永続的共有オブジェクトの作成
[永続的共有オブジェクトの作成] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このユーザー権利は、オブジェクト マネージャーを使ってディレクトリを作成するプロセスによって使われるアカウントを指定します。ディレクトリ オブジェクトには、Active Directory オブジェクト、ファイルとフォルダー、プリンター、レジストリ キー、プロセス、スレッドが含まれます。この権利が付与されたユーザーは、デバイス、セマフォ、ミュー テックスなどの永続的共有オブジェクトを作成できます。このユーザー権利は、オブジェクト名前空間を拡張するカーネル モード コンポーネントに役立ちます。カーネル モードで本質的に実行されるコンポーネントにはこのユーザー権利が割り当てられるため、特別にこの権利を割り当てる必要はありません。
定数: SeCreatePermanentPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
- [永続的共有オブジェクトの作成] ユーザー権利が付与されたユーザーは、新しい共有オブジェクトを作成し、機密性の高いデータをネットワークに公開する可能性があります。そのため、すべてのユーザーにはこの権利を割り当てないでください。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、この権利が付与されるアカウントは LocalSystem のみです。
次の表に、サポートされている最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
LocalSystem |
メンバー サーバーの有効な既定の設定 |
LocalSystem |
クライアント コンピューターの有効な既定の設定 |
LocalSystem |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な各種機能およびツールについて説明します。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[永続的共有オブジェクトの作成] ユーザー権利が付与されたユーザーは、新しい共有オブジェクトを作成し、機密性の高いデータをネットワークに公開する可能性があります。
対策
[永続的共有オブジェクトの作成] ユーザー権利をすべてのユーザーには割り当てないでください。このユーザー権利を必要とするプロセスでは、別のユーザー アカウントではなく、このユーザー権利がすでに含まれているシステム アカウントを使う必要があります。
考えられる影響
なし。既定の構成は [未定義] です。