オブジェクト ラベルの変更
[オブジェクト ラベルの変更] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
この特権は、他のユーザーが所有しているファイル、レジストリ キー、プロセスなどのオブジェクトの整合性ラベルを、どのユーザー アカウントが変更できるかを決定します。あるユーザー アカウントで実行されているプロセスが、そのユーザーにより所有されるオブジェクトのラベルをより下位のレベルに修正する場合、この特権は必要ありません。
整合性ラベルは、Windows Server 2008 および Windows Vista で導入された Windows 整合性コントロール (WIC) 機能で使用されます。WIC は、設定可能な 6 つのラベルのいずれかをシステムのオブジェクトに割り当てることで、整合性の低いプロセスが整合性の高いプロセスを変更しないようにします。WIC 整合性レベルは、オブジェクトに対する随意制御である、NTFS ファイルとフォルダーのアクセス許可に似ていますが、オペレーティング システムによって強制的に適用される必須制御です。次の一覧に、整合性レベルを低いものから高いものの順に示します。
信頼しない 匿名でログオンしているプロセスに対する既定の割り当て。
低 インターネットとやり取りするプロセスに対する既定の割り当て。
中 標準ユーザー アカウントと、高低の整合性レベルが明示的に指定されていない任意のオブジェクトに対する既定の割り当て。
高 管理者アカウントと、管理者権限を使って実行を要求するプロセスに対する既定の割り当て。
システム Windows カーネルとコア サービスに対する既定の割り当て。
インストーラー ソフトウェアをインストールするセットアップ プログラムで使用されます。インストーラー整合性レベルが割り当てられているオブジェクトは他のすべてのオブジェクトをインストール、変更、およびアンインストールできるため、信頼できるソフトウェアのみがコンピューターにインストールされていることが重要です。
定数: SeRelabelPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
- このユーザー権利はどのグループにも割り当てないでください。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定ではこの設定は、ドメイン コントローラー上およびスタンドアロン サーバー上では未定義です。
次の表に、サポートされる最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートする機能、ツール、およびガイダンスについて説明します。
このポリシー設定の有効化には、コンピューターの再起動は必要ありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) を使って次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[オブジェクト ラベルの変更] ユーザー権利を持つユーザーは、ファイルまたはプロセスの整合性レベルを変更し、整合性の低いプロセスで削除できるレベルまで昇格または降格できます。どちらの状態でも、Windows 整合性コントロールによって提供される保護が実質的に回避されるため、システムは悪意のあるソフトウェアによる攻撃を受けやすくなります。
Trusted Installer やシステムなどの上位の整合性レベルで悪意のあるソフトウェアが設定された場合、システムからプログラムを削除する十分な整合性レベルが管理者アカウントにはありません。その場合は、オブジェクトのラベルを変更できるように [オブジェクト ラベルの変更] 権利の使用が必要です。ただし、ラベルの変更は、ラベルを変更するオブジェクトと整合性レベルが同等以上のプロセスを使って行う必要があります。
対策
この権利はどのグループにも割り当てないでください。特定の組織のニーズに対応するには、必要に応じて、信頼できるユーザーに期間限定で割り当ててください。
潜在的な影響
なし。既定の構成は [未定義] です。