- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-12-02T16:46:14+09:00","","")
[[Windows Group Policy Level 1設定]]
#author("2019-12-03T09:49:45+09:00","","")
[[Level 1 Enterprise Basic Security configuration]]
*[コンピュータの構成]>[ポリシー]>[Windows の設定]>[ローカルポリシー]>[セキュリティ オプション] [#w34439dd]
**アカウント [#sa40ea59]
|150|150|説明|c
|ポリシー設定|ポリシー値|説明|h
|ローカルアカウントでの空のパスワードの使用をコンソールログオンのみに制限する|有効化|このセキュリティ設定は、パスワードで保護されていないローカルアカウントを使用して、物理コンピューターコンソール以外の場所からログオンできるかどうかを決定します。有効にすると、パスワードで保護されていないローカルアカウントは、コンピューターのキーボードでのみログオンできます。|
**監査 [#g931de73]
|150|150|説明|c
|ポリシー設定|ポリシー値|説明|h
|監査ポリシーのサブカテゴリ設定(Windows Vista以降)を強制して、監査ポリシーのカテゴリ設定を上書きします|有効化|Windows Vista以降のバージョンのWindowsでは、監査ポリシーのサブカテゴリを使用して、より正確な方法で監査ポリシーを管理できます。カテゴリレベルで監査ポリシーを設定すると、新しいサブカテゴリ監査ポリシー機能が上書きされます。グループポリシーでは、監査ポリシーをカテゴリレベルでのみ設定できます。また、既存のグループポリシーは、ドメインへの参加またはアップグレード時に新しいマシンのサブカテゴリ設定をオーバーライドできます。グループポリシーを変更せずにサブカテゴリを使用して監査ポリシーを管理できるようにするため、Windows Vista以降のバージョンには新しいレジストリ値SCENo&3x41;pplyLegacyAuditPolicyがあり、グループポリシーおよびローカルセキュリティからのカテゴリレベルの監査ポリシーの適用を防止しますポリシー管理ツール。|
**ドメインメンバー [#k6b13608]
|150|150|説明|c
|ポリシー設定|ポリシー値|説明|h
|セキュリティで保護されたチャネルデータをデジタル的に暗号化または署名する(常に)|有効化|このセキュリティ設定は、ドメインメンバーによって開始されたすべてのセキュリティで保護されたチャネルトラフィックを署名または暗号化する必要があるかどうかを決定します。この設定は、ドメインメンバーによって開始されたすべてのセキュアチャネルトラフィックが最小セキュリティ要件を満たしているかどうかを決定します。具体的には、ドメインメンバーによって開始されたすべてのセキュリティで保護されたチャネルトラフィックを署名または暗号化する必要があるかどうかを決定します。このポリシーが有効になっている場合、すべてのセキュアチャネルトラフィックの署名または暗号化がネゴシエートされない限り、セキュアチャネルは確立されません。このポリシーを無効にすると、すべてのセキュリティで保護されたチャネルトラフィックの暗号化と署名がドメインコントローラーとネゴシエートされます。この場合、署名と暗号化のレベルはドメインコントローラーのバージョンと次の2つのポリシーの設定によって異なります。-ドメインメンバー:セキュリティで保護されたチャネルデータをデジタルで暗号化する(可能な場合)-ドメインメンバー:セキュリティで保護されたチャネルデータにデジタルで署名する(可能な場合)|
|セキュリティで保護されたチャネルデータをデジタルで暗号化します(可能な場合)|有効化|このセキュリティ設定は、ドメインメンバーが開始するすべてのセキュリティで保護されたチャネルトラフィックの暗号化をネゴシエートするかどうかを決定します。有効にすると、ドメインメンバーはすべての安全なチャネルトラフィックの暗号化を要求します。ドメインコントローラーがすべてのセキュリティで保護されたチャネルトラフィックの暗号化をサポートしている場合、すべてのセキュリティで保護されたチャネルトラフィックが暗号化されます。それ以外の場合、安全なチャネルを介して送信されるログオン情報のみが暗号化されます。この設定が無効になっている場合、ドメインメンバーはセキュアチャネル暗号化のネゴシエーションを試行しません。|
