの非アクティブ状態の制限
- 対話型ログオン: ログオンしようとしていますユーザーのメッセージのテキスト。
- 対話型ログオン: ログオンしようとしていますユーザーのメッセージのタイトル。
- 対話型ログオン: (この場合のドメイン コント ローラーは使用できません) をキャッシュする以前のログオンの数
- 対話型ログオン: 有効期限までにパスワードを変更するユーザーの確認
- 対話型ログオン: ワークステーションのロックを解除するドメイン コント ローラーの認証を要求します。
- 対話型ログオン: スマート カードが必要
- 対話型ログオン: スマート カードの削除の動作
Microsoft ネットワーク クライアント - Microsoft ネットワーク クライアント: 常に通信にデジタル署名
- Microsoft ネットワーク クライアント: (サーバーが同意する場合、通信にデジタル署名を行う
- Microsoft ネットワーク クライアント: サード パーティ SMB サーバーへの暗号化されていないパスワードの送信
Microsoft ネットワーク サーバー - Microsoft ネットワーク サーバー: セッションを中断するまでに必要とするアイドル時間
- Microsoft ネットワーク サーバー: S4U2Self を試行して要求情報を取得する
- Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う
- Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う
- Microsoft ネットワーク サーバー: ログオン時間の有効期間が切れるとクライアントを切断する
- Microsoft ネットワーク サーバー: サーバーの SPN をターゲット名の検証レベル
ネットワーク アクセス - ネットワーク アクセス: 匿名の SID と名前の変換を許可します。
- ネットワーク アクセス: 匿名接続のアカウントを許可しません。
- ネットワーク アクセス: アカウントおよび共有に匿名接続を許可しません。
- ネットワーク アクセス: ネットワーク認証のための資格情報およびパスワードの保存を許可しません。
- ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用します。
- ネットワーク アクセス: 名前付きパイプ匿名でアクセスできます。
- ネットワーク アクセス: リモートでアクセスできるレジストリ パス
- ネットワーク アクセス: リモートでアクセスできるレジストリのパスとサブパス
- ネットワーク アクセス: 名前付きパイプと共有への匿名アクセスを制限します。
- ネットワーク アクセス: 共有は匿名でアクセスすることができます
- ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル
ネットワーク セキュリティ - ネットワーク セキュリティ: NTLM のコンピューター id を使用するローカルのシステムを許可します。
- ネットワーク セキュリティ: LocalSystem NULL セッションへのフォールバックを許可
- ネットワーク セキュリティ: オンライン id を使用するこのコンピューターに PKU2U 認証要求を許可します。
- ネットワーク セキュリティ: Kerberos 許可されている暗号化の種類を構成します。
- ネットワーク セキュリティ: 次のパスワードの変更で LAN Manager のハッシュ値を保存しません。
- ネットワーク セキュリティ: ログオン時間の有効期限が切れる強制的にログオフさせる
- ネットワーク セキュリティ: LAN Manager 認証レベル
- ネットワーク セキュリティ: LDAP クライアントの署名の要件
- ネットワーク セキュリティ: NTLM SSP の最小セッションのセキュリティ ベースの (セキュリティで保護された RPC を含む) クライアント
- ネットワーク セキュリティ: NTLM SSP の最小セッションのセキュリティは、(セキュリティで保護された RPC を含む) をベースのサーバー
- ネットワーク セキュリティ: NTLM を制限する: リモート サーバーの例外 NTLM 認証を追加
- ネットワーク セキュリティ: NTLM を制限する: このドメイン内のサーバーの例外の追加
- ネットワーク セキュリティ: NTLM を制限する: NTLM の着信トラフィック
- ネットワーク セキュリティ: NTLM を制限する: このドメインで NTLM 認証
- ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック
- ネットワーク セキュリティ: NTLM を制限する: NTLM の着信トラフィックを監査
- ネットワーク セキュリティ: NTLM を制限する: このドメインの監査の NTLM 認証
回復コンソール - 回復コンソール: 自動管理ログオンを許可します。
- 回復コンソール: フロッピーのコピーとすべてのドライブとフォルダーへのアクセスを許可します。
シャットダウン - シャット ダウン: システムがログオンしなくてもシャット ダウンを許可します。
- 仮想メモリをクリアするページファイルのシャット ダウン:
システムの暗号化 - システム暗号化: コンピューターに保存されているユーザーのキーに強力なキー保護を強制実行
- システム暗号化: 使用 FIPS 準拠アルゴリズム、ハッシュ、署名の暗号化
システム オブジェクト - システム オブジェクト: Windows 以外のサブシステムに対する大文字小文字の区別が必要
- システム オブジェクト: 内部のシステム オブジェクト (例: シンボリック リンク) の既定のアクセス許可を強化します。
システムの設定 - システムの設定: 省略可能なサブシステム
- システムの設定: ソフトウェア制限ポリシーに Windows 実行可能ファイルで使用する証明書の規則
ユーザー アカウント制御 - ビルトイン Administrator アカウントのユーザー アカウント制御: 管理者承認モード
- ユーザー アカウント制御: を使用すると、UIAccess アプリケーションがセキュリティで保護されたデスクトップを使用せずに昇格の確認
- ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作
- ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作
- ユーザー アカウント制御: アプリケーションのインストールと昇格のプロンプトを検出します。
- ユーザー アカウント制御: 署名され検証された実行可能ファイルの昇格のみ
- ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ
- ユーザー アカウント制御: 管理者承認モードでのすべての管理者を実行します。
- 昇格のプロンプト時に、ユーザー アカウント制御: がセキュリティで保護されたデスクトップに切り替える
- ユーザー アカウント制御: 各ユーザーの場所へのファイルおよびレジストリの書き込みエラーを仮想化します。