・L1 コントロール のバックアップ(No.3)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・L1 コントロール へ行く。
Level 1 Enterprise Basic Security configuration?
[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[LAPS] †
ポリシー設定 | ポリシー値 | 説明 |
Enable local admin password management | 有効 | ローカル管理者アカウントのパスワード管理を有効にします。この設定を有効にすると、ローカル管理者パスワードが管理されます。この設定を無効にした場合、または構成しなかった場合、ローカル管理者のパスワードは管理されません。 |
Windows Defender ATP EDR | すべてのデバイスに展開 | Windows Defender ATP エンドポイント検出および応答(EDR)は、高度な攻撃の実用的でほぼリアルタイムの検出を提供します。EDR はセキュリティアナリストを支援し、同じ攻撃手法でアラートを集約するか、同じ攻撃者に起因するアラートをインシデントと呼ばれるエンティティに集約します。インシデントは、アナリストがアラートに優先順位を付け、違反の範囲全体をまとめて調査し、脅威に対応するのに役立ちます。Windows Defender ATP EDR は、ユーザーやアプリケーションに影響を与えることは想定されておらず、1つの手順ですべてのデバイスに展開できます。 |
Windows Defender Credential Guard | 互換性のあるすべてのハードウェアで有効化 | Windows Defender Credential Guard は、仮想化ベースのセキュリティを使用してシークレットを分離し、特権システムソフトウェアのみがシークレットにアクセスできるようにします。これらの秘密への不正アクセスは、Pass-the-Hash や Pass-The-Ticket などの資格情報の盗難攻撃につながる可能性があります。Windows Defender Credential Guard は、NTLM パスワードハッシュ、Kerberos チケット許可チケット(TGT)、およびドメイン資格情報としてアプリケーションによって保存された資格情報を保護することにより、これらの攻撃を防ぎます。アプリケーションが NTLMv1、Kerberos DES 暗号化、Kerberos の制約のない委任、または Keberos TGT の抽出を必要とするとアプリケーションが破損するため、アプリケーションの互換性にわずかなリスクがあります。そのため、マイクロソフトでは、リングの方法論を使用して Credential Guard を展開することをお勧めします。 |
Microsoft Edge | デフォルトブラウザ | Windows 10 の Microsoft Edgeは、Internet Explorer 11(IE11)よりも優れたセキュリティを提供します。一部のサイトとの互換性のために IE11 を活用する必要がある場合もありますが、Microsoft Edge をデフォルトのブラウザーとして構成し、それを必要とするサイトのみに IE11 にリダイレクトするエンタープライズモードサイトリストを作成することをお勧めします。マイクロソフトは、Windows Analytics またはEnterprise Site Discovery のいずれかを活用して初期のエンタープライズモードサイトリストを作成し、その後リング方式を使用してこの構成を徐々に展開することをお勧めします。 |
Windows Defender Application Guard | 互換性のあるハードウェアで有効化 | Windows Defender Application Guard は、ハードウェア分離アプローチを使用します。従業員が Microsoft Edge または Internet Explorer のいずれかを介して信頼できないサイトにアクセスすると、Microsoft Edge は、ホストオペレーティングシステムとは別の Hyper-V によって有効化された隔離されたコンテナーでサイトを開きます。信頼されていないサイトが悪意のあるサイトであることが判明した場合、隔離されたコンテナがホスト PC を保護し、攻撃者は企業データにアクセスできません。一部のアプリケーションはホスト PC との対話を必要とする場合がありますが、Application Guard の信頼できるWebサイトのリストにはまだ含まれていない可能性があるため、アプリケーションの互換性にはわずかなリスクがあります。マイクロソフトでは、Windows Analytics または Enterprise Site Discovery を活用して初期ネットワーク分離設定を構築し、リング方法論を使用してこの構成を徐々に展開することをお勧めします。 |
ネットワーク保護 | ネットワーク保護の構成と実施 | ネットワーク保護は、従業員がアプリケーションを使用して、フィッシング詐欺、エクスプロイト、およびインターネット上のその他の悪意のあるコンテンツをホストする可能性のある危険なドメインにアクセスするのを防ぐのに役立ちます。これは、Windows Defender SmartScreen の範囲を拡張して、低レピュテーションソース(ドメインまたはホスト名に基づく)への接続を試みるすべてのアウトバウンド HTTP トラフィックをブロックします。フラグ付きサイトでの誤検知の結果として、アプリケーションの互換性にリスクがあります。Microsoftは、Audit / Enforce Methodologyを使用して展開することをお勧めします。 |