Windows Vista セキュリティ ガイド

第 1 章 : セキュリティ ベースラインの実装

Windows Vista® は、マイクロソフトがこれまでに開発したオペレーティング システムの中で最も安全なオペレーティング システムです。ただし、お使いの環境のネットワーク要件を満たすように、特定の構成変更を行う必要があります。この章では、セキュリティ設定を構成して、Active Directory® ディレクトリ サービスを使用してドメインに参加している既定のオペレーティング システムを実行しているクライアント コンピュータのセキュリティを比較的簡単に強化できることを示すことを目的としています。

この章では、規定されたセキュリティ設定を実装して、オペレーティング システムの既定のセキュリティを強化するための一連の簡単な手順を紹介します。この簡潔な手順により、お使いの環境内の Windows Vista ベースのクライアント コンピュータのセキュリティをすばやく効率的に強化することができます。

グループ ポリシー オブジェクト (GPO) のみを使用して、既定のオペレーティング システムのセキュリティを強化できるようになりました。マイクロソフトの以前のガイダンスでは、セキュリティ テンプレート .inf ファイルをインポートして、いくつかの GPO の管理用テンプレート部分を広範囲にわたって手動で変更するように求めていましたが、これらのファイルとテンプレートを操作する必要はなくなりました。ただし、セキュリティ テンプレート .inf ファイルは、このガイドにも付属していて、スタンドアロンのクライアント コンピュータのセキュリティを強化するのに使用できます。グループ ポリシーのすべての推奨設定は付録 A の「セキュリティのグループ ポリシー設定」に掲載されています。

このガイダンスを展開するには、次のことを行う必要があります。

• 環境に適した組織単位 (OU) 構造を作成する。
• このガイドに付属の GPOAccelerator.wsf スクリプトを実行する。
• グループ ポリシー管理コンソール (GPMC) を使用して、GPO をリンクおよび管理する。

警告 :

OU および GPO 設計を運用環境に展開する前に、それらを十分にテストする必要があります。この章の「セキュリティ ポリシーを実装する」では、実装のテストと運用段階の両方で、OU 構造およびセキュリティ GPO を作成し、展開するのに使用可能な手順について説明します。

このガイドに付属しているベースライン GPO は、次の 2 つの異なる環境にある Windows Vista を実行しているクライアント コンピュータのセキュリティを強化するテスト済みの設定の組み合わせを提供します。

• エンタープライズ クライアント (EC)
• セキュリティ特化 – 機能制限 (SSLF)

この章では、エンタープライズ クライアント (EC) 環境について解説します。SSLF 環境の説明と、それに固有なセキュリティ設定を適用する手順については「第 5 章 : セキュリティへの特化 – 機能性を制限」を参照してください。

トピック

エンタープライズ クライアント環境

セキュリティ設計および実装

GPOAccelerator ツール

関連情報

エンタープライズ クライアント環境

この章で説明しているエンタープライズ クライアント (EC) 環境は、Active Directory® ディレクトリ サービスを使用しているドメイン (Microsoft® Windows Server® 2003 R2 または Windows Server 2003 Service Pack 1 (SP1) を実行しているコンピュータ上) と、Windows Vista または Windows XP® を実行可能な Active Directory 管理クライアント コンピュータで構成されています。クライアント コンピュータは、サイト、ドメイン、および OU に適用されたグループ ポリシーを通じてこの環境で管理されます。グループ ポリシーは、ディレクトリベースの変更とユーザーおよびコンピュータの設定 (セキュリティおよびユーザー データを含む) の構成管理を可能にする Active Directory 内の一元化されたインフラストラクチャを提供します。

ページのトップへ

セキュリティ設計および実装

この章で推奨しているセキュリティ設計は、このガイドのシナリオの出発点であるとともに、さまざまなシナリオで推奨されるセキュリティ設計です。この章の次のセクションでは、ガイドの核となるセキュリティ設計の詳細について説明し、Windows Vista を実行しているコンピュータ用に設計をテストおよび実装する手順について説明します。

• セキュリティ ポリシーの OU 設計
• セキュリティ ポリシーの GPO 設計
• セキュリティ ポリシーを実装する

セキュリティ ポリシーの OU 設計

OU は、Active Directory を使用するドメイン内のコンテナです。OU には、ユーザー、グループ、コンピュータ、およびその他の OU を含めることができます。OU に他の OU が含まれている場合、その OU は親 OU です。親 OU 内にある OU は、子 OU です。

GPO は OU にリンクすることができます。リンクすると、その OU と子 OU に含まれているユーザーとコンピュータに GPO 設定が適用されます。管理を容易にするために、各 OU に管理権限を委任することもできます。

OU を使用すると、ユーザーとコンピュータを簡単にグループ化できると同時に、管理境界を効率的に分割することもできます。ユーザーだけを対象とした設定とコンピュータだけを対象とした設定があるので、組織ではユーザーとコンピュータを別個の OU に割り当てることをお勧めします。

Microsoft 管理コンソール (MMC) の [Active Directory ユーザーとコンピュータ] スナップイン ツール内の委任ウィザードを使用すると、グループまたは個々の OU の管理を委任できます。権限の委任方法に関するドキュメントへのリンクについては、この章の最後にある「関連情報」の項を参照してください。

あらゆる環境用の OU 設計の主な目標の 1 つは、Active Directory 内のすべてのクライアント コンピュータに適用されるシームレスなグループ ポリシー実装の基礎を提供することです。これにより、クライアント コンピュータを組織のセキュリティ標準に確実に適合させることができます。また、OU 設計は、組織内の特定のユーザー層のセキュリティ設定に十分な対応可能な構造を提供する必要があります。たとえば、開発者が一般的なユーザーには必要ないレベルのアクセス権を必要とすることもありますし、ラップトップ ユーザーのセキュリティ要件がデスクトップ ユーザーとは異なっていることもあります。次の図は、この章で説明するグループ ポリシーを端的に表す簡単な OU 構造を示しています。OU 構造は、組織の環境の要件によって異なるものになります。

