単一プロセスのプロファイル
[単一プロセスのプロファイル] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
アプリケーション プロセスのサンプル パフォーマンスをどのユーザーが表示できるかは、このポリシー設定によって決まります。オペレーティング システムに付属のパフォーマンス レポート ツールを使ううえで通常、このユーザー権利は不要です。ただし、システムのモニター コンポーネントが、Windows Management Instrumentation (WMI) を通じてデータを収集するように構成されている場合は必ず、このユーザー権利が必要となります。
定数: SeProfileSingleProcessPrivilege
設定可能な値
アカウントのユーザー定義一覧
Administrators
未定義
ベスト プラクティス
- この権利を個々のユーザーに付与することは避けてください。他のプログラムを監視する信頼の置けるアプリケーションにのみ付与する必要があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、この設定は、ドメイン コントローラー上およびスタンドアロン サーバー上では Administrators です。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators |
スタンドアロン サーバーの既定の設定 |
Administrators |
ドメイン コントローラーの有効な既定の設定 |
Administrators |
メンバー サーバーの有効な既定の設定 |
Administrators |
クライアント コンピューターの有効な既定の設定 |
Administrators |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合、その設定は現在 GPO に制御されています。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[単一プロセスのプロファイル] のユーザー権利は、中程度の脆弱性を招きます。このユーザー権利を持つ攻撃者は、コンピューターのパフォーマンスを監視することで、直接の攻撃対象となりうる重要なプロセスを特定できる可能性があります。コンピューター上で実行されているプロセスが攻撃者によって特定され、ウイルス対策ソフトウェアや侵入検出システムなどを迂回する対抗手段を相手に知られてしまうおそれがあります。コンピューターにログオンしている他のユーザーが特定される可能性もあります。
対策
ローカルの Administrators グループのみに [単一プロセスのプロファイル] ユーザー権利が割り当てられていることを確認します。
潜在的な影響
[単一プロセスのプロファイル] のユーザー権利を Power Users グループなどのアカウントから削除すると、環境内の特定の管理者ロールに割り当てられているユーザーの能力に制限を加える結果となる場合があります。委任されたタスクが悪影響を受けないことを確認する必要があります。