DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限
[DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定は、[DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューターのアクセス制限] 設定と同様に、デバイス上のすべての DCOM ベースのアプリケーションへのアクセスを制御する追加のコンピューター全体のコントロールを定義することができます。ただし、このポリシー設定で指定されている ACL は、デバイス上のローカルおよびリモートの (アクセス要求ではなく) COM 起動要求をコントロールします。このアクセス制御は、任意の COM ベースのサーバーの起動ごとにデバイス全体の ACL に対して実行される追加のアクセス チェックとして考慮するのが簡単な方法です。アクセス チェックに失敗すると、呼び出し、アクティブ化、または起動要求は拒否されます。(このチェックは、サーバーに固有の ACL に対して実行される任意のアクセス チェックに追加されるものです。)実際には、すべての COM ベースのサーバーを起動するために渡す必要がある、最低限の承認標準を提供します。[DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限] ポリシー設定は、既に起動している COM ベースのサーバーにアクセスする試みに適用される最小限のアクセス確認を提供するという点で異なります。
これらのデバイス全体の ACL では、アプリケーションによって CoInitializeSecurity から指定されている脆弱なセキュリティ設定、またはアプリケーション固有のセキュリティ設定を無効にする方法を提供します。特定の COM ベースのサーバーの設定に関係なく、渡す必要がある最低限のセキュリティ標準を提供します。これらの ACL では、管理者が、すべての COM ベースのサーバーに適用される全般的な承認ポリシーを設定するための一元的な位置情報を提供します。
[DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限] 設定では、次の 2 つの方法で ACL を指定することができます。SDDL のセキュリティ記述子を入力するか、またはローカル アクセスとリモート アクセスのアクセス許可を、ユーザーおよびグループに許可や拒否することができます。この設定を適用する ACL の内容を指定する組み込みのユーザー インターフェイスを使用することをお勧めします。既定の ACL の設定は、実行している Windows のバージョンによって異なります。
設定可能な値
空
これは、ローカル セキュリティ ポリシーがポリシーの強制キーを削除する方法を表します。この値は、ポリシーを削除し、未定義に設定します。空の値は、ACL エディターを使用して一覧を空にし、[OK] を押すことで設定されます。
グループと特権の SDDL 表記の User-defined input
アクセス許可を付与するユーザーまたはグループを指定すると、セキュリティ記述子のフィールドは、それらのグループと特権のセキュリティ記述子定義言語形式に設定されます。ユーザーとグループには、ローカル アクセスとリモート アクセスの両方に対する明示的な許可または拒否特権が付与されます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値はポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
空 |
既定のドメイン コントローラー ポリシー |
空 |
スタンドアロン サーバーの既定の設定 |
空 |
DC の有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。
グループ ポリシー
このポリシーの結果として作成されたレジストリ設定は、この領域で以前のレジストリ設定よりも優先されます。リモート プロシージャ コール (RPC) サービス (RpcSs) は、コンピューターの制限に関するポリシーのセクションの新しいレジストリ キーを確認します。これらのエントリは OLE の既存のレジストリ キーよりも優先されます。
Windows オペレーティング システムで DCOM に加えられた変更により、DCOM アプリケーションのアクティブ化や起動へのアクセスを拒否された場合、このポリシー設定は DCOM アクティベーションをコントロールし、デバイスを起動するために使用できます。
[DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限] ポリシー設定を使って、ローカルおよびリモートからデバイス上の DCOM アプリケーションを起動しアクティブ化できるユーザーとグループを指定することができます。これにより、管理者と指定されたユーザーに DCOM アプリケーションのコントロールが復元されます。これを行うには、[DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限] の設定を開き、[セキュリティの編集] をクリックします。追加するグループと、それらのグループに付与するデバイスの起動許可を指定します。これは、設定を定義し、適切な SDDL の値を設定します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
COM アプリケーションの多くには (たとえば、CoInitializeSecurity を呼び出すための) セキュリティ固有のコードが含まれますが、これらは、プロセスへの認証されていないアクセスを可能にする脆弱な設定を使用します。これらの設定を上書きして、Windows の以前のバージョンでアプリケーションを変更せずに強力なセキュリティを強制することはできません。攻撃者は、COM 呼び出しを利用した攻撃によって、個々のアプリケーションの脆弱なセキュリティを悪用しようとする可能性があります。
また、COM インフラストラクチャには、コンピューターのスタートアップ中、およびスタートアップ後は常に実行されるシステム サービス、リモート プロシージャ コール サービス (RPCSS) が含まれます。このサービスは、COM オブジェクトのアクティブ化と実行中のオブジェクト テーブルを管理し、DCOM のリモート処理にヘルパー サービスを提供します。このサービスは、、リモートから呼び出すことができる RPC インターフェイスを公開します。一部の COM ベースのサーバーが認証されていないリモート コンポーネントのアクティブ化を許可するため、認証されていないユーザーを含む、すべてのユーザーがこれらのインターフェイスを呼び出すことができます。この結果、RPCSS は、認証されていないリモート コンピューターを使用して悪意のあるユーザーによって攻撃される可能性があります。
対策
個別の COM ベースのアプリケーションやサービスを保護するには、このポリシー設定を適切なコンピューター全体の ACL に設定します。
考えられる影響
Windows は、インストールされるときに既定の COM の ACL を実装します。これらの ACL を既定から変更すると、DCOM を使用して通信する一部のアプリケーションやコンポーネントが失敗する場合があります。COM ベースのサーバーを実装して、既定のセキュリティ設定を上書きする場合は、ACL が割り当てたアプリケーション固有の起動許可が、適切なユーザーに対するアクティブ化の許可を含むことを確認します。これを行わない場合、DCOM を使用するアプリケーションおよび Windows コンポーネントが失敗しないように、アプリケーション固有の起動許可 ACL を変更して、適切なユーザーにライセンス認証の権限を付与する必要があります。