ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる
[ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このセキュリティ設定は、ユーザー アカウントの有効なログオン時間を超えてローカル デバイスに接続しているユーザーを切断するかどうかを決定します。この設定は、サーバー メッセージ ブロック (SMB) のコンポーネントに影響します。
このポリシー設定は Administrator アカウントには適用されませんが、アカウント ポリシーとして機能します。ドメイン アカウントの場合、アカウント ポリシーは 1 つだけ使用できます。アカウント ポリシーは、[既定のドメイン ポリシー] で定義する必要があり、ドメインを構成するドメイン コントローラーによって適用されます。ドメイン コントローラーは常に、[既定のドメイン ポリシー] グループ ポリシー オブジェクト (GPO) からアカウント ポリシーを取得します。これは、ドメイン コントローラーが含まれる組織単位に、異なるアカウント ポリシーが既に適用されている場合も同様です。既定では、ドメインに参加しているワークステーションおよびサーバー (たとえば、メンバー デバイス) も、それぞれのローカル アカウント用に同一のアカウント ポリシーを受け取ります。ただし、メンバー デバイス用のローカル アカウント ポリシーは、メンバー デバイスの含まれる組織単位用のアカウント ポリシーを定義することによって、ドメイン アカウント ポリシーとは異なるものにすることができます。Kerberos の設定は、メンバー デバイスには適用されません。
設定可能な値
有効
このポリシーが有効になっている場合、クライアントのログオン時間を経過すると、SMB サーバーとのクライアント セッションが強制的に切断されます。
無効
このポリシーが無効になっている場合、クライアントのログオン時間を経過した後も、確立されているクライアント セッションを継続することができます。
未定義
ベスト プラクティス
- [ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる] を [有効] に設定します。ユーザーのログオン時間を経過すると、メンバー サーバーで SMB セッションが終了し、ユーザーは次にスケジュールされたアクセス時間が始まるまでシステムにログオンできなくなります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
無効 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
このポリシー設定を無効にした場合、割り当てられたログオン時間を経過してもユーザーがコンピューターに接続したままになる可能性があります。
対策
[ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる] 設定を有効にします。このポリシー設定は Administrator アカウントには適用されません。
潜在的な影響
ユーザーのログオン時間を経過すると、SMB セッションが終了します。ユーザーは、次にスケジュールされたアクセス時間が始まるまでデバイスにログオンできなくなります。