・DC 管理用テンプレート のバックアップ(No.5)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・DC 管理用テンプレート へ行く。
・Windows Server 2016 Domain Controller
[コンピュータの構成]>[ポリシー]>[管理用テンプレート] †
MS Security Guide は Microsoft Security Compliance Toolkit 1 に含まれる Windows 10 Version 1909 and Windows Server Version 1909 Security Baseline\Templates 含まれています。日本語化はされていません。
Microsoft Security Compliance Toolkit 1.: https://www.microsoft.com/en-us/download/confirmation.aspx?id=55319
MS Security Guide] †
ポリシー設定 | ポリシー値 | 説明(参考機械翻訳) |
Apply UAC restrictions to local accounts on network logons | 有効 | ローカルアカウントにネットワークログオンする際にUACを適用します。 This setting controls whether local accounts can be used for remote administration via network logon (e.g., NET USE, connecting to C$, etc.). Local accounts are at high risk for credential theft when the same account and password is configured on multiple systems. Enabling this policy significantly reduces that risk. Enabled (recommended): Applies UAC token-filtering to local accounts on network logons. Membership in powerful group such as Administrators is disabled and powerful privileges are removed from the resulting access token. This configures the LocalAccountTokenFilterPolicy registry value to 0. This is the default behavior for Windows. Disabled: Allows local accounts to have full administrative rights when authenticating via network logon, by configuring the LocalAccountTokenFilterPolicy registry value to 1. For more information about local accounts and credential theft, see "Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques": http://www.microsoft.com/en-us/download/details.aspx?id=36036. For more information about LocalAccountTokenFilterPolicy, see http://support.microsoft.com/kb/951016. |
Configure SMB v1 client driver | 有効 オプション Configure MrxSmb10 driver [Disable driver (recommended)] | SMB v1 ドライバーを無効にします。 Configures the SMB v1 client driver's start type. To disable client-side processing of the SMBv1 protocol, select the "Enabled" radio button, then select "Disable driver" from the dropdown. WARNING: DO NOT SELECT THE "DISABLED" RADIO BUTTON UNDER ANY CIRCUMSTANCES! For Windows 7 and Servers 2008, 2008R2, and 2012, you must also configure the "Configure SMB v1 client (extra setting needed for pre-Win8.1/2012R2)" setting. To restore default SMBv1 client-side behavior, select "Enabled" and choose the correct default from the dropdown: * "Manual start" for Windows 7 and Windows Servers 2008, 2008R2, and 2012; * "Automatic start" for Windows 8.1 and Windows Server 2012R2 and newer. Changes to this setting require a reboot to take effect. For more information, see https://support.microsoft.com/kb/2696547 |
Configure SMB v1 server | 無効 | SMB v1 サーバーを無効にします。 Disabling this setting disables server-side processing of the SMBv1 protocol. (Recommended.) Enabling this setting enables server-side processing of the SMBv1 protocol. (Default.) Changes to this setting require a reboot to take effect. For more information, see https://support.microsoft.com/kb/2696547 |
