・DC ローカルポリシー セキュリティ オプション
Last-modified: 2020-03-17 (火) 14:29:00
Top/・DC ローカルポリシー セキュリティ オプション
・レベル1セキュリティ構成(Windows 10)
・Windows Server 2016 Domain Controller
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション] †
[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[Microsoftネットワーククライアント] †
| ポリシー設定 | 値 | 説明 |
| サードパーティ SMB サーバーへの接続に、暗号化されていないパスワードを送信する | 無効 | このセキュリティ設定を有効にすると、サーバー メッセージ ブロック (SMB) リダイレクターは、認証中のパスワード暗号化をサポートしていない、Microsoft 以外の SMB サーバーにテキスト形式のパスワードを送信することができます。 暗号化されていないパスワードの送信はセキュリティ上の危険があります。 既定値: 無効 |
| サーバーが同意すれば、通信にデジタル署名を行う | 有効 | このセキュリティ設定を使用して、SMB クライアントが SMB パケット署名のネゴシエートを試みるかどうかを決定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB クライアント コンポーネントが SMB サーバーに接続する際に、SMB パケット署名のネゴシエートを試みるかどうかが決定されます。 この設定を有効にすると、Microsoft ネットワーク クライアントは、セッション セットアップの際、サーバーに対して SMB パケット署名の実行を要求します。サーバー上でパケット署名が有効にされている場合は、パケット署名がネゴシエートされます。このポリシーを無効にすると、SMB クライアントは SMB パケット署名をネゴシエートしません。 既定値: 有効。 注意: すべての Windows オペレーティング システムにおいて、クライアント サイドの SMB コンポーネントおよびサーバー サイドの SMB コンポーネントの両方がサポートされています。Windows 2000 以降では、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効または要求は、次の 4 つのポリシー設定によって制御されます。 Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 クライアント側とサーバー側の SMB 署名の両方が有効で、クライアントがサーバーへの SMB 1.0 接続を確立している場合、SMB 署名が試行されます。 SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。この設定は、SMB 1.0 接続に対してのみ適用されます。 詳細については、http://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。 |
| 常に通信にデジタル署名を行う | 有効 | このセキュリティ設定を使用して、SMB クライアント コンポーネントがパケット署名を必要とするかどうかを決定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB サーバーとの以降の通信を許可するために SMB パケット署名をネゴシエートする必要があるかどうかが決定されます。 この設定を有効にすると、Microsoft ネットワーク クライアントは、SMB パケット署名を実行することに同意しない Microsoft ネットワーク サーバーとは通信しません。このポリシーを無効にすると、クライアントとサーバーとの間で SMB パケット署名がネゴシエートされます。 既定値: 無効。 重要: Windows 2000 を実行しているコンピューター上でこのポリシーを有効にするには、クライアント側のパケット署名も有効にされている必要があります。クライアント側 SMB パケット署名を有効にするには、"Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う" を設定します。 注意:すべての Windows オペレーティング システムにおいて、クライアント サイドの SMB コンポーネントおよびサーバー サイドの SMB コンポーネントの両方がサポートされています。Windows 2000 以降のオペレーティング システムでは、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効または要求は、次の 4 つのポリシー設定によって制御されます。 Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。 詳細については、http://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。 |
[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[Microsoftネットワークサーバー] †
| ポリシー設定 | 値 | 説明 |
| クライアントが同意すれば、通信にデジタル署名を行う | 有効 | このセキュリティ設定では、SMB サーバーが SMB パケット署名を要求するクライアントとの間で、SMB パケット署名のネゴシエートを行うかどうかを指定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB クライアントが SMB パケット署名を要求する場合に、SMB サーバーが SMB パケット署名のネゴシエートを行うかどうかを指定します。 この設定が有効な場合、Microsoft ネットワーク サーバーは、クライアントの要求があった場合に SMB パケット署名のネゴシエートを行います。つまり、クライアント側でパケット署名が有効になっている場合、パケット署名のネゴシエートが行われます。このポリシーが無効な場合、SMB クライアントは SMB パケット署名のネゴシエートを行いません。 既定値: ドメイン コントローラー側のみ有効 重要: Windows 2000 サーバーが Windows NT 4.0 クライアントとの間で署名のネゴシエートを行うには、Windows 2000 を実行するサーバー側で次のレジストリ値を 1 に設定する必要があります。HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature 注意: すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートしています。Windows 2000 以降では、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効または要求は、次の 4 つのポリシー設定によって制御されます。 Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 クライアント側とサーバー側の SMB 署名の両方が有効で、クライアントがサーバーへの SMB 1.0 接続を確立している場合、SMB 署名が試行されます。 SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。この設定は、SMB 1.0 接続に対してのみ適用されます。 詳細については、http://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。 |
