セキュリティ ポリシー設定を管理します。

  • [アーティクル]

 

適用対象: Windows Vista,Windows Server 2008,Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8

IT プロフェッショナル向けのこのトピックでを使用して、ローカル コンピューター上または小規模または中規模の IT 組織全体のセキュリティ ポリシー設定を管理するとおりの方法について説明Windows Server 2012とWindows 8です。

はじめに

セキュリティ ポリシー設定は、セキュリティで保護されたドメイン コント ローラー、サーバー、クライアント コンピューター、および、組織内の他のリソースのために、全体的なセキュリティの実装の一部として使用する必要があります。

セキュリティ設定のポリシーとは、コンピューター、または、コンピューターまたはネットワーク上のリソースを保護するための複数のコンピューターで構成できる規則です。 ローカル グループ ポリシー エディター スナップイン (Gpedit.msc) のセキュリティ設定の拡張機能を使用すると、グループ ポリシー オブジェクト (GPO) の一部としてセキュリティ構成を定義できます。 サイト、ドメイン、および組織単位などの Active Directory コンテナーに Gpo をリンクし、ドメインに参加している任意のコンピューターから複数のコンピューターのセキュリティ設定を管理する管理者は、提供します。

セキュリティ設定では、次の制御を行うことができます。

  • ネットワークまたはコンピューターに対するユーザー認証。

  • ユーザーがアクセスできるリソース。

  • ユーザーまたはグループの操作をイベント ログに記録するかどうか。

  • グループのメンバーシップ。

説明、既定の設定と管理およびセキュリティの考慮事項を含め、各設定の詳細については、次を参照してください。、セキュリティ ポリシー設定のリファレンス、Microsoft ダウンロード センターでします。

セキュリティ設定スナップインの使用方法の詳細については、次を参照してください。、セキュリティ ポリシー設定の技術概要です。

複数のコンピューターのセキュリティ構成を管理するには、次のオプションのいずれかを使用できます。

  • GPO の特定のセキュリティ設定を編集します。

  • 適用するセキュリティ ポリシーを含むセキュリティ テンプレートを作成する、セキュリティ テンプレート スナップインを使用し、グループ ポリシー オブジェクトに、セキュリティ テンプレートをインポートします。 セキュリティ テンプレートには、セキュリティの構成を表すファイルと GPO にインポートまたは、ローカル コンピューターに適用するには、そのまたはセキュリティを分析するために使用できます。

設定を管理する方法には、何が変更されましたか。

時間の経過と共にセキュリティ ポリシー設定を管理する新しい方法が導入されて、これには、オペレーティング システムの新機能および新しい設定の追加が含まれます。 次の表では、セキュリティ ポリシーの設定の管理に使用できる別の手段が一覧表示します。

ツールまたは機能

説明および使用します。

ローカル セキュリティ ポリシー スナップインを使用してください。

Secpol.msc

MMC スナップインでは、セキュリティ ポリシーの設定のみを管理する設計されています。

Secedit コマンドライン ツールを使用

Secedit.exe

構成し、指定したセキュリティ テンプレートと現在の構成を比較することによってシステムのセキュリティを分析します。

セキュリティ コンプライアンス マネージャーを使用します。

ツールのダウンロード

ソリューション アクセラレータを支援する計画、展開、操作、および Windows クライアントおよびサーバー オペレーティング システム、および Microsoft アプリケーションのセキュリティ ベースラインを管理します。

セキュリティ構成ウィザードの使用

Scw.exe

SCW は、サーバーのみで使用できるロール ベースのツールです。サービス、ファイアウォール規則、および特定の役割を実行するのに、選択したサーバーに必要な設定を有効にするポリシーを作成するのにには、これを使用できます。

セキュリティと Configuration Manager の操作

このツールのセットを使用すると、作成、適用、およびローカル コンピューター、組織単位、またはドメインのセキュリティを編集することができます。

グループ ポリシー ツールの使用

Gpmc.msc」と「Gpedit.msc

グループ ポリシー管理コンソールでは、グループ ポリシー オブジェクト エディターを使用して、ローカルのセキュリティのオプションは、ドメイン全体に配布するグループ ポリシー オブジェクトに組み込むことができますを公開します。 ローカル グループ ポリシー エディターでは、ローカル コンピューター上のような機能を実行します。

