Windows Server 2003 セキュリティ ガイド

トピック

	概要
	Windows Server 2003 のベースライン ポリシー
	監査ポリシー
	ユーザー権利の割り当て
	セキュリティ オプション
	イベント ログ
	追加のレジストリ エントリ
	制限されたグループ
	ファイル システムを保護する
	追加のセキュリティ設定
	まとめ

概要

この章では、Microsoft Windows Server 2003 Service Pack 1 (SP1) を実行しているすべてのサーバーを対象として、ベースライン セキュリティ テンプレートを管理するための構成要件について説明します。また、3 種類の異なる環境においてセキュリティ保護された Windows Server 2003 SP1 構成をセットアップおよび構成するための管理上の指針について説明します。この章で説明する構成要件は、このガイドの以降の章で説明するすべての手順のベースラインとなります。各章では、個々のサーバーの役割をセキュリティ強化する方法について説明します。

この章に示す推奨設定によって、エンタープライズ環境内のビジネス アプリケーション サーバーの基盤にセキュリティを確立することができます。ただし、こうしたセキュリティ構成を運用環境に実装する前に、そのセキュリティ構成を実装することによって社内の業務アプリケーションに不具合が生じないかどうかを、総合的にテストする必要があります。

この章で説明している推奨設定はほとんどの組織に当てはまり、Windows Server 2003 SP1 を実行しているコンピュータであれば、既存のものにでも新規のものにでも適用できます。Windows Server 2003 SP1 の既定のセキュリティ構成は、このガイドの作成チームにより調査、検討、テストが十分になされたものです。それぞれの設定の既定の設定すべてと詳細な説明については、http://go.microsoft.com/fwlink/?LinkId=15159 の関連ガイド『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』を参照してください。全般的に、これから説明する推奨設定のほとんどにより、既定の設定よりセキュリティが強化されます。

この章では、次の 3 種類の環境に対するセキュリティ設定について説明します。

多くの場合、SSLF 環境では明示的に既定値を設定します。この構成では、設定を一部ローカルに調整しようとするアプリケーションで障害が発生する可能性があるので、互換性に影響が生じることを想定する必要があります。たとえば、アプリケーションによっては、ユーザー権利の割り当てを調整して、サービス アカウントの特権を追加で取得する必要があります。しかし、グループ ポリシーがローカル コンピュータ ポリシーより優先されるので、このような処理は失敗します。SSLF 設定の場合は特に、推奨設定を運用コンピュータに展開する前に、すべてのアプリケーションを十分にテストする必要があります。

次の図は、3 種類のセキュリティ環境とそれぞれで使用可能なクライアントを示しています。

図 4.1 セキュリティ環境の現状と計画
画像を画面全体に表示

組織の環境のセキュリティを段階的に強化する場合は、まずレガシ クライアント環境からスタートし、その後に、アプリケーションとクライアント コンピュータを厳しいセキュリティ設定に更新してテストしながら、徐々に高いセキュリティ レベルに移行します。

次の図は、セキュリティ テンプレート (.inf ファイル) がエンタープライズ クライアント用のメンバ サーバー ベースライン ポリシー (MSBP) の元データとして使用されるようすを示しています。また、このポリシーをリンクして組織内のすべてのサーバーに適用する方法の一例も示します。

Windows Server 2003 SP1 は、出荷時の既定値が、セキュリティで保護された環境が実現するよう構成されています。多くの場合、この章では既定値と異なる設定を規定します。また、3 種類の環境それぞれに特定の既定値を適用します。すべての既定値の詳細については、http://go.microsoft.com/fwlink/?LinkId=15159 の関連ガイド『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』を参照してください。

図 4.2 セキュリティ テンプレート EC - Member Server Baseline.inf が MSBP にインポートされ、メンバ サーバー組織単位 (OU) にリンクされます。
画像を画面全体に表示

