対話型ログオン: スマート カード取り出し時の動作
[対話型ログオン: スマート カード取り出し時の動作] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定では、ログオン ユーザーのスマート カードをスマート カード リーダーから取り出す際の処理を決定します。
スマート カードを認証に使用する場合、カードが取り出されるとデバイスは自動的にロックする必要があります。これにより、ユーザーがデバイスを離れるときに手動でロックし忘れても、悪意のあるユーザーがアクセスすることはできません。
このポリシー設定のプロパティ シートで [ログオフを強制する] を選択すると、スマート カードを取り出したときにユーザーは自動的にログオフします。ユーザーがワークステーションに戻ったら、再びスマート カードを挿入して PIN を再入力する必要があります。
設定可能な値
何もしない
ワークステーションをロックする
これを選択すると、スマート カードが取り外されたときにワークステーションがロックされます。これによりユーザーは、その場を離れるときにスマート カードを取り外して持ち歩くことで、保護されたセッションを維持できます。
ログオフを強制する
これを選択すると、スマート カードが取り外されたときにユーザーが自動的にログオフされます。
リモート デスクトップ サービスのセッションである場合に切断する
これを選択すると、スマート カードが取り外されたときに、ユーザーをログオフせずにセッションが切断されます。これにより、ユーザーは後で、または別のスマート カード リーダーが装備されたコンピューターで、再びログオンする必要なくスマート カードを挿入してセッションを再開することができます。セッションがローカルの場合、このポリシーは [ワークステーションをロックする] と同様に機能します。
未定義
ベスト プラクティス
- [対話型ログオン: スマート カード取り出し時の動作] を [ワークステーションをロックする] に設定します。このポリシー設定のプロパティ シートで [ワークステーションをロックする] を選択すると、スマート カードを取り出したときにワークステーションがロックされます。これによりユーザーは、その場を離れるときにスマート カードを取り外して持ち歩くことで、保護されたセッションを維持できます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
何もしない |
DC の有効な既定の設定 |
何もしない |
メンバー サーバーの有効な既定の設定 |
何もしない |
クライアント コンピューターの有効な既定の設定 |
何もしない |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
ポリシーの競合に関する考慮事項
なし
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル コンピューター上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
ユーザーがワークステーションを離れるときにロックを忘れることがあり、悪意のあるユーザーがデバイスにアクセスする可能性が発生します。認証にスマート カードを使用する場合は、カードが取り出されたらデバイスを自動的にロックする必要があります。これにより、スマート カードを所有するユーザーのみが資格情報を使用してリソースにアクセスすることが保証されます。
対策
[対話型ログオン: スマート カード取り出し時の動作] 設定を [ワークステーションをロックする] に構成します。
このポリシー設定の [ワークステーションをロックする] を選択すると、スマート カードを取り出したときにデバイスがロックされます。ユーザーは、その場を離れるときにスマート カードを取り外して持ち歩くことで、保護されたセッションを維持できます。この動作は、スクリーン セーバーの起動後にユーザーがデバイスでの作業を再開するときにログオンする必要がある設定と似ています。
このポリシー設定で [ログオフを強制する] を選択すると、スマート カードを取り出したときにユーザーは自動的にログオフします。この設定が役立つのは、デバイスが公共のアクセス ポイントに配置されている場合です (キオスク端末またはその他の共有デバイスなど)。
潜在的な影響
[ログオフを強制する] を選択すると、ユーザーはワークステーションに戻ったときに、再びスマート カードを挿入して PIN を再入力する必要があります。