トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・L1 ローカルポリシー セキュリティ オプション のバックアップ(No.8)


・レベル1セキュリティ構成(Windows 10)

[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]

Microsoftネットワーククライアント

ポリシー設定ポリシー値説明
常に通信にデジタル署名を行う有効化このセキュリティ設定は、SMBクライアントコンポーネントでパケット署名が必要かどうかを決定します。
サードパーティ SMB サーバーへの接続に、暗号化されていないパスワードを送信する無効このセキュリティ設定が有効になっている場合、サーバーメッセージブロック(SMB)リダイレクターは、認証中にパスワード暗号化をサポートしていないMicrosoft以外のSMBサーバーにプレーンテキストパスワードを送信できます。暗号化されていないパスワードを送信することはセキュリティ上のリスクです。

Microsoftネットワークサーバー

ポリシー設定ポリシー値説明
常に通信にデジタル署名を行う有効化このセキュリティ設定は、SMBサーバーコンポーネントでパケット署名が必要かどうかを決定します。

アカウント

ポリシー設定ポリシー値説明
ローカル アカウントの空のパスワードの使用をコンソールログオンのみに制限する有効化このセキュリティ設定は、パスワードで保護されていないローカルアカウントを使用して、物理コンピューターコンソール以外の場所からログオンできるかどうかを決定します。有効にすると、パスワードで保護されていないローカルアカウントは、コンピューターのキーボードでのみログオンできます。

システムオブジェクト

ポリシー設定ポリシー値説明
内部システムオブジェクトの既定のアクセス許可を強化する(例:シンボリックリンク)有効化このセキュリティ設定は、オブジェクトの既定の随意アクセス制御リスト(DACL)の強度を決定します。Active Directoryは、DOSデバイス名、ミューテックス、セマフォなどの共有システムリソースのグローバルリストを保持します。このようにして、オブジェクトを見つけてプロセス間で共有できます。各タイプのオブジェクトは、オブジェクトにアクセスできるユーザーと許可されるアクセス許可を指定するデフォルトのDACLを使用して作成されます。このポリシーを有効にすると、既定のDACLが強化され、管理者ではないユーザーは共有オブジェクトを読み取ることができますが、これらのユーザーは作成していない共有オブジェクトを変更できなくなります。

ドメインメンバー

ポリシー設定ポリシー値説明
可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する有効化このセキュリティ設定は、ドメインメンバーが開始するすべてのセキュリティで保護されたチャネルトラフィックの暗号化をネゴシエートするかどうかを決定します。有効にすると、ドメインメンバーはすべての安全なチャネルトラフィックの暗号化を要求します。ドメインコントローラーがすべてのセキュリティで保護されたチャネルトラフィックの暗号化をサポートしている場合、すべてのセキュリティで保護されたチャネルトラフィックが暗号化されます。それ以外の場合、安全なチャネルを介して送信されるログオン情報のみが暗号化されます。この設定が無効になっている場合、ドメインメンバーはセキュアチャネル暗号化のネゴシエーションを試行しません。
可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する有効化このセキュリティ設定は、ドメインメンバーが開始するすべてのセキュリティで保護されたチャネルトラフィックの署名をネゴシエートしようとするかどうかを決定します。有効にすると、ドメインメンバーはすべてのセキュアチャネルトラフィックの署名を要求します。ドメインコントローラーがすべてのセキュリティで保護されたチャネルトラフィックの署名をサポートしている場合、すべてのセキュリティで保護されたチャネルトラフィックが署名されるため、送信中に改ざんされることはありません。
コンピュータ アカウント パスワード:定期的な変更を無効にする無効ドメインメンバーがそのコンピューターアカウントのパスワードを定期的に変更するかどうかを決定します。
最大コンピュータ アカウントのパスワードの有効期間30ドメインメンバーがコンピューターアカウントのパスワードを変更しようとする頻度を決定します
ドメインメンバー:強力な(Windows 2000かそれ以降のバージョン)セッションキーを必要とする有効化暗号化されたセキュアチャネルデータに128ビットキー強度が必要かどうかを決定します
常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する有効化このセキュリティ設定は、ドメインメンバーによって開始されたすべてのセキュリティで保護されたチャネルトラフィックを署名または暗号化する必要があるかどうかを決定します。この設定は、ドメインメンバーによって開始されたすべてのセキュアチャネルトラフィックが最小セキュリティ要件を満たしているかどうかを決定します。具体的には、ドメインメンバーによって開始されたすべてのセキュリティで保護されたチャネルトラフィックを署名または暗号化する必要があるかどうかを決定します。このポリシーが有効になっている場合、すべてのセキュアチャネルトラフィックの署名または暗号化がネゴシエートされない限り、セキュアチャネルは確立されません。このポリシーを無効にすると、すべてのセキュリティで保護されたチャネルトラフィックの暗号化と署名がドメインコントローラーとネゴシエートされます。この場合、署名と暗号化のレベルはドメインコントローラーのバージョンと次の2つのポリシーの設定によって異なります。-ドメインメンバー:セキュリティで保護されたチャネルデータをデジタルで暗号化する(可能な場合)-ドメインメンバー:セキュリティで保護されたチャネルデータにデジタルで署名する(可能な場合)

