Windows Vista セキュリティ ガイド

パスワード ポリシーの設定

複雑なパスワードを使用し、パスワードを定期的に変更することで、パスワード攻撃の可能性を低減することができます。パスワード ポリシーの設定では、パスワードの複雑さと有効期限を定義します。パスワード ポリシーの設定は、ドメイン レベルのグループ ポリシーでのみ構成します。

パスワード ポリシーの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\パスワード ポリシー

次の表に、このガイドで定義しているセキュリティ保護された 2 種類の環境に推奨されるパスワード ポリシーの設定を示します。以降のサブセクションで、各設定について説明します。

表 A2. パスワード ポリシーの推奨設定

パスワードの履歴を記録する
このポリシー設定では、ユーザーが古いパスワードを再使用できるように、1 つのユーザー アカウントに関連付ける必要のある新しい一意なパスワードの数を決定します。このポリシー設定で記録できるパスワードの数は 0 ～ 24 です。Windows Vista の既定値は 0 パスワードですが、ドメインの既定値は 24 パスワードです。このポリシー設定の効果を維持するには、 [パスワード変更禁止期間] 設定を使用して、ユーザーがパスワードを頻繁に変更できないようにします。

このガイド内の 2 つのセキュリティ環境では、[パスワードの履歴を記録する] 設定を 24 のパスワードに構成します。

パスワードの有効期間
このポリシー設定の値の範囲は、1 ～ 999 日です (この値を 0 に設定して、パスワードを無期限に有効にすることもできます)。このポリシー設定では、パスワードの有効期間を定義します。既定値は 42 日です。攻撃者がパスワードを解読する可能性があるため、頻繁にパスワードを変更することによって、攻撃者が解読したパスワードを使用できる機会を減らすことができます。ただし、この値を小さく設定すると、ユーザーがパスワードを変更するため、または、現在のパスワードを忘れたことによるヘルプ デスク サポートへの問い合わせ件数が増える可能性があります。

このガイドで定義している 2 つのセキュリティ環境では、[パスワードの有効期間] 設定を [90 日] に構成します。

パスワードの変更禁止期間
このポリシー設定では、ユーザーがパスワードを変更せずに使用できる日数を決定します。このポリシー設定の値の範囲は、1 ～ 999 日です (値を 0 に設定してパスワードを直ちに変更できるよう設定することもできます)。この設定の既定値は 0 日です。

[パスワードの変更禁止期間] 設定の値は、[パスワードの有効期間] 設定の値よりも短い日数に設定する必要があります。ただし、 [パスワードの有効期間] 設定をパスワードが無期限に有効となる 0 日に設定した場合はこの限りではありません。 [パスワードの有効期間] の値を 0 に設定した場合は、[パスワードの変更禁止期間] ポリシー設定の値を 0 ～ 999 日の範囲で自由に設定できます。

[パスワードの履歴を記録する] 設定を効果的にするには、この値を 0 より大きくします。[パスワードの変更禁止期間] 設定が 0 の場合は、ユーザーが古いお気に入りのパスワードを繰り返し使用することができます。

このガイドで定義している 2 つのセキュリティ環境では、[パスワードの変更禁止期間] 設定を [1 日] に構成します。この値により、ユーザーはパスワードを変更するまで丸 1 日待たなければならないため、同じパスワードが繰り返し再使用されるのを防ぐことができます。また、この値により、ユーザーはパスワードを再設定するまで少なくとも 1 日間は新しいパスワードを使用する必要があるので、そのパスワードを記憶しようとします。ユーザーが必ず [パスワードの履歴を記録する] 設定による制限を受けるという効果もあります。

最小パスワード長
このポリシー設定では、ユーザー アカウントのパスワードを構成する最少の文字数を指定します。組織における最適なパスワード長の決定方法に関しては、さまざまな考え方がありますが、"パスワード" というよりも "パス フレーズ" という方が適切と思われます。Microsoft® Windows 2000 以降のバージョンでは、かなり長いパス フレーズの指定が可能で、スペースを含めることもできます。したがって、"I want to drink a $5 milkshake" などのフレーズは有効なパス フレーズであり、乱数と英字から成る 8 文字または 10 文字の文字列よりもかなり強力であるだけでなく、覚えるのが比較的簡単です。ユーザーに対しては、パスワードの選択と維持の適切な方法について、特にパスワードの長さについて周知する必要があります。

