・DC ローカルポリシー セキュリティ オプション のバックアップ(No.1)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・DC ローカルポリシー セキュリティ オプション へ行く。
- 1 (2020-02-12 (水) 14:13:59)
- 2 (2020-02-12 (水) 14:53:15)
- 3 (2020-02-12 (水) 17:37:20)
- 4 (2020-02-20 (木) 18:01:15)
- 5 (2020-02-25 (火) 09:31:32)
・Windows Server 2016 Domain Controller
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション] †
Microsoftネットワーククライアント †
ポリシー設定 | ポリシー値 | 説明 |
サードパーティ SMB サーバーへの接続に、暗号化されていないパスワードを送信する | 無効 | このセキュリティ設定を有効にすると、サーバー メッセージ ブロック (SMB) リダイレクターは、認証中のパスワード暗号化をサポートしていない、Microsoft 以外の SMB サーバーにテキスト形式のパスワードを送信することができます。 暗号化されていないパスワードの送信はセキュリティ上の危険があります。 既定値: 無効 |
サーバーが同意すれば、通信にデジタル署名を行う | 有効 | このセキュリティ設定を使用して、SMB クライアントが SMB パケット署名のネゴシエートを試みるかどうかを決定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB クライアント コンポーネントが SMB サーバーに接続する際に、SMB パケット署名のネゴシエートを試みるかどうかが決定されます。 この設定を有効にすると、Microsoft ネットワーク クライアントは、セッション セットアップの際、サーバーに対して SMB パケット署名の実行を要求します。サーバー上でパケット署名が有効にされている場合は、パケット署名がネゴシエートされます。このポリシーを無効にすると、SMB クライアントは SMB パケット署名をネゴシエートしません。 既定値: 有効。 注意 すべての Windows オペレーティング システムにおいて、クライアント サイドの SMB コンポーネントおよびサーバー サイドの SMB コンポーネントの両方がサポートされています。Windows 2000 以降では、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効化または要求は、次の 4 つのポリシー設定によって制御されます。 Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 クライアント側とサーバー側の SMB 署名の両方が有効で、クライアントがサーバーへの SMB 1.0 接続を確立している場合、SMB 署名が試行されます。 SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。この設定は、SMB 1.0 接続に対してのみ適用されます。 詳細については、http://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。 |
常に通信にデジタル署名を行う | 有効化 | このセキュリティ設定を使用して、SMB クライアント コンポーネントがパケット署名を必要とするかどうかを決定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB サーバーとの以降の通信を許可するために SMB パケット署名をネゴシエートする必要があるかどうかが決定されます。 この設定を有効にすると、Microsoft ネットワーク クライアントは、SMB パケット署名を実行することに同意しない Microsoft ネットワーク サーバーとは通信しません。このポリシーを無効にすると、クライアントとサーバーとの間で SMB パケット署名がネゴシエートされます。 既定値: 無効。 重要 Windows 2000 を実行しているコンピューター上でこのポリシーを有効にするには、クライアント側のパケット署名も有効にされている必要があります。クライアント側 SMB パケット署名を有効にするには、"Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う" を設定します。 注意 すべての Windows オペレーティング システムにおいて、クライアント サイドの SMB コンポーネントおよびサーバー サイドの SMB コンポーネントの両方がサポートされています。Windows 2000 以降のオペレーティング システムでは、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効化または要求は、次の 4 つのポリシー設定によって制御されます。 Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。 詳細については、http://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。 |
Microsoftネットワークサーバー †