|セキュリティで保護されたチャネルデータにデジタル署名する(可能な場合)|有効化|このセキュリティ設定は、ドメインメンバーが開始するすべてのセキュリティで保護されたチャネルトラフィックの署名をネゴシエートしようとするかどうかを決定します。有効にすると、ドメインメンバーはすべてのセキュアチャネルトラフィックの署名を要求します。ドメインコントローラーがすべてのセキュリティで保護されたチャネルトラフィックの署名をサポートしている場合、すべてのセキュリティで保護されたチャネルトラフィックが署名されるため、送信中に改ざんされることはありません。|
|マシンアカウントのパスワード変更を無効にする|無効|ドメインメンバーがそのコンピューターアカウントのパスワードを定期的に変更するかどうかを決定します。|
|マシンアカウントのパスワードの有効期間|30|ドメインメンバーがコンピューターアカウントのパスワードを変更しようとする頻度を決定します|
|ドメインメンバー:強力な(Windows 2000以降)セッションキーが必要|有効化|暗号化されたセキュアチャネルデータに128ビットキー強度が必要かどうかを決定します|
**対話型ログオン [#h43c33ed]
|150|150|説明|c
|ポリシー設定|ポリシー値|説明|h
|マシンの非アクティブ制限|900|セッションがロックされるまでの非アクティブの秒数|
|スマートカードの取り外し動作|ロックワークステーション|このセキュリティ設定は、ログオンしているユーザーのスマートカードがスマートカードリーダーから削除されたときに何が起こるかを決定します。クリックするとワークステーションのロックでプロパティをこのポリシーのスマートカードが取り外されたときに、ワークステーションは、ユーザーが、地域を離れ、彼らと彼らのスマートカードを取り、まだ保護されたセッションを維持することができ、ロックされています。この設定をWindows Vista以降で機能させるには、スマートカード削除ポリシーサービスを開始する必要があります。|
**Microsoftネットワーククライアント [#d8ea4751]
|150|150|説明|c
|ポリシー設定|ポリシー値|説明|h
|通信にデジタル署名を常に行う|有効化|このセキュリティ設定は、SMBクライアントコンポーネントでパケット署名が必要かどうかを決定します。|
|Microsoftネットワーククライアント:暗号化されていないパスワードをサードパーティのSMBサーバーに送信する|無効|このセキュリティ設定が有効になっている場合、サーバーメッセージブロック(SMB)リダイレクターは、認証中にパスワード暗号化をサポートしていないMicrosoft以外のSMBサーバーにプレーンテキストパスワードを送信できます。暗号化されていないパスワードを送信することはセキュリティ上のリスクです。|
**Microsoftネットワークサーバー [#r8a6d3c7]
|150|150|説明|c
|ポリシー設定|ポリシー値|説明|h
|通信にデジタル署名(常に)|有効化|このセキュリティ設定は、SMBサーバーコンポーネントでパケット署名が必要かどうかを決定します。|
**ネットワークアクセス [#n6ead34a]
|150|150|説明|c
|ポリシー設定|ポリシー値|説明|h
|匿名のSID /名前変換を許可する|無効|このセキュリティ設定は、匿名ユーザーが別のユーザーのセキュリティ識別子(SID)属性を要求できるかどうかを決定します。このポリシーが有効になっている場合、管理者のSIDを知っているユーザーは、このポリシーが有効になっているコンピューターにアクセスし、SIDを使用して管理者の名前を取得できます。|
|SAMアカウントの匿名列挙を許可しない|有効化|このセキュリティ設定は、コンピューターへの匿名接続に付与される追加のアクセス許可を決定します。Windowsでは、匿名ユーザーがドメインアカウントやネットワーク共有の名前を列挙するなど、特定のアクティビティを実行できます。これは、たとえば、管理者が相互信頼を維持していない信頼できるドメインのユーザーにアクセスを許可する場合に便利です。このセキュリティオプションを使用すると、次のように匿名接続に追加の制限を設定できます。有効:SAMアカウントの列挙を許可しません。このオプションは、リソースのセキュリティ権限でEveryoneをAuthenticated Usersに置き換えます。|
|SAMアカウントと共有の匿名列挙を許可しない|有効化|このセキュリティ設定は、SAMアカウントと共有の匿名列挙が許可されるかどうかを決定します。Windowsでは、匿名ユーザーがドメインアカウントやネットワーク共有の名前を列挙するなど、特定のアクティビティを実行できます。これは、たとえば、管理者が相互信頼を維持していない信頼できるドメインのユーザーにアクセスを許可する場合に便利です。SAMアカウントと共有の匿名列挙を許可しない場合は、このポリシーを有効にします。|
