#author("2020-02-13T15:32:06+09:00","","")
[[・Windows Server 2016 Domain Controller]]
*[コンピュータの構成]>[ポリシー]>[管理用テンプレート] [#l12aebb2]
**MS Security Guide] [#f691dc30]
|150|100||c
|ポリシー設定|ポリシー値|説明(参考機械翻訳)|h
|Apply UAC restrictions to local accounts on network logons|有効|ローカルアカウントにネットワークログオンする際にUACを適用します。&br;This setting controls whether local accounts can be used for remote administration via network logon (e.g., NET USE, connecting to C$, etc.). Local accounts are at high risk for credential theft when the same account and password is configured on multiple systems. Enabling this policy significantly reduces that risk.&br;Enabled (recommended): Applies UAC token-filtering to local accounts on network logons. Membership in powerful group such as Administrators is disabled and powerful privileges are removed from the resulting access token. This configures the LocalAccountTokenFilterPolicy registry value to 0. This is the default behavior for Windows.&br;Disabled: Allows local accounts to have full administrative rights when authenticating via network logon, by configuring the LocalAccountTokenFilterPolicy registry value to 1.&br;For more information about local accounts and credential theft, see "Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques": http://www.microsoft.com/en-us/download/details.aspx?id=36036.&br;For more information about LocalAccountTokenFilterPolicy, see http://support.microsoft.com/kb/951016.|
|Configure SMB v1 client driver|有効&br;オプション Configure MrxSmb10 driver [Disable driver (recommended)]|SMB v1 ドライバーを無効にします。&br;Configures the SMB v1 client driver's start type.&br;To disable client-side processing of the SMBv1 protocol, select the "Enabled" radio button, then select "Disable driver" from the dropdown.&br;WARNING: DO NOT SELECT THE "DISABLED" RADIO BUTTON UNDER ANY CIRCUMSTANCES!&br;For Windows 7 and Servers 2008, 2008R2, and 2012, you must also configure the "Configure SMB v1 client (extra setting needed for pre-Win8.1/2012R2)" setting.&br;To restore default SMBv1 client-side behavior, select "Enabled" and choose the correct default from the dropdown:&br;* "Manual start" for Windows 7 and Windows Servers 2008, 2008R2, and 2012;&br;* "Automatic start" for Windows 8.1 and Windows Server 2012R2 and newer.&br;Changes to this setting require a reboot to take effect.&br;For more information, see https://support.microsoft.com/kb/2696547 |
|Configure SMB v1 server|無効|SMB v1 サーバーを無効にします。&br;Disabling this setting disables server-side processing of the SMBv1 protocol. (Recommended.)&br;Enabling this setting enables server-side processing of the SMBv1 protocol. (Default.)&br;Changes to this setting require a reboot to take effect.&br;For more information, see https://support.microsoft.com/kb/2696547|
