トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・Windows Server 2016 Domain Controller のバックアップ(No.4)


IPAセキュリティPT評価版?

[Default Domain Controllers Policy]>[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>

RSS フィード

ポリシー設定ポリシー値説明
添付ファイルのダウンロードを禁止する有効このポリシー設定は、添付ファイルをフィードからユーザーのコンピューターにダウンロードできないようにします。
このポリシー設定を有効にすると、フィードのプロパティ ページで、フィード同期エンジンが添付ファイルをダウンロードするように設定できません。開発者は、フィードの API を使用してダウンロード設定を変更できません。
このポリシー設定を無効にするか、構成しない場合、フィードのプロパティ ページで、フィード同期エンジンが添付ファイルをダウンロードするように設定できます。開発者は、フィードの API を使用してダウンロード設定を変更できます。

アプリケーションの互換性

ポリシー設定ポリシー値説明
インベントリ コレクタをオフにする有効このポリシー設定では、インベントリ コレクターの状態を制御します。
インベントリ コレクターは、システム上のアプリケーション、ファイル、デバイス、およびドライバーのインベントリを作成し、その情報を Microsoft に送信します。 この情報は、互換性の問題の診断に役立てられます。
このポリシー設定を有効にした場合、インベントリ コレクターは無効になり、Microsoft にデータが送信されなくなります。プログラム互換性アシスタントによるインストール データの収集も無効になります。
このポリシー設定を無効にした場合、または構成しなかった場合は、インベントリ コレクターは有効になります。
注: カスタマー エクスペリエンス向上プログラムが無効になっている場合、このポリシー設定による効果はありません。インベントリ コレクターは無効になります。

イベント ログ サービス

アプリケーション

ポリシー設定ポリシー値説明
ログファイルの最大サイズ(KB)を指定する有効
32768KB以上
このポリシー設定を有効にした場合、ログ ファイルの最大サイズを KB 単位で 1 MB (1024 KB) から 2 TB (2147483647 KB) までの範囲で構成できます。
このポリシー設定を無効にするか、未構成にした場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。この値は、ローカル管理者が [ログのプロパティ] ダイアログ ボックスを使用して変更でき、既定では 1 MB になります。

セキュリティ

ポリシー設定ポリシー値説明
ログファイルの最大サイズ(KB)を指定する有効
196608 KB以上
このポリシー設定を有効にした場合、ログ ファイルの最大サイズを KB 単位で 1 MB (1024 KB) から 2 TB (2147483647 KB) までの範囲で構成できます。
このポリシー設定を無効にするか、未構成にした場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。この値は、ローカル管理者が [ログのプロパティ] ダイアログ ボックスを使用して変更でき、既定では 1 MB になります。

システム

ポリシー設定ポリシー値説明
ログファイルの最大サイズ(KB)を指定する有効
32768KB以上
このポリシー設定を有効にした場合、ログ ファイルの最大サイズを KB 単位で 1 MB (1024 KB) から 2 TB (2147483647 KB) までの範囲で構成できます。
このポリシー設定を無効にするか、未構成にした場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。この値は、ローカル管理者が [ログのプロパティ] ダイアログ ボックスを使用して変更でき、既定では 1 MB になります。

[データ収集とプレビュービルド]