|名前付きパイプと共有への匿名アクセスを制限する|有効化|有効にすると、このセキュリティ設定により、共有およびパイプへの匿名アクセスが次の設定に制限されます。-ネットワークアクセス:匿名でアクセスできる名前付きパイプ-ネットワークアクセス:匿名でアクセスできる共有|
|SAMへのリモート呼び出しを許可されたクライアントを制限する|O:BAG:BAD:(A ;; RC ;;; BA)|このポリシー設定を使用すると、SAMへのリモートRPC接続を制限できます。選択しない場合、デフォルトのセキュリティ記述子が使用されます。|
**ネットワークセキュリティ [#pd3ec705]
|150|150|説明|c
|ポリシー設定|ポリシー値|説明|h
|LocalSystem NULLセッションフォールバックを許可する|無効|LocalSystemで使用する場合、NTLMがNULLセッションにフォールバックできるようにします|
|次のパスワード変更時にLAN Managerハッシュ値を保存しない|有効化|このセキュリティ設定は、次回のパスワード変更時に、新しいパスワードのLAN Manager(LM)ハッシュ値が保存されるかどうかを決定します。LMハッシュは、暗号的に強力なWindows NTハッシュと比較して、比較的弱く、攻撃を受けやすいです。LMハッシュはセキュリティデータベースのローカルコンピューターに保存されるため、セキュリティデータベースが攻撃されるとパスワードが危険にさらされる可能性があります。|
|LAN Manager認証レベル|NTLMv2応答のみを送信します。LMとNTLMを拒否|このセキュリティ設定は、ネットワークログオンに使用されるチャレンジ/レスポンス認証プロトコルを決定します。この選択は、クライアントが使用する認証プロトコルのレベル、ネゴシエートされるセッションセキュリティのレベル、およびサーバーが受け入れる認証のレベルに次のように影響します。NTLMv2応答のみを送信\ LMとNTLMを拒否:クライアントはNTLMv2認証のみを使用し、NTLMv2セッションセキュリティを使用サーバーがサポートしている場合; ドメインコントローラーはLMおよびNTLMを拒否します(NTLMv2認証のみを受け入れます)。|
|LDAPクライアントの署名要件|署名を交渉する|このセキュリティ設定は、LDAP BIND要求を発行するクライアントに代わって要求されるデータ署名のレベルを次のように決定します。署名のネゴシエート:トランスポート層セキュリティ/ Secure Sockets Layer(TLS \ SSL)が開始されていない場合、LDAP BIND要求は呼び出し元が指定したオプションに加えて、LDAPデータ署名オプションを設定して開始されます。TLS \ SSLが開始されている場合、LDAP BIND要求は呼び出し元によって指定されたオプションで開始されます。|
|NTLM SSPベース(セキュアRPCを含む)クライアントの最小セッションセキュリティ|NTLMv2セッションセキュリティと128ビット暗号化が必要|このセキュリティ設定により、クライアントは128ビット暗号化やNTLMv2セッションセキュリティのネゴシエーションを要求できます。これらの値は、LAN Manager認証レベルのセキュリティ設定値に依存しています。|
|NTLM SSPベース(セキュアRPCを含む)サーバーの最小セッションセキュリティ|NTLMv2セッションセキュリティと128ビット暗号化が必要|このセキュリティ設定により、サーバーは128ビット暗号化やNTLMv2セッションセキュリティのネゴシエーションを要求できます。これらの値は、LAN Manager認証レベルのセキュリティ設定値に依存しています。|
**システムオブジェクト [#cd7890ce]
|150|150|説明|c
|ポリシー設定|ポリシー値|説明|h
|内部システムオブジェクトの既定のアクセス許可を強化します(例:シンボリックリンク)|有効化|このセキュリティ設定は、オブジェクトの既定の随意アクセス制御リスト(DACL)の強度を決定します。Active Directoryは、DOSデバイス名、ミューテックス、セマフォなどの共有システムリソースのグローバルリストを保持します。このようにして、オブジェクトを見つけてプロセス間で共有できます。各タイプのオブジェクトは、オブジェクトにアクセスできるユーザーと許可されるアクセス許可を指定するデフォルトのDACLを使用して作成されます。このポリシーを有効にすると、既定のDACLが強化され、管理者ではないユーザーは共有オブジェクトを読み取ることができますが、これらのユーザーは作成していない共有オブジェクトを変更できなくなります。|
