トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・DC 管理用テンプレート のバックアップ(No.3)

・Windows Server 2016 Domain Controller

[コンピュータの構成]>[ポリシー]>[管理用テンプレート]

MS Security Guide]

ポリシー設定ポリシー値説明(参考機械翻訳)
Apply UAC restrictions to local accounts on network logons有効ローカルアカウントにネットワークログオンする際にUACを適用します。
This setting controls whether local accounts can be used for remote administration via network logon (e.g., NET USE, connecting to C$, etc.). Local accounts are at high risk for credential theft when the same account and password is configured on multiple systems. Enabling this policy significantly reduces that risk.
Enabled (recommended): Applies UAC token-filtering to local accounts on network logons. Membership in powerful group such as Administrators is disabled and powerful privileges are removed from the resulting access token. This configures the LocalAccountTokenFilterPolicy registry value to 0. This is the default behavior for Windows.
Disabled: Allows local accounts to have full administrative rights when authenticating via network logon, by configuring the LocalAccountTokenFilterPolicy registry value to 1.
For more information about local accounts and credential theft, see "Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques": http://www.microsoft.com/en-us/download/details.aspx?id=36036.
For more information about LocalAccountTokenFilterPolicy, see http://support.microsoft.com/kb/951016.
Configure SMB v1 client driver有効
オプション Configure MrxSmb10 driver [Disable driver (recommended)]		SMB v1 ドライバーを無効にします。
Configures the SMB v1 client driver's start type.
To disable client-side processing of the SMBv1 protocol, select the "Enabled" radio button, then select "Disable driver" from the dropdown.
WARNING: DO NOT SELECT THE "DISABLED" RADIO BUTTON UNDER ANY CIRCUMSTANCES!
For Windows 7 and Servers 2008, 2008R2, and 2012, you must also configure the "Configure SMB v1 client (extra setting needed for pre-Win8.1/2012R2)" setting.
To restore default SMBv1 client-side behavior, select "Enabled" and choose the correct default from the dropdown:
* "Manual start" for Windows 7 and Windows Servers 2008, 2008R2, and 2012;
* "Automatic start" for Windows 8.1 and Windows Server 2012R2 and newer.
Changes to this setting require a reboot to take effect.
For more information, see https://support.microsoft.com/kb/2696547
Configure SMB v1 server無効SMB v1 サーバーを無効にします。
Disabling this setting disables server-side processing of the SMBv1 protocol. (Recommended.)
Enabling this setting enables server-side processing of the SMBv1 protocol. (Default.)
Changes to this setting require a reboot to take effect.
For more information, see https://support.microsoft.com/kb/2696547
WDigest Authentication (disabling may require KB2871997)無効Windows ダイジェスト認証を無効にします。
When WDigest authentication is enabled, Lsass.exe retains a copy of the user's plaintext password in memory, where it can be at risk of theft. Microsoft recommends disabling WDigest authentication unless it is needed.
If this setting is not configured, WDigest authentication is disabled in Windows 8.1 and in Windows Server 2012 R2; it is enabled by default in earlier versions of Windows and Windows Server.
Update KB2871997 must first be installed to disable WDigest authentication using this setting in Windows 7, Windows 8, Windows Server 2008 R2 and Windows Server 2012.
Enabled: Enables WDigest authentication.
Disabled (recommended): Disables WDigest authentication. For this setting to work on Windows 7, Windows 8, Windows Server 2008 R2 or Windows Server 2012, KB2871997 must first be installed.
For more information, see http://support.microsoft.com/kb/2871997 and http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx .

MSS (Legacy)

ポリシー設定ポリシー値説明
MSS: (DisableIPSourceRouting IPv6) IP source routing protection level (protects against packet spoofing)有効
オプション DisableIPSourceRoutingIPv6 [Highest protection, Source routing is completely disabled]		IPv6のパケットスプーフィングに対する保護を設定します。ソースルーティングは完全に無効になります。
MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)有効
オプション DisableIPSourceRoutingIP [Highest protection, Source routing is completely disabled]		IPv4のパケットスプーフィングに対する保護を設定します。ソースルーティングは完全に無効になります。
MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes無効ICMPリダイレクトによるOSPF生成ルートのオーバーライドを無効化します。
MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers有効WINSサーバーを除き、コンピュータがNetBIOS名の開放要求を無視することを許可します。

