認証後にクライアントを偽装
[認証後にクライアントを偽装] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定によって、ユーザーまたは指定された別のアカウントを偽装して、ユーザーの代理として機能することを許可されるプログラムが決まります。この種の偽装にこのユーザー権利が必要な場合、権限のないユーザーは、自分で作成したサービスに、たとえばリモート プロシージャ コール (RPC) や名前付きパイプを使用してクライアントを接続させることができません。(このような操作によって、承認されていないユーザーのアクセス許可が管理者レベルまたはシステム レベルに昇格することがあるためです。)
偽装とは、スレッドがそのスレッドを所有しているプロセスのコンテキストとは異なるセキュリティ コンテキストで実行するための機能です。偽装は、クライアント/サーバー アプリケーションのセキュリティ要件を満たす目的で設計されています。サービスは、クライアントのセキュリティ コンテキストで実行するときは、ある意味でクライアントになります。サービスのスレッドの 1 つが、クライアントの資格情報を表すアクセス トークンを使用して、クライアントがアクセス権を持つオブジェクトへのアクセスを取得します。
偽装の主な目的は、クライアントの ID に対してアクセス チェックを実行することです。アクセス チェックのためにクライアントの ID を使用すると、クライアントのアクセス許可の内容に応じて、アクセスが制限または拡張されます。
サービス コントロール マネージャーによって開始されるサービスによって、組み込みサービス グループがそのアクセス トークンに既定で追加されます。COM インフラストラクチャによって開始され、特定のアカウントで実行するように構成された COM サーバーによっても、そのアクセス トークンにサービス グループが追加されます。この結果、これらのプロセスには起動時にこのユーザー権利が割り当てられます。
定数: SeImpersonatePrivilege
設定可能な値
アカウントのユーザー定義一覧
既定値
未定義
ベスト プラクティス
ユーザーがアクセス トークンを偽装することができるのは、次のいずれかの条件が存在する場合です。
偽装しようとしているアクセス トークンがそのユーザー用のものである。
このログオン セッションで、明示的な資格情報を使用してネットワークにログオンすることにより、ユーザーがアクセス トークンを作成した。
要求されるレベルが [偽装する] よりも下である ([匿名] または [識別] など)。
このような要因があるため、通常はユーザーがこのユーザー権利を必要とすることはありません。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、この設定は、ドメイン コント ローラーおよびスタンドアロン サーバー上で、[Administrators]、[Local Service]、[Network Service]、および [Service] です。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators Local Service Network Service Service |
スタンドアロン サーバーの既定の設定 |
Administrators Local Service Network Service Service |
ドメイン コントローラーの有効な既定の設定 |
Administrators Local Service Network Service Service |
メンバー サーバーの有効な既定の設定 |
Administrators Local Service Network Service Service |
クライアント コンピューターの有効な既定の設定 |
Administrators Local Service Network Service Service |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定の有効化には、コンピューターの再起動は必要ありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[認証後にクライアントを偽装] のユーザー権利を持つ攻撃者は、サービスを作成し、クライアントを欺いてそのサービスに接続させ、そのコンピューターに偽装して、攻撃者のアクセス権のレベルをそのデバイスのアクセス権のレベルに昇格させる可能性があります。
対策
メンバー サーバーで、管理者およびサービス グループ (ローカル サービス、ネットワーク サービス、およびサービス) のみに [認証後にクライアントを偽装] のユーザー権利が割り当てられていることを確認します。
潜在的な影響
ほとんどの場合、この構成による影響はありません。ASP.NET や IIS などのオプション コンポーネントをインストールした場合、[認証後にクライアントを偽装] のユーザー権利を、それらのコンポーネントで必要となるその他のアカウント (IUSR_<ComputerName>、IIS_WPG、ASP.NET、または IWAM_<ComputerName> など) に割り当てる必要があります。