個々のサーバーの役割のセキュリティを強化する手順については、このガイドの以降の章で説明します。このガイドで説明する主なサーバーの役割は次のとおりです。

この章で説明するエンタープライズ クライアント MSBP の多くは、このガイドで定義している 3 種類のセキュリティ環境に存在する上記のサーバーの役割にも適用されます。各セキュリティ テンプレートは、それぞれの環境のセキュリティ要件を満たすように設計されています。次の表は、3 種類の環境に対応するベースライン セキュリティ テンプレートの名前を示しています。

表 4.1 3 種類の環境で使用するベースライン セキュリティ テンプレート

この章の以降では、3 種類すべての環境に共通するセキュリティ設定、つまりすべての Member Server Baseline セキュリティ テンプレートについて説明します。

ベースライン セキュリティ テンプレートは、「第 5 章 ドメイン コントローラ ベースライン ポリシー」で定義されるドメイン コントローラ セキュリティ テンプレートの基礎でもあります。Domain Controllers Role セキュリティ テンプレートには、ドメイン コントローラ グループ ポリシー GPO のベースライン設定が含まれています。この GPO は、3 種類の環境すべてにおいて、ドメイン コントローラ OU にリンクされます。OU とグループ ポリシーを作成し、適切なセキュリティ テンプレートを各 GPO にインポートする手順の詳細については、「第 2 章 Windows Server 2003 のセキュリティ強化メカニズム」を参照してください。

注 :サーバーのセキュリティを強化するために使用される手順の中には、グループ ポリシーで自動化できないものがあります。これらの手順については、この章の「追加のセキュリティ設定」を参照してください。

ページのトップへ

Windows Server 2003 のベースライン ポリシー

メンバ サーバー OU レベルの設定は、このガイドで説明しているすべてのメンバ サーバーの役割に共通の設定を定義します。これらの設定を適用するには、メンバ サーバー OU にリンクする GPO を作成します。このような GPO をベースライン ポリシーと呼びます。この GPO は、各サーバーのセキュリティ設定の構成を自動化します。各サーバーの役割に基づいて、サーバー アカウントをメンバ サーバー OU の適切な子 OU に移動する必要があります。

以降の各設定の説明順序は、Microsoft 管理コンソール (MMC) の [セキュリティの構成エディタ (SCE)] スナップインのユーザー インターフェイス (UI) に表示される順序と同じです。

ページのトップへ

監査ポリシー

管理者は監査ポリシーを作成して、レポートするセキュリティ イベントを定義し、特定のイベント カテゴリに含まれるユーザーまたはコンピュータのアクティビティを記録する必要があります。これにより、オブジェクトにアクセスしたユーザー、ユーザーによるコンピュータへのログオンまたはコンピュータからのログオフ、監査ポリシー設定に対する変更など、セキュリティに関連するアクティビティを監視できます。

監査ポリシーを実装する前に、環境で監査するイベント カテゴリを決める必要があります。管理者が各イベント カテゴリに対して選択した監査設定によって、組織の監査ポリシーが定義されます。管理者は、個々のイベント カテゴリに対する監査設定を定義してから、組織のセキュリティ ニーズに応える監査ポリシーを作成します。

監査ポリシーが存在しない場合、セキュリティ上の問題が発生したときにその詳細を知ることが困難または不可能になります。一方、監査設定が構成されており、許可されている数多くのアクティビティによりイベントが生成されると、セキュリティ イベント ログは無駄なデータでいっぱいになります。以下の推奨事項と設定の説明を参考にして、収集するデータが無駄にならないよう監視対象を決定します。

