システム暗号化: コンピューターに保存されているユーザー キーに強力なキー保護を強制する
[システム暗号化: コンピューターに保存されているユーザー キーに強力なキー保護を強制する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定では、ユーザーが Secure/Multipurpose Internet Mail Extensions (S/MIME) キーなどの秘密キーをパスワードなしで使用できるかどうかを決定します。
このポリシー設定を構成して、ユーザーがキーの使用時に (ドメイン パスワードのほかに) 毎回パスワードを入力しなければならないようにすると、ユーザー デバイスの制御が攻撃者に奪われ、ログオン パスワードが漏洩した場合でも、悪意のあるユーザーがローカルに保存されているユーザー キーにアクセスするのが困難になります。
設定可能な値
新しいキーが保存されて使用されるときには、ユーザー入力は必要ありません
最初にキーが使用されるときには、ユーザーに要求する
ユーザーがキーを使うときにはパスワードの入力が必要
未定義
ベスト プラクティス
- このポリシーを [ユーザーがキーを使うときにはパスワードの入力が必要] に設定します。ユーザーは、自分のコンピューターに保存されているキーにアクセスするたびにパスワードを入力する必要があります。たとえば、ユーザーが S/MIME 証明書を使ってメールにデジタル署名した場合、ユーザーはデジタル署名済みのメール メッセージを送信するたびにその証明書のパスワードを入力する必要があります。一部の組織では、この値を使うことで生じるオーバーヘッドが非常に大きい可能性があります。しかし、少なくとも値を [最初にキーが使用されるときには、ユーザーに要求する] に設定することをお勧めします。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
DC の有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
ユーザー アカウントがセキュリティ侵害された場合、またはユーザーのデバイスが誤って保護されていない状態にある場合、悪意のあるユーザーは、ユーザーの保存されたキーを使って、保護されているリソースにアクセスできます。
対策
[システム暗号化: コンピューターに保存されているユーザー キーに強力なキー保護を強制する] 設定を [ユーザーがキーを使うときにはパスワードの入力が必要] に構成して、ユーザーがキーを使うたびにドメイン パスワードとは異なるパスワードを入力する必要があるようにします。この構成によって、ユーザーのコンピューターの制御が奪われ、ログオン パスワードが漏洩した場合でも、攻撃者がローカルに保存されたユーザー キーにアクセスするのが困難になります。
潜在的な影響
ユーザーは、自分のデバイスに保存されているキーにアクセスするたびにパスワードを入力する必要があります。たとえば、ユーザーが S/MIME 証明書を使ってメールにデジタル署名した場合、ユーザーはデジタル署名済みのメール メッセージを送信するたびにその証明書のパスワードを入力する必要があります。一部の組織では、この構成を使うことで生じるオーバーヘッドが非常に大きい可能性があります。少なくとも、この設定を [最初にキーが使用されるときには、ユーザーに要求する] に設定することをお勧めします。