Windows XP セキュリティ ガイド

トピック

	概要
	アカウント ポリシーの設定
	ローカル ポリシーの設定
	監査ポリシーの設定
	ユーザー権利の割り当ての設定
	セキュリティ オプションの設定
	イベント ログのセキュリティ設定
	制限されたグループ
	システム サービス
	追加のレジストリ設定
	セキュリティ構成エディタのユーザー インターフェイスの変更方法
	追加のセキュリティ設定
	ファイル システムを保護する
	まとめ

概要

この章では、Microsoft® Windows® 2000 または Windows Server™ 2003 の Active Directory® ディレクトリ サービス ドメインのグループ ポリシーを使用して構成する主なセキュリティ設定について詳しく説明します。規定のポリシー設定を実装すると、Microsoft Windows XP Professional Service Pack 2 (SP2) を実行している組織内のデスクトップ コンピュータとラップトップ コンピュータのセキュリティを保護できます。この章では、Windows XP で使用可能なすべてのポリシー設定ではなく、コンピュータのセキュリティに直接関連するポリシー設定に関するガイダンスだけを示しています。

「第 1 章 Windows XP セキュリティ ガイドの概要」で説明しているように、この章に示すガイダンスは、このガイドで定義しているエンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境に固有のものです。ポータブル コンピュータはモバイル コンピュータであり、常に企業ネットワークを通じて作業環境内のドメイン コントローラに接続されているとは限らないため、この章ではラップトップとデスクトップで個別のポリシー設定を行うことをお勧めしています。また、ラップトップ ユーザーは、オンサイトのテクニカル サポートを利用できない時間帯でも作業することが想定されます。そのため、ラップトップ クライアント コンピュータの場合、ドメイン コントローラへの接続を必要とするポリシー設定やログオン時間を管理する設定はデスクトップの場合とは異なります。

「第 2 章 Active Directory ドメイン インフラストラクチャの構成」で説明しているように、特定の環境に指定しないポリシー設定をドメイン レベルで定義する場合があります。この章で未定義 として示すポリシー設定も同じように扱われます。その特定の環境では、既定値で十分なセキュリティを確保できます。また、グループ ポリシー オブジェクト (GPO) のポリシー設定が未定義であると、インストール中に設定を変更する必要があるアプリケーションの展開が容易になります。たとえば、エンタープライズ管理ツールでは、管理対象コンピュータのローカル サービス アカウントに対して特定のユーザー権利の割り当てが必要な場合があります。この章に示すガイダンスは、推奨設定で構成されています。環境で変更を行うときは、事前にビジネス ニーズを慎重に検討してください。

次の表は、このガイダンスで使用できるインフラストラクチャ ファイル (.inf) を定義しています。このファイルには、この章で説明する 2 つの環境に対するベースライン セキュリティの設定内容がすべて網羅されています。

表 3.1 ベースライン セキュリティ テンプレート

この章で説明するポリシー設定の詳細については、http://go.microsoft.com/fwlink/?LinkId=15159 の関連ガイド『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』を参照してください。

ページのトップへ

アカウント ポリシーの設定

この章では、アカウント ポリシーの設定については説明しません。これらの設定については、このガイドの「第 2 章 Active Directory ドメイン インフラストラクチャの構成」を参照してください。

ページのトップへ

ローカル ポリシーの設定

Windows XP Professional を実行しているコンピュータであれば、ローカル セキュリティ ポリシー コンソールまたは Active Directory ドメインベースの GPO のいずれかを使用してローカル ポリシーを設定できます。ローカル ポリシーの設定には、監査ポリシー、ユーザー権利の割り当て、セキュリティ オプションなどの設定があります。

ページのトップへ

監査ポリシーの設定

監査ポリシーでは、管理者に報告するセキュリティ イベントが決定され、指定されたイベント カテゴリのユーザーまたはシステム アクティビティが記録されます。これにより、管理者は、誰がオブジェクトにアクセスしたか、ユーザーがコンピュータにログオンまたはログオフしたかどうか、監査ポリシーの設定が変更されたかどうかなど、セキュリティに関連するアクティビティを監視できます。これらすべての理由から、管理者が環境に実装する監査ポリシーを作成することをお勧めします。

ただし、監査ポリシーの実装に際しては、環境内で監査が必要なイベント カテゴリを事前に決定する必要があります。イベント カテゴリ内で選択した監査設定により、監査ポリシーが決まります。特定のイベント カテゴリについて監査ポリシーの設定を定義することで、管理者は組織のセキュリティ ニーズに合わせた監査ポリシーを作成できます。

監査設定が構成されていない場合、セキュリティ上の事故が発生した際にその詳細を知ることが困難になるか、不可能になります。しかし、監査の構成によって、許可されたアクティビティがイベントを過剰に生成するため、セキュリティ イベント ログは無駄なデータでいっぱいになってしまいます。この後の各セクションの情報は、何を監視するか、また関連する監査データをどのように収集するかを組織で決定するうえで役に立ちます。

Windows XP の監査ポリシー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\監査ポリシー

次の表に、この章で説明する 2 種類のセキュリティ環境でのデスクトップとラップトップのクライアント コンピュータに推奨される監査ポリシー設定を示します。エンタープライズ クライアント環境は EC、セキュリティ強化 - 機能制限環境は SSLF と略しています。これらの推奨設定を確認し、組織のニーズに合わせて調整する必要があります。ただし、大量のトラフィックが発生する可能性のある監査設定には特に注意してください。たとえば、[特権使用の監査] の成功または失敗の監査を有効にすると、大量の監査イベントが生成され、セキュリティ イベント ログでその他の種類のエントリを検索できなくなる可能性があります。このような構成は、パフォーマンスに大きく影響する可能性もあります。各設定の詳細については、表の後の各サブセクションを参照してください。

表 3.2 監査ポリシーの推奨設定

アカウント ログオン イベントの監査

このポリシー設定を有効にすると、資格情報検証のイベントが生成されます。これらのイベントは、資格情報を検証する権限のあるコンピュータで発生します。ドメイン アカウントの場合はドメイン コントローラ、ローカル アカウントの場合はローカル コンピュータに権限があります。ドメイン環境の場合、ほとんどのアカウント ログオン イベントは、ドメイン アカウントに対して権限のあるドメイン コントローラのセキュリティ ログで発生します。ただし、ログオンに使用されているアカウントによっては、組織内の他のコンピュータで発生する場合もあります。

このガイダンスでは、[アカウント ログオン イベントの監査] の値を、EC 環境では [成功] のみ、SSLF 環境では [成功] および [失敗] に設定します。