多くの場合、障害ログは正常な処理のログよりも情報量がかなり多くなります。通常、障害とはエラーの発生を意味するからです。たとえば、一般的に、ユーザーによるコンピュータへのログオン成功は通常動作であると見なされます。しかし、ユーザーがコンピュータにログオンしようして何度も失敗した場合、他のユーザーのアカウント資格情報を使用してコンピュータに侵入しようとしている可能性があります。イベント ログには、コンピュータで発生したイベントが記録されます。Microsoft Windows オペレーティング システムでは、アプリケーション、セキュリティ イベント、システム イベントのそれぞれに専用のイベント ログが存在します。セキュリティ ログには、監査イベントが記録されます。グループ ポリシーのイベント ログ コンテナは、アプリケーション、セキュリティ、およびシステムのイベント ログに関連する属性の定義に使用されます。この属性には、最大ログ サイズ、各ログのアクセス権利、保存の設定、保存方法などがあります。

監査ポリシーを実装する前に、組織ではデータを収集、編成、および分析する方法を決定する必要があります。監査データを大量に集めても、活用する予定がなければ価値はほとんどありません。また、コンピュータ ネットワークを監査すると、パフォーマンスが低下する可能性があります。特定の設定を組み合わせたときに生じる影響は、エンドユーザーのコンピュータでは無視できても、負荷の高いサーバーでは顕著に見られる場合もあります。したがって、新しい監査設定を運用環境に展開する前に、パフォーマンスへの影響をテストする必要があります。

次の表に、このガイドで定義している 3 種類のセキュリティ環境における、監査ポリシー設定の推奨値を示します。表からわかるように、ほとんどの設定値は 3 種類のセキュリティ環境でほぼ同じです。各設定に関する詳細情報については、表の後のサブセクションで説明します。

監査ポリシーの設定は、Windows Server 2003 SP1 では、グループ ポリシー オブジェクト エディタを使用して、次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー
\監査ポリシー

ここで説明する規定の設定の概要については、このガイドのダウンロード バージョンに付属の Microsoft Excel ブック「Windows Server 2003 Security Guide Settings」を参照してください。以下で説明する各設定の既定値と詳細な説明については、http://go.microsoft.com/fwlink/?LinkId=15159 の関連ガイド『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』を参照してください。

表 4.2 監査ポリシーの設定

アカウント ログオン イベントの監査

このポリシー設定では、アカウントの妥当性を検査する他のコンピュータにユーザーがログオンするイベント、またはそのコンピュータからユーザーがログオフするイベントを監査するかどうかを決定します。ドメイン コントローラでドメイン ユーザー アカウントが認証されると、アカウント ログオン イベントが生成され、ドメイン コントローラのセキュリティ ログに記録されます。ローカル コンピュータ上でローカル ユーザーを認証すると、ログオン イベントが生成され、ローカルのセキュリティ ログに記録されます。アカウント ログオフ イベントは記録されません。

[アカウント ログオン イベントの監査] は、LC および EC のベースライン ポリシーでは成功値が記録されるように設定されており、SSLF ベースライン ポリシーでは成功イベントと失敗イベントが両方記録されるように設定されています。

次の表は、このポリシー設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。これらイベント ID は、Microsoft Operations Manager (MOM) などの任意のソフトウェア スイートを監視するときにカスタム警告を作成する場合に役立ちます。

表 4.3 アカウント ログオン イベント

アカウント管理の監査

このポリシー設定では、コンピュータで発生するアカウント管理イベントを監査するかどうかを決定します。アカウント管理イベントの例を次に示します。

組織では、ドメイン アカウントとローカル アカウントのどちらについても、アカウントを作成、変更、または削除したユーザーを特定できるようにする必要があります。権限のない変更処理が行われた場合、組織のポリシーに従う方法を理解していない管理者が誤って変更したことが考えられますが、意図的な攻撃が発生した可能性もあります。

たとえば、アカウント管理失敗イベントは、多くの場合、下位レベルの管理者、または下位レベルの管理者のアカウントを見破った攻撃者が、自分の権利を格上げしようとしたことを示しています。ログを調べることにより、攻撃者が変更または作成したアカウントを確認できます。

[アカウント管理の監査] は、LC および EC のベースライン ポリシーでは成功値が記録されるように設定されており、SSLF のベースライン ポリシーでは成功イベントと失敗イベントが両方記録されるように設定されています。