ポリシー設定ポリシー値説明
利用統計情報の許可有効
[オプション] を [0-セキュリティ[Enterpise のみ] に設定する。 ]
このポリシー設定では、マイクロソフトに送信される Windows 診断データの最大レベルを決定します。この設定を構成した場合、ユーザーは製品利用統計情報の設定を変更できますが、組織に対して設定されたレベルよりも上のレベルに変更することはできません。
Windows 10 診断データの設定は、Windows オペレーティング システムと Windows の付属アプリだけに適用されます。Windows 10 で実行されるサードパーティのアプリには適用されません。
この設定を有効にすると、どのレベルの診断データをマイクロソフトに送信するかを決定できます。次のレベルがあります。
- 0 (セキュリティ)。Windows の安全性を維持するために必要な最小限の量のデータだけをマイクロソフトに送信します。悪意のあるソフトウェアの削除ツール (MSRT) や Windows Defender などの Windows セキュリティ コンポーネントにより (有効であれば)、このレベルでマイクロソフトにデータが送信されることもあります。値 0 の設定は、Enterprise、Education、IoT、Windows Server のいずれかのエディションを実行しているデバイスだけに適用されます。その他のエディションで値 0 を設定した場合は、値 1 を設定した場合と同じ結果になります。
- 1 (基本)。値が 0 の場合と同じデータに加えて、ごく限られた量の診断データ (基本的なデバイス情報、品質に関連するデータ、アプリの互換性情報など) が送信されます。値を 0 または 1 に設定すると、デバイスで特定のエクスペリエンスが低下することにご注意ください。
- 2 (拡張)。値が 1 の場合と同じデータに加えて、Windows、Windows Server、System Center、アプリの使用状況、パフォーマンス、詳細な信頼性データなどの追加データが送信されます。
- 3 (完全)。値が 2 の場合と同じデータに加えて、デバイスの診断と問題解決に使用される詳細な診断データが送信されます。これには、デバイスでの問題の原因となった可能性があるファイルやコンテンツが含まれます。
このポリシー設定を無効にした場合または構成しなかった場合、製品利用統計情報の設定は [設定] で個別に構成することができます。

[資格情報のユーザーインターフェース]

ポリシー設定ポリシー値説明
昇格時に管理者アカウントを列挙する無効このポリシー設定により、ユーザーが実行中のアプリケーションの昇格を試みたときに、管理者アカウントが表示されるかどうかを制御します。既定では、ユーザーが実行中のアプリケーションの昇格を試みたときに、管理者アカウントは表示されません。
このポリシー設定を有効にした場合、PC 上のローカル管理者アカウントがすべて表示され、ユーザーがその 1 つを選択して、正しいパスワードを入力できます。
このポリシー設定を無効にした場合、ユーザーは、昇格時にユーザー名とパスワードを常に入力するよう要求されます。

自動再生のポリシー

ポリシー設定ポリシー値説明
自動再生機能をオフにする有効
[[自動再生機能をオフにする] を [すべてのドライブ] に設定する
自動再生とは、ドライブにメディアを挿入すると同時にドライブからの読み込みを開始する機能です。この機能によって、プログラムのセットアップ ファイルやオーディオ メディアの音楽などがすぐに開始されます。
Windows XP SP2 より前は、自動再生は、フロッピー ディスク ドライブなどのリムーバブル ドライブ (CD-ROM ドライブは除く) およびネットワーク ドライブ上では既定で無効になっています。
Windows XP SP2 以降では、自動再生は Zip ドライブや一部の USB 大容量記憶装置デバイスなどのリムーバブル ドライブでも有効になっています。
このポリシー設定を有効にした場合、CD-ROM およびリムーバブル メディア ドライブの自動再生を無効にするか、すべてのドライブの自動再生を無効にすることができます。
このポリシー設定によって、これ以外の種類のドライブでの自動再生を無効にすることができます。この設定を使用して、既定で無効になっているドライブ上の自動再生を有効にすることはできません。
このポリシー設定を無効にした場合、または構成しなかった場合、自動再生が有効になります。
注: このポリシー設定は [コンピューターの構成] フォルダーおよび [ユーザーの構成] フォルダーにあります。ポリシー設定が競合する場合、[コンピューターの構成] にあるポリシー設定が [ユーザーの構成] にあるポリシー設定より優先されます。
ボリューム以外のデバイスの自動再生を許可しない[有効]このポリシー設定では、カメラや電話などの MTP デバイスの自動再生を許可しません。
このポリシー設定を有効にした場合、カメラや電話などの MTP デバイスの自動再生が許可されません。
このポリシー設定を無効にした場合、または構成しなかった場合、ボリューム以外のデバイスに対する自動再生が有効になります。
自動実行の規程音動作を設定する[有効]
[既定の自動実行の動作] を [自動実行コマンドを実行しない] に設定する
通常、自動実行コマンドは autorun.inf ファイルに保存されています。多くの場合、インストール プログラムや他のルーチンを起動します。
Windows Vista 以前の場合、自動実行コマンドを含むメディアを挿入すると、ユーザーによる手動操作がなくてもプログラムが自動的に実行されます。
この場合、ユーザーが知らずにコードが実行される可能性があるため、重大なセキュリティ上の問題が発生することがあります。Windows Vista 以降の既定の動作では、自動実行コマンドを実行するかどうかをユーザーに確認するメッセージが表示されます。自動実行コマンドは、[自動再生] ダイアログ ボックスでハンドラーとして表示されます。
このポリシー設定を有効にした場合、管理者は Windows Vista 以降の自動実行の既定の動作を次のように変更することができます。
a) 自動実行コマンドを完全に無効にする。または
b) 自動実行コマンドを Windows Vista 以前の自動実行の動作に戻す。
このポリシー設定を無効にした場合、または構成しなかった場合、Windows Vista 以降では、自動実行コマンドを実行するかどうかをユーザーに確認するメッセージが表示されます。

