- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2020-02-02T16:23:23+09:00","","")
[[IPAセキュリティPT評価版]]
#freeze
#author("2020-11-08T11:17:54+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]&br;
[[詳細設定対策に必要な措置]]&br;
[[・レベル1セキュリティ構成(Windows 10)]]
*Windows Server 2016 Domain Controller のセキュリティ構成 [#mb6e0b39]
このセキュリティ構成は、米国防総省の Security Technical Implementation Guides をベースとし、悪意あるプログラムの初期侵入や実行を防止するために策定されたものです。
**設定による影響 [#fb8c5f44]
-脆弱性のある危険なプロトコル (SMBv1) を禁止している関係で、古い互換性のないNASに接続できない可能性があります。
-リモート接続や共有へのアクセスの厳格化や防御設定によって、一部、アプリケーションが動作しないなどの影響が考えられます。事前に、テスト用の OU を作成し、設定を検証してください。
-Office 2019 やAcrobat、Chrome、Edgeなどの動作には影響があったとの報告は受けていません。
**設定によって影響が出た場合 [#t6f18f53]
-影響が発生した端末、サーバー、ドメインコントローラーの、それぞれのOSのバージョン、ビルド番号、ドメインの機能レベル、現象の詳細をご一報ください。
**前提となるハードウェア構成 † [#m80cb0a0]
-トラステッドプラットフォームモジュール(TPM)2.0
-Bitlockerドライブ暗号化
-UEFIセキュアブート
-Windows Updateを通じて配布されるドライバーとファームウェア
*[Default Domain Controllers Policy]>[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]> [#o29a6805]
**RSS フィード [#j8bf8170]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|添付ファイルのダウンロードを禁止する|有効|このポリシー設定は、添付ファイルをフィードからユーザーのコンピューターにダウンロードできないようにします。&br;このポリシー設定を有効にすると、フィードのプロパティ ページで、フィード同期エンジンが添付ファイルをダウンロードするように設定できません。開発者は、フィードの API を使用してダウンロード設定を変更できません。&br;このポリシー設定を無効にするか、構成しない場合、フィードのプロパティ ページで、フィード同期エンジンが添付ファイルをダウンロードするように設定できます。開発者は、フィードの API を使用してダウンロード設定を変更できます。|
**適用するポリシー [#p8cbca0e]
''[[・DC アカウントポリシー]]''~
''[[・DC ローカルポリシー ユーザー権利の割り当て]]''~
''[[・DC ローカルポリシー セキュリティ オプション]]''~
''[[・DC 監査ポリシーの詳細な構成]]''~
''[[・DC 管理用テンプレート]]''~
**アプリケーションの互換性 [#b5261d48]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|インベントリ コレクタをオフにする|有効|このポリシー設定では、インベントリ コレクターの状態を制御します。&br;インベントリ コレクターは、システム上のアプリケーション、ファイル、デバイス、およびドライバーのインベントリを作成し、その情報を Microsoft に送信します。 この情報は、互換性の問題の診断に役立てられます。&br;このポリシー設定を有効にした場合、インベントリ コレクターは無効になり、Microsoft にデータが送信されなくなります。プログラム互換性アシスタントによるインストール データの収集も無効になります。&br;このポリシー設定を無効にした場合、または構成しなかった場合は、インベントリ コレクターは有効になります。&br;注: カスタマー エクスペリエンス向上プログラムが無効になっている場合、このポリシー設定による効果はありません。インベントリ コレクターは無効になります。|
**[データ収集とプレビュービルド] [#feae921f]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|利用統計情報の許可|有効&br;[オプション] を [0-セキュリティ[Enterpise のみ] に設定する。 ]|このポリシー設定では、マイクロソフトに送信される Windows 診断データの最大レベルを決定します。この設定を構成した場合、ユーザーは製品利用統計情報の設定を変更できますが、組織に対して設定されたレベルよりも上のレベルに変更することはできません。&br;Windows 10 診断データの設定は、Windows オペレーティング システムと Windows の付属アプリだけに適用されます。Windows 10 で実行されるサードパーティのアプリには適用されません。&br;この設定を有効にすると、どのレベルの診断データをマイクロソフトに送信するかを決定できます。次のレベルがあります。&br;- 0 (セキュリティ)。Windows の安全性を維持するために必要な最小限の量のデータだけをマイクロソフトに送信します。悪意のあるソフトウェアの削除ツール (MSRT) や Windows Defender などの Windows セキュリティ コンポーネントにより (有効であれば)、このレベルでマイクロソフトにデータが送信されることもあります。値 0 の設定は、Enterprise、Education、IoT、Windows Server のいずれかのエディションを実行しているデバイスだけに適用されます。