ローカルアカウントのネットワーク越しの操作制限、ログオン防止 の変更点
Top/ローカルアカウントのネットワーク越しの操作制限、ログオン防止
- 追加された行はこの色です。
- 削除された行はこの色です。
- ローカルアカウントのネットワーク越しの操作制限、ログオン防止 へ行く。
- ローカルアカウントのネットワーク越しの操作制限、ログオン防止 の差分を削除
#author("2020-02-01T13:39:43+09:00","","") #author("2020-10-29T17:28:33+09:00","","") [[・Pass the Hash]] *目的 [#i075a8c2] ローカルアカウントやGuest、Anynonymous がネットワーク越しに端末やサーバーを操作するのを防止します。グループポリシーで設定を実施します。 ローカルアカウントやGuest、Anonymous がネットワーク越しに端末やサーバーを操作するのを防止します。グループポリシーで設定を実施します。 *設定内容 [#b800ff16] **利用可能 OS [#b74af095] Windows 7 以降、Windows Serer 2008 R2 以降 **AD要件 [#r7492baf] なし **機能 [#n0818d19] ローカルアカウントに対する新しい Well-Known SID の割り当てを利用しローカルアカウントへの制限を実施します。~ -S-1-5-113 ローカル アカウント -S-1-5-114 ローカル アカウントと Administrators グループのメンバー **効果 [#t8121a84] グループポリシーを利用することで、ローカルアカウントへの制限が容易になります。 **注意事項 [#nb68c3a5] LSASS メモリ以外に保存されている資格情報は機能の対象外です。 **ポリシー [#d6f50452] ***①ネットワーク経由のアクセスを拒否 [#s0dd3606] +[コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ユーザー権利の割り当て]>[ネットワーク経由のアクセスを拒否] をクリックし、[これらのポリシーの設定を定義する] にチェックボックスを入れます。 +[ユーザーまたはグループの追加] をクリックします。 +[参照]をクリックします。 +[場所]をクリックします。 +ドメイン名ではなくローカルサーバーをクリックし、[OK] をクリックます。 + "ローカル" と入力し、[名前の確認] をクリックします。 + "ローカル アカウント" と "ローカル アカウントと Administrators グループのメンバー" を指定し、[OK] をクリックします。 + "Guests” と入力し、[名前の確認] をクリックします。 + "ANONYMOUS LOGON" と入力し、[名前の確認] をクリックします。 + [OK] をクリックします。 + [OK] をクリックします。 ***②リモート デスクトップ サービスを使ったログオンを拒否 [#h0552c39] +[コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ユーザー権利の割り当て]>[リモートデスクトップサービスを使ったログオン拒否] をクリックし、 [これらのポリシーの設定を定義する] にチェックボックスを入れます。 +[ユーザーまたはグループの追加] をクリックします。 +[参照]をクリックします。 +[場所]をクリックします。 +ドメイン名ではなくローカルサーバーをクリックし、[OK] をクリックます。 + "ローカル" と入力し、[名前の確認] をクリックします。 + "ローカル アカウント" と "ローカル アカウントと Administrators グループのメンバー" を指定し、[OK] をクリックします。 + "Guests” と入力し、[名前の確認] をクリックします。 + [OK] をクリックします。 + [OK] をクリックします。 *関連情報 [#n7315349] セキュリティ識別子の技術概要: https://technet.microsoft.com/ja-jp/library/dn743661(v=ws.11).aspx