ソフトウェア制限ポリシー

参照してくださいソフトウェア制限ポリシーを管理します。、TechNet ライブラリです。

Gpedit.msc

ソフトウェア制限のポリシー (SRP) には、ドメイン内のコンピューターで実行されているソフトウェア プログラムを識別するグループ ポリシー ベースの機能と、これらのプログラムを実行する機能を制御します。

AppLocker

参照してくださいAppLocker を管理します。、TechNet ライブラリです。

Gpedit.msc

悪意のあるソフトウェア (マルウェア) と、環境内のコンピューターへの影響からサポートされていないアプリケーションを防止し、インストールして、承認されていないアプリケーションを使用してから、組織のユーザーを防止します。

ローカル セキュリティ ポリシー スナップインを使用してください。

ローカル セキュリティ ポリシー スナップイン (Secpol.msc) には、次のポリシーおよび機能へのローカル ポリシー オブジェクトのビューで制限されます。

  • アカウント ポリシー

  • ローカル ポリシー

  • セキュリティが強化された Windows ファイアウォール

  • ネットワーク リスト マネージャー ポリシー

  • 公開キー ポリシー

  • ソフトウェア制限ポリシー

  • アプリケーション制御ポリシー

  • ローカル コンピューター上の IP セキュリティ ポリシー

  • 監査ポリシーの詳細な構成

コンピューターがドメインに参加している場合、ローカルで設定されたポリシーを上書き可能性があります。

ローカル セキュリティ ポリシー スナップインで、Configuration Manager のセキュリティ ツールのセットの一部です。 このツール セットには、その他のツールについては、次を参照してください。セキュリティと Configuration Manager の操作このトピックの「します。

Secedit コマンドライン ツールを使用

Secedit コマンドライン ツールでは、セキュリティ テンプレートを使用して動作し、6 つの主要な機能を提供します。

  • Configureパラメーターを使用して、誤ったサーバーに、正しいセキュリティ テンプレートを適用することによってサーバー間でセキュリティ上の矛盾を解決できます。

  • Analyzeパラメーターは、選択したテンプレートを使用して、サーバーのセキュリティの構成を比較します。

  • Importパラメーターを使用すると、既存のテンプレートからデータベースを作成します。 セキュリティの構成と分析ツールでは、これもします。

  • Exportパラメーターを使用すると、セキュリティの設定テンプレートに、データベースから設定をエクスポートします。

  • Validateパラメーターを使用すると、すべての行の作成、またはセキュリティ テンプレートに追加したテキストの構文を検証します。 これにより、構文を適用するテンプレートが失敗した場合、テンプレートはできないことの問題。

  • Generate Rollbackパラメーターが、サーバーのセキュリティ設定の多くを既知の状態に復元するために使用できるように、セキュリティ テンプレートに、サーバーの現在のセキュリティ設定を保存します。 適用すると、ロールバックのテンプレートは変更されませんファイルに対するアクセス制御リストのエントリと、ほとんどで最近変更されたレジストリ エントリは、テンプレートを適用するには、例外があります。

Secedit.exe ツールの詳細については、次を参照してください。Secedit [LH]です。

セキュリティ コンプライアンス マネージャーを使用します。

セキュリティ コンプライアンス マネージャーは、計画、展開、運用、および Windows クライアントおよびサーバー オペレーティング システム、および Microsoft のアプリケーションのセキュリティ ベース ラインを管理するのに役立つダウンロード可能なツールです。 推奨されるセキュリティの設定を基準、および複数の形式でこれらの設定を実装するためのオプションをカスタマイズする方法の完全なデータベースが含まれている、XLS、Gpo を含む必要な構成管理 (DCM) パック、またはコンテンツ オートメーションのセキュリティ プロトコル (SCAP)。 セキュリティの基準の展開とコンプライアンスの確認プロセスを自動化するために環境のベースラインをエクスポートするには、セキュリティ コンプライアンス マネージャーを使用します。