アカウント管理の監査

このポリシー設定は、ユーザーまたはグループの新規作成、ユーザーまたはグループの名前の変更、ユーザー アカウントの有効化または無効化、アカウントのパスワードの変更、アカウント管理イベントの監査の有効化などの操作を追跡するために使用します。この監査ポリシー設定を有効にすると、管理者はイベントを追跡して、ユーザー アカウントおよびグループ アカウントの作成 (悪意による作成、意図しない作成、許可された作成など) を検出できます。

[アカウント管理の監査]の値は、EC 環境では[成功]、SSLF 環境では [成功]および [失敗]に設定します。

ディレクトリ サービスのアクセスの監査

このポリシー設定は、ドメイン コントローラで監査タスクを実行する場合のみ有効にできます。そのため、この設定はワークステーション レベルでは定義されていません。このポリシー設定は、Windows XP Professional を実行しているコンピュータには適用されません。したがって、この章で説明している 2 つの環境では、[ディレクトリ サービスのアクセスの監査] の値を [未定義] に設定する必要があります。

ログオン イベントの監査

このポリシー設定では、ログオン セッションの作成と破棄を記録するイベントが生成されます。これらのイベントは、アクセス先のコンピュータで発生します。対話型ログオンの場合、イベントはログオン先のコンピュータで生成されます。共有リソースにアクセスするためにネットワーク ログオンが行われた場合、イベントは、アクセスされたリソースをホストするコンピュータで生成されます。

[ログオン イベントの監査] の値を [監査しない] に設定すると、組織内のコンピュータにアクセスした、またはアクセスを試みたユーザーの特定が困難または不可能になります。

[ログオン イベントの監査] の値は、EC 環境では [成功] に設定します。SSLF 環境では、[成功] および [失敗] に設定します。

オブジェクト アクセスの監査

[オブジェクト アクセスの監査] ポリシーを有効にしただけでは、どのイベントも監査されません。このポリシー設定では、システム アクセス制御リスト (SACL) が指定されているオブジェクト (ファイル、フォルダ、レジストリ キー、プリンタなど) にアクセスするユーザーのイベントを監査するかどうかを指定します。

SACL は、アクセス制御エントリ (ACE) で構成されています。各 ACE には、次の 3 つの情報が含まれています。

[オブジェクト アクセスの監査] の値を [成功] に設定すると、SACL が指定されたオブジェクトへのユーザー アクセスが成功するたびに、監査エントリが生成されます。このポリシー設定を [失敗] に設定すると、SACL が指定されたオブジェクトへのユーザー アクセスが失敗するたびに、監査エントリが生成されます。

組織では、SACL を構成する際、有効にするアクションのみを定義する必要があります。たとえば場合によっては、実行可能ファイルの [データの書き込み] および [データの追加] を監査する設定を有効にして、実行可能ファイルの変更や置換の追跡を可能にする必要があります。ウイルス、ワーム、トロイの木馬などは、実行可能ファイルを標的にすることが多いからです。同様に、機密文書へのアクセスまたは機密文書の変更の追跡が必要になる場合もあります。

[オブジェクト アクセスの監査] の値は、EC 環境では [監査なし]、SSLF 環境では [失敗] に設定します。次の手順に実効性を持たせるために、この設定を有効にする必要があります。

ファイルまたはフォルダに対して監査ルールを手動で設定し、指定したファイルまたはフォルダのオブジェクトごとに監査ルールをテストするには、次の手順に従います。テストの手順はスクリプト ファイルにより自動化することもできます。

ファイルまたはフォルダの監査ルールをテストするには

ファイルまたはフォルダの監査ルールをテストするには

ポリシーの変更の監査

このポリシー設定では、ユーザー権利の割り当てポリシー、Windows ファイアウォール ポリシー、信頼ポリシー、または監査ポリシー自体が変更されるたびに監査するかどうかを指定します。推奨設定を使用すると、"プログラムのデバッグ" 特権や "ファイルとディレクトリのバックアップ" 特権を追加することによって、攻撃者が格上げを試みているアカウント特権を確認できます。

この章で説明している 2 つの環境では、[ポリシーの変更の監査] の値を [成功] に設定します。値を [失敗] に設定するとセキュリティ イベント ログに正確なアクセス情報が生成されないため、説明対象から除外しています。

特権使用の監査

このポリシー設定では、ユーザーによるユーザー権利の使用を監査するかどうかを指定します。この値を [成功] に設定すると、ユーザー権利が正常に行使されるたびに監査エントリが生成されます。この値を [失敗] に設定すると、ユーザー権利の行使が失敗するたびに監査エントリが生成されます。このポリシー設定では、大量のイベント レコードが生成される場合があります。

[特権使用の監査] の値は、EC 環境のコンピュータでは [監査なし] に設定します。SSLF 環境では [失敗] に設定して、失敗したすべてのユーザー特権使用を監査します。

プロセス追跡の監査

このポリシー設定では、プログラムのアクティブ化、プロセスの終了、ハンドルの複製、間接的オブジェクト アクセスなどのイベントに関する詳細な追跡情報を監査するかどうかを指定します。[プロセス追跡の監査] を有効にすると大量のイベントが生成されるので、通常は、[監査なし] に設定します。ただし、この設定は、プロセス起動の詳細ログからの応答時およびプロセス起動時に役に立ちます。

この章で説明している 2 つの環境では、[プロセス追跡の監査] の値を [監査なし] に設定します。

システム イベントの監査

このポリシー設定は、成功および失敗したシステム イベントを監視し、それらの記録から、許可されていないシステム アクセスのインスタンスを特定できるので、重要です。システム イベントには、環境内のコンピュータの起動やシャットダウン、フル イベント ログ、システム全体に影響するその他のセキュリティ関連イベントなどがあります。

この章で説明している 2 つの環境では、[システム イベントの監査] の値を [成功] に設定します。

ページのトップへ

ユーザー権利の割り当ての設定

Windows XP Professional の特権グループの多くを組み合わせて、複数のユーザー権利をユーザーまたはグループに割り当て、標準ユーザー以上の特権を与えることができます。

ユーザー権利の値を特に設定しない場合は、この設定を有効にしますが、この設定にユーザーやグループは追加しないでください。ユーザー権利の値を未定義にする場合は、この設定を有効にしないでください。

ユーザー権利の割り当て設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て

次の表に、ユーザー権利の割り当ての推奨設定 (第 1 部) を示します。この章で説明している 2 種類のセキュリティ環境のデスクトップとラップトップのクライアント コンピュータの推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。

