プログラムのデバッグ
[プログラムのデバッグ] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定は、そのユーザーが所有していないプロセスであっても、すべてのプロセスに接続できる、または開くことができるユーザーを決定します。独自のアプリケーションをデバッグする開発者には、このユーザー権利を割り当てる必要はありません。新しいシステム コンポーネントをデバッグする開発者には、このユーザー権利が必要です。このユーザー権利は、慎重な扱いを要する重要なオペレーティング システム コンポーネントへのアクセスを提供します。
定数: SeDebugPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
- セキュリティの脆弱性を軽減するために、信頼されたユーザーにのみこのユーザー権利を割り当てます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、Administrators グループのメンバーにこの権利が付与されます。
次の表に、サポートされている最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators |
スタンドアロン サーバーの既定の設定 |
Administrators |
ドメイン コントローラーの有効な既定の設定 |
Administrators |
メンバー サーバーの有効な既定の設定 |
Administrators |
クライアント コンピューターの有効な既定の設定 |
Administrators |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[プログラムのデバッグ] のユーザー権利を利用して、システム メモリからの機密性の高いデバイスの情報を取得したり、カーネルまたはアプリケーション構造にアクセスし変更を加えたりすることができます。一部の攻撃ツールは、ハッシュされたパスワードとその他のプライベートなセキュリティ情報の抽出、またはマルウェアの挿入にこのユーザー権利を悪用します。既定では、[プログラムのデバッグ] のユーザー権利は管理者のみに割り当てられ、これはこの脆弱性によるリスクを軽減するのに役立ちます。
対策
[プログラムのデバッグ] のユーザー権利を必要としないすべてのユーザーとグループのアカウントを削除します。
考えられる影響
このユーザー権利を無効にした場合、誰もプログラムをデバッグできません。ただし、標準的な環境では、実稼働デバイス上でこの機能はほとんど必要ありません。実稼働サーバー上でアプリケーションをデバッグする必要がある問題が発生した場合、一時的にサーバーを別の組織単位 (OU) に移動して、[プログラムのデバッグ] ユーザー権利をその OU の別のグループ ポリシーに割り当てることができます。