| 常に通信にデジタル署名を行う | 有効 | このセキュリティ設定を使用して、SMB サーバー コンポーネントがパケット署名を必要とするかどうかを決定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB クライアントとの以降の通信を許可するために SMB パケット署名をネゴシエートする必要があるかどうかが決定されます。 この設定を有効にすると、Microsoft ネットワーク サーバーは、SMB パケット署名を実行することに同意しない Microsoft ネットワーク クライアントとは通信しません。この設定を無効にすると、クライアントとサーバーとの間で SMB パケット署名がネゴシエートされます。既定値: メンバー サーバーでは無効。 ドメイン コントローラーでは有効。 注意: すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートしています。Windows 2000 以降では、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効または要求は、次の 4 つのポリシー設定によって制御されます。 Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 同様に、クライアント側 SMB 署名が要求される場合、クライアントは、パケット署名が有効にされていないサーバーとはセッションを確立できません。既定では、サーバー側 SMB 署名は、ドメイン コントローラー上でのみ有効にされています。 サーバー側 SMB 署名が有効にされている場合、クライアント側 SMB 署名が有効にされているクライアントとの間で SMB パケット署名がネゴシエートされます。 SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。 重要: Windows 2000 を実行しているコンピューター上でこのポリシーを有効にするには、サーバー側のパケット署名も有効にされている必要があります。サーバー側 SMB パケット署名を有効にするには、次のポリシーを設定します。 Microsoft ネットワーク サーバー: サーバーが同意すれば、通信にデジタル署名を行う Windows 2000 サーバーが Windows NT 4.0 クライアントとの間で署名をネゴシエートするには、Windows 2000 サーバーで次のレジストリ値を 1 に設定する必要があります。 HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature 詳細については、http://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。 |
[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[アカウント] †
| ポリシー設定 | 値 | 説明 |
| Administrator アカウント名の変更 | 定義する "z-admin" などを定義する。 | このセキュリティ設定は、Administrator アカウントのセキュリティ識別子 (SID) に異なるアカウント名を関連付けるかどうかを決定します。既知の Administrator アカウント名を変更すると、承認されていないユーザーが、この特権のユーザー名とパスワードの組み合わせを推測しづらくなります。 既定値: Administrator 注意: 会社名、ドメイン名、それらの略称などの、推測しやすい文字列を含めないようにして下さい。 |
| Guest アカウントの状態 | 無効 | このセキュリティ設定は、Guest アカウントを有効にするか無効にするかを決定します。 既定値: 無効 注意: Guest アカウントが無効でセキュリティ オプション [ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル] に [Guest のみ] が設定されている場合、Microsoft ネットワーク サーバー (SMB サービス) などで実行されるネットワーク ログオンが失敗します。 |
| Guest アカウント名の変更 | 定義する "visitor" などを定義 | このセキュリティ設定は、"Guest" アカウントのセキュリティ識別子 (SID) に異なるアカウント名を関連付けるかどうかを決定します。既知の Guest アカウント名を変更すると、認証されていないユーザーが、このユーザー名とパスワードの組み合わせを推測しづらくなります。 既定値: Guest |
| ローカル アカウントの空のパスワードの使用をコンソールログオンのみに制限する | 有効 | このセキュリティ設定は、パスワードで保護されていないローカル アカウントを、そのコンピューター コンソール以外の場所から使用できるかどうかを決定します。この設定が有効な場合、パスワードで保護されていないローカル アカウントへログオンするには、そのコンピューターのキーボードを使用する必要があります。 既定値: 有効 警告: 物理的に安全でない場所にあるコンピューターでは、すべてのローカル ユーザー アカウントに対して常に強力なパスワード ポリシーを設定してください。そのようにしておかないと、コンピューターに物理的にアクセスできるユーザーが、パスワードが設定されていないユーザー アカウントを使用してログオンできるようになります。これは、ポータブル コンピューターを使用する場合は特に重要です。 このセキュリティ ポリシーを Everyone グループに適用すると、リモート デスクトップ サービスを使用したログオンができなくなります。 注意: この設定は、ドメイン アカウントを使用するログオンには影響しません。 リモートの対話型ログオンを使うアプリケーションでは、この設定を無効にすることができます。 注意: リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。 |
[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[システムオブジェクト] †
| ポリシー設定 | 値 | 説明 |
| 内部システムオブジェクトの既定のアクセス許可を強化する(例:シンボリックリンク) | 有効 | システム オブジェクト: 内部のシステム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク) このセキュリティ設定は、オブジェクトに対する既定の随意アクセス制御リスト (DACL) を強化するかどうかを指定します。 Active Directory は共有システム リソース (例: DOS デバイス名、ミューテックス、セマフォ) のグローバル リストを管理しています。このようにして、プロセスの間オブジェクトの特定と共有が可能となっています。各オブジェクト タイプは、オブジェクトにアクセス可能なユーザーと付与されるアクセス許可を指定する、既定の DACL に基づいて作成されます。 このポリシーが有効な場合、既定の DACL はより強力で、管理者以外のユーザーは共有オブジェクトを読み取ることができますが、自身が作成者ではない共有オブジェクトは修正できません。 既定値: 有効。 |
