オペレーティング システムの一部として機能
[オペレーティング システムの一部として機能] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシーの管理、およびセキュリティに関する考慮事項について説明します。
参考
[オペレーティング システムの一部として機能] ポリシー設定は、プロセスがすべてのユーザーの ID を前提としていて、それによってユーザーがアクセスを許可されているリソースへのアクセスを取得するどうかを決定します。通常は低レベルの認証サービスのみ、このユーザー権利が必要です。潜在的なアクセスは、既定ではユーザーと関連付けられているものに制限されません。呼び出し元のプロセスでは、任意の追加の特権をアクセス トークンに追加することを要求する場合があります。呼び出し元のプロセスでは、システム イベント ログで監査するためのプライマリ ID を提供しないアクセス トークンもビルドする場合があります。
定数: SeTcbPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
すべてのユーザー アカウントにこの権利を割り当てないでください。信頼されたユーザーにだけ、このユーザー権利を割り当てます。
サービスでこのユーザー権利が必要な場合は、本来このユーザー権利を含んでいるローカル システム アカウントを使用してサービスを構成しログオンします。個別のアカウントを作成して、このユーザー権利を割り当てないでください。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
次の表に、サポートされている最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[オペレーティング システムの一部として機能] ユーザー権利は、非常に強力です。このユーザー権利を持つユーザーは、デバイスを完全に制御でき、そのアクティビティの証拠を消去することができます。
対策
[オペレーティング システムの一部として機能] ユーザー権利を、できるだけ少数のアカウントに制限します。標準的な環境下での Administrators グループにも割り当てるべきではありません。サービスでこのユーザー権利が必要な場合は、本来この特権を含んでいるローカル システム アカウントでサービスを構成してログオンします。個別のアカウントを作成して、このユーザー権利を割り当てないでください。
考えられる影響
[オペレーティング システムの一部として機能] ユーザー権利は、ローカル システム アカウント以外のアカウントで必要なことはほとんどないので、影響はほとんど、またはまったくありません。