セキュリティ ポリシー設定の管理

  • [アーティクル]

この記事では、ローカル デバイスや小規模または中規模の組織全体でのセキュリティ ポリシー設定を管理するためのさまざまな方法について説明します。

セキュリティ ポリシー設定は、組織内のドメイン コントローラー、サーバー、クライアント デバイス、およびその他のリソースをセキュリティで保護できるように、全体的なセキュリティ実装の一部として使用する必要があります。

セキュリティ設定ポリシーは、デバイスまたはネットワーク上のリソースを保護するために 1 台または複数台のデバイスで構成できる規則です。ローカル グループ ポリシー エディター スナップイン (Gpedit.msc) のセキュリティ設定拡張機能では、グループ ポリシー オブジェクト (GPO) の一部としてセキュリティ構成を定義することができます。GPO は、サイト、ドメイン、組織単位などの Active Directory コンテナーにリンクされ、管理者は GPO を使用して、ドメインに参加している任意のデバイスから複数のコンピューターのセキュリティ設定を管理できます。

セキュリティ設定では、次の項目を制御できます。

  • ネットワークまたはデバイスに対するユーザー認証。

  • ユーザーにアクセスが許可されたリソース。

  • イベント ログにユーザーやグループの操作を記録するかどうか。

  • グループのメンバーシップ。

説明、既定の設定、管理とセキュリティに関する考慮事項などの各設定の詳細については、「セキュリティ ポリシー設定のリファレンス」を参照してください。

複数のコンピューターのセキュリティ構成を管理するには、次のいずれかのオプションを使用できます。

  • GPO で特定のセキュリティ設定を編集します。

  • セキュリティ テンプレート スナップインを使用して、適用するセキュリティ ポリシーが含まれるセキュリティ テンプレートを作成し、グループ ポリシー オブジェクトにセキュリティ テンプレートをインポートします。セキュリティ テンプレートは、セキュリティ構成を表すファイルで、GPO にインポートしたり、ローカル デバイスに適用したり、セキュリティを分析するために使用したりできます。

設定を管理する方法に対する変更点

時間の経過と共にセキュリティ ポリシー設定を管理する新しい方法が導入されており、たとえば新しいオペレーティング システムの機能や新しい設定の追加などがあります。次の表は、セキュリティ ポリシー設定を管理できるさまざまな方法を示しています。

ツールまたは機能 説明と用途

セキュリティ ポリシー スナップイン

Secpol.msc

セキュリティ ポリシー設定のみを管理するように設計された MMC スナップイン。

セキュリティ エディター コマンド ライン ツール

Secedit.exe

現在の構成を指定したセキュリティ テンプレートと比較することで、システムのセキュリティを構成し分析します。

Security Compliance Manager

ツールのダウンロード

Windows クライアントおよびサーバー オペレーティング システム、および Microsoft アプリケーションのセキュリティ ベースラインを計画、展開、運用、および管理できる Solution Accelerator。

セキュリティの構成ウィザード

Scw.exe

SCW は、サーバーのみで利用できる役割ベースのツールです。選択したサーバーが特定の役割を実行するために必要なサービス、ファイアウォール規則、および設定を有効にするポリシーを作成するために使用できます。

セキュリティ構成マネージャー ツール

このツール セットでは、ローカル デバイス、組織単位、またはドメインのセキュリティを作成、適用、および編集できます。

グループ ポリシー

Gpmc.msc と Gpedit.msc

グループ ポリシー管理コンソールでは、グループ ポリシー オブジェクト エディターを使用してローカルのセキュリティ オプションを公開し、グループ ポリシー オブジェクトに組み込んでドメイン全体に配布できるようにします。ローカル グループ ポリシー エディターでは、ローカル デバイス上で同様の機能を実行します。

ソフトウェアの制限のポリシー

ソフトウェアの制限のポリシーの管理」を参照してください。

Gpedit.msc

ソフトウェア制限ポリシー (SRP) は、ドメイン内のコンピューターで実行されているソフトウェア プログラムを特定するグループ ポリシー ベースの機能であり、これらのプログラムを実行する機能を制御します。

AppLocker

AppLocker の管理」を参照してください。

Gpedit.msc

悪意のあるソフトウェア (マルウェア) とサポートされていないアプリケーションが環境内のコンピューターに影響を与えないようにし、組織内のユーザーが承認されていないアプリケーションをインストールおよび使用できないようにします。

 