[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[ドメインコントローラー] †
| ポリシー設定 | 値 | 説明 |
| LDAP サーバー署名必須 | 定義する[署名を必要とする] | このセキュリティ設定を使用して、LDAP サーバーが LDAP クライアントとの間で署名のネゴシエートを必要とするかどうかを決定します。次のオプションがあります。 なし: サーバーとバインドするためにデータ署名は必要ありません。クライアントがデータの署名を要求した場合はサーバーから提供されます。 署名属性の要求: TLS\SSL が使用される場合以外は、LDAP データ署名オプションをネゴシエートする必要があります。 既定値: このポリシーは定義されていないため、なしとして処理されます。 警告: サーバーに [署名属性の要求] を設定した場合は、クライアントも設定する必要があります。クライアントを設定しないと、サーバーとの接続が失われます。 注意: この設定は LDAP 簡易結合にも SSL 経由 LDAP 簡易結合にも影響しません。Windows XP Professional と共に出荷される Microsoft LDAP クライアントは、ドメイン コントローラーとの対話に LDAP 簡易結合も SSL 経由 LDAP 簡易結合も使用しません。 署名が必要とされる場合、LDAP 簡易結合と SSL 経由 LDAP 簡易結合の要求は拒否されます。Windows XP Professional または Windows Server 2003 ファミリで動作する Microsoft LDAP クライアントは、ディレクトリ サービスへのバインドに LDAP 簡易結合も SSL 経由 LDAP 簡易結合も使用しません。 |
| コンピューター アカウントのパスワードの変更を拒否する | 無効 | このセキュリティ設定を使用して、ドメイン コントローラーがメンバー コンピューターからのコンピューター アカウントのパスワード変更の要求を拒否するかどうかを決定します。既定では、メンバー コンピューターは 30 日ごとにコンピューター アカウントのパスワードを変更します。この設定を有効にすると、ドメイン コントローラーは、コンピューター アカウントのパスワードの変更要求を拒否します。 有効にした場合、ドメイン コントローラーは、コンピューター アカウントのパスワードに対するどのような変更も受け付けることができません。 既定値: このポリシーは定義されていないため、システムにより無効として処理されます。 |
[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[ドメインメンバー] †
| ポリシー設定 | 値 | 説明 |
| コンピュータ アカウント パスワード:定期的な変更を無効にする | 無効 | ドメイン メンバーがコンピューター アカウントのパスワードを定期的に変更するかどうかを決定します。この設定を有効にすると、ドメイン メンバーはコンピューター アカウントのパスワードの変更を試みません。この設定を無効にした場合、ドメイン メンバーは、"ドメイン メンバー: 最大コンピューター アカウントのパスワードの有効期間" の設定 (既定は 30 日間) に従って、コンピューター アカウントのパスワードの変更を試みます。 既定値: 無効。 注意: このセキュリティ設定は有効にすべきではありません。コンピューター アカウントのパスワードは、メンバーとドメイン コントローラー間、およびドメイン内ではドメイン コントローラーどうしの間で、セキュリティで保護されたチャネルの通信を確立するために使用されます。セキュリティで保護されたチャネルが確立されると、認証と承認の決定を行うために必要な機密情報の送信に使用されます。 この設定は、同じコンピューター アカウントを使用するデュアルブートのシナリオをサポートするために使用しないでください。同じドメインに参加している 2 つのインストールをデュアルブートする場合は、2 つのインストールに異なるコンピューター名を使用してください。 |
| 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する | 有効 | このセキュリティ設定を使用して、ドメイン メンバーが、自身が開始した、セキュリティで保護されたチャネルのすべてのトラフィックの暗号化をネゴシエートするよう試みるかどうかを決定します。 コンピューターがドメインに参加すると、コンピューター アカウントが作成されます。その後システムが開始されると、そのコンピューター アカウントのパスワードを使用して、そのドメインのドメイン コントローラーとの間にセキュリティで保護されたチャネルが作成されます。このセキュリティで保護されたチャネルは、NTLM パススルー認証、LSA SID/名前参照などの操作に使用されます。 この設定により、ドメイン メンバーが、自身が開始したセキュリティで保護されたチャネルのすべてのトラフィックの暗号化をネゴシエートするよう試みるするかどうかが決定されます。有効にした場合、ドメイン メンバーは、セキュリティで保護されたチャネルのすべてのトラフィックの暗号化を要求します。ドメイン コントローラーが、セキュリティで保護されたチャネルのすべてのトラフィックの暗号化をサポートする場合は、セキュリティで保護されたチャネルのすべてのトラフィックが暗号化されます。そうでない場合は、セキュリティで保護されたチャネル上で送信されるログオン情報だけが暗号化されます。この設定を無効にすると、ドメイン メンバーは、セキュリティで保護されたチャネルの暗号化をネゴシエートするよう試みません。 既定値: 有効。 重要: 現在のところ、この設定を無効にする理由はありません。この設定を無効にすると、セキュリティで保護されたチャネルの潜在的な機密性レベルが不必要に低下するだけでなく、セキュリティで保護されたチャネルのスループットも不必要に低下することがあります。これは、セキュリティで保護されたチャネルを使用する同時 API コールは、セキュリティで保護されたチャネルが署名または暗号化されている場合のみ可能であるためです。 注意: ドメイン コントローラーはドメイン メンバーでもあり、同じドメイン内および信頼されるドメイン内のドメイン コントローラーとの間にセキュリティで保護されたチャネルを確立します。 |
