スケジューリング優先順位の繰り上げ
[スケジューリング優先順位の繰り上げ] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、プロセスの基本優先度クラスを大きくすることができるユーザー アカウントを決定します。優先度クラス内で相対的な優先順位を上げることは特権のある操作ではありません。オペレーティング システムに付属している管理ツールではこのユーザー権利は必要ありませんが、ソフトウェア開発ツールでは必要になることがあります。
具体的には、このセキュリティ設定は、他のプロセスへのプロパティの書き込みアクセス権を持つプロセスを使用して、他のプロセスに割り当てられている実行の優先順位を繰り上げることができるアカウントを決定します。この特権を持つユーザーは、タスク マネージャー ユーザー インターフェイスを使用して、プロセスのスケジューリング優先順位を変更できます。
定数: SeIncreaseBasePriorityPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
Administrators
ベスト プラクティス
- プロセスのスケジューリング優先順位を制御できる唯一のアカウントとして、既定値である [Administrators] を許可します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、この設定は、ドメイン コントローラー上およびスタンドアロン サーバー上では Administrators です。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators |
スタンドアロン サーバーの既定の設定 |
Administrators |
ドメイン コントローラーの有効な既定の設定 |
Administrators |
メンバー サーバーの有効な既定の設定 |
Administrators |
クライアント コンピューターの有効な既定の設定 |
Administrators |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定の有効化には、コンピューターの再起動は必要ありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
このユーザー権利を割り当てられたユーザーが、プロセスのスケジューリング優先順位を [リアルタイム] に繰り上げる可能性があります。これにより、他のすべてのプロセスの処理時間がほぼ消滅し、その結果、サービス拒否状態に至る可能性があります。
対策
[スケジューリング優先順位の繰り上げ] のユーザー権利が Administrators のみに割り当てられていることを確認します。
潜在的な影響
なし。[スケジューリング優先順位の繰り上げ] のユーザー権利を Administrators グループのメンバーに制限することは既定の構成です。