部署 OU

セキュリティ要件は、組織内部でも異なるため、部署 OU を作成した方がいい場合があります。この OU を使用して、GPO を介して各部署 OU 内のコンピュータおよびユーザーにセキュリティ設定を適用できます。

Windows Vista ユーザー OU

この OU には、EC 環境のユーザー アカウントが含まれています。この OU に適用する設定については、付録 A の「セキュリティのグループ ポリシー設定」で詳しく説明します。

Windows Vista コンピュータ OU

この OU には、EC 環境にある Windows Vista を実行している各種類のクライアント コンピュータの子 OU が含まれます。このガイドでは、デスクトップおよびラップトップ コンピュータのセキュリティ ガイダンスについて取り上げます。このため、次のコンピュータ OU が作成されています。

• デスクトップ OU。この OU には、ネットワークに常時接続しているデスクトップ コンピュータが含まれます。この OU に適用する設定については、付録 A の「セキュリティのグループ ポリシー設定」で詳しく説明します。
• ラップトップ OU。この OU には、ネットワークに常時接続していないモバイル ユーザーのラップトップ コンピュータが含まれます。この OU に適用する設定についても、付録 A で詳しく説明します。

セキュリティ ポリシーの GPO 設計

GPO はグループ ポリシー設定の集まりで、実質的にはグループ ポリシー スナップインによって作成されたファイルです。設定はドメイン レベルに保存され、サイト、ドメイン、および OU に含まれているユーザーとコンピュータに影響を与えます。

GPO を使用して、OU に含まれるすべてのクライアント コンピュータまたはユーザーに対して特定のポリシー設定、ユーザー権限、およびコンピュータの動作を適用することができます。手動の構成処理の代わりにグループ ポリシーを使用すると、複数のコンピュータやユーザーの変更を簡単に管理および更新できます。手動による構成は、技術者が各クライアント コンピュータを設定する必要があるため非効率的であるとともに、効果がない可能性もあります。これは主に、ドメインベースの GPO 内のポリシー設定がローカルに適用されているものと異なる場合、ドメインベースの GPO のポリシー設定がローカルに適用されているポリシー設定を上書きするためです。

この図は、子 OU のメンバであるコンピュータに適用される GPO の優先順位を示しています。(1) が最下位、(5) が最上位です。グループ ポリシーは、Windows Vista を実行している各クライアント コンピュータのローカル セキュリティ ポリシーがまず適用されます。ローカル セキュリティ ポリシーの適用後、サイト レベル、次にドメイン レベルの順序で GPO が適用されます。

複数の OU 層にネストされた Windows Vista ベースのクライアント コンピュータの場合、GPO は階層構造の親 OU から最下位の子 OU の順に適用されます。最後の GPO の適用は、クライアント コンピュータを含んでいる OU から適用します。ある段階で適用した GPO によって、それまでに適用した GPO は上書きされるため、ローカル セキュリティ ポリシー、サイト、ドメイン、親 OU、子 OU という順序で GPO を適用することが非常に重要です。ユーザーの GPO も同じ方法で適用されます。

グループ ポリシーを設計する際は、次の点を考慮してください。

• 管理者は、複数の GPO を 1 つの OU にリンクする順序を設定する必要があります。この順序を設定しないと、既定では、ポリシーが OU にリンクされた順序で適用されます。複数のポリシーに同じ設定がある場合は、コンテナのポリシー リスト内で最上位にあるポリシーが優先されます。
• GPO には [強制] オプションを設定できます。このオプションを選択すると、この GPO で構成する設定に優先する他の GPO を設定しても、その設定は適用されません。

  注 : [強制] オプションは、Windows 2000 では [上書き禁止] オプションとして表示されます。

• [ポリシーを継承しない] オプションを設定した Active Directory、サイト、ドメイン、または OU を構成できます。このオプションを使用すると、[強制] オプションを選択していない限り、Active Directory 階層で上位にある GPO による GPO 設定はできなくなります。つまり、[強制] オプションが [ポリシーを継承しない] オプションに優先します。
• グループ ポリシーの設定は、ユーザー オブジェクトやコンピュータ オブジェクトが Active Directory のどこに位置しているかに基づいて、それらのユーザーやコンピュータに適用します。場合によっては、ユーザー オブジェクトのポリシーは、ユーザー オブジェクトの場所ではなく、コンピュータ オブジェクトの場所に基づいて適用する必要があります。グループ ポリシー ループバック機能を使用すると、管理者はユーザーがログオンしているコンピュータに基づいてユーザーのグループ ポリシー設定を適用できます。このオプションの詳細については「グループ ポリシーのループバック処理」を参照してください。

推奨 GPO

前述した OU 設計を実装するには、少なくとも 4 つの GPO が必要です。

• ドメインのポリシー
• Windows Vista ユーザー OU のポリシー
• デスクトップ OU のポリシー
• ラップトップ OU のポリシー

次の図は前掲の OU 構造を拡張したもので、GPO と OU 設計間のリンクを示しています。

図 3.1 の例では、ラップトップ コンピュータはラップトップ OU のメンバです。最初に適用されるポリシーは、ラップトップ コンピュータのローカル セキュリティ ポリシーです。この例ではサイトが 1 つだけなので、サイト レベルでは GPO が適用されていません。したがって、ドメイン GPO が次に適用する GPO です。最後に、ラップトップ GPO が適用されます。

注 : デスクトップ ポリシーは階層内のラップトップ OU を含んでいる OU にリンクされていないため、どのラップトップにも適用されていません。

優先順位の例として、[ターミナル サービスを通したログオンを許可する] ポリシー設定が、次の OU とユーザー グループに適用されるように設定されている場合を考えます。