EC 環境では、[最小パスワード長] の値を [8 文字以上] に設定します。このポリシー設定は、適切なセキュリティを提供するために十分な長さです。SSLF 環境では、この値を [12 文字以上] に設定します。

パスワードは、複雑さの要件を満たす必要がある
このポリシー設定では、すべての新しいパスワードが強力なパスワードに必要な基本要件を満たしているかどうかを確認します。既定で、Windows Vista のこのポリシー設定の値は、[無効] に構成されますが、このガイドで説明している両方の環境の Microsoft Windows Server® 2003 ドメインでは [有効] に構成されます。

このポリシー設定が有効な場合、パスワードは次の最低限の要件を満たす必要があります。

• 連続する 3 文字以上のユーザーのアカウント名またはユーザーのフルネームの一部を含めないこと
• 長さは 6 文字以上にすること

• 次の 4 つのカテゴリの 3 つに属する文字を含めること

  • 大文字の英字 (A ～ Z)
  • 小文字の英字 (a ～ z)
  • 10 進法の数字 (0 ～ 9)
  • 非アルファベット文字 (!、$、#、% など)

パスワードが 1 文字長くなると、その複雑さは飛躍的に向上します。たとえば、すべて小文字の 7 文字のアルファベットで構成されるパスワードには、26 ⁷ (およそ 8 x 10⁹、つまり 80 億) とおりの組み合わせがあります。1 秒間に 1,000,000 とおりの組み合わせを試した場合 (多くのパスワード解読ユーティリティの処理能力)、わずか 133 分で解読されてしまいます。7 文字のアルファベットで構成され、大文字と小文字が区別されるパスワードには、52 ⁷ とおりの組み合わせがあります。句読点を含まない 7 文字の英数字で構成され、大文字と小文字が区別されるパスワードには、62 ⁷ とおりの組み合わせがあります。8 文字のパスワードには、26⁸ (つまり 2 x 10¹¹) とおりの組み合わせがあります。これは、一見、膨大な数字に思えますが、1 秒間に 1,000,000 とおりの組み合わせがチェックされるとすると、すべての組み合わせを試すために 59 時間しかかかりません。ALT 文字やその他の特殊キーボード文字 (! や @ など) を使用してパスワードを作成すれば、解読時間は格段に長くなります。パスワードを正しく設定することによって、ブルート フォース攻撃を困難にすることができます。

暗号化を元に戻せる状態でパスワードを保存する
このポリシー設定では、可逆暗号化を使用してオペレーティング システムでパスワードを保存するかどうかを決定します。この暗号化では、認証のためにユーザーのパスワードに関する情報が必要なアプリケーション プロトコルがサポートされます。暗号化を元に戻せる状態で保存されたパスワードは、プレーンテキストで保存されたパスワードと実質的に同じです。そのため、アプリケーションの要件が、パスワード情報を保護する必要性を上回っている場合にだけ、このポリシー設定を有効にする必要があります。このポリシー設定の既定値は [無効] です。

リモート アクセスまたはインターネット認証サービス (IAS) を介してチャレンジ ハンドシェイク認証プロトコル (CHAP) を使用する場合は、このポリシー設定を有効にする必要があります。また、インターネット インフォメーション サービス (IIS) のダイジェスト認証を使用する場合も、このポリシーが必要です。

Windows Server 2003 の既定のドメイン グループ ポリシー オブジェクト (GPO) 内と、ワークステーションとサーバーのローカル セキュリティ ポリシー内で、ドメインに属するすべてのユーザーに対して [暗号化を元に戻せる状態でパスワードを保存する] 設定が [無効] になっていることを確認してください。このガイドで定義している 2 つのセキュリティ環境でも、[無効] に設定します。

必要に応じてユーザーのパスワード変更を許可する方法

このようなパスワード ポリシーに加えて、すべてのユーザーに対する集中管理が一部の組織から要求されています。ここでは、ユーザーが不必要にパスワードを変更することを防ぐ方法について説明します。

ユーザー パスワードの集中管理は、慎重に設計された Windows Vista セキュリティ計画の基礎となる機能です。グループ ポリシーを使用して、前に説明したパスワードの変更禁止期間と有効期間を設定できます。ただし、パスワードの頻繁な変更を義務付けると、ユーザーが使用環境に対する [パスワードの履歴を記録する] 設定を行わなくなる可能性があります。また、長すぎるパスワードを求めると、パスワードを忘れたユーザーからヘルプ デスクへの問い合わせ件数が増えることになります。