クライアントが同意すれば、通信にデジタル署名を行う | 有効 | このセキュリティ設定では、SMB サーバーが SMB パケット署名を要求するクライアントとの間で、SMB パケット署名のネゴシエートを行うかどうかを指定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB クライアントが SMB パケット署名を要求する場合に、SMB サーバーが SMB パケット署名のネゴシエートを行うかどうかを指定します。 この設定が有効な場合、Microsoft ネットワーク サーバーは、クライアントの要求があった場合に SMB パケット署名のネゴシエートを行います。つまり、クライアント側でパケット署名が有効になっている場合、パケット署名のネゴシエートが行われます。このポリシーが無効な場合、SMB クライアントは SMB パケット署名のネゴシエートを行いません。 既定値: ドメイン コントローラー側のみ有効 重要 Windows 2000 サーバーが Windows NT 4.0 クライアントとの間で署名のネゴシエートを行うには、Windows 2000 を実行するサーバー側で次のレジストリ値を 1 に設定する必要があります。HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature 注意 すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートしています。Windows 2000 以降では、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効化または要求は、次の 4 つのポリシー設定によって制御されます。 Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 クライアント側とサーバー側の SMB 署名の両方が有効で、クライアントがサーバーへの SMB 1.0 接続を確立している場合、SMB 署名が試行されます。 SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。この設定は、SMB 1.0 接続に対してのみ適用されます。 詳細については、http://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。 |
常に通信にデジタル署名を行う | 有効化 | このセキュリティ設定を使用して、SMB サーバー コンポーネントがパケット署名を必要とするかどうかを決定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを改ざんする man-in-the-middle アタックを防止するため、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定により、SMB クライアントとの以降の通信を許可するために SMB パケット署名をネゴシエートする必要があるかどうかが決定されます。 この設定を有効にすると、Microsoft ネットワーク サーバーは、SMB パケット署名を実行することに同意しない Microsoft ネットワーク クライアントとは通信しません。この設定を無効にすると、クライアントとサーバーとの間で SMB パケット署名がネゴシエートされます。 既定値: メンバー サーバーでは無効。 ドメイン コントローラーでは有効。 注意 すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートしています。Windows 2000 以降では、クライアント側およびサーバー側の SMB コンポーネントでのパケット署名の有効化または要求は、次の 4 つのポリシー設定によって制御されます。 Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う - クライアント側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う - クライアント側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う - サーバー側 SMB コンポーネントがパケット署名を要求するかどうかを制御します。 Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う - サーバー側 SMB コンポーネントでパケット署名を有効にするかどうかを制御します。 同様に、クライアント側 SMB 署名が要求される場合、クライアントは、パケット署名が有効にされていないサーバーとはセッションを確立できません。既定では、サーバー側 SMB 署名は、ドメイン コントローラー上でのみ有効にされています。 サーバー側 SMB 署名が有効にされている場合、クライアント側 SMB 署名が有効にされているクライアントとの間で SMB パケット署名がネゴシエートされます。 SMB パケット署名を行うと、言語バージョン、OS バージョン、ファイル サイズ、プロセッサのオフロード機能、およびアプリケーションの IO 動作によって SMB のパフォーマンスが著しく低下する場合があります。 重要 Windows 2000 を実行しているコンピューター上でこのポリシーを有効にするには、サーバー側のパケット署名も有効にされている必要があります。サーバー側 SMB パケット署名を有効にするには、次のポリシーを設定します。 Microsoft ネットワーク サーバー: サーバーが同意すれば、通信にデジタル署名を行う Windows 2000 サーバーが Windows NT 4.0 クライアントとの間で署名をネゴシエートするには、Windows 2000 サーバーで次のレジストリ値を 1 に設定する必要があります。 HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature 詳細については、http://go.microsoft.com/fwlink/?LinkID=787136 を参照してください。 |
