- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2020-02-12T09:53:44+09:00","","")
[[IPAセキュリティPT評価版]]
#freeze
#author("2020-11-08T11:17:54+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]&br;
[[詳細設定対策に必要な措置]]&br;
[[・レベル1セキュリティ構成(Windows 10)]]
*Windows Server 2016 Domain Controller のセキュリティ構成 [#mb6e0b39]
このセキュリティ構成は、米国国防総省が定めた Security Technical Implementation Guide をベースとし、悪意あるプログラムの初期侵入や実行を防止するために策定されたものです。
このセキュリティ構成は、米国防総省の Security Technical Implementation Guides をベースとし、悪意あるプログラムの初期侵入や実行を防止するために策定されたものです。
**設定による影響 [#fb8c5f44]
-脆弱性のある危険なプロトコル (SMBv1) を禁止している関係で、古い互換性のないNASに接続できない可能性があります。
-リモート接続や共有へのアクセスの厳格化や防御設定によって、一部、アプリケーションが動作しないなどの影響が考えられます。事前に、テスト用の OU を作成し、設定を検証してください。
-Office 2019 やAcrobat、Chrome、Edgeなどの動作には影響があったとの報告は受けていません。
**設定によって影響が出た場合 [#t6f18f53]
-影響が発生した端末、サーバー、ドメインコントローラーの、それぞれのOSのバージョン、ビルド番号、ドメインの機能レベル、現象の詳細をご一報ください。
**前提となるハードウェア構成 † [#m80cb0a0]
-トラステッドプラットフォームモジュール(TPM)2.0
-Bitlockerドライブ暗号化
-UEFIセキュアブート
-Windows Updateを通じて配布されるドライバーとファームウェア
**適用するポリシー [#p8cbca0e]
''[[・DCアカウントポリシー]]''~
''[[・DCローカルポリシー ユーザー権利の割り当て]]''~
''[[・DC アカウントポリシー]]''~
''[[・DC ローカルポリシー ユーザー権利の割り当て]]''~
''[[・DC ローカルポリシー セキュリティ オプション]]''~
''[[・DC 監査ポリシーの詳細な構成]]''~
''[[・DC セキュリティが強化されたWindowsファイアウォール]]''~
''[[・DC MS Security Guide]]''~
''[[・DC MSS]]''~
''[[・DC ネットワーク]]''~
''[[・DC システム]]''~
''[[・DC Windows コンポーネント]]''~
''[[・DC Windows コンポーネントーInternet Explorer]]''~
''[[・DC コントロール]]''~
''[[・DC 管理用テンプレート]]''~
*[Default Domain Controllers Policy]>[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]> [#o29a6805]
**RSS フィード [#j8bf8170]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|添付ファイルのダウンロードを禁止する|[有効]|このポリシー設定は、添付ファイルをフィードからユーザーのコンピューターにダウンロードできないようにします。&br;このポリシー設定を有効にすると、フィードのプロパティ ページで、フィード同期エンジンが添付ファイルをダウンロードするように設定できません。開発者は、フィードの API を使用してダウンロード設定を変更できません。&br;このポリシー設定を無効にするか、構成しない場合、フィードのプロパティ ページで、フィード同期エンジンが添付ファイルをダウンロードするように設定できます。開発者は、フィードの API を使用してダウンロード設定を変更できます。|
**Windows PowerShell [#l4da1f78]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|スクリプト ブロックの呼び出し開始/停止イベントをログに記録する|有効|このポリシー設定を使用して、すべての PowerShell スクリプト入力を Microsoft-Windows-PowerShell/操作イベント ログに記録することができます。このポリシー設定を有効にした場合、&br;Windows PowerShell のコマンド処理、スクリプト ブロック、関数、スクリプトが記録されます。対話的に呼び出された場合も、自動的に呼び出された場合もすべて記録されます。&br;このポリシー設定を無効にした場合、PowerShell スクリプト入力のログ記録が無効になります。&br;スクリプト ブロックの呼び出しのログ記録を有効にした場合、コマンド、スクリプト ブロック、関数、スクリプトの開始/停止を呼び出したときもイベントがログ記録されます。呼び出しのログ記録を有効にすると、大量のイベント ログが生成されます。&br;注: このポリシー設定は、グループ ポリシー エディターの [コンピューターの構成] と [ユーザーの構成] の両方にあります。[コンピューターの構成] のポリシー設定は、[ユーザーの構成] のポリシー設定よりも優先されます。|
***スクリプトブロックについて [#d3140e0d]
スクリプトブロックとは、PowerShellの中で { } で囲った部分を指します。
