・レベル1セキュリティ構成(Windows 10)
・Windows Server 2016 Domain Controller
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション] †
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[Microsoftネットワーククライアント] †
| ポリシー設定 | 値 | 説明 |
| 常に通信にデジタル署名を行う | 有効 | このセキュリティ設定を使用して、SMBクライアントコンポーネントがパケット署名を必要とするかどうかを決定します。 |
| サードパーティ SMB サーバーへの接続に、暗号化されていないパスワードを送信する | 無効 | このセキュリティ設定を有効にすると、サーバーメッセージブロック(SMB)リダイレクタは、認証中のパスワード暗号化をサポートしていない、Microsoft以外のSMBサーバーにテキスト形式のパスワードを送信することができます。暗号化されていないパスワードを送信するのはセキュリティ上の危険があります。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[Microsoftネットワークサーバー] †
| ポリシー設定 | 値 | 説明 |
| 常に通信にデジタル署名を行う | 有効 | このセキュリティ設定を使用して、SMBサーバーコンポーネントがパケット署名を必要とするかどうかを決定します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[アカウント] †
| ポリシー設定 | 値 | 説明 |
| ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する | 有効 | このセキュリティ設定は、物理的なコンピューターコンソール以外の場所からログオンするときに、パスワードで保護されていないローカルアカウントを使用できるかどうかを決定します。この設定が有効な場合、パスワードで保護されていないローカルアカウントへのログインするには、そのコンピューターのキーボードを使用する必要があります。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[システムオブジェクト] †
| ポリシー設定 | 値 | 説明 |
| 内部システムオブジェクトの既定のアクセス許可を強化する(例:シンボリックリンク) | 有効 | このセキュリティ設定は、オブジェクトの既定の随意アクセス制御リスト(DACL)の強度を決定します。Active Directoryは、DOSデバイス名、ミューテックス、セマフォなどの共有システムリソースのグローバルリストを保持します。このようにして、オブジェクトを見つけてプロセス間で共有できます。各タイプのオブジェクトは、オブジェクトにアクセスできるユーザーと許可されるアクセス許可を指定するデフォルトのDACLを使用して作成されます。このポリシーを有効にすると、既定のDACLが強化され、管理者ではないユーザーは共有オブジェクトを読み取ることができますが、これらのユーザーは作成していない共有オブジェクトを変更できなくなります。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[ドメインメンバー] †
| ポリシー設定 | 値 | 説明 |
| コンピュータ アカウント パスワード:定期的な変更を無効にする | 無効 | ドメインメンバーがそのコンピューターアカウントのパスワードを定期的に変更するかどうかを決定します。 |
| 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する | 有効 | このセキュリティ設定は、ドメインメンバーが開始するすべてのセキュリティで保護されたチャネルトラフィックの暗号化をネゴシエートするかどうかを決定します。有効にすると、ドメインメンバーはすべての安全なチャネルトラフィックの暗号化を要求します。ドメインコントローラーがすべてのセキュリティで保護されたチャネルトラフィックの暗号化をサポートしている場合、すべてのセキュリティで保護されたチャネルトラフィックが暗号化されます。それ以外の場合、安全なチャネルを介して送信されるログオン情報のみが暗号化されます。この設定が無効になっている場合、ドメインメンバーはセキュアチャネル暗号化のネゴシエーションを試行しません。 |
| 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する | 有効 | このセキュリティ設定は、ドメインメンバーが開始するすべてのセキュリティで保護されたチャネルトラフィックの署名をネゴシエートしようとするかどうかを決定します。有効にすると、ドメインメンバーはすべてのセキュアチャネルトラフィックの署名を要求します。ドメインコントローラーがすべてのセキュリティで保護されたチャネルトラフィックの署名をサポートしている場合、すべてのセキュリティで保護されたチャネルトラフィックが署名されるため、送信中に改ざんされることはありません。 |
| 最大コンピュータ アカウントのパスワードの有効期間 | 30 | ドメインメンバーがコンピューターアカウントのパスワードを変更しようとする頻度を決定します。 |
| ドメインメンバー:強力な(Windows 2000かそれ以降のバージョン)セッションキーを必要とする | 有効 | 暗号化されたセキュアチャネルデータに128ビットキー強度が必要かどうかを決定します。 |
