ドッキング ステーションからコンピューターを削除
[ドッキング ステーションからコンピューターを削除] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このセキュリティ設定では、ユーザーがログオンせずにドッキング ステーションからポータブル デバイスのドッキングを解除できるようにするかどうかを決定します。このポリシー設定は、ポータブル コンピューターとドッキング ステーションに関連するシナリオにのみ影響します。
このユーザー権利がユーザーのアカウントに割り当てられている場合 (または、ユーザーがその権利が割り当てられているグループのメンバーである場合)、ドッキング ステーションからポータブル デバイスを削除する前にログオンする必要があります。ログオンしないと、セキュリティ対策として、ユーザーはドッキング ステーションからデバイスを削除した後にログオンできなくなります。このポリシーが割り当てられていない場合、ユーザーはログオンせずにドッキング ステーションからポータブル デバイスを削除できます。さらに、ドッキングを解除した状態になったデバイスを起動し、ログオンすることができます。
定数: SeUndockPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
- ポータブル デバイスの使用が許可されているアカウントだけにこのユーザー権利を割り当てます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
このポータブル デバイスのシナリオは通常、サーバーには適用されません。既定ではこの設定は、ドメイン コントローラー上およびスタンドアロン サーバー上では Administrators です。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators |
スタンドアロン サーバーの既定の設定 |
Administrators |
ドメイン コントローラーの有効な既定の設定 |
Administrators |
メンバー サーバーの有効な既定の設定 |
Administrators |
クライアント コンピューターの有効な既定の設定 |
Administrators |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合、その設定は現在 GPO に制御されています。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[ドッキング ステーションからコンピューターを削除] ユーザー権利を持つユーザーならだれでもログオンして、ドッキング ステーションからポータブル デバイスを削除できます。この設定が定義されていない場合は、この権利がすべてのユーザーに付与されているのと同じ効果があります。ただし、次の要因によってこの対策を実装する価値は減少します。
攻撃者がデバイスを再起動できる場合、BIOS が起動してからオペレーティング システムが起動するまでの間に、ドッキング ステーションからコンピューターを削除できる可能性があります。
通常、サーバーはドッキング ステーションにインストールされていないため、この設定はサーバーには影響しません。
攻撃者がデバイスとドッキング ステーションをまとめて盗む可能性があります。
機械的に装着解除できるデバイスは、ユーザーが Windows 装着解除機能を使っているかどうかに関係なく、物理的に取り外すことができます。
対策
ローカルの Administrators グループとデバイスが割り当てられるユーザー アカウントにのみ、[ドッキング ステーションからコンピューターを削除] ユーザー権利が割り当てられていることを確認します。
潜在的な影響
既定では、ローカルの Administrators グループのメンバーにのみこの権利が付与されます。他のユーザー アカウントには必要に応じて明示的に、このユーザー権限を割り当てる必要があります。組織のユーザーが、ポータブル デバイスのローカルの Administrators グループのメンバーでない場合は、デバイスを先にシャットダウンしないと、ドッキング ステーションからポータブル デバイスを削除できません。そのため、[ドッキング ステーションからコンピューターを削除] 特権をポータブル デバイスのローカルの Users グループに割り当てる場合があります。