Windows セキュリティ ベースライン
この記事では、次の実装で適用できる Windows ゲストの構成設定について詳しく説明します。
- [プレビュー]: Windows マシンで Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある (Azure Policy ゲスト構成定義)
- マシンのセキュリティ構成の脆弱性が修復されている必要がある (Azure Security Center で)
詳細については、Azure Automanage マシン構成に関する記事を参照してください。
重要
Azure Policy ゲスト構成は、Windows Server SKU と Azure Stack SKU にのみ適用されます。 Windows 10 や Windows 11 SKU などのエンド ユーザー コンピューティングには適用されません。
アカウント ポリシー - パスワード ポリシー
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| アカウントのロックアウト期間 (AZ-WIN-73312) |
説明: このポリシー設定により、ロックされたアカウントのロックが解除されるまでに必要な経過時間およびユーザーが再度ログオンを試みることができる時間の長さが決まります。 この設定では、ロックアウトされたアカウントを使用不可のままにしておく時間 (分) を指定します。 このポリシー設定の値が 0 に構成されている場合、管理者が手動でロックを解除するまで、ロックアウトされたアカウントはロックアウトされたままになります。 このポリシー設定の値を高い値に構成すればよいように思われるかもしれませんが、そのような構成では、誤ってロックされたアカウントのロックを解除するよう求める電話をヘルプ デスクで受ける数が増える可能性があります。 ユーザーは、コンピューターへのアクセスを回復するために非常に急を要する場合にのみヘルプ デスクに電話する必要があることを認識するように、ロックされたままになる時間の長さに注意する必要があります。 この設定の推奨値は 15 or more minute(s) です。 注: 既定の動作としてドメイン ユーザー アカウントでグローバルに有効にするには、パスワード ポリシー設定 (セクション 1.1) とアカウント ロックアウト ポリシー設定 (セクション 1.2) を既定のドメイン ポリシー GPO を使用して適用する必要があります。 これらの設定が別の GPO で構成されている場合、GPO を受け取るコンピューター上のローカル ユーザー アカウントにのみ影響します。 しかし、特定のドメイン ユーザーやグループに対する既定のパスワード ポリシーとアカウント ロックアウト ポリシー規則に対するカスタム例外は、パスワード設定オブジェクト (PCO) を使用して定義できます。これは、グループ ポリシーとは完全に分離され、Active Directory 管理センターを使用して最も簡単に構成されます。キーのパス: [System Access]LockoutDuration OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy\Account lockout duration コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 1.2.1 CIS WS2019 1.2.1 |
>= 15 (ポリシー) |
警告 |
管理用テンプレート - Windows Defender
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 不要な可能性があるアプリケーションの検出を構成する (AZ-WIN-202219) |
説明: このポリシー設定では、望ましくない可能性があるアプリケーション (PUA) の検出とアクションを制御します。これは、不正な望ましくないアプリケーション バンドラー、またはアドウェアやマルウェアを配信できるバンドルされたアプリケーションです。 この設定の推奨値は Enabled: Block です。 詳細については、こちらのリンク (Microsoft Defender ウイルス対策を使用して望ましくない可能性のあるアプリケーションをブロックする | Microsoft Docs) を参照してくださいキーのパス: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Configure detection for potentially unwanted applications コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15 |
= 1 (レジストリ) |
重大 |
| すべてのダウンロード ファイルと添付ファイルをスキャンする (AZ-WIN-202221) |
説明: このポリシー設定では、すべてのダウンロード ファイルと添付ファイルのスキャンを構成します。 この設定の推奨値は Enabled です。キーのパス: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Real-Time Protection\Scan all downloaded files and attachments コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1 |
= 0 (レジストリ) |
警告 |
| Microsoft Defender ウイルス対策を無効にする (AZ-WIN-202220) |
説明: このポリシー設定では、Microsoft Defender ウイルス対策を無効にします。 設定が [無効] に構成されている場合、Microsoft Defender ウイルス対策が実行され、コンピューターでマルウェアやその他の望ましくない可能性のあるソフトウェアがスキャンされます。 この設定の推奨値は Disabled です。キーのパス: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Turn off Microsoft Defender AntiVirus コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16 |
= 0 (レジストリ) |
重大 |
| リアルタイム保護を無効にする (AZ-WIN-202222) |
説明: このポリシー設定では、既知のマルウェアを検出するためのリアルタイム保護プロンプトを構成します。 マルウェアや望ましくない可能性のあるソフトウェアがコンピューターでインストールまたは実行されようとすると、Microsoft Defender ウイルス対策でアラートが示されます。 この設定の推奨値は Disabled です。キーのパス: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Real-Time Protection\Turn off real-time protection コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2 |
= 0 (レジストリ) |
警告 |
| 電子メールのスキャンを有効にする (AZ-WIN-202218) |
説明: このポリシー設定を使用すると、電子メールのスキャンを構成できます。 電子メールのスキャンが有効な場合は、エンジンがメールボックスとメール ファイルを各ファイル固有の形式に従って解析し、メールの本文と添付ファイルを分析します。 現在サポートされている電子メール形式は、pst (Outlook)、dbx、mbx、mime (Outlook Express)、binhex (Mac) など、いくつかあります。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Scan\Turn on e-mail scanning コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2 |
= 0 (レジストリ) |
警告 |
| スクリプトのスキャンを有効にする (AZ-WIN-202223) |
説明: このポリシー設定では、スクリプトのスキャンを有効または無効にすることができます。 スクリプト スキャンでは、スクリプトをインターセプトし、システムで実行される前にスキャンします。 この設定の推奨値は Enabled です。キーのパス: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Real-Time Protection\Turn on script scanning コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4 |
= 0 (レジストリ) |
警告 |
管理用テンプレート - コントロール パネル
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 入力の個人用設定を許可する (AZ-WIN-00168) |
説明: このポリシーを使用すると、音声、手書き、キーボードなどの入力の個人用設定の自動学習機能が有効になります。 自動学習機能により、音声と手書きのパターン、キーボード入力履歴、連絡先、最近のカレンダー情報を収集できます。 これは Cortana の使用のために必要となります。 手書き入力とキーボード入力については、収集した情報の一部をユーザーの OneDrive に保存する場合があります。その情報の一部は、音声をカスタマイズするために Microsoft にアップロードされます。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP を使用して推奨される構成を確立するには、次の UI パスを Disabled に設定します: Computer Configuration\Policies\Administrative Templates\Control Panel\Regional and Language Options\Allow users to enable online speech recognition services 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 10 RTM (リリース 1507) 以降の管理用テンプレートに含まれているグループ ポリシー テンプレート Globalization.admx/adml によって提供されます。 注 2: 以前の Microsoft Windows 管理istrative テンプレートでは、この設定は最初は [入力のパーソナル化を許可する] という名前でしたが、Windows 10 R1809 および Server 2019 管理istrative Templates 以降のオンライン音声認識サービスをユーザーが有効にできるように変更されました。コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.1.2.2 |
= 0 (レジストリ) |
警告 |
管理用テンプレート - MS セキュリティ ガイド
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| SMB v1 クライアントを無効にする (LanmanWorkstation への依存関係を削除する) (AZ-WIN-00122) |
説明: SMBv1 は、SMB の一部として MD5 アルゴリズムを使用するレガシ プロトコルです。 MD5 は、衝突や原像攻撃などの多くの攻撃に対して脆弱であることがわかっており、FIPS に準拠していません。 キー パス: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService OS: WS2008、WS2008R2、WS2012 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Administrative Templates\MS Security Guide\Configure SMBv1 client driver コンプライアンス標準マッピング: |
存在しない、または = Bowser\0MRxSmb20\0NSI\0\0 (レジストリ) |
重大 |
| WDigest 認証 (AZ-WIN-73497) |
説明: WDigest 認証が有効になっている場合、Lsass.exe では、ユーザーのプレーンテキスト パスワードのコピーがメモリに保持されます。その場合、盗難のリスクが生じるおそれがあります。 この設定が構成されていない場合、WDigest 認証は Windows 8.1 および Windows Server 2012 R2 で無効になります。以前のバージョンの Windows および Windows Server では既定で有効になります。 ローカル アカウントと資格情報の盗難の詳細については、Pass-the-Hash (PtH) 攻撃とその他の資格情報の盗難の軽減手法に関するドキュメントを参照してください。 UseLogonCredential の詳細については、Microsoft サポート技術情報の記事 2871997 「マイクロソフト セキュリティ アドバイザリ: 資格情報の保護と管理を強化する更新プログラム: 2014 年 5 月 13 日」を参照してください。 この設定の推奨値は Disabled です。キー パス: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential OS: WS2016, WS2019 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\MS Security Guide\WDigest Authentication (無効にすると KB2871997 が必要になる場合があります) コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.3.7 CIS WS2019 18.3.7 |
= 0 (レジストリ) |
重要 |
管理用テンプレート - MSS
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| MSS: (DisableIPSourceRouting IPv6) IP ソース ルーティング保護レベル (パケット スプーフィングからの保護) (AZ-WIN-202213) |
説明: IP ソース ルーティングは、データグラムがネットワークを通過する必要がある IP ルートを送信者が判断できるようにするメカニズムです。 この設定の推奨値は Enabled: Highest protection, source routing is completely disabled です。キーのパス: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\MSS (Legacy)\MSS: (DisableIPSourceRouting IPv6) IP source routing protection level (protects against packet spoofing) コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.4.2 CIS WS2019 18.4.2 |
= 2 (レジストリ) |
Informational |
| MSS: (DisableIPSourceRouting) IP ソース ルーティング保護レベル (パケット スプーフィングからの保護) (AZ-WIN-202244) |
説明: IP ソース ルーティングは、データグラムがネットワークを通過する必要がある IP ルートを送信者が判断できるようにするメカニズムです。 ソース ルーティングを完全に無効にするには、この設定を企業環境の場合は [定義されていません] および高セキュリティ環境の場合は [最大の保護] に構成することをお勧めします。 この設定の推奨値は Enabled: Highest protection, source routing is completely disabled です。キーのパス: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\MSS (Legacy)\MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.4.3 CIS WS2019 18.4.3 |
= 2 (レジストリ) |
Informational |
| MSS: (NoNameReleaseOnDemand) コンピューターが WINS サーバーを除く NetBIOS 名のリリース要求を無視できるようにする (AZ-WIN-202214) |
説明: NetBIOS over TCP/IP は、特に Windows ベースのシステムに登録されている NetBIOS 名を、それらのシステムで構成されている IP アドレスに簡単に解決する方法を提供するネットワーク プロトコルです。 コンピューターで名前の解放要求を受け取ったときに NetBIOS 名を解放するかどうかは、この設定によって決まります。 この設定の推奨値は Enabled です。キーのパス: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\MSS (Legacy)\MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.4.6 CIS WS2019 18.4.6 |
= 1 (レジストリ) |
Informational |
| MSS: (SafeDllSearchMode) 安全な DLL 検索モードを有効にする (推奨) (AZ-WIN-202215) |
説明: DLL 検索順序は、次の 2 つの方法のいずれかでプロセスを実行して要求された DLL を検索するように構成できます: - 最初にシステム パスで指定されたフォルダーを検索してから、現在の作業フォルダーを検索します。 - 最初に現在の作業フォルダーを検索してから、システム パスで指定されたフォルダーを検索します。 有効にすると、レジストリ値は 1 に設定されます。 設定が 1 の場合、システムにより、最初にシステム パスで指定されたフォルダーが検索されてから、現在の作業フォルダーが検索されます。 無効にした場合、レジストリ値は 0 に設定され、システムにより、最初に現在の作業フォルダーが検索されてから、システム パスで指定されているフォルダーが検索されます。 アプリケーションは、最初にシステム パスで DLL を検索するように強制されます。 アプリケーションに含まれているこれらの DLL の一意のバージョンを必要とするアプリケーションの場合、このエントリがパフォーマンスまたは安定性の問題を引き起こすおそれがあります。 この設定の推奨値は Enabled です。 注: 安全な DLL 検索モードのしくみについて詳しくは、こちらのリンク (ダイナミックリンク ライブラリの検索順序 - Windows アプリケーション | Microsoft Docs) を参照してくださいキーのパス: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\MSS (Legacy)\MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended) コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.4.8 CIS WS2019 18.4.8 |
= 1 (レジストリ) |
警告 |
| MSS: (WarningLevel) システムが警告を生成するセキュリティ イベント ログのしきい値の割合 (AZ-WIN-202212) |
説明: この設定では、ログがユーザー定義のしきい値に達したときに、セキュリティ イベント ログにセキュリティ監査を生成できます。 この設定の推奨値は Enabled: 90% or less です。 注: ログ設定が、必要に応じてイベントを上書きするか、あるいは x 日より前のイベントを上書きするように構成されている場合、このイベントは生成されません。キーのパス: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\MSS (Legacy)\MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.4.12 CIS WS2019 18.4.12 |
<= 90 (レジストリ) |
Informational |
| インターネット制御メッセージ プロトコル (ICMP) リダイレクトが Open Shortest Path First (OSPF) によって生成されたルートをオーバーライドしないように Windows Server を構成する必要があります。 (AZ-WIN-73503) |
説明: インターネット制御メッセージ プロトコル (ICMP) リダイレクトにより、IPv4 スタックでホスト ルートが組み込まれます。 これらのルートにより、Open Shortest Path First (OSPF) で生成されたルートがオーバーライドされます。 この設定の推奨値は Disabled です。キーのパス: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\MSS (Legacy)\MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.4.4 CIS WS2019 18.4.4 |
= 0 (レジストリ) |
Informational |
管理用テンプレート - ネットワーク
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 安全でないゲスト ログオンを有効にする (AZ-WIN-00171) |
説明: このポリシー設定は、SMB クライアントで SMB サーバーへの安全でないゲスト ログオンが許可されるかどうかを規定します。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth OS: WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates etwork\Lanman Workstation\Enable insecure guest logons 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 10 Release 1511 以降の管理用テンプレートに含まれているグループ ポリシー テンプレート 'LanmanWorkstation.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1 |
= 0 (レジストリ) |
重大 |
| 書き込み済み UNC パス - NETLOGON (AZ_WIN_202250) |
説明: このポリシー設定では、UNC パスへのセキュリティ保護されたアクセスが構成されます キー パス: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\NETLOGON OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Administrative Templates\Network\Network Provider\Hardened UNC Paths コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1、RequireIntegrity=1 (レジストリ) |
警告 |
| 書き込み済み UNC パス - SYSVOL (AZ_WIN_202251) |
説明: このポリシー設定では、UNC パスへのセキュリティ保護されたアクセスが構成されます キー パス: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\SYSVOL OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Administrative Templates\Network\Network Provider\Hardened UNC Paths コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1、RequireIntegrity=1 (レジストリ) |
警告 |
| インターネットまたは Windows ドメインへの同時接続の数を最小化する (CCE-38338-0) |
説明: このポリシー設定を使用すると、コンピューターがドメイン ネットワークと非ドメイン ネットワークの両方に同時に接続されるのを防止します。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled: 3 = Prevent Wi-Fi when on Ethernet に設定します:Computer Configuration\Policies\Administrative Templates etwork\Windows Connection Manager\Minimize the number of simultaneous connections to the Internet or a Windows Domain 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.0 および Server 2012 (R2 以外) の管理に含まれるグループ ポリシー テンプレート 'WCM.admx/adml' によって提供されます。 これは Windows 10 リリース 1903 以降の管理用テンプレートの新しい [ポリシー オプションの最小化] サブ設定で更新されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.5.21.1 |
存在しないか、= 1 (レジストリ) |
警告 |
| DNS ドメイン ネットワーク上でのネットワーク ブリッジのインストールおよび構成を禁止する (CCE-38002-2) |
説明: この手順により、ユーザーがネットワーク ブリッジのインストールと設定をできるかどうかを制御します。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Network\Network Connections\Prohibit installation and configuration of Network Bridge on your DNS domain network 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート NetworkConnections.admx/adml によって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2 |
= 0 (レジストリ) |
警告 |
| DNS ドメイン ネットワーク上でインターネット接続の共有の使用を禁止する (AZ-WIN-00172) |
説明: この「古い」設定は、従来 Windows 2000、Windows XP および Server 2003 でのインターネット接続共有 (ICS) に適用されていましたが、現在は新たに Windows 10 と Server 2016 のモバイル ホットスポット機能に適用されるようになりました。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates etwork etwork Connections\Prohibit use of Internet Connection Sharing on your DNS domain network 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'NetworkConnections.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.5.11.3 |
= 0 (レジストリ) |
警告 |
| マルチキャスト名前解決をオフにする (AZ-WIN-00145) |
説明: LLMNR は補助的な名前解決プロトコルです。 LLMNR を使用すると、クエリはクライアント コンピューターから、単一サブネット上のローカル ネットワーク リンクでマルチキャストを使用して、同じサブネット上の LLMNR が有効な別のクライアント コンピューターに送信されます。 LLMNR は、DNS サーバーまたは DNS クライアント構成を必要とせず、従来の DNS 名前解決を使用できないときに、名前解決できるようにします。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast OS: WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates etwork\DNS Client\Turn off multicast name resolution 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理一般テンプレート (またはそれ以降) に含まれているグループ ポリシー テンプレート 'DnsClient.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.5.4.2 |
= 0 (レジストリ) |
警告 |
管理用テンプレート - セキュリティ ガイド
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 構造化例外処理の上書き保護 (SEHOP) を有効にする (AZ-WIN-202210) |
説明: Windows には、構造化例外処理の上書き保護 (SEHOP) のサポートが含まれています。 コンピューターのセキュリティ プロファイルを向上させるために、この機能を有効にすることをお勧めします。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\MS Security Guide\Enable Structured Exception Handling Overwrite Protection (SEHOP) コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.3.4 CIS WS2019 18.3.4 |
= 0 (レジストリ) |
重大 |
| NetBT NodeType の構成 (AZ-WIN-202211) |
説明: この設定により、NetBIOS over TCP/IP (NetBT) で名前の登録と解決に使用されるメソッドが決まります。 使用可能なメソッド: - B ノード (ブロードキャスト) メソッドではブロードキャストのみを使用します。 - P ノード (ポイントツーポイント) メソッドでは、ネーム サーバー (WINS) への名前クエリのみを使用します。 - M ノード (混合) メソッドでは最初にブロードキャストし、ブロードキャストに失敗した場合はネーム サーバー (WINS) のクエリを実行します。 - H ノード (ハイブリッド) メソッドでは、最初にネーム サーバー (WINS) のクエリを実行し、クエリに失敗した場合はブロードキャストします。 この設定の推奨値は、Enabled: P-node (recommended) (ポイントツーポイント) です。 注: LMHOSTS または DNS を使用した解決ではこれらのメソッドに従います。 NodeType レジストリ値が存在する場合、DhcpNodeType レジストリ値がすべてオーバーライドされます。 NodeType も DhcpNodeType も存在しておらず、ネットワーク用に構成された WINS サーバーがない場合は、コンピューターで B ノード (ブロードキャスト) が使用され、少なくとも 1 つの WINS サーバーが構成されている場合は H ノード (ハイブリッド) が使用されます。キーのパス: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\MS Security Guide\NetBT NodeType configuration コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.3.6 CIS WS2019 18.3.6 |
= 2 (レジストリ) |
警告 |
管理用テンプレート - システム
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| ユーザーがサインイン時にアカウントの詳細を表示できないようにブロックする (AZ-WIN-00138) |
説明: このポリシーを使用すると、ユーザーはアカウントの詳細情報 (メールアドレスまたはユーザー名) をサインイン画面に表示できなくなります。 このポリシー設定を有効にすると、ユーザーがサインイン画面でアカウントの詳細情報を表示することができなくなります。 このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーはサインイン画面でアカウントの詳細情報を表示することができます。 キーのパス: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\System\Logon\Block user from showing account details on sign-in 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 10 Release 1607 および Server 2016 管理istrative Templates (またはそれ以降) に含まれているグループ ポリシー テンプレート 'Logon.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.28.1 |
= 1 (レジストリ) |
警告 |
| ブート開始ドライバーの初期化ポリシー (CCE-37912-3) |
説明: このポリシー設定を使用すると、起動時マルウェア対策のブート開始ドライバーの分類に従って初期化するブート開始ドライバーを指定することができるようになります。 起動時マルウェア対策のブート開始ドライバーで、各ブート開始ドライバーを次の分類に割り当てることができます。- 良好: ドライバーは署名されており、改ざんされていません。 - 不良: ドライバーがマルウェアとして認識されました。 既知の不良のドライバーの初期化を許可しないことをお勧めします。 - 不良 (ブートに不可欠): ドライバーはマルウェアとして認識されましたが、コンピューターを正常に起動するにはこのドライバーを読み込む必要があります。 - 不明: このドライバーは、マルウェアの検出アプリケーションによって証明されておらず、起動時マルウェア対策のブート開始ドライバーによって分類されていません。 このポリシー設定を有効にした場合、次にコンピューターを起動したときに初期化するブート開始ドライバーを選択できます。 このポリシー設定を無効にした場合、または構成しなかった場合、良好、不明、または不良 (ブートに不可欠) と判定されたブート開始ドライバーは初期化され、不良と判定されたドライバーの初期化はスキップされます。 お使いのマルウェアの検出アプリケーションに起動時マルウェア対策のブート開始ドライバーが含まれない場合、または起動時マルウェア対策のブート開始ドライバーが無効になっている場合、この設定は影響せず、すべてのブート開始ドライバーが初期化されます。 キーのパス: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled:Good, unknown and bad but critical に設定します:Computer Configuration\Policies\Administrative Templates\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理一般テンプレート (またはそれ以降) に含まれているグループ ポリシー テンプレート 'EarlyLaunchAM.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.14.1 |