• Windows Vista コンピュータ OU - Administrators グループ
• ラップトップ OU - Remote Desktop Users および Administrators グループ

この例では、Remote Desktop Users グループに属するアカウントを持つユーザーは、ターミナル サービスを使用してラップトップにログオンできます。これは、ラップトップ OU は Windows Vista コンピュータ OU の子であり、子ポリシーが優先されるためです。

Windows Vista コンピュータ OU の GPO で [上書き禁止] ポリシー オプションを有効にすると、ターミナル サービスを使用してラップトップ コンピュータにログオンできるのは、Administrators グループのアカウントを持つユーザーだけです。これは、[上書き禁止] オプションにより、プロセスで以前に適用されたポリシーを子 OU ポリシーが上書きできなくなるためです。

セキュリティ ポリシーを実装する

このガイドで説明している 2 つの環境用のセキュリティ設計を実装するには、グループ ポリシー管理コンソール (GPMC) と GPMC ベースのスクリプトを使用する必要があります。GPMC は、Windows Vista オペレーティング システムに統合されているため、別のコンピュータで GPO を管理する必要が生じるたびにコンソールをダウンロードしてインストールする必要はありません。以前の Windows オペレーティング システムのセキュリティ ガイダンスとは異なり、Windows Vista 用のこのガイドの規範的なガイダンスでは、EC 環境のセキュリティ設計をテストおよび実装するためのプロセスが大幅に自動化されています。このガイダンスは、実装プロセスに関連するオーバーヘッドを削減することが可能な最も効率的なプロセスを提供するように開発およびテストされています。

重要 : Active Directory を使用してドメインに参加した Windows Vista を実行しているクライアント コンピュータ上で、このガイドのすべての手順を実行する必要があります。また、手順を実行するユーザーは、Domain Administrator 権限を持っている必要があります。Microsoft Windows® XP または Windows Server® 2003 オペレーティング システムを使用した場合、Windows Vista 固有のセキュリティ設定は GPMC に表示されません。

セキュリティ設計を実装するには、3 つの主なタスクを実行します。

1. EC 環境を作成する。
2. GPMC を使用して、VSG EC Domain Policy (VSG EC ドメイン ポリシー) をドメインにリンクする。
3. GPMC を使用して結果を確認する。

ここでは、これらのタスクと手順、および規定された GPO を自動的に作成する GPOAccelerator.wsf スクリプトの機能について説明します。

GPOAccelerator.wsf スクリプト

Windows Vista Security Guide.msi ファイルがインストールする主要なツールは、GPOAccelerator.wsf スクリプトです。このスクリプトの主な機能は、このガイダンスを適用するのに必要なすべての GPO を自動的に作成することです。莫大な時間をかけて、ポリシー設定を手動で編集してテンプレートを適用する必要はありません。EC 環境内のクライアント コンピュータの場合、スクリプトにより次の 4 つの GPO が作成されます。

• ドメイン用の VSG EC Domain Policy (VSG EC ドメイン ポリシー)。
• ユーザー用の VSG EC Users Policy (VSG EC ユーザー ポリシー)。
• デスクトップ コンピュータ用の VSG EC Desktop Policy (VSG EC デスクトップ ポリシー)。
• ラップトップ コンピュータ用の VSG EC Laptop Policy (VSG EC ラップトップ ポリシー)。

重要 : このガイドの EC 環境用のセキュリティ設計を正しく実装するには、運用環境に展開する前に設計を十分にテストしてください。

GPOAccelerator.wsf スクリプトを使用して、次を実行します。

• 設計をラボ環境でテストします。テスト環境で GPOAccelerator.wsf スクリプトを使用して OU 構造を作成し、GPO を作成して、GPO を OU に自動的にリンクします。実装のテスト段階が完了すると、スクリプトを運用環境で使用することができます。
• 運用環境で設計を展開します。運用環境でソリューションの実装を開始するときには、まず適切な OU 構造を作成するか既存の一連の OU を変更します。その後、GPOAccelerator.wsf スクリプトを使用して GPO を作成し、新たに作成した GPO を環境内の適切な OU にリンクします

ラボ環境での設計のテスト

このガイドで提供されている GPO は、十分にテストが行われています。ただし、お使いの環境で独自にテストを実行することは重要です。GPOAccelerator.wsf スクリプトを使用して、規定された GPO と推奨 OU 構造を作成し、GPO を OU に自動的にリンクすることで、時間を節約できます。

タスク 1: EC 環境を作成する

GPOAccelerator.wsf スクリプトは、Windows Vista Security Guide\
GPOAccelerator Tool フォルダにあります。このフォルダは、Microsoft Windows Installer (.msi) ファイルによって作成されます。

注 : 次の手順でスクリプトを実行するためには、GPOAccelerator Tool フォルダとサブフォルダがローカル コンピュータ上に存在する必要があります。

GPO を作成して、それらをラボ環境の適切な OU にリンクするには

1. GPO を作成する Active Directory を使用してドメインに参加した、Windows Vista を実行しているコンピュータにドメイン管理者としてログオンします。
2. デスクトップで、Windows Vista の [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Windows Vista Security Guide] をクリックします。
3. GPOAccelerator Tool\Security Group Policy Objects フォルダを開きます。
4. Command-line Here.cmd ファイルを右クリックして、[管理者として実行] をクリックし、完全なドメイン管理権限のある状態でコマンド プロンプトを開きます。
   

   注 : ログオン資格情報の入力が求められたら、ユーザー名とパスワードを入力して、ENTER キーを押します。

5. コマンド プロンプトで「cscript GPOAccelerator.wsf /Enterprise /LAB」と入力して、ENTER キーを押します。
6. [Click Yes to continue, or No to exit the script ([はい] をクリックして作業を続けるか [いいえ] をクリックして終了します)] メッセージ ボックスで、[はい] をクリックします。
   