PS>$TempScriptBlock = { 2 * 3 }
スクリプトブロックは、次の方法で呼び出せます。
PS># '&' を使って呼び出す
PS> & $TempScriptBlock
6
PS>
PS># Invoke-Command を使って呼び出す
PS> Invoke-Command -ScriptBlock $TempScriptBlock
6
PS>
**Windows インストーラー [#re791145]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|常にシステム特権でインストールする|[無効]|このポリシー設定を使用すると、Windows インストーラーを使ってシステムにプログラムをインストールするときに管理者特権のアクセス許可が使用されます。&br;このポリシー設定を有効にすると、管理者特権がすべてのプログラムに適用されます。通常、この特権はユーザー (デスクトップ上で提供されている) またはコンピューター (自動的にインストールされている) に割り当てられているプログラム、またはコントロール パネルの [プログラムの追加と削除] で利用できるプログラム用に予約されています。このプロファイル設定を使うと、ユーザーはアクセス許可が与えられていないため表示も変更もできないディレクトリ (厳しく制限されているコンピューター上のディレクトリを含む) へのアクセスを必要とするプログラムをインストールできます。&br;このポリシー設定を無効にした場合、または構成しなかった場合は、システム管理者から配布または提供されていないプログラムのインストール時にはユーザーの現在のアクセス許可が適用されます。&br;注: このポリシー設定は [コンピューターの構成] フォルダーおよび [ユーザーの構成] フォルダーにあります。このポリシー設定を有効にするには、両方のフォルダーでこのポリシー設定を有効にする必要があります。&br;&br;警告: 上級ユーザーは、このポリシー設定で付与されるアクセス許可を使って特権を変更し、制限付きのファイルおよびフォルダーに継続してアクセスできます。このポリシー設定の [ユーザーの構成] バージョンのセキュリティ保護は必ずしも安全ではないことに注意してください。|
|ユーザーによるインストール制御を有効にする|[無効]|このポリシー設定を使用すると、通常はシステム管理者のみが使用できるインストールのオプションをユーザーが変更できるようになります。&br;このポリシー設定を有効にした場合、Windows インストーラーの一部のセキュリティ機能がバイパスされます。このポリシーを使用すると、通常はセキュリティ違反のため強制的に中止されるインストールを完了させることができます。&br;このポリシー設定を無効にした場合、または構成しなかった場合、Windows インストーラーでは、通常システム管理者のみに許可されているインストールのオプション (たとえば、ファイルのインストール先の指定) をユーザーが変更することはできません。&br;保護されているオプションをユーザーが変更しようとすると、インストールは中止されエラー メッセージが表示されます。このセキュリティ機能は、インストール プログラムが特権付きセキュリティ コンテキストで実行されており、ユーザーがアクセス許可を持っていないディレクトリにプログラムがアクセスできるときに機能します。&br;このポリシー設定は、規制を緩和するためのものです。ソフトウェアのインストールを妨げるようなインストールのエラーを回避するためにも使用できます。|
**Windows リモート管理(WinRM) [#q2795a87]
***WinRM クライアント [#m4dcfb96]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|基本認証を許可する|[無効]|このポリシー設定を使用して、Windows リモート管理 (WinRM) クライアントで基本認証を使用するかどうかを管理できます。&br;このポリシー設定を有効にすると、WinRM クライアントで基本認証が使用されます。WinRM が HTTP トランスポートを使用するように構成されている場合は、ユーザー名とパスワードがクリア テキストとしてネットワーク経由で送信されます。&br;このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM クライアントで基本認証は使用されません。|
**Windows ログオンのオプション [#f8ca7498]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|再起動後に自動的に前回の対話ユーザーでサインインしてロックする|無効|このポリシー設定では、システムの再起動後、またはシャットダウンとコールド ブートの後に、デバイスに自動的に前回の対話ユーザーでサインインしてロックするかどうかを制御します。&br;これは、前回の対話ユーザーが再起動またはシャットダウンの前にサインアウトしなかった場合にのみ発生します。