存在しないか、= 3 (レジストリ) |
警告 |
| リモート アシスタンスを提供する機能を構成する (CCE-36388-7) |
説明: このポリシー設定を使用すると、このコンピューターで Offer (Unsolicited) Remote Assistance((要請されていない) リモート アシスタンスを提供する) の有効と無効を切り替えることが可能になります。 ヘルプ デスクとサポート担当者は、ユーザーのサポート依頼には対応できますが、予防的なサポートを提供することはできません。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\System\Remote Assistance\Configure Offer Remote Assistance 注: このグループ ポリシー パスは、既定では存在しない場合があります。 このテンプレートは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理一般テンプレート (またはそれ以降) に含まれているグループ ポリシー RemoteAssistance.admx/adml テンプレートによって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1 |
存在しないか、= 0 (レジストリ) |
警告 |
| 要請されたリモート アシスタンスを構成する (CCE-37281-3) |
説明: このポリシー設定を使用すると、このコンピューターで、[Solicited (Ask for) Remote Assistance](要請された (依頼された) リモート アシスタンス) の有効と無効を切り替えることが可能になります。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\System\Remote Assistance\Configure Solicited Remote Assistance 注: このグループ ポリシー パスは、既定では存在しない場合があります。 このテンプレートは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理一般テンプレート (またはそれ以降) に含まれているグループ ポリシー RemoteAssistance.admx/adml テンプレートによって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2 |
= 0 (レジストリ) |
重大 |
| ネットワークの選択の UI を表示しない (CCE-38353-9) |
説明: このポリシー設定を使用すると、あらゆるユーザーがログイン画面で利用可能なネットワーク UI を使用できるかどうかを制御できます。 このポリシー設定を有効にした場合、Windows にサインインしないと PC のネットワーク接続の状態を変更できません。 このポリシー設定を無効にした場合、または構成しなかった場合、すべてのユーザーは、Windows にサインインしなくても、PC をネットワークから切断したり、別の使用可能なネットワークに接続したりすることができます。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\System\Logon\Do not display network selection UI 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.1 および Server 2012 R2 管理istrative テンプレート (またはそれ以降) に含まれているグループ ポリシー テンプレート 'Logon.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.28.2 |
= 1 (レジストリ) |
警告 |
| ドメインに参加しているコンピューターに接続しているユーザーを列挙しない (AZ-WIN-202216) |
説明: このポリシー設定では、ドメインに参加しているコンピューターに接続しているユーザーが列挙されないようにします。 この設定の推奨値は Enabled です。キーのパス: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\System\Logon\Do not enumerate connected users on domain-joined computers コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3 |
= 1 (レジストリ) |
警告 |
| RPC エンドポイント マッパー クライアント認証を有効にする (CCE-37346-4) |
説明: このポリシー設定では、RPC クライアントが発信する呼び出しに認証情報が含まれる場合に、RPC クライアントがエンドポイント マッパー サービスの認証を受けるかどうかを制御します。 Windows NT4 (すべてのサービス パック) を実行するコンピューター上のエンドポイント マッパー サービスでは、この方法で提供された認証情報を処理できません。 このポリシー設定を無効にすると、RPC クライアントはエンドポイント マッパー サービスの認証を受けませんが、Windows NT4 サーバー上のエンドポイント マッパー サービスと通信できます。 このポリシー設定を有効にすると、RPC クライアントは、認証情報を含む呼び出しについて、エンドポイント マッパー サービスの認証を受けます。 このような呼び出しを発信するクライアントは、Windows NT4 サーバーのエンドポイント マッパー サービスと通信できません。 このポリシー設定を構成しない場合、設定は無効のままになります。 RPC クライアントはエンドポイント マッパー サービスの認証を受けませんが、Windows NT4 サーバーのエンドポイント マッパー サービスと通信できます。 注: このポリシーは、システムが再起動されるまで適用されません。 キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\System\Remote Procedure Call\Enable RPC Endpoint Mapper Client Authentication 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理istrative テンプレート (またはそれ以降) に含まれているグループ ポリシー テンプレート 'RPC.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.37.1 |
= 1 (レジストリ) |
重大 |
| Windows NTP クライアントを有効にする (CCE-37843-0) |
説明: このポリシー設定では、Windows NTP クライアントを有効にするかどうかを指定します。 Windows NTP クライアントを有効にすると、他の NTP サーバーとコンピューター時計の同期をとることができます。 サードパーティのタイム プロバイダーを使用する場合は、このサービスを無効にできます。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\System\Windows Time Service\Time Providers\Enable Windows NTP Client 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'W32Time.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.53.1.1 |
= 1 (レジストリ) |
重大 |
| CredSSP プロトコルの暗号化 Oracle 修復 (AZ-WIN-201910) |
説明: 一部のアプリケーションで使用される CredSSP プロトコルの一部のバージョン (リモート デスクトップ接続など) は、クライアントに対する暗号化 Oracle 攻撃に対して脆弱です。 このポリシーでは、脆弱なクライアントとサーバーとの互換性を制御し、暗号化 Oracle の脆弱性に必要な保護レベルを設定できるようにします。 この設定の推奨値は Enabled: Force Updated Clients です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle OS: WS2016, WS2019 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\System\Credentials Delegation\Encryption Oracle Remediation コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1 |
= 0 (レジストリ) |
重大 |
| [Configure registry policy processing: Do not apply during periodic background processing](レジストリ ポリシーの処理を構成する: バックグラウンドで定期的に処理しているときは適用しない) を [Enabled: FALSE](有効: FALSE) に確実に設定する (CCE-36169-1) |
説明: [Do not apply during periodic background processing](バックグラウンドで定期的に処理しているときは適用しない) オプションを有効にした場合、コンピューターの使用中は関連するポリシーがバックグラウンドで更新されなくなります。 バックグラウンドでの更新を無効にすると、再度ユーザーがログオンするか、システムを再起動するまでポリシーへの変更は適用されません。 この設定の推奨値は Enabled: FALSE (オフ) です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定し、Process even if the Group Policy objects have not changed オプションを TRUE (オン) に設定します:Computer Configuration\Policies\管理istrative Templates\System\Group Policy\Configure registry policy processing 注: このグループ ポリシー パスは、既定では存在しない場合があります。 このテンプレートは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理一般テンプレート (またはそれ以降) に含まれているグループ ポリシー GroupPolicy.admx/adml テンプレートによって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2 |
= 0 (レジストリ) |
重大 |
| [Configure registry policy processing: Process even if the Group Policy objects have not changed](レジストリ ポリシーの処理を構成する: グループ ポリシー オブジェクトが変更されていなくても処理する) を [Enabled: TRUE](有効: TRUE) に確実に設定する (CCE-36169-1a) |
説明: [Process even if the Group Policy objects have not changed](グループ ポリシー オブジェクトが変更されていなくても処理する) オプションを使うと、ポリシーが変更されていない場合でも、ポリシーは更新されて再適用されます。 この設定の推奨値は Enabled: TRUE (オン) です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: GP を使用して推奨される構成を確立するには、次の UI パスを Enabled に設定し、[グループ ポリシー オブジェクトが変更されていなくても処理する] オプションを 'TRUE' (オン) に設定します:Computer Configuration\Policies\Administrative Templates\System\Group Policy\Configure registry policy processing 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理一般テンプレート (またはそれ以降) に含まれているグループ ポリシー テンプレート 'GroupPolicy.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.21.3 |
= 0 (レジストリ) |
重大 |
| [このデバイスでのエクスペリエンスを続行する] を必ず [無効] に設定してください (AZ-WIN-00170) |
説明: このポリシー設定では、Windows デバイスがクロスデバイス エクスペリエンスに参加すること (エクスペリエンスを続行すること) を許可するかどうかを規定します。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\System\Group Policy\Continue experiences on this device 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 10 Release 1607 および Server 2016 管理istrative Templates (またはそれ以降) に含まれているグループ ポリシー テンプレート 'GroupPolicy.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.21.4 |
存在しないか、= 0 (レジストリ) |
警告 |
| ドメインに参加しているコンピューターのローカル ユーザーを列挙する (AZ_WIN_202204) |
説明: このポリシー設定では、ドメインに参加しているコンピューターのローカル ユーザーを列挙できます。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバー タイプ: ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\System\Logon\Enumerate local users on domain-joined computers コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4 |
存在しないか、= 0 (レジストリ) |
警告 |
| プロセス作成イベントにコマンド ラインを含める (CCE-36925-6) |
説明: このポリシー設定では、新しいプロセスが作成されたときセキュリティ監査イベントで何の情報がログされるかを規定します。 この設定は、プロセス作成の監査ポリシーが有効な場合にのみ適用されます。 このポリシー設定を有効にした場合、このポリシー設定が適用されているワークステーションやサーバーでは、各プロセスのコマンド ライン情報が、プロセス作成の監査イベント 4688 "新しいプロセスの作成" の一部としてテキスト形式でセキュリティ イベント ログに記録されます。 このポリシー設定を無効にした場合、または構成しなかった場合、プロセスのコマンド ライン情報はプロセス作成の監査イベントに含まれません。 既定: 未設定 注: このポリシー設定を有効にした場合、セキュリティ イベントを読み取るためのアクセス権を持つすべてのユーザーが、作成されたプロセスに対するコマンド ラインの引数を読み取ることができます。 コマンド ライン引数には、パスワードやユーザー データなどの機密性の高い情報や個人情報を含めることができます。 キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled OS: WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\System\Audit Process Creation\Include command line in process creation events 注: このグループ ポリシー パスは、既定では存在しない場合があります。 Microsoft Windows 8.1 および Server 2012 R2 管理istrative Templates (またはそれ以降) に含まれているグループ ポリシー テンプレート 'Audit設定.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.3.1 |
= 1 (レジストリ) |
重大 |
| デバイス メタデータをインターネットから取得しない (AZ-WIN-202251) |
説明: このポリシー設定を使用すると、Windows でデバイス メタデータをインターネットから取得しないようにすることができます。 この設定の推奨値は Enabled です。 注: これにより、基本的なハードウェア ドライバーのインストールは防げませんが、関連付けられているサード パーティ製ユーティリティ ソフトウェアが SYSTEM アカウントのコンテキストで自動的にインストールされるのを防げます。キーのパス: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\System\Device Installation\Prevent device metadata retrieval from the Internet コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2 |
= 1 (レジストリ) |
Informational |
| リモート ホストでは、エクスポートできない資格情報を委任できます (AZ-WIN-20199) |
説明: リモート ホストでは、エクスポートできない資格情報を委任できます。 資格情報の委任を使用する場合、資格情報のエクスポート可能なバージョンがデバイスからリモート ホストに提供されます。 これにより、ユーザーの資格情報がリモート ホスト上の攻撃者によって盗み取られる危険にさらされます。 制限付き管理モードと Windows Defender Remote Credential Guard 機能は、このリスクから保護するのに役立つ 2 つのオプションです。 この設定の推奨値は Enabled です。 注: Windows Defender Remote Credential Guard と制限付き管理モードとの比較について詳しくは、こちらのリンク (Windows Defender Remote Credential Guard でリモート デスクトップ資格情報を保護する (Windows 10) | Microsoft Docs) を参照してくださいキーのパス: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds OS: WS2016, WS2019 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\System\Credentials Delegation\Remote host allows delegation of non-exportable credentials コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2 |
= 1 (レジストリ) |
重大 |
| ロック画面のアプリ通知をオフにする (CCE-35893-7) |
説明: このポリシー設定を使用すると、アプリの通知をロック画面に表示しないようにすることができるようになります。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\System\Logon\Turn off app notifications on the lock screen 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理istrative テンプレート (またはそれ以降) に含まれているグループ ポリシー テンプレート 'Logon.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.28.5 |
= 1 (レジストリ) |
警告 |
| バックグラウンドでのグループ ポリシーの更新をオフにする (CCE-14437-8) |
説明: このポリシー設定は、コンピューターが使用されている間、グループ ポリシーが更新されないようにします。 このポリシー設定は、コンピューター、ユーザー、およびドメイン コントローラーのグループ ポリシーに適用されます。 この設定の推奨値は Disabled です。キーのパス: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\System\Group Policy\Turn off background refresh of Group Policy コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5 |
= 0 (レジストリ) |
警告 |
| プリンター ドライバーの HTTP 経由でのダウンロードをオフにする (CCE-36625-2) |
説明: このポリシー設定では、コンピューターから HTTP 経由で印刷ドライバー パッケージをダウンロードできるかどうかを制御します。 HTTP 印刷を設定するには、オペレーティング システムの標準インストールに含まれないプリンター ドライバーを HTTP 経由でダウンロードしなければならない場合があります。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\System\Internet Communication Management\Internet Communication settings\Turn off downloading of print drivers over HTTP 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'ICM.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.22.1.1 |
= 1 (レジストリ) |
警告 |
| URL 接続が Microsoft.com を参照している場合、インターネット接続ウィザードをオフにする (CCE-37163-3) |
説明: このポリシー設定では、インターネット サービス プロバイダー (ISP) のリストをダウンロードするために、インターネット接続ウィザードで Microsoft に接続できるかどうかを指定します。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\System\Internet Communication Management\Internet Communication settings\Turn off Internet Connection Wizard if URL connection is referring to Microsoft.com 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'ICM.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.22.1.4 |
= 1 (レジストリ) |
警告 |
| PIN を使用したサインインをオンにする (CCE-37528-7) |
説明: このポリシー設定を使用すると、ドメイン ユーザーが便利な PIN を使用してサインインできるかどうかを制御できます。 Windows 10 では、便利な PIN はセキュリティに優れる Passport に置き換えられました。 ドメイン ユーザーの Passport を設定するには、[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Microsoft Passport for Work] にあるポリシーを使用してください。 注: この機能の使用時、ユーザーのドメイン パスワードはシステム コンテナーにキャッシュされます。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\System\Logon\Turn on convenience PIN sign-in 注: このグループ ポリシー パスは、既定では存在しない場合があります。 このテンプレートは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理一般テンプレート (またはそれ以降) に含まれているグループ ポリシー CredentialProviders.admx/adml テンプレートによって提供されます。注 2: 以前の Microsoft Windows 管理istrative Templates では、この設定は最初は PIN サインインを有効にするという名前でしたが、Windows 10 Release 1511 管理istrative Templates 以降で名前が変更されました。コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7 |
存在しないか、= 0 (レジストリ) |
警告 |
管理用テンプレート - Windows コンポーネント
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| クラウド コンシューマー アカウントの状態コンテンツを無効にする (AZ-WIN-202217) |
説明: このポリシー設定により、すべての Windows エクスペリエンスでクラウド コンシューマー アカウントの状態コンテンツを許可するかどうかが決まります。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Cloud Content\Turn off cloud consumer account state content コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1 |
= 1 (レジストリ) |
警告 |
管理用テンプレート - Windows コンポーネント
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| ドライブのリダイレクトを許可しない (AZ-WIN-73569) |
説明: このポリシー設定により、ユーザーはアクセスするリモート デスクトップ サーバーでクライアント コンピューターのローカル ドライブを共有できなくなります。 マップ済みドライブは、エクスプローラーのセッション フォルダー ツリーに \\TSClient\<driveletter>$ という形式で示されます。ローカル ドライブは、共有されている場合、格納されているデータを悪用する侵入者に対して脆弱なままです。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection\Do not allow drive redirection コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2 |
= 1 (レジストリ) |
警告 |
| PowerShell 文字起こしを有効にする (AZ-WIN-202208) |
説明: このポリシー設定では、Windows PowerShell コマンドの入力と出力をテキストベースのトランスクリプトに取り込むことができます。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows PowerShell\Turn on PowerShell Transcription コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2 |
= 0 (レジストリ) |
警告 |
管理用テンプレート - Windows セキュリティ
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| ユーザーが設定を変更できないようにする (AZ-WIN-202209) |
説明: このポリシー設定により、ユーザーは Windows セキュリティ設定の Exploit Protection 設定領域を変更できなくなります。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Security\App and browser protection\Prevent users from modifying settings コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1 |
= 1 (レジストリ) |
警告 |
管理用テンプレート - Windows Defender
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 攻撃面の減少ルールを構成する (AZ_WIN_202205) |
説明: このポリシー設定では、攻撃面の減少 (ASR) ルールの状態を制御します。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction\Configure Attack Surface Reduction rules コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1 |
= 1 (レジストリ) |
警告 |
| ユーザーとアプリが危険な Web サイトにアクセスできないようにする (AZ_WIN_202207) |
説明: このポリシー設定では、Microsoft Defender Exploit Guard ネットワーク保護を制御します。 この設定の推奨値は Enabled: Block です。キーのパス: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Network Protection\Prevent users and apps from accessing dangerous websites コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1 |
= 1 (レジストリ) |
警告 |
コンピューター アカウントの管理の監査
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| コンピューター アカウントの管理の監査 (CCE-38004-8) |
説明: このサブカテゴリでは、コンピューター アカウントが作成、変更、削除、名前変更されたとき、あるいは無効または有効になったときなど、コンピューター アカウントの管理の各イベントを報告します。 このサブカテゴリには次のイベントが含まれます: - 4741: コンピューター アカウントが作成されました。 - 4742: コンピューター アカウントが変更されました。 - 4743: コンピューター アカウントが削除されました。 この設定の推奨値は Success を含んでいることです。キーのパス: {0CCE9236-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバー タイプ: ドメイン コントローラー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Computer Account Management コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 17.2.2 CIS WS2019 17.2.2 |
= Success (監査) |
重大 |
Secured Core
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| ブート DMA 保護を有効にする (AZ-WIN-202250) |
説明: セキュリティで保護されたコア対応サーバーでは、ブート プロセス中にすべての DMA 対応デバイスに対する悪意のある意図しないダイレクト メモリ アクセス (DMA) 攻撃に対する保護を提供するシステム ファームウェアがサポートされます。 キーのパス: BootDMAProtection OSEx: WSASHCI22H2 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: 該当なし コンプライアンス標準マッピング: |
= 1 (OsConfig) |
Critical |
| ハイパーバイザーによるコードの整合性の強制を有効にする (AZ-WIN-202246) |
説明: HVCI と VBS では、Windows の脅威モデルを改善し、Windows カーネルを悪用しようとするマルウェアに対するより強力な保護を提供します。 HVCI は、その中でカーネル モード コードの整合性を実行し、システムの侵害に使用できるカーネル メモリ割り当てを制限することで、VBS で作成され分離された仮想環境を保護および強化する重要なコンポーネントです。 キーのパス: HypervisorEnforcedCodeIntegrityStatus OSEx: WSASHCI22H2 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: 該当なし コンプライアンス標準マッピング: |
= 0 (OsConfig) |
Critical |
| セキュア ブートを有効にする (AZ-WIN-202248) |
説明: セキュア ブートは、PC 業界のメンバーによって開発されたセキュリティ標準であり、OEM (Original Equipment Manufacturer) によって信頼されているソフトウェアのみを使用してデバイスが起動されるようにするのに役立ちます。 キーのパス: SecureBootState OSEx: WSASHCI22H2 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: 該当なし コンプライアンス標準マッピング: |
= 1 (OsConfig) |
Critical |
| システム ガードを有効にする (AZ-WIN-202247) |
説明: DRTM (Dynamic Root of Trust of Measurement) テクノロジのプロセッサ サポートを使用して、System Guard ではハードウェアベースのサンドボックスにファームウェアを配置します。これは、数百万行の高い権限を持つファームウェア コードの脆弱性の影響を制限するのに役立ちます。 キーのパス: SystemGuardStatus OSEx: WSASHCI22H2 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: 該当なし コンプライアンス標準マッピング: |
= 0 (OsConfig) |
Critical |
| 仮想化ベースのセキュリティを有効にする (AZ-WIN-202245) |
説明: 仮想化ベースのセキュリティ (VBS) では、ハードウェア仮想化機能を使用して、セキュリティで保護されたメモリ領域が作成され、通常のオペレーティング システムから分離されます。 これは、サーバーが重要なワークロードの実行に専念し続け、関連するアプリケーションとデータを攻撃や流出から保護するのに役立ちます。 VBS は、Azure Stack HCI で既定で有効になり、ロックされます。 キーのパス: VirtualizationBasedSecurityStatus OSEx: WSASHCI22H2 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: 該当なし コンプライアンス標準マッピング: |