| 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する | 有効 | このセキュリティ設定を使用して、ドメイン メンバーが、自身が開始した、セキュリティで保護されたチャネルのすべてのトラフィックの署名をネゴシエートするよう試みるかどうかを決定します。 コンピューターがドメインに参加すると、コンピューター アカウントが作成されます。その後システムが開始されると、そのコンピューター アカウントのパスワードを使用して、そのドメインのドメイン コントローラーとの間にセキュリティで保護されたチャネルが作成されます。このセキュリティで保護されたチャネルは、NTLM パス スルー認証、LSA SID/名前参照などの操作に使用されます。 この設定により、ドメイン メンバーが、自身が開始したセキュリティで保護されたチャネルのすべてのトラフィックの署名をネゴシエートするよう試みるかどうかが決定されます。有効にした場合、ドメイン メンバーは、セキュリティで保護されたチャネルのすべてのトラフィックの署名を要求します。ドメイン コントローラーが、セキュリティで保護されたチャネルのすべてのトラフィックの署名をサポートする場合は、セキュリティで保護されたチャネルのすべてのトラフィックが署名され、それにより送信中の改ざんを防止できます。 既定値: 有効 注意: "ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する" ポリシーが有効にされている場合、このポリシーは、実際の設定に関係なく、有効にされていると見なされます。 ドメイン コントローラーはドメイン メンバーでもあり、同じドメイン内および信頼されるドメイン内のドメイン コントローラーとの間にセキュリティで保護されたチャネルを確立します。 |
| 最大コンピュータ アカウントのパスワードの有効期間 | 30 | このセキュリティ設定を使用して、ドメイン メンバーがコンピューター アカウントのパスワードの変更を試みる頻度を決定します。 既定値: 30 日間。 重要:この設定は Windows 2000 コンピューターにも適用されますが、それらのコンピューターで使用しているセキュリティの構成マネージャー ツールを通じて使用することはできません。 |
| 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する | 有効 | このセキュリティ設定は、ドメインメンバーによって開始されたすべてのセキュリティで保護されたチャネルトラフィックを署名または暗号化する必要があるかどうかを決定します。この設定は、ドメインメンバーによって開始されたすべてのセキュアチャネルトラフィックが最小セキュリティ要件を満たしているかどうかを決定します。具体的には、ドメインメンバーによって開始されたすべてのセキュリティで保護されたチャネルトラフィックを署名または暗号化する必要があるかどうかを決定します。このポリシーが有効になっている場合、すべてのセキュアチャネルトラフィックの署名または暗号化がネゴシエートされない限り、セキュアチャネルは確立されません。このポリシーを無効にすると、すべてのセキュリティで保護されたチャネルトラフィックの暗号化と署名がドメインコントローラーとネゴシエートされます。この場合、署名と暗号化のレベルはドメインコントローラーのバージョンと次の2つのポリシーの設定によって異なります。 -ドメインメンバー:セキュリティで保護されたチャネルデータをデジタルで暗号化する(可能な場合) -ドメインメンバー:セキュリティで保護されたチャネルデータにデジタルで署名する(可能な場合) |
| 強力な(Windows 2000かそれ以降のバージョン)セッションキーを必要とする | 有効 | このセキュリティ設定を使用して、セキュリティで保護されたチャネル データの暗号化に、128 ビット キーの強度を必要とするかどうかを決定します。 コンピューターがドメインに参加すると、コンピューター アカウントが作成されます。その後システムが開始されると、そのコンピューター アカウントのパスワードを使用して、そのドメインのドメイン コントローラーとの間にセキュリティで保護されたチャネルが作成されます。このセキュリティで保護されたチャネルは、NTLM パススルー認証、LSA SID/名前参照などの操作に使用されます。 ドメイン メンバーの通信相手であるドメイン コントローラーで実行されている Windows のバージョンと、パラメーターの設定に依存します: ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する セキュリティで保護されたチャネル上で送信される情報の一部またはすべてが暗号化されます。このポリシー設定により、暗号化される、セキュリティで保護されたチャネルの情報に 128 ビット キーの強度が必要とされるかどうかが決定されます。 この設定を有効にすると、128 ビットの暗号化が実行可能でない限りセキュリティで保護されたチャネルは確立されません。この設定を無効にすると、キーの強度はドメイン コントローラーとの間でネゴシエートされます。既定値: 有効。 重要: メンバーのワークステーションとサーバーでこのポリシーの利点を活用するには、メンバーのドメインを構成するすべてのドメイン コントローラーで Windows 2000 以降を実行している必要があります。 ドメイン コントローラーでこのポリシーの利点を活用するには、同じドメイン内とすべての信頼されるドメイン内のすべてのドメイン コントローラーで Windows 2000 以降を実行している必要があります。 |
[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[ネットワークアクセス] †
| ポリシー設定 | 値 | 説明 |
| Everyone のアクセス許可を匿名ユーザーに適用する | 無効 | このセキュリティ設定は、このコンピューターへの匿名接続に対して与える、追加のアクセス許可の内容を指定します。 Windows では、ドメイン アカウントやネットワーク共有の名前の列挙など、一定の操作が匿名ユーザーに許可されます。これは、たとえば、相互の信頼が維持されていない、信頼されるドメインのユーザーに対して管理者がアクセスを許可したい場合に便利です。既定では、匿名接続に対して作成されたトークンから、Everyone セキュリティ識別子 (SID) が削除されます。そのため、Everyone グループに与えられたアクセス許可は、匿名ユーザーには適用されません。このオプションが設定されている場合、匿名ユーザーは、明示的にアクセス許可が与えられているリソースのみアクセスできます。 このポリシーを有効にすると、匿名接続に対して作成されたトークンに Everyone の SID が追加されます。この場合、Everyone グループにアクセス許可が与えられているリソースであれば、匿名ユーザーはアクセスできます。 既定値: 無効。 |
| SAM アカウントおよび共有の匿名の列挙を許可しない | 有効 | このセキュリティ設定は、SAM アカウントおよび共有の、匿名による列挙を許可するかどうかを指定します。 Windows では、ドメイン アカウントやネットワーク共有の名前の列挙など、一定の操作が匿名ユーザーに許可されます。これは、たとえば、相互の信頼が維持されていない、信頼されるドメインのユーザーに対して管理者がアクセスを許可したい場合に便利です。SAM アカウントおよび共有の匿名による列挙を許可したくない場合は、このポリシーを有効にしてください。 既定値: 無効。 |
