・L1 システム のバックアップ(No.9)
・レベル1セキュリティ構成(Windows 10)
・Windows Server 2016 Domain Controller
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[システム] †
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[システム]>[インターネット通信の管理]>[インターネット通信設定] †
| ポリシー設定 | 値 | 説明 |
| Web 発行およびオンライン注文ウィザードのインターネット ダウンロードをオフにする | 有効 | このポリシー設定は、WindowsがWeb公開ウィザードおよびオンライン注文ウィザードのプロバイダーのリストをダウンロードするかどうかを指定します。これらのウィザードを使用すると、ユーザーはオンラインストレージや写真印刷などのサービスを提供する会社のリストから選択できます。デフォルトでは、Windowsは、レジストリで指定されたプロバイダーに加えて、Windows Webサイトからダウンロードされたプロバイダーを表示します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[システム]>[カーネル DMA 保護] †
| ポリシー設定 | 値 | 説明 |
| カーネル DMA 保護と互換性のない外部デバイスの列挙ポリシー | 有効 オプション:列挙ポリシー すべて禁止 | DMA 再マッピングと互換性のない外部 DMA 対応デバイスの列挙ポリシー。このポリシーは、カーネル DMA 保護が有効されていて、かつシステムでサポートされている場合にのみ有効です。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[システム]>[グループポリシー] †
| ポリシー設定 | 値 | 説明 |
| レジストリポリシーの処理を構成する | バックグランドで定期的に処理しているときは適用しない=無効 グループ ポリシー オブジェクトが変更されていなくても処理する=有効 | このポリシー設定では、レジストリ ポリシーをいつ更新するかを決定します。 このポリシー設定は、[管理用テンプレート] フォルダーにあるすべてのポリシー、およびレジストリに値を格納しているその他のポリシーに影響します。この設定は、インストール時に設定されたレジストリ ポリシーを実装しているプログラムのカスタム設定よりも優先されます。 このポリシー設定を有効にした場合、オプションを変更するためのチェック ボックスが利用できるようになります。このポリシー設定を無効にした場合、または構成しなかった場合は、システムに影響はありません。 [バックグラウンドで定期的に処理しているときは適用しない] オプションを有効にした場合、コンピューターの使用中は関連するポリシーがバックグラウンドで更新されなくなります。バックグラウンドでの更新を無効にすると、再度ユーザーがログオンするか、システムを再起動するまでポリシーへの変更は適用されません。 [グループ ポリシー オブジェクトが変更されていなくても処理する] オプションを使うと、ポリシーが変更されていない場合でも、ポリシーは更新されて再適用されます。変更されたときのみ更新するように指定できるポリシーは複数あります。しかし、ユーザーが変更した場合に備え、変更されていないポリシーであっても、必要なポリシー設定を再適用するなどの方法で更新することをお勧めします。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[システム]>[サービス コントロール マネージャーの設定]>[セキュリティの設定] †
| ポリシー設定 | 値 | 説明 |
| svchost.exe 軽減オプションを有効にする | 有効 | svchost.exeプロセスのプロセス軽減オプションを有効にします。 このポリシー設定を有効にすると、svchost.exeプロセスでホストされている組み込みシステムサービスで、より厳しいセキュリティポリシーが有効になります。これには、これらのプロセスに読み込まれたすべてのバイナリにマイクロソフトによる署名を要求するポリシーと、動的に生成されたコードを許可しないポリシーが含まれます。 このポリシー設定を無効にした場合、または構成しなかった場合、これらのより厳しいセキュリティ設定は適用されません。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[システム]>[デバイスのインストール]>[デバイスのインストールの制限] †
| ポリシー設定 | 値 | 説明 |
| これらのデバイス ID と一致するデバイスのインストールを禁止します | 有効 [表示ボタン]をクリックし、禁止するハードウェアID、プラグ アンド プレイ互換 IDを入力する すでにインストールされている一致するデバイスにも適用されます= 有効 | このポリシー設定を使用すると、WindowsがインストールできないデバイスのプラグアンドプレイハードウェアIDと互換性IDのリストを指定できます。このポリシー設定は、Windowsによるデバイスのインストールを許可する他のポリシー設定よりも優先されます。 このポリシー設定を有効にすると、作成したリストにハードウェアIDまたは互換性IDが表示されるデバイスをWindowsがインストールできなくなります。 リモートデスクトップサーバーでこのポリシー設定を有効にすると、ポリシー設定は、指定されたデバイスのリモートデスクトップクライアントからリモートデスクトップサーバーへのリダイレクトに影響します。このポリシー設定を無効にするか、未構成にした場合、他のポリシー設定で許可または禁止されているデバイスをインストールおよび更新できます。 |
| これらのデバイス セットアップ クラスのドライバーを使用したデバイスのインストールを禁止する | 有効 [表示]ボタンをクリックし、デバイス セットアップ クラスを表す GUID を入力する 既にインストールされている一致するデバイスにも適用されます=有効 | このポリシー設定を使用すると、Windowsがインストールできないデバイスドライバーのデバイスセットアップクラスのグローバル一意識別子(GUID)の一覧を指定できます。 このポリシー設定は、Windowsによるデバイスのインストールを許可する他のポリシー設定よりも優先されます。このポリシー設定を有効にすると、作成したリストにデバイスセットアップクラスGUIDが表示されるデバイスドライバーのインストールまたは更新がWindowsで禁止されます。リモートデスクトップサーバーでこのポリシー設定を有効にすると、ポリシー設定は、指定されたデバイスのリモートデスクトップクライアントからリモートデスクトップサーバーへのリダイレクトに影響します。 このポリシー設定を無効にした場合、または構成しなかった場合、Windowsは他のポリシー設定で許可または禁止されているデバイスをインストールおよび更新できます。 |