= 0 (OsConfig) |
Critical |
| TPM バージョン を設定する (AZ-WIN-202249) |
説明: トラステッド プラットフォーム モジュール (TPM) テクノロジは、ハードウェアベースのセキュリティ関連機能を提供するために設計されています。 セキュリティで保護されたコア機能には TPM2.0 が必要です。 キーのパス: TPMVersion OSEx: WSASHCI22H2 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: 該当なし コンプライアンス標準マッピング: |
Contains 2.0 (OsConfig) |
Critical |
セキュリティ オプション - アカウント
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| アカウント:Microsoft アカウントをブロックする (AZ-WIN-202201) |
説明: このコンピューターにユーザーが新しい Microsoft アカウントを追加できないようにするポリシー設定です。 この設定の推奨値は Users can't add or log on with Microsoft accounts です。キーのパス: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Block Microsoft accounts コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2 |
= 3 (レジストリ) |
警告 |
| アカウント: Guest アカウントの状態 (CCE-37432-2) |
説明: このポリシー設定では、Guest アカウントを有効にするか無効にするかを規定します。 Guest アカウントを使用すれば、未認証のネットワーク ユーザーがシステムにアクセスできます。 この設定の推奨値は Disabled です。 注: ドメイン コントローラーにはローカル アカウントのデータベースがないため、グループ ポリシーを通じてこの設定をドメイン コントローラーの組織単位に適用しても、一切影響はありません。 アカウント ロックアウトやパスワード ポリシーの設定と同様に、グループ ポリシーを通じてドメイン レベルで設定できます。キーのパス: [System Access]EnableGuestAccount OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Guest account status コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3 |
= 0 (ポリシー) |
重大 |
| アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する (CCE-37615-2) |
説明: このポリシー設定では、パスワードで保護されていないローカル アカウントを使用して、物理的なコンピューター コンソール以外の場所からログオンできるかどうかを規定します。 このポリシー設定を有効にすると、パスワードがないローカル アカウントは、リモートのクライアント コンピューターからネットワークにログオンできなくなります。 そのようなアカウントは、コンピューターのキーボードを使用することでのみログオンできます。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Limit local account use of blank passwords to console logon only コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4 |
存在しないか、= 1 (レジストリ) |
重大 |
| アカウント: Guest アカウント名の変更 (AZ-WIN-202255) |
説明: 組み込みのローカル ゲスト アカウントは、攻撃者によく知られているもう 1 つの名前です。 このアカウントの名前を、目的を示さない名前に変更することをお勧めします。 このアカウントを無効にした場合でも、セキュリティを強化するために必ず名前を変更することをお勧めします。 ドメイン コントローラーでは、独自のローカル アカウントがないため、この規則は、ドメインが最初に作成されたときに確立された組み込みのゲスト アカウントに関するものです。 キー パス: [System Access]NewGuestName OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Rename guest account コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6 |
!= Guest (ポリシー) |
警告 |
| ネットワーク アクセス: 匿名の SID と名前の変換を許可する (CCE-10024-8) |
説明: このポリシー設定により、匿名ユーザーが別のユーザーのセキュリティ識別子 (SID) 属性を要求できるか、SID を使用してその対応するユーザー名を取得できるかが決まります。 この設定の推奨値は Disabled です。キーのパス: [System Access]LSAAnonymousNameLookup OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Allow anonymous SID/Name translation コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1 |
= 0 (ポリシー) |
警告 |
セキュリティ オプション - 監査
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定をオーバーライドする (CCE-37850-5) |
説明: このポリシー設定を使用すると、管理者は Windows Vista に備わっている詳細な監査機能を有効にすることができるようになります。 Windows Server 2003 の Active Directory の監査ポリシー設定には、新たに導入された監査サブカテゴリを管理する設定がまだ存在しません。 このベースラインで指定する監査ポリシーを適切に適用するためには、[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定をオーバーライドする] 設定を有効にする必要があります。 キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.2.1 |
存在しないか、= 1 (レジストリ) |
重大 |
| 監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする (CCE-35907-5) |
説明: このポリシー設定では、セキュリティ イベントのログを取ることができない場合にシステムをシャットダウンするかどうかを規定します。 これは、監査システムがログを取れない場合に監査可能なイベントが発生することを防ぐための、Trusted Computer System Evaluation Criteria (TCSEC) C2 および Common Criteria 認定の要件となっています。 Microsoft はこの要件を満たすため、監査システムで障害が発生した場合にシステムを停止して停止メッセージを表示するという方法をとっています。 このポリシー設定を有効にすると、何らかの理由でセキュリティ監査をログに記録できない場合にシステムをシャットダウンします。 [監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] 設定を有効にすると、意図しないシステム障害が発生するおそれがあります。 特に、これに加えて [セキュリティログの保存方法] を [イベントを上書きしない (手動でログを消去)] に設定している場合は、管理者の負担が大きくなるおそれがあります。 この構成は否認の脅威の原因になります (バックアップ実行者が、データのバックアップや保存を行ったことを否定し得る状態になります)。ログオンなどのセキュリティ イベントがセキュリティログに記録し切れないほど大量に発生すると、サーバーを強制的にシャットダウンされるおそれがあるため、これはサービス拒否 (DoS) 脆弱性を生み出します。 また、適切にシャットダウンを行わないため、オペレーティング システム、アプリケーション、データに修復不能な破損が生じるおそれがあります。 NTFS ファイル システムは、不適切なシャットダウンが起こったときもデータ整合性を保証しますが、すべてのアプリケーションのすべてのデータ ファイルが再起動後に使用可能な状態を保っていることは保証しません。 この設定の推奨値は Disabled です。キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Audit: Shut down system immediately if unable to log security audits コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2 |
存在しないか、= 0 (レジストリ) |
重大 |
セキュリティ オプション - デバイス
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| デバイス: リムーバブル メディアを取り出すのを許可する (CCE-37701-0) |
説明: このポリシー設定では、リムーバブル メディアのフォーマットと取り外しを誰が実行できるかを規定します。 このポリシー設定を使用すると、未認証のユーザーがあるコンピューターからデータを取り出し、ローカルの管理者権限を持っている別のコンピューター上でそのデータにアクセスすることを防止できます。 キーのパス: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Devices: Allowed to format and eject removable media コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.4.1 |
存在しないか、= 0 (レジストリ) |
警告 |
| デバイス: ユーザーがプリンター ドライバーをインストールできないようにする (CCE-37942-0) |
説明: コンピューターから共有プリンターを使用して印刷を行うには、ローカル コンピューターに、その共有プリンターのドライバーをインストールする必要があります。 このセキュリティ設定では、共有プリンターへの接続作業の一環としてプリンター ドライバーをインストールできるユーザーを規定します。 この設定の推奨値は Enabled です。 注: この設定は、ローカル プリンターの追加の可否には影響しません。 この設定は管理者には影響しません。キーのパス: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Devices: Prevent users from installing printer drivers コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2 |
存在しないか、= 1 (レジストリ) |
警告 |
| 印刷ドライバーのインストールを管理者に制限する (AZ_WIN_202202) |
説明: このポリシー設定では、管理者ではないユーザーがシステムに印刷ドライバーをインストールできるかどうかを制御します。 この設定の推奨値は Enabled です。 注: 2021 年 8 月 10 日、Microsoft は「ポイント アンド プリントの既定の動作の変更」を発表しました。これにより、既定のポイント アンド プリント ドライバーのインストールと更新動作が変更され、管理者特権が必要になります。 これは、「KB5005652新しいポイント アンド プリントの既定のドライバー インストールの動作を管理する (CVE-2021-34481)」に記載されています。キーのパス: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\MS Security Guide\Limits print driver installation to Administrators コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.3.5 CIS WS2019 18.3.5 |
= 1 (レジストリ) |
警告 |
セキュリティ オプション - ドメイン メンバー
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| [Domain member: Digitally encrypt or sign secure channel data (always)](ドメイン メンバー: セキュリティで保護されたチャネルのデータをデジタルで暗号化または署名します (常時)) を [有効] に確実に設定する (CCE-36142-8) |
説明: このポリシー設定により、ドメイン メンバーによって開始された、セキュリティで保護されたチャネルのトラフィックすべてに対して署名または暗号化を行う必要があるかどうかが決まります。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Digitally encrypt or sign secure channel data (always) コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1 |
存在しないか、= 1 (レジストリ) |
重大 |
| [Domain member: Digitally encrypt secure channel data (when possible)](ドメイン メンバー: セキュリティで保護されたチャネルのデータをデジタルで暗号化します (可能な場合)) を [有効] に確実に設定する (CCE-37130-2) |
説明: このポリシー設定により、ドメイン メンバーが開始するすべてのセキュリティで保護されたチャネル トラフィックの暗号化のネゴシエートを試みる必要があるかどうかが決まります。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Digitally encrypt secure channel data (when possible) コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2 |
存在しないか、= 1 (レジストリ) |
重大 |
| [Domain member: Digitally sign secure channel data (when possible)](ドメイン メンバー: セキュリティで保護されたチャネルのデータにデジタル署名します (可能な場合)) を [有効] に確実に設定する (CCE-37222-7) |
説明: このポリシー設定により、ドメイン メンバーが開始するすべてのセキュリティで保護されたチャネル トラフィックをデジタル署名する必要性をネゴシエートするかどうかが決まります。 デジタル署名は、ネットワークを通過するデータをキャプチャするすべてのユーザーによってトラフィックが変更されないように保護します。 この設定の推奨値は "Enabled" です。 キーのパス: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Digitally sign secure channel data (when possible) コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3 |
存在しないか、= 1 (レジストリ) |
重大 |
| [Domain member: Disable machine account password changes](ドメイン メンバー: マシン アカウントのパスワードの変更を無効にします) を [無効] に確実に設定する (CCE-37508-9) |
説明: このポリシー設定により、ドメイン メンバーがコンピューター アカウント パスワードを定期的に変更できるかどうかが決まります。 アカウント パスワードを自動的に変更できないコンピューターは、攻撃者がシステムのドメイン アカウントのパスワードを特定できることがあるため、脆弱になる可能性があります。 この設定の推奨値は "Disabled" です。 キーのパス: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Disable machine account password changes コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4 |
存在しないか、= 0 (レジストリ) |
重大 |
| [Domain member: Maximum machine account password age](ドメイン メンバー: マシン アカウントのパスワード変更の最大有効期間) を [30 or fewer days, but not 0](0 を除く 30 日以下) に確実に設定する (CCE-37431-4) |
説明: このポリシー設定により、コンピューター アカウント パスワードの許容最大有効期間が決まります。 既定では、ドメイン メンバーはドメイン パスワードを 30 日ごとに自動的に変更します。 この間隔を大幅に増やしてコンピューターがパスワードを変更しないようにすると、攻撃者がコンピューター アカウントの 1 つに対してブルート フォース攻撃を図る回数が増加します。 この設定の推奨値は 30 or fewer days, but not 0 です。 メモ:0 の値は、パスワードの 最大有効期間を無効にするため、ベンチマークに準拠していません。キーのパス: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを 30 or fewer days, but not 0 に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Maximum machine account password age コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5 |
1 - 30 (レジストリ) |
重大 |
| [Domain member: Require strong (Windows 2000 or later) session key](ドメイン メンバー: 強力な (Windows 2000 以降) セッション キーが必要です) を [有効] に確実に設定する (CCE-37614-5) |
説明: このポリシー設定を有効にすると、セキュリティで保護されたチャネルは、強力な (128 ビット) セッション キーを使用してセキュリティで保護されたチャネル データを暗号化できるドメイン コントローラーでのみ確立できます。 このポリシー設定を有効にするには、ドメイン内のすべてのドメイン コントローラーが強力なキーを使用してセキュリティで保護されたチャネル データを暗号化できる必要があります。つまり、すべてのドメイン コントローラーで Microsoft Windows 2000 以降を実行している必要があります。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Require strong (Windows 2000 or later) session key コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6 |
存在しないか、= 1 (レジストリ) |
重大 |
セキュリティ オプション - 対話型ログオン
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| ログオン資格情報のキャッシュを制限する必要がある (AZ-WIN-73651) |
説明: このポリシー設定により、ユーザーがキャッシュされたアカウント情報を使って Windows ドメインにログオンできるかどうかが決まります。 ドメイン コントローラーに接続できない場合でも、ユーザーがログオンできるように、ドメイン アカウントのログオン情報をローカルにキャッシュできます。 このポリシー設定によって、ログオン情報がローカルにキャッシュされる一意ユーザーの数が決まります。 この値が 0 に設定されている場合、ログオン キャッシュ機能は無効になります。 サーバーのファイル システムにアクセスできる攻撃者は、このキャッシュされた情報を見つけ、ブルート フォース攻撃を使用してユーザー パスワードを判別することができます。 この設定の推奨値は 4 or fewer logon(s) です。キーのパス: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Number of previous logons to cache (in case domain controller is not available) コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6 |
1 - 4 (レジストリ) |
Informational |
| 対話型ログオン: 最後のユーザー名を表示しない (CCE-36056-0) |
説明: このポリシー設定では、組織のクライアント コンピューターに最後にログオンしたユーザーのアカウント名を、各コンピューターの Windows ログオン画面に表示するかどうかを規定します。 侵入者が組織のデスクトップ パソコンとノート パソコン画面をのぞき見てアカウント名を収集することを防止するには、このポリシー設定を有効にします。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Don't display last signed-in 注: 以前のバージョンの Microsoft Windows では、この設定の名前は "対話型ログオン: 最後のユーザー名を表示しない" でしたが、Windows Server 2019 から名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2 |
= 1 (レジストリ) |
重大 |
| 対話型ログオン: Ctrl + Alt + Del を必要としない (CCE-37637-6) |
説明: このポリシー設定では、ログオンするときにユーザーが CTRL+ALT+DEL を押す必要があるかどうかを規定します。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Do not require CTRL+ALT+DEL コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1 |
存在しないか、= 0 (レジストリ) |
重大 |
| 対話型ログオン: コンピューターの非アクティブ状態の上限 (AZ-WIN-73645) |
説明: Windows ではログオン セッションの非アクティブ状態が通知され、非アクティブ状態の時間が非アクティブ状態の上限を超えると、スクリーン セーバーが作動し、セッションがロックされます。 この設定の推奨値は 900 or fewer second(s), but not 0 です。 注:0 の値はベンチマークに準拠していません。これは、コンピューターの非アクティブ状態の上限が無効になるためです。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Machine inactivity limit コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3 |
1 - 900 (レジストリ) |
重要 |
| 対話型ログオン: ログオン時のユーザーへのメッセージのテキスト (AZ-WIN-202253) |
説明: このポリシー設定では、ログオン時にユーザーに表示されるテキスト メッセージを指定します。 組織のセキュリティと運用上の要件と一致する方法で、この設定を構成します。 キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Message text for users attempting to log on コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4 |
!= (レジストリ) |
警告 |
| 対話型ログオン: ログオン時のユーザーへのメッセージのタイトル (AZ-WIN-202254) |
説明: このポリシー設定では、ユーザーがシステムにログオンしたときに示されるウィンドウのタイトル バーに表示されるテキストを指定します。 組織のセキュリティと運用上の要件と一致する方法で、この設定を構成します。 キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Message title for users attempting to log on コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5 |
!= (レジストリ) |
警告 |
| 対話型ログオン: パスワードが無効になる前にユーザーに変更を促す (CCE-10930-6) |
説明: このポリシー設定により、パスワードの有効期限が切れるという警告がユーザーに事前に表示される期間が決まります。 パスワードの有効期限が切れるときにユーザーに十分に警告するために、このポリシー設定を 5 日以上 14 日以内に構成することをお勧めします。 この設定の推奨値は between 5 and 14 days です。キーのパス: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Prompt user to change password before expiration コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7 |
5 - 14 (レジストリ) |
Informational |
セキュリティ オプション - Microsoft ネットワーク クライアント
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う (CCE-36325-9) |
説明: このポリシー設定では、SMB クライアント コンポーネントでパケット署名が要求されるかどうかを規定します。 注: Windows Vista を稼働しているコンピューターでこのポリシー設定を有効にしてリモート サーバーのファイルまたはプリンター共有に接続するときは、この設定とそれらのサーバーの関連設定 [Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う] を一致させることが重要です。 これらの設定について詳しくは、脅威と対策ガイドの 5 章の「Microsoft ネットワークのクライアントとサーバー: 通信にデジタル署名する (4 種類の関連設定)」のセクションをご覧ください。 この設定の推奨値は "Enabled" です。 キーのパス: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally sign communications (always) コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1 |
= 1 (レジストリ) |
重大 |
| Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う (CCE-36269-9) |
説明: このポリシー設定では、SMB クライアントが SMB パケット署名のネゴシエーションを試みるかどうかを規定します。 注: ネットワーク上の SMB クライアントでこのポリシー設定を有効にすると、それらのクライアントにおいて、環境中のすべてのクライアントおよびサーバーに対し、パケット署名が完全に有効になります。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally sign communications (if server agrees) コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2 |
存在しないか、= 1 (レジストリ) |
重大 |
| Microsoft ネットワーク クライアント: サード パーティ製の SMB サーバーへのパスワードを、暗号化しないで送信する (CCE-37863-8) |
説明: このポリシー設定では、SMB リダイレクターで、パスワードの暗号化がサポートされていないサードパーティ製の SMB サーバーに対して認証を行う際に、プレーンテキストのパスワードを送信するかどうかを規定します。 このポリシー設定を有効化するべき業務上重要な理由がない限り、これを無効にすることを推奨します。 このポリシー設定を有効にすると、暗号化していないパスワードの使用がネットワーク全体で許可されます。 この設定の推奨値は "Disabled" です。 キーのパス: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Send unencrypted password to third-party SMB servers コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3 |
存在しないか、= 0 (レジストリ) |
重大 |
| Microsoft ネットワーク サーバー: セッションを中断するまでに必要とするアイドル時間 (CCE-38046-9) |
説明: このポリシー設定を使用すると、非アクティブであるとしてセッションが中断される前に SMB セッションで経過する必要がある連続アイドル時間の量を指定します。 管理者は、このポリシー設定を使用して、操作の行われない SMB セッションをいつ中断するかを制御できます。 クライアント アクティビティが再開されると、セッションも自動的に再開します。 値を 0 にすると、セッションを無期限に稼働させておくことができます。 最大値は 99999 であり、69 日以上に相当します。この値を指定することで事実上設定を無効にできます。 この設定の推奨値は 15 or fewer minute(s), but not 0 です。キーのパス: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを 15 or fewer minute(s) に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Amount of idle time required before suspending session コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.9.1 |
1 ~ 15 (レジストリ) |
重大 |
| Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う (CCE-37864-6) |
説明: このポリシー設定では、SMB サーバー コンポーネントがパケット署名を要求するかどうかを規定します。 ワークステーションが下流のクライアントによってネットワーク サーバーとして使用されることを防止するには、混成環境でこのポリシー設定を有効にします。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Digitally sign communications (always) コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2 |
= 1 (レジストリ) |
重大 |
| Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う (CCE-35988-5) |
説明: このポリシー設定では、SMB サーバーが、SMB パケット署名を要求するクライアントとネゴシエートするかどうかを規定します。 クライアントが署名を要求しない場合、 [Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う] 設定を有効にしていなければ、署名なしで接続を許可します。 注: ネットワーク上の SMB クライアントでこのポリシー設定を有効にすると、それらのクライアントにおいて、環境中のすべてのクライアントおよびサーバーに対し、パケット署名が完全に有効になります。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Digitally sign communications (if client agrees) コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3 |
= 1 (レジストリ) |
重大 |
| Microsoft ネットワーク サーバー: ログオン時間の有効期間が切れるとクライアントを切断する (CCE-37972-7) |
説明: このセキュリティ設定では、ユーザー アカウントの有効なログイン時間外にローカル コンピューターに接続しているユーザーの接続を切断するかどうかを規定します。 この設定は、サーバー メッセージ ブロック (SMB) のコンポーネントに影響します。 このポリシー設定を有効にする場合は、 [ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる] (規則 2.3.11.6) も有効にする必要があります。 ユーザーのログオン時間を組織で設定する場合、それを有効にするにはこのポリシー設定が必要です。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Disconnect clients when logon hours expire コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4 |
存在しないか、= 1 (レジストリ) |
重大 |
| Microsoft ネットワーク サーバー: サーバー SPN ターゲット名検証レベル (CCE-10617-9) |
説明: このポリシー設定では、クライアント コンピューターがサーバー メッセージ ブロック (SMB) プロトコルを使用してセッションを確立するときに、そのクライアント コンピューターによって提供されるサービス プリンシパル名 (SPN) に対して共有フォルダーまたはプリンター (サーバー) を所有しているコンピューターが実行する検証のレベルを制御します。 サーバー メッセージ ブロック (SMB) プロトコルでは、ファイルとプリンタの共有、およびリモート Windows 管理などの他のネットワーク操作の基礎が提供されます。 SMB プロトコルでは、SMB リレー攻撃と呼ばれている SMB サーバーに対する攻撃を防ぐため、SMB クライアントから与えられた認証 BLOB 内で SMB サーバーのサーバー プリンシパル名 (SPN) を検証できます。 この設定は、SMB1 と SMB2 の両方に影響します。 この設定の推奨値は Accept if provided by client です。 また、この設定を Required from client に構成すると、ベンチマークに準拠できます。 注: MS KB3161561 セキュリティ パッチのリリース以降、この設定では、UNC パスのセキュリティ強化 (つまり、規則 18.5.14.1) と ''同時に'' 使用すると、ドメイン コントローラーで重大な問題 (レプリケーションの問題、グループ ポリシー編集の問題、ブルー スクリーンのクラッシュなど) が発生するおそれがあります。 したがって、CIS では、ドメイン コントローラーにこの設定を展開することをお勧めします。キーのパス: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバー タイプ: ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Server SPN target name validation level コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5 |