&br;デバイスが Active Directory または Azure Active Directory に参加している場合、このポリシーは Windows Update による再起動のみに適用されます。それ以外の場合は、Windows Update による再起動と、ユーザーによって開始された再起動およびシャットダウンの両方に適用されます。&br;このポリシー設定を構成しなかった場合は、既定で有効になります。このポリシーを有効にすると、デバイスの起動後、ユーザーは自動的にサインインし、そのユーザー用に構成されたすべてのロック画面アプリを使用してセッションが自動的にロックされます。&br;このポリシーを有効にした後、ConfigAutomaticRestartSignOn ポリシーを使用して設定を構成できます。それにより、再起動またはコールド ブート後に前回の対話ユーザーで自動的にサインインしてロックするモードを構成します。&br;このポリシー設定を無効にすると、デバイスでは自動サインインが構成されません。システムの再起動後、ユーザーのロック画面アプリは再起動されません。|
**アプリケーションの互換性 [#b5261d48]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|インベントリ コレクタをオフにする|[有効]|このポリシー設定では、インベントリ コレクターの状態を制御します。&br;インベントリ コレクターは、システム上のアプリケーション、ファイル、デバイス、およびドライバーのインベントリを作成し、その情報を Microsoft に送信します。 この情報は、互換性の問題の診断に役立てられます。&br;このポリシー設定を有効にした場合、インベントリ コレクターは無効になり、Microsoft にデータが送信されなくなります。プログラム互換性アシスタントによるインストール データの収集も無効になります。&br;このポリシー設定を無効にした場合、または構成しなかった場合は、インベントリ コレクターは有効になります。&br;注: カスタマー エクスペリエンス向上プログラムが無効になっている場合、このポリシー設定による効果はありません。インベントリ コレクターは無効になります。|
**イベント ログ サービス [#r026fcd4]
***アプリケーション [#oafa6ce3]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|ログファイルの最大サイズ(KB)を指定する|[有効]&br;[32768] KB以上|このポリシー設定を有効にした場合、ログ ファイルの最大サイズを KB 単位で 1 MB (1024 KB) から 2 TB (2147483647 KB) までの範囲で構成できます。&br;このポリシー設定を無効にするか、未構成にした場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。この値は、ローカル管理者が [ログのプロパティ] ダイアログ ボックスを使用して変更でき、既定では 1 MB になります。|
***セキュリティ [#ba181098]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|ログファイルの最大サイズ(KB)を指定する|[有効]&br;[196608] KB以上|このポリシー設定を有効にした場合、ログ ファイルの最大サイズを KB 単位で 1 MB (1024 KB) から 2 TB (2147483647 KB) までの範囲で構成できます。&br;このポリシー設定を無効にするか、未構成にした場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。この値は、ローカル管理者が [ログのプロパティ] ダイアログ ボックスを使用して変更でき、既定では 1 MB になります。|
***システム [#f7ce97f2]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|ログファイルの最大サイズ(KB)を指定する|[有効]&br;[32768] KB以上|このポリシー設定を有効にした場合、ログ ファイルの最大サイズを KB 単位で 1 MB (1024 KB) から 2 TB (2147483647 KB) までの範囲で構成できます。&br;このポリシー設定を無効にするか、未構成にした場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。この値は、ローカル管理者が [ログのプロパティ] ダイアログ ボックスを使用して変更でき、既定では 1 MB になります。|
**エクスプローラー [#l209860a]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|Windows Defender SmartScreen を構成します|[有効]&br;[オプション] で [警告してバイパスを回避] を選択|このポリシーを使用すると、Windows Defender SmartScreen を有効または無効にできます。SmartScreenは、インターネットからダウンロードされた悪意のある可能性のあるプログラムを実行する前にユーザーに警告することで、PC の保護に役立ちます。認識できないアプリまたは悪意があるとわかっているアプリがインターネットからダウンロードされ実行される前に、この警告がスポット ダイアログとして表示されます。