パスワードの変更禁止期間が過ぎてから有効期限が切れるまでの間であれば、ユーザーは自分のパスワードをいつでも変更できます。ただし、SSLF 環境のセキュリティ設計では、パスワードが 42 日の有効期間に到達してオペレーティング システムからパスワードの変更が要求された場合にのみ、ユーザーがパスワードを変更できるようにする必要があります。このレベルの管理を実現するには、CTRL+ALT+DEL キーを押すと表示される [Windows のセキュリティ] ダイアログ ボックスの [パスワードの変更] を無効にします。

この構成は、グループ ポリシーを使用してドメイン全体に実装することも、レジストリを編集して特定のユーザーだけに実装することもできます。この構成の詳細については、マイクロソフト サポート技術情報の記事 324744 「Windows Server 2003 で システムからの要求時以外はユーザーによるパスワードの変更を禁止する方法」を参照してください。Windows 2000 ベースのドメインの場合は、マイクロソフト サポート技術情報の記事 309799 「[How To] Windows 2000 でシステムからの要求時以外はユーザーによるパスワードの変更を禁止する方法」を参照してください。

アカウント ロックアウト ポリシーの設定

アカウント ロックアウト ポリシーは、ユーザー アカウントをロックする Active Directory® ディレクトリ サービスのセキュリティ機能です。ログオンの試みが、指定された期間に指定された回数失敗すると、ロックによってログオンが拒否されます。ドメイン コントローラがログオンの試みを追跡します。許可されるログオンの回数と期間は、アカウント ロックアウト設定の値に基づきます。また、ロックの継続期間を指定することができます。

これらのポリシー設定は、攻撃者がユーザー パスワードを推測するのを阻止し、ネットワーク環境への攻撃が成功する確率を低下させることを目的としています。ただし、アカウント ロックアウト ポリシーを有効にすると、ネットワーク ユーザーのサポートの問題が増える可能性があります。次の設定を有効にする前に、組織で管理オーバーヘッドの増加に対応できることを確認してください。多くの組織にとって、コストを抑えながらセキュリティを確保するソリューションは、自動的にドメイン コントローラのセキュリティ イベント ログのスキャンを行い、攻撃者がユーザー アカウントのパスワードを推測しようとしていると思われるときに管理上の警告を生成することです。

アカウント ロックアウト ポリシー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定
\アカウント ポリシー\アカウント ロックアウト ポリシー

次の表に、このガイドで定義している両方のセキュリティ環境用に推奨されているアカウント ロックアウト ポリシーの設定を示します。以降のサブセクションで、各設定について説明します。

表 A3. アカウント ロックアウト ポリシーの推奨設定

ロックアウト期間
このポリシー設定では、ロックされたアカウントのロックが解除され、ユーザーが再びログオンを試みることができるまでの期間を決定します。この設定にて分単位で指定した期間内は、ロックされたアカウントを使用できなくなります。このポリシー設定の値を 0 にすると、管理者が手動で解除するまでアカウントはロックされたままになります。このポリシー設定の Windows Vista の既定値は [未定義] です。

このガイドで定義している EC 環境と SSLF 環境で、ヘルプ デスク サポートへの問い合わせ件数を減らすと同時に、インフラストラクチャをセキュリティで保護するには、 [ロックアウト期間] 設定を [15 分] に構成します。

このポリシー設定の値を高く設定すれば一見安全に思えますが、この設定では間違ってロックされたアカウントのロック解除を求めるヘルプ デスクへの問い合わせ件数が増加する可能性があります。ユーザーが再度ログオンできるまで待つ妥当な時間として 15 分間の推奨設定値が決定され、ブルート フォース パスワード攻撃に対する保護レベルが提供されました。ユーザーは、コンピュータへのアクセスを大至急回復しなければならない場合にだけ、ヘルプ デスクに問い合わせればいいように、ロック期間を把握しておく必要があります。

アカウントのロックアウトのしきい値
このポリシー設定では、ロックが実行されるまでのログオンの失敗回数を決定します。正規ユーザーが間違ったパスワードを入力した場合、パスワードを間違って覚えていた場合、またはコンピュータにログオンした状態で別のコンピュータを使用してパスワードを変更した場合、そのユーザーのアカウントがロックされます。間違ったパスワードが設定されたコンピュータはユーザーの認証を繰り返すことになります。コンピュータが認証に使用するパスワードが間違っているため、ロックが実行されます。正規ユーザーが誤ってロックされるのを防ぐには、アカウントのロックアウトのしきい値に大きい値を設定します。このポリシー設定の既定値は [0 回ログオンに失敗] です。この値では、アカウント ロックアウト機能が無効になります。