= 1 (レジストリ) |
警告 |
セキュリティ オプション - Microsoft ネットワーク サーバー
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| SMBv1 サーバーを無効にする (AZ-WIN-00175) |
説明: この設定を無効にすると SMBv1 プロトコルのサーバー側の処理が無効になります。 (推奨)。この設定を有効にすると SMBv1 プロトコルのサーバー側の処理が有効になります。 (既定値)。この設定の変更を有効にするには再起動が必要です。 詳細については、https://support.microsoft.com/kb/2696547 を参照してください。 キーのパス: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: 該当なし コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.3.3 |
存在しないか、= 0 (レジストリ) |
重大 |
セキュリティ オプション - ネットワーク アクセス
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| アカウント: Administrator アカウント名の変更 (CCE-10976-9) |
説明: 組み込みのローカル管理者アカウントは、攻撃者がターゲットとするよく知られたアカウント名です。 このアカウントに別の名前を選び、管理者または管理者特権のアクセス アカウントを示す名前を使用しないようにすることをお勧めします。 また、ローカル管理者の既定の説明も必ず変更してください (コンピューターの管理コンソールを使用)。 ドメイン コントローラーでは、独自のローカル アカウントがないため、この規則は、ドメインが最初に作成されたときに確立された組み込みの管理者アカウントに関するものです。 キーのパス: [System Access]NewAdministratorName OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Rename administrator account コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5 |
!= Administrator (ポリシー) |
警告 |
| ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない (CCE-36316-8) |
説明: このポリシー設定では、セキュリティ アカウント マネージャー (SAM) にあるアカウントを匿名のユーザーが列挙できるかどうかを制御します。 このポリシー設定を有効にすると、匿名で接続しているユーザーは、環境中のシステムのドメイン アカウントのユーザー名を列挙できなくなります。 このポリシー設定により匿名の接続に対する制限を追加することもできます。 この設定の推奨値は Enabled です。 注: このポリシーにはドメイン コントローラーに対する効果はありません。キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:コンピューターの構成\ポリシー\Windows の設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション etwork access: Do not allow anonymous enumeration of SAM accounts コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.10.2 |
存在しないか、= 1 (レジストリ) |
重大 |
| ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない (CCE-36077-6) |
説明: このポリシー設定では、匿名のユーザーが SAM のアカウントと共有を列挙できるかどうかを制御します。 このポリシー設定を有効にすると、環境中のシステムのドメイン アカウントのユーザー名とネットワーク共有名を、匿名のユーザーが列挙できなくなります。 この設定の推奨値は Enabled です。 注: このポリシーにはドメイン コントローラーに対する効果はありません。キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:コンピューターの構成\ポリシー\Windows の設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション etwork access: Do not allow anonymous enumeration of SAM accounts and shares コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.10.3 |
= 1 (レジストリ) |
重大 |
| ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する (CCE-36148-5) |
説明: このポリシー設定では、コンピューターへの匿名の接続に対して割り当てる追加の権限を規定します。 この設定の推奨値は Disabled です。キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Let Everyone permissions apply to anonymous users コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5 |
存在しないか、= 0 (レジストリ) |
重大 |
| ネットワーク アクセス: リモートからアクセスできるレジストリのパス (CCE-37194-8) |
説明: このポリシー設定では、WinReg キーを参照してパスに対するアクセス権を確認することでアクセスできるレジストリ パスを規定します。 注: この設定は Windows XP には存在しません。 Windows XP には同名の設定がありましたが、これは Windows Server 2003、Windows Vista、Windows Server 2008 では [ネットワーク アクセス: リモートからアクセス可能なレジストリ パスおよびサブパス] という名称になっています。 注: この設定を構成するときは、1 つ以上のオブジェクトのリストを指定します。 リストを入力するときに使用される区切り記号は、改行または復帰です。つまり、一覧の最初のオブジェクトを入力し、Enter キーを押し、次のオブジェクトを入力して、もう一度 enter キーを押します。設定値は、グループ ポリシーのセキュリティ テンプレートにコンマ区切りの一覧として格納されます。 グループ ポリシー エディターの表示ペインとポリシーの結果セット コンソールでも、コンマ区切りリストとして表示されます。 レジストリには、ラインフィード区切りリスト形式で、REG_MULTI_SZ の値として記録されます。 キーのパス: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP を使用して推奨される構成を確立するには、次の UI パスを次のように設定します。 System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Remotely accessible registry paths コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.10.8 |
存在しないか、= System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 (レジストリ) |
重大 |
| ネットワーク アクセス: リモートからアクセスできるレジストリのパスおよびサブパス (CCE-36347-3) |
説明: このポリシー設定では、アプリケーションまたはプロセスが WingReg キーを参照してアクセス権を確認する際にアクセスできるレジストリのパスとサブパスを規定します。 注: Windows XP では、この設定には [ネットワーク アクセス: リモートからアクセスできるレジストリのパス] という名称が付けられており、この名称で呼ばれる Windwos Vista、Wndows Server 2008、Windwos Server 2003 の設定に相当する設定は、Windows XP には存在しません。 注: この設定を構成するときは、1 つ以上のオブジェクトのリストを指定します。 リストを入力するときに使用される区切り記号は、改行または復帰です。つまり、一覧の最初のオブジェクトを入力し、Enter キーを押し、次のオブジェクトを入力して、もう一度 enter キーを押します。設定値は、グループ ポリシーのセキュリティ テンプレートにコンマ区切りの一覧として格納されます。 グループ ポリシー エディターの表示ペインとポリシーの結果セット コンソールでも、コンマ区切りリストとして表示されます。 レジストリには、ラインフィード区切りリスト形式で、REG_MULTI_SZ の値として記録されます。 キーのパス: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP を使用して推奨される構成を確立するには、次の UI パスを次のように設定します。 System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog コンピューターの構成\ポリシー\Windows の設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション etwork access: Remotely accessible registry paths and sub-paths サーバーが "証明機関" 役割サービスを持つ "Active Directory 証明書サービス"の役割を保持している場合、上記のリストに 'System\CurrentControlSet\Services\CertSvc' も含める必要があります。 サーバーに "WINS サーバー" 機能がインストールされている場合、上記のリストには次も含める必要があります。 'System\CurrentControlSet\Services\WINS' コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.10.9 |
存在しないか、= System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 (レジストリ) |
重大 |
| ネットワーク アクセス: 名前付きパイプと共有への匿名のアクセスを制限する (CCE-36021-4) |
説明: このポリシー設定を有効にすると、匿名でアクセスできるのが、Network access: Named pipes that can be accessed anonymously と Network access: Shares that can be accessed anonymously の設定に名前が挙がっている共有とパイプだけになります。 このポリシー設定では、RestrictNullSessAccess を追加し HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters レジストリ キーの値を 1 にすることによって、コンピューター上の共有への Null セッション アクセスを制御します。 このレジストリの値で Null セッション共有の有効と無効を切り替えることで、未認証のクライアントによる名前付きリソースへのアクセスをサーバー サービスにより制限するかどうかを制御します。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Restrict anonymous access to Named Pipes and Shares コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10 |
存在しないか、= 1 (レジストリ) |
重大 |
| ネットワーク アクセス: SAM へのリモートの呼び出しを許可するクライアントを制限する (AZ-WIN-00142) |
説明: このポリシー設定を使用すると、RPC を使用した SAM へのリモート接続を制限することができるようになります。 これを選択しない場合、既定のセキュリティ記述子が使用されます。 このポリシーは、Windows Server 2016 以降でサポートされています。 キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM OS: WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators: Remote Access: Allow に設定します:コンピューターの構成\ポリシー\Windows の設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション etwork access: Restrict clients allowed to make remote calls to SAM コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.10.11 |
存在しないか、= O:BAG:BAD:(A;;RC;;;BA) (レジストリ) |
重大 |
| ネットワーク アクセス: 匿名でアクセスできる共有 (CCE-38095-6) |
説明: このポリシー設定では、匿名のユーザーがアクセスできるネットワーク共有を規定します。 どのユーザーもサーバー上の共有リソースにアクセスする前に認証されている必要があるため、このポリシー設定の既定の構成はほとんど効果がありません。 注: このグループ ポリシー設定に他の共有を追加することは、場合によっては非常に危険です。 リストに含まれるすべての共有にあらゆるユーザーがアクセスできるため、機密データが漏洩、破損するおそれがあります。 注: この設定を構成するときは、1 つ以上のオブジェクトのリストを指定します。 リストを入力するときに使用される区切り記号は、改行または復帰です。つまり、一覧の最初のオブジェクトを入力し、Enter キーを押し、次のオブジェクトを入力して、もう一度 enter キーを押します。設定値は、グループ ポリシーのセキュリティ テンプレートにコンマ区切りの一覧として格納されます。 グループ ポリシー エディターの表示ペインとポリシーの結果セット コンソールでも、コンマ区切りリストとして表示されます。 レジストリには、ラインフィード区切りリスト形式で、REG_MULTI_SZ の値として記録されます。 キーのパス: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを <blank> (なし) に設定します:コンピューターの構成\ポリシー\Windows の設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション etwork access: Shares that can be accessed anonymously コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.10.12 |
存在しないか、 = (レジストリ) |
重大 |
| ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル (CCE-37623-6) |
説明: このポリシー設定では、ローカル アカウントを使用したネットワークへのログオンを認証する方法を規定します。 [クラシック] オプションを使用するとリソースへのアクセスを細かく制御できます。たとえば、同じリソースに対して異なるユーザーに異なる種類のアクセス権を割り当てられます。 [Guest のみ] オプションを使用すると、すべてのユーザーを同じ条件で扱うことができます。 このコンテキストでは、すべてのユーザーは Guest として認証され、特定のリソースに対して同じレベルのアクセス権を与えられます。 この設定の推奨値は Classic - local users authenticate as themselves です。 注: この設定は、Telnet やリモート デスクトップサービス (旧称ターミナル サービス) のようなサービスを使用してリモートで実行する対話型ログオンに影響を与えません。キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Classic - local users authenticate as themselves に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Sharing and security model for local accounts コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13 |
存在しないか、= 0 (レジストリ) |
重大 |
セキュリティ オプション - ネットワーク セキュリティ
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| ネットワーク セキュリティ: NTLM で Local System によるコンピューター ID の使用を許可する (CCE-38341-4) |
説明: このポリシー設定を有効にすると、Negotiate を使用する LocalSystem のサービスが、ネゴシエーションによって NTLM 認証を選択する際にコンピューターの ID を使用します。 このポリシーは、Windows 7 および Windows Server 2008 R2 以降でサポートされています。 キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId OS: WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:コンピューターの構成\ポリシー\Windows の設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション etwork security: Allow Local System to use computer identity for NTLM コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.11.1 |
= 1 (レジストリ) |
重大 |
| ネットワーク セキュリティ: LocalSystem による NULL セッション フォールバックを許可する (CCE-37035-3) |
説明: このポリシー設定では、LocalSystem で NTLM を使用するときに Null セッションへのフォール バックを許可するかどうかを規定します。 この設定の推奨値は Disabled です。キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network security: Allow LocalSystem NULL session fallback コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2 |
存在しないか、= 0 (レジストリ) |
重大 |
| ネットワーク セキュリティ: オンライン ID を使用するためのこのコンピューターへの PKU2U 認証要求を許可する (CCE-38047-7) |
説明: この設定では、このコンピュータに対してオンライン ID による認証ができるかどうかを規定します。 Windows 7 および Windows Server 2008 R2 で導入された Public Key Cryptography Based User-to-User (PKU2U) プロトコルは、セキュリティ サポート プロバイダー (SSP) として実装されています。 SSP により実現されているピアツーピア認証によって、ドメインのメンバーではないコンピューター間での共有を許可できます。この認証は特に、ホームグループという Windows 7 のメディア ファイル共有の仕組みでよく使用されます。 PKU2U と共に、Negotiate 認証パッケージ Spnego.dll に新しい拡張機能が導入されました。 以前のバージョンの Windows では、Kerberos と NTLM のどちらで認証するかを Negotiate が決めていました。 Windows で認証プロトコルとして扱われる Negotiate の拡張 SSP Negoexts.dll では、PKU2U などの Microsoft SSP がサポートされています。 オンライン ID を使用する認証のリクエストを受け入れるようコンピューターを設定すると、Negoexts.dll によってログオンに使用するコンピューター上の PKU2U SSP が呼び出されます。 PKU2U SSP は、ローカル証明書を取得し、ピア コンピューター間でポリシーをやり取りします。 ピア コンピューター上で検証を行う場合、メタデータ内の証明書が検証のためにログイン ピアに送信され、ユーザーの証明書とセキュリティ トークンが関連付けられて、ログイン作業が完了します。 この設定の推奨値は Disabled です。キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network Security: Allow PKU2U authentication requests to this computer to use online identities コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3 |
存在しないか、= 0 (レジストリ) |
警告 |
| ネットワーク セキュリティ: Kerberos で許可する暗号化の種類を構成する (CCE-37755-6) |
説明: このポリシー設定を使用すると、Kerberos での使用を許可する暗号化の種類を設定できるようになります。 このポリシーは、Windows 7 および Windows Server 2008 R2 以降でサポートされています。 キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes OS: WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network security: Configure encryption types allowed for Kerberos コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.11.4 |
存在しないか、= 2147483640 (レジストリ) |
重大 |
| ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない (CCE-36326-7) |
説明: このポリシー設定では、パスワードを変更するときに、新しいパスワードの LAN Manager (LM) ハッシュを保存するかどうかを規定します。 LM ハッシュは比較的セキュリティが弱く、解読しにくい Microsoft Windows NT ハッシュと比べて攻撃を受けやすいです。 LM ハッシュはローカル コンピューターのセキュリティ データベースに保存されるため、データベースが攻撃を受けた場合、簡単にパスワードを解読されるおそれがあります。 注: このポリシー設定を有効にすると、古いオペレーティング システムと一部のサードパーティ製アプリケーションの場合は正しく動作しない場合があります。 また、適切な効果を得るためには、この設定を有効にした後ですべてのアカウントのパスワードを変更する必要があります。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network security: Do not store LAN Manager hash value on next password change コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5 |
存在しないか、= 1 (レジストリ) |
重大 |
| ネットワーク セキュリティ: LAN Manager 認証レベル (CCE-36173-3) |
説明: LAN Manager (LM) は、複数のパソコンを単一のネットワークに結びつける、初期の Microsoft クライアント/サーバー ソフトウェアの 1 つです。 ネットワーク機能には、透過的なファイルとプリンターの共有、ユーザー セキュリティ機能、およびネットワーク管理ツールが含まれます。 Active Directory ドメインでは、既定の認証プロトコルは Kerberos プロトコルです。 ただし、何らかの理由で Kerberos プロトコルのネゴシエーションが行われない場合、Active Directory では LM、NTLM、または NTLMv2 を使用します。 LAN Manager 認証には、LM、NTLM、NTLM バージョン 2 (NTLMv2) のバリアントが含まれており、次の操作を実行するときにすべての Windows クライアントを認証するために使用されるプロトコルです。 - Doメイン - Active Directory フォレスト間での認証 - 下位レベルの do に対する認証メイン - Windows 2000、Windows Server 2003 を実行していないコンピューターに対する認証 または Windows XP) - 実行されていないコンピューターに対して認証するメインネットワーク セキュリティの使用可能な値: LAN Manager 認証レベルの設定は次のとおりです。- LM と NTLM の応答を送信する - LM と NTLM を送信する - ネゴシエートされている場合は NTLMv2 セッション セキュリティを使用する - NTLM 応答のみを送信する - NTLMv2 応答のみを送信する - NTLMv2 応答のみを送信\LM を送信する - NTLMv2 応答のみを送信\LM & NTLM - 定義されていないネットワーク セキュリティ: LAN Manager 認証レベルの設定によって、ネットワーク ログオンに使用されるチャレンジ/応答認証プロトコルが決まります。 この選択は、クライアントで使用される認証プロトコルのレベル、コンピューターがネゴシエートするセッション セキュリティのレベル、サーバーが受け入れる認証レベル [LM と NTLM 応答を送信する] に影響します。 クライアントは LM 認証と NTLM 認証を使用し、NTLMv2 セッション セキュリティを使用しません。 ドメイン コントローラーでは、LM、NTLM、および NTLMv2 認証が受け入れられます。 - SEND LM & NTLM — ネゴシエートされた場合は NTLMv2 セッション セキュリティを使用します。 クライアントは LM 認証と NTLM 認証を使用し、サーバーでサポートされる場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーでは、LM、NTLM、および NTLMv2 認証が受け入れられます。 - NTLM 応答のみ送信する。 クライアントは NTLM 認証のみを使用し、サーバーでサポートされる場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーでは、LM、NTLM、および NTLMv2 認証が受け入れられます。 - NTLMv2 応答のみ送信する。 クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされる場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーでは、LM、NTLM、および NTLMv2 認証が受け入れられます。 - NTLMv2 応答のみ送信 (LM を拒否する)。 クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされる場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーでは、LM は拒否されます (NTLM と NTLMv2 認証のみが受け入れられます)。 - NTLMv2 応答のみ送信 (LM と NTLM を拒否する)。 クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされる場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーでは、LM と NTLM は拒否されます (NTLMv2 認証のみが受け入れられます)。 これらの設定は、他の Microsoft ドキュメントで説明している次のレベルに対応しています。- レベル 0 — LM と NTLM 応答を送信する。NTLMv2 セッション セキュリティを使用しない。 クライアントは LM 認証と NTLM 認証を使用し、NTLMv2 セッション セキュリティを使用しません。 ドメイン コントローラーでは、LM、NTLM、および NTLMv2 認証が受け入れられます。 - レベル 1 — ネゴシエートした場合 NTLMv2 セッション セキュリティを使用する。 クライアントは LM 認証と NTLM 認証を使用し、サーバーでサポートされる場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーでは、LM、NTLM、および NTLMv2 認証が受け入れられます。 - レベル 2 — NTLM 応答のみ送信する。 クライアントは NTLM 認証のみを使用し、サーバーでサポートされる場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーでは、LM、NTLM、および NTLMv2 認証が受け入れられます。 - レベル 3 — NTLMv2 応答のみ送信する。 クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされる場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーでは、LM、NTLM、および NTLMv2 認証が受け入れられます。 - レベル 4 — ドメイン コントローラーでは LM 応答を拒否する。 クライアントは NTLM 認証を使用し、サーバーでサポートされる場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーは LM 認証を拒否します。つまり NTLM と NTLMv2 を受け入れます。 - レベル 5 — ドメイン コントローラーでは LM と NTLM 応答を拒否する (NTLMv2 のみ受け入れる)。 クライアントは NTLMv2 認証を使用し、サーバーでサポートされる場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーは、NTLM 認証と LM 認証を拒否します (NTLMv2 のみ受け入れます)。 キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを 'NTLMv2 応答のみ送信する。 LM と NTLM を拒否する': コンピューターの構成\ポリシー\Windows の設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション etwork security: LAN Manager authentication level コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.11.7 |
= 5 (レジストリ) |
重大 |
| ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント (CCE-36858-9) |
説明: このポリシー設定では、LDAP バインド要求を発行するクライアントのために、要求するデータ署名のレベルを規定します。 注: このポリシー設定は、LDAP シンプル バインド (ldap_simple_bind) や SSL 経由の LDAP シンプル バインド (ldap_simple_bind_s) に一切影響しません。 Windows XP Professional の Microsoft LDAP クライアントは、ドメイン コントローラーと通信するのに ldap_simple_bind と ldap_simple_bind_s を使用しません。 この設定の推奨値は Negotiate signing です。 これを Require signing に設定してもベンチマークに準拠できます。キーのパス: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP を使用して推奨される構成を確立するには、次の UI パスを Negotiate signing に設定します (Require signing に構成することもベンチマークに準拠しています):Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network security: LDAP client signing requirements コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8 |
存在しないか、= 1 (レジストリ) |
重大 |
| ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のクライアント向け最小セッション セキュリティ (CCE-37553-5) |
説明: このポリシー設定では、NTLM セキュリティ サポート プロバイダー (SSP) を使用するアプリケーションに対しクライアントで許可される振る舞いを規定します。 SSP インターフェイス (SSPI) は認証サービスが必要なアプリケーションに使用されます。 この設定では、認証シーケンスを変更する代わりに、SSPI を使用するアプリケーションに特定の振る舞いを要求します。 この設定の推奨値は Require NTLMv2 session security, Require 128-bit encryption です。 注: これらの値は、セキュリティ設定 [ネットワーク セキュリティ: LAN Manager 認証レベル] の値の影響を受けます。キーのパス: STEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP を使用して推奨される構成を確立するには、次の UI パスを Require NTLMv2 session security, Require 128-bit encryption に設定します: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network security: Minimum session security for NTLM SSP based (including secure RPC) clientsコンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.11.9 |
= 537395200 (レジストリ) |
重大 |
| ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のサーバー向け最小セッション セキュリティ (CCE-37835-6) |