ローカル セキュリティ ポリシー スナップインの使用

ローカル セキュリティ ポリシー スナップイン (Secpol.msc) は、ローカル ポリシー オブジェクトの表示を次のポリシーと機能に制限します。

  • アカウント ポリシー

  • ローカル ポリシー

  • セキュリティが強化された Windows ファイアウォール

  • ネットワーク リスト マネージャー ポリシー

  • 公開キーのポリシー

  • ソフトウェアの制限のポリシー

  • アプリケーション制御ポリシー

  • ローカル コンピューター上の IP セキュリティ ポリシー

  • 高度な監査ポリシー構成

コンピューターがドメインに参加している場合、ローカルに設定されたポリシーが上書きされる可能性があります。

ローカル セキュリティ ポリシー スナップインは、セキュリティ構成マネージャー ツール セットの一部です。このツール セットのその他のツールの詳細については、このトピックの「セキュリティ構成マネージャーの操作」を参照してください。

secedit コマンド ライン ツールの使用

secedit コマンドライン ツールは、セキュリティ テンプレートを操作し、6 つの主な機能が用意されています。

  • Configure パラメーターは、誤りのあるサーバーに正しいセキュリティ テンプレートを適用することによりデバイス間でのセキュリティの不一致を解決するために役立ちます。

  • Analyze パラメーターは、サーバーのセキュリティ構成と選択したテンプレートを比較します。

  • Import パラメーターでは、既存のテンプレートからデータベースを作成することができます。セキュリティの構成と分析ツールでも、この操作を実行します。

  • Export パラメーターでは、データベースからセキュリティ設定テンプレートに設定をエクスポートすることができます。

  • Validate パラメーターでは、作成またはセキュリティ テンプレートに追加した各テキスト行または任意のテキスト行の構文を検証することができます。これにより、テンプレートで構文の適用に失敗した場合でも、テンプレートは問題になりません。

  • Generate Rollback パラメーターでは、サーバーの現在のセキュリティ設定をセキュリティ テンプレートに保存して、サーバーのセキュリティ設定の多くを既知の状態に復元するために使用できるようにします。例外として、ロールバック テンプレートは、適用しても、最後に適用したテンプレートによって変更された、ファイルまたはレジストリ エントリのアクセス制御リスト エントリを変更しません。

Security Compliance Manager の使用

Security Compliance Manager は、ダウンロード可能なツールで、Windows クライアントおよびサーバー オペレーティング システム、および Microsoft アプリケーションのセキュリティ ベースラインを計画、展開、運用、および管理できます。推奨されるセキュリティ設定、ベースラインをカスタマイズする方法、およびこれらの設定を複数の形式 (XLS、GPO、必要な構成管理 (DCM) パック、セキュリティ設定共通化手順 (SCAP) など) で実装するためのオプションに関する完全なデータベースが含まれています。Security Compliance Manager は、ベースラインを環境にエクスポートして、セキュリティ ベースラインの展開と準拠の検証プロセスを自動化するために使用されます。

Mt634177.wedge(ja-jp,VS.85).gifSecurity Compliance Manager を使用してセキュリティ ポリシーを管理するには

  1. 最新バージョンをダウンロードします。詳細については、「Microsoft セキュリティ ガイダンス」ブログを参照してください。

  2. このツールに含まれている関連するセキュリティ ベースラインのドキュメントを読みます。

  3. 関連するセキュリティ ベースラインをダウンロードしてインポートします。インストール プロセスに従ってベースラインを選択します。

  4. ヘルプを開き、セキュリティ ベースラインを展開する前にベースラインをカスタマイズ、比較、または結合する方法の手順に従います。

セキュリティの構成ウィザードの使用

セキュリティの構成ウィザード (SCW) では、セキュリティ ポリシーを作成、編集、適用、またはロールバックします。SCW で作成するセキュリティ ポリシーは、適用するとサービス、ネットワーク セキュリティ、特定のレジストリ値、および監査ポリシーを構成する .xml ファイルです。SCW は、役割ベースのツールです。選択したサーバーが特定の役割を実行するために必要なサービス、ファイアウォール規則、および設定を有効にするポリシーを作成するために使用できます。たとえば、ファイル サーバー、プリント サーバー、ドメイン コント ローラーなどのサーバーがあります。

