シャットダウン: システムのシャットダウンにログオンを必要としない
[シャットダウン: システムのシャットダウンにログオンを必要としない] セキュリティ ポリシーの設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定では、Windows にログオンすることなくデバイスをシャットダウンできるかどうかを決定します。このポリシー設定を有効にした場合、Windows のログオン画面で [シャットダウン] オプションを使用できます。このポリシー設定を無効にした場合、ログオン画面から [シャットダウン] オプションが削除されます。この構成は、ユーザーがデバイスに正常にログオンできることが必要であり、[システムのシャットダウン] ユーザー権利がないと、ユーザーはシャットダウンを実行できません。
コンソールにローカルにアクセスできるユーザーは、システムをシャットダウンできます。攻撃者や判断を誤ったユーザーが、リモート デスクトップ サービスを使ってサーバーに接続し、自分自身を識別する必要なくサーバーをシャットダウンまたは再起動できます。また、悪意のあるユーザーがローカル コンソールを直接操作してサーバーを再起動またはシャットダウンしてそのすべてのアプリケーションとサービスが利用できなくなったりした結果、一時的にサービス拒否状態に陥る可能性があります。
設定可能な値
有効
シャットダウンのコマンドは、ログオン画面で使用できます。
無効
ログオン画面からシャットダウン オプションが削除され、ユーザーは、[システムのシャットダウン] ユーザー権利がないと、シャットダウンを実行できません。
未定義
ベスト プラクティス
サーバーで、このポリシーを [無効] に設定します。サーバーをシャットダウンまたは再起動するためにサーバーにログオンする必要があります。
クライアント デバイスでこのポリシーを [有効] に設定して、シャットダウンする権利を使用してこれらのリストを定義するか、またはユーザー権利の割り当てのポリシー [システムのシャットダウン] を使用して再起動します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
有効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。
グループ ポリシー
ユーザー権利の割り当てポリシー [システムのシャットダウン] について詳しくは、「[システムのシャットダウン]」をご覧ください。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
コンソールにローカルにアクセスできるユーザーは、デバイスをシャットダウンできます。
ローカル コンソールにアクセスできる攻撃者がサーバーを再起動した結果、一時的な DoS 状態に陥る可能性があります。また、攻撃者がサーバーをシャットダウンした結果、すべてのアプリケーションとサービスが使用できなくなる可能性もあります。
対策
[シャットダウン: システムのシャットダウンにログオンを必要としない] 設定を無効にします。
潜在的な影響
サーバーをシャットダウンまたは再起動するためにサーバーにログオンする必要があります。