ユーザー権利の割り当ての推奨設定 (第 2 部) を表 3.4 に示します。これらのユーザー権利の詳細については、表の後の各サブセクションを参照してください。

注 :インターネット インフォメーション サーバー (IIS) の多くの機能では、IIS_WPG、IIS IUSR_<コンピュータ名>、IWAM_<コンピュータ名>などの特定のアカウントに特定の特権が必要です。IIS に関連するアカウントに必要なユーザー権利の詳細については、http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx の「IIS and Built-in Accounts (IIS 6.0)」(英語情報) を参照してください。

ユーザー権利 (第 1 部)

表 3.3 ユーザー権利の割り当ての推奨設定 - 第 1 部

ネットワーク経由でコンピュータへアクセス

このポリシー設定は、ネットワーク上の他のユーザーがコンピュータに接続することを許可します。サーバー メッセージ ブロック (SMB) ベースのプロトコル、NetBIOS、共通インターネット ファイル システム (CIFS)、Component Object Model Plus (COM+) など、さまざまなネットワーク プロトコルで必要です。

[ネットワーク経由でコンピュータへアクセス] の値は、EC 環境では [未定義]、SSLF 環境では [Administrators] に設定します。

オペレーティング システムの一部として機能

このポリシー設定は、プロセスがユーザーの ID を取得して、そのユーザーがアクセスを許可されているリソースにアクセスすることを許可します。

そのため、この章で説明している 2 つの環境では、[オペレーティング システムの一部として機能] の値を誰にも割り当てないように制限します。

プロセスのメモリ クォータの増加

このポリシー設定は、プロセスで使用できる最大メモリ容量をユーザーが調整することを許可します。メモリ クォータを調整する機能はシステムのチューニングに有用ですが、悪用される可能性があります。たとえば、サービス拒否 (DoS) 攻撃に利用される可能性もあります。

そのため、[プロセスのメモリ クォータの増加] の値は、SSLF 環境のコンピュータでは [Administrators]、[LOCAL SERVICE]、および [NETWORK SERVICE] に制限します。EC 環境のコンピュータでは [未定義] に設定します。

ローカル ログオンを許可する

このポリシー設定では、環境内のコンピュータに対話的にログオンできるユーザーを指定します。クライアント コンピュータのキーボードで Ctrl + Alt + Del キーを押してログオンする場合は、このユーザー権利が必要です。ターミナル サービスまたは Microsoft インターネット インフォメーション サービス (IIS) を使用してログオンするユーザーの場合も、このユーザー権利が必要です。

Guest アカウントには、既定でこのユーザー権利が与えられています。このアカウントは既定で無効になっているので、グループ ポリシーを使用してこの設定を有効にすることをお勧めします。ただし、このユーザー権利は一般に Administrators グループと Users グループに制限する必要があります。組織内で Backup Operators グループにこの機能が必要な場合は、このユーザー権利をグループに割り当てます。

この章で説明している 2 つの環境では、[ローカル ログオンを許可する] の値を [Users] と [Administrators] に制限します。

ターミナル サービスを使ったログオンを許可する

このポリシー設定では、ターミナル サービス クライアントとしてログオンする権利を持つユーザーまたはグループを指定します。リモート デスクトップ ユーザーには、このユーザー権利が必要です。企業のヘルプ デスク戦略の一環としてリモート アシスタンスを使用している場合、グループを作成し、そのグループにグループ ポリシーを使用してこのユーザー権利を割り当てます。組織内のヘルプ デスクでリモート アシスタンスを使用していない場合は、このユーザー権利を Administrators グループのみに割り当てるか、グループ制限の機能を使用して、Remote Desktop Users グループにユーザー アカウントが含まれないようにします。

このユーザー権利を Administrators グループのみ、または場合によっては Remote Desktop Users グループに制限すると、好ましくないユーザーが Windows XP Professional のリモート アシスタンス機能を使用してネットワーク上のコンピュータにアクセスすることを防止できます。

[ターミナル サービスを使ったログオンを許可する] の値は、EC 環境では [未定義] に設定します。SSLF 環境では、セキュリティを強化するためにどのグループにも設定しません。

ファイルとディレクトリのバックアップ

このポリシー設定は、ユーザーがファイルおよびディレクトリのアクセス許可を回避してシステムをバックアップすることを許可します。このユーザー権利は、NTBACKUP などのアプリケーションが NTFS ファイルシステムのバックアップ アプリケーション プログラミング インターフェイス (API) を使用してファイルまたはディレクトリにアクセスしようとしたときにのみ有効になります。それ以外の場合は、割り当てられているファイルおよびディレクトリのアクセス許可が適用されます。

[ファイルとディレクトリのバックアップ] の値は、EC 環境では [未定義] に設定します。SSLF 環境では、このポリシー設定を [Administrators] に設定します。

横断チェックのバイパス

このポリシー設定は、特別なアクセス許可である "フォルダのスキャン" を持っていないユーザーが、NTFS ファイル システムまたはレジストリ内のオブジェクト パスを移動するときにフォルダを "スキャン" することを許可します。このユーザー権利を持っていても、ユーザーはディレクトリをスキャンできるだけで、フォルダの内容を一覧表示することはできません。

[横断チェックのバイパス] の値は、EC 環境のコンピュータでは [未定義] に設定します。SSLF 環境では [Administrators] および [Users] グループに設定します。

システム時刻の変更

このポリシー設定では、環境内のコンピュータの内部クロックの日時を変更できるユーザーとグループを指定します。このユーザー権利を割り当てられたユーザーにより、イベント ログの表示に影響が出ることがあります。コンピュータの時刻設定を変更すると、ログに記録されるイベントの発生時刻には、実際の時刻ではなく、新しい時刻が反映されます。

この章で説明している 2 つの環境では、[システム時刻の変更] の値を [Administrators] に設定します。

注 :環境内のローカル コンピュータとドメイン コントローラの時刻がずれていると、Kerberos 認証プロトコルに問題が生じることがあります。これにより、ユーザーがネットワークにログオンしていても、ドメインにログオンできなくなったり、ドメイン リソースへのアクセス認証を取得できなくなったりすることがあります。さらに、システム時刻がドメイン コントローラと同期していない場合、グループ ポリシーをクライアント コンピュータに適用する際に問題が発生します。

ページファイルの作成

このポリシー設定は、ユーザーがページファイルのサイズを変更することを許可します。攻撃者は、ページファイルのサイズを極端に大きくするか小さくすることにより、侵入したコンピュータのパフォーマンスを簡単に操作できます。