ネットワークアクセス

ポリシー設定ポリシー値説明
SAM アカウントおよび共有の匿名の列挙を許可しない有効化このセキュリティ設定は、SAMアカウントと共有の匿名列挙が許可されるかどうかを決定します。Windowsでは、匿名ユーザーがドメインアカウントやネットワーク共有の名前を列挙するなど、特定のアクティビティを実行できます。これは、たとえば、管理者が相互信頼を維持していない信頼できるドメインのユーザーにアクセスを許可する場合に便利です。SAMアカウントと共有の匿名列挙を許可しない場合は、このポリシーを有効にします。
SAM アカウントの匿名の列挙を許可しない有効化このセキュリティ設定は、コンピューターへの匿名接続に付与される追加のアクセス許可を決定します。Windowsでは、匿名ユーザーがドメインアカウントやネットワーク共有の名前を列挙するなど、特定のアクティビティを実行できます。これは、たとえば、管理者が相互信頼を維持していない信頼できるドメインのユーザーにアクセスを許可する場合に便利です。このセキュリティオプションを使用すると、次のように匿名接続に追加の制限を設定できます。有効:SAMアカウントの列挙を許可しません。このオプションは、リソースのセキュリティ権限でEveryoneをAuthenticated Usersに置き換えます。
SAMへのリモート呼び出しを許可されたクライアントを制限するDomain\Administrators にリモートアクセスを許可
O:BAG:BAD:(A;;RC;;;BA)
このポリシー設定を使用すると、SAMへのリモートRPC接続を制限できます。選択しない場合、デフォルトのセキュリティ記述子が使用されます。
匿名の SID と名前の変換を許可する無効このセキュリティ設定は、匿名ユーザーが別のユーザーのセキュリティ識別子(SID)属性を要求できるかどうかを決定します。このポリシーが有効になっている場合、管理者のSIDを知っているユーザーは、このポリシーが有効になっているコンピューターにアクセスし、SIDを使用して管理者の名前を取得できます。
名前付きパイプと共有への匿名のアクセスを制限する有効化有効にすると、このセキュリティ設定により、共有およびパイプへの匿名アクセスが次の設定に制限されます。-ネットワークアクセス:匿名でアクセスできる名前付きパイプ-ネットワークアクセス:匿名でアクセスできる共有

ネットワークセキュリティ

ポリシー設定ポリシー値説明
LAN Manager 認証レベルNTLMv2 応答のみを送信 (LMとNTLMを拒否する)このセキュリティ設定は、ネットワークログオンに使用されるチャレンジ/レスポンス認証プロトコルを決定します。この選択は、クライアントが使用する認証プロトコルのレベル、ネゴシエートされるセッションセキュリティのレベル、およびサーバーが受け入れる認証のレベルに次のように影響します。NTLMv2応答のみを送信\ LMとNTLMを拒否:クライアントはNTLMv2認証のみを使用し、NTLMv2セッションセキュリティを使用サーバーがサポートしている場合; ドメインコントローラーはLMおよびNTLMを拒否します(NTLMv2認証のみを受け入れます)。
LocalSystem による NULL セッション フォールバックを許可する無効LocalSystemで使用する場合、NTLMがNULLセッションにフォールバックできるようにします
次回のパスワード変更時に LAN Manager のハッシュ値を保存しない有効化このセキュリティ設定は、次回のパスワード変更時に、新しいパスワードのLAN Manager(LM)ハッシュ値が保存されるかどうかを決定します。LMハッシュは、暗号的に強力なWindows NTハッシュと比較して、比較的弱く、攻撃を受けやすいです。LMハッシュはセキュリティデータベースのローカルコンピューターに保存されるため、セキュリティデータベースが攻撃されるとパスワードが危険にさらされる可能性があります。
NTLM SSP ベース (セキュア RPC を含む) のクライアント向け最小セッション セキュリティNTLMv2セッションセキュリティが必要、128ビット暗号化が必要このセキュリティ設定により、クライアントは128ビット暗号化やNTLMv2セッションセキュリティのネゴシエーションを要求できます。これらの値は、LAN Manager認証レベルのセキュリティ設定値に依存しています。
NTLM SSP ベース (セキュア RPC を含む) のサーバー向け最小セッション セキュリティNTLMv2セッションセキュリティが必要、128ビット暗号化が必要このセキュリティ設定により、サーバーは128ビット暗号化やNTLMv2セッションセキュリティのネゴシエーションを要求できます。これらの値は、LAN Manager認証レベルのセキュリティ設定値に依存しています。
必須の署名をしている LDAP クライアントネゴシエーション署名このセキュリティ設定は、LDAP BIND要求を発行するクライアントに代わって要求されるデータ署名のレベルを次のように決定します。署名のネゴシエート:トランスポート層セキュリティ/ Secure Sockets Layer(TLS \ SSL)が開始されていない場合、LDAP BIND要求は呼び出し元が指定したオプションに加えて、LDAPデータ署名オプションを設定して開始されます。TLS \ SSLが開始されている場合、LDAP BIND要求は呼び出し元によって指定されたオプションで開始されます。

