トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・L1 ローカルポリシー ユーザー権利の割り当て のバックアップ(No.3)


・レベル1セキュリティ構成(Windows 10)

[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[ユーザー権利の割り当て]

ポリシー設定ポリシー値説明
資格情報マネージャーに信頼された呼び出し側としてアクセス誰もいない(空白)この設定は、バックアップ/復元中にCredential Managerによって使用されます。このアカウントはWinlogonにのみ割り当てられているため、アカウントにはこの特権を与えないでください。この特権が他のエンティティに与えられると、ユーザーが保存した資格情報が危険にさらされる可能性があります。
ネットワーク経由でコンピュータへアクセスAdministrators; Remote Desktop Usersこのユーザー権利は、ネットワークを介してコンピューターに接続できるユーザーとグループを決定します。リモートデスクトップサービスは、このユーザー権利の影響を受けません。
オペレーティングシステムの一部として機能誰もいない(空白)このユーザー権利により、プロセスは認証なしで任意のユーザーになりすますことができます。したがって、プロセスはそのユーザーと同じローカルリソースにアクセスできます。
ローカルログオンを許可Administrators; Usersどのユーザーがコンピューターにログオンできるかを決定します
ファイルとディレクトリのバックアップAdministratorsシステムをバックアップする目的で、ファイルとディレクトリ、レジストリ、およびその他の永続オブジェクトのアクセス許可をバイパスできるユーザーを決定します
ページファイルの作成Administratorsどのユーザーとグループが内部アプリケーションプログラミングインターフェイス(API)を呼び出してページファイルのサイズを作成および変更できるかを決定します
トークンオブジェクトの作成誰もいない(空白)プロセスが内部アプリケーションプログラミングインターフェイス(API)を使用してアクセストークンを作成するときに、ローカルアカウントへのアクセスに使用できるトークンを作成するために、プロセスが使用できるアカウントを決定します。
グローバルオブジェクトの作成Administrators; LOCAL SERVICE; NETWORK SERVICE; SERVICEこのセキュリティ設定は、ユーザーがすべてのセッションで使用可能なグローバルオブジェクトを作成できるかどうかを決定します。
永続的共有オブジェクトの作成誰もいない(空白)オブジェクトマネージャを使用してディレクトリオブジェクトを作成するためにプロセスが使用できるアカウントを決定します
プログラムのデバッグAdministratorsデバッガーをプロセスまたはカーネルにアタッチできるユーザーを決定します。独自のアプリケーションをデバッグしている開発者には、このユーザー権利を割り当てる必要はありません。新しいシステムコンポーネントをデバッグする開発者は、そのためにこのユーザー権利を必要とします。このユーザー権利は、重要で重要なオペレーティングシステムコンポーネントへの完全なアクセスを提供します。
コンピューターとユーザー アカウントに委任時の信頼を付与誰もいない(空白)このセキュリティ設定は、ユーザーまたはコンピューターオブジェクトに委任に対して信頼された設定を設定できるユーザーを決定します。
リモートコンピュータからの強制シャットダウンAdministratorsネットワーク上のリモートの場所からコンピューターをシャットダウンできるユーザーを決定します。このユーザー権利を悪用すると、サービス拒否が発生する可能性があります。
認証後にクライアントを偽装Administrators, SERVICE, Local Service, Network Serviceこの特権をユーザーに割り当てると、そのユーザーに代わって実行されるプログラムがクライアントになりすますことができます。この種のなりすましに対してこのユーザー権利を要求することにより、権限のないユーザーが、作成したサービスに(たとえば、リモートプロシージャコール(RPC)または名前付きパイプによって)クライアントを接続させ、そのクライアントになりすますことができなくなります。管理レベルまたはシステムレベルに対する権限のないユーザーの権限。
デバイスドライバーのロードとアンロードAdministratorsデバイスドライバーまたは他のコードをカーネルモードに動的にロードおよびアンロードできるユーザーを決定します。このユーザー権利は、プラグアンドプレイデバイスドライバーには適用されません。
メモリ内のページのロック誰もいない(空白)どのアカウントがプロセスを使用してデータを物理メモリに保持できるかを決定します。これにより、システムがディスク上の仮想メモリにデータをページングできなくなります。この特権を行使すると、使用可能なランダムアクセスメモリ(RAM)の量が減少するため、システムのパフォーマンスに大きく影響する可能性があります。
監査とセキュリティログの管理Administratorsファイル、Active Directoryオブジェクト、レジストリキーなどの個々のリソースのオブジェクトアクセス監査オプションを指定できるユーザーを決定します。
ファームウェア環境値の修正Administratorsファームウェア環境値を変更できるユーザーを決定します。ファームウェア環境変数は、非x86ベースのコンピューターの不揮発性RAMに保存される設定です。設定の効果はプロセッサによって異なります。
ボリュームの保守タスクを実行Administratorsこのセキュリティ設定は、リモートデフラグなどのボリュームでメンテナンスタスクを実行できるユーザーとグループを決定します。
単一プロセスのプロファイルAdministratorsこのセキュリティ設定は、パフォーマンス監視ツールを使用して非システムプロセスのパフォーマンスを監視できるユーザーを決定します。
ファイルとディレクトリの復元Administratorsバックアップしたファイルとディレクトリを復元するときに、ファイル、ディレクトリ、レジストリ、およびその他の永続オブジェクトのアクセス許可をバイパスできるユーザーを決定し、有効なセキュリティプリンシパルをオブジェクトの所有者として設定できるユーザーを決定します
ファイルとその他のオブジェクトの所有権の取得AdministratorsActive Directoryオブジェクト、ファイルとフォルダー、プリンター、レジストリキー、プロセス、スレッドなど、システム内のセキュリティ保護可能なオブジェクトの所有権を取得できるユーザーを決定します。