[アカウントのロックアウトのしきい値] 設定は、EC 環境では [50回ログオンに失敗] に、SSLF 環境では [10 回ログオンに失敗] に構成します。

攻撃者は多数のアカウントでロックアウトを発生させることで、ロックアウトの状態をサービス拒否 (DoS) として利用できるため、組織では、特定された脅威と軽減したいリスクに基づいてこのポリシー設定を使用するかどうかを決定する必要があります。このポリシー設定で考えられるオプションは次の 2 つです。

• [アカウントのロックアウトのしきい値] を [0 回ログオンに失敗] に設定して、アカウントがロックアウトされないようにします。この設定値では、組織のアカウントをロックしようとする DoS 攻撃を阻止できます。また、ユーザーが自分のアカウントを間違ってロックしてしまうことがないので、ヘルプ デスクへの問い合わせ件数が減少します。ただし、この設定値ではブルート フォース攻撃を阻止できません。次の防御についても検討する必要があります。

  • すべてのユーザーが 8 文字以上の複雑なパスワードを使用することを要求するパスワード ポリシー。
  • 環境内でアカウントのロックアウトが繰り返し発生した場合に管理者への警告が行われる、堅牢な監査メカニズム。たとえば、監査ソリューションは、ログオンの失敗を表すセキュリティイベント 539 を監視する必要があります。このイベントは、ログオン時にアカウントに対してロックが実行されたことを示します。

もう 1 つのオプションは次のとおりです。

• [アカウントのロックアウトのしきい値] 設定は、ユーザーがパスワードの入力を数回間違ってもアカウントがロックされず、ブルート フォース パスワード攻撃が発生した場合にアカウントがロックされるように構成します。EC 環境では [50 回ログオンに失敗] に、SSLF 環境では [10 回ログオンに失敗] に構成することで、十分なセキュリティと使いやすさの両方を実現できます。この設定によって、アカウントが誤ってロックアウトされることが回避され、ヘルプ デスクへの問い合わせ件数が減少しますが、DoS 攻撃を防止することはできません。

ロックアウト カウンタのリセット
このポリシー設定では、[アカウントのロックアウトのしきい値] を 0 にリセットするまでの時間を指定します。このポリシー設定の既定値は [未定義] です。[アカウントのロックアウトのしきい値] を定義した場合、このリセット時間は、[ロックアウト期間] 設定の値以下にする必要があります。

このガイドで定義している EC 環境と SSLF 環境の両方では、[ロックアウト カウンタのリセット] 設定を [15分] に構成します。

このポリシー設定を既定値のままにした場合、または非常に長い時間に設定した場合は、DoS 攻撃を受ける可能性が高くなります。前述したように、攻撃者は組織内のすべてのユーザーを対象にしてログオンの失敗を故意に繰り返し、ユーザーのアカウントをロックします。アカウントのロックアウトをリセットするポリシーが決定していない場合は、管理者が手動で作業することになります。反対に、このポリシー設定に値を設定した場合、すべてのアカウントが自動的にロック解除されるまで、ユーザーはロックアウトされます。15 分間の推奨設定値は、ユーザーが許容できる妥当な時間として決定されました。これによって、ヘルプ デスクへの問い合わせ件数を最小限に抑えることができます。ユーザーは、コンピュータへのアクセスを大至急回復しなければならない場合にだけ、ヘルプ デスクに問い合わせればいいように、再度ログオンができるまで待たなければならない期間を把握しておく必要があります。

システム

システム監査カテゴリでは、成功または失敗したシステム イベントを監視および記録して、許可されていないシステム アクセスの事実の特定に役立てることができます。システム イベントには、環境内のコンピュータの起動やシャットダウン、フル イベント ログ、システム全体に影響するその他のセキュリティ関連イベントなどがあります。

Windows Vista のシステム監査カテゴリには、次の表に示すサブカテゴリが含まれます。

表 A4. システム監査ポリシー サブカテゴリの推奨設定

§ - Windows Vista で新しく追加されたグループ ポリシー設定を示します。

ログオン/ログオフ

この監査カテゴリでは、ログオン セッションの作成と破棄を記録するイベントが生成されます。これらのイベントは、アクセス対象のコンピュータ上で発生します。対話型ログオンの場合は、ログオン対象のコンピュータ上でこれらのイベントが発生します。ネットワーク ログオンを実行して共有にアクセスする場合は、アクセス対象のリソースをホストしているコンピュータ上でこれらのイベントが発生します。