|ネットワークセキュリティ:LocalSystem NULLセッションフォールバックを許可する|無効|LocalSystemで使用する場合、NTLMがNULLセッションにフォールバックできるようにします|
|ネットワークセキュリティ:次のパスワード変更時にLAN Managerハッシュ値を保存しない|有効化|このセキュリティ設定は、次回のパスワード変更時に、新しいパスワードのLAN Manager(LM)ハッシュ値が保存されるかどうかを決定します。LMハッシュは、暗号的に強力なWindows NTハッシュと比較して、比較的弱く、攻撃を受けやすいです。LMハッシュはセキュリティデータベースのローカルコンピューターに保存されるため、セキュリティデータベースが攻撃されるとパスワードが危険にさらされる可能性があります。|
|ネットワークセキュリティ:LAN Manager認証レベル|NTLMv2応答のみを送信します。LMとNTLMを拒否|このセキュリティ設定は、ネットワークログオンに使用されるチャレンジ/レスポンス認証プロトコルを決定します。この選択は、クライアントが使用する認証プロトコルのレベル、ネゴシエートされるセッションセキュリティのレベル、およびサーバーが受け入れる認証のレベルに次のように影響します。NTLMv2応答のみを送信\ LMとNTLMを拒否:クライアントはNTLMv2認証のみを使用し、NTLMv2セッションセキュリティを使用サーバーがサポートしている場合; ドメインコントローラーはLMおよびNTLMを拒否します(NTLMv2認証のみを受け入れます)。|
|ネットワークセキュリティ:LDAPクライアントの署名要件|署名を交渉する|このセキュリティ設定は、LDAP BIND要求を発行するクライアントに代わって要求されるデータ署名のレベルを次のように決定します。署名のネゴシエート:トランスポート層セキュリティ/ Secure Sockets Layer(TLS \ SSL)が開始されていない場合、LDAP BIND要求は呼び出し元が指定したオプションに加えて、LDAPデータ署名オプションを設定して開始されます。TLS \ SSLが開始されている場合、LDAP BIND要求は呼び出し元によって指定されたオプションで開始されます。|
|ネットワークセキュリティ:NTLM SSPベース(セキュアRPCを含む)クライアントの最小セッションセキュリティ|NTLMv2セッションセキュリティと128ビット暗号化が必要|このセキュリティ設定により、クライアントは128ビット暗号化やNTLMv2セッションセキュリティのネゴシエーションを要求できます。これらの値は、LAN Manager認証レベルのセキュリティ設定値に依存しています。|
|ネットワークセキュリティ:NTLM SSPベース(セキュアRPCを含む)サーバーの最小セッションセキュリティ|NTLMv2セッションセキュリティと128ビット暗号化が必要|このセキュリティ設定により、サーバーは128ビット暗号化やNTLMv2セッションセキュリティのネゴシエーションを要求できます。これらの値は、LAN Manager認証レベルのセキュリティ設定値に依存しています。|
|システムオブジェクト:内部システムオブジェクトの既定のアクセス許可を強化します(例:シンボリックリンク)|有効化|このセキュリティ設定は、オブジェクトの既定の随意アクセス制御リスト(DACL)の強度を決定します。Active Directoryは、DOSデバイス名、ミューテックス、セマフォなどの共有システムリソースのグローバルリストを保持します。このようにして、オブジェクトを見つけてプロセス間で共有できます。各タイプのオブジェクトは、オブジェクトにアクセスできるユーザーと許可されるアクセス許可を指定するデフォルトのDACLを使用して作成されます。このポリシーを有効にすると、既定のDACLが強化され、管理者ではないユーザーは共有オブジェクトを読み取ることができますが、これらのユーザーは作成していない共有オブジェクトを変更できなくなります。|
|ユーザーアカウント制御:組み込みの管理者の管理者承認モード|有効化|ビルトインAdministratorアカウントは管理者承認モードを使用します-特権の昇格を必要とする操作はすべて、ユーザーにその操作を承認するように促します|
