回復コンソール: すべてのドライブとフォルダーに、フロッピーのコピーとアクセスを許可する
[回復コンソール: すべてのドライブとフォルダーに、フロッピーのコピーとアクセスを許可する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、回復コンソールの SET コマンドを有効または無効にします。これにより、次に示す回復コンソールの環境変数を設定できます。
AllowWildCards。DEL コマンドなど、一部のコマンドでワイルドカードのサポートを有効にします。
AllowAllPaths。デバイス上のすべてのファイルとフォルダーへのアクセスを許可します。
AllowRemovableMedia。フロッピー ディスクなどのリムーバブル メディアへのファイルのコピーを許可します。
NoCopyPrompt。通常、既存のファイルを上書きする前に表示される確認メッセージを表示しないようにします。
悪意のあるユーザーに盗まれる可能性のある重要なデータやアプリケーションが保存された CD やフロッピー ディスクなどのリムーバブル メディアを置き忘れる場合があります。または、回復コンソールを使用した後、コンピューターに起動ディスクをうっかり置き忘れる可能性があります。何らかの理由でデバイスを再起動した場合に、ハード ディスク ドライブよりも前にリムーバブル メディアから起動するように BIOS が構成されていると、サーバーはリムーバブル ディスクから起動します。これにより、サーバーのネットワーク サービスを使うことができなくなります。
設定可能な値
有効
無効
未定義
ベスト プラクティス
- [Recovery Console: Allow floppy copy and access to drives and folders] (回復コンソール: ドライブとフォルダーに、フロッピーのコピーとアクセスを許可する) を [無効] に設定します。回復コンソールを使ってサーバーを起動し、ビルトイン Administrator アカウントでログインしたユーザーは、ファイルとフォルダーをフロッピー ディスクにコピーできません。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
このポリシーの設定と展開をグループ ポリシーを使用して行った場合、そちらの方がローカル デバイス上の設定よりも優先されます。
ポリシーの競合
なし。
コマンド ライン ツール
このセキュリティ オプションを有効にすると、回復コンソールの SET コマンドが利用できるようになります。これにより、次に示す回復コンソールの環境変数を設定できます。
AllowWildCards: 一部のコマンド (DEL コマンドなど) でワイルドカードのサポートを有効にします。
AllowAllPaths: デバイス上のすべてのファイルとフォルダーへのアクセスを許可します。
AllowRemovableMedia: フロッピー ディスクなどのリムーバブル メディアへのファイルのコピーを許可します。
NoCopyPrompt: 既存のファイルを上書きするときに、確認のメッセージが表示されないようにします。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
システムを回復コンソールで再起動させることができる攻撃者は、監査証跡やアクセスの跡を残さずに重要なデータを盗むことができる可能性があります。
対策
[Recovery console: Allow floppy copy and access to drives and folders] (回復コンソール: ドライブとフォルダーに、フロッピーのコピーとアクセスを許可する) の設定を無効にします。
潜在的な影響
回復コンソールを使ってサーバーを起動し、ビルトイン Administrator アカウントでログインしたユーザーは、ファイルとフォルダーをフロッピー ディスクにコピーできません。