グループポリシーを使用してデバイスのインストールを制御するためのステップバイステップガイド:
https://docs.microsoft.com/en-us/previous-versions/dotnet/articles/bb530324(v=msdn.10)?redirectedfrom=MSDN
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[システム]>[リモートプロシージャコール] †
| ポリシー設定 | 値 | 説明 |
| 認証されていない RPC クライアントを制限する | 有効 [認証済み] | このポリシー設定は、すべての RPC アプリケーションに影響します。 ドメイン環境では、このポリシー設定はグループ ポリシーの処理自体を含む広範な機能に影響する可能性があるため、注意して使用する必要があります。 このポリシー設定の変更を元に戻す場合、影響するコンピューターごとに手動での操作が必要になることがあります。 このポリシー設定は、ドメイン コントローラーには適用しないでください。 このポリシー設定を無効にすると、RPC サーバー ランタイムは Windows クライアントでは [認証済み] の値を使用し、このポリシー設定をサポートする Windows Server バージョンでは [なし] の値を使用します。 このポリシー設定を構成しない場合、設定は無効のままになります。 RPC サーバー ランタイムは、Windows クライアントでは [認証済み] の値の使用が、このポリシー設定をサポートする Server SKU では [なし] の値の使用が有効にされた場合と同じように動作します。 このポリシー設定を有効にすると、コンピューター上の RPC サーバーに接続する、認証されていない RPC クライアントを制限するよう RPC サーバー ランタイムに指示します。サーバーとの通信時に名前付きパイプを使用している場合、または RPC セキュリティを使用している場合に、クライアントは認証済みとして認識されます。このポリシー設定で選択された値によっては、未認証のクライアントがアクセスできるよう明示的に要求した RPC インターフェイスは、この制限から除外される場合もあります。 -- [なし] では、このポリシー設定が適用されるコンピューター上で実行されている RPC サーバーへの、すべての RPC クライアントの接続を許可します。 -- [認証済み] では、このポリシー設定が適用されるコンピューター上で実行されている RPC サーバーへの、認証済み (前の定義による) の RPC クライアントのみの接続を許可します。除外を要求したインターフェイスは除外されます。 -- [認証済み (例外なし)] では、このポリシー設定が適用されるコンピューター上で実行されている RPC サーバーへの、認証済み (前の定義による) の RPC クライアントのみの接続を許可します。 例外は許可されません。 注: このポリシー設定は、システムが再起動されるまで適用されません。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[システム]>[起動時マルウェア対策] †
| ポリシー設定 | 値 | 説明 |
| ブート開始ドライバーの初期化ポリシー | 有効 良好、不明、および不良(ブートに不可欠) | 起動時マルウェア対策のブート開始ドライバーによって決定された分類に基づいて、どのブートスタートドライバーを初期化するかを指定できます。起動時マルウェア対策のブート開始ドライバーは、各ブート開始ドライバーについて次の分類を返すことができます。 -良好:ドライバーは署名されており、改ざんされていません。 -不良:ドライバーがマルウェアとして識別されました。既知の不良ドライバーの初期化を許可しないことをお勧めします。 -不良(起動に不可欠):ドライバーはマルウェアとして識別されましたが、コンピューターはこのドライバーをロードしないと正常に起動できません。 -不明:このドライバーは、マルウェア検出アプリケーションによって証明されておらず、起動時マルウェア対策ブート開始ドライバーによって分類されていません。 このポリシー設定を有効にすると、次回コンピューターを起動するときに初期化するブート開始ドライバーを選択できます。このポリシー設定を無効にした場合、または構成しなかった場合、正常、不明、または不良と判断されたブート開始ドライバーは初期化され、不良と判断されたドライバーの初期化はスキップされます。マルウェア検出アプリケーションに起動時マルウェア対策ブート開始ドライバーが含まれていない場合、または起動時マルウェア対策ブート開始ドライバーが無効になっている場合、この設定は効果がなく、すべてのブートスタートドライバーが初期化されます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[システム]>[資格情報の委任] †
| ポリシー設定 | 値 | 説明 |
| リモートホストでエクスポート不可の資格情報の委任を許可する | 有効 | 資格情報の委任を使用する場合、デバイスはリモートホストに資格情報のエクスポート可能なバージョンを提供します。 これにより、ユーザーはリモートホストの攻撃者からの資格情報の盗難のリスクにさらされます。このポリシー設定を有効にすると、ホストは制限付き管理モードまたはリモート資格情報ガードモードをサポートします。 |
| 暗号化オラクルの修復 | 更新済みクライアントの強制 | 一部のバージョンの CredSSP プロトコルには、クライアントに対する暗号化オラクル攻撃を受けやすい脆弱性があります。 このポリシーは、攻撃を受けやすいクライアントおよびサーバーとの互換性を制御します。このポリシーを使用すると、暗号化オラクル攻撃に対する脆弱性について、望ましい保護レベルを設定できます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[システム]>[電源の管理]>[スリープの設定] †
| ポリシー設定 | 値 | 説明 |
| コンピューターのスリープ状態の解除時にパスワードを要求する(バッテリー使用時) | 有効 | システムがスリープから再開するときに、ユーザーにパスワードの入力を求めるかどうかを指定します |
| コンピューターのスリープ状態の解除時にパスワードを要求する(電源接続時) | 有効 | システムがスリープから再開するときに、ユーザーにパスワードの入力を求めるかどうかを指定します |
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。 その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。