Level 1 Enterprise Basic Security configuration?
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[システム] †
資格情報の委任 †
| ポリシー設定 | ポリシー値 | 説明 |
| 暗号化オラクルの修復 | 更新済みクライアントの強制 | 一部のバージョンの CredSSP プロトコルには、クライアントに対する暗号化オラクル攻撃を受けやすい脆弱性があります。このポリシーは、攻撃を受けやすいクライアントおよびサーバーとの互換性を制御します。このポリシーを使用すると、暗号化オラクル攻撃に対する脆弱性について、望ましい保護レベルを設定できます。 |
| リモートホストでエクスポート不可の資格情報の委任を許可する | 有効化 | 資格情報の委任を使用する場合、デバイスはリモートホストに資格情報のエクスポート可能なバージョンを提供します。 |
| これにより、ユーザーはリモートホストの攻撃者からの資格情報の盗難のリスクにさらされます。このポリシー設定を有効にすると、ホストは制限付き管理モードまたはリモート資格情報ガードモードをサポートします。 |
デバイスのインストール †
| ポリシー設定 | ポリシー値 | 説明 |
| これらのデバイス ID と一致するデバイスのインストールを禁止します | 有効 | このポリシー設定を使用すると、WindowsがインストールできないデバイスのプラグアンドプレイハードウェアIDと互換性IDのリストを指定できます。このポリシー設定は、Windowsによるデバイスのインストールを許可する他のポリシー設定よりも優先されます。 |
| [表示ボタン]をクリックし、禁止するハードウェアID、プラグ アンド プレイ互換 IDを入力する |
| このポリシー設定を有効にすると、作成したリストにハードウェアIDまたは互換性IDが表示されるデバイスをWindowsがインストールできなくなります。リモートデスクトップサーバーでこのポリシー設定を有効にすると、ポリシー設定は、指定されたデバイスのリモートデスクトップクライアントからリモートデスクトップサーバーへのリダイレクトに影響します。このポリシー設定を無効にするか、未構成にした場合、他のポリシー設定で許可または禁止されているデバイスをインストールおよび更新できます。 |
| すでにインストールされている一致するデバイスにも適用されます= 有効 |
| これらのデバイス セットアップ クラスのドライバーを使用したデバイスのインストールを禁止する | 有効 | このポリシー設定を使用すると、Windowsがインストールできないデバイスドライバーのデバイスセットアップクラスのグローバル一意識別子(GUID)の一覧を指定できます。このポリシー設定は、Windowsによるデバイスのインストールを許可する他のポリシー設定よりも優先されます。このポリシー設定を有効にすると、作成したリストにデバイスセットアップクラスGUIDが表示されるデバイスドライバーのインストールまたは更新がWindowsで禁止されます。リモートデスクトップサーバーでこのポリシー設定を有効にすると、ポリシー設定は、指定されたデバイスのリモートデスクトップクライアントからリモートデスクトップサーバーへのリダイレクトに影響します。このポリシー設定を無効にした場合、または構成しなかった場合、Windowsは他のポリシー設定で許可または禁止されているデバイスをインストールおよび更新できます。 |
| [表示]ボタンをクリックし、デバイス セットアップ クラスを表す GUID を入力する |
| 既にインストールされている一致するデバイスにも適用されます=有効 |
グループポリシーを使用してデバイスのインストールを制御するためのステップバイステップガイド:https://docs.microsoft.com/en-us/previous-versions/dotnet/articles/bb530324(v=msdn.10)?redirectedfrom=MSDN
起動時マルウェア対策 †
| ポリシー設定 | ポリシー値 | 説明 |
| ブート開始ドライバーの初期化ポリシー | 有効 | 起動時マルウェア対策のブート開始ドライバーによって決定された分類に基づいて、どのブートスタートドライバーを初期化するかを指定できます。起動時マルウェア対策のブート開始ドライバーは、各ブート開始ドライバーについて次の分類を返すことができます。 |
| 良好、不明、および不良(ブートに不可欠) | -良好:ドライバーは署名されており、改ざんされていません。 |
| -不良:ドライバーがマルウェアとして識別されました。既知の不良ドライバーの初期化を許可しないことをお勧めします。 |
| -不良(起動に不可欠):ドライバーはマルウェアとして識別されましたが、コンピューターはこのドライバーをロードしないと正常に起動できません。 |
| -不明:このドライバーは、マルウェア検出アプリケーションによって証明されておらず、起動時マルウェア対策ブート開始ドライバーによって分類されていません。 |
| このポリシー設定を有効にすると、次回コンピューターを起動するときに初期化するブート開始ドライバーを選択できます。このポリシー設定を無効にした場合、または構成しなかった場合、正常、不明、または不良と判断されたブート開始ドライバーは初期化され、不良と判断されたドライバーの初期化はスキップされます。マルウェア検出アプリケーションに起動時マルウェア対策ブート開始ドライバーが含まれていない場合、または起動時マルウェア対策ブート開始ドライバーが無効になっている場合、この設定は効果がなく、すべてのブートスタートドライバーが初期化されます。 |
グループポリシー †
| ポリシー設定 | ポリシー値 | 説明 |
| レジストリポリシーの処理を構成する | バックグランドで定期的に処理しているときは適用しない=無効
グループ ポリシー オブジェクトが変更されていなくても処理する=有効 | このポリシー設定では、レジストリ ポリシーをいつ更新するかを決定します。 |
| このポリシー設定は、[管理用テンプレート] フォルダーにあるすべてのポリシー、およびレジストリに値を格納しているその他のポリシーに影響します。この設定は、インストール時に設定されたレジストリ ポリシーを実装しているプログラムのカスタム設定よりも優先されます。 |
| このポリシー設定を有効にした場合、オプションを変更するためのチェック ボックスが利用できるようになります。このポリシー設定を無効にした場合、または構成しなかった場合は、システムに影響はありません。 |
| [バックグラウンドで定期的に処理しているときは適用しない] オプションを有効にした場合、コンピューターの使用中は関連するポリシーがバックグラウンドで更新されなくなります。バックグラウンドでの更新を無効にすると、再度ユーザーがログオンするか、システムを再起動するまでポリシーへの変更は適用されません。 |
| [グループ ポリシー オブジェクトが変更されていなくても処理する] オプションを使うと、ポリシーが変更されていない場合でも、ポリシーは更新されて再適用されます。変更されたときのみ更新するように指定できるポリシーは複数あります。しかし、ユーザーが変更した場合に備え、変更されていないポリシーであっても、必要なポリシー設定を再適用するなどの方法で更新することをお勧めします。 |