説明: このポリシー設定では、NTLM セキュリティ サポート プロバイダー (SSP) を使用するアプリケーションに対しサーバーが許可する動作を規定します。 SSP インターフェイス (SSPI) は認証サービスが必要なアプリケーションに使用されます。 この設定では、認証シーケンスを変更する代わりに、SSPI を使用するアプリケーションに特定の振る舞いを要求します。 この設定の推奨値は Require NTLMv2 session security, Require 128-bit encryption です。 注: これらの値は、セキュリティ設定 [ネットワーク セキュリティ: LAN Manager 認証レベル] の値の影響を受けます。キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Network security: Minimum session security for NTLM SSP based (including secure RPC) servers のポリシー値を "Require NTLMv2 session security" と "Require 128-bit encryption (all options selected)" に構成します。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.11.10 |
= 537395200 (レジストリ) |
重大 |
セキュリティ オプション - シャットダウン
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| シャットダウン: システムのシャットダウンにログオンを必要としない (CCE-36788-8) |
説明: このポリシー設定では、ユーザーがログオンしていないときにコンピューターをシャットダウンできるかどうかを規定します。 このポリシー設定を有効にすると、Windows のログオン画面でシャットダウン コマンドを使用できます。 このポリシー設定を無効にして、システム上に認証情報を持つユーザーだけがコンピュータをシャットダウンできるようにすることを推奨します。 この設定の推奨値は Disabled です。 注: Server 2008 R2 以前のバージョンでは、この設定はリモート デスクトップ (RDP)/ターミナル サービス セッションに効果がなく、ローカル コンソールにのみ影響します。 Windows Server 2012 (R2 でない方) 以降では仕様が変更され、この設定を有効にすると RDP セッションでもサーバーをシャットダウンおよび再起動できます。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Shutdown: Allow system to be shut down without having to log on コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1 |
存在しないか、= 0 (レジストリ) |
警告 |
| シャットダウン: 仮想メモリのページ ファイルをクリアする (AZ-WIN-00181) |
説明: このポリシー設定では、システムをシャットダウンするとき、仮想メモリのページファイルを削除するかどうかを規定します。 このポリシー設定を有効にすると、システムを正常にシャットダウンするたびにシステムのページファイルが削除されます。 このセキュリティ設定を有効にした場合、ポータブル コンピューターのシステムで休止状態を無効にするとハイバネーション ファイル (hiberfil.sys) が完全に削除されます。 コンピューターのシャットダウンと再起動にかかる時間は長くなり、特に大きなページング ファイルが格納されているコンピューターでは顕著になります。 キーのパス: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Shutdown: Clear virtual memory pagefile のポリシー値を Disabled に構成します。コンプライアンス標準マッピング: |
存在しないか、= 0 (レジストリ) |
重大 |
セキュリティ オプション - システム暗号化
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| コンピューターに格納されている秘密キーにアクセスするには、ユーザーがパスワードを入力する必要があります。 (AZ-WIN-73699) |
説明: 秘密キーが検出された場合、攻撃者はそのキーを使用して承認されたユーザーとして認証し、ネットワーク インフラストラクチャにアクセスできます。 PKI の基礎となるのは、情報の暗号化またはデジタル署名に使用される秘密キーです。 秘密キーが盗まれた場合、攻撃者はその秘密キーを使用してドキュメントにデジタル署名し、承認されたユーザーになりすますことができるため、PKI によって得られる認証と否認防止の侵害につながります。 デジタル証明書の所有者と発行元機関の両方が、コンピューター、ストレージ デバイス、または秘密キーを保持するために使用するものをすべて保護する必要があります。 キーのパス: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\System cryptography: Force strong key protection for user keys stored on the computer コンプライアンス標準マッピング: |
= 2 (レジストリ) |
重要 |
| 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用するように Windows Server を構成する必要があります。 (AZ-WIN-73701) |
説明: この設定により、暗号化、ハッシュ、および署名に FIPS 準拠のアルゴリズムがシステムによって確実に使用されるようになります。 FIPS 準拠アルゴリズムは、米国政府によって確立された特定の標準を満たしており、すべての OS 暗号化機能に使用されるアルゴリズムである必要があります。 キーのパス: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled OS: WS2016、WS2019、WS2022 サーバー タイプ: ドメイン メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing コンプライアンス標準マッピング: |
= 1 (レジストリ) |
重要 |
セキュリティ オプション - システム オブジェクト
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| システム オブジェクト: Windows システムではないサブシステムのための大文字と小文字の区別をしないことが必須 (CCE-37885-1) |
説明: このポリシー設定では、すべてのサブシステムで大文字と小文字の区別を無効にするかどうかを規定します。 Microsoft Win32 サブシステムでは大文字と小文字は区別されません。 ただしカーネルは、Portable Operating Sysmte Interface for Unix (POSIX) サブシステムなどの他のサブシステムにおいて、大文字と小文字の区別がサポートされています。 Windows では大文字と小文字が区別されないため (ただし POSIX サブシステムは大文字と小文字の区別がサポートされています)、このポリシー設定を強制しない場合、POSIX サブシステムのユーザーは、大文字と小文字の混ざったファイル名を使用することで、別のファイルと同名のファイルを作成できます。 このような状況では、通常の Win32 ツールを使用する他のユーザーがそれらのファイルのうち片方しか利用できず、ファイルへのアクセスが阻害されます。 この設定の推奨値は Enabled です。キーのパス: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\System objects: Require case insensitivity for non-Windows subsystems コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1 |
存在しないか、= 1 (レジストリ) |
警告 |
| システム オブジェクト: 内部のシステム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク) (CCE-37644-2) |
説明: このポリシー設定では、オブジェクトの既定の随意アクセス制御リスト (DACL) の強度を規定します。 Active Directory には、DOS デバイス名、ミューテックス、セマフォなどの共有システム リソースのグローバル リストが保持されています。 この方法により、オブジェクトの場所を把握しプロセス間で共有できます。 各種オブジェクトは、オブジェクトにアクセスできるユーザーおよび付与するアクセス権を指定する、規定の DACL とともに作成されます。 この設定の推奨値は Enabled です。キーのパス: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) のポリシー値を Enabled に構成しますコンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.3.15.2 |
= 1 (レジストリ) |
重大 |
セキュリティ オプション - システム設定
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| システム設定: ソフトウェア制限のポリシーのために Windows 実行可能ファイルに対して証明書の規則を使用する (AZ-WIN-00155) |
説明: このポリシー設定では、ソフトウェア制限のポリシーが有効になった状態でユーザーまたはプロセスが .exe 拡張子を持つソフトウェアの実行を試みたときに、デジタル証明書を処理するかどうかを規定します。 これにより、証明書規則 (ソフトウェア制限のポリシーの規則の一種) が有効または無効になります。 ソフトウェア制限のポリシーを使用することで、ソフトウェアに関連付けられたデジタル証明書に基づいて、Authenticode® で署名されたソフトウェアの実行を許可または拒否する証明書規則を作成できます。 ソフトウェア制限のポリシーで証明書規則を有効にするには、このポリシー設定を有効にする必要があります。 キーのパス: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies コンプライアンス標準マッピング: |
= 1 (レジストリ) |
警告 |
セキュリティ オプション - ユーザー アカウント制御
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モード (CCE-36494-3) |
説明: このポリシー設定では、ビルトイン Administrator アカウントの管理者承認モードの振る舞いを制御します。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Admin Approval Mode for the Built-in Administrator account コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1 |
= 1 (レジストリ) |
重大 |
| ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする (CCE-36863-9) |
説明: このポリシー設定は、標準ユーザーに対して昇格がプロンプトされたときにセキュリティで保護されたデスクトップを、ユーザー インターフェイス アクセシビリティ (UIAccess または UIA) プログラムが自動的に無効にできるかどうかを制御します。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop コンプライアンス標準マッピング: |
= 0 (レジストリ) |
重大 |
| ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作 (CCE-37029-6) |
説明: このポリシー設定では、管理者に対する昇格時のプロンプトの振る舞いを制御します。 この設定の推奨値は Prompt for consent on the secure desktop です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Prompt for consent on the secure desktop に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2 |
= 2 (レジストリ) |
重大 |
| ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作 (CCE-36864-7) |
説明: このポリシー設定では、標準ユーザーに対する昇格時のプロンプトの振る舞いを制御します。 この設定の推奨値は Automatically deny elevation requests です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Automatically deny elevation requests: に設定しますComputer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Behavior of the elevation prompt for standard users コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3 |
= 0 (レジストリ) |
重大 |
| ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする (CCE-36533-8) |
説明: このポリシー設定では、コンピューターにおけるアプリケーションのインストール検出の振る舞いを制御します。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Detect application installations and prompt for elevation コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4 |
= 1 (レジストリ) |
重大 |
| ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ (CCE-37057-7) |
説明: このポリシー設定では、ユーザー インターフェイス アクセシビリティ (UIAccess) 整合性レベルを使用して実行することを要求するアプリケーションが、ファイル システム上のセキュリティで保護された場所に存在しなければならないかどうかを制御します。 セキュリティで保護された場所は次の場所に限られます: - …\Program Files\ (サブフォルダーを含む) - …\Windows\system32\ - …\Program Files (x86)\ (64 ビット版 Windows のサブフォルダーを含む) 注: このセキュリティ設定の値にかかわらず、UIAccess 整合性レベルを使用して実行することを要求するすべての対話型アプリケーションに対して、Windows は公開鍵基盤 (PKI) 署名チェックを強制します。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Only elevate UIAccess applications that are installed in secure locations コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5 |
= 1 (レジストリ) |
重大 |
| ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する (CCE-36869-6) |
説明: このポリシー設定では、コンピューターにおけるユーザー アカウント制御 (UAC) のすべての振る舞いを制御します。 このポリシー設定を変更した場合、コンピューターを再起動する必要があります。 この設定の推奨値は Enabled です。 注: このポリシー設定を無効にすると、オペレーティング システムの全体的なセキュリティが低下したという通知が Security Center から送信されます。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Run all administrators in Admin Approval Mode コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6 |
= 1 (レジストリ) |
重大 |
| ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える (CCE-36866-2) |
説明: このポリシー設定では、対話型のユーザー デスクトップまたはセキュリティで保護されたデスクトップに、昇格要求プロンプトを表示するかどうかを制御します。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Switch to the secure desktop when prompting for elevation コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7 |
= 1 (レジストリ) |
重大 |
| ユーザー アカウント制御: 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する (CCE-37064-3) |
説明: このポリシー設定では、アプリケーションの書き込みエラーを指定のレジストリとファイル システム上の場所にリダイレクトするかどうかを制御します。 このポリシー設定は、管理者として実行されるアプリケーションが、実行時のアプリケーション データを - %ProgramFiles%、- %Windir%、- %Windir%\system32、または - HKEY_LOCAL_MACHINE\Software に書き込むよう緩和します。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Virtualize file and registry write failures to per-user locations コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8 |
= 1 (レジストリ) |
重大 |
セキュリティ設定 - アカウント ポリシー
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| アカウントのロックアウトのしきい値 (AZ-WIN-73311) |
説明: このポリシー設定により、アカウントがロックされるまでに失敗したログオン試行の数が決まります。 このポリシーを 0 に設定すると、ベンチマークに準拠しなくなります。これは、アカウント ロックアウトのしきい値が無効になるためです。 この設定の推奨値は 5 or fewer invalid logon attempt(s), but not 0 です。 注: 既定の動作としてドメイン ユーザー アカウントでグローバルに有効にするには、パスワード ポリシー設定 (セクション 1.1) とアカウント ロックアウト ポリシー設定 (セクション 1.2) を既定のドメイン ポリシー GPO を使用して適用する必要があります。 これらの設定が別の GPO で構成されている場合、GPO を受け取るコンピューター上のローカル ユーザー アカウントにのみ影響します。 しかし、特定のドメイン ユーザーやグループに対する既定のパスワード ポリシーとアカウント ロックアウト ポリシー規則に対するカスタム例外は、パスワード設定オブジェクト (PCO) を使用して定義できます。これは、グループ ポリシーとは完全に分離され、Active Directory 管理センターを使用して最も簡単に構成されます。キーのパス: [System Access]LockoutBadCount OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy\Account lockout threshold コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 1.2.2 CIS WS2019 1.2.2 |
1 - 3 (ポリシー) |
重要 |
| [パスワード履歴を強制する] (CCE-37166-6) |
説明: このポリシー設定では、新しい一意のパスワードを何回ユーザー アカウントに関連付ければ、使用済みのパスワードを再使用できるようになるかを規定します。 このポリシー設定で指定できる値は 0 回 ~ 24 回です。 Windows Vista の既定値は 0 回ですが、ドメインの既定設定は 24 回です。 このポリシー設定の有効性を維持するには、パスワードの変更禁止期間を活用してユーザーが繰り返しパスワードを変更できないようにしてください。 この設定の推奨値は "24 or more password(s)" です。 キーのパス: [System Access]PasswordHistorySize OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを 24 or more password(s) に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Enforce password history コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 1.1.1 |
>= 24 (ポリシー) |
重大 |
| パスワードの有効期間 (CCE-37167-4) |
説明: このポリシー設定では、パスワードを使用できる有効期間を指定します。 このポリシー設定で指定できる値は 0 ~ 999 日です。 値を 0 に設定すると、パスワードの有効期限は無期限になります。 パスワードは攻撃者に解読されるおそれがあり、パスワードを頻繁に変更するほど、解読したパスワードを攻撃者に使用される機会が少なくなります。 ただし、この値を低く設定すると、パスワードを変更しなければならなくなったユーザーや現在のパスワードがどれだったかを忘れたユーザーによるヘルプ デスクへの問い合わせが増える可能性が高くなります。 この設定の推奨値は 60 or fewer days, but not 0 です。キーのパス: [System Access]MaximumPasswordAge OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを 365 or fewer days, but not 0 に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Maximum password age コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 1.1.2 |
1 ~ 70 (ポリシー) |
重大 |
| パスワードの変更禁止期間 (CCE-37073-4) |
説明: このポリシー設定では、次にパスワードを変更できるようになるまでに必要な日数を規定します。 このポリシー設定で指定できる値は 1 ~ 999 日です。 (値を 0 日に設定すればすぐにパスワードを変更することもできます。)この設定の既定値は 0 日です。 この設定の推奨値は 1 or more day(s) です。キーのパス: [System Access]MinimumPasswordAge OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを 1 or more day(s) に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Minimum password age コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 1.1.3 |
>= 1 (ポリシー) |
重大 |
| パスワードの最小文字数 (CCE-36534-6) |
説明: このポリシー設定では、ユーザー アカウントのパスワードの最低文字数を規定します。 組織にとって最適なパスワードの長さを決める方法には諸説ありますが、まずは "パスワード" よりも "パスフレーズ" という言葉の方が適切でしょう。Microsoft Windows 2000 以降では、かなり長いものや、スペースを含むパスフレーズを使用できます。 そのため「I want to drink a $5 milkshake」というフレーズもパスフレーズとして有効です。これは、ランダムな数字と文字による 8 ~ 10 文字の文字列よりもずっと強力なパスワードでありながら、覚えやすくもあります。 適切なパスワードの選択と維持、特にパスワードの長さに関してユーザーに指導する必要があります。 企業において理想的なパスワードの最低文字数の設定は 14 文字ですが、この値は組織の業務上の要件を満たすよう調整するべきです。 この設定の推奨値は 14 or more character(s) です。キーのパス: [System Access]MinimumPasswordLength OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを 14 or more character(s) に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Minimum password length コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 1.1.4 |
>= 14 (ポリシー) |
重大 |
| パスワードでは、複雑さの要件を満たす必要がある (CCE-37063-5) |
説明: このポリシー設定では、すべての新しいパスワードが、強力なパスワードとしての基本的要件を満たしていることを確認します。 このポリシーが有効になっているとき、パスワードは次の最低要件を満たしている必要があります: - ユーザーのアカウント名、およびユーザーのフルネームに含まれる 2 文字を超える連続した文字列を含んでいないこと - 最低 6 文字以上であること - 以下の 4 種類の文字分類のうち 3 つに属する文字が含まれていること: - 英語大文字 (A ~ Z) - 英語小文字 (a ~ z) - 10 進数の基数 (0 ~ 9) - アルファベット以外の記号 (!、$、#、% など) - Unicode 文字のうち上に挙げた 4 つの文字分類に当てはまらないものすべて。 この 5 番目の文字分類は地域固有のものである場合があります。 パスワードに文字を 1 つ追加するごとに、複雑さは指数関数的に増加します。 たとえば、小文字のアルファベットだけの 7 文字のパスワードには 267 とおりの組み合わせ (約 8 x 109 とおり、つまり 80 億とおり) があります。 1 秒あたり 100 万とおりのパスワードを試した場合 (多くのパスワード解読ツールが持つ性能)、これを解読するには 133 分しかかかりません。 大文字と小文字を区別するアルファベット 7 文字のパスワードには 527 とおりの組み合わせがあります。 大文字と小文字を区別する英数字のパスワードには 627 とおりの組み合わせがあります。 8 文字のパスワードでは、268 (約 2 x 1011) とおりの組み合わせがあります。 これは一見大きな数字ですが、1 秒あたり 100 万とおりのパスワードを試す場合、作り得るすべてのパスワードを試すのに 59 時間しかかかりません。 「!」や「@」のような、キーを組み合わせて入力する記号やキーボード上の他の特殊文字を使ったパスワードは、解読にかかる時間が大幅に長くなることを覚えておいてください。 パスワードの設定を適切に使用するとブルートフォース攻撃を受けにくくなります。 この設定の推奨値は Enabled です。キーのパス: [System Access]PasswordComplexity OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Password must meet complexity requirements コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5 |
= 1 (ポリシー) |
重大 |
| ロックアウト カウンターのリセット (AZ-WIN-73309) |
説明: このポリシー設定により、[アカウントのロックアウトのしきい値] が 0 にリセットされるまでの時間が決まります。 このポリシー設定の既定値は [定義されていません] です。 [アカウントのロックアウトのしきい値] が定義されている場合、このリセット時間は、[アカウントのロックアウト期間] 設定の値以下である必要があります。 このポリシー設定を既定値のままにするか、長すぎる間隔に値を構成すると、環境が DoS 攻撃に対して脆弱になる可能性があります。 攻撃者は悪意を持って、組織内のすべてのユーザーが何度もログオン試行に失敗するようにする可能性があり、これによりユーザーのアカウントがロックアウトされます。 アカウントのロックアウトをリセットするポリシーが決められていない場合は、管理者がこれを手動で行います。 逆に、このポリシー設定に適切な時間値が構成されている場合、すべてのアカウントが自動的にロック解除されるまで、ユーザーは設定された期間ロックアウトされます。 この設定の推奨値は 15 or more minute(s) です。 注: 既定の動作としてドメイン ユーザー アカウントでグローバルに有効にするには、パスワード ポリシー設定 (セクション 1.1) とアカウント ロックアウト ポリシー設定 (セクション 1.2) を既定のドメイン ポリシー GPO を使用して適用する必要があります。 これらの設定が別の GPO で構成されている場合、GPO を受け取るコンピューター上のローカル ユーザー アカウントにのみ影響します。 しかし、特定のドメイン ユーザーやグループに対する既定のパスワード ポリシーとアカウント ロックアウト ポリシー規則に対するカスタム例外は、パスワード設定オブジェクト (PCO) を使用して定義できます。これは、グループ ポリシーとは完全に分離され、Active Directory 管理センターを使用して最も簡単に構成されます。キーのパス: [System Access]ResetLockoutCount OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 1.2.3 CIS WS2019 1.2.3 |
>= 15 (ポリシー) |
重要 |
| 暗号化を元に戻せる状態でパスワードを保存する (CCE-36286-3) |
説明: このポリシー設定では、オペレーティング システムによるパスワードの保存に可逆暗号化を使用するかどうかを規定します。これを使用すれば、認証にユーザーのパスワードを求めるアプリケーション プロトコルを利用できます。 可逆暗号化を使用して保存しているパスワードは、事実上プレーンテキストのパスワードと変わりません。 この設定の推奨値は Disabled です。キーのパス: [System Access]ClearTextPassword OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Store passwords using reversible encryption コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7 |
= 0 (ポリシー) |
重大 |
セキュリティ設定 - Windows ファイアウォール
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| Windows ファイアウォール: ドメイン: ユニキャスト応答の許可 (AZ-WIN-00088) |
説明: このオプションは、このコンピューターが出力方向のマルチキャストまたはブロードキャスト メッセージへのユニキャスト応答を受信するかどうかを制御する必要がある場合に便利です。 プライベートおよびドメイン プロファイルの場合は、この設定を [はい] にすることをお勧めします。この場合、レジストリ値は 0 に設定されます。 キーのパス: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (this link will be in the right pane)\Domain Profile Tab\Settings (select Customize)\Unicast response, Allow unicast response のポリシー値を構成します コンプライアンス標準マッピング: |
= 0 (レジストリ) |
警告 |
| Windows ファイアウォール: ドメイン: ファイアウォールの状態 (CCE-36062-8) |
説明: セキュリティが強化された Windows ファイアウォールでこのプロファイルの設定を使用して、ネットワーク トラフィックをフィルター処理するには、[ オン (推奨) ] を選択します。 [オフ] を選択すると、セキュリティが強化された Windows ファイアウォールによって、このプロファイルのファイアウォール規則も接続セキュリティ規則も使用されません。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを On (recommended) に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Firewall state コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.1.1 |
= 1 (レジストリ) |
重大 |
| Windows ファイアウォール: ドメイン: 送信接続 (AZ-WIN-202252) |
説明: この設定により、受信ファイアウォール規則に一致しない受信接続に対する動作が決まります。 この設定の推奨値は Block (default) です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Inbound connections コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.1.2 CIS WS2019 9.1.2 |
= 1 (レジストリ) |
重大 |
| Windows ファイアウォール: ドメイン: ログ: ドロップしたパケットをログする (AZ-WIN-202226) |
説明: セキュリティが強化された Windows ファイアウォールにより、何らかの理由で受信パケットが破棄されたときにログを記録するには、このオプションを使用します。 ログには、パケットが破棄された理由と時間が記録されます。 ログのアクション列で DROP という単語を含むエントリを探します。 この設定の推奨値は Yes です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Logging Customize\Log dropped packets コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.1.7 CIS WS2019 9.1.7 |
= 1 (レジストリ) |
Informational |
| Windows ファイアウォール: ドメイン: ログ: 成功した接続をログする (AZ-WIN-202227) |