Windows コンポーネント

アプリケーションの互換性

ポリシー設定ポリシー値説明
インベントリ コレクターをオフにする有効このポリシー設定では、インベントリ コレクターの状態を制御します。
インベントリ コレクターは、システム上のアプリケーション、ファイル、デバイス、およびドライバーのインベントリを作成し、その情報を Microsoft に送信します。 この情報は、互換性の問題の診断に役立てられます。
このポリシー設定を有効にした場合、インベントリ コレクターは無効になり、Microsoft にデータが送信されなくなります。プログラム互換性アシスタントによるインストール データの収集も無効になります。
このポリシー設定を無効にした場合、または構成しなかった場合は、インベントリ コレクターは有効になります。
注: カスタマー エクスペリエンス向上プログラムが無効になっている場合、このポリシー設定による効果はありません。インベントリ コレクターは無効になります。

データの収集とプレビュー ビルト

ポリシー設定ポリシー値説明
利用統計情報の許可有効
オプション: [0 - セキュリティ [Enterprise のみ]		このポリシー設定では、マイクロソフトに送信される Windows 診断データの最大レベルを決定します。この設定を構成した場合、ユーザーは製品利用統計情報の設定を変更できますが、組織に対して設定されたレベルよりも上のレベルに変更することはできません。Windows 10 診断データの設定は、Windows オペレーティング システムと Windows の付属アプリだけに適用されます。Windows 10 で実行されるサードパーティのアプリには適用されません。
この設定を有効にすると、どのレベルの診断データをマイクロソフトに送信するかを決定できます。次のレベルがあります。
- 0 (セキュリティ)。Windows の安全性を維持するために必要な最小限の量のデータだけをマイクロソフトに送信します。悪意のあるソフトウェアの削除ツール (MSRT) や Windows Defender などの Windows セキュリティ コンポーネントにより (有効であれば)、このレベルでマイクロソフトにデータが送信されることもあります。値 0 の設定は、Enterprise、Education、IoT、Windows Server のいずれかのエディションを実行しているデバイスだけに適用されます。その他のエディションで値 0 を設定した場合は、値 1 を設定した場合と同じ結果になります。
- 1 (基本)。値が 0 の場合と同じデータに加えて、ごく限られた量の診断データ (基本的なデバイス情報、品質に関連するデータ、アプリの互換性情報など) が送信されます。値を 0 または 1 に設定すると、デバイスで特定のエクスペリエンスが低下することにご注意ください。
- 2 (拡張)。値が 1 の場合と同じデータに加えて、Windows、Windows Server、System Center、アプリの使用状況、パフォーマンス、詳細な信頼性データなどの追加データが送信されます。
- 3 (完全)。値が 2 の場合と同じデータに加えて、デバイスの診断と問題解決に使用される詳細な診断データが送信されます。これには、デバイスでの問題の原因となった可能性があるファイルやコンテンツが含まれます。
このポリシー設定を無効にした場合または構成しなかった場合、製品利用統計情報の設定は [設定] で個別に構成することができます。

資格情報のユーザーインターフェース

ポリシー設定ポリシー値説明
昇格時に管理者アカウントを列挙する無効このポリシー設定により、ユーザーが実行中のアプリケーションの昇格を試みたときに、管理者アカウントが表示されるかどうかを制御します。既定では、ユーザーが実行中のアプリケーションの昇格を試みたときに、管理者アカウントは表示されません。
このポリシー設定を有効にした場合、PC 上のローカル管理者アカウントがすべて表示され、ユーザーがその 1 つを選択して、正しいパスワードを入力できます。
このポリシー設定を無効にした場合、ユーザーは、昇格時にユーザー名とパスワードを常に入力するよう要求されます。