アカウント †
ポリシー設定 | ポリシー値 | 説明 |
ローカル アカウントの空のパスワードの使用をコンソールログオンのみに制限する | 有効化 | このセキュリティ設定は、パスワードで保護されていないローカルアカウントを使用して、物理コンピューターコンソール以外の場所からログオンできるかどうかを決定します。有効にすると、パスワードで保護されていないローカルアカウントは、コンピューターのキーボードでのみログオンできます。 |
システムオブジェクト †
ポリシー設定 | ポリシー値 | 説明 |
内部システムオブジェクトの既定のアクセス許可を強化する(例:シンボリックリンク) | 有効化 | システム オブジェクト: 内部のシステム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク) このセキュリティ設定は、オブジェクトに対する既定の随意アクセス制御リスト (DACL) を強化するかどうかを指定します。 Active Directory は共有システム リソース (例: DOS デバイス名、ミューテックス、セマフォ) のグローバル リストを管理しています。このようにして、プロセスの間オブジェクトの特定と共有が可能となっています。各オブジェクト タイプは、オブジェクトにアクセス可能なユーザーと付与されるアクセス許可を指定する、既定の DACL に基づいて作成されます。 このポリシーが有効な場合、既定の DACL はより強力で、管理者以外のユーザーは共有オブジェクトを読み取ることができますが、自身が作成者ではない共有オブジェクトは修正できません。 既定値: 有効。 |
ドメインメンバー †
ポリシー設定 | ポリシー値 | 説明 |
コンピュータ アカウント パスワード:定期的な変更を無効にする | 無効 | ドメインメンバーがそのコンピューターアカウントのパスワードを定期的に変更するかどうかを決定します。 |
ドメインメンバー:強力な(Windows 2000かそれ以降のバージョン)セッションキーを必要とする | 有効化 | 暗号化されたセキュアチャネルデータに128ビットキー強度が必要かどうかを決定します |
可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する | 有効化 | このセキュリティ設定は、ドメインメンバーが開始するすべてのセキュリティで保護されたチャネルトラフィックの暗号化をネゴシエートするかどうかを決定します。有効にすると、ドメインメンバーはすべての安全なチャネルトラフィックの暗号化を要求します。ドメインコントローラーがすべてのセキュリティで保護されたチャネルトラフィックの暗号化をサポートしている場合、すべてのセキュリティで保護されたチャネルトラフィックが暗号化されます。それ以外の場合、安全なチャネルを介して送信されるログオン情報のみが暗号化されます。この設定が無効になっている場合、ドメインメンバーはセキュアチャネル暗号化のネゴシエーションを試行しません。 |
可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する | 有効化 | このセキュリティ設定は、ドメインメンバーが開始するすべてのセキュリティで保護されたチャネルトラフィックの署名をネゴシエートしようとするかどうかを決定します。有効にすると、ドメインメンバーはすべてのセキュアチャネルトラフィックの署名を要求します。ドメインコントローラーがすべてのセキュリティで保護されたチャネルトラフィックの署名をサポートしている場合、すべてのセキュリティで保護されたチャネルトラフィックが署名されるため、送信中に改ざんされることはありません。 |
最大コンピュータ アカウントのパスワードの有効期間 | 30 | ドメインメンバーがコンピューターアカウントのパスワードを変更しようとする頻度を決定します |
常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する | 有効化 | このセキュリティ設定は、ドメインメンバーによって開始されたすべてのセキュリティで保護されたチャネルトラフィックを署名または暗号化する必要があるかどうかを決定します。この設定は、ドメインメンバーによって開始されたすべてのセキュアチャネルトラフィックが最小セキュリティ要件を満たしているかどうかを決定します。具体的には、ドメインメンバーによって開始されたすべてのセキュリティで保護されたチャネルトラフィックを署名または暗号化する必要があるかどうかを決定します。このポリシーが有効になっている場合、すべてのセキュアチャネルトラフィックの署名または暗号化がネゴシエートされない限り、セキュアチャネルは確立されません。このポリシーを無効にすると、すべてのセキュリティで保護されたチャネルトラフィックの暗号化と署名がドメインコントローラーとネゴシエートされます。この場合、署名と暗号化のレベルはドメインコントローラーのバージョンと次の2つのポリシーの設定によって異なります。-ドメインメンバー:セキュリティで保護されたチャネルデータをデジタルで暗号化する(可能な場合)-ドメインメンバー:セキュリティで保護されたチャネルデータにデジタルで署名する(可能な場合) |
