トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・L1 MS Security Guide

Last-modified: 2021-10-12 (火) 10:00:52
Top/・L1 MS Security Guide

・レベル1セキュリティ構成(Windows 10)
・Windows Server 2016 Domain Controller

[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[MS Security Guide]


MS Security Guide は Microsoft Security Compliance Toolkit 1 に含まれる Windows 10 Version 1909 and Windows Server Version 1909 Security Baseline\Templates に含まれています。日本語化はされていません。
Microsoft Security Compliance Toolkit 1.: https://www.microsoft.com/en-us/download/confirmation.aspx?id=55319

注意:グループポリシーのアイコンに downAllow.png 下矢印が含まれている場合は、レジストリ設定がポリシーキーに含まれません。このため、ポリシーを削除しても、レジストリ設定が残ります。設定を削除するためには、レジストリエディターで編集する必要があります。レジストリの情報はポリシー設定のリンクを参照してください。

[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[MS Security Guide]

ポリシー設定説明
Apply UAC restrictions to local accounts on network logons有効有効(推奨):UACトークンフィルターをネットワークログオンのローカルアカウントに適用します。Administratorsなどの強力なグループのメンバーシップが無効になり、作成されたアクセストークンから強力な特権が削除されます。これにより、LocalAccountTokenFilterPolicyレジストリ値が0に構成されます。これは、Windowsの既定の動作です。
Configures SMB v1 client driver
downAllow.png		有効
オプション:
Configure MrxSmb10 driver
Disable driver (recommended)		SMBv1プロトコルのクライアント側の処理を無効にするには、[有効]ラジオボタンを選択し、ドロップダウンから[ドライバーを無効にする]を選択します。警告:いかなる状況下でも「無効」なラジオボタンを選択しないでください。
Configures SMB v1 server
downAllow.png		無効この設定を無効にすると、SMBv1プロトコルのサーバー側の処理が無効になります。 (推奨)この設定を有効にすると、SMBv1プロトコルのサーバー側の処理が有効になります。 (デフォルト。)この設定の変更を有効にするには、再起動が必要です。 。
Enable Structured Exception Handling Overwrite Protection (SEHOP)
downAllow.png		有効この設定を有効にすると、SEHOPが実施されます。
NetBT NodeType configuration
downAllow.png		P-node (recommendes)NetBT NodeType設定は、NetBTが名前の登録と解決に使用する方法を決定します。
- Bノードコンピューターはブロードキャストを使用します。
- Pノードコンピューターは、ネームサーバー(WINS)へのポイントツーポイントの名前クエリのみを使用します。
- Mノードコンピューターは最初にブロードキャストし、次にネームサーバーに照会します。
- Hノードコンピューターは、最初にネームサーバーに照会し、次にブロードキャストします。LMHOSTSまたはDNSによる解決は、これらの方法に従います。
NodeType値が存在する場合、DhcpNodeType値をオーバーライドします。NodeTypeもDhcpNodeTypeも存在しない場合、コンピューターは、ネットワーク用に構成されたWINSサーバーがない場合はBノードを使用し、少なくとも1つのWINSサーバーが構成されている場合はHノードを使用します。
WDigest authentication
downAllow.png		無効WDigest認証プロトコルが有効になっている場合、プレーンテキストパスワードはLocal Security Authority Subsystem Service(LSASS)に保存され、盗難にさらされます。Windows 10では、デフォルトでWDigestは無効になっています。この設定により、これが強制されます。


Windows で SMBv1、SMBv2、および SMBv3 を検出、有効化、および無効化する方法
https://docs.microsoft.com/ja-jp/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3| Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。 その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。