   注 : この手順は数分かかることがあります。

7. [The Enterprise Lab Environment is created (エンタープライズ ラボ環境が作成されました)] メッセージ ボックスで、[OK] をクリックします。
8. [Make sure to link the Enterprise Domain GPO to your domain (エンタープライズ ドメイン GPO をお使いのドメインにリンクしてください)] メッセージ ボックスで [OK] をクリックして、次のタスクの手順を実行して VSG EC Domain Policy (VSG EC ドメイン ポリシー) をリンクします。
   

   注 : ドメイン レベルのグループ ポリシーには、ドメイン内のすべてのコンピュータとユーザーに適用する設定が含まれています。ドメイン GPO はすべてのユーザーとコンピュータに適用されるため、この GPO をいつリンクするかを決定できることは重要です。この理由により、GPOAccelerator.wsf スクリプトはドメイン GPO をドメインに自動的にリンクしません。

タスク 2: GPMC を使用して、VSG EC Domain Policy (VSG EC ドメイン ポリシー) をドメインにリンクする

ドメイン GPO をドメインにリンクする準備が整いました。次の手順では、Windows Vista を実行しているクライアント コンピュータ上で GPMC を使用して、VSG EC Domain Policy (VSG EC ドメイン ポリシー) をドメインにリンクする方法について説明します。

VSG EC Domain Policy (VSG EC ドメイン ポリシー) をリンクするには

1. Windows Vista の [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[アクセサリ] をポイントして、[ファイル名を指定して実行] をクリックします (または Windows ロゴ キー + R キーを押します)。
2. [名前] テキスト ボックスに「gpmc.msc」と入力し、[OK] をクリックします。
3. ドメイン ツリーで、ドメイン名を右クリックして、[既存の GPO のリンク] をクリックします。
4. [GPO の選択] ダイアログ ボックスで、[VSG EC Domain Policy (VSG EC ドメイン ポリシー)] GPO をクリックしてから [OK] をクリックします。
5. 詳細ウィンドウで、[VSG EC Domain Policy (VSG EC ドメイン ポリシー)] を選択して、[リンクを最上部に移動] ボタンをクリックします。

重要 : [VSG EC Domain Policy (VSG EC ドメイン ポリシー)] の [リンク順序] が 1 に設定されていることを確認してください。このようにしないと、既定のドメイン ポリシー GPO などの他の GPO がドメインにリンクされ、Windows Vista Security Guide の設定が上書きされます。

タスク 3: GPMC を使用して結果を確認する

GPMC を使用して、スクリプトの結果を確認できます。次の手順では、Windows Vista を実行しているクライアント コンピュータ上で GPMC を使用して、GPOAccelerator.wsf スクリプトによって作成される GPO と OU 構造を確認する方法について説明します。

GPOAccelerator.wsf スクリプトの結果を確認するには

1. Windows Vista の [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[アクセサリ] をポイントして、[ファイル名を指定して実行] をクリックします
2. [名前] テキスト ボックスに「gpmc.msc」と入力し、[OK] をクリックします。
3. 適切なフォレストをクリックし、[ドメイン] をクリックして、次に自分のドメインをクリックします。
4. [Vista Security Guide EC Client OU] をクリックして展開し、その下にある 5 つの OU をそれぞれクリックして開きます。
5. OU 構造と GPO リンクが次の図のとおりになっていることを確認します。

GPOAccelerator.wsf スクリプトが作成するすべての GPO には、このガイドに規定されている設定がすべて入力されます。Active Directory ユーザーとコンピュータ ツールを使用して、ユーザーとコンピュータをそれぞれの OU に移動して設計をテストします。各 GPO に含まれている設定の詳細については、付録 A の「セキュリティのグループ ポリシー設定」を参照してください。

運用環境での設計の展開

GPOAccelerator.wsf スクリプトを使用して EC 環境用の GPO を作成することで、時間を節約できます。その後、GPO を、既存の構造内の適切な OU にリンクできます。大量の OU がある大規模なドメインの場合は、既存の OU 構造を使用して GPO を展開する方法を考える必要があります。

可能な場合は、コンピュータ OU とユーザー OU を区別してください。また、ラップトップおよびデスクトップ コンピュータもそれぞれの OU に整理してください。環境でそのような構造が可能でない場合は、GPO を変更しなければならないこともあります。付録 A の「セキュリティのグループ ポリシー設定」の設定リファレンスを使用して、必要な修正を判断することができます。

注 : 前のセクションで説明したように、テスト環境で GPOAccelerator.wsf スクリプトを
/LAB オプションとともに使用して、サンプル OU 構造を作成できます。柔軟な OU 構造を持つ環境では、運用環境でオプションを使用してベーシック OU 構造を作成して GPO を自動的にリンクすることもできます。その後、環境の要件を満たすように OU 構造を手動で変更できます。

タスク 1: GPO を作成する

このガイドで説明している EC GPO は、GPOAccelerator.wsf スクリプトを使用して作成します。GPOAccelerator.wsf は、Windows Vista Security Guide\GPOAccelerator Tool フォルダにあります。このフォルダは、Microsoft Windows Installer (.msi) ファイルによって作成されます。

注 : GPOAccelerator Tool ディレクトリがあるコンピュータから、スクリプトを実行する別のコンピュータに、GPOAccelerator Tool ディレクトリをコピーすることもできます。次の手順でスクリプトを実行するためには、GPOAccelerator Tool フォルダとサブフォルダがローカル コンピュータ上に存在する必要があります。

GPO を運用環境に作成するには

1. GPO を作成する Active Directory を使用してドメインに参加した、Windows Vista を実行しているコンピュータにドメイン管理者としてログオンします。
2. デスクトップで、Windows Vista の [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Windows Vista Security Guide] をクリックします。
3. GPOAccelerator Tool\Security Group Policy Objects フォルダを開きます。
4. Command-line Here.cmd ファイルを右クリックして、[管理者として実行] をクリックし、完全なドメイン管理権限のある状態でコマンド プロンプトを開きます。
   