WDigest Authentication (disabling may require KB2871997) | 無効 | Windows ダイジェスト認証を無効にします。 When WDigest authentication is enabled, Lsass.exe retains a copy of the user's plaintext password in memory, where it can be at risk of theft. Microsoft recommends disabling WDigest authentication unless it is needed. If this setting is not configured, WDigest authentication is disabled in Windows 8.1 and in Windows Server 2012 R2; it is enabled by default in earlier versions of Windows and Windows Server. Update KB2871997 must first be installed to disable WDigest authentication using this setting in Windows 7, Windows 8, Windows Server 2008 R2 and Windows Server 2012. Enabled: Enables WDigest authentication. Disabled (recommended): Disables WDigest authentication. For this setting to work on Windows 7, Windows 8, Windows Server 2008 R2 or Windows Server 2012, KB2871997 must first be installed. For more information, see http://support.microsoft.com/kb/2871997 and http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx . |
MSS (Legacy) †
MSS (Legacy) は Microsoft Security Compliance Toolkit 1 に含まれる Windows 10 Version 1909 and Windows Server Version 1909 Security Baseline\Templates 含まれています。日本語化はされていません。
Microsoft Security Compliance Toolkit 1.: https://www.microsoft.com/en-us/download/confirmation.aspx?id=55319
ポリシー設定 | ポリシー値 | 説明 |
MSS: (DisableIPSourceRouting IPv6) IP source routing protection level (protects against packet spoofing) | 有効 オプション DisableIPSourceRoutingIPv6 [Highest protection, Source routing is completely disabled] | IPv6のパケットスプーフィングに対する保護を設定します。ソースルーティングは完全に無効になります。 |
MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) | 有効 オプション DisableIPSourceRoutingIP [Highest protection, Source routing is completely disabled] | IPv4のパケットスプーフィングに対する保護を設定します。ソースルーティングは完全に無効になります。 |
MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes | 無効 | ICMPリダイレクトによるOSPF生成ルートのオーバーライドを無効化します。 |
MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers | 有効 | WINSサーバーを除き、コンピュータがNetBIOS名の開放要求を無視することを許可します。 |
Windows コンポーネント †
RSS フィード †
ポリシー設定 | ポリシー値 | 説明 |
添付ファイルのダウンロードを禁止する | 有効 | このポリシー設定は、添付ファイルをフィードからユーザーのコンピューターにダウンロードできないようにします。 このポリシー設定を有効にすると、フィードのプロパティ ページで、フィード同期エンジンが添付ファイルをダウンロードするように設定できません。開発者は、フィードの API を使用してダウンロード設定を変更できません。 このポリシー設定を無効にするか、構成しない場合、フィードのプロパティ ページで、フィード同期エンジンが添付ファイルをダウンロードするように設定できます。開発者は、フィードの API を使用してダウンロード設定を変更できます。 |
Windows PowerShell †
ポリシー設定 | ポリシー値 | 説明 |
PowerShell スクリプト ブロックのログ記録を有効にする | 有効 スクリプト ブロックの呼び出し開始/停止イベントをログに記録する: [無効] | このポリシー設定を使用して、すべての PowerShell スクリプト入力を Microsoft-Windows-PowerShell/操作イベント ログに記録することができます。このポリシー設定を有効にした場合、 Windows PowerShell のコマンド処理、スクリプト ブロック、関数、スクリプトが記録されます。対話的に呼び出された場合も、自動的に呼び出された場合もすべて記録されます。 このポリシー設定を無効にした場合、PowerShell スクリプト入力のログ記録が無効になります。 スクリプト ブロックの呼び出しのログ記録を有効にした場合、コマンド、スクリプト ブロック、関数、スクリプトの開始/停止を呼び出したときも イベントがログ記録されます。呼び出しのログ記録を有効にすると、大量のイベント ログが生成されます。 注: このポリシー設定は、グループ ポリシー エディターの [コンピューターの構成] と [ユーザーの構成] の両方にあります。[コンピューターの構成] のポリシー設定は、[ユーザーの構成] のポリシー設定よりも優先されます。 |
Windows インストーラー †
ポリシー設定 | ポリシー値 | 説明 |
ユーザーによるインストール制限を有効にする | 無効 | このポリシー設定を使用すると、通常はシステム管理者のみが使用できるインストールのオプションをユーザーが変更できるようになります。 このポリシー設定を有効にした場合、Windows インストーラーの一部のセキュリティ機能がバイパスされます。このポリシーを使用すると、通常はセキュリティ違反のため強制的に中止されるインストールを完了させることができます。 このポリシー設定を無効にした場合、または構成しなかった場合、Windows インストーラーでは、通常システム管理者のみに許可されているインストールのオプション (たとえば、ファイルのインストール先の指定) をユーザーが変更することはできません。 保護されているオプションをユーザーが変更しようとすると、インストールは中止されエラー メッセージが表示されます。このセキュリティ機能は、インストール プログラムが特権付きセキュリティ コンテキストで実行されており、ユーザーがアクセス許可を持っていないディレクトリにプログラムがアクセスできるときに機能します。 このポリシー設定は、規制を緩和するためのものです。ソフトウェアのインストールを妨げるようなインストールのエラーを回避するためにも使用できます。 |
