・レベル1セキュリティ構成(Windows 10)
アプリランタイム †
| ポリシー設定 | ポリシー値 | 説明 |
| Microsoftアカウントをオプションにする | 有効化 | サインインにアカウントを必要とするWindowsストアアプリでMicrosoftアカウントがオプションかどうかを制御できます。このポリシーは、それをサポートするWindowsストアアプリにのみ影響します。 |
自動再生のポリシー †
| ポリシー設定 | ポリシー値 | 説明 |
| ボリューム以外のデバイスの自動再生を許可しない | 有効 | カメラや電話などのMTPデバイスの自動再生を禁止します。 |
| 自動実行の規程の動作を設定する | 有効
自動実行のコマンドを実行しない | 自動実行コマンドのデフォルトの動作を設定します。 |
| 自動再生機能をオフにする | 有効
すべてのドライブ | 自動再生機能をオフにできます。 |
生体認証/顔特徴 †
| ポリシー設定 | ポリシー値 | 説明 |
| 拡張スプーフィング対策を構成する | 有効 | この設定を有効にした場合、またはこの設定を構成しない場合は、管理対象デバイスのすべてのユーザーに、Windows Hello 顔認証に対する拡張スプーフィング対策の使用が要求されます。これにより、拡張スプーフィング対策をサポートしていないデバイスでは Windows Hello 顔認証が無効になります。 |
BitLocker ドライブ暗号化 †
| ポリシー設定 | ポリシー値 | 説明 |
| このコンピューターがロックされているときに新しいDMA デバイスを無効にする | 有効 | ユーザーがWindowsにログインするまで、すべてのThunderboltホットプラグ可能なPCIダウンストリームポートのダイレクトメモリアクセス(DMA)をブロックできます。 |
オペレーティングシステムのドライブ †
| ポリシー設定 | ポリシー値 | 説明 |
| スタートアップの拡張 PIN を許可する | 有効 | BitLocker で拡張スタートアップ PIN を使用するかどうかを構成できます。
拡張スタートアップ PIN では、大文字と小文字、記号、数字、空白などの文字を使用できます。このポリシー設定は、BitLocker を有効にすると適用されます。
このポリシー設定を有効にした場合、すべての新しい BitLocker スタートアップ PIN のセットが拡張 PIN になります。
注: コンピューターによっては、プリブート環境で拡張 PIN がサポートされていない場合もあります。BitLocker セットアップでシステム チェックを実行することを強くお勧めします。 |
イベント ログ サービス †
アプリケーション †
| ポリシー設定 | ポリシー値 | 説明 |
| ログファイルの最大サイズ(KB)を指定する | 有効:32768 | ログファイルの最大サイズをキロバイト単位で指定します。 |
セキュリティ †
| ポリシー設定 | ポリシー値 | 説明 |
| ログファイルの最大サイズ(KB)を指定する | 有効:196608 | ログファイルの最大サイズをキロバイト単位で指定します。 |
システム †
| ポリシー設定 | ポリシー値 | 説明 |
| ログファイルの最大サイズ(KB)を指定する | 有効:32768 | ログファイルの最大サイズをキロバイト単位で指定します。 |
エクスプローラー †
| ポリシー設定 | ポリシー値 | 説明 |
| Windows Defender SmartScreenを構成します | 有効
警告してバイパスを防止 | Windows Defender SmartScreenを有効にして警告メッセージを提供するかどうかを構成し、潜在的なフィッシング詐欺や悪意のあるソフトウェアからユーザーを保護します。 |
Internet Explorer †
以下のサイトに分割してあります。
・L1 Windows コンポーネントーInternet Explorer
Microsoft Edge †
| ポリシー設定 | ポリシー値 | 説明 |
Windows Defender
