サービスとしてログオン
[サービスとしてログオン] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、プロセスをサービスとして登録できるサービス アカウントを決定します。サービス アカウント下でプロセスを実行すると、人による操作の必要性が回避されます。
定数: SeServiceLogonRight
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
- このユーザー権利を付与されるアカウントの数を最小限に抑えます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、この設定は、ドメイン コントローラー上およびスタンドアロン サーバー上では Network Service です。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
Network Service |
メンバー サーバーの有効な既定の設定 |
Network Service |
クライアント コンピューターの有効な既定の設定 |
Network Service |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定の有効化には、コンピューターの再起動は必要ありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
[サービスとしてのログオンを拒否] ポリシー設定はこのポリシーに優先します (ユーザー アカウントが両方のポリシーの対象である場合)。
グループ ポリシー設定は、次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル デバイスの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[サービスとしてログオン] のユーザー権利は、ユーザーがコンソールにログオンしていない場合でも、コンピューターで継続的に実行されるネットワーク サービスまたはサービスを起動することをアカウントに許可します。管理者特権を持つユーザーのみがサービスをインストールして構成できるという事実によってリスクは軽減されます。そのレベルのアクセス権を既に取得している攻撃者が、Local System アカウントでサービスを実行するように構成する可能性があります。
対策
定義により、Network Service アカウントは、[サービスとしてログオン] のユーザー権利を所有します。この権利は、グループ ポリシー設定では付与されません。このユーザー権利を付与される他のアカウントの数を最小限に抑える必要があります。
潜在的な影響
ほとんどのコンピューターでは、[サービスとしてログオン] のユーザー権利を Local System、Local Service、および Network Service 組み込みアカウントに制限することは既定の構成であり、マイナスの影響はありません。ただし、ASP.NET や IIS などのオプション コンポーネントをインストールしている場合は、それらのコンポーネントで必要とされる他のアカウントに [サービスとしてログオン] のユーザー権利の割り当てが必要になることがあります。IIS では、このユーザー権利が ASPNET ユーザー アカウントに明示的に付与されている必要があります。