Windows ログオンのオプション

ポリシー設定ポリシー値説明
再起動後に自動的に前回の対話ユーザーでサインインしてロックする無効このポリシー設定では、システムの再起動後、またはシャットダウンとコールド ブートの後に、デバイスに自動的に前回の対話ユーザーでサインインしてロックするかどうかを制御します。
これは、前回の対話ユーザーが再起動またはシャットダウンの前にサインアウトしなかった場合にのみ発生します。
デバイスが Active Directory または Azure Active Directory に参加している場合、このポリシーは Windows Update による再起動のみに適用されます。それ以外の場合は、Windows Update による再起動と、ユーザーによって開始された再起動およびシャットダウンの両方に適用されます。
このポリシー設定を構成しなかった場合は、既定で有効になります。このポリシーを有効にすると、デバイスの起動後、ユーザーは自動的にサインインし、そのユーザー用に構成されたすべてのロック画面アプリを使用してセッションが自動的にロックされます。
このポリシーを有効にした後、ConfigAutomaticRestartSignOn ポリシーを使用して設定を構成できます。それにより、再起動またはコールド ブート後に前回の対話ユーザーで自動的にサインインしてロックするモードを構成します。
このポリシー設定を無効にすると、デバイスでは自動サインインが構成されません。システムの再起動後、ユーザーのロック画面アプリは再起動されません。

配信の最適化

ポリシー設定ポリシー値説明
ダウンロードモード有効
オプション [ダウンロード モード] で インターネット(3) 以外が選択されている
Windows 更新プログラム、アプリ、アプリ更新プログラムのダウンロード時に配信の最適化に使用できるダウンロード方法を指定します。
サポートされている値は次のとおりです。
0 = HTTP のみ、ピアリングなし。
1 = HTTP と同じ NAT でのピアリングの組み合わせ。
2 = HTTP とプライベート グループでのピアリングの組み合わせ。既定では、ピアリングは同じ Active Directory サイト (存在する場合) または同じドメインにあるデバイスで発生します。このオプションを選択した場合、ピアリングは複数の NAT にまたがって実行されます。カスタム グループを作成するには、グループ ID とモード 2 を組み合わせて使用します。
3 = HTTP とインターネット ピアリングの組み合わせ。
99 = ピアリングなしの簡易ダウンロード モード。配信の最適化によるダウンロードは HTTP のみを使用して行われ、配信の最適化クラウド サービスへのアクセスは行われません。
100 = バイパス モード。配信の最適化は使用されず、代わりに BITS が使用されます。

[Default Domain Controllers Policy]>[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[システム]

Device Guard

ポリシー設定ポリシー値説明
仮想化ベースのセキュリティを有効にする有効
[オプション] で
[プラットフォームのセキュリティレベルを選択する] を [セキュアブート] もしくは [セキュアブートとDMA保護]