常にシステム特権でインストールする | 無効 | このポリシー設定を使用すると、Windows インストーラーを使ってシステムにプログラムをインストールするときに管理者特権のアクセス許可が使用されます。 このポリシー設定を有効にすると、管理者特権がすべてのプログラムに適用されます。通常、この特権はユーザー (デスクトップ上で提供されている) またはコンピューター (自動的にインストールされている) に割り当てられているプログラム、またはコントロール パネルの [プログラムの追加と削除] で利用できるプログラム用に予約されています。このプロファイル設定を使うと、ユーザーはアクセス許可が与えられていないため表示も変更もできないディレクトリ (厳しく制限されているコンピューター上のディレクトリを含む) へのアクセスを必要とするプログラムをインストールできます。 このポリシー設定を無効にした場合、または構成しなかった場合は、システム管理者から配布または提供されていないプログラムのインストール時にはユーザーの現在のアクセス許可が適用されます。 注: このポリシー設定は [コンピューターの構成] フォルダーおよび [ユーザーの構成] フォルダーにあります。このポリシー設定を有効にするには、両方のフォルダーでこのポリシー設定を有効にする必要があります。 警告: 上級ユーザーは、このポリシー設定で付与されるアクセス許可を使って特権を変更し、制限付きのファイルおよびフォルダーに継続してアクセスできます。このポリシー設定の [ユーザーの構成] バージョンのセキュリティ保護は必ずしも安全ではないことに注意してください。 |
[Windows リモート管理(WinRM)]>[WinRM クライアント] †
ポリシー設定 | ポリシー値 | 説明 |
ダイジェスト認証を許可しない | 有効 | このポリシー設定を使用して、Windows リモート管理 (WinRM) クライアントでダイジェスト認証を使用するかどうかを管理できます。 このポリシー設定を有効にすると、WinRM クライアントでダイジェスト認証は使用されません。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM クライアントでダイジェスト認証が使用されます。 |
暗号化されていないトラフィックを許可する | 無効 | このポリシー設定を使用して、Windows リモート管理 (WinRM) クライアントで、暗号化されていないメッセージをネットワーク経由で送受信するかどうかを管理できます。 このポリシー設定を有効にすると、WinRM クライアントは、暗号化されていないメッセージをネットワーク経由で送受信します。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM クライアントは、暗号化されたメッセージのみをネットワーク経由で送受信します。 |
基本認証を許可する | 無効 | このポリシー設定を使用して、Windows リモート管理 (WinRM) クライアントで基本認証を使用するかどうかを管理できます。 このポリシー設定を有効にすると、WinRM クライアントで基本認証が使用されます。WinRM が HTTP トランスポートを使用するように構成されている場合は、ユーザー名とパスワードがクリア テキストとしてネットワーク経由で送信されます。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM クライアントで基本認証は使用されません。 |
[Windows リモート管理(WinRM)]>[WinRM サービス] †
ポリシー設定 | ポリシー値 | 説明 |
WinRM で RunAs 資格情報の保存を許可しない | 有効 | このポリシー設定を使用すると、Windows リモート管理 (WinRM) サービスでプラグインに対して RunAs 資格情報の保存を許可しないかどうかうかを管理できます。 このポリシー設定を有効にする場合、WinRM サービスではプラグインに対して RunAsUser または RunAsPassword の構成値の設定を許可しません。 既にプラグインで RunAsUser および RunAsPassword の構成値を設定している場合、このコンピューターの資格情報ストアから RunAsPassword の構成値が消去されます。 このポリシー設定を無効にする場合、または構成しない場合、WinRM サービスではプラグインに対して RunAsUser および RunAsPassword の構成値の設定を許可し、RunAsPassword 値が安全に保存されます。 このポリシー設定を有効にした後、無効にした場合、それまでに RunAsPassword に構成済みの値があれば、リセットする必要があります。 |
暗号化されていないトラフィックを許可する | 無効 | このポリシー設定を使用して、Windows リモート管理 (WinRM) サービスで、暗号化されていないメッセージをネットワーク経由で送受信するかどうかを管理できます。 このポリシー設定を有効にすると、WinRM クライアントは、暗号化されていないメッセージをネットワーク経由で送受信します。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM クライアントは、暗号化されたメッセージのみをネットワーク経由で送受信します。 |
基本認証を許可する | 無効 | このポリシー設定を使用して、Windows リモート管理 (WinRM) サービスでリモート クライアントからの基本認証を受け付けるかどうかを管理できます。 このポリシー設定を有効にすると、WinRM サービスはリモート クライアントからの基本認証を受け付けます。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM サービスはリモート クライアントからの基本認証を受け付けません。 |
Windows ログオンのオプション †
ポリシー設定 | ポリシー値 | 説明 |
再起動後に自動的に前回の対話ユーザーでサインインしてロックする | 無効 | このポリシー設定では、システムの再起動後、またはシャットダウンとコールド ブートの後に、デバイスに自動的に前回の対話ユーザーでサインインしてロックするかどうかを制御します。 これは、前回の対話ユーザーが再起動またはシャットダウンの前にサインアウトしなかった場合にのみ発生します。 デバイスが Active Directory または Azure Active Directory に参加している場合、このポリシーは Windows Update による再起動のみに適用されます。それ以外の場合は、Windows Update による再起動と、ユーザーによって開始された再起動およびシャットダウンの両方に適用されます。 このポリシー設定を構成しなかった場合は、既定で有効になります。このポリシーを有効にすると、デバイスの起動後、ユーザーは自動的にサインインし、そのユーザー用に構成されたすべてのロック画面アプリを使用してセッションが自動的にロックされます。 このポリシーを有効にした後、ConfigAutomaticRestartSignOn ポリシーを使用して設定を構成できます。それにより、再起動またはコールド ブート後に前回の対話ユーザーで自動的にサインインしてロックするモードを構成します。 このポリシー設定を無効にすると、デバイスでは自動サインインが構成されません。システムの再起動後、ユーザーのロック画面アプリは再起動されません。 |
アプリケーションの互換性 †
ポリシー設定 | ポリシー値 | 説明 |
インベントリ コレクターをオフにする | 有効 | このポリシー設定では、インベントリ コレクターの状態を制御します。 インベントリ コレクターは、システム上のアプリケーション、ファイル、デバイス、およびドライバーのインベントリを作成し、その情報を Microsoft に送信します。 この情報は、互換性の問題の診断に役立てられます。 このポリシー設定を有効にした場合、インベントリ コレクターは無効になり、Microsoft にデータが送信されなくなります。プログラム互換性アシスタントによるインストール データの収集も無効になります。 このポリシー設定を無効にした場合、または構成しなかった場合は、インベントリ コレクターは有効になります。 注: カスタマー エクスペリエンス向上プログラムが無効になっている場合、このポリシー設定による効果はありません。インベントリ コレクターは無効になります。 |