セキュリティ コンプライアンス マネージャーを使用してセキュリティ ポリシーを管理するには

  1. 最新バージョンをダウンロード、セキュリティ コンプライアンス マネージャー、Microsoft ダウンロード センターでします。

  2. このツールに含まれている関連するセキュリティ ベースラインのドキュメントを読み取る。

  3. ダウンロードして、関連するセキュリティ基準をインポートします。 インストール プロセスは、基準を選択する手順を示します。

  4. ヘルプを開くし、カスタマイズ、比較、またはこれらの基準を展開する前に、セキュリティ ベースラインをマージする方法を指示に従います。

セキュリティ構成ウィザードの使用

セキュリティ構成ウィザード (SCW) を使用すると、セキュリティ ポリシーの作成、編集、適用、またはロールバックを表示される手順に従って行うことができます。 SCW で作成したセキュリティ ポリシーとは、.xml ファイルで、適用すると、サービス、ネットワークのセキュリティ、特定のレジストリ値、および監査を構成するポリシー。 SCW は、ロール ベースのツールです。サービス、ファイアウォール規則、および特定の役割を実行するのに、選択したサーバーに必要な設定を有効にするポリシーを作成するのにには、これを使用できます。 たとえば、サーバーには、ファイル サーバー、プリント サーバー、またはドメイン コント ローラーがあります。

SCW の使用には次の考慮事項があります。

  • SCW では、不要なサービスを無効にし、セキュリティが強化された Windows ファイアウォールを提供します。

  • SCW で作成したセキュリティ ポリシーは、.inf の拡張子を持つセキュリティ テンプレートと同じものではありません。 セキュリティ テンプレートには、SCW で設定できるセキュリティの設定よりも多くの設定が含まれています。 ただし、SCW のセキュリティ ポリシーのファイルにセキュリティ テンプレートを含めることは可能です。

  • グループ ポリシーを使用して、SCW で作成したセキュリティ ポリシーを展開することができます。

  • SCW は、インストールまたはサーバーの役割を実行するために必要な機能のアンインストールはできません。 ロール固有の機能、サーバー マネージャーをインストールすることができます。

  • SCW は、役割の持つ依存関係を検出します。 役割を選択すると、依存元の役割が自動的に選択されます。

  • SCW を実行するときに、サーバー上では、IP プロトコルおよびポートを使用するすべてのアプリケーションを実行する必要があります。

  • 場合によってには、SCW のヘルプのリンクを使用するためにインターネットに接続する必要があります。

注意

SCW は Windows サーバー上でのみ使用可能なサーバーのインストールのみに適用可能です。

SCW は、サーバー マネージャーを使用または Scw.exe を実行してアクセスできます。 ウィザードは、サーバーのセキュリティを構成する手順を。

  • ネットワーク上の任意のサーバーに適用できるセキュリティ ポリシーを作成します。

  • 既存のセキュリティ ポリシーを編集します。

  • 既存のセキュリティ ポリシーを適用します。

  • 最後に適用されたセキュリティ ポリシーをロールバックします。

セキュリティ ポリシー ウィザード] サービスおよびサーバーの役割に基づくネットワークのセキュリティを構成するだけでなく監査とレジストリの設定を構成します。

手順など、SCW の詳細については、次を参照してください。、セキュリティの構成ウィザードです。

セキュリティと Configuration Manager の操作

Configuration Manager のセキュリティ ツールのセットを使用すると、作成、適用、およびローカル コンピューター、組織単位、またはドメインのセキュリティを編集することができます。

セキュリティの構成マネージャーを使用する方法の手順は、次を参照してください。Configuration Manager のセキュリティです。

次の表は、機能のセキュリティ構成マネージャーを一覧表示します。

Configuration Manager のセキュリティ ツール

説明

セキュリティの構成と分析

テンプレートでは、セキュリティ ポリシーを定義します。 これらのテンプレートは、グループ ポリシーまたはローカル コンピューターに適用できます。

セキュリティ テンプレート

テンプレートでは、セキュリティ ポリシーを定義します。 これらのテンプレートは、グループ ポリシーまたはローカル コンピューターに適用できます。

グループ ポリシーのセキュリティ設定の拡張機能

ドメイン、サイト、または組織単位を個別にセキュリティ設定を編集します。

ローカル セキュリティ ポリシー

ローカル コンピューター上の個々 のセキュリティ設定を編集します。

Secedit [LH]