不審であると見なされていないアプリの場合、ダイアログは表示されません。&br;この機能を有効にした PC で実行されたファイルおよびプログラムについて、Microsoft に情報が送信されます。&br;このポリシーを有効にすると、すべてのユーザーに対して SmartScreen がオンになります。その動作は、次のオプションを使用して制御できます:&br;• 警告してバイパスを回避&br;• 警告&br;[警告してバイパスを回避] オプションを指定してこのポリシーを有効にした場合、SmartScreen のダイアログでは、警告を無視してアプリを実行するオプションがユーザーに提示されません。その後アプリを実行しようとすると、引き続き SmartScreen から警告が表示されます。&br;[警告] オプションを指定してこのポリシーを有効にした場合、SmartScreen のダイアログで、アプリが不審だと思われるという警告がユーザーに提示されますが、ユーザーは警告を無視してすぐにアプリを実行することもできます。ユーザーがアプリの実行を SmartScreen に指定した場合、そのアプリについては SmartScreen から再度ユーザーに警告されることはありません。&br;このポリシーを無効にすると、すべてのユーザーに対して SmartScreen が無効になります。ユーザーがインターネットから不審なアプリを実行しようとしても、警告は表示されません。&br;このポリシーを構成しなかった場合、既定では SmartScreen が有効になりますが、ユーザーは独自に設定を変更できます。|
**[データ収集とプレビュービルド] [#feae921f]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|利用統計情報の許可|[有効]&br;[オプション] を [0-セキュリティ[Enterpise のみ] に設定する。 ]|このポリシー設定では、マイクロソフトに送信される Windows 診断データの最大レベルを決定します。この設定を構成した場合、ユーザーは製品利用統計情報の設定を変更できますが、組織に対して設定されたレベルよりも上のレベルに変更することはできません。&br;Windows 10 診断データの設定は、Windows オペレーティング システムと Windows の付属アプリだけに適用されます。Windows 10 で実行されるサードパーティのアプリには適用されません。&br;この設定を有効にすると、どのレベルの診断データをマイクロソフトに送信するかを決定できます。次のレベルがあります。&br;- 0 (セキュリティ)。Windows の安全性を維持するために必要な最小限の量のデータだけをマイクロソフトに送信します。悪意のあるソフトウェアの削除ツール (MSRT) や Windows Defender などの Windows セキュリティ コンポーネントにより (有効であれば)、このレベルでマイクロソフトにデータが送信されることもあります。値 0 の設定は、Enterprise、Education、IoT、Windows Server のいずれかのエディションを実行しているデバイスだけに適用されます。その他のエディションで値 0 を設定した場合は、値 1 を設定した場合と同じ結果になります。&br;- 1 (基本)。値が 0 の場合と同じデータに加えて、ごく限られた量の診断データ (基本的なデバイス情報、品質に関連するデータ、アプリの互換性情報など) が送信されます。値を 0 または 1 に設定すると、デバイスで特定のエクスペリエンスが低下することにご注意ください。&br;- 2 (拡張)。値が 1 の場合と同じデータに加えて、Windows、Windows Server、System Center、アプリの使用状況、パフォーマンス、詳細な信頼性データなどの追加データが送信されます。&br;- 3 (完全)。値が 2 の場合と同じデータに加えて、デバイスの診断と問題解決に使用される詳細な診断データが送信されます。これには、デバイスでの問題の原因となった可能性があるファイルやコンテンツが含まれます。&br;このポリシー設定を無効にした場合または構成しなかった場合、製品利用統計情報の設定は [設定] で個別に構成することができます。|
**検索 [#u05d12c1]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|暗号化されたファイルのインデックス作成を許可する|[無効]|このポリシー設定を使用すると、暗号化されたアイテムのインデックスを作成できます。このポリシー設定を有効にすると、内容に対して暗号化の解除とインデックスの作成が行われます (アクセス制限は引き続き適用されます)。このポリシー設定を無効にすると、検索サービスのコンポーネント (Microsoft 製以外のコンポーネントを含む) は、暗号化されたアイテムのインデックス作成は行わず、暗号化されたストアのインデックス作成も行いません。このポリシー設定は、既定では構成されていません。このポリシー設定を構成しない場合は、コントロール パネルを使用して構成されたローカル設定が使用されます。既定では、コントロール パネルの設定は、暗号化された内容のインデックスを作成しないように設定されています。 &br;この設定の有効/無効を切り替えるたびに、インデックス全体が最初から再構築されます。