自動再生のポリシー

ポリシー設定ポリシー値説明
ボリューム以外のデバイスの自動再生を許可しない有効このポリシー設定では、カメラや電話などの MTP デバイスの自動再生を許可しません。
このポリシー設定を有効にした場合、カメラや電話などの MTP デバイスの自動再生が許可されません。
このポリシー設定を無効にした場合、または構成しなかった場合、ボリューム以外のデバイスに対する自動再生が有効になります。
自動再生機能をオフにする有効
自動再生機能をオフにする: [すべてのドライブ]		このポリシー設定では、自動再生機能をオフにできます。
自動再生とは、ドライブにメディアを挿入すると同時にドライブからの読み込みを開始する機能です。この機能によって、プログラムのセットアップ ファイルやオーディオ メディアの音楽などがすぐに開始されます。
Windows XP SP2 より前は、自動再生は、フロッピー ディスク ドライブなどのリムーバブル ドライブ (CD-ROM ドライブは除く) およびネットワーク ドライブ上では既定で無効になっています。
Windows XP SP2 以降では、自動再生は Zip ドライブや一部の USB 大容量記憶装置デバイスなどのリムーバブル ドライブでも有効になっています。
このポリシー設定を有効にした場合、CD-ROM およびリムーバブル メディア ドライブの自動再生を無効にするか、すべてのドライブの自動再生を無効にすることができます。
このポリシー設定によって、これ以外の種類のドライブでの自動再生を無効にすることができます。この設定を使用して、既定で無効になっているドライブ上の自動再生を有効にすることはできません。
このポリシー設定を無効にした場合、または構成しなかった場合、自動再生が有効になります。
注: このポリシー設定は [コンピューターの構成] フォルダーおよび [ユーザーの構成] フォルダーにあります。ポリシー設定が競合する場合、[コンピューターの構成] にあるポリシー設定が [ユーザーの構成] にあるポリシー設定より優先されます。
自動実行の既定の動作を設定する有効
既定の自動実行の動作: [自動実行コマンドを実行しない]		このポリシー設定では、自動実行コマンドの既定の動作を設定します。
通常、自動実行コマンドは autorun.inf ファイルに保存されています。多くの場合、インストール プログラムや他のルーチンを起動します。
Windows Vista 以前の場合、自動実行コマンドを含むメディアを挿入すると、ユーザーによる手動操作がなくてもプログラムが自動的に実行されます。
この場合、ユーザーが知らずにコードが実行される可能性があるため、重大なセキュリティ上の問題が発生することがあります。Windows Vista 以降の既定の動作では、自動実行コマンドを実行するかどうかをユーザーに確認するメッセージが表示されます。自動実行コマンドは、[自動再生] ダイアログ ボックスでハンドラーとして表示されます。
このポリシー設定を有効にした場合、管理者は Windows Vista 以降の自動実行の既定の動作を次のように変更することができます。
a) 自動実行コマンドを完全に無効にする。または
b) 自動実行コマンドを Windows Vista 以前の自動実行の動作に戻す。
このポリシー設定を無効にした場合、または構成しなかった場合、Windows Vista 以降では、自動実行コマンドを実行するかどうかをユーザーに確認するメッセージが表示されます。

コントロールパネル

個人用設定

ポリシー設定ポリシー値説明
ロック画面スライドショーを有効にできないようにする有効PC 設定でロック画面スライド ショー設定を無効にし、ロック画面でスライド ショーを再生できないようにします。
既定では、ユーザーは、コンピューターのロック後に実行されるスライド ショーを有効にできます。
この設定を有効にした場合、ユーザーは、PC 設定でスライド ショー設定を修正できなくなり、スライド ショーが開始されることもなくなります。

システム

Device Guard

  • 本項目はハードウェアの互換性がない場合、クラッシュやデータの損失が生じるため、十分なテストを行った上で設定してください。
  • ポリシーファイルでは [未構成] で構成されないことに注意してください。
ポリシー設定ポリシー値説明
仮想化ベースのセキュリティを有効にする有効
オプション
プラットフォームのセキュリティレベルを選択する: [セキュア ブートと DMA 保護]
コードの整合性に対する仮想化ベースの保護: [UEFI ロックで有効化]
UEFI メモリ造成テーブルを要求する: [有効]
Credential Guard の構成: [UEFI ロックで有効化]
セキュリティで保護された起動構成: [有効]		仮想化ベースのセキュリティでは、Windows ハイパーバイザーを使用してセキュリティ サービスをサポートします。仮想化ベースのセキュリティはセキュア ブートを必要とし、DMA 保護を使用して有効にすることもできます。DMA 保護はハードウェア サポートを必要とし、正しく構成されたデバイスだけで有効にすることができます。
コードの整合性に対する仮想化ベースの保護
この設定により、カーネル モードのコードの整合性に対する仮想化ベースの保護が有効になります。この設定を有効にすると、カーネル モードのメモリ保護が強制され、コードの整合性の検証パスが仮想化ベースのセキュリティ機能によって保護されます。
[ロックなしで有効化] オプションを使用してコードの整合性に対する仮想化ベースの保護が有効化されていた場合、[無効] オプションを選択すると、コードの整合性に対する仮想化ベースの保護がリモートで無効になります。

