対話型ログオン: コンピューターの非アクティブ状態の上限
[対話型ログオン: コンピューターの非アクティブ状態の上限] セキュリティ ポリシー設定のベスト プラクティス、場所、値、管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
Windows Server 2012 および Windows 8 以降の Windows は、セキュリティ ポリシー設定 [対話型ログオン: コンピューターの非アクティブ状態の上限] を使用して、サインイン (ログオン) セッションでユーザー入力が非アクティブ状態であることを検出します。非アクティブ状態の長さがこのポリシーで設定された上限を超えると、スクリーン セーバーが起動されてユーザーのセッションがロックされます。このポリシー設定では、グループ ポリシーを使用してロックの時間を制御できます。
設定可能な値
デバイスの自動ロックは、非アクティブ状態の経過秒数に基づいて 0 ~ 599,940 秒 (166.65 時間) の範囲で設定されます。
[コンピューターがロックされるまでの時間] 入力フィールドの指定が空白 (値がない) か 0 の場合、このポリシー設定は無効になり、セッションでのユーザー入力の非アクティブ状態に対して何もアクションが行われません。
ベスト プラクティス
デバイスの使用方法や場所の要件に基づいて、ユーザー入力の非アクティブ状態の経過時間を設定します。たとえば、デバイスが公共の場所にある場合は、承認されていないアクセスを防ぐために、非アクティブ状態が短期間でもデバイスを自動的にロックする必要があります。ただし、デバイスが、立ち入りが制限されている製造部門などで個人または信頼される個人のグループによって使用されている場合、デバイスを自動的にロックすると生産性を低下させる可能性があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な機能およびツールについて説明します。
再起動の必要性
このポリシーに対する変更をローカルに保存した場合またはグループ ポリシーを介して配布した場合は、有効にするにはコンピューターを再起動する必要があります。
グループ ポリシー
このポリシー設定は Windows Server 2012 および Windows 8 で導入されたため、このポリシー設定を含むそれらのコンピューターのみでローカルに設定できます。ただし、グループ ポリシーを使用して設定し、グループ ポリシーをサポートする Windows オペレーティング システムを実行している任意のコンピューターに配布することができます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
このポリシー設定は、管理対象のデバイスについて、現在サインインしているユーザーがうっかりデスクトップをロックせずに席を外した場合に、不正アクセスを防ぐために役立ちます。Windows Server 2012 および Windows 8 よりも前のバージョンでは、[コントロール パネル] の [個人設定] で個々のコンピューターについてデスクトップ ロック メカニズムが設定されました。
対策
デバイスの使用方法や場所の要件に基づいて、セキュリティ ポリシー設定 [対話型ログオン: コンピューターの非アクティブ状態の上限] を使用して、ユーザー入力の非アクティブ状態の経過時間を設定します。
潜在的な影響
このセキュリティ ポリシー設定では、セキュリティ保護されていないコンピューターへの不正アクセスを制限できます。ただし、制限の要件と本来のユーザーの生産性の要件とのつりあいを保つ必要があります。