ネットワーク経由のアクセスを拒否
[ネットワーク経由のアクセスを拒否] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このセキュリティ設定では、ネットワーク経由でデバイスにアクセスできないようにするユーザーを決定します。
定数: SeDenyNetworkLogonRight
設定可能な値
アカウントのユーザー定義一覧
Guest
ベスト プラクティス
- Active Directory ドメイン サービスのすべてのプログラムでは、アクセスにネットワーク ログオンを使用するため、このユーザー権利をドメイン コント ローラーを割り当てる際には注意が必要です。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、この設定は、ドメイン コント ローラー上およびスタンドアロン サーバー上では Guest です。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Guest |
スタンドアロン サーバーの既定の設定 |
Guest |
ドメイン コントローラーの有効な既定の設定 |
Guest |
メンバー サーバーの有効な既定の設定 |
Guest |
クライアント コンピューターの有効な既定の設定 |
Guest |
ポリシー管理
このセクションでは、このポリシーの管理に役立てるために利用可能な機能とツールについて説明します。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
このポリシー設定は、[ネットワーク経由でのアクセス] ポリシー設定より優先されます (ユーザー アカウントが両方のポリシーの対象である場合)。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
ネットワーク経由でデバイスにログオンできるユーザーは、アカウント名、グループ名、および共有リソースの一覧を列挙できます。共有フォルダーやファイルにアクセスする権限を持つユーザーは、ネットワーク経由でデータに接続し、場合によっては表示や変更ができます。
対策
[ネットワーク経由でコンピューターへアクセスを拒否する] ユーザー権利を次のアカウントに割り当てます。
匿名でログオンする
ビルトイン ローカル Administrator アカウント
ローカル Guest アカウント
すべてのサービス アカウント
この一覧の重要な例外は、ネットワーク経由でデバイスに接続する必要があるサービスを開始するために使用するすべてのサービス アカウントです。たとえば、web サーバー用の共有フォルダーをアクセスできるように設定して、web サイトからそのフォルダー内のコンテンツを表示するとします。この場合、ネットワークから共有フォルダーを使用してサーバーにログオンするように IIS を実行するアカウントを許可する必要があります。このユーザー権利は、規制の遵守に関する問題のために重要な情報を処理するサーバーとワークステーションを構成する必要がある場合に特に有効です。
考えられる影響
その他のアカウントのために [ネットワーク経由でコンピューターへアクセスを拒否する] ユーザー権利を構成する場合、環境内の特定の管理者の役割に割り当てられているユーザーの権限を制限することができます。委任されたタスクが悪影響を受けないことを確認する必要があります。