SCW の使用に関する考慮事項を以下に示します。

  • SCW は不要なサービスを無効にし、セキュリティが強化された Windows ファイアウォールのサポートを提供します。

  • SCW で作成したセキュリティ ポリシーは、ファイルの拡張子が .inf であるセキュリティ テンプレートと同じものではありません。セキュリティ テンプレートには、SCW で設定できるよりも多くのセキュリティ設定が含まれます。ただし SCW セキュリティ ポリシー ファイルにセキュリティ テンプレートを含めることができます。

  • グループ ポリシーを使用して、SCW で作成したセキュリティ ポリシーを展開することができます。

  • SCW はサーバーが役割を実行するために必要な機能をインストールもアンインストールもしません。サーバー役割固有の機能は、サーバー マネージャーからインストールすることができます。

  • SCW はサーバー役割の依存関係を検出します。サーバー役割を選択すると、依存するサーバー役割が自動的に選択されます。

  • IP プロトコルおよびポートを使用するすべてのアプリは、SCW が実行されたときにサーバーで実行されている必要があります。

  • 場合によっては、SCW ヘルプ内のリンクを使用するためにインターネットに接続する必要があります。

  

SCW は、Windows サーバー上のみで使用可能でサーバー インストールにのみ適用できます。

 

SCW は、サーバー マネージャーから、または scw.exe を実行してアクセスできます。ウィザードでは、サーバー セキュリティ構成を通じて次を実行します。

  • ネットワーク上のすべてのサーバーに適用できるセキュリティ ポリシーを作成します。

  • 既存のセキュリティ ポリシーを編集します。

  • 既存のセキュリティ ポリシーを適用します。

  • 最後に適用されたセキュリティ ポリシーをロールバックします。

セキュリティ ポリシー ウィザードは、サーバーの役割に基づいてサービスとネットワーク セキュリティを構成し、監査とレジストリ設定を構成します。

手順などの SCW の詳細については、「セキュリティの構成ウィザード」を参照してください。

セキュリティ構成マネージャーの操作

セキュリティ構成マネージャーでは、ローカル デバイス、組織単位、またはドメインのセキュリティを作成、適用、および編集できます。

セキュリティ構成マネージャーを使用する方法の手順については、「セキュリティ構成マネージャー」を参照してください。

次の表は、セキュリティ構成マネージャーの機能を示しています。

セキュリティ構成マネージャー ツール 説明

セキュリティの構成と分析

テンプレート内のセキュリティ ポリシーを定義します。これらのテンプレートは、グループ ポリシーまたはローカル コンピューターに適用できます。

セキュリティ テンプレート

テンプレート内のセキュリティ ポリシーを定義します。これらのテンプレートは、グループ ポリシーまたはローカル コンピューターに適用できます。

グループ ポリシーのセキュリティ設定拡張機能

ドメイン、サイト、または組織単位上の個々のセキュリティ設定を編集します。

ローカル セキュリティ ポリシー

ローカル コンピューター上の個々のセキュリティ設定を編集します。

Secedit

コマンド プロンプトでセキュリティ構成タスクを自動化します。

 

セキュリティの構成と分析

セキュリティの構成と分析は、ローカル システムのセキュリティを分析および構成するための MMC スナップインです。

セキュリティの分析

デバイス上のオペレーティング システムとアプリの状態は動的です。たとえば、管理またはネットワークの問題をすぐに解決できるように、一時的にセキュリティ レベルの変更が必要になることがあります。ただし、この変更は取り消しできないこともあります。つまり、コンピューターが企業セキュリティの要件を満たさなくなるおそれがあります。

標準の分析を行うと、エンタープライズ リスク管理プログラムの一部として各コンピューターでのセキュリティ レベルを追跡し、適切なレベルを確保できます。セキュリティ レベルを調整し、最も重要なこととして、時間の経過と共にシステムで発生する可能性があるセキュリティの欠陥を検出します。

セキュリティの構成と分析を使用すると、セキュリティの分析結果をすばやく確認できます。現在のシステム設定と共に推奨事項を示し、視覚的なフラグや注釈を使用して、現在の設定が提案されているセキュリティ レベルに一致しない領域を強調表示します。セキュリティの構成と分析には、分析で判明した不整合を解決する機能もあります。

セキュリティの構成

セキュリティの構成と分析は、ローカル システム セキュリティを直接構成するために使用することもできます。個人用データベースを使うことによって、セキュリティ テンプレートで作成したセキュリティ テンプレートをインポートし、ローカル コンピューターにこれらのテンプレートを適用できます。これにより、テンプレートで指定されたレベルでシステム セキュリティがすぐに構成されます。