[ページファイルの作成] の値は、EC 環境と SSLF 環境のすべてのコンピュータで [Administrators] に設定します。

永続的共有オブジェクトの作成

このポリシー設定は、ユーザーがオブジェクト マネージャでディレクトリ オブジェクトを作成することを許可します。このユーザー権利は、オブジェクトの名前空間を拡張するカーネル モードのコンポーネントで使用できます。ただし、カーネル モードで動作しているコンポーネントには、最初からこのユーザー権利が設定されています。したがって、通常は、改めてこのユーザー権利を割り当てる必要はありません。

[永続的共有オブジェクトの作成] の値は、EC 環境では [未定義] に設定し、SSLF 環境ではどのグループにも設定しません。

トークン オブジェクトの作成

このポリシー設定は、プロセスによるアクセス トークンの作成を許可します。アクセス トークンによって、機密データにアクセスできるように権利が格上げされる場合があります。セキュリティの優先度が高い環境では、このユーザー権利はどのユーザーにも割り当てないでください。この機能が必要なプロセスでは、このユーザー権利が既定で割り当てられるローカル システム アカウントを使用する必要があります。

[トークン オブジェクトの作成] の値は、EC 環境では [未定義] に設定し、SSLF 環境ではどのグループにも設定しません。

プログラムのデバッグ

このポリシー設定では、プロセスまたはカーネルにデバッガを接続できるユーザーを指定します。この設定により、機密性が高く、重要なオペレーティング システム コンポーネントに無制限にアクセスできます。このユーザー権利は、管理者が "インメモリ パッチ" ("ホットパッチ") をサポートする更新プログラムを利用する場合に必要です。Microsoft パッケージ インストーラの最新機能の詳細については、http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/deployment/winupdte.mspx の「Windows と Windows コンポーネント用パッケージ インストーラ Update.exe の内部メカニズム」を参照してください。このユーザー権利は攻撃者が悪用する可能性があるため、既定では Administrators グループにのみ割り当てられています。

注 :Microsoft が 2003 年 10 月に提供を開始した複数のセキュリティ更新プログラムでは、管理者がプログラムのデバッグ ユーザー権利を持っている必要がある Update.exe のバージョンが使用されていました。このユーザー権利を持っていなかった管理者は、ユーザー権利を再構成するまで、これらの更新プログラムをインストールできませんでした。詳細については、http://support.microsoft.com/default.aspx?kbid=830846 のマイクロソフト サポート技術情報「Windows 更新プログラムのインストール中、応答が停止するか、大部分またはすべての CPU リソースが消費される」を参照してください。

プログラムのデバッグユーザー権利は強力です。したがって、このポリシーの値は、EC 環境では [Administrators] に設定し、SSLF 環境では既定値のままどのグループにも設定しません。

ネットワーク経由でコンピュータへアクセスを拒否する

このポリシー設定は、ユーザーがネットワークからコンピュータに接続することを禁止します。ネットワークから接続できると、ユーザーは、リモートでデータにアクセスして変更できます。高セキュリティ環境では、リモート ユーザーがコンピュータのデータにアクセスする必要はありません。その代わりに、ネットワーク サーバーを使用してファイル共有を行います。

この章で説明している 2 つの環境のコンピュータでは、[ネットワーク経由でコンピュータへアクセスを拒否する] の値を、[Support_388945a0] および [Guest] に設定します。

バッチ ジョブとしてログオンを拒否する

このポリシー設定は、ユーザーがバッチキュー機能を使用してログオンすることを禁止します。バッチキューは、Windows Server 2003 でジョブが後で自動的に実行されるようにスケジュールを設定する機能です。

[バッチ ジョブとしてログオンを拒否する] の値は、EC 環境では [未定義]、SSLF 環境では [Support_388945a0] および [Guest] に設定します。

ローカルでログオンを拒否する

このポリシー設定は、ユーザーがコンピュータ コンソールにローカル ログオンすることを禁止します。権限のないユーザーがコンピュータにローカル ログオンできると、悪質なコードをダウンロードしたり、そのコンピュータでの特権を格上げしたりする可能性があります(攻撃者がコンソールに物理的にアクセスできる場合は、考慮する必要のあるリスクは他にもあります)。このユーザー権利は、コンピュータ コンソールへの物理的なアクセスが必要なユーザーに割り当ててはいけません。

[ローカルでログオンを拒否する] の値は、EC 環境では [未定義]、SSLF 環境では [Support_388945a0] および [Guest] に設定します。また、SSLF 環境のコンピュータに追加するサービス アカウントにもこのユーザー権利を割り当てて、悪用を回避する必要があります。

ターミナル サービスを使ったログオンを拒否する

このポリシー設定は、ユーザーがリモート デスクトップ接続を使用して環境内のコンピュータにログオンすることを禁止します。このユーザー権利を Everyone グループに割り当てると、既定の Administrators グループのメンバもターミナル サービスを使用して環境内のコンピュータにログオンできなくなります。

[ターミナル サービスを使ったログオンを拒否する] の値は、EC 環境では [未定義]、SSLF 環境では [Everyone] に設定します。

コンピュータとユーザー アカウントに委任時の信頼を付与

このポリシー設定は、ユーザーが Active Directory でコンピュータ オブジェクトの委任に対する信頼の設定を変更することを許可します。この特権が悪用されると、権限のないユーザーがネットワーク上の他のユーザーになりすますおそれがあります。

そのため、[コンピュータとユーザー アカウントに委任時の信頼を付与] の値は、EC 環境では [未定義] に設定し、SSLF 環境ではどのグループにも設定しません。

ユーザー権利 (第 2 部)

表 3.4 ユーザー権利の割り当ての推奨設定 - 第 2 部

次の表に、ユーザー権利の割り当ての推奨設定 (第 3 部) を示します。各設定の詳細については、表の後の各サブセクションを参照してください。

リモート コンピュータからの強制シャットダウン

このポリシー設定は、ユーザーがネットワーク上の遠隔地から Windows XP ベースのコンピュータをシャットダウンすることを許可します。このユーザー権利を割り当てられたユーザーによって、サービス拒否 (DoS) 状態が発生し、コンピュータがユーザー要求を処理できなくなる可能性があります。したがって、このユーザー権利は、信頼性の高い管理者だけに割り当てることをお勧めします。

この章で説明している 2 つの環境では、[リモート コンピュータからの強制シャットダウン] の値を、[Administrators] に設定します。

セキュリティ監査の生成

このポリシー設定では、セキュリティ ログに監査レコードを生成できるユーザーまたはプロセスを指定します。攻撃者はこの機能を使用して大量の監査イベントを作成する可能性があります。その結果、システム管理者は不正行為の特定が困難になります。また、イベント ログのイベントが必要に応じて上書きされるように設定されている場合は、関連のない大量のイベントによって不正行為の証拠が上書きされる可能性もあります。