   注 : ログオン資格情報の入力が求められたら、ユーザー名とパスワードを入力して、ENTER キーを押します。

5. コマンド プロンプトで「cscript GPOAccelerator.wsf /Enterprise」と入力して、ENTER キーを押します。
6. [Click Yes to continue, or No to exit the script ([はい] をクリックして作業を続けるか [いいえ] をクリックして終了します)] メッセージ ボックスで、[はい] をクリックします。
   

   注 : この手順は数分かかることがあります。

7. [The Enterprise GPOs are created (エンタープライズ GPO が作成されました)] メッセージ ボックスで、[OK] をクリックします。
8. [Make sure to link the Enterprise GPOs to the appropriate OUs (エンタープライズ GPO を適切な OU にリンクしてください)] メッセージ ボックスで [OK] をクリックします。

タスク 2: GPMC を使用して結果を確認する

GPMC を使用して、スクリプトがすべての GPO を正常に作成したことを確認できます。次の手順では、Windows Vista を実行しているクライアント コンピュータ上で GPMC を使用して、GPOAccelerator.wsf スクリプトによって作成される GPO を確認する方法について説明します。

GPOAccelerator.wsf スクリプトの結果を確認するには

1. Windows Vista の [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[アクセサリ] をポイントして、[ファイル名を指定して実行] をクリックします
2. [名前] テキスト ボックスに「gpmc.msc」と入力し、[OK] をクリックします。
3. 適切なフォレストをクリックし、[ドメイン] をクリックして、次に自分のドメインをクリックします。
4. [グループ ポリシー オブジェクト] をクリックして展開し、次の図に示しているとおりに 4 つの VSG EC GPO が作成されたことを確認します。

これで、GPMC を使用して、各 GPO を適切な OU にリンクすることができます。その方法については、この手順の最後のタスクで説明します。

タスク 3: GPMC を使用して GPO を OU にリンクする

次の手順では、Windows Vista を実行しているクライアント コンピュータ上で GPMC を使用して、このタスクを実行する方法について説明します。

運用環境で GPO をリンクするには

1. Windows Vista の [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[アクセサリ] をポイントして、[ファイル名を指定して実行] をクリックします
2. [名前] テキスト ボックスに「gpmc.msc」と入力し、[OK] をクリックします。
3. ドメイン ツリーで、ドメイン名を右クリックして、[既存の GPO のリンク] をクリックします。
4. [GPO の選択] ダイアログ ボックスで、[VSG EC Domain Policy (VSG EC ドメイン ポリシー)] GPO をクリックしてから [OK] をクリックします。
5. 詳細ウィンドウで、[VSG EC Domain Policy (VSG EC ドメイン ポリシー)] を選択して、[リンクを最上部に移動] ボタンをクリックします。
   

   重要 : [VSG EC Domain Policy (VSG EC ドメイン ポリシー)] の [リンク順序] が 1 に設定されていることを確認してください。このようにしないと、既定のドメイン ポリシー GPO などの他の GPO がドメインにリンクされ、WindowsVista Security Guide の設定が上書きされます。

6. [Windows Vista ユーザー OU] ノードを右クリックして、[既存の GPO のリンク] オプションを選択します。
7. [GPO の選択] ダイアログ ボックスで、[VSG EC Users Policy (VSG EC ユーザー ポリシー)] GPO をクリックしてから [OK] をクリックします。
8. [デスクトップ OU] ノードを右クリックして、[既存の GPO のリンク] オプションを選択します。
9. [GPO の選択] ダイアログ ボックスで、[VSG EC Desktop Policy (VSG EC デスクトップ ポリシー)] GPO をクリックしてから [OK] をクリックします。
10. [ラップトップ OU] ノードを右クリックして、[既存の GPO のリンク] オプションを選択します。
11. [GPO の選択] ダイアログ ボックスで、[VSG EC Laptop Policy (VSG EC ラップトップ ポリシー)] GPO をクリックしてから [OK] をクリックします。
12. 作成した追加のユーザーまたはコンピュータ OU でこれらの手順を繰り返して、これらの追加の OU を適切な GPO にリンクします。

注 : [グループ ポリシー オブジェクト] ノードの下にある GPO を OU にドラッグすることもできます。ただし、このドラッグ アンド ドロップ操作は、同じドメイン内でのみ実行できます。

GPMC を使用して GPO のリンクを確認するには

• [グループ ポリシー オブジェクト] ノードを展開して GPO を選択し、詳細ウィンドウで [スコープ] タブをクリックして [リンクの有効化] および [パス] 列の情報を書きとめます。

- または -

• OU を選択して、詳細ウィンドウで [リンクされたグループ ポリシー オブジェクト] タブをクリックして、[リンクの有効化] および [GPO] 列の情報を書きとめます。

注 : GPMC を使用して GPO のリンクを解除し、必要に応じてそれらを削除することができます。その後、GPMC、または Active Directory ユーザーとコンピュータ コンソールを使用して、不要な OU を削除します。GPOAccelerator.wsf スクリプトによって行われた Active Directory のすべての変更を完全に元に戻すには、いずれかのドメイン コントローラの NETLOGON 共有から EC-VSGAuditPolicy.cmd ファイル、EC-ApplyAuditPolicy.cmd ファイル、および EC-AuditPolicy.txt ファイルを手動で削除する必要があります。監査ポリシーの実装を完全に削除する方法の詳細については、付録 A の「セキュリティのグループ ポリシー設定」の「監査ポリシー」の項を参照してください。

GPOAccelerator.wsf スクリプトが作成するすべての GPO には、このガイドに規定されている設定がすべて入力されます。Active Directory ユーザーとコンピュータ ツールを使用して、ユーザーとコンピュータをそれぞれの OU に移動して設計をテストします。各 GPO に含まれている設定の詳細については、付録 A の「セキュリティのグループ ポリシー設定」を参照してください。