セキュリティ テンプレート

Microsoft 管理コンソールのセキュリティ テンプレート スナップインを使用して、デバイス用またはネットワーク用のセキュリティ ポリシーを作成できます。これはあらゆるシステム セキュリティを考慮に入れることができる単一のエントリ ポイントです。セキュリティ テンプレート スナップインは、新しいセキュリティ パラメーターを導入せず、既存のすべてのセキュリティ属性を 1 つの場所にまとめてセキュリティの管理を容易にするだけです。

グループ ポリシー オブジェクトにセキュリティ テンプレートをインポートすると、ドメインまたは組織単位のセキュリティを一度に構成することでドメインの管理が容易になります。

ローカル デバイスにセキュリティ テンプレートを適用するには、セキュリティの構成と分析または secedit コマンド ライン ツールを使用できます。

セキュリティ テンプレートは、以下を定義するために使用できます。

  • アカウント ポリシー

    • パスワード ポリシー

    • アカウント ロックアウトのポリシー

    • Kerberos ポリシー

  • ローカル ポリシー

    • 監査ポリシー

    • ユーザー権利の割り当て

    • セキュリティ オプション

  • イベント ログ: アプリケーション、システム、およびセキュリティ イベント ログの設定

  • 制限されたグループ: セキュリティを重視するグループのメンバーシップ

  • システム サービス: システム サービスの起動およびアクセス許可

  • レジストリ: レジストリ キーのアクセス許可

  • ファイル システム: フォルダーおよびファイルのアクセス許可

各テンプレートは、テキスト ベースの .inf ファイルとして保存されます。このため、テンプレート属性の一部またはすべてをコピー、貼り付け、インポート、またはエクスポートできます。インターネット プロトコル セキュリティと公開キーのポリシーの例外を除き、すべてのセキュリティ属性をセキュリティ テンプレートに含めることができます。

グループ ポリシーのセキュリティ設定拡張機能

組織単位、ドメイン、およびサイトは、グループ ポリシー オブジェクトにリンクされます。 セキュリティ設定ツールを使用すると、グループ ポリシー オブジェクトのセキュリティ構成を変更できるため、複数のコンピューターに影響します。セキュリティ設定では、ドメインに参加している 1 台のデバイスから、変更するグループ ポリシー オブジェクトによっては多くのデバイスのセキュリティ設定を変更できます。

セキュリティ設定またはセキュリティ ポリシーは、デバイスまたはネットワーク上のリソースを保護するために、1 台または複数台のデバイス上で構成される規則です。セキュリティ設定では、次の項目を制御できます。

  • ネットワークまたはデバイスに対するユーザー認証の方法。

  • ユーザーが使用を承認されるリソース。

  • イベント ログにユーザーやグループの操作を記録するかどうか。

  • グループ メンバーシップ。

複数のコンピューターでセキュリティ構成を変更する方法は 2 つあります。

  • セキュリティ テンプレートでセキュリティ テンプレートを使用してセキュリティ ポリシーを作成し、セキュリティ設定を使用してグループ ポリシー オブジェクトにテンプレートをインポートします。

  • セキュリティ設定でいくつかの選んだ設定を変更します。

ローカル セキュリティ ポリシー

セキュリティ ポリシーは、デバイスのセキュリティに影響を与えるセキュリティ設定の組み合わせです。ローカル セキュリティ ポリシーを使用して、ローカル デバイスのアカウント ポリシーおよびローカル ポリシーを編集できます。

ローカル セキュリティ ポリシーを使用すると、以下を制御できます。

  • デバイスにアクセスするユーザー。

  • ユーザーがデバイスで使用を承認されるリソース。

  • イベント ログにユーザーやグループの操作を記録するかどうか。

ローカル デバイスがドメインに参加している場合は、ドメインのポリシーから、またはメンバーである組織単位のポリシーからセキュリティ ポリシーを取得する対象になります。ポリシーを複数のソースから取得する場合は、次の優先順位で競合が解決されます。

  1. 組織単位ポリシー

  2. ドメイン ポリシー

  3. サイト ポリシー

  4. ローカル コンピューター ポリシー

ローカル セキュリティ ポリシーを使用してローカル デバイス上のセキュリティ設定を変更するということは、デバイス上の設定を直接変更しているということです。そのため、設定はすぐに有効になりますが、一時的なものにすぎないことがあります。競合があるときにグループ ポリシーから受け取ったセキュリティ設定がローカルの設定よりも優先される場合、設定はグループ ポリシー セキュリティ設定が次に更新されるまでローカル デバイスで実際に効力を維持します。

