アカウント: Administrator アカウント名の変更
IT 担当者向けのこのセキュリティ ポリシーのリファレンス トピックでは、このポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
[アカウント: Administrator アカウント名の変更] ポリシー設定は、別のアカウント名が Administrator アカウントのセキュリティ識別子 (SID) に関連付けられているかどうかを判断します。
Administrator アカウントはすべての Windows 10 デスクトップ エディション (Home、Pro、Enterprise、Education) に存在するため、アカウント名を変更すると攻撃者によるこのユーザー名とパスワードの組み合わせの推測が少し難しくなります。
[アカウント: Administrator アカウント名の変更] ポリシー設定の値を指定することによって、Administrator アカウントの名前を変更します。
設定可能な値
ユーザー定義テキスト
未定義
ベスト プラクティス
- このアカウントの使用を許可されたユーザーには、必ず新しいアカウント名を通知してください。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
Administrator |
DC の有効な既定の設定 |
Administrator |
メンバー サーバーの有効な既定の設定 |
Administrator |
クライアント コンピューターの有効な既定の設定 |
Administrator |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。
ポリシーの競合に関する考慮事項
なし。
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル デバイス上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
Administrator アカウントはすべてのバージョンの Windows 10 デスクトップ エディションに存在します。このアカウントの名前を変更すると、承認されていないユーザーがこの特権を持つユーザー名とパスワードの組み合わせを推測することが少しが難しくなります。Windows Vista からは、オペレーティング システムをインストールするユーザーが Administrator グループの最初のメンバーとなりコンピューターを構成するための完全な権利を持つアカウントを指定するため、この対応策は新規インストール時に既定で適用されます。デバイスが Windows の以前のバージョンからアップグレードされた場合、管理者の名前を持つアカウントでは、以前のインストールのアカウントで定義されたすべての権利と特権が保持されます。
攻撃者が間違ったパスワードを何回使用したかには関係なく、ビルトイン Administrator アカウントはロック アウトされません。この機能により Administrator アカウントは、パスワードの推測を試みるブルート フォース攻撃の一番の標的になります。また、このアカウントには既知の SID があり、またアカウント名ではなく、SID を使用して認証を許可する Microsoft 以外のツールがあるため、この対策の価値は減少します。そのため、Administrator アカウントの名前を変更した場合でも、攻撃者は SID を使用してログオンするブルート フォース攻撃を開始できます。
対策
[アカウント: Administrator アカウント名の変更] 設定で新しい名前を指定し、Administrator アカウントの名前を変更します。
考えられる影響
このアカウントの使用を許可されたユーザーに、新しいアカウント名を通知する必要があります。(この設定のガイダンスは、Administrator アカウントが無効でないことを前提とします。)