GPO を別のドメインに移行する (オプション)

この方法で GPO を変更した場合、または独自の GPO を作成して、それらを複数のドメインで使用する場合は、GPO を移行する必要があります。あるドメインで機能する GPO を別のドメインに移行するには、いくつかのことを計画する必要がありますが、基本的な手順は比較的単純です。計画段階に考慮すべき GPO のデータに関する重要な事柄が 2 つあります。

• データの複雑性。GPO を構成しているデータは複雑で、複数の場所に格納されています。GPMC を使用して GPO を移行すると、すべての関連データが正しく移行されます。
• データのドメイン固有性。GPO 内の一部のデータがドメイン固有であることがあり、別のドメインに直接コピーした場合に無効となってしまうことがあります。この問題を解決するのに、GPMC は移行テーブルを使用します。これにより、移行プロセスの一部として、GPO 内のドメイン固有のデータを新しい値に更新することができます。この操作は、GPO にセキュリティ ID (SID)、またはドメインに固有な Universal Naming Convention (UNC) パスが含まれている場合のみ実行する必要があります。

GPO の移行の詳細については、GPMC のヘルプ を参照してください。また、ホワイトペーパー「GPMC を使ったドメイン間での GPO の移行」にもドメイン間での GPO の移行に関する情報が掲載されています。

ページのトップへ

GPOAccelerator ツール

このガイドに付属しているツールとテンプレートには、スクリプトとセキュリティ テンプレートが含まれています。ここでは、これらのリソースの背景情報について説明します。このセキュリティ ガイダンス用のコア スクリプトを実行する主なツールは GPOAccelerator.wsf で、これは Windows Vista Security Guide\GPOAccelerator Tool\Security Group Policy Objects フォルダにあります。また、ここでは GPMC を変更して、GPO 設定、サブディレクトリ構造、およびこのガイドに付属しているファイルの種類を表示する方法についても説明します。このガイドに付属している Windows Vista Security Guide Settings.xls ファイルには、設定値を比較することが可能な別のリソースが記載されています。

GPMC および SCE の拡張

このガイドに示しているソリューションは、Windows Vista の GPMC の標準ユーザー インターフェイス (UI)、または セキュリティ構成エディタ (SCE) ツールでは表示されない GPO 設定を使用します。これらの設定は、すべて名前の前に MSS: が付いていて、以前のセキュリティ ガイダンス用に Microsoft Solutions for Security グループによって開発されました。

重要 : SCE 拡張、および GPOAccelerator.wsf スクリプトは、Windows Vista ベースのコンピュータから実行するように設計されています。これらのツールは、Windows XP または Windows Server 2003 を実行しているコンピュータから実行した場合、正しく機能しません。

このため、これらのツールを拡張して、セキュリティ設定を表示して、必要に応じてそれらを編集できるようにする必要があります。これを実行するために、GPOAccelerator.wsf スクリプトは GPO を作成するときにコンピュータを自動的に更新します。Windows Vista を実行している別のコンピュータから WindowsVista Security Guide GPO を管理するには、次の手順に従ってそのコンピュータ上の SCE を更新します。

SCE を変更して MSS 設定を表示するには

1. 次の前提条件を満たしていることを確認します。
• コンピュータが Active Directory を使用して、GPO を作成したドメインに参加している。
• WindowsVista Security GuideGPOAcceleratorTool ディレクトリがインストールされている。
  

  注 : GPOAccelerator Tool ディレクトリがあるコンピュータから、スクリプトを実行する別のコンピュータに、GPOAccelerator Tool ディレクトリをコピーすることもできます。この手順でスクリプトを実行するためには、GPOAccelerator Tool フォルダとサブフォルダがローカル コンピュータ上に存在する必要があります。

2. コンピュータに Administrator としてログオンします。
3. デスクトップで、Windows Vista の [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Windows Vista Security Guide] をクリックします。
4. GPOAccelerator Tool\Security Group Policy Objects フォルダを開きます。
5. Command-line Here.cmd ファイルを右クリックして、[管理者として実行] をクリックし、完全な管理権限のある状態でコマンド プロンプトを開きます。
   

   注 : ログオン資格情報の入力が求められたら、ユーザー名とパスワードを入力して、ENTER キーを押します。

6. コマンド プロンプトで「cscript GPOAccelerator.wsf /ConfigSCE」と入力して、ENTER キーを押します。
7. [Click Yes to continue, or No to exit the script ([はい] をクリックして作業を続けるか [いいえ] をクリックして終了します)] メッセージ ボックスで、[はい] をクリックします。
8. [TheSecurity Configuration Editor is updated (セキュリティ構成エディタが更新されました)] メッセージ ボックスで [OK] をクリックします。

重要 : このスクリプトは MSS 設定を表示するように SCE を変更するのみで、GPO または OU は作成しません。

次の手順は、追加の MSS セキュリティ設定を削除し、その後 SCE ツールを Windows Vista の既定の設定にリセットします。

SCE ツールを Windows Vista の既定の設定にリセットするには

1. コンピュータに Administrator としてログオンします。
2. デスクトップで、Windows Vista の [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Windows Vista Security Guide] をクリックします。
3. GPOAccelerator Tool\Security Group Policy Objects フォルダを開きます。
4. Command-line Here.cmd ファイルを右クリックして、[管理者として実行] をクリックし、完全な管理権限のある状態でコマンド プロンプトを開きます。
   

   注 : ログオン資格情報の入力が求められたら、ユーザー名とパスワードを入力して、ENTER キーを押します。

5. コマンド プロンプトで「cscript GPOAccelerator.wsf /ResetSCE」と入力して、ENTER キーを押します。
6. [Click Yes to continue, or No to exit the script ([はい] をクリックして作業を続けるか [いいえ] をクリックして終了します)] メッセージ ボックスで、[はい] をクリックします。
   