セキュリティ構成マネージャーの使用

セキュリティ構成マネージャーを使用する方法の手順については、「セキュリティ構成マネージャーの操作方法」を参照してください。このセクションには、このトピックに関する以下の情報が含まれます。

  • セキュリティ設定の適用

  • セキュリティ テンプレートのインポートとエクスポート

  • セキュリティの分析と結果の表示

  • セキュリティの不一致の解決

  • セキュリティ構成タスクの自動化

セキュリティ設定の適用

セキュリティ設定を編集すると、グループ ポリシー オブジェクトにリンクされている組織単位内のコンピューターで設定が更新されます。

  • デバイスを再起動すると、そのデバイスの設定が更新されます。

  • デバイスのセキュリティ設定とすべてのグループ ポリシー設定を更新するには、gpupdate.exe を使用します。

コンピューターに複数のポリシーが適用されるときのポリシーの優先順位

複数のポリシーで定義されているセキュリティ設定の場合は、次の優先順位が使われます。

  1. 組織単位ポリシー

  2. ドメイン ポリシー

  3. サイト ポリシー

  4. ローカル コンピューター ポリシー

たとえば、ドメインに参加しているワークステーションの場合、競合のある部分はローカル セキュリティ設定よりもドメイン ポリシーが優先されます。同様に、このワークステーションが組織単位のメンバーになっている場合、組織単位のポリシーから適用される設定は、ドメインおよびローカルの設定よりも優先します。ワークステーションが複数の組織単位のメンバーである場合は、このワークステーションを直接含む組織単位の優先順位が最高になります。

  

gpresult.exe を使用して、どのようなポリシーがどのような順序でデバイスに適用されるかを確認します。

ドメイン アカウントでは、パスワード ポリシー、アカウント ロックアウトのポリシー、および Kerberos ポリシーを含むアカウント ポリシーを 1 つだけ使用できます。

 

セキュリティ設定の永続化

もともと設定に適用されていたポリシーでその設定が定義されなくなった場合でも、セキュリティ設定が保持されることがあります。

セキュリティ設定の永続化は、次のときに発生します。

  • 設定がこれまでデバイスで定義されたことがない。

  • 設定はレジストリ オブジェクト用です。

  • 設定はファイル システム オブジェクト用です。

ローカル ポリシーまたはグループ ポリシー オブジェクトによって適用されるすべての設定は、デバイス上のローカル データベースに格納されます。セキュリティ設定が変更されるたびに、コンピューターはセキュリティ設定値をローカル データベースに保存します。ローカル データベースは、デバイスに適用されたことのあるすべての設定の履歴を保持します。ポリシーでセキュリティ設定を定義し、その後、その設定の定義が存在しなくなった場合、その設定ではデータベース内の以前の値が使用されます。以前の値がデータベースに存在しない場合、設定は元に戻されず、定義されたままになります。この動作は、「タトゥ」と呼ばれる場合があります。

レジストリとファイルの設定では、その設定が他の値に設定されるまで、ポリシーによって適用された値を維持します。

グループ メンバーシップに基づくセキュリティ設定のフィルター処理

ユーザーまたはグループがログオンしているコンピューターに関係なく、グループ ポリシー オブジェクトを適用するユーザーまたはグループを決定することもできます。それには、そのグループ ポリシー オブジェクトのグループ ポリシーの適用アクセス許可または読み取りアクセス許可で、ユーザーまたはグループを拒否します。グループ ポリシーを適用するには、これらの両方のアクセス許可が必要です。

セキュリティ テンプレートのインポートとエクスポート

セキュリティの構成と分析では、データベースに対してセキュリティ テンプレートをインポートおよびエクスポートできます。

分析データベースに変更を加えた場合は、その設定をテンプレートにエクスポートすることで保存できます。エクスポート機能では、分析データベース設定の分析を新しいテンプレート ファイルとして保存できます。その後、このテンプレート ファイルを使用してシステムを分析または構成したり、グループ ポリシー オブジェクトにインポートしたりできます。

セキュリティの分析と結果の表示

セキュリティの構成と分析では、システム セキュリティの現在の状態を分析データベース と比較することによって、セキュリティの分析を実行します。作成時に、分析データベースは、少なくとも 1 つのセキュリティ テンプレートを使用します。複数のセキュリティ テンプレートをインポートする場合、データベースではさまざまなテンプレートを結合して、1 つの複合テンプレートを作成します。競合はインポート順で解決され、インポートされた最後のテンプレートが優先されます。