そのため、この章で説明している 2 つの環境では、[セキュリティ監査の生成] の値を、[LOCAL SERVICE] および [NETWORK SERVICE] に設定します。

スケジューリング優先順位の繰り上げ

このポリシー設定は、プロセスが利用するプロセッサ時間の長さをユーザーが変更することを許可します。攻撃者はこの機能を使用して、プロセスの優先順位をリアルタイムに繰り上げ、コンピュータでサービス拒否状態を発生させる可能性があります。

そのため、この章で説明している 2 つの環境では、[スケジューリング優先順位の繰り上げ] の値を [Administrators] に設定します。

デバイス ドライバのロードとアンロード

このポリシー設定は、ユーザーがシステム上で新しいデバイス ドライバを動的にロードすることを許可します。攻撃者はこの機能を使用して、デバイス ドライバに見せかけた悪質なコードをインストールする可能性があります。ユーザーが Windows XP 環境でローカル プリンタまたはプリンタ ドライバを追加するには、このユーザー権利および Power Users グループまたは Administrators グループのメンバシップが必要です。

このユーザー権利は攻撃者が使用する可能性があるので、この章で説明している 2 つの環境では、[デバイス ドライバのロードとアンロード] の値を [Administrators] に設定します。

メモリ内のページのロック

このポリシー設定は、プロセスが物理メモリにデータを保持することを許可します。これによって、システムはディスク上の仮想メモリにデータをページングできなくなります。このユーザー権利を割り当てると、システム パフォーマンスが大幅に低下する場合があります。

そのため、この章で説明している 2 つの環境では、[メモリ内のページ ロック] の値をどのグループにも設定しません。

バッチ ジョブとしてログオン

このポリシー設定は、アカウントがタスク スケジューラ サービスを使用してログオンすることを許可します。タスク スケジューラは管理目的でよく使用されるので、EC 環境では必要な場合があります。ただし、SSLF 環境では、その使用を制限する必要があります。これは、システム リソースの誤用を防いだり、攻撃者がこの権利を使用して、コンピュータにユーザー レベルでアクセスした後で悪質なコードを起動することを防いだりするためです。

したがって、[バッチ ジョブとしてログオン] の値は、EC 環境では [未定義] に設定し、SSLF 環境ではどのグループにも設定しません。

サービスとしてログオン

このポリシー設定は、アカウントがネットワーク サービスを起動したり、システムで実行されているサービスとしてプロセスを登録したりすることを許可します。SSLF 環境では、このユーザー権利の使用をすべてのコンピュータで制限する必要があります。EC 環境では、多くのアプリケーションにこの特権が必要な場合があるので、構成する前に慎重に評価およびテストする必要があります。

[サービスとしてログオン] の値は、EC 環境では [未定義]、SSLF 環境では [NETWORK SERVICE] および [LOCAL SERVICE] に設定します。

監査とセキュリティ ログの管理

このポリシー設定では、ファイルとディレクトリの監査オプションを変更でき、セキュリティ ログを消去できるユーザーを指定します。

この機能の潜在的な脅威は比較的小さいので、この章で説明している 2 つの環境では、[監査とセキュリティ ログの管理] の既定値の [Administrators] を使用します。

ファームウェアの環境変数の修正

このポリシー設定は、ハードウェア構成に影響するシステム全体の環境変数をユーザーが設定することを許可します。通常、この情報は、前回正常起動時の構成に保存されます。これらの値を変更すると、ハードウェア障害が発生し、サービス拒否状態になる可能性があります。

この機能の潜在的な脅威は比較的小さいので、この章で説明している 2 つの環境では、[ファームウェア環境変数の変更] の既定値の [Administrators] を使用します。

ボリュームの保守タスクを実行

このポリシー設定は、ユーザーがシステムのボリュームまたはディスク構成を管理することを許可します。ユーザーはボリュームを削除できるので、データの損失およびサービス拒否状態が発生する可能性があります。

この章で説明している 2 つの環境では、[ボリュームの保守タスクを実行] の既定値の [Administrators] を使用します。

単一プロセス プロファイル

このポリシー設定は、システム プロセス以外のプロセスのパフォーマンスを監視するツールを使用できるユーザーを指定します。通常は、Microsoft 管理コンソール (MMC) の [パフォーマンス] スナップインを使用するために、このユーザー権利を設定する必要はありません。ただし、Windows Management Instrumentation (WMI) を使用してシステム モニタがデータを収集するように設定している場合は、このユーザー権利が必要です。"単一プロセス プロファイル" ユーザー権利を制限すると、侵入者は追加情報を取得できないため、システムを攻撃できません。

[単一プロセス プロファイル] の値は、EC 環境のコンピュータでは [未定義]、SSLF 環境では [Administrators] に設定します。

システム パフォーマンスのプロファイル

このポリシー設定は、ユーザーがさまざまなシステム プロセスのパフォーマンスを表示するツールを使用することを許可します。この設定が悪用されると、攻撃者がシステムのアクティブなプロセスを判別して、コンピュータの潜在的な攻撃対象を特定する可能性があります。

この章で説明している 2 つの環境では、[システム パフォーマンスのプロファイル] の既定値の [Administrators] を使用します。

ドッキング ステーションからコンピュータを削除

このポリシー設定は、ポータブル コンピュータのユーザーが [スタート] メニューの [PC の取り外し] をクリックしてコンピュータの装着を解除することを許可します。

この章で説明している 2 つの環境では、[ドッキング ステーションからコンピュータを削除] の値を、[Administrators] および [Users] グループに設定します。

プロセス レベル トークンを置き換える

このポリシー設定は、1 つのプロセスまたはサービスが、異なるセキュリティ アクセス トークンを持つ別のプロセスまたはサービスを開始することを許可します。この設定を使用すると、そのサブプロセスのセキュリティ アクセス トークンを変更し、特権を格上げできます。

この章で説明している 2 つの環境では、[プロセス レベル トークンを置き換える] の既定値の [LOCAL SERVICE] および [NETWORK SERVICE] を使用します。

ファイルとディレクトリの復元

このポリシー設定では、環境内で Windows XP を実行しているコンピュータでバックアップ済みのファイルとディレクトリを復元する際、ファイル、ディレクトリ、レジストリ、およびその他の永続的なオブジェクトへのアクセス許可を回避できるユーザーを指定します。オブジェクト所有者として有効なセキュリティ プリンシパルを設定できるユーザーもこのユーザー権利で決定します。この点で、ファイルとディレクトリのバックアップ ユーザー権利に似ています。

