システム設定: オプション サブシステム
[システム設定: オプション サブシステム] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、アプリケーションをサポートするサブシステムを決定します。このセキュリティ設定を使うと、実行環境に必要なサブシステムを必要な数だけ指定できます。
サブシステムには、ログオンをまたいで存続する可能性のあるプロセスに関連したセキュリティ リスクが存在します。ユーザーがプロセスを起動した後でログアウトすると、そのシステムに次にログオンしたユーザーが、前のユーザーが起動したプロセスにアクセスできる可能性があります。最初のユーザーによって起動されたプロセスでは、そのユーザーのシステム ユーザー権利が保持されます。したがって、2 番目のユーザーがそのプロセスを使って実行する操作はすべて、最初のユーザーのユーザー権利で実行されます。これは危険な状況です。この結果、プロセスやオブジェクトを作成したユーザーの追跡が困難になります。このようなユーザーの追跡は、セキュリティの問題が発生した場合の事後検証に欠かせません。
設定可能な値
ユーザー定義のサブシステムの一覧
未定義
ベスト プラクティス
- このポリシー設定を null 値に設定します。既定値は POSIX です。null 値に変更すると、POSIX サブシステムに依存するアプリケーションは動作しなくなります。たとえば、Microsoft Services for UNIX 3.0 では、POSIX サブシステムの更新バージョンがインストールされます。Services for UNIX 3.0 を使うサーバーでは、グループ ポリシーでこのポリシー設定をリセットしてください。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
POSIX |
DC の有効な既定の設定 |
POSIX |
メンバー サーバーの有効な既定の設定 |
POSIX |
クライアント コンピューターの有効な既定の設定 |
POSIX |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
POSIX サブシステムは、オペレーティング システム サービスのセットを定義する電気電子学会 (IEEE) 標準です。POSIX サブシステムを使うアプリケーションをサーバーでサポートする場合は、このサブシステムが必要です。
POSIX サブシステムには、ログオンをまたいで存続する可能性のあるプロセスに関連したセキュリティ リスクがあります。ユーザーがプロセスを起動した後でログアウトすると、そのコンピューターに次にログオンしたユーザーが、前のユーザーのプロセスにアクセスできる可能性があります。この場合、2 番目のユーザーは、最初のユーザーの特権を使ってそのプロセスを操作できることになります。
対策
[システム設定: オプション サブシステム] を null 値に構成します。既定値は POSIX です。
潜在的な影響
POSIX サブシステムに依存するアプリケーションは動作しなくなります。たとえば、Microsoft Services for UNIX (SFU) では、動作要件である POSIX サブシステムの更新バージョンがインストールされます。このため、SFU を使うサーバーでは、グループ ポリシーでこの設定を再構成する必要があります。