   注 : この手順を実行すると、お使いのコンピュータのセキュリティ構成エディタが Windows Vista の既定の設定に戻ります。既定のセキュリティ構成エディタに追加したすべての設定が削除されます。これは、セキュリティ構成エディタで設定を表示する機能にのみ影響します。構成したグループ ポリシー設定は、そのまま残ります。

7. [TheSecurity Configuration Editor is updated (セキュリティ構成エディタが更新されました)] メッセージ ボックスで [OK] をクリックします。

以前のセキュリティ設定

このガイドで提供されているポリシーを使用または変更するのではなく、独自のポリシーを作成する場合は、付属されているセキュリティ テンプレートを使って関連するセキュリティ設定をインポートできます。セキュリティ テンプレートは、セキュリティ設定値を含んでいるテキスト ファイルです。これらは GPO のサブコンポーネントです。セキュリティ テンプレートに含まれているポリシー設定は、MMC グループ ポリシー オブジェクト エディタ スナップインで変更できます。以前のバージョンの Windows オペレーティング システムとは異なり、Windows Vista には定義済みのセキュリティ テンプレートが含まれていません。ただし、必要に応じて既存のセキュリティ テンプレートを使用できます。

セキュリティ テンプレートは、このガイドに付属している Windows インストーラ (.msi) ファイルに含まれています。EC 環境用の次のテンプレートは、GPOAccelerator Tool\Security Templates フォルダにあります。

• VSG EC Desktop.inf
• VSG EC Domain.inf
• VSG EC Laptop.inf

重要 : このガイドで説明しているソリューションを展開するのに、セキュリティ テンプレートを使用する必要はありません。テンプレートは、GPMC ベースのソリューションの代替方法であり、コンピュータの構成\Windows の設定\セキュリティの設定の下に表示されるコンピュータのセキュリティ設定のみに対応しています。たとえば、セキュリティ テンプレートを使用して、GPO 内の Internet Explorer または Windows ファイアウォールの設定を管理することはできず、ユーザー設定は含まれていません。

セキュリティ テンプレートを使用する

セキュリティ テンプレートを使用するには、まず SCE を展開して、UI にカスタム MSS セキュリティ設定が表示されるようにします。詳細については、この章の「GPMC および SCE の拡張」の項の手順を参照してください。テンプレートを表示できる場合は、次の手順を使用して、必要に応じて作成した GPO にそれらをインポートすることができます。

セキュリティ テンプレートを GPO にインポートするには

1. 変更する GPO のグループ ポリシー オブジェクト エディタを開きます。GPMC でこれを行うには、GPO を右クリックして、[編集] を選択します。
2. グループ ポリシー オブジェクト エディタで [Windows の設定] フォルダに移動します。
3. [Windows の設定] フォルダを展開して、[セキュリティの設定] を選択します。
4. [セキュリティの設定] フォルダを右クリックして、[ポリシーのインポート] をクリックします。
5. [Windows Vista Security Guide] フォルダの [セキュリティ テンプレート] フォルダに移動します。
6. インポートするセキュリティ テンプレートを選択し、[開く] をクリックします。
   

   この操作の最後の手順を実行すると、ファイルの設定が GPO にインポートされます。

また、このガイドに付属されているセキュリティ テンプレートを使用して、Windows Vista を実行しているスタンドアロン クライアント コンピュータのローカル セキュリティ ポリシーを変更できます。GPOAccelerator.wsf スクリプトにより、テンプレートを適用するプロセスが単純化されます。

セキュリティ テンプレートを適用して、Windows Vista を実行しているスタンドアロン クライアント コンピュータにローカル グループ ポリシーを作成するには

1. Windows Vista を実行しているコンピュータに Administrator としてログオンします。
2. デスクトップで、Windows Vista の [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Windows Vista Security Guide] をクリックします。
3. GPOAccelerator Tool\Security Group Policy Objects フォルダを開きます。
4. Command-line Here.cmd ファイルを右クリックして、[管理者として実行] をクリックし、完全な管理権限のある状態でコマンド プロンプトを開きます。
   

   注 : ログオン資格情報の入力が求められたら、ユーザー名とパスワードを入力して、ENTER キーを押します。

5. コマンド プロンプトで「cscript GPOAccelerator.wsf /Enterprise /Desktop」または「cscript GPOAccelerator.wsf /Enterprise /Laptop」と入力して、ENTER キーを押します。
   

   この手順を実行すると、EC 環境用のセキュリティ テンプレート内の値を使用してローカル セキュリティ ポリシーが変更されます。

ローカル グループ ポリシーを Windows Vista の既定の設定に戻すには

1. Windows Vista を実行しているクライアント コンピュータに Administrator としてログオンします。
2. デスクトップで、Windows Vista の [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Windows Vista Security Guide] をクリックします。
3. GPOAccelerator Tool\Security Group Policy Objects フォルダを開きます。
4. Command-line Here.cmd ファイルを右クリックして、[管理者として実行] をクリックし、完全な管理権限のある状態でコマンド プロンプトを開きます。
   

   注 : ログオン資格情報の入力が求められたら、ユーザー名とパスワードを入力して、ENTER キーを押します。

5. コマンド プロンプトで「cscript GPOAccelerator.wsf /Restore」と入力して、ENTER キーを押します。
   

   この手順を実行すると、ローカル グループ ポリシーが Windows Vista の既定の設定に戻ります。

サブディレクトリとファイル

Windows インストーラ (.msi) ファイルを実行すると、使用しているコンピュータ上の指定した場所に既定で Windows Vista Security Guide\GPOAccelerator Tool フォルダが作成されます。.msi ファイルは、次のサブディレクトリ構造を [GPOAccelerator Tool] フォルダに作成し、次の表に示しているファイルを作成します。