セキュリティの構成と分析では、セキュリティ領域別に分析の結果を表示し、問題を示すために視覚的なフラグを使用します。セキュリティ領域の各セキュリティ属性について、現在のシステムと基本構成の設定を表示します。分析データベース設定を変更するには、エントリを右クリックし、[プロパティ] をクリックします。

視覚的なフラグ 意味

赤色の X

エントリは分析データベース内とシステム上で定義されていますが、セキュリティ設定値が一致しません。

緑色のチェック マーク

エントリは分析データベース内とシステム上で定義されていて、設定値が一致します。

疑問符

エントリは、分析データベースで定義されていないため、分析されませんでした。

エントリが分析されていない場合は、分析データベースで定義されていなかった、または特定のオブジェクトまたは領域の分析を実行するための十分なアクセス許可が分析を実行しているユーザーにない、という可能性があります。

感嘆符

この項目は、分析データベースで定義されていますが、実際のシステム上には存在しません。たとえば、分析データベースでは定義されていても分析対象のシステムに実際には存在しない、制限されたグループである可能性があります。

強調表示なし

項目は、分析データベース内にもシステム上にも定義されていません。

 

現在の設定を使用する場合は、基本構成内の対応する値が一致するように変更されます。基本構成に一致するようにシステム設定を変更した場合、その変更はセキュリティの構成と分析でシステムを構成するときに反映されます。

調査して適切であると判断した設定にフラグが付き続けることを避けるために、基本構成を変更できます。テンプレートのコピーに対して変更が加えられます。

セキュリティの不一致の解決

分析データベースとシステム設定の間の不一致は、次のようにして解決できます。

  • そのコンピューターのコンテキスト (または役割) によってローカル システムのセキュリティ レベルが有効であると判断した場合、フラグが付いた値や構成に含まれない値の一部またはすべてを受け入れるか変更します。その後、[コンピューターの構成] をクリックすると、これらの属性値はデータベースで更新され、システムに適用されます。

  • システムが有効なセキュリティ レベルに準拠していないと判断した場合は、システムを分析データベースの値に構成します。

  • そのコンピューターの役割に関するより適切なテンプレートを新規の基本構成としてデータベースにインポートし、システムに適用します。

分析データベースへの変更は、セキュリティ テンプレート ファイルに対してではなく、データベースに格納されているテンプレートに対して行われます。セキュリティ テンプレート ファイルは、セキュリティ テンプレートに戻り、そのテンプレートを編集するか、または格納されている構成を同一のテンプレート ファイルにエクスポートする場合にのみ変更されます。

[コンピューターの構成] は、グループ ポリシー設定に影響されない セキュリティ領域 (ローカル ファイルおよびフォルダーのセキュリティ、レジストリ キー、システム サービスなど) を変更する場合のみ使用してください。そうしないと、グループ ポリシー設定が適用されるときに、グループ ポリシー設定がローカル設定よりも優先されます (アカウント ポリシーなど)。一般に、各クライアントを個別に構成する必要が生じるため、ドメイン ベースのクライアントのセキュリティを分析するときには [コンピューターの構成] を使用しないでください。この場合は、セキュリティ テンプレートに戻ってテンプレートを変更し、適切なグループ ポリシー オブジェクトを再適用する必要があります。

セキュリティ構成タスクの自動化

バッチ ファイルまたは自動タスク スケジューラのコマンド プロンプトで secedit.exe ツールを呼び出すことによって、テンプレートを自動的に作成して適用したり、システム セキュリティを分析したりできます。コマンド プロンプトから動的に実行することもできます。

secedit.exe は、セキュリティの分析または構成が必要な複数のデバイスがあって、業務時間外にこれらのタスクを実行する必要がある場合に便利です。

グループ ポリシー ツールの操作

グループ ポリシーは、グループ ポリシー設定とグループ ポリシーの基本設定を通じてユーザーとコンピューターの管理対象構成を指定できるインフラストラクチャです。ローカル デバイスまたはユーザーのみに影響を与えるグループ ポリシー設定では、ローカル グループ ポリシー エディターを使用できます。Active Directory ドメイン サービス (AD DS) 環境でグループ ポリシー管理コンソール (GPMC) を使用して、グループ ポリシー設定とグループ ポリシーの基本設定を管理できます。グループ ポリシー管理ツールもリモート サーバー管理ツール パックに含まれていて、デスクトップからグループ ポリシー設定を管理することができます。