&br;インデックスの場所にフルボリューム暗号化 (BitLocker ドライブ暗号化や Microsoft 製以外のソリューションなど) を使用して、暗号化されたファイルのセキュリティを維持する必要があります。|
**[資格情報のユーザーインターフェース] [#adf19ef2]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|昇格時に管理者アカウントを列挙する|[無効]|このポリシー設定により、ユーザーが実行中のアプリケーションの昇格を試みたときに、管理者アカウントが表示されるかどうかを制御します。既定では、ユーザーが実行中のアプリケーションの昇格を試みたときに、管理者アカウントは表示されません。&br;このポリシー設定を有効にした場合、PC 上のローカル管理者アカウントがすべて表示され、ユーザーがその 1 つを選択して、正しいパスワードを入力できます。&br;このポリシー設定を無効にした場合、ユーザーは、昇格時にユーザー名とパスワードを常に入力するよう要求されます。|
**自動再生のポリシー [#v9083a1a]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|自動再生機能をオフにする|[有効]&br;[[自動再生機能をオフにする] を [すべてのドライブ] に設定する|自動再生とは、ドライブにメディアを挿入すると同時にドライブからの読み込みを開始する機能です。この機能によって、プログラムのセットアップ ファイルやオーディオ メディアの音楽などがすぐに開始されます。&br;Windows XP SP2 より前は、自動再生は、フロッピー ディスク ドライブなどのリムーバブル ドライブ (CD-ROM ドライブは除く) およびネットワーク ドライブ上では既定で無効になっています。&br;Windows XP SP2 以降では、自動再生は Zip ドライブや一部の USB 大容量記憶装置デバイスなどのリムーバブル ドライブでも有効になっています。&br;このポリシー設定を有効にした場合、CD-ROM およびリムーバブル メディア ドライブの自動再生を無効にするか、すべてのドライブの自動再生を無効にすることができます。&br;このポリシー設定によって、これ以外の種類のドライブでの自動再生を無効にすることができます。この設定を使用して、既定で無効になっているドライブ上の自動再生を有効にすることはできません。&br;このポリシー設定を無効にした場合、または構成しなかった場合、自動再生が有効になります。&br;注: このポリシー設定は [コンピューターの構成] フォルダーおよび [ユーザーの構成] フォルダーにあります。ポリシー設定が競合する場合、[コンピューターの構成] にあるポリシー設定が [ユーザーの構成] にあるポリシー設定より優先されます。|
|ボリューム以外のデバイスの自動再生を許可しない|[有効]|このポリシー設定では、カメラや電話などの MTP デバイスの自動再生を許可しません。&br;このポリシー設定を有効にした場合、カメラや電話などの MTP デバイスの自動再生が許可されません。&br;このポリシー設定を無効にした場合、または構成しなかった場合、ボリューム以外のデバイスに対する自動再生が有効になります。|
|自動実行の規程音動作を設定する|[有効]&br;[既定の自動実行の動作] を [自動実行コマンドを実行しない] に設定する|通常、自動実行コマンドは autorun.inf ファイルに保存されています。多くの場合、インストール プログラムや他のルーチンを起動します。&br;Windows Vista 以前の場合、自動実行コマンドを含むメディアを挿入すると、ユーザーによる手動操作がなくてもプログラムが自動的に実行されます。&br;この場合、ユーザーが知らずにコードが実行される可能性があるため、重大なセキュリティ上の問題が発生することがあります。Windows Vista 以降の既定の動作では、自動実行コマンドを実行するかどうかをユーザーに確認するメッセージが表示されます。自動実行コマンドは、[自動再生] ダイアログ ボックスでハンドラーとして表示されます。&br;このポリシー設定を有効にした場合、管理者は Windows Vista 以降の自動実行の既定の動作を次のように変更することができます。&br;a) 自動実行コマンドを完全に無効にする。または&br;b) 自動実行コマンドを Windows Vista 以前の自動実行の動作に戻す。&br;このポリシー設定を無効にした場合、または構成しなかった場合、Windows Vista 以降では、自動実行コマンドを実行するかどうかをユーザーに確認するメッセージが表示されます。|
**配信の最適化 [#o89fa1a9]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|ダウンロードモード|[有効]&br;[オプション] [ダウンロード モード] で インターネット(3) 以外が選択されている |Windows 更新プログラム、アプリ、アプリ更新プログラムのダウンロード時に配信の最適化に使用できるダウンロード方法を指定します。&br;サポートされている値は次のとおりです。&br;0 = HTTP のみ、ピアリングなし。&br;1 = HTTP と同じ NAT でのピアリングの組み合わせ。&br;2 = HTTP とプライベート グループでのピアリングの組み合わせ。既定では、ピアリングは同じ Active Directory サイト (存在する場合) または同じドメインにあるデバイスで発生します。