次の表は、このポリシー設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。これらイベント ID は、MOM などの任意のソフトウェア スイートを監視するときにカスタム警告を作成する場合に役立ちます。多くの運用管理ソフトウェアでは、スクリプトを使用してカスタマイズして、これらのイベント ID に基づいてイベントをキャプチャまたはフラグ付けできます。

表 4.4 アカウント管理イベント

ログオン イベントの監査

このポリシー設定では、ユーザーがコンピュータにログオンするたび、およびコンピュータからログオフするたびに監査するかどうかを指定します。[ログオン イベントの監査] を設定すると、ドメイン アカウント アクティビティを監視するドメイン コントローラに関する記録、およびローカル アカウント アクティビティを監視するローカル コンピュータに関する記録が生成されます。

[ログオン イベントの監査] を [監査しない] に設定すると、組織内のコンピュータにログオンしたユーザーやログオンしようとしたユーザーを特定することが困難、または不可能になります。ドメイン メンバで [ログオン イベントの監査] を [成功] に設定すると、ユーザーがネットワークにログオンするたびに、そのアカウントがネットワーク上のどこに存在するかに関係なく、イベントが生成されます。[アカウント ログオン イベントの監査] が [有効] になっている場合に、ユーザーがローカル アカウントでログオンすると 2 つのイベントが生成されます。

このポリシー設定の既定値を変更していない場合でも、セキュリティ上の問題が発生した際に分析に使用できる監査記録証拠は何もありません。[ログオン イベントの監査] は、LC および EC ベースライン ポリシーの場合は成功値が記録されるように設定され、SSLF ベースライン ポリシーの場合は成功値と失敗値が両方記録されるように設定されています。

次の表は、このポリシー設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。

表 4.5 監査ログオン イベント

オブジェクト アクセスの監査

[オブジェクト アクセスの監査] ポリシー設定を有効にしただけでは、どのイベントも監査されません。[オブジェクト アクセスの監査] では、固有のシステム アクセス制御リスト (SACL) が指定されているオブジェクト (ファイル、フォルダ、レジストリ キー、プリンタなど) にユーザーがアクセスした場合にイベントを監査するかどうかを設定します。

SACL は、アクセス制御エントリ (ACE) で構成されています。各 ACE には、次の 3 つの情報が含まれています。

[オブジェクト アクセスの監査] で成功値をログに記録するよう設定した場合、指定した SACL を持つオブジェクトにユーザーが正常にアクセスすると、監査エントリが生成されます。失敗値をログに記録するよう設定した場合、指定した SACL を持つオブジェクトにユーザーがアクセスできないと監査エントリが生成されます。

組織の SACL を構成する場合は、有効にするアクションのみを定義する必要があります。たとえば、実行可能ファイルで [データの書き込み] 監査設定および [データの追加] 監査設定を有効にして、実行可能ファイルの変更または置換の追跡を可能にする必要がある場合があります。これは、コンピュータ ウイルス、ワーム、およびトロイの木馬の攻撃対象が、通常、実行可能ファイルだからです。同様に、機密文書へのアクセスまたは機密文書の変更の追跡が必要になる場合もあります。

[オブジェクト アクセスの監査] は、LC 環境と EC 環境のベースライン ポリシーでは、既定値の [監査しない] に設定されています。SSLF 環境のベースライン ポリシーでは、失敗値をログに記録するように設定されています。

次の表は、このポリシー設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。

表 4.6 オブジェクト アクセス イベント

ポリシーの変更の監査

このポリシー設定では、ユーザー権利の割り当てポリシー、信頼ポリシー、または監査ポリシー自体に対する変更をその都度監査するかどうかを決定します。

[ポリシーの変更の監査] で成功値をログに記録するよう設定した場合、ユーザー権利の割り当てポリシー、信頼ポリシー、または監査ポリシーの変更が成功するたびに、監査エントリが生成されます。失敗値をログに記録するよう設定した場合、ユーザー権利の割り当てポリシー、信頼ポリシー、または監査ポリシーの変更が失敗するたびに、監査エントリが生成されます。