martScreen を構成します | 有効化 | Windows Defender SmartScreenを有効にするかどうかを構成します。Windows Defender SmartScreenは、潜在的なフィッシング詐欺や悪意のあるソフトウェアから従業員を保護するのに役立つ警告メッセージを提供します。デフォルトでは、Windows Defender SmartScreenはオンになっています。この設定を有効にすると、Windows Defender SmartScreenはオンになり、従業員はオフにできません。この設定を無効にすると、Windows Defender SmartScreenは無効になり、従業員は有効にできなくなります。この設定を構成しない場合、従業員はWindows Defender SmartScreenを使用するかどうかを選択できます。 |
| 証明書エラーのオーバーライドを禁止する | 有効 | Webセキュリティ証明書は、ユーザーがアクセスするサイトが正当であることを確認するために使用され、状況によってはデータを暗号化します。このポリシーを使用すると、ユーザーがSSLエラーのあるサイトにセキュリティ警告をバイパスしないようにするかどうかを指定できます。有効にした場合、証明書エラーの上書きは許可されません。無効にした場合、または構成されていない場合、証明書エラーの上書きが許可されます。 |
リモートデスクトップサービス †
リモートデスクトップ接続のクライアント †
| ポリシー設定 | ポリシー値 | 説明 |
| パスワードの保存を許可しない | 有効 | リモートデスクトップ接続からこのコンピューターにパスワードを保存できるかどうかを制御します。 |
リモートデスクトップセッションホスト †
セキュリティ †
| ポリシー設定 | ポリシー値 | 説明 |
| 接続するたびにパスワードを要求する | 有効 | このポリシー設定は、リモートデスクトップサービスが接続時にクライアントにパスワードの入力を常に要求するかどうかを指定します。この設定を使用して、リモートデスクトップ接続クライアントで既にパスワードを提供している場合でも、リモートデスクトップサービスにログオンしているユーザーにパスワードプロンプトを強制できます。 |
| セキュリティで保護された RPC 通信を要求する | 有効 | リモートデスクトップセッションホストサーバーがすべてのクライアントとの安全なRPC通信を必要とするか、安全でない通信を許可するかを指定します。 |
| クライアント接続の暗号化レベルを設定する | 有効
オプション:高レベル | リモートデスクトッププロトコル(RDP)接続中にクライアントコンピューターとRDセッションホストサーバー間の通信をセキュリティで保護するために、特定の暗号化レベルの使用を要求するかどうかを指定します。このポリシーは、ネイティブ RDP 暗号化を使用している場合にのみ適用されます。ただし、ネイティブの RDP 暗号化( SSL 暗号化とは対照的に)は推奨されません。このポリシーは SSL 暗号化には適用されません。 |
RSSフィード †
| ポリシー設定 | ポリシー値 | 説明 |
| 添付ファイルのダウンロードを禁止する | 有効 | このポリシー設定は、ユーザーがフィードからユーザーのコンピューターに添付ファイルをダウンロードできないようにします。このポリシー設定を有効にすると、ユーザーはフィードのプロパティページから添付ファイルをダウンロードするようにフィード同期エンジンを設定できません。開発者は、Feed APIを使用してダウンロード設定を変更することはできません。このポリシー設定を無効にするか、未構成にした場合、ユーザーは、フィードのプロパティページから添付ファイルをダウンロードするようにフィード同期エンジンを設定できます。開発者は、Feed APIを使用してダウンロード設定を変更できます。 |
検索 †
| ポリシー設定 | ポリシー値 | 説明 |
| 暗号化されたファイルのインデックス作成を許可する | 無効 | このポリシー設定では、暗号化されたアイテムのインデックスを作成できます。このポリシー設定を有効にすると、インデックス作成はコンテンツの復号化とインデックス作成を試みます(アクセス制限は引き続き適用されます)。このポリシー設定を無効にすると、Search Serviceコンポーネント(Microsoft以外のコンポーネントを含む)は、暗号化されたアイテムまたは暗号化されたストアのインデックスを作成しないことが期待されます。このポリシー設定は、デフォルトでは構成されていません。このポリシー設定を構成しない場合、コントロールパネルで構成されたローカル設定が使用されます。デフォルトでは、コントロールパネルの設定は、暗号化されたコンテンツのインデックスを作成しないように設定されています。この設定を有効または無効にすると、インデックスは完全に再構築されます。暗号化されたファイルのセキュリティを維持するには、インデックスの場所にフルボリューム暗号化(BitLockerドライブ暗号化やマイクロソフト以外のソリューションなど)を使用する必要があります。 |