説明: セキュリティが強化された Windows ファイアウォールにより受信接続が許可されたときにログを記録するには、このオプションを使用します。 ログには、接続が形成された理由と時間が記録されます。 ログのアクション列で ALLOW という単語を含むエントリを探します。 この設定の推奨値は Yes です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Logging Customize\Log successful connections コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.1.8 CIS WS2019 9.1.8 |
= 1 (レジストリ) |
警告 |
| Windows ファイアウォール: ドメイン: ログ: 名前 (AZ-WIN-202224) |
説明: Windows ファイアウォールによってログ情報が書き込まれるファイルのパスと名前を指定するには、このオプションを使用します。 この設定の推奨値は %SystemRoot%\System32\logfiles\firewall\domainfw.log です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Logging Customize\Name コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.1.5 CIS WS2019 9.1.5 |
= %SystemRoot%\System32\logfiles\firewall\domainfw.log (レジストリ) |
Informational |
| Windows ファイアウォール: ドメイン: ログ: サイズ制限 (KB) (AZ-WIN-202225) |
説明: Windows ファイアウォールによってログ情報が書き込まれるファイルのサイズ制限を指定するには、このオプションを使用します。 この設定の推奨値は 16,384 KB or greater です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Logging Customize\Size limit (KB) コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.1.6 CIS WS2019 9.1.6 |
>= 16384 (レジストリ) |
警告 |
| Windows ファイアウォール: ドメイン: 送信接続 (CCE-36146-9) |
説明: この設定により、送信ファイアウォール規則に一致しない送信接続に対する動作が決まります。 Windows Vista の既定の動作では、接続をブロックするファイアウォール規則がない限り接続が許可されます。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Allow (default) に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Outbound connections コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.1.3 |
= 0 (レジストリ) |
重大 |
| Windows ファイアウォール: ドメイン: 設定: ローカル接続のセキュリティ規則を適用する (CCE-38040-2) |
説明: この設定では、グループ ポリシーによって構成されるファイアウォール規則と一緒に適用されるローカル接続の規則の作成を、ローカル管理者に許可するかどうかを制御します。 この設定の推奨値は [はい] です。この場合、レジストリ値は 1 に設定されます。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (this link will be in the right pane)\Domain Profile Tab\Settings (select Customize)\Rule merging, Apply local connection security rules のポリシー値を構成します コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.3.6 |
= 1 (レジストリ) |
重大 |
| Windows ファイアウォール: ドメイン: 設定: ローカル ファイアウォールの規則を適用する (CCE-37860-4) |
説明: この設定では、グループ ポリシーによって構成されるファイアウォール規則と一緒に適用されるローカル ファイアウォールの規則の作成を、ローカル管理者に許可するかどうかを制御します。 この設定の推奨値は [Yes] です。この場合、レジストリ値は 1 に設定されます。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (this link will be in the right pane)\Domain Profile Tab\Settings (select Customize)\Rule merging, Apply local connection security rules コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.3.5 |
存在しないか、= 1 (レジストリ) |
重大 |
| Windows ファイアウォール: ドメイン: 設定: 通知を表示する (CCE-38041-0) |
説明: このオプションを選択すると、プログラムで受信接続の受信がブロックされたときにユーザーに通知が表示されません。 サーバー環境では、ユーザーがログインしていないためポップアップは有用ではなく、管理者にとってはポップアップは不要であり、混乱を生じさせる可能性があります。 このポリシー設定を [いいえ] に設定します。この場合、レジストリ値は 1 に設定されます。 プログラムで受信接続の受信がブロックされたときに、Windows ファイアウォールによってユーザーに通知が表示されません。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを No に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Settings Customize\Display a notification コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.1.4 |
= 1 (レジストリ) |
警告 |
| Windows ファイアウォール: プライベート: ユニキャスト応答の許可 (AZ-WIN-00089) |
説明: このオプションは、このコンピューターが出力方向のマルチキャストまたはブロードキャスト メッセージへのユニキャスト応答を受信するかどうかを制御する必要がある場合に便利です。 プライベートおよびドメイン プロファイルの場合は、この設定を [はい] にすることをお勧めします。この場合、レジストリ値は 0 に設定されます。 キーのパス: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (this link will be in the right pane)\Private Profile Tab\Settings (select Customize)\Unicast response, Allow unicast response コンプライアンス標準マッピング: |
= 0 (レジストリ) |
警告 |
| Windows ファイアウォール: プライベート: ファイアウォールの状態 (CCE-38239-0) |
説明: セキュリティが強化された Windows ファイアウォールでこのプロファイルの設定を使用して、ネットワーク トラフィックをフィルター処理するには、[ オン (推奨) ] を選択します。 [オフ] を選択すると、セキュリティが強化された Windows ファイアウォールによって、このプロファイルのファイアウォール規則も接続セキュリティ規則も使用されません。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを On (recommended) に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Firewall state コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.2.1 |
= 1 (レジストリ) |
重大 |
| Windows ファイアウォール: 非公開: 送信接続 (AZ-WIN-202228) |
説明: この設定により、受信ファイアウォール規則に一致しない受信接続に対する動作が決まります。 この設定の推奨値は Block (default) です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Inbound connections コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.2.2 CIS WS2019 9.2.2 |
= 1 (レジストリ) |
重大 |
| Windows ファイアウォール: 非公開: ログ: ドロップしたパケットをログする (AZ-WIN-202231) |
説明: セキュリティが強化された Windows ファイアウォールにより、何らかの理由で受信パケットが破棄されたときにログを記録するには、このオプションを使用します。 ログには、パケットが破棄された理由と時間が記録されます。 ログのアクション列で DROP という単語を含むエントリを探します。 この設定の推奨値は Yes です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Logging Customize\Log dropped packets コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.2.7 CIS WS2019 9.2.7 |
= 1 (レジストリ) |
Informational |
| Windows ファイアウォール: 非公開: ログ: 成功した接続をログする (AZ-WIN-202232) |
説明: セキュリティが強化された Windows ファイアウォールにより受信接続が許可されたときにログを記録するには、このオプションを使用します。 ログには、接続が形成された理由と時間が記録されます。 ログのアクション列で ALLOW という単語を含むエントリを探します。 この設定の推奨値は Yes です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Logging Customize\Log successful connections コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.2.8 CIS WS2019 9.2.8 |
= 1 (レジストリ) |
警告 |
| Windows ファイアウォール: 非公開: ログ: 名前 (AZ-WIN-202229) |
説明: Windows ファイアウォールによってログ情報が書き込まれるファイルのパスと名前を指定するには、このオプションを使用します。 この設定の推奨値は %SystemRoot%\System32\logfiles\firewall\privatefw.log です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Logging Customize\Name コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.2.5 CIS WS2019 9.2.5 |
= %SystemRoot%\System32\logfiles\firewall\privatefw.log (レジストリ) |
Informational |
| Windows ファイアウォール: 非公開: ログ: サイズ制限 (KB) (AZ-WIN-202230) |
説明: Windows ファイアウォールによってログ情報が書き込まれるファイルのサイズ制限を指定するには、このオプションを使用します。 この設定の推奨値は 16,384 KB or greater です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Logging Customize\Size limit (KB) コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.2.6 CIS WS2019 9.2.6 |
>= 16384 (レジストリ) |
警告 |
| Windows ファイアウォール: プライベート: 送信接続 (CCE-38332-3) |
説明: この設定により、送信ファイアウォール規則に一致しない送信接続に対する動作が決まります。 既定の動作では、接続をブロックするファイアウォール規則がない限り接続が許可されます。 重要: [送信接続] を [ブロック] に設定してから、GPO を使用してファイアウォール ポリシーを展開した場合、グループ ポリシーが動作できるようにするアウトバウンド規則を作成して展開しない限り、GPO 設定を受信したコンピューターでは以降のグループ ポリシーの更新を受信できなくなります。 コア ネットワーク用の事前定義された規則には、グループ ポリシーが動作できるようにする送信規則が含まれています。 これらの送信規則がアクティブであることを確認し、展開前にファイアウォール プロファイルを十分にテストしてください。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Allow (default) に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Outbound connections コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.2.3 |
= 0 (レジストリ) |
重大 |
| Windows ファイアウォール: プライベート: 設定: ローカル接続のセキュリティ規則を適用する (CCE-36063-6) |
説明: この設定では、グループ ポリシーによって構成されるファイアウォール規則と一緒に適用されるローカル接続の規則の作成を、ローカル管理者に許可するかどうかを制御します。 この設定の推奨値は [はい] です。この場合、レジストリ値は 1 に設定されます。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (this link will be in the right pane)\Private Profile Tab\Settings (select Customize)\Rule merging, Apply local connection security rules コンプライアンス標準マッピング: |
= 1 (レジストリ) |
重大 |
| Windows ファイアウォール: プライベート: 設定: ローカル ファイアウォールの規則を適用する (CCE-37438-9) |
説明: この設定では、グループ ポリシーによって構成されるファイアウォール規則と一緒に適用されるローカル ファイアウォールの規則の作成を、ローカル管理者に許可するかどうかを制御します。 この設定の推奨値は [Yes] です。この場合、レジストリ値は 1 に設定されます。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (this link will be in the right pane)\Private Profile Tab\Settings (select Customize)\Rule merging, Apply local firewall rules のポリシー値を構成します コンプライアンス標準マッピング: |
存在しないか、= 1 (レジストリ) |
重大 |
| Windows ファイアウォール: プライベート: 設定: 通知を表示する (CCE-37621-0) |
説明: このオプションを選択すると、プログラムで受信接続の受信がブロックされたときにユーザーに通知が表示されません。 サーバー環境では、ユーザーがログインしていないためポップアップは有用ではなく、管理者にとってはポップアップは不要であり、混乱を生じさせる可能性があります。 このポリシー設定を [いいえ] に設定します。この場合、レジストリ値は 1 に設定されます。 プログラムで受信接続の受信がブロックされたときに、Windows ファイアウォールによってユーザーに通知が表示されません。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを No に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Settings Customize\Display a notification コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.2.4 |
= 1 (レジストリ) |
警告 |
| Windows ファイアウォール: パブリック: ユニキャスト応答の許可 (AZ-WIN-00090) |
説明: このオプションは、このコンピューターが出力方向のマルチキャストまたはブロードキャスト メッセージへのユニキャスト応答を受信するかどうかを制御する必要がある場合に便利です。 この設定の状態を [いいえ] に変更することで完了できます。この場合、レジストリ値は 1 に設定されます。 キーのパス: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties (this link will be in the right pane)\Public Profile Tab\Settings (select Customize)\Unicast response, Allow unicast response のポリシー値を構成します コンプライアンス標準マッピング: |
= 1 (レジストリ) |
警告 |
| Windows ファイアウォール: パブリック: ファイアウォールの状態 (CCE-37862-0) |
説明: セキュリティが強化された Windows ファイアウォールでこのプロファイルの設定を使用して、ネットワーク トラフィックをフィルター処理するには、[ オン (推奨) ] を選択します。 [オフ] を選択すると、セキュリティが強化された Windows ファイアウォールによって、このプロファイルのファイアウォール規則も接続セキュリティ規則も使用されません。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを On (recommended) に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Firewall state コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.3.1 |
= 1 (レジストリ) |
重大 |
| Windows ファイアウォール: 公開: 送信接続 (AZ-WIN-202234) |
説明: この設定により、受信ファイアウォール規則に一致しない受信接続に対する動作が決まります。 この設定の推奨値は Block (default) です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Inbound connections コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.3.2 CIS WS2019 9.3.2 |
= 1 (レジストリ) |
重大 |
| Windows ファイアウォール: 公開: ログ: ドロップしたパケットをログする (AZ-WIN-202237) |
説明: セキュリティが強化された Windows ファイアウォールにより、何らかの理由で受信パケットが破棄されたときにログを記録するには、このオプションを使用します。 ログには、パケットが破棄された理由と時間が記録されます。 ログのアクション列で DROP という単語を含むエントリを探します。 この設定の推奨値は Yes です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Logging Customize\Log dropped packets コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.3.9 CIS WS2019 9.3.9 |
= 1 (レジストリ) |
Informational |
| Windows ファイアウォール: 公開: ログ: 成功した接続をログする (AZ-WIN-202233) |
説明: セキュリティが強化された Windows ファイアウォールにより受信接続が許可されたときにログを記録するには、このオプションを使用します。 ログには、接続が形成された理由と時間が記録されます。 ログのアクション列で ALLOW という単語を含むエントリを探します。 この設定の推奨値は Yes です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Logging Customize\Log successful connections コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.3.10 CIS WS2019 9.3.10 |
= 1 (レジストリ) |
警告 |
| Windows ファイアウォール: 公開: ログ: 名前 (AZ-WIN-202235) |
説明: Windows ファイアウォールによってログ情報が書き込まれるファイルのパスと名前を指定するには、このオプションを使用します。 この設定の推奨値は %SystemRoot%\System32\logfiles\firewall\publicfw.log です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Logging Customize\Name コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.3.7 CIS WS2019 9.3.7 |
= %SystemRoot%\System32\logfiles\firewall\publicfw.log (レジストリ) |
Informational |
| Windows ファイアウォール: 公開: ログ: サイズ制限 (KB) (AZ-WIN-202236) |
説明: Windows ファイアウォールによってログ情報が書き込まれるファイルのサイズ制限を指定するには、このオプションを使用します。 この設定の推奨値は 16,384 KB or greater です。キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Logging Customize\Size limit (KB) コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 9.3.8 CIS WS2019 9.3.8 |
>= 16384 (レジストリ) |
Informational |
| Windows ファイアウォール: パブリック: 送信接続 (CCE-37434-8) |
説明: この設定により、送信ファイアウォール規則に一致しない送信接続に対する動作が決まります。 既定の動作では、接続をブロックするファイアウォール規則がない限り接続が許可されます。 重要: [送信接続] を [ブロック] に設定してから、GPO を使用してファイアウォール ポリシーを展開した場合、グループ ポリシーが動作できるようにするアウトバウンド規則を作成して展開しない限り、GPO 設定を受信したコンピューターでは以降のグループ ポリシーの更新を受信できなくなります。 コア ネットワーク用の事前定義された規則には、グループ ポリシーが動作できるようにする送信規則が含まれています。 これらの送信規則がアクティブであることを確認し、展開前にファイアウォール プロファイルを十分にテストしてください。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Allow (default) に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Outbound connections コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.3.3 |
= 0 (レジストリ) |
重大 |
| Windows ファイアウォール: パブリック: 設定: ローカル接続のセキュリティ規則を適用する (CCE-36268-1) |
説明: この設定では、グループ ポリシーによって構成されるファイアウォール規則と一緒に適用されるローカル接続の規則の作成を、ローカル管理者に許可するかどうかを制御します。 この設定の推奨値は [はい] です。この場合、レジストリ値は 1 に設定されます。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを No に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Settings Customize\Apply local connection security rules コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.3.6 |
= 1 (レジストリ) |
重大 |
| Windows ファイアウォール: パブリック: 設定: ローカル ファイアウォールの規則を適用する (CCE-37861-2) |
説明: この設定では、グループ ポリシーによって構成されるファイアウォール規則と一緒に適用されるローカル ファイアウォールの規則の作成を、ローカル管理者に許可するかどうかを制御します。 この設定の推奨値は [Yes] です。この場合、レジストリ値は 1 に設定されます。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを No に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Settings Customize\Apply local firewall rules コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.3.5 |
存在しないか、= 1 (レジストリ) |
重大 |
| Windows ファイアウォール: パブリック: 設定: 通知を表示する (CCE-38043-6) |
説明: このオプションを選択すると、プログラムで受信接続の受信がブロックされたときにユーザーに通知が表示されません。 サーバー環境では、ユーザーがログインしていないためポップアップは有用ではなく、管理者にとってはポップアップは不要であり、混乱を生じさせる可能性があります。 このポリシー設定を [いいえ] に設定します。この場合、レジストリ値は 1 に設定されます。 プログラムで受信接続の受信がブロックされたときに、Windows ファイアウォールによってユーザーに通知が表示されません。 キーのパス: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを No に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Settings Customize\Display a notification コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 9.3.4 |
= 1 (レジストリ) |
警告 |
システム監査ポリシー - アカウント ログオン
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 資格情報の確認の監査 (CCE-37741-6) |
説明: このサブカテゴリは、ユーザー アカウントのログオン要求を送信する資格情報を検証テストの結果を報告します。 これらのイベントは資格情報の権限のあるコンピューターで発生します。 ドメイン アカウントのドメイン コント ローラーは、ローカル コンピューターでは権限を持つローカル アカウントの場合は、権限があるです。 ドメイン環境内では、アカウント ログオン イベントのほとんどが、ドメイン アカウントに対して権限を持つドメイン コントローラーのセキュリティ ログで発生します。 ただし、これらのイベントではローカル アカウントを使用してログオンする場合、組織内の他のコンピューターで発生します。 このサブカテゴリには次のイベントが含まれます: - 4774: ログオンのためにアカウントがマップされました。 - 4775: ログオンのためにアカウントをマップできませんでした。 - 4776: ドメイン コントローラーでアカウントの資格情報の検証を試行しました。 - 4777: ドメイン コントローラーでアカウントの資格情報を検証できませんでした。 この設定の推奨値は "Success and Failure" です。 キーのパス: {0CCE923F-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Success and Failure に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Logon\Audit Credential Validation コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1 |
= Success and Failure (監査) |
重大 |
| Kerberos 認証サービスの監査 (AZ-WIN-00004) |
説明: このサブカテゴリでは、Kerberos 認証 TGT 要求の後に生成されたイベントの結果が報告されます。 Kerberos は、ユーザーの代わりとして実行されているクライアントが、ネットワーク経由でデータを送信することなく、その ID をサーバーに証明できるようにする分散型の認証サービスです。 これは、攻撃者またはサーバーがユーザーになりすますことを軽減するのに役立ちます。 - 4768: Kerberos 認証チケット (TGT) が要求されました。 - 4771: Kerberos の事前認証に失敗しました。 - 4772: Kerberos 認証チケット要求に失敗しました。 この設定の推奨値は Success and Failure です。キーのパス: {0CCE9242-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバー タイプ: ドメイン コントローラー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Logon\Audit Kerberos Authentication Service コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 17.1.2 CIS WS2019 17.1.2 |
>= Success and Failure (監査) |
重大 |
システム監査ポリシー - アカウント管理
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 配布グループの管理の監査 (CCE-36265-7) |
説明: このサブカテゴリでは、配布グループを作成、変更、または削除するとき、あるいはメンバーを追加または配布グループから削除する場合など、配布グループ管理の各イベントを報告します。 この監査ポリシー設定を有効にすると、管理者はイベントを追跡して、悪意のある方法、意図しない方法、認可された方法によるグループ アカウントの作成を検出できます。 このサブカテゴリには次のイベントが含まれます: - 4744: セキュリティが無効なローカル グループが作成されました。 - 4745: セキュリティが無効なローカル グループが変更されました。 - 4746: セキュリティが無効なローカル グループにメンバーが追加されました。 - 4747: セキュリティが無効なローカル グループのメンバーが削除されました。 - 4748: キュリティが無効なローカル グループが削除されました。 - 4749: セキュリティが無効なグローバル グループが作成されました。 - 4750: セキュリティが無効なグローバル グループが変更されました。 - 4751: セキュリティが無効なグローバル グループにメンバーが追加されました。 - 4752: セキュリティが無効なグローバル グループのメンバーが削除されました。 - 4753: セキュリティが無効なグローバル グループが削除されました。 - 4759: セキュリティが無効なユニバーサル グループが作成されました。 - 4760: セキュリティが無効なユニバーサル グループが変更されました。 - 4761: セキュリティが無効なユニバーサル グループにメンバーが追加されました。 - 4762: セキュリティが無効なユニバーサル グループのメンバーが削除されました。 - 4763: セキュリティが無効なユニバーサル グループが削除されました。 この設定の推奨値は Success を含んでいることです。キーのパス: {0CCE9238-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバー タイプ: ドメイン コントローラー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Distribution Group Management コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 17.2.3 CIS WS2019 17.2.3 |
>= Success (監査) |
重大 |
| その他のアカウント管理イベントの監査 (CCE-37855-4) |
説明: このサブカテゴリでは、その他のアカウント管理イベントを報告します。 このサブカテゴリには次のイベントが含まれます。— 4782: アカウントにアクセスしたパスワード ハッシュ。 \- 4793: Password Policy Checking API が呼び出されました。 この設定に関する最新の情報は、Microsoft のサポート技術情報の記事 "Description of security events in Windows Vista and in Windows Server 2008" (Windows Vista および Windows Server 2008 のセキュリティ イベントの説明) を参照してください: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 。 キーのパス: {0CCE923A-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバー タイプ: ドメイン コントローラー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Success を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Other Account Management Events コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.2.4 |
>= Success (監査) |
重大 |
| セキュリティ グループの管理の監査 (CCE-38034-5) |
