プロセスのメモリ クォータの増加
[プロセスのメモリ クォータの増加] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
この特権は、プロセスで使用できる最大メモリを変更できるユーザーを指定します。システムでグループまたはユーザーごとに調整する場合は、この特権が便利です。
このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) とワークステーションやサーバーのローカル セキュリティ ポリシーで定義されています。
定数: SeIncreaseQuotaPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
ジョブの実行にメモリ クォータを調整する機能を必要とするユーザーだけに [プロセスのメモリ クォータの増加] ユーザー権利を制限します。
ユーザー アカウントでこのユーザー権利を必要とする場合は、ドメイン アカウントの代わりに、ローカル コンピューター アカウントに割り当てることができます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ユーザー権利の割り当て\
既定値
既定では、管理者、ローカル サービス、およびネットワーク サービス グループのメンバーにこの権利が与えられています。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
管理者 ローカル サービス ネットワーク サービス |
既定のドメイン コントローラー ポリシー |
管理者 ローカル サービス ネットワーク サービス |
スタンドアロン サーバーの既定の設定 |
管理者 ローカル サービス ネットワーク サービス |
ドメイン コントローラーの有効な既定の設定 |
管理者 ローカル サービス ネットワーク サービス |
メンバー サーバーの有効な既定の設定 |
管理者 ローカル サービス ネットワーク サービス |
クライアント コンピューターの有効な既定の設定 |
管理者 ローカル サービス ネットワーク サービス |
ポリシー管理
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[プロセスのメモリ クォータの増加] 特権を持つユーザーは、プロセスに利用可能なメモリ量を減らすことができるため、ビジネス クリティカルなネットワーク アプリケーションで速度低下や不具合が発生する場合があります。悪意のあるユーザーがこの特権を使うと、サービス拒否 (DoS) 攻撃を開始できます。
対策
データベース管理システムを管理するアプリケーションの管理者または組織のディレクトリとそれをサポートするインフラストラクチャを管理するドメイン管理者など、ジョブの実行にこの権利を必要とするユーザーだけに [プロセスのメモリ クォータの増加] ユーザー権利を制限します。
考えられる影響
ユーザーのロールを限られた特権に制限していない組織は、この対策を適用するのは難しい場合があります。また、ASP.NET や IIS などのオプション コンポーネントをインストールしている場合は、それらのコンポーネントで必要とされる他のアカウントに [プロセスのメモリ クォータの増加] ユーザー権利を割り当てる必要がある場合があります。IIS では、IWAM_<ComputerName>、ネットワーク サービス、サービス アカウントにこの権利を明示的に割り当てる必要があります。それ以外の場合、この対策はほとんどのコンピューターに影響ありません。ユーザー アカウントでこのユーザー権利を必要とする場合は、ドメイン アカウントの代わりに、ローカル コンピューター アカウントに割り当てることができます。