|WDigest Authentication (disabling may require KB2871997)|無効|Windows ダイジェスト認証を無効にします。&br;When WDigest authentication is enabled, Lsass.exe retains a copy of the user's plaintext password in memory, where it can be at risk of theft. Microsoft recommends disabling WDigest authentication unless it is needed.&br;If this setting is not configured, WDigest authentication is disabled in Windows 8.1 and in Windows Server 2012 R2; it is enabled by default in earlier versions of Windows and Windows Server.&br;Update KB2871997 must first be installed to disable WDigest authentication using this setting in Windows 7, Windows 8, Windows Server 2008 R2 and Windows Server 2012.&br;Enabled: Enables WDigest authentication.&br;Disabled (recommended): Disables WDigest authentication. For this setting to work on Windows 7, Windows 8, Windows Server 2008 R2 or Windows Server 2012, KB2871997 must first be installed.&br;For more information, see http://support.microsoft.com/kb/2871997 and http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx .|
**MSS (Legacy) [#l1ce18f5]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|MSS: (DisableIPSourceRouting IPv6) IP source routing protection level (protects against packet spoofing)|有効&br;オプション DisableIPSourceRoutingIPv6 [Highest protection, Source routing is completely disabled]|IPv6のパケットスプーフィングに対する保護を設定します。ソースルーティングは完全に無効になります。|
|MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)|有効&br;オプション DisableIPSourceRoutingIP [Highest protection, Source routing is completely disabled]|IPv4のパケットスプーフィングに対する保護を設定します。ソースルーティングは完全に無効になります。|
|MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes|無効|ICMPリダイレクトによるOSPF生成ルートのオーバーライドを無効化します。|
|MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers|有効|WINSサーバーを除き、コンピュータがNetBIOS名の開放要求を無視することを許可します。&br;|
**コントロールパネル [#ff4e61be]
***個人用設定 [#v88fc4cc]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|ロック画面スライドショーを有効にできないようにする|有効|PC 設定でロック画面スライド ショー設定を無効にし、ロック画面でスライド ショーを再生できないようにします。&br;既定では、ユーザーは、コンピューターのロック後に実行されるスライド ショーを有効にできます。&br;この設定を有効にした場合、ユーザーは、PC 設定でスライド ショー設定を修正できなくなり、スライド ショーが開始されることもなくなります。|
**システム [#c670082a]
***Device Guard [#l4fb6572]
-本項目はハードウェアの互換性がない場合、クラッシュやデータの損失が生じるため、十分なテストを行った上で設定してください。
-ポリシーファイルでは [未構成] で構成されないことに注意してください。
|仮想化ベースのセキュリティを有効にする|有効&br;オプション|仮想化ベースのセキュリティでは、Windows ハイパーバイザーを使用してセキュリティ サービスをサポートします。仮想化ベースのセキュリティはセキュア ブートを必要とし、DMA 保護を使用して有効にすることもできます。DMA 保護はハードウェア サポートを必要とし、正しく構成されたデバイスだけで有効にすることができます。&br;コードの整合性に対する仮想化ベースの保護&br;この設定により、カーネル モードのコードの整合性に対する仮想化ベースの保護が有効になります。この設定を有効にすると、カーネル モードのメモリ保護が強制され、コードの整合性の検証パスが仮想化ベースのセキュリティ機能によって保護されます。&br;[ロックなしで有効化] オプションを使用してコードの整合性に対する仮想化ベースの保護が有効化されていた場合、[無効] オプションを選択すると、コードの整合性に対する仮想化ベースの保護がリモートで無効になります。&br; &br;[UEFI ロックで有効化] オプションを選択すると、コードの整合性に対する仮想化ベースの保護をリモートで無効化できなくなります。この機能を無効にするには、グループ ポリシーを [無効] に設定すると共に、UEFI に保存されている構成を消去するために、ユーザーが物理的に存在する各コンピューターからこのセキュリティ機能を削除する必要があります。&br; &br;[ロックなしで有効化] オプションを選択すると、グループ ポリシーを使用してコードの整合性に対する仮想化ベースの保護をリモートで無効化できます。&br;[未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響はありません。レジストリに現在の設定がある場合、その設定は変更されません。&br;[UEFI メモリ属性テーブルを要求する] オプションによって [コードの整合性に対する仮想化ベースの保護] を有効にできるのは、UEFI ファームウェアでメモリ属性テーブルがサポートされているデバイスの場合のみです。UEFI メモリ属性テーブルがサポートされていないデバイスでは、使用されているファームウェアに [コードの整合性に対する仮想化ベースの保護] との互換性がない場合があり、クラッシュやデータの損失が生じることや、一部のプラグイン カードとの互換性が維持できなくことがあります。