コマンド プロンプトでのセキュリティの構成タスクを自動化します。

セキュリティの構成と分析

セキュリティの構成と分析は、MMC スナップイン分析して、ローカル システムのセキュリティを構成するためです。

セキュリティ分析

オペレーティング システムと、コンピューター上のアプリケーションの状態は動的です。 たとえば、管理とネットワークの問題をすぐに解決できるように、セキュリティ レベルを一時的に変更する必要があります。 ただし、この変更多くの場合、通常の順序で移動できます。 つまり、コンピューターは企業セキュリティの要件を満たさなくなる可能性があります。

定期的な分析には、管理者を追跡し、適切なエンタープライズ リスクの管理プログラムの一部として、各コンピューターでのセキュリティのレベルができます。 管理者はセキュリティ レベルを調整し、最も重要なは、時間の経過と共に、システムで発生する可能性のあるセキュリティの欠陥を検出します。

セキュリティの構成と分析を使用すると、セキュリティの分析結果を簡単に確認できます。 現在のシステム設定の横の推奨事項を示し、視覚的なフラグや注釈を使用して、現在の設定とセキュリティの提案されたレベルが一致しないすべての領域を強調表示します。 セキュリティの構成と分析は、分析で判明した任意の矛盾を解決する機能も提供します。

セキュリティの構成

ローカル システムのセキュリティを直接構成するのには、セキュリティの構成と分析も使用できます。 個人のデータベースを使用すると、セキュリティ テンプレートで作成されているし、ローカル コンピューターにこれらのテンプレートを適用するセキュリティ テンプレートをインポートすることができます。 すぐに、これは、テンプレートで指定されたレベルにシステムのセキュリティを構成します。

セキュリティ テンプレート

お使いのコンピューターまたはネットワーク、セキュリティ テンプレート スナップインでは Microsoft 管理コンソールのセキュリティ ポリシーを作成できます。 これは、さまざまなシステムのセキュリティを考慮して、アカウントに、単一のエントリ ポイントです。 セキュリティ テンプレート スナップインはされていない新しいセキュリティ パラメーター、単に既存のすべてのセキュリティ属性を 1 つの場所をセキュリティ管理を容易にするにまとめることです。

グループ ポリシー オブジェクトのセキュリティ テンプレートをインポートするには、一度にドメインまたは組織単位のセキュリティを構成することによってドメインの管理が容易になります。

ローカル コンピューターには、セキュリティ テンプレートを適用するには、セキュリティの構成と分析または Secedit コマンドライン ツールを使用できます。

定義するのには、セキュリティ テンプレートを使用できます。

  • アカウント ポリシー

    • [パスワード ポリシー]

    • アカウント ロックアウトのポリシー

    • Kerberos のポリシー

  • ローカル ポリシー

    • 監査ポリシー

    • ユーザー権利の割り当て

    • セキュリティ オプション

  • イベント ログ:アプリケーション、システム、およびセキュリティ イベント ログの設定

  • 制限されたグループ:セキュリティに影響するグループのメンバーシップ

  • システム サービス:起動とシステム サービスのアクセス許可

  • レジストリ:レジストリ キーのアクセス許可

  • ファイル システム:フォルダーとファイルのアクセス許可

各テンプレートは、テキスト ベースの .inf ファイルとして保存されます。 これにより、コピー、貼り付け、インポート、またはテンプレートの属性の一部またはすべてをエクスポートすることができます。 インターネット プロトコル セキュリティと公開キーのポリシーの例外を除き、すべてのセキュリティ属性はセキュリティ テンプレートに含まれていることができます。