このオプションを選択した場合、ピアリングは複数の NAT にまたがって実行されます。カスタム グループを作成するには、グループ ID とモード 2 を組み合わせて使用します。&br;3 = HTTP とインターネット ピアリングの組み合わせ。&br;99 = ピアリングなしの簡易ダウンロード モード。配信の最適化によるダウンロードは HTTP のみを使用して行われ、配信の最適化クラウド サービスへのアクセスは行われません。&br;100 = バイパス モード。配信の最適化は使用されず、代わりに BITS が使用されます。|
*[Default Domain Controllers Policy]>[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[コントロールパネル] [#t0bd8f11]
**個人用設定 [#c5b864b0]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|ロック画面スライドショーを有効にできないようにする|有効|PC 設定でロック画面スライド ショー設定を無効にし、ロック画面でスライド ショーを再生できないようにします。&br;既定では、ユーザーは、コンピューターのロック後に実行されるスライド ショーを有効にできます。&br;この設定を有効にした場合、ユーザーは、PC 設定でスライド ショー設定を修正できなくなり、スライド ショーが開始されることもなくなります。|
*[Default Domain Controllers Policy]>[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[システム] [#e4b02e79]
**Device Guard [#l3293b8c]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|仮想化ベースのセキュリティを有効にする|[有効]&br;[オプション] で &br;[プラットフォームのセキュリティレベルを選択する] を [セキュアブート] もしくは [セキュアブートとDMA保護]&br;&br;[コード整合性に対する仮想化ベースの保護] を [UEFI ロックで有効化]&br;&br;[UEFI メモリ属性テーブルを要求する] はハードウェア要件に応じて設定&br;&br;[Credential Guard の構成] を [UEFI ロックで有効化]&br;&br; [セキュリティで保護された起動構成] を [有効] に設定する|仮想化ベースのセキュリティを有効にするかどうかを指定します。&br;&br;■プラットフォームのセキュリティ レベルを選択する&br;仮想化ベースのセキュリティでは、Windows ハイパーバイザーを使用してセキュリティ サービスをサポートします。仮想化ベースのセキュリティはセキュア ブートを必要とし、DMA 保護を使用して有効にすることもできます。DMA 保護はハードウェア サポートを必要とし、正しく構成されたデバイスだけで有効にすることができます。&br;&br;■コードの整合性に対する仮想化ベースの保護&br;この設定により、カーネル モードのコードの整合性に対する仮想化ベースの保護が有効になります。この設定を有効にすると、カーネル モードのメモリ保護が強制され、コードの整合性の検証パスが仮想化ベースのセキュリティ機能によって保護されます。&br;&br;[ロックなしで有効化] オプションを使用してコードの整合性に対する仮想化ベースの保護が有効化されていた場合、[無効] オプションを選択すると、コードの整合性に対する仮想化ベースの保護がリモートで無効になります。&br; &br;[UEFI ロックで有効化] オプションを選択すると、コードの整合性に対する仮想化ベースの保護をリモートで無効化できなくなります。この機能を無効にするには、グループ ポリシーを [無効] に設定すると共に、UEFI に保存されている構成を消去するために、ユーザーが物理的に存在する各コンピューターからこのセキュリティ機能を削除する必要があります。&br; &br;[ロックなしで有効化] オプションを選択すると、グループ ポリシーを使用してコードの整合性に対する仮想化ベースの保護をリモートで無効化できます。&br;&br;[未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響はありません。レジストリに現在の設定がある場合、その設定は変更されません。&br;&br;■[UEFI メモリ属性テーブルを要求する] &br;オプションによって [コードの整合性に対する仮想化ベースの保護] を有効にできるのは、UEFI ファームウェアでメモリ属性テーブルがサポートされているデバイスの場合のみです。UEFI メモリ属性テーブルがサポートされていないデバイスでは、使用されているファームウェアに [コードの整合性に対する仮想化ベースの保護] との互換性がない場合があり、クラッシュやデータの損失が生じることや、一部のプラグイン カードとの互換性が維持できなくことがあります。このオプションを設定しない場合は、対象のデバイスをテストして互換性を確認する必要があります。&br;※警告: システムのすべてのドライバーはこの機能と互換性がある必要があります。互換性がない場合は、システムがクラッシュする可能性があります。互換性があることがわかっているコンピューターのみにこのポリシー設定が展開されるようにしてください。