対話型ログオン: 最後のユーザー名を表示しない
[対話型ログオン: 最後のユーザー名を表示しない] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
リファレンス
このセキュリティ ポリシー設定は、デバイスに最後にログオンしたユーザーの名前をセキュリティで保護されたデスクトップに表示するかどうかを決定します。
このポリシーを有効にした場合、最後にログオンに成功したユーザーのフル ネームはセキュリティで保護されたデスクトップに表示されません。ユーザーのログオン タイルも表示されません。さらに、ユーザーの切り替え機能が使用されている場合、フル ネームとログオン タイルは表示されません。ログオン画面では、修飾されたドメイン アカウント名 (またはローカル ユーザー名) とパスワードが要求されます。
このポリシーを無効にした場合、最後にログオンしたユーザーのフル ネームとユーザーのログオン タイルが表示されます。この動作は、ユーザーの切り替え機能が使用されている場合と同じです。
設定可能な値
有効
無効
未定義
ベスト プラクティス
このポリシーの実装は、表示されるログオン情報のセキュリティ要件によって異なります。セキュリティ保護されていない場所で機密データを格納するデバイスを実行してモニターを表示している場合、またはリモート アクセスされるデバイスに機密データが格納されている場合に、ログオンしたユーザーのフル ネームまたはドメイン アカウント名を明らかにすることは全体的なセキュリティ ポリシーに違反します。
セキュリティ ポリシーに応じて、[対話型ログオン: セッションがロックされているときにユーザーの情報を表示する] ポリシーを有効にすることをお勧めします。これにより、セッションがロックされるか起動されるとき、ログオン名が Windows オペレーティング システムによって表示されなくなります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
| サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
|---|---|
既定のドメイン ポリシー |
無効 |
既定のドメイン コントローラー ポリシー |
無効 |
スタンドアロン サーバーの既定の設定 |
無効 |
ドメイン コントローラーの有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターでの GPO の有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
ポリシーの競合に関する考慮事項
なし。
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル コンピューター上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
コンソールにアクセスできる攻撃者 (物理的にアクセスできるユーザーやリモート デスクトップ セッション ホストを使用してデバイスに接続できるユーザーなど) が、最後にログオンしたユーザーの名前を表示する可能性があります。その後、攻撃者が、パスワードを推測したり、辞書やブルート フォース攻撃を使用してログオンを試みる可能性があります。
対策
[対話型ログオン: 最後のユーザー名を表示しない] 設定を有効にします。
潜在的な影響
ローカルにまたはドメインにログオンするとき、ユーザーは常にユーザー名とパスワードを入力する必要があります。ログオンしたすべてのユーザーのログオン タイルは表示されません。