グループ ポリシーのセキュリティ設定の拡張機能

組織単位、ドメイン、およびサイトは、グループ ポリシー オブジェクトにリンクされます。 セキュリティ設定ツールでは、構成を変更する、セキュリティ、グループ ポリシー オブジェクトのさらに、複数のコンピューターへの影響を使用します。 セキュリティの設定では、変更、ドメインに参加している 1 台のコンピューターから、グループ ポリシー オブジェクトによっては、多くのコンピューターのセキュリティ設定を変更できます。

セキュリティ設定やセキュリティ ポリシーは、コンピューターまたはコンピューターまたはネットワーク上のリソースを保護するための複数のコンピューターで構成されているルールです。 セキュリティ設定では、次の制御を行うことができます。

  • ネットワークまたはコンピューターにユーザーの認証方法

  • 使用するには、どのようなリソースのユーザーが権限です。

  • かどうか、ユーザーまたはグループの操作は、イベント ログに記録されます。

  • グループのメンバーシップ。

2 つの方法で複数のコンピューターのセキュリティ構成を変更できます。

  • セキュリティ テンプレートを使ってセキュリティ テンプレートを使用して、セキュリティ ポリシーを作成し、[グループ ポリシー オブジェクトにセキュリティ設定から、テンプレートをインポートします。

  • セキュリティ設定にいくつかの [設定を変更します。

ローカル セキュリティ ポリシー

セキュリティ ポリシーは、コンピューターのセキュリティに影響を与えるセキュリティの設定の組み合わせです。 ローカル セキュリティ ポリシーを使用すると、ローカル コンピューター上のアカウント ポリシーおよび [ローカル ポリシーを編集します。

ローカル セキュリティ ポリシーには次の内容を制御できます。

  • お使いのコンピューターにアクセスします。

  • どのようなリソースのユーザーは、コンピューターを使用する権限が。

  • かどうか、ユーザーまたはグループの操作は、イベント ログに記録されます。

ローカル コンピューターがドメインに参加している場合、または、ドメインのポリシーからのメンバーである任意の組織単位のポリシーからは、セキュリティ ポリシーを取得しています。 1 つ以上のソースから、ポリシーを取得する場合、競合は、次の優先順位の順序で解決されます。

  1. 組織単位のポリシー

  2. ドメイン ポリシー

  3. サイト ポリシー

  4. ローカル コンピューター ポリシー

ローカル セキュリティ ポリシーを使用して、ローカル コンピューター上のセキュリティ設定を変更する場合、コンピューター上の設定直接変更します。 そのため、設定直ちに有効になりますが、一時のみあります。 設定が実際に有効になります、ローカル コンピューター上のグループ ポリシー セキュリティ設定では、次の更新までときに、グループ ポリシーから受信したセキュリティ設定の競合がある場所に関係なく、ローカルの設定が上書きされます。

セキュリティの構成マネージャーを使用します。

セキュリティの構成マネージャーを使用する方法の手順は、次を参照してください。セキュリティ構成マネージャー How Toです。 このセクションには、に関するこのトピックの情報が含まれます。

  • セキュリティの設定を適用します。

  • インポートして、セキュリティ テンプレートをエクスポートします。

  • セキュリティを分析して、結果を表示します。

  • セキュリティ上の矛盾を解決します。

  • セキュリティの構成タスクを自動化します。

セキュリティの設定を適用します。

セキュリティ設定を編集した後、設定は、グループ ポリシー オブジェクトにリンクされている組織単位内のコンピューターに更新されます。

  • コンピューターを再起動すると、そのコンピューターの設定が更新されます。

  • セキュリティの設定だけでなくすべてのグループ ポリシー設定を更新するには、次のようにコンピューターには、次を参照してください。、Gpupdate [LH]コマンド ライン ツールです。

1 つ以上のポリシーがコンピューターに適用されるときに、ポリシーの優先順位

、1 つ以上のポリシーで定義されているセキュリティ設定は、次の優先順位を遵守します。

  1. 組織単位のポリシー

  2. ドメイン ポリシー

  3. サイト ポリシー

  4. ローカル コンピューターのポリシー

たとえば、ドメインに参加しているワークステーションでは、そのローカル セキュリティ設定の競合がある場所に関係なく、ドメイン ポリシーによってオーバーライドされるがあります。 同様に、同じワークステーションが組織の単位のメンバーである場合は、ドメインとローカルの設定の両方の組織単位のポリシーから適用される設定ではオーバーライドします。 ワークステーションが 1 つ以上の組織単位のメンバーである場合をすぐに、ワークステーションを含む組織単位が最高の優先順位とします。