このオプションを設定しない場合は、対象のデバイスをテストして互換性を確認する必要があります。&br;警告: システムのすべてのドライバーはこの機能と互換性がある必要があります。互換性がない場合は、システムがクラッシュする可能性があります。互換性があることがわかっているコンピューターのみにこのポリシー設定が展開されるようにしてください。&br;Credential Guard&br;この設定を使用すると、仮想化ベースのセキュリティ機能を持つ Credential Guard を有効にして、資格情報を保護することができます。&br;[ロックなしで有効化] オプションを使用して Credential Guard が有効化されていた場合、[無効] オプションを選択すると、Credential Guard がリモートで無効になります。&br;[UEFI ロックで有効化] オプションを選択すると、Credential Guard をリモートで無効化できなくなります。この機能を無効にするには、グループ ポリシーを [無効] に設定すると共に、UEFI に保存されている構成を消去するために、ユーザーが物理的に存在する各コンピューターからこのセキュリティ機能を削除する必要があります。&br;[ロックなしで有効化] オプションを選択すると、グループ ポリシーを使用して Credential Guard をリモートで無効化できます。この設定を使用しているデバイスは、Windows 10 (Version 1511) 以上を実行している必要があります。&br;[未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響はありません。レジストリに現在の設定がある場合、その設定は変更されません。&br; &br;セキュア起動&br;この設定は、ブート チェーンを保護するようにセキュア起動の構成を設定します。&br;[未構成] は既定の設定であり、管理者であるユーザーによる機能の構成を許可します。&br;[有効] オプションは、サポートされているハードウェア上でセキュア起動を有効化します。&br;[無効] オプションは、ハードウェア サポートに関係なくセキュア起動を無効にします。|
|~|プラットフォームのセキュリティレベルを選択する|~|
|~|[セキュア ブートと DMA 保護]~|
|~|コードの整合性に対する仮想化ベースの保護|~|
|~|[UEFI ロックで有効化]|~|
|~|UEFI メモリ造成テーブルを要求する: [有効]|~|
|~|Credential Guard の構成|~|
|~|[UEFI ロックで有効化]|~|
|~|セキュリティで保護された起動構成: [有効]|~|
***プロセス作成の監査 [#f99d3687]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|プロセス作成イベントにコマンドラインを含める|有効|このポリシー設定では、新しいプロセスの作成時にセキュリティ監査イベントのログに記録する情報を決定します。&br;この設定は、プロセス作成の監査ポリシーが有効な場合にのみ適用されます。このポリシー設定を有効にした場合、このポリシー設定が適用されているワークステーションやサーバーでは、各プロセスのコマンド ライン情報が、プロセス作成の監査イベント 4688 "新しいプロセスの作成" の一部としてテキスト形式でセキュリティ イベント ログに記録されます。&br;このポリシー設定を無効にした場合、または構成しなかった場合、プロセスのコマンド ライン情報はプロセス作成の監査イベントに含まれません。&br;既定: 未構成&br;注: このポリシー設定を有効にした場合、セキュリティ イベントの読み取りアクセス権を持つユーザーは、正常に作成されたプロセスのコマンド ライン引数を読み取ることができます。コマンド ライン引数には、パスワードやユーザー データなどの機密性の高い情報や個人情報を含めることができます。|
**ネットワーク [#w3db6fdb]
***Lanman ワークステーション [#vcfc8e58]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|安全でないゲスト ログオンを有効にする|無効|このポリシー設定では、SMB クライアントが SMB サーバーへの安全でないゲスト ログオンを許可するかどうかを決定します。&br;このポリシー設定を有効にした場合、またはこのポリシー設定を構成しなかった場合、SMB クライアントは安全でないゲスト ログオンを許可します。&br;このポリシー設定を無効にした場合、SMB クライアントは安全でないゲスト ログオンを拒否します。&br;安全でないゲスト ログオンがファイル サーバーによって使用されるのは、共有フォルダーに対する認証されていないアクセスを許可することが目的です。エンタープライズ環境では一般的ではありませんが、ファイル サーバーとして動作しているコンシューマー NAS (ネットワーク接続ストレージ) アプライアンスでは、安全でないゲスト ログオンが頻繁に使用されています。Windows ファイル サーバーでは認証を要求し、既定では安全でないゲスト ログオンを使用しません。安全でないゲスト ログオンは認証されていないため、SMB 署名、SMB 暗号化などの重要なセキュリティ機能が無効になります。結果として、安全でないゲスト ログオンを許可するクライアントは、さまざまな man-in-the-middle 攻撃に対して脆弱になり、データ損失、データの破損、マルウェアに対するリスクにつながる可能性があります。また、安全でないゲスト ログオンを使用してファイル サーバーに書き込まれたデータには、ネットワーク上のすべてのユーザーからアクセスできる可能性があります。Microsoft では、安全でないゲスト ログオンを無効にして、認証されたアクセスが要求されるようにファイル サーバーを構成することをお勧めします。|
***ネットワークプロバイダー [#nedf78cd]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|強化された UNC パス|有効|このポリシー設定は、UNCパスへの安全なアクセスを構成します。このポリシーを有効にすると、Windowsは追加のセキュリティ要件を満たした後、指定されたUNCパスへのアクセスのみを許可します。|
|~|値の名前: \\*SYSVOL|~|
|~|値: RequireMutualAuthentication = 1, RequireIntegrity = 1|~|
|~|値の名前: \\*\NETLOGON|~|
|~|値: RequireMutualAuthentication = 1, RequireIntegrity = 1|~|
#ref(https://updatecorp.co.jp/ipa/image/UNC-Path.jpg)