[イベントログサービス]>[アプリケーション] †
ポリシー設定 | ポリシー値 | 説明 |
ログ ファイルの最大サイズ(KB)を指定する | 有効 最大ログサイズ(KB): 32768 | このポリシー設定では、ログ ファイルの最大サイズを KB 単位で指定します。 このポリシー設定を有効にした場合、ログ ファイルの最大サイズを KB 単位で 1 MB (1024 KB) から 2 TB (2147483647 KB) までの範囲で構成できます。 このポリシー設定を無効にするか、未構成にした場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。この値は、ローカル管理者が [ログのプロパティ] ダイアログ ボックスを使用して変更でき、既定では 1 MB になります。 |
[イベントログサービス]>[システム] †
ポリシー設定 | ポリシー値 | 説明 |
ログ ファイルの最大サイズ(KB)を指定する | 有効 最大ログサイズ(KB): 32768 | このポリシー設定では、ログ ファイルの最大サイズを KB 単位で指定します。 このポリシー設定を有効にした場合、ログ ファイルの最大サイズを KB 単位で 1 MB (1024 KB) から 2 TB (2147483647 KB) までの範囲で構成できます。 このポリシー設定を無効にするか、未構成にした場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。この値は、ローカル管理者が [ログのプロパティ] ダイアログ ボックスを使用して変更でき、既定では 1 MB になります。 |
[イベントログサービス]>[セキュリティ] †
ポリシー設定 | ポリシー値 | 説明 |
ログ ファイルの最大サイズ(KB)を指定する | 有効 最大ログサイズ(KB): 196608 | このポリシー設定では、ログ ファイルの最大サイズを KB 単位で指定します。 このポリシー設定を有効にした場合、ログ ファイルの最大サイズを KB 単位で 1 MB (1024 KB) から 2 TB (2147483647 KB) までの範囲で構成できます。 このポリシー設定を無効にするか、未構成にした場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。この値は、ローカル管理者が [ログのプロパティ] ダイアログ ボックスを使用して変更でき、既定では 1 MB になります。 |
エクスプローラー †
ポリシー設定 | ポリシー値 | 説明 |
Windows Defender SmartScreen を構成します | 有効 オプション: [警告してバイパスを回避] | このポリシーを使用すると、Windows Defender SmartScreen を有効または無効にできます。SmartScreenは、インターネットからダウンロードされた悪意のある可能性のあるプログラムを実行する前にユーザーに警告することで、PC の保護に役立ちます。認識できないアプリまたは悪意があるとわかっているアプリがインターネットからダウンロードされ実行される前に、この警告がスポット ダイアログとして表示されます。不審であると見なされていないアプリの場合、ダイアログは表示されません。 この機能を有効にした PC で実行されたファイルおよびプログラムについて、Microsoft に情報が送信されます。 このポリシーを有効にすると、すべてのユーザーに対して SmartScreen がオンになります。その動作は、次のオプションを使用して制御できます: ・警告してバイパスを回避 ・警告 [警告してバイパスを回避] オプションを指定してこのポリシーを有効にした場合、SmartScreen のダイアログでは、警告を無視してアプリを実行するオプションがユーザーに提示されません。その後アプリを実行しようとすると、引き続き SmartScreen から警告が表示されます [警告] オプションを指定してこのポリシーを有効にした場合、SmartScreen のダイアログで、アプリが不審だと思われるという警告がユーザーに提示されますが、ユーザーは警告を無視してすぐにアプリを実行することもできます。ユーザーがアプリの実行を SmartScreen に指定した場合、そのアプリについては SmartScreen から再度ユーザーに警告されることはありません。 このポリシーを無効にすると、すべてのユーザーに対して SmartScreen が無効になります。ユーザーがインターネットから不審なアプリを実行しようとしても、警告は表示されません。 このポリシーを構成しなかった場合、既定では SmartScreen が有効になりますが、ユーザーは独自に設定を変更できます。 |
データの収集とプレビュー ビルト †
ポリシー設定 | ポリシー値 | 説明 |
利用統計情報の許可 | 有効 オプション: [1 - 基本] | このポリシー設定では、マイクロソフトに送信される Windows 診断データの最大レベルを決定します。この設定を構成した場合、ユーザーは製品利用統計情報の設定を変更できますが、組織に対して設定されたレベルよりも上のレベルに変更することはできません。Windows 10 診断データの設定は、Windows オペレーティング システムと Windows の付属アプリだけに適用されます。Windows 10 で実行されるサードパーティのアプリには適用されません。 この設定を有効にすると、どのレベルの診断データをマイクロソフトに送信するかを決定できます。次のレベルがあります。 - 0 (セキュリティ)。Windows の安全性を維持するために必要な最小限の量のデータだけをマイクロソフトに送信します。悪意のあるソフトウェアの削除ツール (MSRT) や Windows Defender などの Windows セキュリティ コンポーネントにより (有効であれば)、このレベルでマイクロソフトにデータが送信されることもあります。値 0 の設定は、Enterprise、Education、IoT、Windows Server のいずれかのエディションを実行しているデバイスだけに適用されます。その他のエディションで値 0 を設定した場合は、値 1 を設定した場合と同じ結果になります。 - 1 (基本)。値が 0 の場合と同じデータに加えて、ごく限られた量の診断データ (基本的なデバイス情報、品質に関連するデータ、アプリの互換性情報など) が送信されます。値を 0 または 1 に設定すると、デバイスで特定のエクスペリエンスが低下することにご注意ください。 - 2 (拡張)。値が 1 の場合と同じデータに加えて、Windows、Windows Server、System Center、アプリの使用状況、パフォーマンス、詳細な信頼性データなどの追加データが送信されます。 - 3 (完全)。値が 2 の場合と同じデータに加えて、デバイスの診断と問題解決に使用される詳細な診断データが送信されます。これには、デバイスでの問題の原因となった可能性があるファイルやコンテンツが含まれます。 このポリシー設定を無効にした場合または構成しなかった場合、製品利用統計情報の設定は [設定] で個別に構成することができます。 |
[リモートデスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[セキュリティ] †
ポリシー設定 | ポリシー値 | 説明 |