[ログオン イベントの監査] 設定を [監査しない] に構成すると、組織内のコンピュータにアクセスした、または、アクセスを試みたユーザーの特定が困難または不可能になります。

Windows Vista のログオン/ログオフ イベント監査カテゴリには、次の表に示すサブカテゴリが含まれます。

表 A5. ログオン/ログオフ監査ポリシー サブカテゴリの推奨設定

§ - Windows Vista で新しく追加されたグループ ポリシー設定を示します。

オブジェクト アクセス

このポリシー設定だけでは、イベントの監査は行われません。このポリシー設定では、効果的に監査を実行することが可能な特定のシステム アクセス制御リスト (SACL) を含むファイル、フォルダ、レジストリ キー、プリンタなどのオブジェクトにアクセスするユーザーのイベントを監査するかどうかを決定します。

SACL は、アクセス制御エントリ (ACE) で構成されています。各 ACE には、次の 3 つの情報が含まれています。

• 監査対象のセキュリティ プリンシパル (ユーザー、コンピュータ、またはグループ)
• 監査対象のアクセス タイプ (これをアクセス マスクと呼びます)
• 監査対象のアクセス イベント (失敗したアクセス イベントのみ、成功したアクセス イベントのみ、または両方のアクセス イベント) を示すフラグ

[オブジェクト アクセスの監査] の値を [成功] に設定すると、SACL が指定されたオブジェクトへのユーザー アクセスが成功するたびに、監査エントリが生成されます。このポリシー設定を [失敗] に構成すると、SACL で指定されたオブジェクトへのユーザー アクセスが失敗するたびに、監査エントリが生成されます。

組織では、SACL を構成する際、有効にするアクションのみを定義する必要があります。たとえば場合によっては、実行可能ファイルの [データの書き込み] および [データの追加] を監査する設定を有効にして、実行可能ファイルの変更や置換の追跡を可能にする必要があります。ウイルス、ワーム、トロイの木馬などは、実行可能ファイルを標的にすることが多いからです。同様に、機密文書へのアクセスまたは機密文書の変更の追跡が必要になる場合もあります。

オブジェクト アクセス イベント監査カテゴリには、次の表に示すサブカテゴリが含まれます。

表 A6. オブジェクト アクセス監査ポリシー サブカテゴリの推奨設定

§ - Windows Vista で新しく追加されたグループ ポリシー設定を示します。

次の手順は、ファイルまたはフォルダに対する監査ルールの設定方法と、指定したファイルまたはフォルダのオブジェクトごとの監査ルールのテスト方法を示しています。

注   セキュリティ イベント ログにイベントを記録するための次の手順に従って 成功および失敗イベントを監査するようにファイル システム サブカテゴリを構成するには、Auditpol.exe を使用する必要があります。

ファイルまたはフォルダの監査ルールをテストするには

1. Windows エクスプローラを使用して、ファイルまたはフォルダを探して、クリックします。
2. [ファイル] メニューで、[プロパティ] をクリックします。
3. [セキュリティ] タブをクリックし、[詳細設定] をクリックします。
4. [監査] タブをクリックします。
5. 管理者資格情報に関するメッセージが表示されたら、 [継続] をクリックし、ユーザー名とパスワードを入力して、ENTER キーを押します。
6. [追加] ボタンをクリックします。[ユーザー 、コンピュータ、 またはグループの選択] ダイアログ ボックスが表示されます。

7. [オブジェクトの種類] ボタンをクリックして、[オブジェクトの種類] ダイアログ ボックスで、検索するオブジェクトの種類を選択します。

   注   既定で、[ユーザー]、 [グループ]、および [ビルトイン セキュリティ プリンシパル] の種類のオブジェクトが選択されています。

8. [場所] ボタンをクリックして、[場所] ダイアログ ボックスで、ドメインまたはローカル コンピュータを選択します。
9. [ユーザーまたはグループの選択] ダイアログ ボックスで、監査するグループ名またはユーザー名を入力します。次に、 [選択するオブジェクト名を入力してください] ダイアログ ボックスで、認証されているすべてのユーザーのアクセスを監査するために「Authenticated Users」と入力し、[OK] をクリックします。[監査エントリ] ダイアログ ボックスが表示されます。

