ネットワーク アクセス: ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない
[ネットワーク アクセス: ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このセキュリティ設定は、ドメイン認証を取得したときに、後で使用するために資格情報マネージャーがパスワードおよび資格情報を保存するかどうかを指定します。
設定可能な値
有効
資格情報マネージャーによってパスワードおよび資格情報はデバイスに保存されません。
無効
後でドメイン認証に使用するために、資格情報マネージャーによってパスワードおよび資格情報がこのコンピューターに保存されます。
未定義
ベスト プラクティス
資格情報が必要ないすべてのデバイスで、資格情報をキャッシュする Windows オペレーティング システムの機能を無効にすることをお勧めします。サーバーおよびワークステーションを評価し、資格情報が必要かどうかを判断します。キャッシュされた資格情報は主に、ドメインから切断されたときにドメイン資格情報を必要とするノート PC で使用するために設計されています。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
---|---|
既定のドメイン ポリシー |
無効 |
既定のドメイン コントローラー ポリシー |
無効 |
スタンドアロン サーバーの既定の設定 |
無効 |
ドメイン コントローラーの有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターでの GPO の有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
このポリシーに対する変更をローカルに保存した場合またはグループ ポリシーを介して配布した場合は、このポリシーを有効にする前にデバイスを再起動する必要があります。
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル コンピューター上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
キャッシュされているパスワードは、デバイスにログオンしたユーザーがアクセスできます。この情報は明白なことのように思われるかもしれませんが、ユーザーが知らないうちに、パスワードを読み取り、承認されていない別のユーザーにパスワードを転送する悪意のあるソフトウェアを実行すると、問題が発生する可能性があります。
注
適切なソフトウェアの制限のポリシーと組み合わせて企業向けウイルス対策ソリューションを効果的に実装し管理する組織では、このような悪用や、悪意のあるソフトウェアを使用したその他の悪用は大幅に抑えられます。
パスワードの検証ツールの暗号化にどのような暗号化アルゴリズムを使用していても、攻撃者は、検証ツールが属しているユーザーとして認証できるように、パスワードの検証ツールを上書きできます。そのため、管理者のパスワードが上書きされる可能性があります。この処理を行うには、デバイスに物理的にアクセスする必要があります。キャッシュされた検証ツールを上書きできるユーティリティが存在します。このようなユーティリティのいずれかを使用することで、攻撃者は、上書きした値を使用して認証できます。
管理者のパスワードを上書きしても、攻撃者がそのパスワードを使用して暗号化されたデータにアクセスすることはできません。また、パスワードを上書きしても、攻撃者がそのデバイス上の他のユーザーに属するすべての暗号化ファイル システム (EFS) データにアクセスすることはできません。パスワードを上書きしても、攻撃者が検証ツールを置き換えることはできません。ベースのキー材料が正しくないためです。そのため、暗号化ファイル システムを使用して、またはデータ保護 API (DPAPI) を使用して暗号化されたデータの暗号化は解除されません。
対策
[ネットワーク アクセス: ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない] 設定を有効にします。
コンピューターに保存される、変更されたドメインの資格情報の数を制限するには、cachedlogonscount レジストリ エントリを設定します。既定では、個々のユーザーの最も新しい有効なログオン 10 個について検証ツールがオペレーティング システムにキャッシュされます。この値は、0 ~ 50 の値のいずれかに設定できます。既定では、すべてのバージョンの Windows オペレーティング システムが 10 個のキャッシュされたログオンを保存します。ただし、Windows Server 2008 以降では 25 個に設定されています。
Windows ベースのクライアント デバイスからドメインにログオンしようとしたときにドメイン コントローラーが利用できなかった場合、エラー メッセージは表示されません。そのため、キャッシュされたドメイン資格情報でログオンしたことに気付かない場合があります。ReportDC レジストリ エントリにより、キャッシュされたドメイン資格情報を使用したログオンを通知するように設定することができます。
潜在的な影響
ユーザーは、Microsoft アカウントまたは自分のドメイン アカウントにアクセスできないその他のネットワーク リソースにログオンするたびにパスワードの入力を強制されます。Active Directory ベースのドメイン アカウントでアクセスできるように構成されているネットワーク リソースにアクセスするユーザーには、このポリシー設定の影響はありません。