クライアント接続の暗号化レベルを設定する | 有効 暗号化レベル: [高レベル] | リモート デスクトップ プロトコル (RDP) 接続時に、クライアント コンピューターと RD セッション ホスト サーバー間の通信をセキュリティで保護するために、特定の暗号化レベルの使用を必要とするかどうかを指定します。このポリシーは、ネイティブの RDP 暗号化を使用しているときにのみ適用されます。ただし (SSL 暗号化と比べ) ネイティブ RDP 暗号化は推奨されません。SSL 暗号化にこのポリシーは適用されません。 このポリシー設定を有効にした場合、リモート接続時のクライアントと RD セッション ホスト サーバー間のすべての通信で、この設定で指定された暗号化方法を使用する必要があります。既定では、暗号化レベルは [高] に設定されています。次の暗号化方法を利用できます。 * 高: [高] 設定では、強力な 128 ビット暗号化を使ってクライアントとサーバー間で送受信されるデータを暗号化します。この暗号化レベルは、128 ビット クライアント (リモート デスクトップ接続クライアントなど) のみが含まれる環境で使用します。この暗号化レベルをサポートしていないクライアントは RD セッション ホスト サーバーに接続できません。 * クライアント互換: [クライアント互換] 設定では、クライアントとサーバーの間で送信されるデータは、クライアントでサポートされている最高のキー強度で暗号化されます。この暗号化レベルは、128 ビット暗号化をサポートしていないクライアントが含まれる環境で使用します。 * 低: [低] 設定では、56 ビット暗号化を使ってクライアントからサーバーへ送信されるデータのみを暗号化します。 この設定を無効にするか、または構成しない場合は、RD セッション ホスト サーバーへのリモート接続に使用される暗号化レベルは、グループ ポリシーを通じて強制されません。 重要: FIPS 準拠は、システム暗号化を通じて構成できます。グループ ポリシーの [暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] 設定 (場所: "コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション")。[FIPS 準拠] 設定では、Microsoft 暗号化モジュールを使用して、Federal Information Processing Standard (FIPS) 140 暗号化アルゴリズムによって、クライアントとサーバー間で送受信されるデータを暗号化および暗号化解除します。この暗号化レベルは、クライアントと RD セッション ホスト サーバー間の通信で最高レベルの暗号化が必要な場合に使用します。 |
セキュリティで保護された RPC 通信を要求する | 有効 | リモート デスクトップ セッション ホスト サーバーに、クライアントすべてとのセキュリティで保護された RPC 通信が必要か、またはセキュリティで保護されていない通信を許可するかどうかを指定します。 この設定を使って、認証されて暗号化された要求のみを許可することで、クライアントとの RPC 通信のセキュリティを強化できます。 状態が有効に設定されている場合、リモート デスクトップ サービスは、セキュリティで保護された要求をサポートする RPC クライアントからの要求を受け入れて、信用されていないクライアントとのセキュリティで保護されていない通信を許可しません。 状態が無効に設定されている場合は、リモート デスクトップ サービスは RPC トラフィックすべてのセキュリティを常に要求します。しかし、要求に応答しない RPC クライアントにはセキュリティで保護されていない通信が許可されます。 状態が未構成に設定されている場合は、セキュリティで保護されていない通信は許可されます。 注: RPC インターフェイスがリモート デスクトップ サービスの管理または構成に使用されています。 |
接続するたびにパスワードを要求する | 有効 | このポリシー設定は、接続時にクライアントが、リモート デスクトップ サービスによって常にパスワードの入力を要求されるかどうかを指定します。 リモート デスクトップ サービスにログオンしているユーザーが、リモート デスクトップ接続のクライアントでパスワードを既に提供していても、この設定を使ってパスワードの入力を強制できます。 既定では、リモート デスクトップ サービスによりユーザーはリモート デスクトップ接続のクライアントにパスワードを入力して自動的にログオンできます。 このポリシー設定を有効にすると、ユーザーはリモート デスクトップ接続のクライアントでパスワードを供給しても、リモート デスクトップ サービスに自動的にログオンできません。ユーザーは、ログオンするためにパスワードを要求されます。 このポリシー設定を無効にすると、ユーザーは常にリモート デスクトップ接続のクライアントでパスワードを供給することでリモート デスクトップ サービスに自動的にログオンできます。 このポリシー設定を構成しなかった場合、自動ログオンはグループ ポリシー レベルでは指定されません。 |
[リモートデスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[デバイスとリソースのリダイレクト] †
ポリシー設定 | ポリシー値 | 説明 |
ドライブのリダイレクトを許可しない | 有効 | このポリシー設定は、リモート デスクトップ サービス セッションで、クライアント ドライブのマッピングをしないようにするかどうかを指定します (ドライブ リダイレクト)。 既定では、RD セッション ホスト サーバーは接続時に自動的にクライアント ドライブをマップします。マップされたドライブは、エクスプローラーまたは [コンピューター] のセッション フォルダー ツリーに、<コンピューター名> の <ドライブ文字> という形式で表示されます。このポリシー設定を使ってこの動作を上書きできます。 このポリシー設定を有効にすると、クライアント ドライブのリダイレクトはリモート デスクトップ サービス セッションでは許可されません。また、クリップボードでのファイル コピーのリダイレクトは、Windows Server 2003、Windows 8、および Windows XP を実行しているコンピューターでは許可されません。 このポリシー設定を無効にすると、クライアント ドライブのリダイレクトは常に許可されます。さらに、クリップボードのリダイレクトを許可すると、クリップボードでのファイル コピーのリダイレクトは常に許可されます。 このポリシー設定を構成しなかった場合、クライアント ドライブのリダイレクトおよびクリップボードでのファイル コピーのリダイレクトはグループ ポリシー レベルでは指定されません。 |
[リモートデスクトップ サービス]>[リモート デスクトップ接続のクライアント] †
ポリシー設定 | ポリシー値 | 説明 |
パスワードの保存を許可しない | 有効 | リモート デスクトップ接続からこのコンピューター上でパスワードを保存できるようにするかどうかを制御します。 この設定を有効にすると、リモート デスクトップ接続のパスワードを保存するためのチェック ボックスが使用できなくなり、以降、ユーザーはパスワードを保存できなくなります。ユーザーがリモート デスクトップ接続で RDP ファイルを開いて設定を保存した場合、RDP ファイルに以前から存在していたパスワードはすべて削除されます。 この設定を無効または未構成にする場合、ユーザーはリモート デスクトップ接続でパスワードを保存できるようになります。 |
検索 †
ポリシー設定 | ポリシー値 | 説明 |