説明: このサブカテゴリでは、セキュリティ グループの作成、変更、削除やセキュリティ グループに対するメンバーの追加、削除など、セキュリティ グループ管理の各イベントを報告します。 この監査ポリシー設定を有効にすると、管理者はイベントを追跡して、悪意のある方法、意図しない方法、認可された方法によるセキュリティ グループのアカウントの作成を検出できます。 このサブカテゴリには次のイベントが含まれます: - 4727: セキュリティが有効なグローバル グループが作成されました。 - 4728: セキュリティが有効なグローバル グループにメンバーが追加されました。 - 4729: セキュリティが有効なグローバル グループからメンバーが削除されました。 - 4730: セキュリティが有効なグローバル グループが削除されました。 - 4731: セキュリティが有効なローカル グループが作成されました。 - 4732: セキュリティが有効なローカル グループにメンバーが追加されました。 - 4733: セキュリティが有効なローカル グループからメンバーが削除されました。 - 4734: セキュリティが有効なローカル グループが削除されました。 - 4735: セキュリティが有効なローカル グループが変更されました。 - 4737: セキュリティが有効なグローバル グループが変更されました。 - 4754: セキュリティが有効なユニバーサル グループが作成されました。 - 4755: セキュリティが有効なユニバーサル グループが変更されました。 - 4756: セキュリティが有効なユニバーサル グループにメンバーが追加されました。 - 4757: セキュリティが有効なユニバーサル グループからメンバーが削除されました。 - 4758: セキュリティが有効なユニバーサル グループが削除されました。 - 4764: グループの種類が変更されました。 この設定の推奨値は Success and Failure です。キーのパス: {0CCE9237-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Success を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Security Group Management コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.2.5 |
>= Success (監査) |
重大 |
| ユーザー アカウントの管理の監査 (CCE-37856-2) |
説明: このサブカテゴリでは、ユーザー アカウントの作成、変更、削除、名前変更、無効化、有効化、パスワードの設定、変更などのユーザー アカウント管理の各イベントを報告します。 この監査ポリシー設定を有効にすると、管理者はイベントを追跡して、悪意のある方法、意図しない方法、認可された方法によるユーザー アカウントの作成を検出できます。 このサブカテゴリには次のイベントが含まれます: - 4720: ユーザー アカウントが作成されました。 - 4722: ユーザー アカウントが有効になりました。 - 4723: アカウントのパスワードの変更が試みられました。 - 4724: アカウントのパスワードのリセットが試みられました。 - 4725: ユーザー アカウントが無効になりました。 - 4726: ユーザー アカウントが削除されました。 - 4738: ユーザー アカウントが変更されました。 - 4740: ユーザー アカウントがロックされました。- 4765: SID の履歴がアカウントに追加されました。 - 4766: SID の履歴をアカウントに追加することに失敗しました。 - 4767: ユーザー アカウントのロックが解除されました。 - 4780: 管理者グループのメンバーのアカウントに ACL が設定されました。 - 4781: アカウント名が変更されました: - 4794: ディレクトリ サービス復元モードの設定が試みられました。 - 5376: 資格情報マネージャーの認証情報がバックアップされました。 - 5377: 資格情報マネージャーの認証情報がバックアップから復元されました。 この設定の推奨値は Success and Failure です。キーのパス: {0CCE9235-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Success and Failure に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit User Account Management コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6 |
= Success and Failure (監査) |
重大 |
システム監査ポリシー - 詳細追跡
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| PNP アクティビティの監査 (AZ-WIN-00182) |
説明: このポリシー設定を使用すると、プラグ アンド プレイにより外付けデバイスを検出したときに監査できるようになります。 この設定の推奨値は Success です。 注: グループ ポリシーにアクセスしてこの値を設定するには、Windows 10 および Windows Server 2016 以降の OS が必要です。キーのパス: {0CCE9248-69AE-11D9-BED3-505054503030} OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.3.1 CIS WS2022 17.3.1 |
>= Success (監査) |
重大 |
| プロセス作成の監査 (CCE-36059-4) |
説明: このサブカテゴリでは、プロセスの作成と、それを作成したプログラムまたはユーザーの名前を報告します。 このサブカテゴリには次のイベントが含まれます: - 4688: 新しいプロセスが作成されました。 - 4696: プライマリ トークンがプロセスに割り当てられました。 この設定に関する最新の情報は、Microsoft のサポート技術情報の記事 947226 を参照してください。 この設定の推奨値は Success です。キーのパス: {0CCE922B-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Success を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Detailed Tracking\Audit Process Creation コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2 |
>= Success (監査) |
重大 |
システム監査ポリシー - DS アクセス
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| ディレクトリ サービス アクセスを監査します。 (CCE-37433-0) |
説明: このサブカテゴリでは、AD DS オブジェクトにアクセスされたときに報告します。 SACL があるオブジェクトのみで、SACL に一致するようにアクセスされたときにのみ、監査イベントが生成されます。 これらのイベントは、以前のバージョンの Windows Server のディレクトリ サービス アクセス イベントに似ています。 このサブカテゴリは、ドメイン コント ローラーにのみ適用されます。 このサブカテゴリには次のイベントが含まれます: - 4662 : オブジェクトに対して操作が実行されました。 この設定の推奨値は Failure を含んでいることです。キーのパス: {0CCE923B-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバー タイプ: ドメイン コントローラー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Access コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 17.4.1 CIS WS2019 17.4.1 |
>= Failure (監査) |
重大 |
| ディレクトリ サービスの変更の監査 (CCE-37616-0) |
説明: このサブカテゴリでは、Active Directory Domain Services (AD DS) 内のオブジェクトに対する変更を報告します。 報告される変更の種類を作成、変更、移動、およびオブジェクトに対して実行される操作の削除を取り消します。 DS 変更の監査では、必要に応じて、変更されたオブジェクトの変更されたプロパティの新旧の値が示されます。 SACL があるオブジェクトのみで、SACL に一致するようにアクセスされたときにのみ、監査イベントが生成されます。 一部のオブジェクトとプロパティでは、スキーマ内のオブジェクト クラスに対する設定のために生成される監査イベントは発生しません。 このサブカテゴリは、ドメイン コント ローラーにのみ適用されます。 このサブカテゴリには次のイベントが含まれます: - 5136: ディレクトリ サービス オブジェクトが変更されました。 - 5137: ディレクトリ サービス オブジェクトが作成されました。 - 5138: ディレクトリ サービス オブジェクトが復元されました。 - 5139: ディレクトリ サービス オブジェクトが移動されました。 この設定の推奨値は Success を含んでいることです。キーのパス: {0CCE923C-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバー タイプ: ドメイン コントローラー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Changes コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 17.4.2 CIS WS2019 17.4.2 |
>= Success (監査) |
重大 |
| ディレクトリ サービス レプリケーションの監査 (AZ-WIN-00093) |
説明: このサブカテゴリでは、2 つのドメイン コント ローラー間のレプリケーションの開始と終了を報告します。 このサブカテゴリには次のイベントが含まれます: - 4932: Active Directory の名前付けコンテキストのレプリカの同期が開始されました。 – 4933: Active Directory の名前付けコンテキストのレプリカの同期が終了しました。 この設定に関する最新情報については、Microsoft のサポート技術情報の記事「Windows Vista および Windows Server 2008 のセキュリティ イベントの説明」(http:--support.microsoft.com-default.aspx-kb-947226) を参照してください キーのパス: {0CCE923D-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバー タイプ: ドメイン コントローラー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\DS Access\Audit Directory Service Replication コンプライアンス標準マッピング: |
>= No Auditing (監査) |
重大 |
システム監査ポリシー - ログオン/ログオフ
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| アカウント ロックアウトの監査 (CCE-37133-6) |
説明: このサブカテゴリでは、繰り返しログインに失敗したユーザー アカウントをロックしたことを報告します。 このサブカテゴリには次のイベントが含まれます。— 4625: アカウントでログオンに失敗しました。 この設定に関する最新の情報は、Microsoft のサポート技術情報の記事 "Description of security events in Windows Vista and in Windows Server 2008" (Windows Vista および Windows Server 2008 のセキュリティ イベントの説明) を参照してください: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 。 キーのパス: {0CCE9217-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Failure を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Account Lockout コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.5.1 |
>= Failure (監査) |
重大 |
| グループ メンバーシップの監査 (AZ-WIN-00026) |
説明: 監査グループ メンバーシップを使用すると、クライアント コンピューターでグループのメンバーを列挙したときに、それらのメンバーを監査できるようになります。 このポリシーを使うと、ユーザーのログオン トークンに含まれるグループ メンバーシップ情報を監査することができます。 このサブカテゴリのイベントは、ログオン セッションが作成されコンピューターで生成されます。 対話型ログオンの場合は、ユーザーがログオンしているコンピューターでセキュリティ監査イベントが生成されます。 ネットワーク上の共有フォルダーへのアクセスなどのネットワーク ログオンの場合は、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。 監査ログオン サブカテゴリも有効にする必要があります。 グループ メンバーシップ情報を 1 つのセキュリティ監査イベントに格納できない場合は、複数のイベントが生成されます。 監査するイベントには次のものが含まれます: - 4627 (S): グループ メンバーシップ情報。 キーのパス: {0CCE9249-69AE-11D9-BED3-505054503030} OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Success を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Group Membership コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.5.2 |
>= Success (監査) |
重大 |
| ログオフの監査 (CCE-38237-4) |
説明: このサブカテゴリでは、ユーザーがシステムからログオフしたことを報告します。 これらのイベントは、アクセスされるコンピューターで発生します。 対話型ログオンにこれらのイベントの生成は、ログオンしているコンピューターで発生します。 ネットワーク ログオンでは、共有にアクセスする場所を受け取り、これらのイベントは、アクセスされるリソースをホストするコンピューターで生成します。 設定を [監査しない] にすると、組織のコンピュータにアクセスした、またはアクセスを試みたユーザーを特定するのが難しくなる、または不可能になります。 このサブカテゴリには次のイベントが含まれます: - 4634: アカウントがログオフされました。 - 4647: ユーザーがログオフを開始しました。 この設定の推奨値は "Success" です。 キーのパス: {0CCE9216-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Success を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logoff コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3 |
>= Success (監査) |
重大 |
| ログオンの監査 (CCE-38036-0) |
説明: このサブカテゴリは、ユーザーがシステムにログオンしようとしたときに報告します。 これらのイベントは、アクセスされるコンピューターで発生します。 対話型ログオンにこれらのイベントの生成は、ログオンしているコンピューターで発生します。 ネットワーク ログオンでは、共有にアクセスする場所を受け取り、これらのイベントは、アクセスされるリソースをホストするコンピューターで生成します。 設定を [監査しない] にすると、組織のコンピュータにアクセスした、またはアクセスを試みたユーザーを特定するのが難しくなる、または不可能になります。 このサブカテゴリには次のイベントが含まれます: - 4624: アカウントのログインに成功しました。 - 4625: アカウントのログオンに失敗しました。 - 4648: 明示的な資格情報を使用してログオンが試行されました。 - 4675: Sid がフィルター処理されました。 この設定の推奨値は "Success and Failure" です。 キーのパス: {0CCE9215-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Success and Failure に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4 |
= Success and Failure (監査) |
重大 |
| その他のログオン/ログオフ イベントの監査 (CCE-36322-6) |
説明: このサブカテゴリでは、ターミナル サービス セッションの接続や切断、RunAs を使用した別のアカウントでのプロセスの実行、ワークステーションのロックやロック解除など、他のログオン/ログオフ関連イベントを報告します。 このサブカテゴリには次のイベントが含まれます。— 4649: リプレイ攻撃が検出されました。 \- 4778: セッションが Window Station に再接続されました。 \- 4779: セッションが Window Station から切断されました。 \- 4800: ワークステーションがロックされました。 \- 4801: ワークステーションのロックが解除されました。 \- 4802: スクリーンセーバーが起動されました。 \- 4803: スクリーンセーバーが終了しました。 \- 5378: 要求された認証情報の委任がポリシーにより拒否されました。 \- 5632: ワイヤレス ネットワークに認証が要求されました。 \- 5633: 有線ネットワークに認証が要求されました。 この設定に関する最新の情報は、Microsoft のサポート技術情報の記事 "Description of security events in Windows Vista and in Windows Server 2008" (Windows Vista および Windows Server 2008 のセキュリティ イベントの説明) を参照してください: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 。 キーのパス: {0CCE921C-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Success and Failure に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Other Logon/Logoff Events コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.5.5 |
= Success and Failure (監査) |
重大 |
| 特殊なログオンの監査 (CCE-36266-5) |
説明: このサブカテゴリでは、特殊なログオンの実行を報告します。 特殊なログオンは、管理者と同等の特権を持つログオンであり、プロセスをより高いレベルに昇格するために使用することができます。 このサブカテゴリには次のイベントが含まれます: - 4964: 特別なグループが新しいログオンに割り当てられました。 この設定の推奨値は Success です。キーのパス: {0CCE921B-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Success を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Special Logon コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6 |
>= Success (監査) |
重大 |
システム監査ポリシー - オブジェクト アクセス
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 詳細なファイル共有の監査 (AZ-WIN-00100) |
説明: このサブカテゴリを使用すると、共有フォルダーにあるファイルとフォルダーへのアクセス試行を監査できます。 このサブカテゴリには次のイベントが含まれます: - 5145: クライアントに必要なアクセスを許可できるかどうかを確認するためにネットワーク共有オブジェクトがチェックされました。 この設定値には Failure を含めることをお勧めしますキーのパス: {0CCE9244-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Detailed File Share コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 17.6.1 CIS WS2019 17.6.1 |
>= Failure (監査) |
重大 |
| ファイル共有の監査 (AZ-WIN-00102) |
説明: このポリシー設定を使用すると、共有フォルダーへのアクセス試行を監査できます。 この設定の推奨値は Success and Failure です。 注: 共有フォルダーのシステム アクセス制御リスト (SACL) はありません。 このポリシー設定を有効にすると、システム上のすべての共有フォルダーへのアクセスが監査されます。キーのパス: {0CCE9224-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit File Share コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 17.6.2 CIS WS2019 17.6.2 |
= Success and Failure (監査) |
重大 |
| その他のオブジェクト アクセス イベントの監査 (AZ-WIN-00113) |
説明: このサブカテゴリでは、タスク スケジューラのジョブや COM+ オブジェクトなど、他のオブジェクト アクセス関連イベントを報告します。 このサブカテゴリには次のイベントが含まれます。— 4671: アプリケーションによって TBS を介してブロックされている序数へのアクセスが試みられました。 \- 4691: オブジェクトへの間接アクセスが要求されました。 \- 4698: スケジュール タスクが作成されました。 \- 4699: スケジュール タスクが削除されました。 \- 4700: スケジュール タスクが有効になりました。 \- 4701: スケジュール タスクが無効になりました。 \- 4702: スケジュール タスクが更新されました。 \- 5888: COM+ カタログのオブジェクトが変更されました。 \- 5889: COM+ カタログからオブジェクトが削除されました。 \- 5890: COM+ カタログにオブジェクトが追加されました。 この設定に関する最新の情報は、Microsoft のサポート技術情報の記事 "Description of security events in Windows Vista and in Windows Server 2008" (Windows Vista および Windows Server 2008 のセキュリティ イベントの説明) を参照してください: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 。 キーのパス: {0CCE9227-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Success and Failure に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Other Object Access Events コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.6.3 |
= Success and Failure (監査) |
重大 |
| リムーバブル記憶域の監査 (CCE-37617-8) |
説明: このポリシー設定を使用すると、リムーバブル ストレージ デバイス上のファイル システム オブジェクトへのアクセスを試みるユーザーの監査が許可されるようになります。 セキュリティ監査イベントは、すべてのオブジェクトに対してすべての種類のアクセスについて要求されたものに対してのみ生成されます。 このポリシー設定を構成すると、アカウントがリムーバブル記憶域のファイル システム オブジェクトにアクセスするたびに監査イベントが生成されます。 成功の監査は成功した試行を記録し、失敗の監査は失敗した試行を記録します。 このポリシー設定を行わない場合、リムーバブル ストレージ上のファイル システム オブジェクトにアカウントがアクセスしたとき監査イベントが発生しません。 この設定の推奨値は Success and Failure です。 注: グループ ポリシーにアクセスしてこの値を設定するには、Windows 8 および Windows Server 2012 (R2 ではない方) 以降の OS が必要です。キーのパス: {0CCE9245-69AE-11D9-BED3-505054503030} OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Success and Failure に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Removable Storage コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4 |
= Success and Failure (監査) |
重大 |
システム監査ポリシー - ポリシーの変更
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 認証ポリシーの変更の監査 (CCE-38327-3) |
説明: このサブカテゴリでは、認証ポリシーの変更を報告します。 このサブカテゴリには次のイベントが含まれます。— 4706: ドメインに対する新しい信頼が作成されました。 \- 4707: ドメインに対する信頼関係が削除されました。 \- 4713: Kerberos ポリシーが変更されました。 \- 4716: ドメインの信頼情報が変更されました。 \- 4717: システム セキュリティ アクセスがアカウントに付与されました。 \- 4718: システム セキュリティ アクセスがアカウントから削除されました。 \- 4739: ドメイン ポリシーが変更されました。 \- 4864: 名前空間の競合が検出されました。 \- 4865: フォレストの信頼情報のエントリが追加されました。 \- 4866: フォレストの信頼情報のエントリが削除されました。 \- 4867: フォレストの信頼情報のエントリが変更されました。 この設定に関する最新の情報は、Microsoft のサポート技術情報の記事 "Description of security events in Windows Vista and in Windows Server 2008" (Windows Vista および Windows Server 2008 のセキュリティ イベントの説明) を参照してください: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 。 キーのパス: {0CCE9230-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Success を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Authentication Policy Change コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.7.2 |
>= Success (監査) |
重大 |
| 承認ポリシーの変更の監査 (CCE-36320-0) |
説明: このサブカテゴリでは認証ポリシーの変更を報告します。 このサブカテゴリには次のイベントが含まれます: - 4704: ユーザー権限が割り当てられました。 - 4705: ユーザー権限が削除されました。 - 4706: ドメインに新しい信頼が作成されました。 - 4707: ドメインに対する信頼が削除されました。 - 4714: 暗号化データの回復ポリシーが変更されました。 この設定の推奨値は Success を含んでいることです。キーのパス: {0CCE9231-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Authorization Policy Change コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 17.7.3 CIS WS2019 17.7.3 |
>= Success (監査) |
重大 |
| MPSSVC ルールレベル ポリシーの変更の監査 (AZ-WIN-00111) |
説明: このサブカテゴリでは、Microsoft Protection Service (MPSSVC.exe) で使用するポリシー規則の変更を報告します。 このサービスは、Windows ファイアウォールおよび Microsoft OneCare で使用します。 このサブカテゴリには次のイベントが含まれます。— 4944: Windows ファイアウォールの起動時に次のポリシーがアクティブでした。 \- 4945: Windows Firewall の起動時に規則が一覧表示されました。 \- 4946: Windows ファイアウォールの例外リストに変更が加えられました。 規則が追加されました。 \- 4947: Windows ファイアウォールの例外リストに変更が加えられました。 規則が変更されました。 \- 4948: Windows ファイアウォールの例外リストに変更が加えられました。 規則が削除されました。 \- 4949: Windows ファイアウォールの設定が既定値に戻されました。 \- 4950: Windows ファイアウォールの設定が変更されました。 \- 4951: Windows ファイアウォールにメジャー バージョン番号が認識されなかったため、規則は無視されました。 \- 4952: Windows ファイアウォールにメジャー バージョン番号が認識されなかったため、規則の一部が無視されました。 規則のその他の部分は適用されます。 \- 4953: 規則を解析できなかったため、Windows ファイアウォールによって規則が無視されました。 \- 4954: Windows ファイアウォールのグループ ポリシー設定が変更されました。 新しい設定が適用されています。 \- 4956: Windows ファイアウォールによってアクティブなプロファイルが変更されました。 — 4957: Windows ファイアウォールによって次の規則が適用されませんでした。— 4958: 次の規則ではこのコンピューターで構成されていない項目が参照されているため、Windows ファイアウォールではこれらの規則が適用されませんでした。この設定に関する最新の情報は、Windows Vista および Windows Server 2008 のセキュリティ イベントの説明に関する Microsoft のサポート技術情報の記事を参照してくださいhttps://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd。 キーのパス: {0CCE9232-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Success and Failure に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit MPSSVC Rule-Level Policy Change コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.7.4 |
= Success and Failure (監査) |
重大 |
| その他のポリシー変更イベントの監査 (AZ-WIN-00114) |
説明: このサブカテゴリには、EFS Data Recovery Agent ポリシーの変更、Windows フィルタリング プラットフォーム フィルターの変更、ローカル グループ ポリシー設定のセキュリティ ポリシー設定更新の状態、集約型アクセス ポリシーの変更、Cryptographic Next Generation (CNG) 操作の詳細なトラブルシューティング イベントが含まれています。 - 5063: 暗号化プロバイダーの操作が試行されました。 - 5064: 暗号化コンテキストの操作が試行されました。 - 5065: 暗号化コンテキストの変更が試行されました。 - 5066: 暗号化関数の操作が試行されました。 - 5067: 暗号化関数の変更が試行されました。 - 5068: 暗号化関数のプロバイダーの操作が試行されました。 - 5069: 暗号化関数のプロパティの操作が試行されました。 - 5070: 暗号化関数のプロパティの変更が試行されました。 - 6145: グループ ポリシー オブジェクト内のセキュリティ ポリシーを処理中に 1 つ以上のエラーが発生しました。 この設定の推奨値は Failure を含んでいることです。キーのパス: {0CCE9234-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Other Policy Change Events コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 17.7.5 CIS WS2019 17.7.5 |
>= Failure (監査) |
重大 |
| 監査ポリシーの変更 (CCE-38028-7) |
説明: このサブカテゴリでは、SACL の変更などの監査ポリシーの変更を報告します。 このサブカテゴリには次のイベントが含まれます。— 4715: オブジェクトの監査ポリシー (SACLE) が変更されました。 \- 4719: システム監査ポリシーが変更されました。 \- 4902: ユーザー別の監査ポリシー テーブルが作成されました。 \- 4904: セキュリティ イベント ソースの登録が試みられました。 \- 4905: セキュリティ イベント ソースの登録解除が試みられました。 \- 4906: CrashOnAuditFail の値が変更されました。 \- 4907: オブジェクトの監査設定が変更されました。 \- 4908: 特別なグループのログオン テーブルが変更されました。 \- 4912: ユーザー別の監査ポリシーが変更されました。 この設定に関する最新の情報は、Microsoft のサポート技術情報の記事 "Description of security events in Windows Vista and in Windows Server 2008" (Windows Vista および Windows Server 2008 のセキュリティ イベントの説明) を参照してください: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 。 キーのパス: {0CCE922F-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Audit Policy Change コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.7.1 |
>= Success (監査) |
重大 |
システム監査ポリシー - 特権の使用
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 重要な特権の使用の監査 (CCE-36267-3) |