ネットワークアクセス †
ポリシー設定 | ポリシー値 | 説明 |
Everyone のアクセス許可を匿名ユーザーに適用する | 無効 | このセキュリティ設定は、このコンピューターへの匿名接続に対して与える、追加のアクセス許可の内容を指定します。 Windows では、ドメイン アカウントやネットワーク共有の名前の列挙など、一定の操作が匿名ユーザーに許可されます。これは、たとえば、相互の信頼が維持されていない、信頼されるドメインのユーザーに対して管理者がアクセスを許可したい場合に便利です。既定では、匿名接続に対して作成されたトークンから、Everyone セキュリティ識別子 (SID) が削除されます。そのため、Everyone グループに与えられたアクセス許可は、匿名ユーザーには適用されません。このオプションが設定されている場合、匿名ユーザーは、明示的にアクセス許可が与えられているリソースのみアクセスできます。 このポリシーを有効にすると、匿名接続に対して作成されたトークンに Everyone の SID が追加されます。この場合、Everyone グループにアクセス許可が与えられているリソースであれば、匿名ユーザーはアクセスできます。 既定値: 無効。 |
SAM アカウントおよび共有の匿名の列挙を許可しない | 有効化 | このセキュリティ設定は、SAM アカウントおよび共有の、匿名による列挙を許可するかどうかを指定します。 Windows では、ドメイン アカウントやネットワーク共有の名前の列挙など、一定の操作が匿名ユーザーに許可されます。これは、たとえば、相互の信頼が維持されていない、信頼されるドメインのユーザーに対して管理者がアクセスを許可したい場合に便利です。SAM アカウントおよび共有の匿名による列挙を許可したくない場合は、このポリシーを有効にしてください。 既定値: 無効。 |
SAM アカウントの匿名の列挙を許可しない | 有効化このセキュリティ設定は、このコンピューターへの匿名接続に対して与える、追加のアクセス許可の内容を指定します。 Windows では、ドメイン アカウントやネットワーク共有の名前の列挙など、一定の操作が匿名ユーザーに許可されます。これは、たとえば、相互の信頼が維持されていない、信頼されるドメインのユーザーに対して管理者がアクセスを許可したい場合に便利です。 このセキュリティ オプションでは、匿名の接続に対して、次に示す制限を追加できます。 有効: SAM アカウントの列挙を許可しない。このオプションでは、リソースに関するセキュリティのアクセス許可について、Everyone ではなく Authenticated Users の設定が使用されます。 無効: 制限を追加しません。既定のアクセス許可に依存します。 ワークステーション側の既定値: 有効 サーバー側の既定値: 無効 重要 このポリシーは、ドメイン コントローラーには影響を与えません。 |
SAM へのリモート呼び出しを許可されたクライアントを制限する | Domain\Administrators にリモートアクセスを許可 O:BAG:BAD:(A;;RC;;;BA) | このポリシー設定を使用すると、SAMへのリモートRPC接続を制限できます。選択しない場合、デフォルトのセキュリティ記述子が使用されます。 |
匿名の SID と名前の変換を許可する | 無効 | このポリシー設定は、匿名ユーザーが他のユーザーのセキュリティ識別子 (SID) 属性を要求できるかどうかを指定します。 このポリシーが有効な場合、匿名ユーザーは別のユーザーの SID 属性を要求できます。管理者の SID を知っている匿名ユーザーは、このポリシーが有効になっているコンピューターにアクセスして、管理者の名前を取得することが可能になります。この設定は、SID から名前への変換にも、名前から SID の変換にも影響します。 このポリシー設定が無効な場合、匿名ユーザーは他のユーザーの SID 属性を要求することはできません。 ワークステーションおよびメンバー サーバーの既定値: 無効 Windows Server 2008 またはそれ以降を実行するドメイン コントローラーの既定値: 無効 Windows Server 2003 R2 またはそれ以前を実行するドメイン コントローラーの既定値: 有効 |
名前付きパイプと共有への匿名のアクセスを制限する | 有効化このセキュリティ設定を有効にすると、次に示す設定に関して、共有およびパイプに対する匿名アクセスを制限します。 ネットワーク アクセス: 匿名でアクセス可能な名前付きパイプ ネットワーク アクセス: 匿名でアクセス可能な共有 既定値: 有効。 |
ネットワークセキュリティ †
ポリシー設定 | ポリシー値 | 説明 |
