トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・L1 Windows コンポーネント のバックアップ(No.5)


・レベル1セキュリティ構成(Windows 10)

[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]

アプリ実行時

ポリシー設定ポリシー値説明
Microsoftアカウントをオプションにする有効化サインインにアカウントを必要とするWindowsストアアプリでMicrosoftアカウントがオプションかどうかを制御できます。このポリシーは、それをサポートするWindowsストアアプリにのみ影響します。

自動再生のポリシー

ポリシー設定ポリシー値説明
ボリューム以外のデバイスの自動再生を許可しない有効カメラや電話などのMTPデバイスの自動再生を禁止します。
自動実行の規程の動作を設定する有効
自動実行のコマンドを実行しない
自動実行コマンドのデフォルトの動作を設定します。
自動再生機能をオフにする有効
すべてのドライブ
自動再生機能をオフにできます。

生体認証/顔特徴

ポリシー設定ポリシー値説明
拡張スプーフィング対策を構成する有効この設定を有効にした場合、またはこの設定を構成しない場合は、管理対象デバイスのすべてのユーザーに、Windows Hello 顔認証に対する拡張スプーフィング対策の使用が要求されます。これにより、拡張スプーフィング対策をサポートしていないデバイスでは Windows Hello 顔認証が無効になります。

BitLocker ドライブ暗号化

ポリシー設定ポリシー値説明
このコンピューターがロックされているときに新しいDMA デバイスを無効にする有効ユーザーがWindowsにログインするまで、すべてのThunderboltホットプラグ可能なPCIダウンストリームポートのダイレクトメモリアクセス(DMA)をブロックできます。

オペレーティングシステムのドライブ

ポリシー設定ポリシー値説明
スタートアップの拡張 PIN を許可する有効BitLocker で拡張スタートアップ PIN を使用するかどうかを構成できます。
拡張スタートアップ PIN では、大文字と小文字、記号、数字、空白などの文字を使用できます。このポリシー設定は、BitLocker を有効にすると適用されます。
このポリシー設定を有効にした場合、すべての新しい BitLocker スタートアップ PIN のセットが拡張 PIN になります。
注: コンピューターによっては、プリブート環境で拡張 PIN がサポートされていない場合もあります。BitLocker セットアップでシステム チェックを実行することを強くお勧めします。

イベント ログ サービス

アプリケーション

ポリシー設定ポリシー値説明
ログファイルの最大サイズ(KB)を指定する有効:32768ログファイルの最大サイズをキロバイト単位で指定します。

セキュリティ

ポリシー設定ポリシー値説明
ログファイルの最大サイズ(KB)を指定する有効:196608ログファイルの最大サイズをキロバイト単位で指定します。

システム

ポリシー設定ポリシー値説明
ログファイルの最大サイズ(KB)を指定する有効:32768ログファイルの最大サイズをキロバイト単位で指定します。

エクスプローラー

ポリシー設定ポリシー値説明
Windows Defender SmartScreenを構成します有効
警告してバイパスを防止
Windows Defender SmartScreenを有効にして警告メッセージを提供するかどうかを構成し、潜在的なフィッシング詐欺や悪意のあるソフトウェアからユーザーを保護します。

Internet Explorer

以下のサイトに分割してあります。
・L1 Windows コンポーネントーInternet Explorer

Microsoft Edge

ポリシー設定ポリシー値説明
Windows Defender
martScreen を構成します
有効化Windows Defender SmartScreenを有効にするかどうかを構成します。Windows Defender SmartScreenは、潜在的なフィッシング詐欺や悪意のあるソフトウェアから従業員を保護するのに役立つ警告メッセージを提供します。デフォルトでは、Windows Defender SmartScreenはオンになっています。この設定を有効にすると、Windows Defender SmartScreenはオンになり、従業員はオフにできません。この設定を無効にすると、Windows Defender SmartScreenは無効になり、従業員は有効にできなくなります。この設定を構成しない場合、従業員はWindows Defender SmartScreenを使用するかどうかを選択できます。
証明書エラーのオーバーライドを禁止する有効Webセキュリティ証明書は、ユーザーがアクセスするサイトが正当であることを確認するために使用され、状況によってはデータを暗号化します。このポリシーを使用すると、ユーザーがSSLエラーのあるサイトにセキュリティ警告をバイパスしないようにするかどうかを指定できます。有効にした場合、証明書エラーの上書きは許可されません。無効にした場合、または構成されていない場合、証明書エラーの上書きが許可されます。