&br;&br;■Credential Guard&br;この設定を使用すると、仮想化ベースのセキュリティ機能を持つ Credential Guard を有効にして、資格情報を保護することができます。&br;&br;[ロックなしで有効化] オプションを使用して Credential Guard が有効化されていた場合、[無効] オプションを選択すると、Credential Guard がリモートで無効になります。&br;&br;[UEFI ロックで有効化] オプションを選択すると、Credential Guard をリモートで無効化できなくなります。この機能を無効にするには、グループ ポリシーを [無効] に設定すると共に、UEFI に保存されている構成を消去するために、ユーザーが物理的に存在する各コンピューターからこのセキュリティ機能を削除する必要があります。&br;&br;[ロックなしで有効化] オプションを選択すると、グループ ポリシーを使用して Credential Guard をリモートで無効化できます。この設定を使用しているデバイスは、Windows 10 (Version 1511) 以上を実行している必要があります。&br;&br;[未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響はありません。レジストリに現在の設定がある場合、その設定は変更されません。&br;&br;&br;■セキュア起動&br;この設定は、ブート チェーンを保護するようにセキュア起動の構成を設定します。&br;&br;[未構成] は既定の設定であり、管理者であるユーザーによる機能の構成を許可します。&br;&br;[有効] オプションは、サポートされているハードウェア上でセキュア起動を有効化します。&br;&br;[無効] オプションは、ハードウェア サポートに関係なくセキュア起動を無効にします。|
**グループポリシー [#h69622c2]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|レジストリ ポリシーの処理を構成する|[有効]&br;[オプション] で [グループ ポリシー オブジェクトが変更されていなくても処理する] を [有効] にする|このポリシー設定では、レジストリ ポリシーをいつ更新するかを決定します。&br;このポリシー設定は、[管理用テンプレート] フォルダーにあるすべてのポリシー、およびレジストリに値を格納しているその他のポリシーに影響します。この設定は、インストール時に設定されたレジストリ ポリシーを実装しているプログラムのカスタム設定よりも優先されます。&br;このポリシー設定を有効にした場合、オプションを変更するためのチェック ボックスが利用できるようになります。このポリシー設定を無効にした場合、または構成しなかった場合は、システムに影響はありません。&br;&br;[バックグラウンドで定期的に処理しているときは適用しない] オプションを有効にした場合、コンピューターの使用中は関連するポリシーがバックグラウンドで更新されなくなります。バックグラウンドでの更新を無効にすると、再度ユーザーがログオンするか、システムを再起動するまでポリシーへの変更は適用されません。&br;&br;[グループ ポリシー オブジェクトが変更されていなくても処理する] オプションを使うと、ポリシーが変更されていない場合でも、ポリシーは更新されて再適用されます。変更されたときのみ更新するように指定できるポリシーは複数あります。しかし、ユーザーが変更した場合に備え、変更されていないポリシーであっても、必要なポリシー設定を再適用するなどの方法で更新することをお勧めします。|
**プロセス作成の監査 [#x6570787]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|プロセス作成イベントにコマンドラインを含める|[有効]|このポリシー設定では、新しいプロセスの作成時にセキュリティ監査イベントのログに記録する情報を決定します。&br;この設定は、プロセス作成の監査ポリシーが有効な場合にのみ適用されます。このポリシー設定を有効にした場合、このポリシー設定が適用されているワークステーションやサーバーでは、各プロセスのコマンド ライン情報が、プロセス作成の監査イベント 4688 "新しいプロセスの作成" の一部としてテキスト形式でセキュリティ イベント ログに記録されます。&br;このポリシー設定を無効にした場合、または構成しなかった場合、プロセスのコマンド ライン情報はプロセス作成の監査イベントに含まれません。&br;既定: 未構成&br;注: このポリシー設定を有効にした場合、セキュリティ イベントの読み取りアクセス権を持つユーザーは、正常に作成されたプロセスのコマンド ライン引数を読み取ることができます。コマンド ライン引数には、パスワードやユーザーデータなどの機密性の高い情報や個人情報を含めることができます。|
**ログオン [#ab3d942b]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|ネットワークの選択の UI を表示しない|[有効]|このポリシー設定を有効にした場合、Windows にサインインしないと PC のネットワーク接続の状態を変更できません。&br;このポリシー設定を無効にした場合、または構成しなかった場合、すべてのユーザーは、Windows にサインインしなくても、PC をネットワークから切断したり、別の使用可能なネットワークに接続したりすることができます。