対話型ログオン: スマート カードが必要
[対話型ログオン: スマート カードが必要] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
[対話型ログオン: スマート カードが必要] ポリシー設定により、ユーザーはスマート カードを使用してデバイスにログオンする必要があります。
ユーザーが認証のために複雑で長いパスワードを使用する必要がある場合、特に定期的にパスワードを変更しなければならないと、ネットワーク セキュリティが強化されます。これにより、悪意のあるユーザーがブルート フォース攻撃によってユーザーのパスワードを推測できる可能性が低下します。パスワードではなくスマート カードを認証に使用するとセキュリティが大幅に向上します。現在のテクノロジでは、悪意のあるユーザーが別のユーザーになりすますことがほぼ不可能であるためです。暗証番号 (PIN) を必要とするスマート カードによって 2 要素認証が提供されます。ログオンしようとするユーザーはスマート カードを所持し、PIN を認識している必要があります。悪意のあるユーザーが、ユーザーのデバイスとドメイン コントローラーの間の認証トラフィックをキャプチャしても、トラフィックを復号化するのはきわめて困難です。仮に復号化できたとしても、ユーザーが次回ネットワークにログオンするときは、ユーザーとドメイン コントローラー間のトラフィックを暗号化するために新しいセッション キーが生成されます。
設定可能な値
有効
無効
未定義
ベスト プラクティス
- [対話型ログオン: スマート カードが必要] を [有効] に設定します。すべてのユーザーが、スマート カードを使用してネットワークにログオンする必要があります。つまり、組織は、信頼性の高い公開キー基盤 (PKI) を配備して、すべてのユーザーにスマート カードとスマート カード リーダーを提供する必要があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
ポリシーの競合に関する考慮事項
なし。
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル コンピューター上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
ユーザーが強力なパスワードを選択するのは難しい場合があります。また、攻撃者に十分な時間とコンピューティング リソースがあれば、強力なパスワードでさえブルート フォース攻撃に対して脆弱です。
対策
重要なデータを含むコンピューターにアクセスできるユーザーに対しては、スマート カードを発行し、[対話型ログオン: スマート カードが必要] 設定を [有効] に構成します。
潜在的な影響
この設定が有効になっているデバイスのすべてのユーザーは、ローカルでログオンするためにスマート カードを使用する必要があります。つまり、組織は、信頼性の高い公開キー基盤 (PKI) と、これらのユーザーのためのスマート カードとスマート カード リーダーを用意する必要があります。こうした要件には大きな課題があります。このようなテクノロジの計画や展開には専門知識とリソースが必要であるためです。Active Directory 証明書サービス (AD CS) は、証明書を実装し管理するために使用することができます。クライアント上でのユーザーとデバイスの自動登録と自動更新が使用できます。