推奨設定を使用すると、攻撃者がプログラムのデバッグ特権やファイルとディレクトリのバックアップ特権を追加するなどの方法で格上げを試みているアカウント特権を特定できます。

このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、[ポリシーの変更の監査] は成功値をログに記録するように設定されています。現状では、[失敗] を記録するよう設定しても、意味のあるイベントは収集されません。

次の表は、このポリシー設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。

表 4.7 ポリシー変更の監査のイベント

特権使用の監査

このポリシー設定では、ユーザー権利が実行されるたびに監査するかどうかを指定します。[特権使用の監査] で成功値をログに記録するよう設定した場合、ユーザー権利の実行が成功するたびに監査エントリが生成されます。失敗値をログに記録するよう設定した場合、ユーザー権利の実行が失敗するたびに監査エントリが生成されます。

ただし、次のユーザー権利が実行された場合は、大量のイベントがセキュリティ ログに生成されるので、[特権使用の監査] を構成しても、監査エントリは生成されません。これらのユーザー権利が監査された場合、コンピュータの次のパフォーマンスに影響が出る可能性があります。

[特権使用の監査] は、LC 環境と EC 環境のベースライン ポリシーでは、既定値の [監査しない] のままになっています。SSLF 環境のベースライン ポリシーでは、失敗値をログに記録するように設定されています。ユーザー権利の使用に失敗したということは、ネットワーク上で何か問題が発生したことを意味します。また、セキュリティ侵害が試みられたことを示す場合も数多くあります。組織で [特権使用の監査] を [有効] に設定するのは、業務上の特別な理由がある場合に限定してください。

次の表は、この設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。

表 4.8 特権使用イベント

プロセス追跡の監査

このポリシー設定では、プログラムのアクティブ化、プロセスの終了、ハンドルの複製、および間接的オブジェクト アクセスなどの、イベントに関する詳細な追跡情報を監査するかどうかを設定します。このポリシー設定で成功値を記録するよう設定した場合、追跡対象の処理が成功するたびに監査エントリが生成されます。失敗値を記録するよう設定した場合、追跡対象のプロセスが失敗するたびに監査エントリが生成されます。

[プロセス追跡の監査] は大量のイベントを生成するので、通常は [監査しない] に設定されています。これは、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでも同様です。ただし、セキュリティ上の問題が発生したときに、このポリシー設定が役に立つことがあります。起動されたプロセスの詳細なログ、および各プロセスの起動時刻を記録することができるからです。

次の表は、この設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。

表 4.9 プロセス追跡イベント

システム イベントの監査

このポリシー設定では、ユーザーがコンピュータを再起動またはシャットダウンしたこと、あるいはコンピュータのセキュリティまたはセキュリティ ログに影響を及ぼすイベントが発生したことを、監査するかどうかを指定します。このポリシー設定で成功値を記録するように設定した場合、システム イベントの実行が成功するたびに監査エントリが生成されます。失敗イベントをログに記録するよう設定した場合、システム イベントを実行しようとして失敗するたびに監査エントリが生成されます。

次の表は、この設定で記録する成功のイベントのうち、最も有用なものを示しています。

表 4.10 システム イベントの監査のシステム イベント メッセージ

ページのトップへ

ユーザー権利の割り当て

ユーザー権利を割り当てられたユーザーとグループは、組織内のコンピュータに対するログオンの権限または特権を持ちます。ログオンの権限の例としては、コンピュータに対話的にログオンする権限があります。特権の例としては、コンピュータをシャット ダウンする権限があります。この 2 種類とも、管理者によって、コンピュータのセキュリティ設定の一部として、個々のユーザーまたはグループに割り当てられます。

