デバイス: ログオンなしの装着解除を許可する
[デバイス: ログオンなしの装着解除を許可する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定は、ログオンせずにドッキング ステーションからポータブル デバイスを取り外すためのユーザーの機能を有効または無効にします。このポリシー設定を有効にした場合、ユーザーは装着されているポータブル デバイスの物理取りだしボタンを押してデバイスを安全に装着解除できます。このポリシー設定を無効にした場合、ユーザーはデバイスを装着解除するための許可を得るためにログオンする必要があります。[ドッキング ステーションからコンピューターを削除] 特権を持つユーザーのみがこの許可を得ることができます。
注
このポリシー設定を無効にすると、機械的に装着解除できないポータブル デバイスの盗難のリスクが減るだけです。機械的に装着解除できるデバイスは、ユーザーが Windows 装着解除機能を使っているかどうかに関係なく、物理的に取り外すことができます。
このポリシー設定を有効にすることは、ドッキング ステーションに配置されているデバイスに物理的にアクセスできるすべてのユーザーがコンピューターを取り外し、改ざんできることを意味します。ドッキング ステーションを持たないデバイスの場合、このポリシー設定は影響しません。ただし、オフィスにいるときに普段は装着されているモバイル コンピューターを持つユーザーの場合、このポリシー設定は機器の盗難や悪意のあるユーザーがこれらのデバイスに物理的にアクセスできることによるリスクを軽減するために役立ちます。
設定可能な値
有効
無効
未定義
ベスト プラクティス
[デバイス: ログオンなしの装着解除を許可する] ポリシー設定は無効にすることをお勧めします。デバイスを装着したユーザーは、システムの装着解除を行う前にローカル コンソールにログオンする必要があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
有効 |
DC の有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
有効 |
クライアント コンピューターの有効な既定の設定 |
有効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
このポリシー設定を有効にした場合、ドッキング ステーションのポータブル コンピューターに物理的にアクセスできるすべてのユーザーがコンピューターを取り外すことができ、コンピューターが改ざんされる可能性があります。
対策
[デバイス: ログオンなしの装着解除を許可する] 設定を無効にします。
考えられる影響
デバイスを装着したユーザーは、コンピューターの装着解除を行う前にローカル コンソールにログオンする必要があります。ドッキング ステーションを持たないデバイスの場合、このポリシー設定は影響しません。