[コード整合性に対する仮想化ベースの保護] を [UEFI ロックで有効化]

[UEFI メモリ属性テーブルを要求する] はハードウェア要件に応じて設定

[Credential Guard の構成] を [UEFI ロックで有効化]

[セキュリティで保護された起動構成] を [有効] に設定する
仮想化ベースのセキュリティを有効にするかどうかを指定します。

■プラットフォームのセキュリティ レベルを選択する
仮想化ベースのセキュリティでは、Windows ハイパーバイザーを使用してセキュリティ サービスをサポートします。仮想化ベースのセキュリティはセキュア ブートを必要とし、DMA 保護を使用して有効にすることもできます。DMA 保護はハードウェア サポートを必要とし、正しく構成されたデバイスだけで有効にすることができます。

■コードの整合性に対する仮想化ベースの保護
この設定により、カーネル モードのコードの整合性に対する仮想化ベースの保護が有効になります。この設定を有効にすると、カーネル モードのメモリ保護が強制され、コードの整合性の検証パスが仮想化ベースのセキュリティ機能によって保護されます。

[ロックなしで有効化] オプションを使用してコードの整合性に対する仮想化ベースの保護が有効化されていた場合、[無効] オプションを選択すると、コードの整合性に対する仮想化ベースの保護がリモートで無効になります。

[UEFI ロックで有効化] オプションを選択すると、コードの整合性に対する仮想化ベースの保護をリモートで無効化できなくなります。この機能を無効にするには、グループ ポリシーを [無効] に設定すると共に、UEFI に保存されている構成を消去するために、ユーザーが物理的に存在する各コンピューターからこのセキュリティ機能を削除する必要があります。

[ロックなしで有効化] オプションを選択すると、グループ ポリシーを使用してコードの整合性に対する仮想化ベースの保護をリモートで無効化できます。

[未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響はありません。レジストリに現在の設定がある場合、その設定は変更されません。

■[UEFI メモリ属性テーブルを要求する]
オプションによって [コードの整合性に対する仮想化ベースの保護] を有効にできるのは、UEFI ファームウェアでメモリ属性テーブルがサポートされているデバイスの場合のみです。UEFI メモリ属性テーブルがサポートされていないデバイスでは、使用されているファームウェアに [コードの整合性に対する仮想化ベースの保護] との互換性がない場合があり、クラッシュやデータの損失が生じることや、一部のプラグイン カードとの互換性が維持できなくことがあります。このオプションを設定しない場合は、対象のデバイスをテストして互換性を確認する必要があります。
※警告: システムのすべてのドライバーはこの機能と互換性がある必要があります。互換性がない場合は、システムがクラッシュする可能性があります。互換性があることがわかっているコンピューターのみにこのポリシー設定が展開されるようにしてください。

■Credential Guard
この設定を使用すると、仮想化ベースのセキュリティ機能を持つ Credential Guard を有効にして、資格情報を保護することができます。

[ロックなしで有効化] オプションを使用して Credential Guard が有効化されていた場合、[無効] オプションを選択すると、Credential Guard がリモートで無効になります。

[UEFI ロックで有効化] オプションを選択すると、Credential Guard をリモートで無効化できなくなります。この機能を無効にするには、グループ ポリシーを [無効] に設定すると共に、UEFI に保存されている構成を消去するために、ユーザーが物理的に存在する各コンピューターからこのセキュリティ機能を削除する必要があります。

[ロックなしで有効化] オプションを選択すると、グループ ポリシーを使用して Credential Guard をリモートで無効化できます。この設定を使用しているデバイスは、Windows 10 (Version 1511) 以上を実行している必要があります。

[未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響はありません。レジストリに現在の設定がある場合、その設定は変更されません。