| SAM アカウントの匿名の列挙を許可しない | 有効 | このセキュリティ設定は、このコンピューターへの匿名接続に対して与える、追加のアクセス許可の内容を指定します。 Windows では、ドメイン アカウントやネットワーク共有の名前の列挙など、一定の操作が匿名ユーザーに許可されます。これは、たとえば、相互の信頼が維持されていない、信頼されるドメインのユーザーに対して管理者がアクセスを許可したい場合に便利です。 このセキュリティ オプションでは、匿名の接続に対して、次に示す制限を追加できます。 有効: SAM アカウントの列挙を許可しない。このオプションでは、リソースに関するセキュリティのアクセス許可について、Everyone ではなく Authenticated Users の設定が使用されます。 無効: 制限を追加しません。既定のアクセス許可に依存します。 ワークステーション側の既定値: 有効 サーバー側の既定値: 無効重要: このポリシーは、ドメイン コントローラーには影響を与えません。 |
| 匿名の SID と名前の変換を許可する | 無効 | このポリシー設定は、匿名ユーザーが他のユーザーのセキュリティ識別子 (SID) 属性を要求できるかどうかを指定します。 このポリシーが有効な場合、匿名ユーザーは別のユーザーの SID 属性を要求できます。管理者の SID を知っている匿名ユーザーは、このポリシーが有効になっているコンピューターにアクセスして、管理者の名前を取得することが可能になります。この設定は、SID から名前への変換にも、名前から SID の変換にも影響します。 このポリシー設定が無効な場合、匿名ユーザーは他のユーザーの SID 属性を要求することはできません。 ワークステーションおよびメンバー サーバーの既定値: 無効 Windows Server 2008 またはそれ以降を実行するドメイン コントローラーの既定値: 無効 Windows Server 2003 R2 またはそれ以前を実行するドメイン コントローラーの既定値: 有効 |
| 名前付きパイプと共有への匿名のアクセスを制限する | 有効 | このセキュリティ設定を有効にすると、次に示す設定に関して、共有およびパイプに対する匿名アクセスを制限します。 ネットワーク アクセス: 匿名でアクセス可能な名前付きパイプ ネットワーク アクセス: 匿名でアクセス可能な共有 既定値: 有効。 |
[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[ネットワークセキュリティ] †
| ポリシー設定 | 値 | 説明 |
| Kerberos で許可する暗号化の種類を構成する | DES_CBC_CRC:無効DES_CBC_MD5:無効RC4_HMAC_MD5:無効AES128_HMAC_SHA1:有効AES256_HMAC_SHA1:有効将来使用する暗号化の種類:有効 | このポリシー設定を使用すると、Kerberos での使用を許可する暗号化の種類を設定できます。 選択していない暗号化の種類は許可されません。この設定はクライアント コンピューターまたはサービスとアプリケーションの互換性に影響することがあります。暗号化の種類は複数選択することもできます。 このポリシーは、Windows 7 および Windows Server 2008 R2 以降でサポートされます。 |
| LAN Manager 認証レベル | NTLMv2 応答のみを送信 (LMとNTLMを拒否する) | このセキュリティ設定は、ネットワーク ログオンに使用するチャレンジ/レスポンス認証プロトコルを指定します。この設定の選択肢は、クライアントが使用する認証プロトコルのレベル、ネゴシエーションが行われるセッション セキュリティのレベル、およびサーバーが受け付ける認証のレベルに影響します。選択肢は次のとおりです。 LM と NTLM 応答を送信する: クライアントは LM 認証および NTLM 認証を使用し、NTLMv2 セッション セキュリティは使用しません。ドメイン コントローラーは、LM 認証、NTLM 認証、および NTLMv2 認証を受け付けます。 LM と NTLM を送信する - ネゴシエーションの場合、NTLMv2 セッション セキュリティを使う: クライアントは LM 認証と NTLM 認証を使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM 認証、NTLM 認証、および NTLMv2 認証を受け付けます。 NTLM 応答のみ送信する: クライアントは NTLM 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM 認証、NTLM 認証、および NTLMv2 認証を受け付けます。 NTLMv2 応答のみ送信する: クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM 認証、NTLM 認証、および NTLMv2 認証を受け付けます。 NTLMv2 応答のみ送信\ (LM を拒否する): クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM を拒否し、NTLM 認証と NTLMv2 認証のみを受け付けます。 NTLMv2 応答のみ送信 (LM と NTLM を拒否する): クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM と NTLM を拒否し、NTLMv2 認証のみを受け付けます。 重要: この設定は、ネットワークを経由して Windows NT 4.0 またはそれ以前を実行するコンピューターとネットワークを経由して通信する場合に、Windows 2000 Server、Windows 2000 Professional、Windows XP Professional、および Windows Server 2003 ファミリを実行するコンピューターの性能に悪影響を及ぼす場合があります。たとえば、現時点では Windows NT 4.0 SP4 またはそれ以前を実行するコンピューターは NTLMv2 をサポートしていません。Windows 95 または Windows 98 を実行するコンピューターは NTLM をサポートしていません。 既定値: Windows 2000 および Windows XP: LM と NTLM 応答を送信する Windows Server 2003: NTLM 応答のみ送信するWindows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2: NTLMv2 応答のみ送信する |
| LocalSystem による NULL セッション フォールバックを許可する | 無効 | NTLM を LocalSystem で使用する場合に NULL セッションへのフォールバックを許可します。既定値は、Windows Vista 以前の場合は TRUE、Windows 7 の場合は FALSE です。 |
| NTLM SSP ベース (セキュア RPC を含む) のクライアント向け最小セッション セキュリティ | NTLMv2セッションセキュリティが必要、128ビット暗号化が必要 | このセキュリティ設定では、128 ビット暗号化と NTLMv2 セッション セキュリティのどちらかまたはその両方のネゴシエーションを、クライアントが要求することができます。必要なネゴシエーションは、LAN Manager 認証レベルのセキュリティ設定値によって決まります。次のオプションがあります: NTLMv2 セッション セキュリティが必要: NTLMv2 プロトコルでネゴシエーションが行われなければ、接続が失敗します。 128 ビット暗号化が必要: 強力な暗号化 (128 ビット) によるネゴシエーションが行われない場合は、接続が失敗します。 既定値: Windows XP、Windows Vista、Windows 2000 Server、Windows Server 2003、および Windows Server 2008: 必要なし Windows 7 および Windows Server 2008 R2: 128 ビット暗号化が必要 |