暗号化されたファイルのインデックス作成を許可する | 無効 | このポリシー設定を使用すると、暗号化されたアイテムのインデックスを作成できます。このポリシー設定を有効にすると、内容に対して暗号化の解除とインデックスの作成が行われます (アクセス制限は引き続き適用されます)。このポリシー設定を無効にすると、検索サービスのコンポーネント (Microsoft 製以外のコンポーネントを含む) は、暗号化されたアイテムのインデックス作成は行わず、暗号化されたストアのインデックス作成も行いません。このポリシー設定は、既定では構成されていません。このポリシー設定を構成しない場合は、コントロール パネルを使用して構成されたローカル設定が使用されます。既定では、コントロール パネルの設定は、暗号化された内容のインデックスを作成しないように設定されています。 この設定の有効/無効を切り替えるたびに、インデックス全体が最初から再構築されます。 インデックスの場所にフルボリューム暗号化 (BitLocker ドライブ暗号化や Microsoft 製以外のソリューションなど) を使用して、暗号化されたファイルのセキュリティを維持する必要があります。 |
資格情報のユーザーインターフェース †
ポリシー設定 | ポリシー値 | 説明 |
昇格時に管理者アカウントを列挙する | 無効 | このポリシー設定により、ユーザーが実行中のアプリケーションの昇格を試みたときに、管理者アカウントが表示されるかどうかを制御します。既定では、ユーザーが実行中のアプリケーションの昇格を試みたときに、管理者アカウントは表示されません。 このポリシー設定を有効にした場合、PC 上のローカル管理者アカウントがすべて表示され、ユーザーがその 1 つを選択して、正しいパスワードを入力できます。 このポリシー設定を無効にした場合、ユーザーは、昇格時にユーザー名とパスワードを常に入力するよう要求されます。 |
自動再生のポリシー †
ポリシー設定 | ポリシー値 | 説明 |
ボリューム以外のデバイスの自動再生を許可しない | 有効 | このポリシー設定では、カメラや電話などの MTP デバイスの自動再生を許可しません。 このポリシー設定を有効にした場合、カメラや電話などの MTP デバイスの自動再生が許可されません。 このポリシー設定を無効にした場合、または構成しなかった場合、ボリューム以外のデバイスに対する自動再生が有効になります。 |
自動再生機能をオフにする | 有効 自動再生機能をオフにする: [すべてのドライブ] | このポリシー設定では、自動再生機能をオフにできます。 自動再生とは、ドライブにメディアを挿入すると同時にドライブからの読み込みを開始する機能です。この機能によって、プログラムのセットアップ ファイルやオーディオ メディアの音楽などがすぐに開始されます。 Windows XP SP2 より前は、自動再生は、フロッピー ディスク ドライブなどのリムーバブル ドライブ (CD-ROM ドライブは除く) およびネットワーク ドライブ上では既定で無効になっています。 Windows XP SP2 以降では、自動再生は Zip ドライブや一部の USB 大容量記憶装置デバイスなどのリムーバブル ドライブでも有効になっています。 このポリシー設定を有効にした場合、CD-ROM およびリムーバブル メディア ドライブの自動再生を無効にするか、すべてのドライブの自動再生を無効にすることができます。 このポリシー設定によって、これ以外の種類のドライブでの自動再生を無効にすることができます。この設定を使用して、既定で無効になっているドライブ上の自動再生を有効にすることはできません。 このポリシー設定を無効にした場合、または構成しなかった場合、自動再生が有効になります。 注: このポリシー設定は [コンピューターの構成] フォルダーおよび [ユーザーの構成] フォルダーにあります。ポリシー設定が競合する場合、[コンピューターの構成] にあるポリシー設定が [ユーザーの構成] にあるポリシー設定より優先されます。 |
自動実行の既定の動作を設定する | 有効 既定の自動実行の動作: [自動実行コマンドを実行しない] | このポリシー設定では、自動実行コマンドの既定の動作を設定します。 通常、自動実行コマンドは autorun.inf ファイルに保存されています。多くの場合、インストール プログラムや他のルーチンを起動します。 Windows Vista 以前の場合、自動実行コマンドを含むメディアを挿入すると、ユーザーによる手動操作がなくてもプログラムが自動的に実行されます。 この場合、ユーザーが知らずにコードが実行される可能性があるため、重大なセキュリティ上の問題が発生することがあります。Windows Vista 以降の既定の動作では、自動実行コマンドを実行するかどうかをユーザーに確認するメッセージが表示されます。自動実行コマンドは、[自動再生] ダイアログ ボックスでハンドラーとして表示されます。 このポリシー設定を有効にした場合、管理者は Windows Vista 以降の自動実行の既定の動作を次のように変更することができます。 a) 自動実行コマンドを完全に無効にする。または b) 自動実行コマンドを Windows Vista 以前の自動実行の動作に戻す。 このポリシー設定を無効にした場合、または構成しなかった場合、Windows Vista 以降では、自動実行コマンドを実行するかどうかをユーザーに確認するメッセージが表示されます。 |
コントロールパネル †
個人用設定 †
ポリシー設定 | ポリシー値 | 説明 |
ロック画面スライドショーを有効にできないようにする | 有効 | PC 設定でロック画面スライド ショー設定を無効にし、ロック画面でスライド ショーを再生できないようにします。 既定では、ユーザーは、コンピューターのロック後に実行されるスライド ショーを有効にできます。 この設定を有効にした場合、ユーザーは、PC 設定でスライド ショー設定を修正できなくなり、スライド ショーが開始されることもなくなります。 |
システム †
Device Guard †
- 本項目はハードウェアの互換性がない場合、クラッシュやデータの損失が生じるため、十分なテストを行った上で設定してください。
- ポリシーファイルでは [未構成] で構成されないことに注意してください。
ポリシー設定 | ポリシー値 | 説明 |
仮想化ベースのセキュリティを有効にする | 有効 オプション プラットフォームのセキュリティレベルを選択する: [セキュア ブートと DMA 保護] コードの整合性に対する仮想化ベースの保護: [UEFI ロックで有効化] UEFI メモリ造成テーブルを要求する: [有効] Credential Guard の構成: [UEFI ロックで有効化] セキュリティで保護された起動構成: [有効] | 仮想化ベースのセキュリティでは、Windows ハイパーバイザーを使用してセキュリティ サービスをサポートします。仮想化ベースのセキュリティはセキュア ブートを必要とし、DMA 保護を使用して有効にすることもできます。DMA 保護はハードウェア サポートを必要とし、正しく構成されたデバイスだけで有効にすることができます。 コードの整合性に対する仮想化ベースの保護 この設定により、カーネル モードのコードの整合性に対する仮想化ベースの保護が有効になります。この設定を有効にすると、カーネル モードのメモリ保護が強制され、コードの整合性の検証パスが仮想化ベースのセキュリティ機能によって保護されます。 [ロックなしで有効化] オプションを使用してコードの整合性に対する仮想化ベースの保護が有効化されていた場合、[無効] オプションを選択すると、コードの整合性に対する仮想化ベースの保護がリモートで無効になります。 [UEFI ロックで有効化] オプションを選択すると、コードの整合性に対する仮想化ベースの保護をリモートで無効化できなくなります。