リモートデスクトップサービス

リモートデスクトップ接続のクライアント

ポリシー設定ポリシー値説明
パスワードの保存を許可しない有効リモートデスクトップ接続からこのコンピューターにパスワードを保存できるかどうかを制御します。

リモートデスクトップセッションホスト

セキュリティ

ポリシー設定ポリシー値説明
接続するたびにパスワードを要求する有効このポリシー設定は、リモートデスクトップサービスが接続時にクライアントにパスワードの入力を常に要求するかどうかを指定します。この設定を使用して、リモートデスクトップ接続クライアントで既にパスワードを提供している場合でも、リモートデスクトップサービスにログオンしているユーザーにパスワードプロンプトを強制できます。
セキュリティで保護された RPC 通信を要求する有効リモートデスクトップセッションホストサーバーがすべてのクライアントとの安全なRPC通信を必要とするか、安全でない通信を許可するかを指定します。
クライアント接続の暗号化レベルを設定する有効
オプション:高レベル
リモートデスクトッププロトコル(RDP)接続中にクライアントコンピューターとRDセッションホストサーバー間の通信をセキュリティで保護するために、特定の暗号化レベルの使用を要求するかどうかを指定します。このポリシーは、ネイティブ RDP 暗号化を使用している場合にのみ適用されます。ただし、ネイティブの RDP 暗号化( SSL 暗号化とは対照的に)は推奨されません。このポリシーは SSL 暗号化には適用されません。

RSSフィード

ポリシー設定ポリシー値説明
添付ファイルのダウンロードを禁止する有効このポリシー設定は、ユーザーがフィードからユーザーのコンピューターに添付ファイルをダウンロードできないようにします。このポリシー設定を有効にすると、ユーザーはフィードのプロパティページから添付ファイルをダウンロードするようにフィード同期エンジンを設定できません。開発者は、Feed APIを使用してダウンロード設定を変更することはできません。このポリシー設定を無効にするか、未構成にした場合、ユーザーは、フィードのプロパティページから添付ファイルをダウンロードするようにフィード同期エンジンを設定できます。開発者は、Feed APIを使用してダウンロード設定を変更できます。

検索

ポリシー設定ポリシー値説明
暗号化されたファイルのインデックス作成を許可する無効このポリシー設定では、暗号化されたアイテムのインデックスを作成できます。このポリシー設定を有効にすると、インデックス作成はコンテンツの復号化とインデックス作成を試みます(アクセス制限は引き続き適用されます)。このポリシー設定を無効にすると、Search Serviceコンポーネント(Microsoft以外のコンポーネントを含む)は、暗号化されたアイテムまたは暗号化されたストアのインデックスを作成しないことが期待されます。このポリシー設定は、デフォルトでは構成されていません。このポリシー設定を構成しない場合、コントロールパネルで構成されたローカル設定が使用されます。デフォルトでは、コントロールパネルの設定は、暗号化されたコンテンツのインデックスを作成しないように設定されています。この設定を有効または無効にすると、インデックスは完全に再構築されます。暗号化されたファイルのセキュリティを維持するには、インデックスの場所にフルボリューム暗号化(BitLockerドライブ暗号化やマイクロソフト以外のソリューションなど)を使用する必要があります。

Windows Defender ウイルス対策

ポリシー設定ポリシー値説明
Windows Defender Antivirusをオフにする無効Windows Defender Antivirusをオフにします

MAPS

ポリシー設定ポリシー値説明
Microsoft MAPSに参加する高度なマップMicrosoft MAPSに参加できます。Microsoft MAPSは、潜在的な脅威への対応方法の選択を支援するオンラインコミュニティです。コミュニティは、新しい悪意のあるソフトウェアの感染拡大を阻止するのにも役立ちます。
:本設定は組織、個人の情報が意図せず送信される可能性があるとされています。組織によっては、本設定の便益と情報保護の観点から有効・無効を検討してください
詳細な分析が必要な場合はファイルのサンプルを送信する有効:安全なサンプルを送信MAPSテレメトリのオプトインが設定されている場合のサンプル送信の動作を構成します。

リアルタイム保護

ポリシー設定ポリシー値説明
リアルタイム保護を無効にする無効既知のマルウェア検出のリアルタイム保護プロンプトをオフにします
動作の監視を有効にする有効動作監視を設定できます。

スキャン

ポリシー設定ポリシー値説明
リムーバブル ドライブをスキャンする有効フルスキャンの実行時に、USBフラッシュドライブなどのリムーバブルドライブのコンテンツで悪意のあるソフトウェアや不要なソフトウェアをスキャンするかどうかを管理できます。
1日にクイックスキャンを実行する間隔を指定する24クイックスキャンを実行する間隔を指定できます。時間値は、クイックスキャン間の時間数として表されます。有効な値の範囲は、1(1時間ごと)から24(1日1回)です。