Windows Defender ウイルス対策 †
| ポリシー設定 | ポリシー値 | 説明 |
| Windows Defender Antivirusをオフにする | 無効 | Windows Defender Antivirusをオフにします |
MAPS †
| ポリシー設定 | ポリシー値 | 説明 |
| Microsoft MAPSに参加する | 高度なマップ | Microsoft MAPSに参加できます。Microsoft MAPSは、潜在的な脅威への対応方法の選択を支援するオンラインコミュニティです。コミュニティは、新しい悪意のあるソフトウェアの感染拡大を阻止するのにも役立ちます。
注:本設定は組織、個人の情報が意図せず送信される可能性があるとされています。組織によっては、本設定の便益と情報保護の観点から有効・無効を検討してください |
| 詳細な分析が必要な場合はファイルのサンプルを送信する | 有効:安全なサンプルを送信 | MAPSテレメトリのオプトインが設定されている場合のサンプル送信の動作を構成します。 |
リアルタイム保護 †
| ポリシー設定 | ポリシー値 | 説明 |
| リアルタイム保護を無効にする | 無効 | 既知のマルウェア検出のリアルタイム保護プロンプトをオフにします |
| 動作の監視を有効にする | 有効 | 動作監視を設定できます。 |
スキャン †
| ポリシー設定 | ポリシー値 | 説明 |
| リムーバブル ドライブをスキャンする | 有効 | フルスキャンの実行時に、USBフラッシュドライブなどのリムーバブルドライブのコンテンツで悪意のあるソフトウェアや不要なソフトウェアをスキャンするかどうかを管理できます。 |
| 1日にクイックスキャンを実行する間隔を指定する | 24 | クイックスキャンを実行する間隔を指定できます。時間値は、クイックスキャン間の時間数として表されます。有効な値の範囲は、1(1時間ごと)から24(1日1回)です。 |
Windows Defender SmartScreen †
エクスプローラー †
| ポリシー設定 | ポリシー値 | 説明 |
| Windows Defender SmartScreen を構成する | 有効
オプション:警告してバイパスを回避 | Windows Defender SmartScreen をオンまたはオフにします。SmartScreen は、インターネットからダウンロードされた潜在的に悪意のあるプログラムを実行する前にユーザーに警告することにより、PCを保護します。この警告は、インターネットからダウンロードされたアプリを実行する前に表示されるインタースティシャルダイアログとして表示され、認識されないか、悪意があることがわかっています。疑わしいと思われないアプリのダイアログは表示されません。この機能が有効になっているPCで実行されるファイルおよびプログラムに関する情報がマイクロソフトに送信されます。このポリシーを有効にすると、すべてのユーザーに対してSmartScreen が有効になります。その動作は、次のオプションで制御できます。
-警告してバイパスを防ぐ
-警告
「警告とバイパス回避」オプションを使用してこのポリシーを有効にすると、SmartScreen のダイアログでは、警告を無視してアプリを実行するオプションがユーザーに表示されません。SmartScreen は、アプリを次に実行しようとすると警告を表示し続けます。「警告」オプションを使用してこのポリシーを有効にすると、SmartScreen のダイアログは、アプリが疑わしいとユーザーに警告しますが、ユーザーは警告を無視してアプリを実行できます。ユーザーが SmartScreen にアプリを実行するように指示した場合、SmartScreen はそのアプリについてユーザーに再度警告しません。このポリシーを無効にすると、SmartScreen はすべてのユーザーに対して無効になります。インターネットから疑わしいアプリを実行しようとしても、ユーザーに警告は表示されません。このポリシーを構成しない場合、SmartScreen はデフォルトで有効になりますが、ユーザーは設定を変更できます。 |