この機能を無効にするには、グループ ポリシーを [無効] に設定すると共に、UEFI に保存されている構成を消去するために、ユーザーが物理的に存在する各コンピューターからこのセキュリティ機能を削除する必要があります。 [ロックなしで有効化] オプションを選択すると、グループ ポリシーを使用してコードの整合性に対する仮想化ベースの保護をリモートで無効化できます。 [未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響はありません。レジストリに現在の設定がある場合、その設定は変更されません。 [UEFI メモリ属性テーブルを要求する] オプションによって [コードの整合性に対する仮想化ベースの保護] を有効にできるのは、UEFI ファームウェアでメモリ属性テーブルがサポートされているデバイスの場合のみです。UEFI メモリ属性テーブルがサポートされていないデバイスでは、使用されているファームウェアに [コードの整合性に対する仮想化ベースの保護] との互換性がない場合があり、クラッシュやデータの損失が生じることや、一部のプラグイン カードとの互換性が維持できなくことがあります。このオプションを設定しない場合は、対象のデバイスをテストして互換性を確認する必要があります。 警告: システムのすべてのドライバーはこの機能と互換性がある必要があります。互換性がない場合は、システムがクラッシュする可能性があります。互換性があることがわかっているコンピューターのみにこのポリシー設定が展開されるようにしてください。 Credential Guard この設定を使用すると、仮想化ベースのセキュリティ機能を持つ Credential Guard を有効にして、資格情報を保護することができます。 [ロックなしで有効化] オプションを使用して Credential Guard が有効化されていた場合、[無効] オプションを選択すると、Credential Guard がリモートで無効になります。 [UEFI ロックで有効化] オプションを選択すると、Credential Guard をリモートで無効化できなくなります。この機能を無効にするには、グループ ポリシーを [無効] に設定すると共に、UEFI に保存されている構成を消去するために、ユーザーが物理的に存在する各コンピューターからこのセキュリティ機能を削除する必要があります。 [ロックなしで有効化] オプションを選択すると、グループ ポリシーを使用して Credential Guard をリモートで無効化できます。この設定を使用しているデバイスは、Windows 10 (Version 1511) 以上を実行している必要があります。 [未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響はありません。レジストリに現在の設定がある場合、その設定は変更されません。 セキュア起動 この設定は、ブート チェーンを保護するようにセキュア起動の構成を設定します。 [未構成] は既定の設定であり、管理者であるユーザーによる機能の構成を許可します。 [有効] オプションは、サポートされているハードウェア上でセキュア起動を有効化します。 [無効] オプションは、ハードウェア サポートに関係なくセキュア起動を無効にします。 |
[インターネット通信の設定}>[インターネット通信の設定] †
ポリシー設定 | ポリシー値 | 説明 |
HTTP経由の印刷をオフにする | 有効 | このポリシー設定では、このクライアントの HTTP 経由の印刷を許可するかどうかを指定します。 HTTP 経由の印刷では、イントラネットおよびインターネット上のプリンターで印刷できます。 注: このポリシー設定によって影響を受けるのは、インターネット印刷のクライアント側のみです。このポリシー設定が有効になっている場合でも、このコンピューターはインターネット プリント サーバーとして機能し、共有プリンターを HTTP 経由で利用可能にすることができます。 このポリシー設定を有効にした場合、このクライアントは HTTP 経由でインターネット プリンターに出力することはできません。 このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーは HTTP 経由でインターネット プリンターに出力することを選択できます。 "コンピューターの構成/管理用テンプレート/プリンター" の "Web ベース印刷" ポリシー設定も参照してください。 |
プリンター ドライバーの HTTP 経由でのダウンロードをオフにする | 有効 | このポリシー設定では、クライアントが HTTP 経由でプリンター ドライバー パッケージをダウンロードするかどうかを指定します。 HTTP 経由の印刷をセットアップするには、付属していないドライバーを HTTP 経由でダウンロードする必要があります。 注: このポリシー設定が有効になっている場合でも、クライアントはイントラネットやインターネットのプリンターに HTTP 経由で出力できます。 ローカルにインストールされていないドライバーのダウンロードのみを禁止します。 この設定を有効にした場合、プリンター ドライバーは HTTP 経由でダウンロードできません。 このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーは HTTP 経由でプリンター ドライバーをダウンロードできます。 |
グループポリシー †
ポリシー設定 | ポリシー値 | 説明 |
レジストリ ポリシーの処理を構成する | 有効 オプション バックグラウンドで定期的に処理しているときは適用しない: [無効] グループポリシー オブジェクトが変更されていなくても処理する: [有効] | このポリシー設定では、レジストリ ポリシーをいつ更新するかを決定します。 このポリシー設定は、[管理用テンプレート] フォルダーにあるすべてのポリシー、およびレジストリに値を格納しているその他のポリシーに影響します。この設定は、インストール時に設定されたレジストリ ポリシーを実装しているプログラムのカスタム設定よりも優先されます。 このポリシー設定を有効にした場合、オプションを変更するためのチェック ボックスが利用できるようになります。このポリシー設定を無効にした場合、または構成しなかった場合は、システムに影響はありません。 [バックグラウンドで定期的に処理しているときは適用しない] オプションを有効にした場合、コンピューターの使用中は関連するポリシーがバックグラウンドで更新されなくなります。バックグラウンドでの更新を無効にすると、再度ユーザーがログオンするか、システムを再起動するまでポリシーへの変更は適用されません。 [グループ ポリシー オブジェクトが変更されていなくても処理する] オプションを使うと、ポリシーが変更されていない場合でも、ポリシーは更新されて再適用されます。変更されたときのみ更新するように指定できるポリシーは複数あります。しかし、ユーザーが変更した場合に備え、変更されていないポリシーであっても、必要なポリシー設定を再適用するなどの方法で更新することをお勧めします。 |
プロセス作成の監査 †
ポリシー設定 | ポリシー値 | 説明 |
プロセス作成イベントにコマンドラインを含める | 有効 | このポリシー設定では、新しいプロセスの作成時にセキュリティ監査イベントのログに記録する情報を決定します。 この設定は、プロセス作成の監査ポリシーが有効な場合にのみ適用されます。このポリシー設定を有効にした場合、このポリシー設定が適用されているワークステーションやサーバーでは、各プロセスのコマンド ライン情報が、プロセス作成の監査イベント 4688 "新しいプロセスの作成" の一部としてテキスト形式でセキュリティ イベント ログに記録されます。 このポリシー設定を無効にした場合、または構成しなかった場合、プロセスのコマンド ライン情報はプロセス作成の監査イベントに含まれません。 既定: 未構成 注: このポリシー設定を有効にした場合、セキュリティ イベントの読み取りアクセス権を持つユーザーは、正常に作成されたプロセスのコマンド ライン引数を読み取ることができます。コマンド ライン引数には、パスワードやユーザー データなどの機密性の高い情報や個人情報を含めることができます。 |