Windows Defender SmartScreen

エクスプローラー

ポリシー設定ポリシー値説明
Windows Defender SmartScreen を構成する有効
オプション:警告してバイパスを回避
Windows Defender SmartScreen をオンまたはオフにします。SmartScreen は、インターネットからダウンロードされた潜在的に悪意のあるプログラムを実行する前にユーザーに警告することにより、PCを保護します。この警告は、インターネットからダウンロードされたアプリを実行する前に表示されるインタースティシャルダイアログとして表示され、認識されないか、悪意があることがわかっています。疑わしいと思われないアプリのダイアログは表示されません。この機能が有効になっているPCで実行されるファイルおよびプログラムに関する情報がマイクロソフトに送信されます。このポリシーを有効にすると、すべてのユーザーに対してSmartScreen が有効になります。その動作は、次のオプションで制御できます。
-警告してバイパスを防ぐ
-警告
「警告とバイパス回避」オプションを使用してこのポリシーを有効にすると、SmartScreen のダイアログでは、警告を無視してアプリを実行するオプションがユーザーに表示されません。SmartScreen は、アプリを次に実行しようとすると警告を表示し続けます。「警告」オプションを使用してこのポリシーを有効にすると、SmartScreen のダイアログは、アプリが疑わしいとユーザーに警告しますが、ユーザーは警告を無視してアプリを実行できます。ユーザーが SmartScreen にアプリを実行するように指示した場合、SmartScreen はそのアプリについてユーザーに再度警告しません。このポリシーを無効にすると、SmartScreen はすべてのユーザーに対して無効になります。インターネットから疑わしいアプリを実行しようとしても、ユーザーに警告は表示されません。このポリシーを構成しない場合、SmartScreen はデフォルトで有効になりますが、ユーザーは設定を変更できます。

Microsoft Edge

ポリシー設定ポリシー値説明
Windows Defender SmartScreen を構成します有効Windows Defender SmartScreenをオンまたはオフにします。
SmartScreenは、インターネットからダウンロードされた潜在的に悪意のあるプログラムを実行する前にユーザーに警告することにより、PCを保護します。この警告は、インターネットからダウンロードされたアプリを実行する前に表示されるインタースティシャルダイアログとして表示され、認識されないか、悪意があることがわかっています。疑わしいと思われないアプリのダイアログは表示されません。この機能が有効になっているPCで実行されるファイルおよびプログラムに関する情報がマイクロソフトに送信されます。このポリシーを有効にすると、すべてのユーザーに対してSmartScreenが有効になります。

Windows Inkワークスペース

ポリシー設定ポリシー値説明
Windows Inkワークスペースを許可します有効
オプション:オン(ただしロックより上のアクセスは許可しない)
Windows Inkワークスペースを許可する

Windowsインストーラー

ポリシー設定ポリシー値説明
ユーザーによるインストール制御を有効にする無効通常はシステム管理者のみが利用できるインストールオプションをユーザーが変更できるようにします。
常にシステム特権でインストールする無効システムにプログラムをインストールするときに、昇格されたアクセス許可を使用するようにWindowsインストーラーに指示します

Windowsログオンオプション

ポリシー設定ポリシー値説明
再起動後に自動的に前回の対話ユーザーでサインインしてロックする無効Windows Updateがシステムを再起動した後、デバイスが最後の対話ユーザーに自動的にサインインするかどうかを制御します

Windows PowerShell

ポリシー設定ポリシー値説明
PowerShell スクリプトブロックのログを有効にする有効このポリシー設定により、Microsoft-Windows-PowerShell / Operationalイベントログへのすべての PowerShell スクリプト入力のログが有効になります。

Windowsリモート管理(WinRM)

WinRMクライアント

ポリシー設定ポリシー値説明
基本認証を許可する無効このポリシー設定を使用すると、Windowsリモート管理(WinRM)クライアントが基本認証を使用するかどうかを管理できます。
暗号化されていないトラフィックを許可する無効Windowsリモート管理(WinRM)クライアントがネットワーク上で暗号化されていないメッセージを送受信するかどうかを管理します
ダイジェスト認証を許可しない有効このポリシー設定を使用すると、Windowsリモート管理(WinRM)クライアントがダイジェスト認証を使用するかどうかを管理できます。

WinRMサービス

ポリシー設定ポリシー値説明
基本認証を許可する無効このポリシー設定を使用すると、Windowsリモート管理(WinRM)サービスがリモートクライアントからの基本認証を受け入れるかどうかを管理できます。
暗号化されていないトラフィックを許可する無効Windowsリモート管理(WinRM)サービスが暗号化されていないメッセージをネットワーク経由で送受信するかどうかを管理します。
WinRMがRunAs資格情報を保存することを許可しない有効このポリシー設定を使用すると、Windowsリモート管理(WinRM)サービスでプラグインのRunAs資格情報を保存できないようにするかどうかを管理できます。