デバイス: CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する

[デバイス: CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。

参考

このポリシー設定では、ローカルとリモートのユーザーが同時に CD にアクセスできるかどうかを決定します。このポリシー設定を有効にした場合、対話的にログオンしているユーザーのみがリムーバブル CD へのアクセスを許可されます。このポリシー設定が有効になっていて、だれも対話的にログオンしていない場合には、ネットワークから CD にアクセスすることができます。

システムのローカル コンソールに誰かが同時にログオンしている場合にネットワーク ユーザーがドライブにアクセスすることを防ぐだけのため、このポリシー設定を有効にすることによるセキュリティ上の利点は小さくなっています。また、CD ドライブはネットワーク共有ドライブとして自動的には利用可能になりません。ドライブを共有するには、意図的に選択する必要があります。これは、管理者が CD-ROM からソフトウェアのインストールまたはデータのコピーを行い、ネットワーク ユーザーがアプリケーションの実行やデータの表示をできないようにする場合に重要です。

このポリシー設定が有効になっている場合、サーバーのローカル コンソールにだれかがログオンしていると、ネットワーク経由でサーバーに接続するユーザーは、サーバーに備えられている CD ドライブを使うことができなくなります。ネットワーク ユーザーのための CD ジュークボックスとして機能するシステムには、このポリシー設定を有効にすることは適しません。

設定可能な値

• 有効

• 無効

• 未定義

ベスト プラクティス

• ベスト プラクティスは、CD ドライブのセキュリティとユーザー アクセシビリティの要件に応じて異なります。

場所

コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション

既定値

次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。

再起動の必要性

なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。

セキュリティに関する考慮事項

このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。

脆弱性

リモート ユーザーが、機密性の高い情報を含むマウントされている CD にアクセスする可能性があります。CD ドライブは共有ドライブとして自動的には利用可能にならないため、このリスクは小さくなっています。ドライブを共有するには、意図的に選択する必要があります。ただし、サーバーのリムーバブル メディアからのデータの表示やアプリケーションの実行を行うためのネットワーク ユーザーの機能を拒否することができます。

対策

[デバイス: CD-ROM ドライブへのアクセスを、ローカル ログオン ユーザーだけに制限する] 設定を有効にします。

考えられる影響

サーバーのローカル コンソールにだれかがログオンしていると、ネットワーク経由でサーバーに接続するユーザーは、サーバーに備えられている CD ドライブを使うことができません。CD ドライブへのアクセスが必要なシステム ツールは正しく機能しなくなります。たとえば、ボリューム シャドウ コピー サービスが初期化のときにコンピューター上に存在するすべての CD ドライブとフロッピー ディスク ドライブにアクセスを試みて、いずれかのドライブにアクセスできない場合には、サービスが失敗します。バックアップ ジョブにボリューム シャドウ コピーが指定されている場合、これにより Windows バックアップ ツールが失敗します。ボリューム シャドウ コピーを使う Microsoft 製以外のバックアップ製品も失敗します。ネットワーク ユーザーのための CD ジュークボックスとして機能するコンピューターには、このポリシー設定は適しません。

関連トピック

セキュリティ オプション