[UEFI ロックで有効化] オプションを選択すると、コードの整合性に対する仮想化ベースの保護をリモートで無効化できなくなります。この機能を無効にするには、グループ ポリシーを [無効] に設定すると共に、UEFI に保存されている構成を消去するために、ユーザーが物理的に存在する各コンピューターからこのセキュリティ機能を削除する必要があります。

[ロックなしで有効化] オプションを選択すると、グループ ポリシーを使用してコードの整合性に対する仮想化ベースの保護をリモートで無効化できます。
[未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響はありません。レジストリに現在の設定がある場合、その設定は変更されません。
[UEFI メモリ属性テーブルを要求する] オプションによって [コードの整合性に対する仮想化ベースの保護] を有効にできるのは、UEFI ファームウェアでメモリ属性テーブルがサポートされているデバイスの場合のみです。UEFI メモリ属性テーブルがサポートされていないデバイスでは、使用されているファームウェアに [コードの整合性に対する仮想化ベースの保護] との互換性がない場合があり、クラッシュやデータの損失が生じることや、一部のプラグイン カードとの互換性が維持できなくことがあります。このオプションを設定しない場合は、対象のデバイスをテストして互換性を確認する必要があります。
警告: システムのすべてのドライバーはこの機能と互換性がある必要があります。互換性がない場合は、システムがクラッシュする可能性があります。互換性があることがわかっているコンピューターのみにこのポリシー設定が展開されるようにしてください。
Credential Guard
この設定を使用すると、仮想化ベースのセキュリティ機能を持つ Credential Guard を有効にして、資格情報を保護することができます。
[ロックなしで有効化] オプションを使用して Credential Guard が有効化されていた場合、[無効] オプションを選択すると、Credential Guard がリモートで無効になります。
[UEFI ロックで有効化] オプションを選択すると、Credential Guard をリモートで無効化できなくなります。この機能を無効にするには、グループ ポリシーを [無効] に設定すると共に、UEFI に保存されている構成を消去するために、ユーザーが物理的に存在する各コンピューターからこのセキュリティ機能を削除する必要があります。
[ロックなしで有効化] オプションを選択すると、グループ ポリシーを使用して Credential Guard をリモートで無効化できます。この設定を使用しているデバイスは、Windows 10 (Version 1511) 以上を実行している必要があります。
[未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響はありません。レジストリに現在の設定がある場合、その設定は変更されません。

セキュア起動
この設定は、ブート チェーンを保護するようにセキュア起動の構成を設定します。
[未構成] は既定の設定であり、管理者であるユーザーによる機能の構成を許可します。
[有効] オプションは、サポートされているハードウェア上でセキュア起動を有効化します。
[無効] オプションは、ハードウェア サポートに関係なくセキュア起動を無効にします。

[インターネット通信の設定}>[インターネット通信の設定]

ポリシー設定ポリシー値説明
HTTP経由の印刷をオフにする有効このポリシー設定では、このクライアントの HTTP 経由の印刷を許可するかどうかを指定します。
HTTP 経由の印刷では、イントラネットおよびインターネット上のプリンターで印刷できます。
注: このポリシー設定によって影響を受けるのは、インターネット印刷のクライアント側のみです。このポリシー設定が有効になっている場合でも、このコンピューターはインターネット プリント サーバーとして機能し、共有プリンターを HTTP 経由で利用可能にすることができます。
このポリシー設定を有効にした場合、このクライアントは HTTP 経由でインターネット プリンターに出力することはできません。
このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーは HTTP 経由でインターネット プリンターに出力することを選択できます。
"コンピューターの構成/管理用テンプレート/プリンター" の "Web ベース印刷" ポリシー設定も参照してください。
プリンター ドライバーの HTTP 経由でのダウンロードをオフにする有効このポリシー設定では、クライアントが HTTP 経由でプリンター ドライバー パッケージをダウンロードするかどうかを指定します。
HTTP 経由の印刷をセットアップするには、付属していないドライバーを HTTP 経由でダウンロードする必要があります。
注: このポリシー設定が有効になっている場合でも、クライアントはイントラネットやインターネットのプリンターに HTTP 経由で出力できます。 ローカルにインストールされていないドライバーのダウンロードのみを禁止します。
この設定を有効にした場合、プリンター ドライバーは HTTP 経由でダウンロードできません。
このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーは HTTP 経由でプリンター ドライバーをダウンロードできます。