| NTLM SSP ベース (セキュア RPC を含む) のサーバー向け最小セッション セキュリティ | NTLMv2セッションセキュリティが必要、128ビット暗号化が必要 | このセキュリティ設定では、128 ビット暗号化と NTLMv2 セッション セキュリティのどちらかまたはその両方のネゴシエーションを、クライアントが要求することができます。必要なネゴシエーションは、LAN Manager 認証レベルのセキュリティ設定値によって決まります。次のオプションがあります: NTLMv2 セッション セキュリティが必要: メッセージの整合性でネゴシエーションが行われない場合は、接続が失敗します。 128 ビット暗号化が必要: 強力な暗号化 (128 ビット) によるネゴシエーションが行われない場合は、接続が失敗します。 既定値: Windows XP、Windows Vista、Windows 2000 Server、Windows Server 2003、および Windows Server 2008: 必要なし Windows 7 および Windows Server 2008 R2: 128 ビット暗号化が必要 |
| NTLM で Local System によるコンピューター ID の使用を許可する | 有効 | このポリシー設定を使用すると、Negotiate を使用するローカル システム サービスが NTLM 認証にフォールバックするときにコンピューター ID を使用することを許可できます。 このポリシー設定を有効にした場合、Local System として実行され、Negotiate を使用するサービスは、コンピューター ID を使用します。その結果、Windows オペレーティング システム間で行われる一部の認証要求が失敗し、エラーが記録される可能性があります。 このポリシー設定を無効にした場合、Local System として実行され、NTLM 認証にフォールバックするときに Negotiate を使用するサービスは、匿名で認証されます。 Windows 7 以降では、このポリシーは既定で有効になっています。 Windows Vista では、このポリシーは既定で無効になっています。 このポリシーは、Windows Vista および Windows Server 2008 以降でサポートされます。 注意: Windows Vista または Windows Server 2008 では、この設定はグループ ポリシーに公開されていません。 |
| オンライン ID を使用するためのこのコンピューターへの PKU2U 認証要求を許可する | 無効 | このポリシーは、ドメインに参加しているコンピューターでは既定でオフになります。オフの場合、ドメインに参加しているコンピューターに対してオンライン ID による認証は実行されません。 注意: Windows Serverでは、KU2Uはデフォルトで無効になっています。ハイブリッドAzure ADに参加したサーバーからAzure ADに参加したWindows 10デバイス、またはハイブリッドAzure ADに参加したドメインメンバーWindows 10デバイスへのリモートデスクトップ接続が失敗します。これを解決するには、サーバーでPKU2Uを有効にします。 https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-allow-pku2u-authentication-requests-to-this-computer-to-use-online-identities |
| 必須の署名をしている LDAP クライアント | 定義する ネゴシエーション署名 | このセキュリティ設定は、LDAP BIND 要求を発行するクライアントの代わりに要求されているデータ署名のレベルを指定します。設定できるレベルは次のとおりです。 なし: LDAP BIND 要求は、呼び出し側が指定したオプションで発行されます。 ネゴシエーション署名: Transport Layer Security/Secure Sockets Layer (TLS\SSL) が開始されていない場合、LDAP BIND 要求は、呼び出し側が指定したオプションに加え、LDAP データ署名オプション セットを指定して開始されます。TLS\SSL が既に開始されている場合、LDAP BIND 要求は、呼び出し側が指定したオプションで開始されます。 署名属性の要求: [ネゴシエーション署名] と同じですが、LDAP トラフィック署名が必要であることを LDAP サーバーの中間 saslBindInProgress 応答が示していない場合、呼び出し側には LDAP BIND コマンド要求が失敗したことが通知されます。 警告: サーバーに [署名属性の要求] を設定した場合は、クライアントの設定も必要です。クライアントを設定しないと、サーバーとの接続が失われます。 注意: この設定は、ldap_simple_bind および ldap_simple_bind_s には影響ありません。Windows XP Professional に含まれている Microsoft LDAP クライアントは、ドメイン コントローラーとの通信には、ldap_simple_bind および ldap_simple_bind_s を使用しません。 既定値: ネゴシエーション署名。 |
| 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない | 有効 | このセキュリティ設定は、次回パスワードを変更するときに、変更後のパスワードに対する LAN Manager (LM) のハッシュ値を保存するかどうかを指定します。LM ハッシュは、暗号化の面でより強力な Windows NT のハッシュと比較すると、ぜい弱で攻撃に弱いという性質があります。LM ハッシュはローカル コンピューターのセキュリティ データベースに保存されるため、セキュリティ データベースが攻撃されると、パスワードが漏えいするおそれがあります。Windows Vista 以降の既定値: 有効 Windows XP の既定値: 無効 重要: Windows 2000 Service Pack 2 (SP2) 以降では、認証方法について、Microsoft Windows NT 4.0 など、旧バージョンの Windows との互換性が確保されています。 この設定は、Windows 95 または Windows 98 を実行するコンピューターと通信する場合、Windows 2000 Server、Windows 2000 Professional、Windows XP、および Windows Server 2003 ファミリを実行するコンピューターの性能に悪影響を及ぼす場合があります。 |
[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[ユーザーアカウント制御] †
