DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限
[DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限] ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定では、デバイス上のすべての分散コンポーネント オブジェクト モデル (DCOM) ベースのアプリケーションへのアクセスを管理する追加のコンピューター全体のコントロールを定義できます。これらのコントロールは、デバイス上の呼び出し、アクティブ化、または起動要求を制限します。これらのアクセス制御は、任意の COM ベースのサーバーの呼び出し、アクティブ化、または起動ごとにデバイス全体のアクセス制御リスト (ACL) に対して実行される追加のアクセス チェックとして考慮するのが簡単な方法です。アクセス チェックに失敗すると、呼び出し、アクティブ化、または起動要求は拒否されます。(このチェックは、サーバーに固有の ACL に対して実行される任意のアクセス チェックに追加されるものです)。実際には、すべての COM ベースのサーバーへのアクセスするために渡す必要がある、最低限の承認標準を提供します。このポリシー設定は、呼び出し権限をカバーするためにアクセス許可を制御します。
これらのデバイス全体の ACL では、アプリケーションによって CoInitializeSecurity 関数から指定されている脆弱なセキュリティ設定、またはアプリケーション固有のセキュリティ設定を無効にする方法を提供します。特定のサーバーの設定に関係なく、渡す必要がある最低限のセキュリティ標準を提供します。
これらの ACL では、管理者が、デバイス上のすべての COM ベースのサーバーに適用される全般的な承認ポリシーを設定するための一元的な位置情報も提供します。
このポリシー設定では、2 つの方法で ACL を指定することができます。SDDL のセキュリティ記述子を入力するか、またはローカル アクセスとリモート アクセスのアクセス許可を、ユーザーおよびグループに許可や拒否することができます。この設定を適用する ACL の内容を指定する組み込みのユーザー インターフェイスを使用することをお勧めします。既定の ACL の設定は、実行している Windows のバージョンによって異なります。
設定可能な値
グループと特権の SDDL 表記の User-defined input
アクセス許可を付与するユーザーまたはグループを指定すると、セキュリティ記述子のフィールドは、それらのグループと特権のセキュリティ記述子定義言語形式に設定されます。ユーザーとグループには、ローカル アクセスとリモート アクセスに対する明示的な許可または拒否特権が付与されます。
空
これは、ローカル セキュリティ ポリシーがポリシーの強制キーを削除する方法を表します。この値は、ポリシーを削除し、未定義として設定します。空の値は、ACL エディターを使用して一覧を空にし、[OK] を押すことで設定されます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
空 |
既定のドメイン コントローラー ポリシー |
空 |
スタンドアロン サーバーの既定の設定 |
空 |
DC の有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。
グループ ポリシー
[DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限] ポリシー設定を有効にすることで作成されるレジストリ設定が、このポリシー設定が構成されたときに前のレジストリ設定よりも優先されます。リモート プロシージャ コール (RPC) サービスは、コンピューターの制限に関するポリシーのセクションの新しいレジストリ キーを確認します。これらのレジストリのエントリは OLE の既存のレジストリ キーより優先されます。これにより、以前から存在するレジストリの設定は無効になり、既存の設定を変更した場合、ユーザーのデバイスに対するアクセス許可は変更されません。ユーザーとグループの一覧を構成する際には注意してください。
管理者が、Windows オペレーティング システムで DCOM に加えられた変更により DCOM アプリケーションにアクセスするためのアクセス許可を拒否された場合、管理者は、[DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限] ポリシー設定を使用してコンピューターへの DCOM アクセスを管理できます。管理者は、この設定を使用して、ローカルおよびリモートからコンピューター上の DCOM アプリケーションにアクセスできるユーザーとグループを指定できます。これにより、管理者とユーザーに DCOM アプリケーションのコントロールが復元されます。これを行うには、[DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限] の設定を開き、[セキュリティの編集] をクリックします。追加するユーザーまたはグループと、それらのユーザーまたはグループに付与するコンピューターへのアクセス許可を指定します。これは、設定を定義し、適切な SDDL の値を設定します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
COM アプリケーションの多くには (たとえば、CoInitializeSecurity を呼び出すための) セキュリティ固有のコードが含まれますが、これらは、プロセスへの認証されていないアクセスを可能にする脆弱な設定を使用します。管理者は、これらの設定を上書きして、Windows の以前のバージョンでアプリケーションを変更せずに強力なセキュリティを強制することはできません。攻撃者は、COM 呼び出しを利用した攻撃によって、個々のアプリケーションの脆弱なセキュリティを悪用しようとする可能性があります。
また、COM インフラストラクチャには、コンピューターのスタートアップ中およびスタートアップ後に実行されるシステム サービス、リモート プロシージャ コール サービス (RPCSS) が含まれます。このサービスは、COM オブジェクトのアクティブ化と実行中のオブジェクト テーブルを管理し、DCOM のリモート処理にヘルパー サービスを提供します。このサービスは、リモートから呼び出すことができる RPC インターフェイスを公開します。一部の COM ベースのサーバーが認証されていないリモート アクセスを許可するため、認証されていないユーザーを含む、すべてのユーザーがこれらのインターフェイスを呼び出すことができます。この結果、RPCSS は、認証されていないリモート コンピューターを使用する悪意のあるユーザーによって攻撃される可能性があります。
対策
個別の COM ベースのアプリケーションまたはサービスを保護するには、[DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限] 設定を適切なデバイス全体の ACL に設定します。
考えられる影響
Windows は、インストールされるときに、既定の COM の ACL を実装します。これらの ACL を既定から変更すると、DCOM を使用して通信する一部のアプリケーションやコンポーネントが失敗する場合があります。COM ベースのサーバーを実装して、既定のセキュリティ設定を上書きする場合は、ACL が割り当てたアプリケーション固有の呼び出しのアクセス許可が、適切なユーザーに対する適切なアクセス許可であることを確認します。これを行わない場合、DCOM を使用するアプリケーションおよび Windows コンポーネントが失敗しないように、アプリケーション固有のアクセス許可 ACL を変更して、適切なユーザーにライセンス認証の権限を付与する必要があります。