その他のエディションで値 0 を設定した場合は、値 1 を設定した場合と同じ結果になります。&br;- 1 (基本)。値が 0 の場合と同じデータに加えて、ごく限られた量の診断データ (基本的なデバイス情報、品質に関連するデータ、アプリの互換性情報など) が送信されます。値を 0 または 1 に設定すると、デバイスで特定のエクスペリエンスが低下することにご注意ください。&br;- 2 (拡張)。値が 1 の場合と同じデータに加えて、Windows、Windows Server、System Center、アプリの使用状況、パフォーマンス、詳細な信頼性データなどの追加データが送信されます。&br;- 3 (完全)。値が 2 の場合と同じデータに加えて、デバイスの診断と問題解決に使用される詳細な診断データが送信されます。これには、デバイスでの問題の原因となった可能性があるファイルやコンテンツが含まれます。&br;このポリシー設定を無効にした場合または構成しなかった場合、製品利用統計情報の設定は [設定] で個別に構成することができます。|
**[資格情報のユーザーインターフェース] [#adf19ef2]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|昇格時に管理者アカウントを列挙する|無効|このポリシー設定により、ユーザーが実行中のアプリケーションの昇格を試みたときに、管理者アカウントが表示されるかどうかを制御します。既定では、ユーザーが実行中のアプリケーションの昇格を試みたときに、管理者アカウントは表示されません。&br;このポリシー設定を有効にした場合、PC 上のローカル管理者アカウントがすべて表示され、ユーザーがその 1 つを選択して、正しいパスワードを入力できます。&br;このポリシー設定を無効にした場合、ユーザーは、昇格時にユーザー名とパスワードを常に入力するよう要求されます。|
**自動再生のポリシー [#v9083a1a]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|自動再生機能をオフにする|有効&br;[[自動再生機能をオフにする] を [すべてのドライブ] に設定する|自動再生とは、ドライブにメディアを挿入すると同時にドライブからの読み込みを開始する機能です。この機能によって、プログラムのセットアップ ファイルやオーディオ メディアの音楽などがすぐに開始されます。&br;Windows XP SP2 より前は、自動再生は、フロッピー ディスク ドライブなどのリムーバブル ドライブ (CD-ROM ドライブは除く) およびネットワーク ドライブ上では既定で無効になっています。&br;Windows XP SP2 以降では、自動再生は Zip ドライブや一部の USB 大容量記憶装置デバイスなどのリムーバブル ドライブでも有効になっています。&br;このポリシー設定を有効にした場合、CD-ROM およびリムーバブル メディア ドライブの自動再生を無効にするか、すべてのドライブの自動再生を無効にすることができます。&br;このポリシー設定によって、これ以外の種類のドライブでの自動再生を無効にすることができます。この設定を使用して、既定で無効になっているドライブ上の自動再生を有効にすることはできません。&br;このポリシー設定を無効にした場合、または構成しなかった場合、自動再生が有効になります。&br;注: このポリシー設定は [コンピューターの構成] フォルダーおよび [ユーザーの構成] フォルダーにあります。ポリシー設定が競合する場合、[コンピューターの構成] にあるポリシー設定が [ユーザーの構成] にあるポリシー設定より優先されます。|
|自動実行の規程音動作を設定する|[有効]&br;[既定の自動実行の動作] を [自動実行コマンドを実行しない] に設定する|通常、自動実行コマンドは autorun.inf ファイルに保存されています。多くの場合、インストール プログラムや他のルーチンを起動します。&br;Windows Vista 以前の場合、自動実行コマンドを含むメディアを挿入すると、ユーザーによる手動操作がなくてもプログラムが自動的に実行されます。&br;この場合、ユーザーが知らずにコードが実行される可能性があるため、重大なセキュリティ上の問題が発生することがあります。Windows Vista 以降の既定の動作では、自動実行コマンドを実行するかどうかをユーザーに確認するメッセージが表示されます。自動実行コマンドは、[自動再生] ダイアログ ボックスでハンドラーとして表示されます。&br;このポリシー設定を有効にした場合、管理者は Windows Vista 以降の自動実行の既定の動作を次のように変更することができます。&br;a) 自動実行コマンドを完全に無効にする。または&br;b) 自動実行コマンドを Windows Vista 以前の自動実行の動作に戻す。&br;このポリシー設定を無効にした場合、または構成しなかった場合、Windows Vista 以降では、自動実行コマンドを実行するかどうかをユーザーに確認するメッセージが表示されます。|
**Windows ログオンのオプション [#f8ca7498]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|再起動後に自動的に前回の対話ユーザーでサインインしてロックする|無効|このポリシー設定では、システムの再起動後、またはシャットダウンとコールド ブートの後に、デバイスに自動的に前回の対話ユーザーでサインインしてロックするかどうかを制御します。&br;これは、前回の対話ユーザーが再起動またはシャットダウンの前にサインアウトしなかった場合にのみ発生します。&br;デバイスが Active Directory または Azure Active Directory に参加している場合、このポリシーは Windows Update による再起動のみに適用されます。それ以外の場合は、Windows Update による再起動と、ユーザーによって開始された再起動およびシャットダウンの両方に適用されます。