注 :ここの説明では、[未定義] はユーザーだけに適用されます。管理者には該当するユーザーの権利が与えられます。ローカルの管理者は、ローカルの [ユーザー権利の割り当て] ポリシーを変更できますが、ドメイン単位のグループ ポリシーが更新または再適用されると、そのグループ ポリシーが優先されます。

ユーザーの権利の割り当て設定は、Windows Server 2003 SP1 では、グループ ポリシー オブジェクト エディタの次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー
\ユーザー権利の割り当て

ユーザー権利の割り当ての既定値は、組織内のサーバーの種類によって異なります。たとえば、Windows Server 2003 によってビルトイン グループに割り当てられる権利は、メンバ サーバーとドメイン コントローラとで異なります (各種サーバー間におけるビルトイン グループの類似性は、次の一覧には記載されていません)。

Guests グループ、Guest ユーザー アカウント、および Support_388945a0 ユーザー アカウントは、ドメインごとに一意の SID を持っています。したがって、ユーザー権利の割り当てに関するグループ ポリシーは、特定のターゲット グループのみが存在するコンピュータでは変更する必要がある場合があります。また、ポリシー テンプレートを個別に修正して、.inf ファイルに適切なグループを追加することもできます。たとえば、テスト環境のドメイン コントローラ上で、ドメイン コントローラ グループ ポリシーを作成できます。

注 :Guests グループのメンバ、Support_388945a0、および Guest のメンバの間では SID は一意なので、サーバーのセキュリティ強化のために使用されている設定の一部は、このガイドに付属のセキュリティ テンプレートでは自動化できません。これらの設定については、この章で後述する「追加のセキュリティ設定」を参照してください。

ここでは、このガイドで定義している 3 種類の環境に対して規定された MSBP ユーザー権利の割り当て設定について詳しく説明します。ここで説明する規定の設定の概要については、このガイドのダウンロード バージョンに付属の Microsoft Excel ブック「Windows Server 2003 Security Guide Settings」を参照してください。ここで説明している既定の設定と各設定の詳細については、関連ガイド『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』を参照してください。

次の表に、このガイドで定義している 3 種類のセキュリティ環境に対する、ユーザー権利の割り当ての設定の推奨値を示します。各設定に関する詳細情報については、表の後のサブセクションで説明します。

表 4.11 ユーザー権利の割り当てに関する推奨設定

ネットワーク経由でコンピュータへアクセス

このポリシー設定では、ネットワーク経由でコンピュータに接続できるユーザーとグループを指定します。この設定は、サーバー メッセージ ブロック (SMB) ベースのプロトコル、NetBIOS、共通インターネット ファイル システム (CIFS)、HTTP、Component Object Model Plus (COM+) など、数多くのネットワーク プロトコルで必要になります。

[ネットワーク経由でコンピュータへアクセス] は、LC 環境と EC 環境では [未定義] に設定されています。一方、Windows Server 2003 SP1 では、Everyone セキュリティ グループにアクセス権限が付与されていても、匿名ユーザーにはアクセス権限が付与されなくなりました。ただし、ゲスト用のグループとアカウントには、Everyone セキュリティ グループを介してアクセス権限が付与されます。この理由から、SSLF 環境では、ネットワーク経由でコンピュータへアクセス ユーザー権利は Everyone セキュリティ グループには付与されないため、ドメインに対するゲスト アクセスをねらった攻撃を防御することができます。SSLF 環境で、このユーザー権利が割り当てられるのは、Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS の各グループだけです。

オペレーティング システムの一部として機能

このポリシー設定では、プロセスが、識別したユーザー ID を基に、そのユーザーにアクセスが承認されているリソースへのアクセスを取得できるかどうかを指定します。一般に、このユーザー権利を必要とするのは低レベルの認証サービスだけです。

[オペレーティング システムの一部として機能] ユーザー権利は、LC 環境と EC 環境では [未定義] に設定されています。SSLF 環境では、NULL 値または空白に設定されています。これにより、このユーザー権利はどのセキュリティ グループおよびアカウントにも割り当てられません。