LAN Manager 認証レベル | NTLMv2 応答のみを送信 (LMとNTLMを拒否する) | このセキュリティ設定は、ネットワーク ログオンに使用するチャレンジ/レスポンス認証プロトコルを指定します。この設定の選択肢は、クライアントが使用する認証プロトコルのレベル、ネゴシエーションが行われるセッション セキュリティのレベル、およびサーバーが受け付ける認証のレベルに影響します。選択肢は次のとおりです。 LM と NTLM 応答を送信する: クライアントは LM 認証および NTLM 認証を使用し、NTLMv2 セッション セキュリティは使用しません。ドメイン コントローラーは、LM 認証、NTLM 認証、および NTLMv2 認証を受け付けます。 LM と NTLM を送信する - ネゴシエーションの場合、NTLMv2 セッション セキュリティを使う: クライアントは LM 認証と NTLM 認証を使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM 認証、NTLM 認証、および NTLMv2 認証を受け付けます。 NTLM 応答のみ送信する: クライアントは NTLM 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM 認証、NTLM 認証、および NTLMv2 認証を受け付けます。 NTLMv2 応答のみ送信する: クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM 認証、NTLM 認証、および NTLMv2 認証を受け付けます。 NTLMv2 応答のみ送信\ (LM を拒否する): クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM を拒否し、NTLM 認証と NTLMv2 認証のみを受け付けます。 NTLMv2 応答のみ送信 (LM と NTLM を拒否する): クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは、LM と NTLM を拒否し、NTLMv2 認証のみを受け付けます。 重要 この設定は、ネットワークを経由して Windows NT 4.0 またはそれ以前を実行するコンピューターとネットワークを経由して通信する場合に、Windows 2000 Server、Windows 2000 Professional、Windows XP Professional、および Windows Server 2003 ファミリを実行するコンピューターの性能に悪影響を及ぼす場合があります。たとえば、現時点では Windows NT 4.0 SP4 またはそれ以前を実行するコンピューターは NTLMv2 をサポートしていません。Windows 95 または Windows 98 を実行するコンピューターは NTLM をサポートしていません。 既定値: Windows 2000 および Windows XP: LM と NTLM 応答を送信する Windows Server 2003: NTLM 応答のみ送信する Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2: NTLMv2 応答のみ送信する |
Kerberos で許可する暗号化の種類を構成する | DES_CBC_CRC:無効 DES_CBC_MD5:無効 RC4_HMAC_MD5:無効 AES128_HMAC_SHA1:有効 AES256_HMAC_SHA1:有効 将来使用する暗号化の種類:有効 | このポリシー設定を使用すると、Kerberos での使用を許可する暗号化の種類を設定できます。 選択していない暗号化の種類は許可されません。この設定はクライアント コンピューターまたはサービスとアプリケーションの互換性に影響することがあります。暗号化の種類は複数選択することもできます。 このポリシーは、Windows 7 および Windows Server 2008 R2 以降でサポートされます。 |
LocalSystem による NULL セッション フォールバックを許可する | 無効 | NTLM を LocalSystem で使用する場合に NULL セッションへのフォールバックを許可します。 既定値は、Windows Vista 以前の場合は TRUE、Windows 7 の場合は FALSE です。 |
NTLM SSP ベース (セキュア RPC を含む) のクライアント向け最小セッション セキュリティ | NTLMv2セッションセキュリティが必要、128ビット暗号化が必要 | ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のクライアント向け最小セッション セキュリティ このセキュリティ設定では、128 ビット暗号化と NTLMv2 セッション セキュリティのどちらかまたはその両方のネゴシエーションを、クライアントが要求することができます。必要なネゴシエーションは、LAN Manager 認証レベルのセキュリティ設定値によって決まります。次のオプションがあります: NTLMv2 セッション セキュリティが必要: NTLMv2 プロトコルでネゴシエーションが行われなければ、接続が失敗します。 128 ビット暗号化が必要: 強力な暗号化 (128 ビット) によるネゴシエーションが行われない場合は、接続が失敗します。 既定値: Windows XP、Windows Vista、Windows 2000 Server、Windows Server 2003、および Windows Server 2008: 必要なし Windows 7 および Windows Server 2008 R2: 128 ビット暗号化が必要 |