グループポリシー

ポリシー設定ポリシー値説明
レジストリ ポリシーの処理を構成する有効
オプション
バックグラウンドで定期的に処理しているときは適用しない: [無効]
グループポリシー オブジェクトが変更されていなくても処理する: [有効]		このポリシー設定では、レジストリ ポリシーをいつ更新するかを決定します。
このポリシー設定は、[管理用テンプレート] フォルダーにあるすべてのポリシー、およびレジストリに値を格納しているその他のポリシーに影響します。この設定は、インストール時に設定されたレジストリ ポリシーを実装しているプログラムのカスタム設定よりも優先されます。
このポリシー設定を有効にした場合、オプションを変更するためのチェック ボックスが利用できるようになります。このポリシー設定を無効にした場合、または構成しなかった場合は、システムに影響はありません。
[バックグラウンドで定期的に処理しているときは適用しない] オプションを有効にした場合、コンピューターの使用中は関連するポリシーがバックグラウンドで更新されなくなります。バックグラウンドでの更新を無効にすると、再度ユーザーがログオンするか、システムを再起動するまでポリシーへの変更は適用されません。
[グループ ポリシー オブジェクトが変更されていなくても処理する] オプションを使うと、ポリシーが変更されていない場合でも、ポリシーは更新されて再適用されます。変更されたときのみ更新するように指定できるポリシーは複数あります。しかし、ユーザーが変更した場合に備え、変更されていないポリシーであっても、必要なポリシー設定を再適用するなどの方法で更新することをお勧めします。

プロセス作成の監査

ポリシー設定ポリシー値説明
プロセス作成イベントにコマンドラインを含める有効このポリシー設定では、新しいプロセスの作成時にセキュリティ監査イベントのログに記録する情報を決定します。
この設定は、プロセス作成の監査ポリシーが有効な場合にのみ適用されます。このポリシー設定を有効にした場合、このポリシー設定が適用されているワークステーションやサーバーでは、各プロセスのコマンド ライン情報が、プロセス作成の監査イベント 4688 "新しいプロセスの作成" の一部としてテキスト形式でセキュリティ イベント ログに記録されます。
このポリシー設定を無効にした場合、または構成しなかった場合、プロセスのコマンド ライン情報はプロセス作成の監査イベントに含まれません。
既定: 未構成
注: このポリシー設定を有効にした場合、セキュリティ イベントの読み取りアクセス権を持つユーザーは、正常に作成されたプロセスのコマンド ライン引数を読み取ることができます。コマンド ライン引数には、パスワードやユーザー データなどの機密性の高い情報や個人情報を含めることができます。

リモートプロシージャコール

ポリシー設定ポリシー値説明
認証されていない RPC クライアントを制限する有効
適用する RPC ランタイム未認証クライアント制限: [認証済み]		このポリシー設定は、RPC サーバーに接続する認証されていない RPC クライアントを RPC サーバー ランタイムが処理する方法を制御します。
このポリシー設定は、すべての RPC アプリケーションに影響します。 ドメイン環境では、このポリシー設定はグループ ポリシーの処理自体を含む広範な機能に影響する可能性があるため、注意して使用する必要があります。 このポリシー設定の変更を元に戻す場合、影響するコンピューターごとに手動での操作が必要になることがあります。 このポリシー設定は、ドメイン コントローラーには適用しないでください。
このポリシー設定を無効にすると、RPC サーバー ランタイムは Windows クライアントでは [認証済み] の値を使用し、このポリシー設定をサポートする Windows Server バージョンでは [なし] の値を使用します。
このポリシー設定を構成しない場合、設定は無効のままになります。 RPC サーバー ランタイムは、Windows クライアントでは [認証済み] の値の使用が、このポリシー設定をサポートする Server SKU では [なし] の値の使用が有効にされた場合と同じように動作します。
このポリシー設定を有効にすると、コンピューター上の RPC サーバーに接続する、認証されていない RPC クライアントを制限するよう RPC サーバー ランタイムに指示します。サーバーとの通信時に名前付きパイプを使用している場合、または RPC セキュリティを使用している場合に、クライアントは認証済みとして認識されます。このポリシー設定で選択された値によっては、未認証のクライアントがアクセスできるよう明示的に要求した RPC インターフェイスは、この制限から除外される場合もあります。
-- [なし] では、このポリシー設定が適用されるコンピューター上で実行されている RPC サーバーへの、すべての RPC クライアントの接続を許可します。
-- [認証済み] では、このポリシー設定が適用されるコンピューター上で実行されている RPC サーバーへの、認証済み (前の定義による) の RPC クライアントのみの接続を許可します。除外を要求したインターフェイスは除外されます。
-- [認証済み (例外なし)] では、このポリシー設定が適用されるコンピューター上で実行されている RPC サーバーへの、認証済み (前の定義による) の RPC クライアントのみの接続を許可します。 例外は許可されません。
注: このポリシー設定は、システムが再起動されるまで適用されません。

