走査チェックのバイパス
[走査チェックのバイパス] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定は、どのユーザー (またはユーザーのアカウントの代理として動作するプロセス) が、フォルダーのスキャンの特殊なアクセス許可のチェックを受けずに NTFS ファイル システムまたはレジストリのオブジェクト パスをナビゲートするためのアクセス許可を持っているかを決定します。このユーザー権利では、ユーザーによるフォルダーの内容の一覧表示は許可されません。許可されているファイルまたはサブフォルダーにアクセスするためのフォルダーのスキャンのみがユーザーに許可されます。
定数: SeChangeNotifyPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
ユーザーがアクセスできないフォルダーまたはファイルがユーザーに表示されないようにする場合は、アクセス ベースの列挙を使います。
ほとんどの場合、このポリシーの既定の設定をそのまま使います。設定を変更する場合は、意図通りの結果になるかテストをして確認します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators Authenticated Users Everyone Local Service Network Service Pre-Windows 2000 Compatible Access |
スタンドアロン サーバーの既定の設定 |
Administrators Backup Operators Users Everyone Local Service Network Service |
ドメイン コントローラーの有効な既定の設定 |
Administrators Authenticated Users Everyone Local Service Network Service Pre-Windows 2000 Compatible Access |
メンバー サーバーの有効な既定の設定 |
Administrators Backup Operators Users Everyone Local Service Network Service |
クライアント コンピューターの有効な既定の設定 |
Administrators Backup Operators Users Everyone Local Service Network Service |
ポリシー管理
ファイルとフォルダーへのアクセス許可は、ファイル システム アクセス制御リスト (ACL) の適切な構成によって制御します。フォルダーをスキャンする機能は、ユーザーにいかなる読み取りまたは書き込みのアクセス許可も提供しません。
このポリシー設定の有効化には、コンピューターの再起動は必要ありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[スキャン チェックのバイパス] 設定の既定の構成では、すべてのユーザーにスキャン チェックのバイパスが許可されます。フォルダーをスキャンする機能は、ユーザーにいかなる読み取りまたは書き込みのアクセス許可も提供しないため、ファイルとフォルダーへのアクセス許可は、ファイル システム アクセス制御リスト (ACL) の適切な構成によって制御します。既定の構成によって問題が発生する可能性がある唯一のシナリオは、アクセス許可を構成する管理者がこのポリシー設定がどのように機能するかを理解していない場合です。たとえば、あるフォルダーにアクセスできないユーザーが、すべての子フォルダーの内容にアクセスできないと管理者が想定する場合があります。このような状況はありそうにないですが、そのためにこの脆弱性には小さなリスクがあります。
対策
セキュリティについて非常に気にする組織は、[スキャン チェックのバイパス] ユーザー権利を持つグループの一覧から Everyone グループと、場合によっては Users グループを削除することがあります。トラバーサルの割り当てを明示的に制御することが、機密情報へのアクセスを制限するための効果的な方法となる場合があります。アクセス ベースの列挙を使うこともできます。アクセス ベースの列挙を使う場合、ユーザーはアクセスできないフォルダーまたはファイルを表示することができません。この機能について詳しくは、「アクセス ベースの列挙」をご覧ください。
考えられる影響
Windows オペレーティング システムと多くのアプリケーションは、コンピューターに正規にアクセスできるすべてのユーザーがこのユーザー権利を持つと想定して設計されています。したがって、運用システムでの変更を行う前に、[スキャン チェックのバイパス] の割り当ての変更を徹底的にテストすることをお勧めします。特に、IIS ではこのユーザー権利が Network Service、Local Service、IIS_WPG、IUSR_<ComputerName>、IWAM_<ComputerName> アカウントに割り当てられていることが必要です。(Users グループのメンバーシップを通じて ASPNET アカウントに割り当てられていることも必要です。)このポリシー設定は既定の構成のままにすることをお勧めします。