リモート コンピューターからの強制シャットダウン
[リモート コンピューターからの強制シャットダウン] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このセキュリティ設定は、ネットワーク上のリモートの場所からデバイスをシャットダウンできるユーザーを決定します。これにより、Administrators グループのメンバーや特定のユーザーがリモートの場所から (再起動などのタスクのために) コンピューターを管理できます。
定数: SeRemoteShutdownPrivilege
設定可能な値
アカウントのユーザー定義一覧
Administrators
ベスト プラクティス
- このユーザー権利を、Administrators グループのメンバーまたはこの機能を必要とする具体的に割り当てられた役割 (非管理オペレーション スタッフなど) に明示的に制限します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、この設定は、ドメイン コントローラー上では [Administrators] および [Server Operators] であり、スタンドアロン サーバー上では [Administrators] です。
次の表に、サポートされる最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators Server Operators |
スタンドアロン サーバーの既定の設定 |
Administrators |
ドメイン コントローラーの有効な既定の設定 |
Administrators Server Operators |
メンバー サーバーの有効な既定の設定 |
Administrators |
クライアント コンピューターの有効な既定の設定 |
Administrators |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定の有効化には、コンピューターの再起動は必要ありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
このポリシー設定は、リモートでアクセスされるコンピューターに適用する必要があります。
グループ ポリシー
このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) とワークステーションやサーバーのローカル セキュリティ ポリシーで定義されています。
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
デバイスをシャットダウンできるユーザーが、サービス拒否状態を発生させる可能性があります。そのため、このユーザー権利は、厳しく制限する必要があります。
対策
[リモート コンピューターからの強制シャットダウン] のユーザー権利を、Administrators グループのメンバーまたはこの機能を必要とする具体的に割り当てられた役割 (非管理オペレーション スタッフなど) に制限します。
潜在的な影響
ドメイン コントローラーでは、[リモート コンピューターからの強制シャットダウン] のユーザー権利を Server Operator グループから削除した場合、環境内の特定の管理の役割を割り当てられているユーザーの能力が制限されます。委任されたアクティビティが悪影響を受けないことを確認する必要があります。