Microsoft Edge †
| ポリシー設定 | ポリシー値 | 説明 |
| Windows Defender SmartScreen を構成します | 有効 | Windows Defender SmartScreenをオンまたはオフにします。
SmartScreenは、インターネットからダウンロードされた潜在的に悪意のあるプログラムを実行する前にユーザーに警告することにより、PCを保護します。この警告は、インターネットからダウンロードされたアプリを実行する前に表示されるインタースティシャルダイアログとして表示され、認識されないか、悪意があることがわかっています。疑わしいと思われないアプリのダイアログは表示されません。この機能が有効になっているPCで実行されるファイルおよびプログラムに関する情報がマイクロソフトに送信されます。このポリシーを有効にすると、すべてのユーザーに対してSmartScreenが有効になります。 |
Windows Inkワークスペース †
| ポリシー設定 | ポリシー値 | 説明 |
| Windows Inkワークスペースを許可します | 有効
オプション:オン(ただしロックより上のアクセスは許可しない) | Windows Inkワークスペースを許可する |
Windowsインストーラー †
| ポリシー設定 | ポリシー値 | 説明 |
| ユーザーによるインストール制御を有効にする | 無効 | 通常はシステム管理者のみが利用できるインストールオプションをユーザーが変更できるようにします。 |
| 常にシステム特権でインストールする | 無効 | システムにプログラムをインストールするときに、昇格されたアクセス許可を使用するようにWindowsインストーラーに指示します |
Windowsログオンオプション †
| ポリシー設定 | ポリシー値 | 説明 |
| 再起動後に自動的に前回の対話ユーザーでサインインしてロックする | 無効 | Windows Updateがシステムを再起動した後、デバイスが最後の対話ユーザーに自動的にサインインするかどうかを制御します |
Windows PowerShell †
| ポリシー設定 | ポリシー値 | 説明 |
| PowerShell スクリプトブロックのログを有効にする | 有効 | このポリシー設定により、Microsoft-Windows-PowerShell / Operationalイベントログへのすべての PowerShell スクリプト入力のログが有効になります。 |
Windowsリモート管理(WinRM) †
WinRMクライアント †
| ポリシー設定 | ポリシー値 | 説明 |
| 基本認証を許可する | 無効 | このポリシー設定を使用すると、Windowsリモート管理(WinRM)クライアントが基本認証を使用するかどうかを管理できます。 |
| 暗号化されていないトラフィックを許可する | 無効 | Windowsリモート管理(WinRM)クライアントがネットワーク上で暗号化されていないメッセージを送受信するかどうかを管理します |
| ダイジェスト認証を許可しない | 有効 | このポリシー設定を使用すると、Windowsリモート管理(WinRM)クライアントがダイジェスト認証を使用するかどうかを管理できます。 |
WinRMサービス †
| ポリシー設定 | ポリシー値 | 説明 |
| 基本認証を許可する | 無効 | このポリシー設定を使用すると、Windowsリモート管理(WinRM)サービスがリモートクライアントからの基本認証を受け入れるかどうかを管理できます。 |
| 暗号化されていないトラフィックを許可する | 無効 | Windowsリモート管理(WinRM)サービスが暗号化されていないメッセージをネットワーク経由で送受信するかどうかを管理します。 |
| WinRMがRunAs資格情報を保存することを許可しない | 有効 | このポリシー設定を使用すると、Windowsリモート管理(WinRM)サービスでプラグインのRunAs資格情報を保存できないようにするかどうかを管理できます。 |
