プロセス レベル トークンの置き換え
[プロセス レベル トークンの置き換え] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定では、子プロセスに関連付けられているアクセス トークンを置き換えることができる親プロセスを決定します。
具体的には、[プロセス レベル トークンの置き換え] 設定では、あるサービスから別のサービスを開始するために、CreateProcessAsUser() アプリケーション プログラミング インターフェイス (API) を呼び出すことができるユーザー アカウントを決定します。このユーザー権利を使うプロセスの例として、タスク スケジューラがあります。タスク スケジューラで管理できるすべてのプロセスにこのユーザー権利が拡張されます。
アクセス トークンは、プロセスやスレッドのセキュリティ コンテキストを表すオブジェクトです。トークンの情報には、プロセスまたはスレッドに関連付けられているユーザー アカウントの特権と ID が含まれています。このユーザー権利を使って、このユーザー アカウントの代わりに実行されるすべての子プロセスのアクセス トークンはプロセス レベル トークンで置き換えられます。
定数: SeAssignPrimaryTokenPrivilege
設定可能な値
アカウントのユーザー定義一覧
既定値
未定義
ベスト プラクティス
- メンバー サーバーの場合、Local Service アカウントと Network Service アカウントのみが [プロセス レベル トークンの置き換え] のユーザー権利を持っていることを確認します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、この設定は、ドメイン コントローラー上およびスタンドアロン サーバー上では Network Service と Local Service です。
次の表に、サポートされる最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Network Service Local Service |
スタンドアロン サーバーの既定の設定 |
Network Service Local Service |
ドメイン コントローラーの有効な既定の設定 |
Network Service Local Service |
メンバー サーバーの有効な既定の設定 |
Network Service Local Service |
クライアント コンピューターの有効な既定の設定 |
Network Service Local Service |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合、その設定は現在 GPO に制御されています。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[プロセス レベル トークンの置き換え] のユーザー権利を持つユーザーは、他のユーザーの資格情報を知っていれば、そのユーザーとしてプロセスを開始できます。
対策
メンバー サーバーの場合、Local Service アカウントと Network Service アカウントのみが [プロセス レベル トークンの置き換え] のユーザー権利を持っていることを確認します。
潜在的な影響
ほとんどのコンピューターでは、[プロセス レベル トークンの置き換え] のユーザー権利を Local Service と Network Service ビルトイン アカウントに制限することは既定の構成であり、マイナスの影響はありません。ただし、ASP.NET や IIS などのオプション コンポーネントをインストールしている場合は、他のアカウントに [プロセス レベル トークンの置き換え] のユーザー権利の割り当てが必要になることがあります。たとえば、IIS では、サービス アカウント、Network Service アカウント、IWAM_<ComputerName> アカウントにこのユーザー権利を明示的に割り当てる必要があります。