10. [監査エントリ] ダイアログ ボックスを使用して、ファイルまたはフォルダで監査するアクセスの種類を指定します。

    注   イベント ログにアクセスごとの複数のイベントが生成されるため、ログのサイズが急速に増大する可能性があることを覚えておいてください。

11. [監査エントリ] ダイアログ ボックスで、[フォルダの一覧/データの読み取り] の隣にあるリストから [成功] および [失敗] を選択し、[OK] をクリックします。
12. 有効にした監査エントリが [セキュリティの詳細設定] ダイアログ ボックスの [監査] タブに表示されます。
13. [OK] をクリックして [プロパティ] ダイアログ ボックスを閉じます。

ファイルまたはフォルダの監査ルールをテストするには

1. ファイルまたはフォルダを開きます。
2. ファイルまたはフォルダを閉じます。
3. [イベント ビューア] を開始します。セキュリティ イベント ログに "イベント ID 4663" のオブジェクト アクセス イベントがいくつか表示されます。
4. 必要に応じてイベントをダブルクリックして、イベントの詳細を表示します。

特権の使用

特権の使用監査カテゴリでは、ユーザーによるユーザー権利の行使の事実を監査するかどうかを決定します。この値を [成功] に設定すると、ユーザー権利が正常に行使されるたびに監査エントリが生成されます。この値を [失敗] に設定すると、ユーザー権利の行使が失敗するたびに監査エントリが生成されます。このポリシー設定では、大量のイベント レコードが生成される場合があります。

この特権の使用 イベント監査カテゴリには、次の表に示すサブカテゴリが含まれます。

表 A7. 特権の使用監査ポリシー サブカテゴリの推奨設定

§ - Windows Vista で新しく追加されたグループ ポリシー設定を示します。

詳細追跡

詳細追跡監査カテゴリでは、プログラムのアクティブ化、プロセスの終了、ハンドルの重複、間接的なオブジェクト アクセスなどのイベントについての詳細な追跡情報を監査するかどうかを決定します。[プロセス追跡の監査] を有効にすると大量のイベントが生成されるため、通常は、 [監査なし] に設定します。ただし、この設定は、プロセス起動の詳細ログからの応答時およびプロセス起動時に役に立ちます。

詳細追跡イベント監査カテゴリには、次の表に示すサブカテゴリが含まれます。

表 A8. 詳細追跡監査ポリシー サブカテゴリの推奨設定

§ - Windows Vista で新しく追加されたグループ ポリシー設定を示します。

ポリシーの変更

ポリシーの変更監査カテゴリでは、ユーザー権利の割り当てポリシー、Windows ファイアウォール ポリシー、信頼ポリシー、または監査ポリシー自体が変更されるたびに監査するかどうかを決定します。推奨設定を使用すると、 "プログラムのデバッグ" 特権や "ファイルとディレクトリのバックアップ" 特権を追加することによって、攻撃者が昇格を試みたアカウント特権を確認できます。

このポリシーの変更イベント監査カテゴリには、次の表に示すサブカテゴリが含まれます。

表 A9. ポリシーの変更監査ポリシー サブカテゴリの推奨設定

§ - Windows Vista で新しく追加されたグループ ポリシー設定を示します。

アカウント管理

アカウント管理監査カテゴリによって、ユーザーまたはグループの新規作成、ユーザーまたはグループの名前の変更、ユーザー アカウントの有効化または無効化、アカウント パスワードの変更、アカウント管理イベントの監査の有効化などの操作を追跡することができます。この監査ポリシー設定を有効にすると、管理者はイベントを追跡して、ユーザー アカウントおよびグループ アカウントの作成 (悪意による作成、意図しない作成、許可された作成など) を検出できます。

このアカウント管理イベント監査カテゴリには、次の表に示すサブカテゴリが含まれます。

表 A10. アカウント管理システム監査ポリシー サブカテゴリの推奨設定

§ - Windows Vista で新しく追加されたグループ ポリシー設定を示します。

DS アクセス

DS アクセス監査カテゴリは、ドメイン コントローラだけに適用されます。そのため、このガイドで説明している両方の環境では、DS アクセス監査カテゴリとすべての関連サブカテゴリを [監査しない] に構成します。

