ローカルアカウントのネットワーク越しの操作制限、ログオン防止 のバックアップ(No.2)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ローカルアカウントのネットワーク越しの操作制限、ログオン防止 へ行く。
  • 1 (2020-02-01 (土) 13:27:54)
  • 2 (2020-02-01 (土) 13:39:00)

---

・Pass the Hash

目的 †

ローカルアカウントやGuest、Anynonymous がネットワーク越しに端末やサーバーを操作するのを防止します。グループポリシーで設定を実施します。

設定内容 †

利用可能 OS †

Windows 7 以降、Windows Serer 2008 R2 以降

AD要件 †

なし

機能 †

ローカルアカウントに対する新しい Well-Known SID の割り当てを利用しローカルアカウントへの制限を実施します。

• S-1-5-113 ローカル アカウント
• S-1-5-114 ローカル アカウントと Administrators グループのメンバー

効果 †

グループポリシーを利用することで、ローカルアカウントへの制限が容易になります。

注意事項 †

LSASS メモリ以外に保存されている資格情報は機能の対象外です。

ポリシー †

①ネットワーク経由のアクセスを拒否 †

1. [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ユーザー権利の割り当て]>[ネットワーク経由のアクセスを拒否] をクリックし、[これらのポリシーの設定を定義する] にチェックボックスを入れます。
2. [ユーザーまたはグループの追加] をクリックします。
3. [参照]をクリックします。
4. [場所]をクリックします。
5. ドメイン名ではなくローカルサーバーをクリックし、[OK] をクリックます。
6. "ローカル" と入力し、[名前の確認] をクリックします。
7. "ローカル アカウント" と "ローカル アカウントと Administrators グループのメンバー" を指定し、[OK] をクリックします。
8. "Guests” と入力し、[名前の確認] をクリックします。
9. "ANONYMOUS LOGON" と入力し、[名前の確認] をクリックします。
10. [OK] をクリックします。
11. [OK] をクリックします。

②リモート デスクトップ サービスを使ったログオンを拒否 †

1. [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ユーザー権利の割り当て]>[リモートデスクトップサービスを使ったログオン拒否] をクリックし、 [これらのポリシーの設定を定義する] にチェックボックスを入れます。
2. [ユーザーまたはグループの追加] をクリックします。
3. [参照]をクリックします。
4. [場所]をクリックします。
5. ドメイン名ではなくローカルサーバーをクリックし、[OK] をクリックます。
6. "ローカル" と入力し、[名前の確認] をクリックします。
7. "ローカル アカウント" と "ローカル アカウントと Administrators グループのメンバー" を指定し、[OK] をクリックします。
8. "Guests” と入力し、[名前の確認] をクリックします。
9. [OK] をクリックします。
10. [OK] をクリックします。

関連情報 †

セキュリティ識別子の技術概要: https://technet.microsoft.com/ja-jp/library/dn743661(v=ws.11).aspx