デバイス ドライバーのロードとアンロード
[デバイス ドライバーのロードとアンロード] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、デバイス ドライバーを動的にロードおよびアンロードできるユーザーを決定します。このユーザーの権利は、新しいハードウェアの署名されたドライバーがデバイス上の Driver.cab ファイルに存在する場合は必要ありません。デバイス ドライバーは高い特権を持つコードとして実行します。
Windows では、新たに追加されたハードウェアをコンピューターが検出してデバイス ドライバーを自動的にインストールを方法を定義するプラグ アンド プレイ仕様がサポートされます。プラグ アンド プレイが導入される前は、デバイスを接続する前にユーザーがデバイスを手動で構成する必要がありました。このモデルでは、ユーザーがハードウェアを接続すると、Windows が適切なデバイス ドライバー パッケージを検索して、他のデバイスと干渉せずに機能するように自動的に構成します。
デバイス ドライバー ソフトウェアは、コンピューター全体に無制限にアクセスできるオペレーティング システムの一部のように実行するため、広く認知された承認済みのデバイス ドライバーのみを許可することが重要です。
定数: SeLoadDriverPrivilege
設定可能な値
アカウントのユーザー定義一覧
既定値
未定義
ベスト プラクティス
- 潜在的なセキュリティ上のリスクがあるため、システムを支配することが望ましくないユーザー、グループ、またはプロセスにはこのユーザー権利を割り当てないでください。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定ではこの設定は、ドメイン コント ローラー上では [Administrators] および [Print Operators]、スタンドアロン サーバー上では [Administrators] です。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators Print Operators |
スタンドアロン サーバーの既定の設定 |
Administrators |
ドメイン コントローラーの有効な既定の設定 |
Administrators Print Operators |
メンバー サーバーの有効な既定の設定 |
Administrators |
クライアント コンピューターの有効な既定の設定 |
Administrators |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
デバイス ドライバーは高い特権を持つコードとして実行します。[デバイス ドライバーのロードとアンロード] ユーザー権利を持つユーザーは、デバイス ドライバーを装うマルウェアを意図せずにインストールする可能性があります。管理者は注意を払い、検証済みのデジタル署名付きドライバーのみをインストールする必要があります。
注
ローカル プリンターの新しいドライバーをインストールしたり、ローカル プリンターを管理して両面印刷などのオプションの既定値を構成したりするには、このユーザー権利を持つか、ローカルの Administrators グループのメンバーであることが必要です。
対策
[デバイス ドライバーのロードとアンロード] のユーザー権利は、メンバー サーバーの Administrators 以外のユーザーまたはグループに割り当てないでください。ドメイン コントローラーでは、このユーザー権利を Domain Admins 以外のユーザーまたはグループに割り当てないでください。
潜在的な影響
[デバイス ドライバーのロードとアンロード] のユーザー権利を Print Operators グループまたは他のアカウントから削除すると、ご使用の環境内で特定の管理者役割に割り当てられているユーザーの権限を制限する可能性があります。委任されたタスクが悪影響を受けないことを確認する必要があります。