NTLM SSP ベース (セキュア RPC を含む) のサーバー向け最小セッション セキュリティ | NTLMv2セッションセキュリティが必要、128ビット暗号化が必要 | このセキュリティ設定では、128 ビット暗号化と NTLMv2 セッション セキュリティのどちらかまたはその両方のネゴシエーションを、クライアントが要求することができます。必要なネゴシエーションは、LAN Manager 認証レベルのセキュリティ設定値によって決まります。次のオプションがあります: NTLMv2 セッション セキュリティが必要: メッセージの整合性でネゴシエーションが行われない場合は、接続が失敗します。 128 ビット暗号化が必要: 強力な暗号化 (128 ビット) によるネゴシエーションが行われない場合は、接続が失敗します。 既定値: Windows XP、Windows Vista、Windows 2000 Server、Windows Server 2003、および Windows Server 2008: 必要なし Windows 7 および Windows Server 2008 R2: 128 ビット暗号化が必要 |
NTLM で Local System によるコンピューター ID の使用を許可する | 有効 | このポリシー設定を使用すると、Negotiate を使用するローカル システム サービスが NTLM 認証にフォールバックするときにコンピューター ID を使用することを許可できます。 このポリシー設定を有効にした場合、Local System として実行され、Negotiate を使用するサービスは、コンピューター ID を使用します。その結果、Windows オペレーティング システム間で行われる一部の認証要求が失敗し、エラーが記録される可能性があります。 このポリシー設定を無効にした場合、Local System として実行され、NTLM 認証にフォールバックするときに Negotiate を使用するサービスは、匿名で認証されます。 Windows 7 以降では、このポリシーは既定で有効になっています。 Windows Vista では、このポリシーは既定で無効になっています。 このポリシーは、Windows Vista および Windows Server 2008 以降でサポートされます。 注意: Windows Vista または Windows Server 2008 では、この設定はグループ ポリシーに公開されていません。 |
オンライン ID を使用するためのこのコンピューターへの PKU2U 認証要求を許可する | 無効 | このポリシーは、ドメインに参加しているコンピューターでは既定でオフになります。オフの場合、ドメインに参加しているコンピューターに対してオンライン ID による認証は実行されません。 |
このセキュリティ設定は、LDAP BIND 要求を発行するクライアントの代わりに要求されているデータ署名のレベルを指定します。設定できるレベルは次のとおりです。 なし: LDAP BIND 要求は、呼び出し側が指定したオプションで発行されます。 ネゴシエーション署名: Transport Layer Security/Secure Sockets Layer (TLS\SSL) が開始されていない場合、LDAP BIND 要求は、呼び出し側が指定したオプションに加え、LDAP データ署名オプション セットを指定して開始されます。TLS\SSL が既に開始されている場合、LDAP BIND 要求は、呼び出し側が指定したオプションで開始されます。 署名属性の要求: [ネゴシエーション署名] と同じですが、LDAP トラフィック署名が必要であることを LDAP サーバーの中間 saslBindInProgress 応答が示していない場合、呼び出し側には LDAP BIND コマンド要求が失敗したことが通知されます。 警告 サーバーに [署名属性の要求] を設定した場合は、クライアントの設定も必要です。クライアントを設定しないと、サーバーとの接続が失われます。 注意: この設定は、ldap_simple_bind および ldap_simple_bind_s には影響ありません。Windows XP Professional に含まれている Microsoft LDAP クライアントは、ドメイン コントローラーとの通信には、ldap_simple_bind および ldap_simple_bind_s を使用しません。 既定値: ネゴシエーション署名。 |
次回のパスワード変更時に LAN Manager のハッシュ値を保存しない | 有効化 | このセキュリティ設定は、次回パスワードを変更するときに、変更後のパスワードに対する LAN Manager (LM) のハッシュ値を保存するかどうかを指定します。LM ハッシュは、暗号化の面でより強力な Windows NT のハッシュと比較すると、ぜい弱で攻撃に弱いという性質があります。LM ハッシュはローカル コンピューターのセキュリティ データベースに保存されるため、セキュリティ データベースが攻撃されると、パスワードが漏えいするおそれがあります。 Windows Vista 以降の既定値: 有効 Windows XP の既定値: 無効 重要 Windows 2000 Service Pack 2 (SP2) 以降では、認証方法について、Microsoft Windows NT 4.0 など、旧バージョンの Windows との互換性が確保されています。 この設定は、Windows 95 または Windows 98 を実行するコンピューターと通信する場合、Windows 2000 Server、Windows 2000 Professional、Windows XP、および Windows Server 2003 ファミリを実行するコンピューターの性能に悪影響を及ぼす場合があります。 |