DS アクセス イベント監査カテゴリには、次の表に示すサブカテゴリが含まれます。

表 A11. DS アクセス監査ポリシー サブカテゴリの推奨設定

§ - Windows Vista で新しく追加されたグループ ポリシー設定を示します。

アカウント ログオン

アカウント ログオン監査カテゴリでは、資格情報の確認用のイベントが生成されます。これらのイベントは、資格情報を検証する権限のあるコンピュータで発生します。ドメイン アカウントの場合はドメイン コントローラに、ローカル アカウントの場合はローカル コンピュータに権限があります。ドメイン環境では、ほとんどのアカウント ログオン イベントが、ドメイン アカウントに対して権限のあるドメイン コントローラのセキュリティ ログで発生します。ただし、ログオンにローカル アカウントが使用された場合は、組織内の他のコンピュータ上で発生する場合もあります。

このアカウント ログオン イベント監査カテゴリには、次の表に示すサブカテゴリが含まれます。

表 A12. アカウント ログオン監査ポリシー サブカテゴリの推奨設定

§ - Windows Vista で新しく追加されたグループ ポリシー設定を示します。

監査ポリシー構成を変更するには

1. GPO を作成する Active Directory を使用して、ドメインに接続された Windows Vista を実行しているコンピュータにドメイン管理者としてログオンします。
2. デスクトップで、Windows Vista の [スタート] ボタンをクリックして、[すべてのプログラム]、 [アクセサリ] の順にクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。

3. 現在の監査ポリシー設定を消去します。これを実行するには、コマンド プロンプトで次の行を入力して、ENTER キーを押します。

   auditpol /clear 

4. Auditpol.exe コマンドライン ツールを使用して、必要なカスタム監査ポリシー設定を構成します。たとえば、コマンド プロンプトで次の行を入力します。各行の最後で ENTER キーを押します。

   注 次のコード スニペットの一部は、読みやすくするために複数行で表示されます。本来は、1 行で入力する必要があります。

   auditpol /set /subcategory:"user account management" /success:enable /failure:enable
   auditpol /set /subcategory:"logon" /success:enable /failure:enable
   auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable 

   注 使用可能なすべてのカテゴリとサブカテゴリを表示するには、コマンド プロンプトで次の行を入力して、ENTER キーを押します。
   auditpol /list /subcategory:*

   コマンド プロンプトで次の行を入力して、ENTER キーを押します。

   auditpol /backup /file:EC-AuditPolicy.txt (または SSLF-AuditPolicy.txt) 

5. 新しい EC-AuditPolicy.txt (または SSLF-AuditPolicy.txt) ファイルを使用環境内のドメイン コントローラの 1 つの NETLOGON 共有にコピーして、既存のバージョンを上書きします。

このガイドに付属のコンピュータ GPO は、新しい EC-AuditPolicy.txt (または SSLF-AuditPolicy.txt) ファイルを使用して、コンピュータ上の監査ポリシー設定を変更および構成します。

監査ポリシー設定の削除

前述したように、このガイドに付属の監査ポリシー サブカテゴリを構成するための GPO によって実装されるソリューションは、使用環境内のすべてのコンピュータ上に VSGAudit 定期タスクを作成します。このガイドに付属の GPO を使用環境から削除すれば、 VSGAudit 定期タスクを削除することができます。VSGAudit 定期タスクは、このガイドに付属の GPO が使用環境から削除されている場合でも、Windows Vista を実行しているコンピュータの性能に影響を与えないようにする必要があります。

使用環境内のコンピュータから VSGAudit 定期タスクを削除するには

1. 使用環境に応じて、次の 3 つのファイルを使用環境内のドメイン コントローラの 1 つの NETLOGON 共有から削除します。

   EC 環境の場合 :

   • EC-VSGAuditPolicy.cmd
   • EC-VSGApplyAuditPolicy.cmd
   • EC-VSGAuditPolicy.txt

   SSLF 環境の場合 :

   • SSLF-VSGAuditPolicy.cmd
   • SSLF-VSGApplyAuditPolicy.cmd
   • SSLF-VSGAuditPolicy.txt
2. 空のテキスト ファイルを作成して、それに DeleteVSGAudit.txt という名前を付け、使用環境内のドメイン コントローラの 1 つの NETLOGON 共有にコピーします。このテキスト ファイルは、使用環境内のすべてのドメイン コントローラに自動的にコピーされます。

VSGAudit 定期タスクは、起動するたびに DeleteVSGAudit.txt ファイルをチェックして、 そのファイルが存在すれば、自分自身を削除します。VSGAudit 定期タスクは 1 時間ごとに起動するように構成されているため、使用環境内のすべてのコンピュータからそのタスクを削除するまでにあまり時間がかからないようにする必要があります。