■セキュア起動
この設定は、ブート チェーンを保護するようにセキュア起動の構成を設定します。

[未構成] は既定の設定であり、管理者であるユーザーによる機能の構成を許可します。

[有効] オプションは、サポートされているハードウェア上でセキュア起動を有効化します。

[無効] オプションは、ハードウェア サポートに関係なくセキュア起動を無効にします。

グループポリシー

ポリシー設定ポリシー値説明
レジストリ ポリシーの処理を構成する[有効]
[オプション] で [グループ ポリシー オブジェクトが変更されていなくても処理する] を [有効] にする
このポリシー設定では、レジストリ ポリシーをいつ更新するかを決定します。
このポリシー設定は、[管理用テンプレート] フォルダーにあるすべてのポリシー、およびレジストリに値を格納しているその他のポリシーに影響します。この設定は、インストール時に設定されたレジストリ ポリシーを実装しているプログラムのカスタム設定よりも優先されます。
このポリシー設定を有効にした場合、オプションを変更するためのチェック ボックスが利用できるようになります。このポリシー設定を無効にした場合、または構成しなかった場合は、システムに影響はありません。

[バックグラウンドで定期的に処理しているときは適用しない] オプションを有効にした場合、コンピューターの使用中は関連するポリシーがバックグラウンドで更新されなくなります。バックグラウンドでの更新を無効にすると、再度ユーザーがログオンするか、システムを再起動するまでポリシーへの変更は適用されません。

[グループ ポリシー オブジェクトが変更されていなくても処理する] オプションを使うと、ポリシーが変更されていない場合でも、ポリシーは更新されて再適用されます。変更されたときのみ更新するように指定できるポリシーは複数あります。しかし、ユーザーが変更した場合に備え、変更されていないポリシーであっても、必要なポリシー設定を再適用するなどの方法で更新することをお勧めします。

プロセス作成の監査

ポリシー設定ポリシー値説明
プロセス作成イベントにコマンドラインを含める有効このポリシー設定では、新しいプロセスの作成時にセキュリティ監査イベントのログに記録する情報を決定します。
この設定は、プロセス作成の監査ポリシーが有効な場合にのみ適用されます。このポリシー設定を有効にした場合、このポリシー設定が適用されているワークステーションやサーバーでは、各プロセスのコマンド ライン情報が、プロセス作成の監査イベント 4688 "新しいプロセスの作成" の一部としてテキスト形式でセキュリティ イベント ログに記録されます。
このポリシー設定を無効にした場合、または構成しなかった場合、プロセスのコマンド ライン情報はプロセス作成の監査イベントに含まれません。
既定: 未構成
注: このポリシー設定を有効にした場合、セキュリティ イベントの読み取りアクセス権を持つユーザーは、正常に作成されたプロセスのコマンド ライン引数を読み取ることができます。コマンド ライン引数には、パスワードやユーザーデータなどの機密性の高い情報や個人情報を含めることができます。

資格情報の委任

ポリシー設定ポリシー値説明
リモート ホストでエクスポート不可の資格情報の委任を許可する有効資格情報の委任を使用する場合、エクスポート可能なバージョンの資格情報がデバイスからリモート ホストに提供されます。これにより、ユーザーの資格情報はリモート ホスト上の攻撃者によって盗み取られる危険にさらされます。
このポリシー設定を有効にした場合、ホストは制限付き管理モードまたは Remote Credential Guard モードをサポートします。
このポリシー設定を無効にするか、構成しなかった場合、制限付き管理モードと Remote Credential Guard モードはサポートされません。ユーザーは常に資格情報をホストに渡す必要があります。

電源の管理

スリープの設定

ポリシー設定ポリシー値説明
コンピュータのスリープ状態の解除時にパスワードを要求する(電源接続時)有効このポリシー設定では、システムのスリープ状態を解除するときに、ユーザーにパスワードを要求するかどうかを指定します。
このポリシー設定を有効にした場合、または構成しなかった場合、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されます。
このポリシー設定を無効にすると、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されません。
コンピュータのスリープ状態の解除時にパスワードを要求する(バッテリ使用時)有効このポリシー設定では、システムのスリープ状態を解除するときに、ユーザーにパスワードを要求するかどうかを指定します。
このポリシー設定を有効にした場合、または構成しなかった場合、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されます。
このポリシー設定を無効にすると、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されません。