[ファイルとディレクトリの復元] の値は、EC 環境では [未定義]、SSLF 環境では [Administrators] に設定します。

システムのシャットダウン

このポリシー設定は、環境内でコンピュータにローカルでログオンしているユーザーのうち、Shut Down コマンドを使用してオペレーティング システムをシャットダウンできるユーザーを指定します。このユーザー権利が誤用されると、サービス拒否状態になることがあります。高セキュリティ環境では、この権利を Administrators グループおよび Users グループにのみ割り当てることをお勧めします。

この章で説明している 2 つの環境では、[システムのシャットダウン] の値を、[Administrators] および [Users] に設定します。

ファイルとその他のオブジェクトの所有権の取得

このポリシー設定は、ファイル、フォルダ、レジストリ キー、プロセス、またはスレッドの所有権をユーザーが取得することを許可します。このユーザー権利は、オブジェクトを保護するために設定されているアクセス許可を回避し、指定したユーザーに所有権を付与します。

この章で説明している 2 つの環境では、[ファイルとその他のオブジェクトの所有権の取得] の既定値の [Administrators] を使用します。

ページのトップへ

セキュリティ オプションの設定

環境内で Windows XP を実行しているコンピュータで、グループ ポリシーを使用して適用するセキュリティ オプションの設定を使用して、フロッピー ディスク ドライブや CD-ROM ドライブへのアクセス、ログオン プロンプトなどの機能を有効または無効にできます。これらの設定は、データのデジタル署名、Administrator および Guest のアカウント名、ドライバのインストール方法など、その他の設定にも使用します。

セキュリティ オプションの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション

このセクションに含まれる設定は、すべての種類のシステムに存在するわけではありません。グループ ポリシーのうち、このセクションで定義するセキュリティ オプションの部分からなる設定を完全に運用可能にするには、それらが存在するシステムでその設定を手動で変更する必要があります。または、グループ ポリシーのテンプレートを個別に編集して、規定の設定が有効になるよう適切な設定オプションを組み込みます。

この後の各セクションでは、セキュリティ オプションの推奨設定を、オブジェクトの種類ごとに示します。各セクションでは、設定を表に示します。設定の詳細については、表の後の各サブセクションを参照してください。この章で説明しているエンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境のデスクトップとラップトップのクライアント コンピュータの推奨設定を示します。

アカウント

次の表に、アカウントのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。

表 3.5 セキュリティ オプションの推奨設定 - アカウント

アカウント:Administrator アカウントの状態

このポリシー設定は、通常の運用時に Administrator アカウントを有効または無効にします。コンピュータがセーフ モードで起動したときは、この設定に関係なく Administrator アカウントは常に有効になります。

[アカウント: Administrator アカウントの状態] の値は、EC 環境では [未定義]、SSLF 環境では [有効] に設定します。

アカウント:Guest アカウントの状態

このポリシー設定では、Guest アカウントを有効にするかどうかを指定します。Guest アカウントを有効にした場合、認証されていないネットワーク ユーザーがシステムにアクセスできます。

この章で説明している 2 つの環境では、[アカウント: Guest アカウントの状態] セキュリティ オプションの値を [無効] に設定します。

アカウント:ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する

このポリシー設定は、物理的なコンピュータ コンソール以外の場所からログオンするときに、パスワード保護されていないローカル アカウントを使用できるかどうかを指定します。このポリシー設定を有効にすると、空のパスワードを使用するローカル アカウントは、リモート クライアント コンピュータからネットワークにログオンできなくなります。このようなアカウントは、コンピュータのキーボードからのみログオンできます。

この章で説明している 2 つの環境では、[アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する] の値を [有効] に設定します。

アカウント:Administrator アカウント名の変更

ビルトイン ローカル Administrator アカウントはよく知られているため、攻撃者の標的になる可能性が高くなっています。このアカウントに別の名前を選択し、管理者アカウントや上位のアクセス権を持つアカウントであることを示す名前の使用を避けることをお勧めします。また、[コンピュータの管理] コンソールを使用してローカル管理者に関する既定の説明も変更するようにしてください。

この章で説明している 2 つの環境では [アカウント: Administrator アカウント名の変更] 設定を使用することをお勧めします。

注 :このポリシー設定はセキュリティ テンプレートでは構成されていません。また、このガイダンスではアカウントの新しいユーザー名を例示していません。これは、このガイダンスを実装する組織が同じユーザー名を実際の環境で使用しないようにするためです。

アカウント:Guest アカウント名の変更

ビルトイン ローカル Guest アカウントもハッカーにはよく知られている名前です。このアカウントも、その目的を推測できないような名前に変更することをお勧めします。このアカウントを無効にする場合でも (推奨設定)、セキュリティ強化のために名前を変更することをお勧めします。

この章で説明している 2 つの環境では、[アカウント: Guest アカウント名の変更] 設定を使用することをお勧めします。

注 :このポリシー設定はセキュリティ テンプレートでは構成されていません。また、ここではアカウントの新しいユーザー名を例示していません。これは、このガイダンスを実装する組織が同じユーザー名を実際の環境で使用しないようにするためです。

監査

次の表に、監査の推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。

表3.6 セキュリティ オプションの推奨設定 - 監査

監査:グローバル システム オブジェクトへのアクセスを監査する

このポリシー設定を有効にすると、ミューテックス、イベント、セマフォ、MS-DOS® デバイスなどのシステム オブジェクトの既定のシステム アクセス制御リスト (SACL) が作成され、これらのシステム オブジェクトへのアクセスが監査されます。

[監査: グローバル システム オブジェクトへのアクセスを監査する] 設定を有効にすると、セキュリティ イベント ログが大量のセキュリティ イベントで短時間のうちにいっぱいになる可能性があります。したがって、このポリシー設定の値は、EC 環境では [未定義]、SSLF 環境では [無効] に設定します。

監査:バックアップと復元の特権の使用を監査する

このポリシー設定では、[特権使用の監査] 設定が有効になっているときに、バックアップと復元を含むすべてのユーザー特権の使用を監査するかどうかを指定します。両方のポリシーを有効にすると、ファイルがバックアップまたは復元されるたびに監査イベントが生成されます。

[監査: バックアップと復元の特権の使用を監視する] 設定を有効にすると、セキュリティ イベント ログが大量のセキュリティ イベントで短時間のうちにいっぱいになる可能性があります。したがって、このポリシー設定の値は、EC 環境では [未定義]、SSLF 環境では [無効] に設定します。