| ポリシー設定 | 値 | 説明 |
| UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする | 無効 | このポリシー設定は、標準ユーザーによって使用される、セキュリティで保護されたデスクトップによる昇格時のプロンプトを、ユーザー インターフェイス アクセシビリティ (UIAccess または UIA) プログラムが自動的に無効にできるかどうかを決定します。 有効: Windows リモート アシスタンスなどの UIA プログラムにより、セキュリティで保護されたデスクトップでの昇格時のプロンプト表示が自動的に無効にされます。[ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にしていない場合、セキュリティで保護されたデスクトップではなく、対話ユーザーのデスクトップにプロンプトが表示されます。 無効: (既定値) セキュリティで保護されたデスクトップは、対話型デスクトップのユーザーによって、または [ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にすることによってのみ無効にできます。 |
| アプリケーションのインストールを検出し、昇格をプロンプトする | 有効 | このポリシー設定は、コンピューターへのアプリケーションのインストールを検出したときの動作を決定します。次のオプションがあります。 有効: (既定値) インストールするために特権の昇格を必要とするアプリケーションのインストール パッケージを検出した場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。 無効: アプリケーションのインストール パッケージを検出せず、昇格を求めるプロンプトも表示しません。標準ユーザー デスクトップを実行し、Group Policy Software Install や Systems Management Server (SMS) のような委任されたインストール技術を使用する企業では、このポリシー設定を無効にしてください。そのような場合には、インストーラーの検出は必要ありません。 |
| ビルトイン Administrator アカウントのための管理者承認モードを使用する | 有効 | このポリシー設定は、ビルトイン Administrator アカウントのための管理者承認モードの動作を決定します。次のオプションがあります。 有効: ビルトイン Administrator アカウントは管理者承認モードを使用します。既定では、特権の昇格を必要とする操作が試みられた場合はすべて、ユーザーに操作の承認を求めるメッセージを表示します。 無効: (既定値) ビルトイン Administrator アカウントはすべてのアプリケーションを完全な管理者特権で実行します。 |
| 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ | 有効 | このポリシー設定は、ユーザー インターフェイス アクセシビリティ (UIAccess) 整合性レベルでの実行を必要とするアプリケーションが、ファイル システム内の安全な場所に存在する必要があるかどうかを決定します。安全な場所は、次のディレクトリに限定されます。 - …\Program Files\、サブディレクトリを含む - …\Windows\system32\ - …\Program Files (x86)\、64 ビット バージョンの Windows のサブディレクトリを含む 注意: Windows は、このセキュリティ設定の状態にかかわらず、UIAccess 整合性レベルでの実行を必要とする対話型アプリケーションすべてにおいて、公開キー基盤 (PKI) 署名チェックを強制します。 次のオプションがあります。有効: (既定値) アプリケーションは、ファイル システム内の安全な場所に存在する場合のみ、UIAccess 整合性レベルで実行されます。 無効: アプリケーションは、ファイル システム内の安全な場所に存在していなくても、UIAccess 整合性レベルで実行されます。 |
| 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する | 有効 | このポリシー設定は、アプリケーションによる書き込みエラーが、定義されたレジストリおよびファイル システムの場所にリダイレクトされるかどうかを決定します。このポリシー設定は、管理者として実行される、実行時アプリケーション データを %ProgramFiles%、%Windir%、%Windir%\system32、または HKLM\Software に書き込むアプリケーションの問題を緩和します。次のオプションがあります。 有効: (既定値) ファイル システムとレジストリについて、アプリケーションの実行時の書き込みエラーを定義済みのユーザーの場所へリダイレクトします。 無効: 保護された場所にデータを書き込むアプリケーションは失敗します。 |
| 管理者承認モードですべての管理者を実行する | 有効 | このポリシー設定は、コンピューターのユーザー アカウント制御 (UAC) ポリシー設定の動作を決定します。このポリシー設定を変更した場合は、コンピューターを再起動する必要があります。次のオプションがあります。 有効: (既定値) 管理者承認モードが有効になっています。ビルトイン Administrator アカウントと、Administrators グループに属するその他のすべてのユーザーを管理者承認モードで実行できるようにするには、このポリシーが有効になっていること、関連する UAC ポリシー設定が適切に設定されていることが必要です。 無効: 管理者承認モードと、関連する UAC ポリシーの設定すべてが無効になっています。 注意: このポリシー設定が無効な場合、オペレーティング システムの全体的なセキュリティが低下したことが、セキュリティ センターから通知されます。 |
| 管理者承認モードでの管理者に対する昇格時のプロンプトの動作 | 有効セキュリティで保護されたデスクトップで同意を要求する | このポリシー設定は、管理者承認モードでの管理者に対する昇格時のプロンプトの動作を決定します。次のオプションがあります。 確認を要求しないで昇格する: 特権のあるアカウントに対して、特権の昇格を必要とする操作を、同意または資格情報を要求せずに実行することを許可します。 注意: このオプションは、最も制約の厳しい環境でのみ使用するようにしてください。 セキュリティで保護されたデスクトップで資格情報を要求する: 特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、特権のあるユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、そのユーザーが利用できる最高の特権で操作を続行します。 セキュリティで保護されたデスクトップで同意を要求する: 特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。 資格情報を要求する: 特権の昇格を必要とする操作が試みられた場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。 同意を要求する: 特権の昇格を必要とする操作が試みられた場合、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。 Windows 以外のバイナリに対する同意を要求する: (既定値) Windows 以外のアプリケーションで特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。 |
