・L1 MS Security Guide の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• ・L1 MS Security Guide へ行く。
• ・L1 MS Security Guide の差分を削除

#author("2021-10-12T10:00:20+09:00","","")
#author("2021-10-12T10:00:52+09:00","","")
[[・レベル1セキュリティ構成（Windows 10）]]&br;
[[・Windows Server 2016 Domain Controller]]
*[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[MS Security Guide] [#x91c2900]
&br;
MS Security Guide は Microsoft Security Compliance Toolkit 1 に含まれる Windows 10 Version 1909 and Windows  Server Version 1909 Security Baseline\Templates に含まれています。日本語化はされていません。&br;
Microsoft Security Compliance Toolkit 1.: https://www.microsoft.com/en-us/download/confirmation.aspx?id=55319
&br;&br;
''注意''：グループポリシーのアイコンに &ref(https://www.softwareisac.jp/ipa/image/downAllow.png); 下矢印が含まれている場合は、レジストリ設定がポリシーキーに含まれません。このため、ポリシーを削除しても、レジストリ設定が残ります。設定を削除するためには、レジストリエディターで編集する必要があります。レジストリの情報はポリシー設定のリンクを参照してください。
&br;


**[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[MS Security Guide] [#g41210b1]
|150|150||c
|ポリシー設定|値|説明|h
|[[Apply UAC restrictions to local accounts on network logons]]|有効|有効(推奨):UACトークンフィルターをネットワークログオンのローカルアカウントに適用します。Administratorsなどの強力なグループのメンバーシップが無効になり、作成されたアクセストークンから強力な特権が削除されます。これにより、LocalAccountTokenFilterPolicyレジストリ値が0に構成されます。これは、Windowsの既定の動作です。|
|[[Configures SMB v1 client driver]]&br;&ref(https://www.softwareisac.jp/ipa/image/downAllow.png);|有効&br;オプション:&br;Configure MrxSmb10 driver&br;Disable driver (recommended)|SMBv1プロトコルのクライアント側の処理を無効にするには、[有効]ラジオボタンを選択し、ドロップダウンから[ドライバーを無効にする]を選択します。警告：いかなる状況下でも「無効」なラジオボタンを選択しないでください。|
|[[Configures SMB v1 server]]&br;&ref(https://www.softwareisac.jp/ipa/image/downAllow.png);|無効|この設定を無効にすると、SMBv1プロトコルのサーバー側の処理が無効になります。 （推奨）この設定を有効にすると、SMBv1プロトコルのサーバー側の処理が有効になります。 （デフォルト。）この設定の変更を有効にするには、再起動が必要です。 。|
|[[Enable Structured Exception Handling Overwrite Protection (SEHOP)]]&br;&ref(https://www.softwareisac.jp/ipa/image/downAllow.png);|有効|この設定を有効にすると、SEHOPが実施されます。|
|[[NetBT NodeType configuration]]|P-node (recommendes)|NetBT NodeType設定は、NetBTが名前の登録と解決に使用する方法を決定します。&br;- Bノードコンピューターはブロードキャストを使用します。&br;- Pノードコンピューターは、ネームサーバー（WINS）へのポイントツーポイントの名前クエリのみを使用します。&br;- Mノードコンピューターは最初にブロードキャストし、次にネームサーバーに照会します。&br;- Hノードコンピューターは、最初にネームサーバーに照会し、次にブロードキャストします。LMHOSTSまたはDNSによる解決は、これらの方法に従います。&br;NodeType値が存在する場合、DhcpNodeType値をオーバーライドします。NodeTypeもDhcpNodeTypeも存在しない場合、コンピューターは、ネットワーク用に構成されたWINSサーバーがない場合はBノードを使用し、少なくとも1つのWINSサーバーが構成されている場合はHノードを使用します。|
|[[WDigest authentication]]|無効|WDigest認証プロトコルが有効になっている場合、プレーンテキストパスワードはLocal Security Authority Subsystem Service（LSASS）に保存され、盗難にさらされます。Windows 10では、デフォルトでWDigestは無効になっています。この設定により、これが強制されます。|
|[[NetBT NodeType configuration]]&br;&ref(https://www.softwareisac.jp/ipa/image/downAllow.png);|P-node (recommendes)|NetBT NodeType設定は、NetBTが名前の登録と解決に使用する方法を決定します。&br;- Bノードコンピューターはブロードキャストを使用します。&br;- Pノードコンピューターは、ネームサーバー（WINS）へのポイントツーポイントの名前クエリのみを使用します。&br;- Mノードコンピューターは最初にブロードキャストし、次にネームサーバーに照会します。&br;- Hノードコンピューターは、最初にネームサーバーに照会し、次にブロードキャストします。LMHOSTSまたはDNSによる解決は、これらの方法に従います。&br;NodeType値が存在する場合、DhcpNodeType値をオーバーライドします。NodeTypeもDhcpNodeTypeも存在しない場合、コンピューターは、ネットワーク用に構成されたWINSサーバーがない場合はBノードを使用し、少なくとも1つのWINSサーバーが構成されている場合はHノードを使用します。|
|[[WDigest authentication]]&br;&ref(https://www.softwareisac.jp/ipa/image/downAllow.png);|無効|WDigest認証プロトコルが有効になっている場合、プレーンテキストパスワードはLocal Security Authority Subsystem Service（LSASS）に保存され、盗難にさらされます。Windows 10では、デフォルトでWDigestは無効になっています。この設定により、これが強制されます。|
&br;
Windows で SMBv1、SMBv2、および SMBv3 を検出、有効化、および無効化する方法&br;https://docs.microsoft.com/ja-jp/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3|
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。 その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。