EC 環境で Windows XP を実行しているコンピュータの監査ポリシー

このガイドに付属の GPO には、以前のバージョンの Windows に存在する監査カテゴリを構成する設定が含まれています。このガイドに付属のスクリプトと GPO を使用する場合は、これらの設定が Windows Vista を実行しているコンピュータに適用されません。

EC 環境での使用を意図した GPO は、Windows XP ベースのコンピュータで動作するように設計されています。 使用環境内の Windows XP を実行しているコンピュータが、Windows XP ベースのコンピュータに推奨されている監査ポリシー設定を受信できるように、監査カテゴリ用の設定がこの GPO に含まれています。

Windows Vista の監査ポリシー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成することができます。

コンピュータの構成\Windows の設定\セキュリティの設定
\ローカル ポリシー\監査ポリシー

次の表に、このガイドで説明している 2 種類のセキュリティ環境におけるデスクトップとラップトップ両方のクライアント コンピュータに推奨されている監査ポリシー設定を示します。

表 A13. 監査ポリシーの推奨設定

注   EC 環境用の GPO は Windows XP を実行しているコンピュータで動作するように設計されているため、推奨されている監査ポリシー設定が この GPO に含まれています。 ただし、SSLF GPO は Windows Vista を実行しているコンピュータでしか動作しないように設計されているため、監査ポリシー設定は SSLF GPO に含まれていません。

ユーザー権利の割り当ての設定

Windows Vista の複数の特権グループを組み合わせて、普通のユーザーが持っていない複数のユーザー権利を特定のユーザーまたはグループに割り当てることができます。

ユーザー権利の値を [なし] にするには、その設定を有効にして、その設定にユーザーやグループを追加しないようにします。 ユーザー権利の値を [未定義] にするには、その設定を有効にしません。

Windows Vista のユーザー権利の割り当て設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て

次の表に、A ～ E で始まるユーザー権利の割り当ての推奨設定を示します。推奨設定は、このガイドで説明している 2 種類のセキュリティで保護された環境におけるデスクトップとラップトップ両方のクライアントに提供されます。 以降のサブセクションでは、各設定に関する詳細情報を提供します。

その他のアルファベットで始まるユーザー権利の推奨設定を表 A5 に示します。これらのユーザー権利の詳細については、表の後の各サブセクションを参照してください。

注   IIS の多くの機能では、IIS_WPG、IIS IUSR_<コンピュータ名>、IWAM_<コンピュータ名>などの特定のアカウントに特定の特権が必要です。 IIS に関連するアカウントに必要なユーザー権利の詳細については、「IIS and Built-in Accounts (IIS 6.0)」 (英語) を参照してください。

ユーザー権利 A - E

次の表に、A ～ E で始まるユーザー権利の割り当ての推奨設定を示します。これらの設定の詳細については、表の後の各サブセクションを参照してください。

表 A14. ユーザー権利の割り当ての推奨設定-第 1 部

§ - Windows Vista で新しく追加されたグループ ポリシー設定を示します。

ネットワーク経由でコンピュータへアクセス
このポリシー設定は、ネットワーク上の他のユーザーがコンピュータに接続することを許可します。サーバー メッセージ ブロック (SMB) ベースのプロトコル、NetBIOS、共通インターネット ファイル システム (CIFS)、Component Object Model Plus (COM+) など、さまざまなネットワーク プロトコルで必要です。

[ネットワーク経由でコンピュータへアクセス] 設定は、EC 環境では [Administrators] と [Users] に、SSLF 環境では [Administrators] に構成します。

オペレーティング システムの一部として機能
このポリシー設定は、プロセスがユーザーの ID を取得して、そのユーザーがアクセスを許可されているリソースにアクセスすることを許可します。

そのため、このガイドで説明している両方の環境では、 [オペレーティング システムの一部として機能] 設定を [なし] に制限します。

プロセスのメモリ クォータの増加
このポリシー設定は、プロセスで使用できる最大メモリ容量をユーザーが調整することを許可します。 メモリ クォータを調整する機能はシステムのチューニングに有用ですが、悪用される可能性があります。 たとえば、サービス拒否 (DoS) 攻撃に利用される可能性もあります。

そのため、[プロセスのメモリ クォータの増加] 設定は、SSLF 環境では [Administrators]、[Local Service]、および [Network Service] に制限し、EC 環境では [未定義] に構成します。

ローカル ログオンを許可する
このポリシー設定では、環境内のコンピュータに対話的にログオンできるユーザーを指定します。 クライア