ユーザーアカウント制御 †
ポリシー設定 | ポリシー値 | 説明 |
アプリケーションのインストールを検出し、昇格をプロンプトする | 有効 | このポリシー設定は、コンピューターへのアプリケーションのインストールを検出したときの動作を決定します。 次のオプションがあります。 有効: (既定値) インストールするために特権の昇格を必要とするアプリケーションのインストール パッケージを検出した場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。 無効: アプリケーションのインストール パッケージを検出せず、昇格を求めるプロンプトも表示しません。標準ユーザー デスクトップを実行し、Group Policy Software Install や Systems Management Server (SMS) のような委任されたインストール技術を使用する企業では、このポリシー設定を無効にしてください。そのような場合には、インストーラーの検出は必要ありません。 |
ビルトイン Administrator アカウントのための管理者承認モードを使用する | 有効化 | ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モードを使用する このポリシー設定は、ビルトイン Administrator アカウントのための管理者承認モードの動作を決定します。 次のオプションがあります。 有効: ビルトイン Administrator アカウントは管理者承認モードを使用します。既定では、特権の昇格を必要とする操作が試みられた場合はすべて、ユーザーに操作の承認を求めるメッセージを表示します。 無効: (既定値) ビルトイン Administrator アカウントはすべてのアプリケーションを完全な管理者特権で実行します。 |
安全な場所にインストールされている UIAccess アプリケーションの昇格のみ | 有効化 | このポリシー設定は、標準ユーザーによって使用される、セキュリティで保護されたデスクトップによる昇格時のプロンプトを、ユーザー インターフェイス アクセシビリティ (UIAccess または UIA) プログラムが自動的に無効にできるかどうかを決定します。 有効: Windows リモート アシスタンスなどの UIA プログラムにより、セキュリティで保護されたデスクトップでの昇格時のプロンプト表示が自動的に無効にされます。[ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にしていない場合、セキュリティで保護されたデスクトップではなく、対話ユーザーのデスクトップにプロンプトが表示されます。 無効: (既定値) セキュリティで保護されたデスクトップは、対話型デスクトップのユーザーによって、または [ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にすることによってのみ無効にできます。 |
-…\Program Files\、サブフォルダーを含む | ||
-…\Windows\system32\ | ||
-…\ Program Files(x86)\、64ビットバージョンのWindowsのサブフォルダーを含む | ||
各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する | 有効化 | このポリシー設定は、アプリケーションによる書き込みエラーが、定義されたレジストリおよびファイル システムの場所にリダイレクトされるかどうかを決定します。このポリシー設定は、管理者として実行される、実行時アプリケーション データを %ProgramFiles%、%Windir%、%Windir%\system32、または HKLM\Software に書き込むアプリケーションの問題を緩和します。 次のオプションがあります。 有効: (既定値) ファイル システムとレジストリについて、アプリケーションの実行時の書き込みエラーを定義済みのユーザーの場所へリダイレクトします。 無効: 保護された場所にデータを書き込むアプリケーションは失敗します。 |
管理者承認モードですべての管理者を実行する | 有効化 | このポリシー設定は、コンピューターのユーザー アカウント制御 (UAC) ポリシー設定の動作を決定します。このポリシー設定を変更した場合は、コンピューターを再起動する必要があります。 次のオプションがあります。 有効: (既定値) 管理者承認モードが有効になっています。ビルトイン Administrator アカウントと、Administrators グループに属するその他のすべてのユーザーを管理者承認モードで実行できるようにするには、このポリシーが有効になっていること、関連する UAC ポリシー設定が適切に設定されていることが必要です。 無効: 管理者承認モードと、関連する UAC ポリシーの設定すべてが無効になっています。注意: このポリシー設定が無効な場合、オペレーティング システムの全体的なセキュリティが低下したことが、セキュリティ センターから通知されます。 |
