対話型ログオン: セッションがロックされているときにユーザーの情報を表示する
[対話型ログオン: セッションがロックされているときにユーザーの情報を表示する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
リファレンス
Windows オペレーティング システムでセッションがロックされているとき (つまり、コンピューターを使用中のユーザーが Ctrl + Alt + Del キーを押してセキュリティで保護されたデスクトップが表示されているとき)、ユーザーの情報が表示されます。既定では、この情報は [<user name> is logged on] (< ユーザー名> がログオンしています) の形式です。表示されるユーザー名は、そのユーザーのプロパティ ページに設定されているユーザーのフル ネームです。これらの設定は、[ユーザーの切り替え] 機能を使用した後でデスクトップに表示されるログオン タイルには適用されません。表示される情報は、次の値を使用してセキュリティ要件を満たすように変更できます。
設定可能な値
ユーザーの表示名、ドメインおよびユーザー名
ローカル ログオンの場合、ユーザーのフル ネームがセキュリティで保護されたデスクトップに表示されます。ドメイン ログオンの場合は、ユーザーのドメインとユーザーのアカウント名が表示されます。
ユーザーの表示名のみ
セッションをロックしたユーザーの名前として、セキュリティで保護されたデスクトップにユーザーのフル ネームが表示されます。
ユーザー情報は表示しない
セキュリティで保護されたデスクトップでは名前が表示されませんが、ユーザーのフル ネームが [ユーザーの切り替え] デスクトップに表示されます。
空白。
既定の設定。これは「未定義」の意味です。ただし、ユーザーのフル ネームが [ユーザーの表示名、ドメインおよびユーザー名] オプションと同様に表示されます。オプションが設定されている場合、このポリシーを空白すなわち未定義にリセットすることはできません。
ベスト プラクティス
このポリシーの実装は、表示されるログオン情報のセキュリティ要件によって異なります。セキュリティ保護されていない場所で機密データを格納するデバイスを実行してモニターを表示している場合、またはリモート アクセスされるコンピューターに機密データが格納されている場合に、ログオンしたユーザーのフル ネームまたはドメイン アカウント名を明らかにすることは全体的なセキュリティ ポリシーに違反します。
セキュリティ ポリシーに応じて、[対話型ログオン: 最後のユーザー名を表示しない] ポリシーを有効にすることをお勧めします。これにより、ログオン名や最後にログオンしたユーザーのログオン タイルが Windows オペレーティング システムによって表示されなくなります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
ユーザーの表示名、ドメインおよびユーザー名 |
メンバー サーバーの有効な既定の設定 |
ユーザーの表示名、ドメインおよびユーザー名 |
クライアント コンピューターでの GPO の有効な既定の設定 |
ユーザーの表示名、ドメインおよびユーザー名 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
ポリシーの競合に関する考慮事項
なし
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル コンピューター上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
セキュリティ保護されていない場所で、セキュリティで保護されたデスクトップがコンピューターに表示されているとき、物理的に、またはリモート接続を介してモニターを見ている人物は特定のユーザー情報を簡単に入手できます。表示されるユーザー情報には、セッションをロックしたユーザーまたは最後にログオンしたユーザーのドメイン ユーザー アカウント名またはフル ネームが含まれます。
対策
このポリシーを有効にすると、(デバイスが起動された後、または Ctrl + Alt + Del キーを使ってセッションがロックされた後で) オペレーティング システムが、セキュリティ保護されたデスクトップ上で特定のユーザー情報を非表示にすることができます。ただし、[ユーザーの切り替え] 機能が使用されると、ログオン タイルがログオンした各ユーザーについて表示されるため、ユーザー情報が表示されます。
[対話型ログオン: 最後のユーザー名を表示しない] ポリシーを有効にすることをお勧めします。これにより、ログオン名や最後にログオンしたユーザーのログオン タイルが Windows オペレーティング システムによって表示されなくなります。
潜在的な影響
このポリシーを有効にしないのと、ポリシーを有効にして [ユーザーの表示名、ドメインおよびユーザー名] オプションを選択するのとは同じ結果になります。
ポリシーが有効で [ユーザー情報は表示しない] を設定した場合、オブザーバーはセキュリティで保護されたデスクトップにログインしているユーザーを確認することはできませんが、[対話型ログオン: 最後のユーザー名を表示しない] ポリシーが有効になっていなければ、ログオン タイルは表示されたままになります。ログオン タイルの構成によっては、ログオンしているユーザーに関する視覚的な手がかりが提供されることがあります。さらに、[対話型ログオン: 最後のユーザー名を表示しない] ポリシーが有効でない場合、[ユーザーの切り替え] 機能でユーザー情報を表示します。