|ユーザーアカウント制御:管理者承認モードでの管理者に対する昇格時のプロンプトの動作|セキュリティで保護されたデスクトップで同意を求める|操作に特権の昇格が必要な場合、ユーザーはセキュリティで保護されたデスクトップで特権ユーザー名とパスワードを入力するよう求められます。ユーザーが有効な資格情報を入力すると、ユーザーの利用可能な最高の特権で操作が続行されます。|
|ユーザーアカウント制御:アプリケーションのインストールを検出し、昇格を促す|有効化|特権の昇格を必要とするアプリケーションインストールパッケージが検出されると、ユーザーは管理ユーザー名とパスワードの入力を求められます。ユーザーが有効な資格情報を入力すると、該当する特権で操作が続行されます。|
|ユーザーアカウント制御:安全な場所にインストールされているUIAccessアプリケーションのみを昇格する|有効化|このポリシー設定は、ユーザーインターフェイスアクセシビリティ(UIAccess)整合性レベルでの実行を要求するアプリケーションがファイルシステムの安全な場所に存在する必要があるかどうかを制御します。安全な場所は次のものに制限されます。|
**ユーザーアカウント制御 [#k0556346]
|150|150|説明|c
|ポリシー設定|ポリシー値|説明|h
|組み込みの管理者の管理者承認モード|有効化|ビルトインAdministratorアカウントは管理者承認モードを使用します-特権の昇格を必要とする操作はすべて、ユーザーにその操作を承認するように促します|
|管理者承認モードでの管理者に対する昇格時のプロンプトの動作|セキュリティで保護されたデスクトップで同意を求める|操作に特権の昇格が必要な場合、ユーザーはセキュリティで保護されたデスクトップで特権ユーザー名とパスワードを入力するよう求められます。ユーザーが有効な資格情報を入力すると、ユーザーの利用可能な最高の特権で操作が続行されます。|
|アプリケーションのインストールを検出し、昇格を促す|有効化|特権の昇格を必要とするアプリケーションインストールパッケージが検出されると、ユーザーは管理ユーザー名とパスワードの入力を求められます。ユーザーが有効な資格情報を入力すると、該当する特権で操作が続行されます。|
|安全な場所にインストールされているUIAccessアプリケーションのみを昇格する|有効化|このポリシー設定は、ユーザーインターフェイスアクセシビリティ(UIAccess)整合性レベルでの実行を要求するアプリケーションがファイルシステムの安全な場所に存在する必要があるかどうかを制御します。安全な場所は次のものに制限されます。|
|~|~|-…\Program Files\、サブフォルダーを含む|
|~|~|-…\Windows\system32\|
|~|~|-…\ Program Files(x86)\、64ビットバージョンのWindowsのサブフォルダーを含む|
|ユーザーアカウント制御:管理者承認モードですべての管理者を実行します|有効化|このポリシーを有効にし、関連するUACポリシー設定も適切に設定して、ビルトインAdministratorアカウントおよびAdministratorsグループのメンバーである他のすべてのユーザーが管理者承認モードで実行できるようにする必要があります。|
|ユーザーアカウント制御:ファイルとレジストリの書き込みエラーをユーザーごとの場所に仮想化する|有効化|このポリシー設定は、アプリケーションの書き込みエラーを定義済みのレジストリおよびファイルシステムの場所にリダイレクトするかどうかを制御します。このポリシー設定は、管理者として実行され、ランタイムアプリケーションデータを%ProgramFiles%、%Windir%、%Windir%\ system32、またはHKLM \ Softwareに書き込むアプリケーションを軽減します。|
|管理者承認モードですべての管理者を実行します|有効化|このポリシーを有効にし、関連するUACポリシー設定も適切に設定して、ビルトインAdministratorアカウントおよびAdministratorsグループのメンバーである他のすべてのユーザーが管理者承認モードで実行できるようにする必要があります。|
|ファイルとレジストリの書き込みエラーをユーザーごとの場所に仮想化する|有効化|このポリシー設定は、アプリケーションの書き込みエラーを定義済みのレジストリおよびファイルシステムの場所にリダイレクトするかどうかを制御します。このポリシー設定は、管理者として実行され、ランタイムアプリケーションデータを%ProgramFiles%、%Windir%、%Windir%\ system32、またはHKLM \ Softwareに書き込むアプリケーションを軽減します。|