監査:セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする

このポリシー設定では、システムがセキュリティ イベントを記録できない場合にシャットダウンするかどうかを指定します。この設定は、Trusted Computer System Evaluation Criteria (TCSEC) の C2 および Common Criteria 証明書の要件で、監査システムがイベントを記録できない場合、監査可能なイベントが発生することを禁止します。監査システムにエラーが生じた際には、システムを停止して STOP メッセージを表示することで、この要件は満たされます。このポリシー設定を有効にすると、セキュリティ監査がなんらかの理由によって記録できない場合にシステムがシャットダウンされます。

[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] 設定を有効にすると、予期しないシステム障害が発生する可能性があります。したがって、この章で説明している 2 つの環境では、このポリシーの値を [未定義] に設定します。

デバイス

次の表に、デバイスのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。

表 3.7 セキュリティ オプションの推奨設定 - デバイス

デバイス:ログオンなしの装着解除を許可する

このポリシー設定では、ユーザーがシステムにログオンしなくてもポータブル コンピュータの装着を解除できるかどうかを指定します。このポリシー設定を有効にすると、ログオン操作が不要になり、また、ハードウェアが備えている取り外しボタンを使用してコンピュータをドッキング ステーションから取り外すことができます。このポリシー設定を無効にする場合は、ログオンしていないユーザーにドッキング ステーションからコンピュータを削除ユーザー権利を割り当てる必要があります。このユーザー権利は、このガイダンスでは定義していません。

[デバイス: ログオンなしの装着解除を許可する] の値は、EC 環境では [未定義]、SSLF 環境では [無効] に設定します。

デバイス:リムーバブル メディアを取り出すのを許可する

このポリシー設定では、リムーバブル メディアのフォーマットおよび取り出しを許可するユーザーを指定します。このポリシー設定を使用すると、権限のないユーザーが、コンピュータからデータを取り出して、そのユーザーがローカルの管理者権限を持つ別のコンピュータでそのデータにアクセスすることを防止できます。

[デバイス: リムーバブル メディアを取り出すのを許可する] の値は、EC 環境では [Administrators] および [Interactive Users] に制限します。SSLF 環境では、セキュリティを強化するため、[Administrators] のみに制限します。

デバイス:ユーザーがプリンタ ドライバをインストールできないようにする

攻撃者が、プリンタ ドライバに偽装したトロイの木馬プログラムを使用することは十分に考えられます。このプログラムは、ユーザーからは印刷に使用する必要があるように見えますが、実際はユーザーのコンピュータ ネットワークに悪質なコードを拡散します。このような事態が発生する可能性を減らすには、プリンタ ドライバのインストール権限を管理者だけに制限する必要があります。ただし、ラップトップはモバイル デバイスであるため、作業を継続するために、ラップトップ ユーザーはリモートのソースからプリンタ ドライバをインストールしなければならないこともあります。したがって、ラップトップ ユーザーの場合はこの設定を無効にし、デスクトップ ユーザーの場合は常に有効にしておく必要があります。

[デバイス: ユーザーがプリンタ ドライバをインストールできないようにする] の値は、この章で説明している 2 つの環境のデスクトップでは [有効]、ラップトップでは [無効] に設定します。

デバイス:CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する

このポリシー設定では、ローカル ユーザーとリモート ユーザーが同時に CD-ROM ドライブにアクセスできるかどうかを指定します。このポリシー設定を有効にすると、対話的にログオンしたユーザーだけが CD-ROM ドライブのメディアにアクセスできます。このポリシー設定が有効で、ログオンしているユーザーが存在しない場合は、ネットワークから CD-ROM ドライブにアクセスできます。この設定を有効にすると、バックアップ ジョブでボリューム シャドウ コピーが指定されている場合に、Windows バックアップ ユーティリティは正しく動作しません。ボリューム シャドウ コピーを使用するサードパーティのバックアップ製品も正しく動作しません。

[デバイス: CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する] の値は、EC 環境では [未定義]、SSLF 環境では [無効] に設定します。

デバイス:フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する

このポリシー設定では、ローカル ユーザーとリモート ユーザーが同時にフロッピー ドライブにアクセスできるかどうかを指定します。このポリシー設定を有効にすると、対話的にログオンしたユーザーだけがフロッピー ドライブのメディアにアクセスできます。このポリシー設定が有効で、ログオンしているユーザーが存在しない場合は、ネットワーク上からフロッピー ドライブのメディアにアクセスできます。この設定を有効にすると、バックアップ ジョブでボリューム シャドウ コピーが指定されている場合に、Windows バックアップ ユーティリティは正しく動作しません。ボリューム シャドウ コピーを使用するサードパーティのバックアップ製品も正しく動作しません。

[デバイス: フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する] の値は、EC 環境では [未定義]、SSLF 環境では [無効] に設定します。

デバイス:署名されていないドライバのインストール時の動作

このポリシー設定は、Windows Hardware Quality Lab (WHQL) による承認と署名がなされていないデバイス ドライバが Setup API を使用してインストールされようとした場合の動作を指定します。このオプションは、署名がないドライバのインストールを防止したり、署名がないドライバがインストールされようとすると、管理者に警告したりします。これにより、Windows XP 上で正常に動作することが証明されていないドライバがインストールされるのを回避できます。このポリシー設定の値を [警告するがインストールは許可する] に設定した場合は、自動インストールのスクリプトで、署名がないドライバをインストールしようとしたときに失敗するという問題が発生する可能性があります。

そのため、この章で説明している 2 つの環境では、[デバイス: 署名されていないドライバのインストール時の動作] の値を [警告するがインストールは許可する] に設定します。

注 :このポリシー設定を実装する場合は、グループ ポリシーを適用する前にすべての標準のソフトウェア アプリケーションでクライアント コンピュータを完全に構成して、この設定によって発生する可能性のあるインストール エラーのリスクを軽減する必要があります。

ドメイン メンバ

次の表に、ドメイン メンバのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。

表 3.8 セキュリティ オプションの推奨設定 - ドメイン メンバ

ドメイン メンバ:常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する

このポリシー設定では、ドメイン メンバから送信された、セキュリティで保護されたチャネルのすべてのトラフィックに対して、署名または暗号化を行う必要があるかどうかを指定します。セキュリティで保護されたチャネルのデータに対して、常に暗号化または署名を行うように設定した場合、セキュリティで保護されたチャネルのすべてのトラフィックに対して暗号化または署名を行う機能のないドメイン コントローラを使用して、セキュリティで保護されたチャネルを確立できません。これは、セキュリティで保護されたチャネルのデータは、必ず署名と暗号化が行われるためです。