| 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する | 有効 | このセキュリティ設定は、ドメインメンバーによって開始されたすべてのセキュリティで保護されたチャネルトラフィックを署名または暗号化する必要があるかどうかを決定します。この設定は、ドメインメンバーによって開始されたすべてのセキュアチャネルトラフィックが最小セキュリティ要件を満たしているかどうかを決定します。具体的には、ドメインメンバーによって開始されたすべてのセキュリティで保護されたチャネルトラフィックを署名または暗号化する必要があるかどうかを決定します。このポリシーが有効になっている場合、すべてのセキュアチャネルトラフィックの署名または暗号化がネゴシエートされない限り、セキュアチャネルは確立されません。このポリシーを無効にすると、すべてのセキュリティで保護されたチャネルトラフィックの暗号化と署名がドメインコントローラーとネゴシエートされます。この場合、署名と暗号化のレベルはドメインコントローラーのバージョンと次の2つのポリシーの設定によって異なります。-ドメインメンバー:セキュリティで保護されたチャネルデータをデジタルで暗号化する(可能な場合)-ドメインメンバー:セキュリティで保護されたチャネルデータにデジタルで署名する(可能な場合) |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[ネットワークアクセス] †
| ポリシー設定 | 値 | 説明 |
| SAM アカウントおよび共有の匿名の列挙を許可しない | 有効 | このセキュリティ設定は、SAMアカウントと共有の匿名列挙が許可されるかどうかを決定します。Windowsでは、匿名ユーザーがドメインアカウントやネットワーク共有の名前を列挙するなど、特定のアクティビティを実行できます。これは、たとえば、管理者が相互信頼を維持していない信頼できるドメインのユーザーにアクセスを許可する場合に便利です。SAMアカウントと共有の匿名列挙を許可しない場合は、このポリシーを有効にします。 |
| SAM アカウントの匿名の列挙を許可しない | 有効 | このセキュリティ設定は、コンピューターへの匿名接続に付与される追加のアクセス許可を決定します。Windowsでは、匿名ユーザーがドメインアカウントやネットワーク共有の名前を列挙するなど、特定のアクティビティを実行できます。これは、たとえば、管理者が相互信頼を維持していない信頼できるドメインのユーザーにアクセスを許可する場合に便利です。このセキュリティオプションを使用すると、次のように匿名接続に追加の制限を設定できます。有効:SAMアカウントの列挙を許可しません。このオプションは、リソースのセキュリティ権限でEveryoneをAuthenticated Usersに置き換えます。 |
| SAMへのリモート呼び出しを許可されたクライアントを制限する | [セキュリティの編集]をクリックし、Domain\Administrators のアクセス許可で[リモートアクセス] の [許可] がチェックされていることを確認する
[OK] をクリックすると自動的にセキュリティ記述子が追加される [O:BAG:BAD:(A;;RC;;;BA)] | このポリシー設定を使用すると、SAMへのリモートRPC接続を制限できます。選択しない場合、デフォルトのセキュリティ記述子が使用されます。 |
| 匿名の SID と名前の変換を許可する | 無効 | このセキュリティ設定は、匿名ユーザーが別のユーザーのセキュリティ識別子(SID)属性を要求できるかどうかを決定します。このポリシーが有効になっている場合、管理者のSIDを知っているユーザーは、このポリシーが有効になっているコンピューターにアクセスし、SIDを使用して管理者の名前を取得できます。 |
| 名前付きパイプと共有への匿名のアクセスを制限する | 有効 | 有効にすると、このセキュリティ設定により、共有およびパイプへの匿名アクセスが次の設定に制限されます。-ネットワークアクセス:匿名でアクセスできる名前付きパイプ-ネットワークアクセス:匿名でアクセスできる共有 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[ネットワークセキュリティ] †
| ポリシー設定 | 値 | 説明 |
| LAN Manager 認証レベル | NTLMv2 応答のみを送信 (LMとNTLMを拒否する) | このセキュリティ設定は、ネットワークログオンに使用されるチャレンジ/レスポンス認証プロトコルを決定します。この選択は、クライアントが使用する認証プロトコルのレベル、ネゴシエートされるセッションセキュリティのレベル、およびサーバーが受け入れる認証のレベルに次のように影響します。NTLMv2応答のみを送信\ LMとNTLMを拒否:クライアントはNTLMv2認証のみを使用し、NTLMv2セッションセキュリティを使用サーバーがサポートしている場合;?ドメインコントローラーはLMおよびNTLMを拒否します(NTLMv2認証のみを受け入れます)。 |
| LocalSystem による NULL セッション フォールバックを許可する | 無効 | LocalSystemで使用する場合、NTLMがNULLセッションにフォールバックできるようにします |
| 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない | 有効 | このセキュリティ設定は、次回のパスワード変更時に、新しいパスワードのLAN Manager(LM)ハッシュ値が保存されるかどうかを決定します。LMハッシュは、暗号的に強力なWindows NTハッシュと比較して、比較的弱く、攻撃を受けやすいです。LMハッシュはセキュリティデータベースのローカルコンピューターに保存されるため、セキュリティデータベースが攻撃されるとパスワードが危険にさらされる可能性があります。 |
| NTLM SSP ベース (セキュア RPC を含む) のクライアント向け最小セッション セキュリティ | NTLMv2セッションセキュリティが必要、128ビット暗号化が必要 | このセキュリティ設定により、クライアントは128ビット暗号化やNTLMv2セッションセキュリティのネゴシエーションを要求できます。これらの値は、LAN Manager認証レベルのセキュリティ設定値に依存しています。 |
| NTLM SSP ベース (セキュア RPC を含む) のサーバー向け最小セッション セキュリティ | NTLMv2セッションセキュリティが必要、128ビット暗号化が必要 | このセキュリティ設定により、サーバーは128ビット暗号化やNTLMv2セッションセキュリティのネゴシエーションを要求できます。これらの値は、LAN Manager認証レベルのセキュリティ設定値に依存しています。 |