ログオン

ポリシー設定ポリシー値説明
ドメインに参加しているコンピューターのローカル ユーザーを列挙する無効このポリシー設定は、ドメインに参加しているコンピューターのローカル ユーザーを列挙します。
このポリシー設定を有効にした場合、ログオン UI に、ドメインに参加しているコンピューターのすべてのローカル ユーザーが列挙されます。
このポリシー設定を無効にした場合、または構成しなかった場合、ログオン UI に、ドメインに参加しているコンピューターのローカル ユーザーは列挙されません。
ネットワークの選択の UI を表示しない有効このポリシー設定を使用すると、ログイン画面で使用可能なネットワークの UI をだれでも操作できるかどうかを制御できます。
このポリシー設定を有効にした場合、Windows にサインインしないと PC のネットワーク接続の状態を変更できません。
このポリシー設定を無効にした場合、または構成しなかった場合、すべてのユーザーは、Windows にサインインしなくても、PC をネットワークから切断したり、別の使用可能なネットワークに接続したりすることができます。

[電源の管理]>[スリープの設定]

ポリシー設定ポリシー値説明
コンピュータのスリープ状態の解除時にパスワードを要求する(バッテリ使用時)有効このポリシー設定では、システムのスリープ状態を解除するときに、ユーザーにパスワードを要求するかどうかを指定します。
このポリシー設定を有効にした場合、または構成しなかった場合、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されます。
このポリシー設定を無効にすると、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されません。
コンピュータのスリープ状態の解除時にパスワードを要求する(電源接続時)

ネットワーク

Lanman ワークステーション

ポリシー設定ポリシー値説明
安全でないゲスト ログオンを有効にする無効このポリシー設定では、SMB クライアントが SMB サーバーへの安全でないゲスト ログオンを許可するかどうかを決定します。
このポリシー設定を有効にした場合、またはこのポリシー設定を構成しなかった場合、SMB クライアントは安全でないゲスト ログオンを許可します。
このポリシー設定を無効にした場合、SMB クライアントは安全でないゲスト ログオンを拒否します。
安全でないゲスト ログオンがファイル サーバーによって使用されるのは、共有フォルダーに対する認証されていないアクセスを許可することが目的です。エンタープライズ環境では一般的ではありませんが、ファイル サーバーとして動作しているコンシューマー NAS (ネットワーク接続ストレージ) アプライアンスでは、安全でないゲスト ログオンが頻繁に使用されています。Windows ファイル サーバーでは認証を要求し、既定では安全でないゲスト ログオンを使用しません。安全でないゲスト ログオンは認証されていないため、SMB 署名、SMB 暗号化などの重要なセキュリティ機能が無効になります。結果として、安全でないゲスト ログオンを許可するクライアントは、さまざまな man-in-the-middle 攻撃に対して脆弱になり、データ損失、データの破損、マルウェアに対するリスクにつながる可能性があります。また、安全でないゲスト ログオンを使用してファイル サーバーに書き込まれたデータには、ネットワーク上のすべてのユーザーからアクセスできる可能性があります。Microsoft では、安全でないゲスト ログオンを無効にして、認証されたアクセスが要求されるようにファイル サーバーを構成することをお勧めします。

ネットワークプロバイダー

ポリシー設定ポリシー値説明
強化された UNC パス有効このポリシー設定は、UNCパスへの安全なアクセスを構成します。このポリシーを有効にすると、Windowsは追加のセキュリティ要件を満たした後、指定されたUNCパスへのアクセスのみを許可します。
値の名前: \\*SYSVOL
値: RequireMutualAuthentication = 1, RequireIntegrity = 1
値の名前: \\*\NETLOGON
値: RequireMutualAuthentication = 1, RequireIntegrity = 1
UNC-Path.jpg