プロセスのメモリ クォータの増加

このポリシー設定では、プロセスが使用できるメモリの最大容量をユーザーが調整できるかどうかを指定します。コンピュータのチューニングには便利ですが、悪用される可能性があります。攻撃者がユーザー権利を悪用して DoS 攻撃を仕掛ける可能性があります。

[プロセスのメモリ クォータの増加] は、LC 環境と EC 環境では [未定義] に設定されています。SSLF 環境では、このユーザー権利は Administrators グループ、NETWORK SERVICE、および LOCAL SERVICE に割り当てます。

ローカル ログオンを許可する

このポリシー設定では、指定したコンピュータに対話的にログオンできるユーザーを指定します。キーボードで Ctrl + Alt + Del キーを押してログオン画面を表示してログオンするには、このユーザー権利が必要です。このユーザー権利を持つアカウントは、コンピュータのローカル コンソールへのログオンに使用できます。

ローカル ログオンを許可する ユーザー権利は、LC 環境と EC 環境の場合、Administrators、Backup Operators、Power Users の各グループだけに割り当てます。こうすることで、承認されていないユーザーがログオンして、ユーザー権利を格上げしたり環境にウイルスを侵入させたりすることを防ぐことができます。SSLF 環境では Administrators グループだけに割り当てます。

ターミナル サービスを使ったログオンを許可する

このポリシー設定では、ターミナル サービス クライアントとしてログオンできる権限を持つユーザーまたはグループを指定します。

ターミナル サービスを使ったログオンを許可するユーザー権利は、LC 環境と EC 環境の場合は Administrators グループと Remote Desktop Users グループだけに付与します。SSLF 環境の場合、このユーザー権利を割り当てるのは Administrators グループのメンバのみです。

ファイルとディレクトリのバックアップ

このポリシー設定では、ユーザーがファイルとディレクトリに関する権限とは無関係にコンピュータをバックアップできるかどうかを指定します。この権利は、アプリケーションが、NTBACKUP.EXE などのバックアップ ユーティリティを使用して、NTFS バックアップ アプリケーション プログラミング インターフェイス (API) を介したアクセスを試みる場合にのみ使用されます。このような場合に該当しないときは、通常のファイル権限とディレクトリ権限が適用されます。

[ファイルとディレクトリのバックアップ] は、LC 環境と EC 環境では [未定義] に設定されています。SSLF 環境では、このユーザー権利は Administrators グループだけに割り当てられています。

横断チェックのバイパス

このポリシー設定では、ユーザーが NTFS ファイル システムまたはレジストリ内のオブジェクト パスを移動する際、「フォルダのスキャン」という特別なアクセス権限のチェックなしにフォルダ間を移動できるかどうかを指定します。このユーザー権利があっても、ユーザーはディレクトリをスキャンできるだけで、フォルダの内容を一覧表示することはできません。

[横断チェックのバイパス] は、LC 環境と EC 環境では [未定義] に設定されています。SSLF 環境では、このユーザー権利は Authenticated Users グループのみに割り当てられます。

システム時刻の変更

このポリシー設定では、コンピュータの内蔵クロックの時刻と日付を変更できるユーザーを指定します。イベント ログにはコンピュータの内蔵クロックに基づいてタイムスタンプが記録されるので、このユーザー権利が割り当てられたユーザーは、イベント ログの内容に影響を与えることが可能になります。コンピュータの時刻が変更された場合、イベントが実際に発生した実際の時刻がログに反映されなくなります。

[システム時刻の変更] は、LC 環境と EC 環境では [未定義] に設定されています。SSLF 環境では、このユーザー権利は Administrators グループだけに割り当てられています。

注 :ローカル コンピュータの時刻とドメイン コントローラの時刻がずれていると、Kerberos 認証プロトコルで問題が生じることがあり