ユーザーアカウント制御

ポリシー設定ポリシー値説明
アプリケーションのインストールを検出し、昇格をプロンプトする有効化特権の昇格を必要とするアプリケーションインストールパッケージが検出されると、ユーザーは管理ユーザー名とパスワードの入力を求められます。ユーザーが有効な資格情報を入力すると、該当する特権で操作が続行されます。
ビルトイン Administrator アカウントのための管理者承認モードを使用する有効化ビルトインAdministratorアカウントは管理者承認モードを使用します-特権の昇格を必要とする操作はすべて、ユーザーにその操作を承認するように促します
安全な場所にインストールされている UIAccess アプリケーションの昇格のみ有効化このポリシー設定は、ユーザーインターフェイスアクセシビリティ(UIAccess)整合性レベルでの実行を要求するアプリケーションがファイルシステムの安全な場所に存在する必要があるかどうかを制御します。安全な場所は次のものに制限されます。
-…\Program Files\、サブフォルダーを含む
-…\Windows\system32\
-…\ Program Files(x86)\、64ビットバージョンのWindowsのサブフォルダーを含む
各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する有効化このポリシー設定は、アプリケーションの書き込みエラーを定義済みのレジストリおよびファイルシステムの場所にリダイレクトするかどうかを制御します。このポリシー設定は、管理者として実行され、ランタイムアプリケーションデータを%ProgramFiles%、%Windir%、%Windir%\ system32、またはHKLM\Softwareに書き込むアプリケーションの問題を緩和します。
管理者承認モードですべての管理者を実行する有効化このポリシーを有効にし、関連するUACポリシー設定も適切に設定して、ビルトインAdministratorアカウントおよびAdministratorsグループのメンバーである他のすべてのユーザーが管理者承認モードで実行できるようにする必要があります。
管理者承認モードでの管理者に対する昇格時のプロンプトの動作セキュリティで保護されたデスクトップで同意を要求する操作に特権の昇格が必要な場合、ユーザーはセキュリティで保護されたデスクトップで特権ユーザー名とパスワードを入力するよう求められます。ユーザーが有効な資格情報を入力すると、ユーザーの利用可能な最高の特権で操作が続行されます。

監査

ポリシー設定ポリシー値説明
監査ポリシーサブカテゴリ設定(Windows Vista以降)を強制して、監査ポリシー カテゴリ設定を上書する有効化Windows Vista以降のバージョンのWindowsでは、監査ポリシーのサブカテゴリを使用して、より正確な方法で監査ポリシーを管理できます。カテゴリレベルで監査ポリシーを設定すると、新しいサブカテゴリ監査ポリシー機能が上書きされます。グループポリシーでは、監査ポリシーをカテゴリレベルでのみ設定できます。また、既存のグループポリシーは、ドメインへの参加またはアップグレード時に新しいマシンのサブカテゴリ設定をオーバーライドできます。グループポリシーを変更せずにサブカテゴリを使用して監査ポリシーを管理できるようにするため、Windows Vista以降のバージョンには新しいレジストリ値SCENo&3x41;pplyLegacyAuditPolicyがあり、グループポリシーおよびローカルセキュリティからのカテゴリレベルの監査ポリシーの適用を防止しますポリシー管理ツール。

対話型ログオン

ポリシー設定ポリシー値説明
コンピューターの非アクティブ状態の上限900セッションがロックされるまでの非アクティブの秒数
スマート カード取り出し時の動作ワークステーションをロックするこのセキュリティ設定は、ログオンしているユーザーのスマートカードがスマートカードリーダーから削除されたときに何が起こるかを決定します。クリックするとワークステーションのロックでプロパティをこのポリシーのスマートカードが取り外されたときに、ワークステーションは、ユーザーが、地域を離れ、彼らと彼らのスマートカードを取り、まだ保護されたセッションを維持することができ、ロックされています。この設定をWindows Vista以降で機能させるには、スマートカード削除ポリシーサービスを開始する必要があります。