管理者承認モードでの管理者に対する昇格時のプロンプトの動作 | 有効 セキュリティで保護されたデスクトップで同意を要求する | このポリシー設定は、管理者承認モードでの管理者に対する昇格時のプロンプトの動作を決定します。 次のオプションがあります。 確認を要求しないで昇格する: 特権のあるアカウントに対して、特権の昇格を必要とする操作を、同意または資格情報を要求せずに実行することを許可します。注意: このオプションは、最も制約の厳しい環境でのみ使用するようにしてください。 セキュリティで保護されたデスクトップで資格情報を要求する: 特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、特権のあるユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、そのユーザーが利用できる最高の特権で操作を続行します。 セキュリティで保護されたデスクトップで同意を要求する: 特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。 資格情報を要求する: 特権の昇格を必要とする操作が試みられた場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。 同意を要求する: 特権の昇格を必要とする操作が試みられた場合、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。 Windows 以外のバイナリに対する同意を要求する: (既定値) Windows 以外のアプリケーションで特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。 |
標準ユーザーに対する昇格時のプロンプトの動作 | 昇格の要求を自動的に拒否する | このポリシー設定は、標準ユーザーに対する昇格時のプロンプトの動作を決定します。 次のオプションがあります。 資格情報を要求する: (既定値) 特権の昇格を必要とする操作が試みられた場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。 昇格の要求を自動的に拒否する: 特権の昇格を必要とする操作が試みられた場合、構成可能なアクセス拒否エラー メッセージを表示します。デスクトップを標準ユーザーとして実行している企業は、ヘルプ デスクへの電話の数を削減するために、このオプションを選択した方がよい場合があります。 セキュリティで保護されたデスクトップで資格情報を要求する: 特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、別のユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、そのユーザーに適用される特権で操作を続行します。 |
監査 †
ポリシー設定 | ポリシー値 | 説明 |
監査ポリシーサブカテゴリ設定(Windows Vista以降)を強制して、監査ポリシー カテゴリ設定を上書する | 有効化 | Windows Vista 以降の Windows バージョンでは、監査ポリシーのサブカテゴリを使用して、より厳密に監査ポリシーを管理できます。カテゴリ レベルで監査ポリシーを設定すると、この新しいサブカテゴリ監査ポリシー機能が上書きされます。グループ ポリシーではカテゴリ レベルにおいてのみ監査ポリシーを設定できるため、新しいコンピューターがドメインに参加したときや Windows Vista 以降のバージョンにアップグレードしたときには、それらのコンピューターのサブカテゴリ設定よりも既存のグループ ポリシーが優先される可能性があります。グループ ポリシーを変更することなく、サブカテゴリを使用して監査ポリシーを管理できるようにするには、Windows Vista 以降のバージョンでは、新しいレジストリ値 SCENoApplyLegacyAuditPolicy を使用します。これにより、グループ ポリシーおよびローカル セキュリティ ポリシー管理ツールによってカテゴリ レベルの監査ポリシーが適用されるのを防ぐことができます。 ここで設定されたカテゴリ レベルの監査ポリシーが、現在生成されているイベントと矛盾する場合、原因としてこのレジストリ キーが設定されていることが考えられます。 既定値: 有効 |
対話型ログオン †
ポリシー設定 | ポリシー値 | 説明 |
コンピューターの非アクティブ状態の上限 | 900 | Windows ではログオン セッションの非アクティブ状態が通知され、非アクティブ状態の時間が非アクティブ状態の上限を超えると、スクリーン セーバーが作動し、セッションがロックされます。 既定値: 適用しない。 |
スマート カード取り出し時の動作 | ワークステーションをロックする | このセキュリティ設定は、ログオンしているユーザーのスマートカードがスマートカードリーダーから削除されたときに何が起こるかを決定します。クリックするとワークステーションのロックでプロパティをこのポリシーのスマートカードが取り外されたときに、ワークステーションは、ユーザーが、地域を離れ、彼らと彼らのスマートカードを取り、まだ保護されたセッションを維持することができ、ロックされています。この設定をWindows Vista以降で機能させるには、スマートカード削除ポリシーサービスを開始する必要があります。 |