表 1.1 サブディレクトリ、ファイル、および説明

サブディレクトリ\ファイル	説明
SCE Update \Restore_SCE_to_Default.vbs	SCE を Windows Vista の既定値に戻すスクリプト。
SCE Update \Sceregvl_Vista.inf.txt	SCE を元の値に戻す、既定の Windows Vista SCEREGVL.INF ファイル。
SCE Update \Strings-sceregvl.txt	MSS 設定を SCE に追加するための必須の文字列値を含んでいるテキスト ファイル。
SCE Update \Update_SCE_with_MSS_Regkeys.vbs	MSS 設定を含むように SCE を変更するスクリプト。
SCE Update \Sce.reg	既定の SCE レジストリ値を含んでいるレジストリ ファイル。
SCE Update \Values-sceregvl.txt	SCE 内のレジストリ設定を表示するのに必要な、レジストリ値を含んでいるテキスト ファイル。
Security Group Policy Objects \Command-line here.cmd	起動したパスでコマンド プロンプトを開くバッチ ファイル。
Security Group Policy Objects \GPOAccelerator.wsf	スクリプトを実行して規定されたガイダンスを実装する主なツール。   警告 : この章を読み終えるまで、このスクリプトは使用しないでください。
GPMCFiles \CreateEnvironmentFromXML.wsf	TGPO および OU 構造を作成するスクリプト。   警告 : このファイルは変更しないでください。
GPMCFiles \EC-VSG-GPOs.xml	GPMC がエンタープライズ GPO を作成するのに使用する XML ファイル。
GPMCFiles \EC-VSG-GPOs-LAB.xml	GPMC がエンタープライズ GPO とサンプル OU 構造を作成するのに使用する XML ファイル。
GPMCFiles \SSLF-VSG-GPOs.xml	GPMC がエンタープライズ GPO を作成するのに使用する XML ファイル。
GPMCFiles \SSLF-VSG-GPOs-LAB.xml	GPMC が SSLF GPO と推奨 OU 構造を作成するのに使用する XML ファイル。
GPMCFiles \EC-VSGAuditPolicy.txt	GPMC が SSLF GPO と推奨 OU 構造を作成するのに使用する XML ファイル。
GPMCFiles \EC-VSGAuditPolicy.cmd	このガイドに含まれている詳細な監査ポリシーの実装で使用するテキスト ファイル。
GPMCFiles \EC-VSGApplyAuditPolicy.cmd	このガイドに含まれている詳細な監査ポリシーの実装で使用するコマンド ファイル。
GPMCFiles \SSLF-VSGAuditPolicy.txt	このガイドに含まれている詳細な監査ポリシーの実装で使用するコマンド ファイル。
GPMCFiles \SSLF-VSGAuditPolicy.cmd	このガイドに含まれている詳細な監査ポリシーの実装で使用するコマンド ファイル。
GPMCFiles \SSLF-VSGApplyAuditPolicy.cmd	このガイドに含まれている詳細な監査ポリシーの実装で使用するコマンド ファイル。
セキュリティ テンプレート	このガイドで規定されているいくつかのセキュリティ設定を実装するのに使用可能なセキュリティ テンプレート .inf ファイルを含んでいるフォルダ。 注 : このガイドに含まれているスクリプトを使用して、規定された GPO を作成することをお勧めします。ただし、提供されているセキュリティ テンプレートを使用して、スタンドアロン コンピュータのセキュリティ保護を設定できます。
セキュリティ テンプレート \EC-VSG Desktop.inf	エンタープライズ デスクトップ セキュリティ テンプレート
セキュリティ テンプレート \EC-VSG Domain.inf	エンタープライズ ドメイン セキュリティ テンプレート
セキュリティ テンプレート \EC-VSG Laptop.inf	エンタープライズ ラップトップ セキュリティ テンプレート
セキュリティ テンプレート \SSLF-VSG Desktop.inf	SSLF デスクトップ セキュリティ テンプレート
セキュリティ テンプレート \SSLF-VSG Domain.inf	SSLF ドメイン セキュリティ テンプレート
セキュリティ テンプレート \SSLF-VSG Laptop.inf	SSLF ラップトップ セキュリティ テンプレート
セキュリティ テンプレート \Vista Default Security.cmd	ローカル セキュリティ ポリシーを Windows Vista の既定値に戻す際に使用するコマンド ファイル。
セキュリティ テンプレート \Vista Default Security.inf	ローカル セキュリティ ポリシーを Windows Vista の既定値に戻す際に使用するセキュリティ テンプレート。
セキュリティ テンプレート \Vista Default Security.sdb	ローカル セキュリティ ポリシーを Windows Vista の既定値に戻す際に使用するセキュリティ データベース ファイル。
セキュリティ テンプレート \Vista Local Security.sdb	VSG セキュリティ テンプレートをコンピュータに適用するときに使用するセキュリティ データベース ファイル。

ページのトップへ

関連情報

次のリンク先には、Windows Vista のセキュリティに関する追加情報があります。

• Microsoft.com の「GPMC でのグループ ポリシーの管理」
• Microsoft.com の「グループ ポリシー管理コンソールによる企業システムの管理」
• Microsoft.com の「グループ ポリシーのループバック処理」
• Microsoft.com の「GPMC を使ったドメイン間での GPO の移行」
• Microsoft TechNet® の「ステップバイステップ ガイド : Windows Server 2003 のグループ ポリシー機能」
• TechNet の「ステップバイステップ ガイド : オブジェクト制御の委任ウィザードの使用」
• TechNet の「Summary of New or Expanded Group Policy Settings」(英語)
• Microsoft.com の Windows Vista ヘルプとサポート Web サイト
• Microsoft.com のホワイト ペーパー「Windows Vista Security Advancements」(英語) およびこの情報に関連するオンデマンド ビデオ

ページのトップへ

2 of 7