リモートプロシージャコール †
ポリシー設定 | ポリシー値 | 説明 |
認証されていない RPC クライアントを制限する | 有効 適用する RPC ランタイム未認証クライアント制限: [認証済み] | このポリシー設定は、RPC サーバーに接続する認証されていない RPC クライアントを RPC サーバー ランタイムが処理する方法を制御します。 このポリシー設定は、すべての RPC アプリケーションに影響します。 ドメイン環境では、このポリシー設定はグループ ポリシーの処理自体を含む広範な機能に影響する可能性があるため、注意して使用する必要があります。 このポリシー設定の変更を元に戻す場合、影響するコンピューターごとに手動での操作が必要になることがあります。 このポリシー設定は、ドメイン コントローラーには適用しないでください。 このポリシー設定を無効にすると、RPC サーバー ランタイムは Windows クライアントでは [認証済み] の値を使用し、このポリシー設定をサポートする Windows Server バージョンでは [なし] の値を使用します。 このポリシー設定を構成しない場合、設定は無効のままになります。 RPC サーバー ランタイムは、Windows クライアントでは [認証済み] の値の使用が、このポリシー設定をサポートする Server SKU では [なし] の値の使用が有効にされた場合と同じように動作します。 このポリシー設定を有効にすると、コンピューター上の RPC サーバーに接続する、認証されていない RPC クライアントを制限するよう RPC サーバー ランタイムに指示します。サーバーとの通信時に名前付きパイプを使用している場合、または RPC セキュリティを使用している場合に、クライアントは認証済みとして認識されます。このポリシー設定で選択された値によっては、未認証のクライアントがアクセスできるよう明示的に要求した RPC インターフェイスは、この制限から除外される場合もあります。 -- [なし] では、このポリシー設定が適用されるコンピューター上で実行されている RPC サーバーへの、すべての RPC クライアントの接続を許可します。 -- [認証済み] では、このポリシー設定が適用されるコンピューター上で実行されている RPC サーバーへの、認証済み (前の定義による) の RPC クライアントのみの接続を許可します。除外を要求したインターフェイスは除外されます。 -- [認証済み (例外なし)] では、このポリシー設定が適用されるコンピューター上で実行されている RPC サーバーへの、認証済み (前の定義による) の RPC クライアントのみの接続を許可します。 例外は許可されません。 注: このポリシー設定は、システムが再起動されるまで適用されません。 |
ログオン †
ポリシー設定 | ポリシー値 | 説明 |
ドメインに参加しているコンピューターのローカル ユーザーを列挙する | 無効 | このポリシー設定は、ドメインに参加しているコンピューターのローカル ユーザーを列挙します。 このポリシー設定を有効にした場合、ログオン UI に、ドメインに参加しているコンピューターのすべてのローカル ユーザーが列挙されます。 このポリシー設定を無効にした場合、または構成しなかった場合、ログオン UI に、ドメインに参加しているコンピューターのローカル ユーザーは列挙されません。 |
ネットワークの選択の UI を表示しない | 有効 | このポリシー設定を使用すると、ログイン画面で使用可能なネットワークの UI をだれでも操作できるかどうかを制御できます。 このポリシー設定を有効にした場合、Windows にサインインしないと PC のネットワーク接続の状態を変更できません。 このポリシー設定を無効にした場合、または構成しなかった場合、すべてのユーザーは、Windows にサインインしなくても、PC をネットワークから切断したり、別の使用可能なネットワークに接続したりすることができます。 |
[電源の管理]>[スリープの設定] †
ポリシー設定 | ポリシー値 | 説明 |
コンピュータのスリープ状態の解除時にパスワードを要求する(バッテリ使用時) | 有効 | このポリシー設定では、システムのスリープ状態を解除するときに、ユーザーにパスワードを要求するかどうかを指定します。 このポリシー設定を有効にした場合、または構成しなかった場合、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されます。 このポリシー設定を無効にすると、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されません。 |
コンピュータのスリープ状態の解除時にパスワードを要求する(電源接続時) |
ネットワーク †
Lanman ワークステーション †
ポリシー設定 | ポリシー値 | 説明 |
安全でないゲスト ログオンを有効にする | 無効 | このポリシー設定では、SMB クライアントが SMB サーバーへの安全でないゲスト ログオンを許可するかどうかを決定します。 このポリシー設定を有効にした場合、またはこのポリシー設定を構成しなかった場合、SMB クライアントは安全でないゲスト ログオンを許可します。 このポリシー設定を無効にした場合、SMB クライアントは安全でないゲスト ログオンを拒否します。 安全でないゲスト ログオンがファイル サーバーによって使用されるのは、共有フォルダーに対する認証されていないアクセスを許可することが目的です。エンタープライズ環境では一般的ではありませんが、ファイル サーバーとして動作しているコンシューマー NAS (ネットワーク接続ストレージ) アプライアンスでは、安全でないゲスト ログオンが頻繁に使用されています。Windows ファイル サーバーでは認証を要求し、既定では安全でないゲスト ログオンを使用しません。安全でないゲスト ログオンは認証されていないため、SMB 署名、SMB 暗号化などの重要なセキュリティ機能が無効になります。結果として、安全でないゲスト ログオンを許可するクライアントは、さまざまな man-in-the-middle 攻撃に対して脆弱になり、データ損失、データの破損、マルウェアに対するリスクにつながる可能性があります。また、安全でないゲスト ログオンを使用してファイル サーバーに書き込まれたデータには、ネットワーク上のすべてのユーザーからアクセスできる可能性があります。Microsoft では、安全でないゲスト ログオンを無効にして、認証されたアクセスが要求されるようにファイル サーバーを構成することをお勧めします。 |
ネットワークプロバイダー †
ポリシー設定 | ポリシー値 | 説明 |
強化された UNC パス | 有効 | このポリシー設定は、UNCパスへの安全なアクセスを構成します。このポリシーを有効にすると、Windowsは追加のセキュリティ要件を満たした後、指定されたUNCパスへのアクセスのみを許可します。 |
値の名前: \\*SYSVOL | ||
値: RequireMutualAuthentication = 1, RequireIntegrity = 1 | ||
値の名前: \\*\NETLOGON | ||
値: RequireMutualAuthentication = 1, RequireIntegrity = 1 |