この章で説明している 2 つの環境では、[ドメイン メンバ: 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する] の値を [有効] に設定します。

ドメイン メンバ:可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する

このポリシー設定では、ドメイン メンバが、自ら送信した、セキュリティで保護されたチャネルのすべてのトラフィックに対して、暗号化をネゴシエートできるかどうかを指定します。このポリシー設定を有効にすると、そのドメイン メンバは、セキュリティで保護されたチャネルのすべてのトラフィックを暗号化するよう要求します。このポリシー設定を無効にすると、そのドメイン メンバは、セキュリティで保護されたチャネルの暗号化をネゴシエートしません。

この章で説明している 2 つの環境では、[ドメイン メンバ: 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する] の値を [有効] に設定します。

ドメイン メンバ:可能な場合、セキュリティ チャネルのデータをデジタル的に署名する

このポリシー設定では、ドメイン メンバが、自ら送信した、セキュリティで保護されたチャネルのすべてのトラフィックに対して、デジタル署名を行う必要があることをネゴシエートできるかどうかを指定します。デジタル署名によって、トラフィックがネットワーク上で取り込まれ、改ざんされることを防止できます。

この章で説明している 2 つの環境では、[ドメイン メンバ: 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する] の値を [有効] に設定します。

ドメイン メンバ:コンピュータ アカウント パスワード: 定期的な変更を無効にする

このポリシー設定では、ドメイン メンバがそのコンピュータ アカウントのパスワードを定期的に変更できるかどうかを指定します。このポリシー設定を有効にすると、ドメイン メンバはコンピュータ アカウントのパスワードを変更できません。このポリシー設定を無効にすると、ドメイン メンバは、[ドメイン メンバ: 最大コンピュータ アカウントのパスワードの有効期間] セキュリティ オプションで指定された間隔 (既定値は 30 日) で、そのコンピュータのアカウントのパスワードを変更できます。アカウント パスワードを自動変更できない場合には、攻撃者がシステムのドメイン アカウントのパスワードを割り出すおそれがあるため、そのコンピュータには潜在的な脆弱性が存在することになります。

したがって、この章で説明している 2 つの環境では、[ドメイン メンバ: コンピュータ アカウント パスワード: 定期的な変更を無効にする] の値を [無効] に設定します。

ドメイン メンバ:最大コンピュータ アカウントのパスワードの有効期間

このポリシー設定では、コンピュータ アカウントのパスワードの最長有効期間を指定します。既定では、各ドメイン メンバはそのドメイン パスワードを 30 日ごとに自動変更します。この間隔を大幅に延ばすか、またはこの設定を 0 にして、コンピュータのパスワードを変更しないようにすると、攻撃者がいずれかのコンピュータ アカウントに対してブルート フォース攻撃を仕掛ける期間がより長くなることになります。

したがって、この章で説明している 2 つの環境では、[ドメイン メンバ: 最大コンピュータ アカウントのパスワードの有効期間] の値を [30 日間] に設定します。

ドメイン メンバ:強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする

このポリシー設定を有効にすると、128 ビットの強力なセッション キーを使用してセキュリティで保護されたチャネルのデータを暗号化できるドメイン コントローラでのみ、セキュリティで保護されたチャネルが確立されます。

このポリシー設定を有効にするには、ドメイン内のすべてのドメイン コントローラで、強力なセッション キーを使用してセキュリティで保護されたチャネルのデータを暗号化できる必要があります。つまり、すべてのドメイン コントローラで Microsoft Windows 2000 以降が実行されている必要があります。Windows 2000 以外のドメインとの通信が必要な場合は、このポリシー設定を無効にすることをお勧めします。

この章で説明している 2 つの環境では、[ドメイン メンバ: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする] の値を [有効] に設定します。

対話型ログオン

次の表に、対話型ログオンのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。

表 3.9 セキュリティ オプションの推奨設定 - 対話型ログオン

対話型ログオン:最後のユーザー名を表示しない

このポリシー設定では、組織内のクライアント コンピュータに最後にログオンしたユーザーのアカウント名を各コンピュータの Windows ログオン画面に表示するかどうかを指定します。このポリシー設定を有効にすると、侵入者が組織のデスクトップ コンピュータまたはラップトップ コンピュータの画面からアカウント名を収集できなくなります。

この章で説明している 2 つの環境では、[対話型ログオン: 最後のユーザー名を表示しない] の値を [有効] に設定します。

対話型ログオン:Ctrl+Alt+Del を必要としない

Ctrl+Alt+Del キーを押すと、ユーザーがユーザー名とパスワードを入力したときに、オペレーティング システムへの信頼されるパスが確立されます。このポリシー設定を有効にすると、このキーの組み合わせを押さなくてもユーザーはネットワークにログオンできます。ただし、脆弱なログオン資格情報を使用してログオンできるようになるため、セキュリティのリスクが増大します。

この章で説明している 2 つの環境では、[対話型ログオン: Ctrl+Alt+Del を必要としない] の値を [無効] に設定します。

対話型ログオン:ログオン時のユーザーへのメッセージのテキスト

このポリシー設定では、ユーザーがログオンするときに表示されるテキスト メッセージを指定します。このテキストは多くの場合、企業情報の誤用の結果についてユーザーに警告する場合や、ユーザーのアクションが監査される可能性を警告する場合など、法的な理由で使用されます。前の表に示したメッセージ テキストは、EC 環境と SSLF 環境での推奨例です。

この章で説明している 2 つの環境では、[対話型ログオン: ログオン時のユーザーへのメッセージのテキスト] 設定を有効にして、適切なテキストを指定します。

注 :警告メッセージを表示する場合、事前に社内の法務担当者と人事担当者の承認を受ける必要があります。また、[対話型ログオン: ログイン時のユーザーへのメッセージのテキスト] 設定と [対話型ログオン: ログオン時のユーザーへのメッセージのタイトル] 設定を正しく機能させるには、この両方のセキュリティ オプションを有効にする必要があります。

対話型ログオン:ログオン時のユーザーへのメッセージのタイトル

このポリシー設定では、ユーザーがシステムにログオンするときに表示されるウィンドウのタイトル バーのテキストを指定できます。このポリシーを設定する理由は、前のメッセージ テキストの設定と同じです。このポリシー設定を使用しないと、組織はシステムを攻撃してくる不正侵入者に対して、法的に脆弱になります。

したがって、この章で説明している 2 つの環境では、[