注意

使用して、Gpresult [LH]コマンド ライン ツールをコンピューターに移動してどのような順序で、どのようなポリシーが適用されることを確認します。

ドメインのアカウント、パスワード ポリシー、アカウント ロックアウトのポリシー、および Kerberos のポリシーを含む 1 つだけのアカウント ポリシーがあります。

セキュリティの設定で永続化

セキュリティの設定は、設定が適用されていた元のポリシーで定義されて不要になった場合でもにまだ永続化可能性があります。

セキュリティの設定で永続化が発生した場合。

  • 設定が定義されていない以前のコンピューターです。

  • 設定は、レジストリ オブジェクト用です。

  • 設定は、ファイル システム オブジェクト用です。

ローカル ポリシーまたはグループ ポリシー オブジェクトを使用して適用するすべての設定は、コンピューター上のローカル データベースに格納されます。 セキュリティの設定を変更すると、されるたびに、コンピューターは、ローカルのデータベースが、コンピューターに適用されているすべての設定の履歴を保持するセキュリティ設定の値を保存します。 ポリシーが最初に、セキュリティ設定を定義し、その設定を定義しない場合、設定は、データベースには、前の値にします。 データベース内に、前の値が存在しない場合、設定戻すことはできませんが定義されているまま、します。 この動作は、「自ら災いを招く」と呼ばれる場合があります。

レジストリとファイルの設定では、その設定が他の値に設定されるまでに、ポリシーを通じて適用する値を保持します。

グループ メンバーシップに基づいてセキュリティ設定をフィルター処理

ユーザーまたはグループはまたはグループ ポリシー オブジェクトをそのグループ ポリシー オブジェクトに対するグループ ポリシーの適用、または読み取りの権限を拒否することにログオンしているコンピューターに関係なく適用はありません。 どのようなも決定できます。 グループ ポリシーを適用するこれらのアクセス許可の両方が必要です。

インポートして、セキュリティ テンプレートをエクスポートします。

セキュリティの構成と分析は、インポートして、データベースとの間にセキュリティ テンプレートをエクスポートする機能を提供します。

分析データベースにすべての変更を加えた場合は、テンプレートにエクスポートして、これらの設定を保存できます。 エクスポート機能は、新しいテンプレート ファイルとして、分析データベースの設定を保存する機能を提供します。 分析したり、システムを構成したり、このテンプレートのファイルを使用することができますか、グループ ポリシー オブジェクトにインポートできます。

セキュリティを分析して、結果を表示します。

セキュリティの構成と分析は、セキュリティ分析を実行に対してシステムのセキュリティの現在の状態を比較することによって、分析データベースです。 作成時に、分析データベースは、少なくとも 1 つのセキュリティ テンプレートを使用します。 1 つ以上のセキュリティ テンプレートをインポートすることを選択する場合、データベースは、さまざまなテンプレートをマージして、複合の 1 つのテンプレートを作成します。 インポートの順序の競合を解決します。インポートされている最後のテンプレートが優先されます。

セキュリティの構成と分析分析結果を表示セキュリティ エリアに、問題を示す視覚的なフラグを使用します。 セキュリティ エリアでは、セキュリティの各属性の現在のシステムと基本構成設定が表示されます。 分析データベースの設定を変更する、エントリを右クリックし、順にクリックしてプロパティです。

Visual フラグ

意味

赤い X 印

分析データベースでは、システム上にエントリが定義されているが、セキュリティの設定値が一致しません。

緑のチェック マーク

分析データベースでは、システム上にエントリが定義されているし、設定の値と一致します。

疑問符 (?)

