ネットワーク経由でコンピューターへアクセス
[ネットワーク経由でコンピューターへアクセス] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
[ネットワーク経由でコンピューターへアクセス] ポリシー設定では、ネットワークからデバイスに接続できるユーザーを決定します。この機能は、サーバー メッセージ ブロック (SMB) ベースのプロトコル、NetBIOS、Common Internet File System (CIFS)、Component Object Model Plus (COM +) など、多くのネットワーク プロトコルで必要とされています。
ユーザー、デバイス、およびサービス アカウントは、[ネットワーク経由でのアクセス] ユーザー権利が与えられているセキュリティ グループで明示的または暗黙的に追加または削除されることで、このユーザー権利を取得または喪失します。たとえば、ユーザー アカウントやコンピューター アカウントをカスタムのセキュリティ グループまたは組み込みのセキュリティ グループに明示的に追加したり、Windows によって、ドメイン ユーザー、認証されたユーザー、エンタープライズ ドメイン コント ローラーなどの計算されたセキュリティ グループに暗黙的に追加されるとします。
既定では、認証されたユーザーや、ドメイン コントローラーの場合はエンタープライズ ドメイン コント ローラーなどの計算されるグループが、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) で定義されたときにユーザー アカウントとコンピューター アカウントに [ネットワーク経由でのアクセス] ユーザー権利が与えられます。
定数: SeNetworkLogonRight
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
デスクトップ デバイスまたはメンバー サーバーでは、ユーザーと管理者のみにこの権利が付与されます。
ドメイン コント ローラーでは、認証されたユーザー、エンタープライズ ドメイン コント ローラー、管理者のみにこの権利が付与されます。
この設定には、下位互換性を維持するために [すべてのユーザー] グループが含まれます。Windows のアップグレード時にすべてのユーザーとグループが正しく移行されていることを確認したら、[すべてのユーザー] グループを削除し、[認証されたユーザー] グループを代わりに使う必要があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
次の表に、サポートされている最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
すべてのユーザー、管理者、認証されたユーザー、エンタープライズ ドメイン コントローラー、Pre-Windows 2000 Compatible Access |
スタンドアロン サーバーの既定の設定 |
すべてのユーザー、管理者、ユーザー、バックアップ オペレーター |
ドメイン コントローラーの有効な既定の設定 |
すべてのユーザー、管理者、認証されたユーザー、エンタープライズ ドメイン コントローラー、Pre-Windows 2000 Compatible Access |
メンバー サーバーの有効な既定の設定 |
すべてのユーザー、管理者、ユーザー、バックアップ オペレーター |
クライアント コンピューターの有効な既定の設定 |
すべてのユーザー、管理者、ユーザー、バックアップ オペレーター |
ポリシー管理
このユーザー権利を変更した場合、次の操作を行うと、ユーザーとサービスにネットワーク アクセスの問題が発生することがあります。
エンタープライズ ドメイン コント ローラーのセキュリティ グループを削除する
認証されたユーザー グループ、またはネットワーク経由でコンピューターに接続するためのユーザー権利をユーザー、コンピューター、サービス アカウントに許可する明示的なグループを削除する
すべてのユーザーとコンピューター アカウントを削除する
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
デバイスからネットワークに接続できるユーザーは、アクセスが許可されたターゲット デバイス上のリソースにアクセスできます。たとえば、ユーザーが共有プリンターとフォルダーに接続するには、[ネットワーク経由でコンピューターへアクセス] のユーザー権利が必要です。このユーザー権利が [すべてのユーザー] グループに割り当てられている場合、このグループのすべてのユーザーが共有フォルダー内のファイルを読み取ることができます。Windows Server 2008 R2 または Windows 7 以降の既定のインストールで作成されるグループには Everyone グループは含まれていないため、このような状況はまれです。ただし、デバイスをアップグレードしていて元のデバイスに定義済みのユーザーとグループの一部として Everyone グループが含まれている場合、そのグループがアップグレード プロセスの一環として移行されているため、デバイスに存在します。
対策
[ネットワーク経由でコンピューターへアクセス] のユーザー権利を、コンピューターにアクセスする必要のあるユーザーとグループのみに制限します。たとえば、このポリシー設定を [管理者] と [ユーザー] グループに構成すると、[ドメイン ユーザー] グループのメンバーがローカルの [ユーザー] グループに含まれている場合、ドメインにログオンしたユーザーは、ドメイン内のサーバーで共有されているリソースにアクセスできます。
注
IPsec を使って組織のセキュリティで保護されたネットワーク通信をサポートする場合、コンピューター アカウントを含むグループにこの権利が付与されていることを確認します。この権利は、コンピューター認証の成功に不可欠です。この権利を [認証されたユーザー] または [ドメイン コンピューター] に割り当てると、この要件が満たされます。
考えられる影響
すべてのユーザーのドメイン コントローラー上で [ネットワーク経由でコンピューターへアクセス] のユーザー権利を削除すると、ドメインへのログオンまたはネットワーク リソースの使用を誰もできなくなります。メンバー サーバー上のこのユーザー権利を削除すると、ユーザーはネットワーク経由でそれらのサーバーに接続できなくなります。ASP.NET やインターネット インフォメーション サービス (IIS) などのオプション コンポーネントをインストールしている場合は、それらのコンポーネントで必要とされる他のアカウントにこのユーザー権利を割り当てる必要がある場合があります。ネットワークにアクセスする必要がある認証されたユーザーのデバイスに、このユーザー権利が割り当てられていることを確認することが重要です。