| 標準ユーザーに対する昇格時のプロンプトの動作 | 昇格の要求を自動的に拒否する | このポリシー設定は、標準ユーザーに対する昇格時のプロンプトの動作を決定します。次のオプションがあります。 資格情報を要求する: (既定値) 特権の昇格を必要とする操作が試みられた場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。 昇格の要求を自動的に拒否する: 特権の昇格を必要とする操作が試みられた場合、構成可能なアクセス拒否エラー メッセージを表示します。デスクトップを標準ユーザーとして実行している企業は、ヘルプ デスクへの電話の数を削減するために、このオプションを選択した方がよい場合があります。 セキュリティで保護されたデスクトップで資格情報を要求する: 特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、別のユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、そのユーザーに適用される特権で操作を続行します。 |
[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[監査] †
| ポリシー設定 | 値 | 説明 |
| 監査ポリシーサブカテゴリ設定(Windows Vista以降)を強制して、監査ポリシー カテゴリ設定を上書する | 有効 | Windows Vista 以降の Windows バージョンでは、監査ポリシーのサブカテゴリを使用して、より厳密に監査ポリシーを管理できます。カテゴリ レベルで監査ポリシーを設定すると、この新しいサブカテゴリ監査ポリシー機能が上書きされます。グループ ポリシーではカテゴリ レベルにおいてのみ監査ポリシーを設定できるため、新しいコンピューターがドメインに参加したときや Windows Vista 以降のバージョンにアップグレードしたときには、それらのコンピューターのサブカテゴリ設定よりも既存のグループ ポリシーが優先される可能性があります。グループ ポリシーを変更することなく、サブカテゴリを使用して監査ポリシーを管理できるようにするには、Windows Vista 以降のバージョンでは、新しいレジストリ値 SCENoApplyLegacyAuditPolicy を使用します。これにより、グループ ポリシーおよびローカル セキュリティ ポリシー管理ツールによってカテゴリ レベルの監査ポリシーが適用されるのを防ぐことができます。ここで設定されたカテゴリ レベルの監査ポリシーが、現在生成されているイベントと矛盾する場合、原因としてこのレジストリ キーが設定されていることが考えられます。 既定値: 有効 |
[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[対話型ログオン] †
| ポリシー設定 | 値 | 説明 |
| キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合) | 10 | 一意なユーザーのログオン情報をそれぞれローカルにキャッシュし、その後のログオン試行中にドメイン コントローラーが使用できない場合でもログオンできるようにします。キャッシュされるログオン情報は過去のログオン セッションから保存されます。ドメイン コントローラーが使用できない場合、ユーザーのログオン情報がキャッシュされていないと、ユーザーに次のようなメッセージが表示されます。現在、ログオン要求を処理できるログオン サーバーはありません。 このポリシーに 0 を設定すると、ログオン情報はキャッシュされません。50 より大きな値を設定しても、キャッシュされるログオン試行情報は 50 回までです。Windows では、最大 50 のキャッシュ エントリをサポートし、各ユーザーによって使用されるエントリの数は、資格情報によって異なります。たとえば、Windows システムではユーザーごとに最大 50 の一意のパスワードをキャッシュできますが、スマート カードのユーザー アカウントの場合は、パスワード情報とスマート カード情報の両方が保存されるため、25 のスマート カード ユーザー アカウントしかキャッシュできません。キャッシュされたログオン情報を持つユーザーがもう一度ログオンすると、ユーザーの個々のキャッシュ情報が置き換えられます。 既定値: Windows Server 2008: 25 他のすべてのバージョン: 10 |
| コンピューターの非アクティブ状態の上限 | 900 | Windows ではログオン セッションの非アクティブ状態が通知され、非アクティブ状態の時間が非アクティブ状態の上限を超えると、スクリーン セーバーが作動し、セッションがロックされます。 既定値: 適用しない。 |
| スマート カード取り出し時の動作 | ワークステーションをロックする | このセキュリティ設定を使用して、ログオンしているユーザーのスマート カードがスマート カード リーダーから取り外されたときの動作を決定します。次のオプションがあります。 何もしない ワークステーションをロックする ログオフを強制する リモート デスクトップ サービスのセッションである場合に切断する このポリシーの [プロパティ] ダイアログ ボックスで [ワークステーションをロックする] をクリックすると、スマート カードが取り外されたときにワークステーションがロックされます。これによりユーザーは、その場を離れるときにスマート カードを取り外して持ち歩くことで、保護されたセッションを維持できます。このポリシーの [プロパティ] ダイアログ ボックスで [ログオフを強制する] をクリックすると、スマート カードが取り外されたときにユーザーが自動的にログオフされます。[リモート デスクトップ サービスのセッションである場合に切断する] をクリックすると、スマート カードが取り外されたときに、ユーザーをログオフせずにセッションが切断されます。これにより、ユーザーは後で、または別のスマート カード リーダーが装備されたコンピューターで、再びログオンする必要なくスマート カードを挿入してセッションを再開することができます。セッションがローカルの場合、このポリシーは [ワークステーションをロックする] と同様に機能します。 注意: リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。 既定値: このポリシーは定義されておらず、[何もしない] が設定されているものとして扱われます。 Windows Vista 以降: この設定が動作するには、スマート カードの取り出しポリシー サービスが開始されている必要があります。 |
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。 その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。