ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル
[ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、ローカル アカウントを使用したネットワーク ログオンの認証方法を指定します。このポリシー設定を [クラシック] に構成した場合、ローカル アカウントの資格情報を使用するネットワーク ログオンは、この資格情報を使用して認証されます。このポリシー設定を [Guest のみ] に構成した場合、ローカル アカウントを使用するネットワーク ログオンは、Guest アカウントに自動的にマップされます。クラシック モデルでは、リソースに対するアクセスを詳細に設定でき、同じリソースに対してもユーザー単位でさまざまなアクセス許可を付与できます。逆に、Guest のみのモデルでは、すべてのユーザーを同等に扱い、一定のリソースに対してすべてのユーザーに同レベルのアクセス ([読み取り専用] または [変更]) が許可されます。
注
このポリシー設定は、ドメイン アカウントを使用するネットワーク ログオンには影響しません。また、このポリシー設定は、Telnet やリモート デスクトップ サービスなどのサービスを使用してリモートで行う対話型ログオンにも影響しません。
ドメインに参加していないデバイスの場合、このポリシー設定は、使用している共有およびセキュリティ モデルに対応するよう、エクスプローラーの [共有] と [セキュリティ] タブも調整します。
このポリシー設定の値が、[Guest のみ - ローカル ユーザーが Guest として認証する] の場合、ネットワーク経由でデバイスにアクセスできるすべてのユーザーがゲスト ユーザー権利を使って認証します。そのため、共有フォルダーに書き込むことができない可能性があります。これによりセキュリティは向上しますが、承認されたユーザーがこれらのシステム上の共有リソースにアクセスできなくなります。値が [クラシック - ローカル ユーザーがローカル ユーザーとして認証する] の場合、ローカル アカウントをパスワードで保護する必要があります。そうしないと、すべてのユーザーがこれらのユーザー アカウントを使用して共有システム リソースにアクセスできてしまいます。
設定可能な値
クラシック - ローカル ユーザーがローカル ユーザーとして認証する
Guest のみ - ローカル ユーザーが Guest として認証する
未定義
ベスト プラクティス
ネットワーク サーバーでは、このポリシーを [クラシック - ローカル ユーザーがローカル ユーザーとして認証する] に設定します。
エンド ユーザーのシステムでは、このポリシーを [Guest のみ - ローカル ユーザーが Guest として認証する] に設定します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
クラシック (ローカル ユーザーがローカル ユーザーとして認証する) |
DC の有効な既定の設定 |
クラシック (ローカル ユーザーがローカル ユーザーとして認証する) |
メンバー サーバーの有効な既定の設定 |
クラシック (ローカル ユーザーがローカル ユーザーとして認証する) |
クライアント コンピューターの有効な既定の設定 |
クラシック (ローカル ユーザーがローカル ユーザーとして認証する) |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル コンピューター上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
Guest のみのモデルでは、ネットワーク経由でデバイスに対して認証できるすべてのユーザーが Guest の特権を使って認証します。そのため、そのデバイス上の共有リソースへの書き込みアクセス許可を持っていない可能性があります。この制限でセキュリティは向上しますが、共有リソースの ACL に Guest アカウント用のアクセス制御エントリ (ACE) を含める必要があるため、承認されたユーザーがコンピューター上の共有リソースにアクセスすることが困難になります。クラシック モデルでは、ローカル アカウントをパスワード保護する必要があります。そうしないと、Guest アクセスが有効になっている場合、すべてのユーザーがそれらのユーザー アカウントを使用して共有システム リソースにアクセスできてしまいます。
対策
ネットワーク サーバーでは、[ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル] 設定を [クラシック - ローカル ユーザーがローカル ユーザーとして認証する] に構成します。エンド ユーザーのコンピューターでは、このポリシー設定を [Guest のみ - ローカル ユーザーが Guest として認証する] に構成します。
潜在的な影響
なし。これは既定の構成です。