Microsoft ネットワーク サーバー: ログオン時間の有効期間が切れるとクライアントを切断する
[Microsoft ネットワーク サーバー: ログオン時間の有効期間が切れるとクライアントを切断する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、ユーザー アカウントの有効なログオン時間の有効期間を超えてローカル デバイスに接続しているユーザーを強制的に切断する動作を有効または無効にします。この設定は SMB コンポーネントに影響します。このポリシー設定を有効にした場合、クライアントのログオン時間を経過すると、SMB サービスとのクライアント コンピューター セッションが強制的に切断されます。このポリシー設定を無効にした場合、確立されたクライアント デバイス セッションは、クライアント デバイスのログオン時間が経過した後でも保持されます。
設定可能な値
有効
クライアント デバイスのログオン時間を経過すると、SMB サービスとのクライアント デバイス セッションが強制的に切断されます。組織でログオン時間を使用していない場合は、このポリシー設定を有効にしても影響はありません。
無効
システムでは、クライアント デバイスのログオン時間が経過した後でも、確立されたクライアント デバイス セッションが保持されます。
未定義
ベスト プラクティス
- このポリシー設定を有効にした場合、[ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる] も有効にする必要があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
有効 |
DC の有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
有効 |
クライアント コンピューターの有効な既定の設定 |
有効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル コンピューター上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
組織でユーザーのログオン時間を構成している場合、このポリシー設定を有効にするのが適切です。有効にしないと、ログオン時間の有効期間を超えてネットワーク リソースにアクセスすることが適切でないユーザーが、許可された時間内に確立したセッションを引き続き使用して、それらのリソースにアクセスできます。
対策
[Microsoft ネットワーク サーバー: ログオン時間の有効期間が切れるとクライアントを切断する] 設定を有効にします。
潜在的な影響
組織でログオン時間を使用していない場合は、このポリシー設定は影響を与えません。ログオン時間を使用している場合は、ログオン時間を経過すると既存のユーザー セッションが強制的に終了します。