対話型ログオン: Ctrl + Alt + Del を必要としない
[対話型ログオン: Ctrl + Alt + Del を必要としない] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
リファレンス
このセキュリティ設定を使用して、ユーザーがログオンするのに Ctrl + Alt + Del キーを押す必要があるかどうかを決定します。
デバイス上でこのポリシーを有効にすると、ユーザーはログオンする際に Ctrl + Alt + Del キーを押す必要がありません。Ctrl + Alt + Del キーを押す必要をなくすと、ユーザーはパスワード傍受攻撃を受けやすくなります。ログオン前に Ctrl + Alt + Del を押さなければならないように設定することで、ユーザーがパスワードを入力する際に、信頼されるパスを使って通信していることが保証されます。
ポリシーを無効にすると、スマート カードを使う場合を除き、すべてのユーザーは、Windows オペレーティング システムにログオンする際に Ctrl + Alt + Del キーを押さなくてはなりません。
この機能は、特定の運動障碍を持つユーザーが、Windows オペレーティング システムを実行しているデバイスに簡単にログオンできるように開発されました。ただし、Ctrl + Alt + Del キーを押す必要をなくすと、ユーザーはパスワード傍受攻撃を受けやすくなります。ログオン前に Ctrl + Alt + Del キーを押さなければならないように設定することで、ユーザーがパスワードを入力する際に、信頼されるパスを使って通信していることが保証されます。
悪意のあるユーザーは、Windows オペレーティング システムの通常のログオン ダイアログ ボックスのように見えるマルウェアをインストールして、ユーザーのパスワードをキャプチャする可能性があります。その後、攻撃者は、レベルにかかわらずそのユーザーが持つ権利を使用して、危害を受けたアカウントにログオンすることができます。
設定可能な値
有効
無効
未定義
ベスト プラクティス
- [Disable CTRL+ALT+DEL requirement for logon] (ログオン時の Ctrl + Alt + Del 要件を無効にする) を [無効] に設定することをお勧めします。スマート カードを使用してログオンしている場合を除き、ログオン ダイアログ ボックスを表示するためにユーザーは 3 つのキーを同時に押す必要があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
ポリシーの競合に関する考慮事項
Windows Server 2008 および Windows Vista 以降では、このポリシーが無効な場合、Ctrl + Alt + Del キーの組み合わせが認証のために必要です。
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル コンピューター上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
この設定により、特定の運動障碍を持つユーザーが、Windows オペレーティング システムを実行しているデバイスに簡単にログオンできるようになります。ただし、ユーザーが Ctrl + Alt + Del キーを押す必要がない場合、パスワード傍受攻撃を受けやすくなります。ログオン前に Ctrl + Alt + Del を押す必要がある場合、ユーザー パスワードは信頼されるパスによって通信されます。
この設定を有効にした場合、攻撃者は Windows オペレーティング システムの通常のログオン ダイアログ ボックスのように見えるマルウェアをインストールして、ユーザーのパスワードをキャプチャする可能性があります。その後、攻撃者は、レベルにかかわらずそのユーザーが持つ権利を使用して、危害を受けたアカウントにログオンすることができます。
対策
[対話型ログオン: Ctrl + Alt + Del を必要としない] 設定を無効にします。
潜在的な影響
スマート カードを使用してログオンしている場合を除き、ログオン ダイアログ ボックスを表示するためにユーザーは 3 つのキーを同時に押す必要があります。