ネットワーク アクセス: リモートからアクセス可能なレジストリ パスおよびサブパス
[ネットワーク アクセス: リモートからアクセス可能なレジストリ パスおよびサブパス] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、アプリケーションまたはプロセスが WinReg キーを参照してアクセス許可を決定するときに、どのレジストリ パスおよびサブパスにアクセスできるかを指定します。
レジストリとは、デバイスの構成情報のデータベースで、その多くは機密性の高い情報です。悪意のあるユーザーは、許可されていない動作を容易にするためにレジストリを使用する可能性があります。この攻撃の可能性を減らすには、レジストリ全体に割り当てる既定の ACL で非常に強い制約を適用し、承認されていないユーザーのアクセスから保護します。
リモート アクセスを許可するには、Remote Registry サービスも有効にする必要があります。
設定可能な値
パスのユーザー定義リスト
未定義
ベスト プラクティス
- このポリシーを null 値に設定します。つまり、ポリシー設定は有効にしますが、テキスト ボックスにパスを入力しません。Microsoft Baseline Security Analyzer や Configuration Manager などのリモート管理ツールでは、レジストリへのリモート アクセスが必要です。アクセス可能なパスの一覧から既定のレジストリ パスを削除すると、これらおよび他の管理ツールが失敗する可能性があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
以下のレジストリ キーの組み合わせを参照してください。 |
DC の有効な既定の設定 |
以下のレジストリ キーの組み合わせを参照してください。 |
メンバー サーバーの有効な既定の設定 |
以下のレジストリ キーの組み合わせを参照してください。 |
クライアント コンピューターの有効な既定の設定 |
以下のレジストリ キーの組み合わせを参照してください。 |
次に示すすべてのレジストリ キーの組み合わせが、前の設定に適用されます。
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
レジストリには、攻撃者が許可されていない動作を容易にするために使用できる、機密性の高いデバイスの構成情報が含まれています。レジストリ全体に割り当てる既定の ACL で非常に強い制約を適用し、承認されていないユーザーのアクセスからレジストリを保護することで、このような攻撃のリスクを減らすことができます。
対策
[ネットワーク アクセス: リモートからアクセスできるレジストリのパスおよびサブパス] 設定を null 値に構成します (設定は有効にするが、テキスト ボックスにパスを入力しません)。
潜在的な影響
MBSA や Configuration Manager などのリモート管理ツールでは、コンピューターを適切に監視および管理するためにレジストリへのリモート アクセスが必要です。アクセス可能なパスの一覧から既定のレジストリ パスを削除すると、このようなリモート管理ツールが失敗する可能性があります。
注
リモート アクセスを許可するには、Remote Registry サービスも有効にする必要があります。