| 必須の署名をしている LDAP クライアント | ネゴシエーション署名 | このセキュリティ設定は、LDAP BIND要求を発行するクライアントに代わって要求されるデータ署名のレベルを次のように決定します。署名のネゴシエート:トランスポート層セキュリティ/ Secure Sockets Layer(TLS \ SSL)が開始されていない場合、LDAP BIND要求は呼び出し元が指定したオプションに加えて、LDAPデータ署名オプションを設定して開始されます。TLS \ SSLが開始されている場合、LDAP BIND要求は呼び出し元によって指定されたオプションで開始されます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[ユーザーアカウント制御] †
| ポリシー設定 | 値 | 説明 |
| アプリケーションのインストールを検出し、昇格をプロンプトする | 有効 | 特権の昇格を必要とするアプリケーションインストールパッケージが検出されると、ユーザーは管理ユーザー名とパスワードの入力を求められます。ユーザーが有効な資格情報を入力すると、該当する特権で操作が続行されます。 |
| ビルトイン Administrator アカウントのための管理者承認モード | 有効 | ビルトインAdministratorアカウントは管理者承認モードを使用します-特権の昇格を必要とする操作はすべて、ユーザーにその操作を承認するように促します。 |
| 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ | 有効 | このポリシー設定は、ユーザーインターフェイスアクセシビリティ(UIAccess)整合性レベルでの実行を要求するアプリケーションがファイルシステムの安全な場所に存在する必要があるかどうかを制御します。安全な場所は次のものに制限されます。
-…\Program Files\、サブフォルダーを含む
-…\Windows\system32\
-…\ Program Files(x86)\、64ビットバージョンのWindowsのサブフォルダーを含む |
| 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する | 有効 | このポリシー設定は、アプリケーションの書き込みエラーを定義済みのレジストリおよびファイルシステムの場所にリダイレクトするかどうかを制御します。このポリシー設定は、管理者として実行され、ランタイムアプリケーションデータを%ProgramFiles%、%Windir%、%Windir%\ system32、またはHKLM\Softwareに書き込むアプリケーションの問題を緩和します。 |
| 管理者承認モードですべての管理者を実行する | 有効 | このポリシーを有効にし、関連するUACポリシー設定も適切に設定して、ビルトインAdministratorアカウントおよびAdministratorsグループのメンバーである他のすべてのユーザーが管理者承認モードで実行できるようにする必要があります。 |
| 管理者承認モードでの管理者に対する昇格時のプロンプトの動作 | セキュリティで保護されたデスクトップで同意を要求する | 操作に特権の昇格が必要な場合、ユーザーはセキュリティで保護されたデスクトップで特権ユーザー名とパスワードを入力するよう求められます。ユーザーが有効な資格情報を入力すると、ユーザーの利用可能な最高の特権で操作が続行されます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[監査] †
| ポリシー設定 | 値 | 説明 |
| 監査ポリシーサブカテゴリ設定(Windows Vista以降)を強制して、監査ポリシー カテゴリ設定を上書する | 有効 | Windows Vista以降のバージョンのWindowsでは、監査ポリシーのサブカテゴリを使用して、より正確な方法で監査ポリシーを管理できます。カテゴリレベルで監査ポリシーを設定すると、新しいサブカテゴリ監査ポリシー機能が上書きされます。グループポリシーでは、監査ポリシーをカテゴリレベルでのみ設定できます。また、既存のグループポリシーは、ドメインへの参加またはアップグレード時に新しいマシンのサブカテゴリ設定をオーバーライドできます。グループポリシーを変更せずにサブカテゴリを使用して監査ポリシーを管理できるようにするため、Windows Vista以降のバージョンには新しいレジストリ値SCENoApplyLegacyAuditPolicyがあり、グループポリシーおよびローカルセキュリティからのカテゴリレベルの監査ポリシーの適用を防止します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[対話型ログオン] †
| ポリシー設定 | 値 | 説明 |
| コンピューターの非アクティブ状態の上限 | 900 | セッションがロックされるまでの非アクティブの秒数 |
| スマート カード取り出し時の動作 | ワークステーションをロックする | このセキュリティ設定は、ログオンしているユーザーのスマートカードがスマートカードリーダーから削除されたときに何が起こるかを決定します。クリックするとワークステーションのロックでプロパティをこのポリシーのスマートカードが取り外されたときに、ワークステーションは、ユーザーが、地域を離れ、彼らと彼らのスマートカードを取り、まだ保護されたセッションを維持することができ、ロックされています。この設定をWindows Vista以降で機能させるには、スマートカード削除ポリシーサービスを開始する必要があります。 |
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。 その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。