エントリは、分析データベースで定義されていないと、そのためは分析されませんでした。

エントリが分析されている場合、分析データベースで定義されていませんか、分析を実行している、ユーザー、特定のオブジェクトまたは領域に対して分析を実行するための十分な権限がないことがあります。

感嘆符

この項目は、分析のデータベースで定義されてが、実際のシステムに存在しません。 たとえば、分析データベースに定義されますが、実際には、分析対象のシステムにも存在しませんが、制限されたグループがあります。

蛍光ペンなし

分析データベース、またはシステムで、項目が定義されていません。

現在の設定を受け入れるように選択すると、基本構成で対応する値に一致するように変更されます。 システム ベースの構成に合わせて設定を変更する場合は、セキュリティの構成と分析、システムを構成するときに、変更が反映されます。

設定を調査して、妥当であると判断したを継続的なフラグを付けることを回避するのには、基本構成を変更できます。 変更は、テンプレートのコピーに行われます。

セキュリティ上の矛盾を解決します。

分析データベースおよびシステム設定の不一致を解決できます。

  • 受け入れるか、またはローカル システムのセキュリティ レベルがそのコンピューターのコンテキスト (またはロール) のために有効であると判断した場合、一部またはすべてのフラグが設定された、または構成では、含まれていないされている値を変更します。 これらの属性値は、データベースで更新され、クリックすると、システムに適用コンピューターを今すぐ構成です。

  • システムと判断した場合は、分析データベースの値をシステムを構成するは、有効なセキュリティのレベルに準拠していないです。

  • 新しい基本構成システムに適用すると、データベースにそのコンピューターのロールの適切なテンプレートをインポートしています。

分析データベースに変更は、セキュリティ テンプレート ファイルではないデータベースに格納されているテンプレートに行われます。 セキュリティのテンプレート ファイルは、するセキュリティ テンプレートに戻るとそのテンプレートを編集するか、同じテンプレート ファイルに格納されている構成をエクスポートする場合にのみ変更されます。

使用する必要がありますコンピューターを今すぐ構成セキュリティ エリアを変更するだけいないのセキュリティをローカル ファイルとフォルダー、レジストリ キー、およびシステム サービスなどのグループ ポリシー設定によって影響を受けます。 それ以外の場合、グループ ポリシー設定が適用されると、それは優先ローカル設定、アカウント ポリシーなどです。 一般に、使用しないコンピューターを今すぐ構成ドメイン ベースのクライアントのセキュリティを分析するときに後する必要が各クライアントを個別に構成します。 この場合は、セキュリティ テンプレートに戻り、テンプレートを変更、および適切なグループ ポリシー オブジェクトを再適用する必要があります。

セキュリティの構成タスクを自動化します。

コマンド プロンプトで、バッチ ファイルまたは自動タスク スケジューラから Secedit.exe ツールを呼び出して、すると、自動的に作成し、テンプレートの適用に使用でき、システムのセキュリティを分析することができます。 実行することできますも動的に、コマンド プロンプトからです。

Secedit.exe は、複数のコンピューターをセキュリティの分析か構成されている必要があり、営業時間外にこれらのタスクを実行する必要がありますがある場合に便利です。

グループ ポリシー ツールの使用

グループ ポリシーは、グループ ポリシー設定とグループ ポリシー基本設定を通じて、ユーザーとコンピューターに対して管理されている構成を指定できるインフラストラクチャです。 ローカル コンピューターまたはユーザーのみに影響を与えるグループ ポリシー設定には、ローカル グループ ポリシー エディターを使用できます。 Active Directory ドメイン サービス (AD DS) 環境でのグループ ポリシー設定およびグループ ポリシー基本設定は、グループ ポリシー管理コンソール (GPMC) で管理できます。 リモート サーバー管理ツール パックにはグループ ポリシー管理ツールも含まれており、これによってグループ ポリシー設定をデスクトップから管理できます。

グループ ポリシーのセキュリティ設定の管理を開始するを参照してください。グループ ポリシーの概要です。

を、グループ ポリシー管理コンソールを使用するのには、のヘルプを参照してください、グループ ポリシー管理コンソール、TechNet ライブラリです。

を、ローカル グループ ポリシー エディターを使用するのには、のヘルプを参照してください、ローカル グループ ポリシー エディターです。