|
**資格情報の委任 [#b0b1184a]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|リモート ホストでエクスポート不可の資格情報の委任を許可する|[有効]|資格情報の委任を使用する場合、エクスポート可能なバージョンの資格情報がデバイスからリモート ホストに提供されます。これにより、ユーザーの資格情報はリモート ホスト上の攻撃者によって盗み取られる危険にさらされます。&br;このポリシー設定を有効にした場合、ホストは制限付き管理モードまたは Remote Credential Guard モードをサポートします。&br;このポリシー設定を無効にするか、構成しなかった場合、制限付き管理モードと Remote Credential Guard モードはサポートされません。ユーザーは常に資格情報をホストに渡す必要があります。|
**電源の管理 [#qe4e8808]
***スリープの設定 [#o64c65d4]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|コンピュータのスリープ状態の解除時にパスワードを要求する(電源接続時)|[有効]|このポリシー設定では、システムのスリープ状態を解除するときに、ユーザーにパスワードを要求するかどうかを指定します。&br;このポリシー設定を有効にした場合、または構成しなかった場合、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されます。&br;このポリシー設定を無効にすると、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されません。|
|コンピュータのスリープ状態の解除時にパスワードを要求する(バッテリ使用時)|[有効]|このポリシー設定では、システムのスリープ状態を解除するときに、ユーザーにパスワードを要求するかどうかを指定します。&br;このポリシー設定を有効にした場合、または構成しなかった場合、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されます。&br;このポリシー設定を無効にすると、ユーザーはシステムのスリープ状態を解除するときにパスワードを要求されません。|
**[Default Domain Controllers Policy]>[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[ネットワーク] [#e48f7e42]
***Lanman ワークステーション [#a5bf1590]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|安全でないゲスト ログオンを有効にする|[無効]|このポリシー設定では、SMB クライアントが SMB サーバーへの安全でないゲスト ログオンを許可するかどうかを決定します。&br;このポリシー設定を有効にした場合、またはこのポリシー設定を構成しなかった場合、SMB クライアントは安全でないゲスト ログオンを許可します。&br;このポリシー設定を無効にした場合、SMB クライアントは安全でないゲスト ログオンを拒否します。&br;安全でないゲスト ログオンがファイル サーバーによって使用されるのは、共有フォルダーに対する認証されていないアクセスを許可することが目的です。エンタープライズ環境では一般的ではありませんが、ファイル サーバーとして動作しているコンシューマー NAS (ネットワーク接続ストレージ) アプライアンスでは、安全でないゲスト ログオンが頻繁に使用されています。Windows ファイル サーバーでは認証を要求し、既定では安全でないゲスト ログオンを使用しません。安全でないゲスト ログオンは認証されていないため、SMB 署名、SMB 暗号化などの重要なセキュリティ機能が無効になります。結果として、安全でないゲスト ログオンを許可するクライアントは、さまざまな man-in-the-middle 攻撃に対して脆弱になり、データ損失、データの破損、マルウェアに対するリスクにつながる可能性があります。また、安全でないゲスト ログオンを使用してファイル サーバーに書き込まれたデータには、ネットワーク上のすべてのユーザーからアクセスできる可能性があります。Microsoft では、安全でないゲスト ログオンを無効にして、認証されたアクセスが要求されるようにファイル サーバーを構成することをお勧めします。|
***ネットワークプロバイダー [#ec3d199c]
|150|250||c
|ポリシー設定|ポリシー値|説明|h
|強化された UNC パス|[有効]&br;[オプション] で&br; [強化された UNC パス] をクリックする&br;[値の名前] に [\\*\SYSVOL]、[値] に [RequireMutualAuthentication=1,RequireIntegrity=1] を入力する &br; 同様に、[値の名前] に [\\*\NETLOGON]、[値] に [RequireMutualAuthentication=1,RequireIntegrity=1] を入力する &br;|このポリシーを有効にすると、追加のセキュリティ要件を満たした場合に、指定した UNC パスへのアクセスのみが許可されます。|
&ref(https://updatecorp.co.jp/ipa/image/UNC.jpg);