&br;このポリシー設定を構成しなかった場合は、既定で有効になります。このポリシーを有効にすると、デバイスの起動後、ユーザーは自動的にサインインし、そのユーザー用に構成されたすべてのロック画面アプリを使用してセッションが自動的にロックされます。&br;このポリシーを有効にした後、ConfigAutomaticRestartSignOn ポリシーを使用して設定を構成できます。それにより、再起動またはコールド ブート後に前回の対話ユーザーで自動的にサインインしてロックするモードを構成します。&br;このポリシー設定を無効にすると、デバイスでは自動サインインが構成されません。システムの再起動後、ユーザーのロック画面アプリは再起動されません。|
**配信の最適化 [#o89fa1a9]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|ダウンロードモード|有効&br;オプション [ダウンロード モード] で インターネット(3) 以外が選択されている |Windows 更新プログラム、アプリ、アプリ更新プログラムのダウンロード時に配信の最適化に使用できるダウンロード方法を指定します。&br;サポートされている値は次のとおりです。&br;0 = HTTP のみ、ピアリングなし。&br;1 = HTTP と同じ NAT でのピアリングの組み合わせ。&br;2 = HTTP とプライベート グループでのピアリングの組み合わせ。既定では、ピアリングは同じ Active Directory サイト (存在する場合) または同じドメインにあるデバイスで発生します。このオプションを選択した場合、ピアリングは複数の NAT にまたがって実行されます。カスタム グループを作成するには、グループ ID とモード 2 を組み合わせて使用します。&br;3 = HTTP とインターネット ピアリングの組み合わせ。&br;99 = ピアリングなしの簡易ダウンロード モード。配信の最適化によるダウンロードは HTTP のみを使用して行われ、配信の最適化クラウド サービスへのアクセスは行われません。&br;100 = バイパス モード。配信の最適化は使用されず、代わりに BITS が使用されます。|
*[Default Domain Controllers Policy]>[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[システム] [#e4b02e79]
**プロセス作成の監査 [#x6570787]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|プロセス作成イベントにコマンドラインを含める|有効|このポリシー設定では、新しいプロセスの作成時にセキュリティ監査イベントのログに記録する情報を決定します。&br;この設定は、プロセス作成の監査ポリシーが有効な場合にのみ適用されます。このポリシー設定を有効にした場合、このポリシー設定が適用されているワークステーションやサーバーでは、各プロセスのコマンド ライン情報が、プロセス作成の監査イベント 4688 "新しいプロセスの作成" の一部としてテキスト形式でセキュリティ イベント ログに記録されます。&br;このポリシー設定を無効にした場合、または構成しなかった場合、プロセスのコマンド ライン情報はプロセス作成の監査イベントに含まれません。&br;既定: 未構成&br;注: このポリシー設定を有効にした場合、セキュリティ イベントの読み取りアクセス権を持つユーザーは、正常に作成されたプロセスのコマンド ライン引数を読み取ることができます。コマンド ライン引数には、パスワードやユーザーデータなどの機密性の高い情報や個人情報を含めることができます。|
**資格情報の委任 [#b0b1184a]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|リモート ホストでエクスポート不可の資格情報の委任を許可する|有効|資格情報の委任を使用する場合、エクスポート可能なバージョンの資格情報がデバイスからリモート ホストに提供されます。これにより、ユーザーの資格情報はリモート ホスト上の攻撃者によって盗み取られる危険にさらされます。&br;このポリシー設定を有効にした場合、ホストは制限付き管理モードまたは Remote Credential Guard モードをサポートします。&br;このポリシー設定を無効にするか、構成しなかった場合、制限付き管理モードと Remote Credential Guard モードはサポートされません。ユーザーは常に資格情報をホストに渡す必要があります。|
**電源の管理 [#qe4e8808]
***スリープの設定 [#o64c65d4]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|コンピュータのスリープ状態の解除時にパスワードを要求する(電源接続時)|有効|このポリシー設定では、システムのスリープ状態を解除するときに、ユーザーにパスワードを要求するかどうかを指定します。&br;このポリシー設定を有効にした場合、または構成しなかった場合、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されます。&br;このポリシー設定を無効にすると、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されません。|
|コンピュータのスリープ状態の解除時にパスワードを要求する(バッテリ使用時)|有効|このポリシー設定では、システムのスリープ状態を解除するときに、ユーザーにパスワードを要求するかどうかを指定します。&br;このポリシー設定を有効にした場合、または構成しなかった場合、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されます。&br;このポリシー設定を無効にすると、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されません。|