説明: このサブカテゴリでは、ユーザー アカウントまたはサービスによって、重要な特権が使用されたことを報告します。 重要な特権には次のユーザーの権利が含まれます: オペレーティング システムの一部として振る舞う、ファイルとディレクトリをバックアップする、トークン オブジェクトを作成する、プログラムをデバッグする、コンピューターとユーザー アカウントに委任時の信頼を付与する、セキュリティ監査を生成する、認証後にクライアントを偽装する、デバイス ドライバーをロードおよびアンロードする、監査ログとセキュリティ ログを管理する、ファームウェア環境値を変更する、プロセスレベル トークンを置き換える、ファイルとディレクトリを復元する、ファイルまたは他のオブジェクトの所有権を取得する。 このサブカテゴリを監査すると、大量のイベントが作成されます。 このサブカテゴリには次のイベントが含まれます。— 4672: 特別な特権が新しいログオンに割り当てられました。 \- 4673: 特権を持つサービスが呼び出されました。 \- 4674: 特権を持つオブジェクトで操作が試みられました。 この設定に関する最新の情報は、Microsoft のサポート技術情報の記事 "Description of security events in Windows Vista and in Windows Server 2008" (Windows Vista および Windows Server 2008 のセキュリティ イベントの説明) を参照してください: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 。 キーのパス: {0CCE9228-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Success and Failure に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Privilege Use\Audit Sensitive Privilege Use コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.8.1 |
= Success and Failure (監査) |
重大 |
システム監査ポリシー - システム
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| IPsec ドライバーの監査 (CCE-37853-9) |
説明: このサブカテゴリでは、インターネット プロトコル セキュリティ (IPsec) ドライバーのアクティビティを報告します。 このサブカテゴリには次のイベントが含まれます: - 4960: IPsec は、整合性チェックに失敗した受信パケットを破棄しました。 この問題が解決しない場合は、ネットワークの問題や、このコンピューターへの転送中にそのパケットが変更されていることを示している可能性があります。 リモート コンピューターから送信されたパケットとこのコンピューターが受信するパケットが同じであることを確認してください。 このエラーも、他の IPsec 実装との相互運用性の問題を示している可能性があります。 - 4961: IPsec は、リプレイ チェックに失敗した着信パケットを破棄しました。 この問題が解決しない場合、このコンピューターに対するリプレイ攻撃を示している可能性があります。 - 4962: IPsec は、リプレイ チェックに失敗した着信パケットを破棄しました。 着信パケットのシーケンス番号が小さすぎたため、リプレイでないことを確認できませんでした。 - 4963: IPsec は、セキュリティで保護されていたはずの着信クリア テキストを破棄しました。 これは通常、リモート コンピューターがこのコンピューターに通知せずに IPsec ポリシーを変更したためです。 スプーフィング攻撃の試みの可能性もあります。 - 4965: IPsec は、不適切なセキュリティ パラメーター インデックス (SPI) を持つパケットをリモート コンピューターから受信しました。 これは通常、正常に機能しないハードウェアによりパケットが破損しているために発生します。 これらのエラーが解決されない場合、リモート コンピューターから送信されたパケットとこのコンピューターが受信するパケットが同じであることを確認してください。 このエラーも、他の IPsec 実装との相互運用性の問題を示している可能性があります。 その場合、接続が妨害されているのでなければ、これらのイベントは無視できます。 - 5478: IPsec サービスが正常に開始されました。 - 5479: IPsec サービスが正常にシャットダウンされました。 IPsec サービスがシャットダウンされると、コンピューターでのネットワーク攻撃のリスクが高まったり、コンピューターが潜在的なセキュリティ上のリスクにさらされる可能性があります。 - 5480: IPsec サービスは、コンピューター上のネットワーク インターフェイスの完全なリストを取得できませんでした。 この結果、適用された IPsec フィルターによって提供される保護を一部のネットワーク インターフェイスが受けることができないため、潜在的なセキュリティ上のリスクが生じます。 IP セキュリティ モニター スナップインを使って問題を診断してください。 - 5483: IPsec サービスは、RPC サーバーを初期化できませんでした。 IPsec サービスを開始できませんでした。 - 5484: IPsec サービスで深刻な障害が発生したため、シャットダウンされました。 IPsec サービスがシャットダウンされると、コンピューターでのネットワーク攻撃のリスクが高まったり、コンピューターが潜在的なセキュリティ上のリスクにさらされる可能性があります。 - 5485: IPsec サービスは、ネットワーク インターフェイスのプラグ アンド プレイ イベントで一部の IPsec フィルターを処理できませんでした。 この結果、適用された IPsec フィルターによって提供される保護を一部のネットワーク インターフェイスが受けることができないため、潜在的なセキュリティ上のリスクが生じます。 IP セキュリティ モニター スナップインを使って問題を診断してください。 この設定の推奨値は Success and Failure です。キーのパス: {0CCE9213-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit IPsec Driver コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 17.9.1 CIS WS2019 17.9.1 |
>= Success and Failure (監査) |
重大 |
| その他のシステム イベントの監査 (CCE-38030-3) |
説明: このサブカテゴリでは他のシステム イベントを報告します。 このサブカテゴリには次のイベントが含まれます: - 5024: Windows ファイアウォール サービスが正常に開始されました。 - 5025: Windows ファイアウォール サービスが停止されました。 - 5027: Windows ファイアウォール サービスで、ローカル記憶域からセキュリティ ポリシーを取得できませんでした。 このサービスでは、現在のポリシーが引き続き適用されます。 - 5028: Windows ファイアウォール サービスで、新しいセキュリティ ポリシーを解析できませんでした。 このサービスでは、現在適用されているポリシーが引き続き使用されます。 - 5029: Windows ファイアウォール サービスで、ドライバーの初期化に失敗しました。 このサービスでは、現在のポリシーが引き続き適用されます。 - 5030: Windows ファイアウォール サービスを開始できませんでした。 - 5032: Windows ファイアウォールでは、ネットワーク上の着信接続のアプリケーションによる受け入れをブロックしたことをユーザーに通知できませんでした。 - 5033: Windows ファイアウォール ドライバーが正常に開始されました。 - 5034: Windows ファイアウォール ドライバーが停止されました。 - 5035: Windows ファイアウォール ドライバーを開始できませんでした。 - 5037: Windows ファイアウォール ドライバーで、重大なランタイム エラーが検出されました。 サービスを終了します。 - 5058: キー ファイル操作。 - 5059: キーの移行操作。 この設定の推奨値は Success and Failure です。キーのパス: {0CCE9214-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Other System Events コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 17.9.2 CIS WS2019 17.9.2 |
= Success and Failure (監査) |
重大 |
| セキュリティ状態の変更の監査 (CCE-38114-5) |
説明: このサブカテゴリでは、セキュリティ サブシステムの起動や停止など、システムのセキュリティの状態の変化を報告します。 このサブカテゴリには次のイベントが含まれます。— 4608: Windows を起動しています。 \- 4609: Windows をシャットダウンしています。 \- 4616: システム時刻が変更されました。 \- 4621: 管理者によって CrashOnAuditFail からシステムが回復されました。 管理者以外のユーザーはログインできるようになりました。 一部の監査可能アクティビティが記録されていない可能性があります。 この設定に関する最新の情報は、Microsoft のサポート技術情報の記事 "Description of security events in Windows Vista and in Windows Server 2008" (Windows Vista および Windows Server 2008 のセキュリティ イベントの説明) を参照してください: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 。 キーのパス: {0CCE9210-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Success を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security State Change コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.9.3 |
>= Success (監査) |
重大 |
| セキュリティ システムの拡張の監査 (CCE-36144-4) |
説明: このサブカテゴリでは、認証パッケージなどの拡張コードをセキュリティ サブシステムがロードしたこと報告します。 このサブカテゴリには次のイベントが含まれます。— 4610: 認証パッケージがローカル セキュリティ機関によって読み込まれました。 \- 4611: 信頼されたログオン プロセスがローカル セキュリティ機関に登録されました。 \- 4614: 通知パッケージがセキュリティ アカウント マネージャーにロードされました。 \- 4622: セキュリティ パッケージがローカル セキュリティ機関にロードされました。 \- 4697: システムにサービスがインストールされました。 この設定に関する最新の情報は、Microsoft のサポート技術情報の記事 "Description of security events in Windows Vista and in Windows Server 2008" (Windows Vista および Windows Server 2008 のセキュリティ イベントの説明) を参照してください: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 。 キーのパス: {0CCE9211-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Success を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Security System Extension コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.9.4 |
>= Success (監査) |
重大 |
| システムの整合性の監査 (CCE-37132-8) |
説明: このサブカテゴリでは、セキュリティ サブシステムの整合性違反を報告します。 このサブカテゴリには次のイベントが含まれます。— 4612: 監査メッセージのキューに割り当てた内部リソースを使い果たし、監査の一部を失いました。 \- 4615: LPC ポートの使用が無効です。 \- 4618: 監視しているセキュリティ イベント パターンが発生しました。 \- 4816: 受信メッセージの解読中に RPC によって整合性違反が検出されました。 \- 5038: コードの整合性により、ファイルの画像ハッシュが有効でないと判断されました。 このファイルは、無許可の変更によって破損しているか、無効なハッシュがディスク デバイス エラーの可能性を示している場合があります。 \- 5056: 暗号化自己テストが実行されました。 \- 5057: 暗号化の基本操作に失敗しました。 \- 5060: 検証操作に失敗しました。 \- 5061: 暗号化操作。 \- 5062: カーネルモードで暗号化自己テストが実行されました。 この設定に関する最新の情報は、Microsoft のサポート技術情報の記事 "Description of security events in Windows Vista and in Windows Server 2008" (Windows Vista および Windows Server 2008 のセキュリティ イベントの説明) を参照してください: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 。 キーのパス: {0CCE9212-69AE-11D9-BED3-505054503030} OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを 'Success and Failure' に設定します: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit System Integrity コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 17.9.5 |
= Success and Failure (監査) |
重大 |
ユーザー権利の割り当て
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 資格情報マネージャーに信頼された呼び出し側としてアクセス (CCE-37056-9) |
説明: このセキュリティ設定は、バックアップ中および復元中に資格情報マネージャーで使用されます。 このユーザー権利は Winlogon にのみ割り当てられ、アカウントが保持するべきものではありません。 このユーザー権利を他のエンティティに割り当てた場合、保存されたユーザーの認証情報が漏洩するおそれがあります。 この設定の推奨値は No One です。キーのパス: [Privilege Rights]SeTrustedCredManAccessPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを No One に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Access Credential Manager as a trusted caller コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1 |
= No One (ポリシー) |
警告 |
| ネットワークからこのコンピューターにアクセスする (CCE-35818-4) |
説明: このポリシー設定では、ネットワーク上の他のユーザーがコンピューターに接続することを許可します。Server Message Block (SMB) を使用するプロトコル、NetBIOS、Common Intternet File System (CIFS)、Component Object Model Plus (COM+) などのさまざまなネットワーク プロトコルには、このポリシー設定が必要です。 - レベル 1 - ドメイン コントローラー。この設定の推奨値は "Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS" です。 - レベル 1 - メンバー サーバー。この設定の推奨値は "Administrators、Authenticated Users" です。 キーのパス: [Privilege Rights]SeNetworkLogonRight OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを構成します: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Access this computer from the network コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3 |
<= Administrators, Authenticated Users (ポリシー) |
重大 |
| オペレーティング システムの一部として機能 (CCE-36876-1) |
説明: このポリシー設定では、任意のユーザーの ID を偽装し、そのユーザーがアクセスを認可されているリソースへのアクセスを取得する操作を許可します。 この設定の推奨値は No One です。キーのパス: [Privilege Rights]SeTcbPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを No One に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Act as part of the operating system コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4 |
= No One (ポリシー) |
重大 |
| ローカル ログオンを許可 (CCE-37659-0) |
説明: このポリシー設定では、環境中のコンピューターに対話的にログオンできるユーザーを規定します。 クライアント コンピューターのキーボードで CTRL+ALT+DEL のキーの組み合わせを押してログオンを実行するには、このユーザー権利が必要です。 ターミナル サービスまたは IIS でのログオンを試みるユーザーにも、このユーザー権利が必要です。 Guest アカウントにはこのユーザー権利が既定で割り当てられています。 このアカウントは既定で無効になっていますが、Microsoft ではグループ ポリシーを使用してこの設定を有効にすることを推奨しています。 ただし、一般的に、このユーザー権利は Administrators と users グループに限定するべきです。 バックアップ実行者がこの機能を使用する必要がある組織は、Backup Operators グループにこのユーザー権利を割り当ててください。 SCM でユーザー権利を構成する際は、コンマで区切られたアカウントの一覧を入力します。 アカウントは、ローカルにすることも Active Directory 内に配置することもできます。また、グループ、ユーザー、またはコンピューターにすることもできます。 キーのパス: [Privilege Rights]SeInteractiveLogonRight OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを構成します: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.2.7 |
= Administrators (ポリシー) |
重大 |
| リモート デスクトップ サービスを使ったログオンを許可 (CCE-37072-6) |
説明: このポリシー設定では、ターミナル サービス クライアントとしてログオンする権利を持つユーザーまたはグループを規定します。 リモート デスクトップのユーザーにはこのユーザー権利が必要です。 ヘルプ デスクの活動の一環として組織でリモート アシスタンスを使用する場合、グループを 1 つ作成し、このユーザー権利をグループ ポリシーでそのグループに割り当ててください。 組織のヘルプ デスクがリモート アシスタンスを使用しない場合、このユーザー権利を Administrators グループだけに割り当てるか、制限付きグループの機能を使用して、どのユーザーも Remote Desktop Users グループに所属しないようにしてください。 このユーザー権利を Administrators グループと、場合によってはそれに加えて Remote Desktop Users グループに限定し、想定外のユーザーがリモート アシスタンスを利用してネットワークのコンピューターにアクセスすることを防止してください。 - レベル 1 - ドメイン コントローラー。この設定の推奨値は "Administrators" です。 - レベル 1 - メンバー サーバー。この設定の推奨値は "Administrators、Remote Desktop Users" です。 注: メンバー サーバーにリモート デスクトップ サービス ロールとリモート デスクトップ コネクション ブローカー ロールを付与すると、この推奨事項に対する特別な例外として、Authenticated Users グループにこのユーザー権利を与えることが必要になります。 注 2: 上のリストは許可リストであると考えてください。つまり、この推奨事項の遵守状況を評価する上で上述の原則を適用する必要はありません。 キーのパス: [Privilege Rights]SeRemoteInteractiveLogonRight OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを構成します: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on through Remote Desktop Services コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9 |
<= Administrators, Remote Desktop Users (ポリシー) |
重大 |
| ファイルとディレクトリのバックアップ (CCE-35912-5) |
説明: このポリシー設定を使用すると、ユーザーはファイルおよびディレクトリの権限を回避してシステムをバックアップできるようになります。 このユーザー権利は、アプリケーション (NTBACKUP など) が、NTFS ファイル システム バックアップ アプリケーション プログラミング インターフェイス (API) によって、ファイルまたはディレクトリへのアクセスを試みるときにのみ有効になります。 それ以外の場合は、ファイルおよびディレクトリに割り当てられているアクセス権が適用されます。 この設定の推奨値は Administrators です。キーのパス: [Privilege Rights]SeBackupPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators に設定します。Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Back up files and directories コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10 |
<= Administrators, Backup Operators, Server Operators (ポリシー) |
重大 |
| 走査チェックのバイパス (AZ-WIN-00184) |
説明: このポリシー設定を使用すると、フォルダーのスキャン アクセス権を持たないユーザーが、NTFS ファイル システムまたはレジストリでオブジェクトのパスを参照するときにフォルダー全体を見ることができるようになります。 このユーザー権利では、ユーザーがフォルダーの内容を一覧表示することはできません。 SCM でユーザー権利を構成する際は、コンマで区切られたアカウントの一覧を入力します。 アカウントは、ローカルにすることも Active Directory 内に配置することもできます。また、グループ、ユーザー、またはコンピューターにすることもできます。 キーのパス: [Privilege Rights]SeChangeNotifyPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: 次のアカウントまたはグループのみを含めるように Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Bypass traverse checking のポリシー値を構成します: Administrators, Authenticated Users, Backup Operators, Local Service, Network Serviceコンプライアンス標準マッピング: |
<= Administrators, Authenticated Users, Backup Operators, Local Service, Network Service (ポリシー) |
重大 |
| システム時刻の変更 (CCE-37452-0) |
説明: このポリシー設定では、環境中のコンピューターの内部クロックの時刻と日付を変更できるユーザーとグループを規定します。 このユーザー権利が割り当てられているユーザーは、イベント ログの表示を変えることができます。 コンピューターの時刻設定を変更すると、ログ上のイベントには、イベントが発生した実際の時刻ではなく、新しく設定された時刻が反映されます。 SCM でユーザー権利を構成する際は、コンマで区切られたアカウントの一覧を入力します。 アカウントは、ローカルにすることも Active Directory 内に配置することもできます。また、グループ、ユーザー、またはコンピューターにすることもできます。 注: ローカル コンピューターと環境中のドメイン コントローラーの時刻のずれは Kerberos 認証プロトコルに対する問題を引き起こす場合があり、ユーザーがドメインにログオンしたり、ログオン後にドメインのリソースにアクセスする認可を得たりできなくなるおそれがあります。 また、システム時刻がドメイン コントローラーと同期していない場合、グループ ポリシーをクライアント コンピューターに適用する際に問題が発生します。 この設定の推奨値は Administrators, LOCAL SERVICE です。キーのパス: [Privilege Rights]SeSystemtimePrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators, LOCAL SERVICE に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Change the system time コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.2.11 CIS WS2022 2.2.11 |
<= Administrators, Server Operators, LOCAL SERVICE (ポリシー) |
重大 |
| タイム ゾーンの変更 (CCE-37700-2) |
説明: この設定では、コンピューターのタイム ゾーンを変更できるユーザーを規定します。 この機能はコンピューターを大きな危険にさらすものではなく、モバイル ワーカーの役に立つ場合があります。 この設定の推奨値は Administrators, LOCAL SERVICE です。キーのパス: [Privilege Rights]SeTimeZonePrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators, LOCAL SERVICE に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Change the time zone コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.2.12 CIS WS2022 2.2.12 |
<= Administrators, LOCAL SERVICE (ポリシー) |
重大 |
| ページ ファイルの作成 (CCE-35821-8) |
説明: このポリシー設定を使用すると、ユーザーがページファイルのサイズを変更できるようになります。 ページファイルを極端に大きくしたり小さくしたりすると、攻撃者は簡単に、攻撃したコンピューターのパフォーマンスに影響を与えられます。 この設定の推奨値は Administrators です。キーのパス: [Privilege Rights]SeCreatePagefilePrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create a pagefile コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13 |
= Administrators (ポリシー) |
重大 |
| トークン オブジェクトの作成 (CCE-36861-3) |
説明: このポリシー設定では、プロセスによるアクセス トークンの作成を許可します。これにより、機密データにアクセスできる高度な権限を獲得できる場合があります。 この設定の推奨値は No One です。キーのパス: [Privilege Rights]SeCreateTokenPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを No One に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create a token object コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14 |
= No One (ポリシー) |
警告 |
| グローバル オブジェクトの作成 (CCE-37453-8) |
説明: このポリシー設定では、すべてのセッションで使用できるグローバル オブジェクトをユーザーが作成できるかどうかを規定します。 ユーザーがこのユーザー権利を持っていなくても、ユーザー独自のセッションに固有のオブジェクトは作成できます。 グローバル オブジェクトを作成できるユーザーは、他のユーザーのセッションで実行しているプロセスに影響を与えることができます。 この権限は、アプリケーションのエラーやデータの破損などさまざまな問題を引き起こすおそれがあります。 この設定の推奨値は Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE です。 注: メンバー サーバーに Microsoft SQL Server とそのオプション機能である「Integration Services」コンポーネントをインストールすると、この推奨事項に対する特別な例外として、SQL が作成する追加のエントリーにこのユーザー権利を付与することが必要になります。キーのパス: [Privilege Rights]SeCreateGlobalPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create global objects コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15 |
<= Administrators, SERVICE, LOCAL SERVICE, NETWORK SERVICE (ポリシー) |
警告 |
| 永続的共有オブジェクトの作成 (CCE-36532-0) |
説明: このユーザー権利は、オブジェクトの名前空間を拡張するカーネルモード コンポーネントに役立ちます。 ただし、カーネルモードで実行されるコンポーネントには元々このユーザー権利が備わっています。 したがって、通常このユーザー権利を割り当てる必要はありません。 この設定の推奨値は No One です。キーのパス: [Privilege Rights]SeCreatePermanentPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを No One に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create permanent shared objects コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16 |
= No One (ポリシー) |
警告 |
| シンボリック リンクの作成 (CCE-35823-4) |
説明: このポリシー設定では、シンボリック リンクを作成できるユーザーを規定します。 Windows Vista では、シンボリック リンクと呼ばれる新しい種類のファイル システム オブジェクトを参照することにより、ファイルやフォルダーなどの既存の NTFS ファイル システム オブジェクトにアクセスできます。 シンボリック リンクとは、別のファイル システム オブジェクト (ファイルやフォルダー、ショートカット、別のシンボリック リンクなど) へのポインターです (ショートカットや .lnk ファイルによく似ています)。 ショートカットとシンボリック リンクとの違いとして、ショートカットは Windows シェルの中からのみ動作するという点が挙げられます。 他のプログラムやアプリケーションに対しては、ショートカットは単に別のファイルとして動作します。これに対してシンボリック リンクを使用すると、ショートカットの概念は NTFS ファイル システムの機能として実装されます。 シンボリック リンクによって、それを使用するように設計されていないアプリケーションがセキュリティの脆弱性にさらされる可能性があります。 そのため、シンボリック リンクを作成する権限は信頼できるユーザーにのみ割り当てる必要があります。 既定では、管理者だけがシンボリック リンクを作成できます。 - レベル 1 - ドメイン コントローラー。この設定の推奨値は "Administrators" です。 - レベル 1 - メンバー サーバーこの設定の推奨値は、"Administrators" と "NT VIRTUAL MACHINE\Virtual Machines" (Hyper-V ロールがインストールされている場合) です。 キーのパス: [Privilege Rights]SeCreateSymbolicLinkPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: 推奨される構成の状態を実装するには、次の UI パスを構成します: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create symbolic links コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18 |
<= Administrators, NT VIRTUAL MACHINE\Virtual Machines (ポリシー) |
重大 |
| プログラムのデバッグ (AZ-WIN-73755) |
説明: このポリシー設定により、デバッガーを任意のプロセスまたはカーネルにアタッチする権限を持つユーザー アカウントが決まります。これにより、機密性の高い重要なオペレーティング システム コンポーネントへの完全なアクセスが提供されます。 独自のアプリケーションをデバッグしている開発者には、このユーザー権限を割り当てる必要はありません。しかし、新しいシステム コンポーネントをデバッグしている開発者には必要です。 この設定の推奨値は Administrators です。 注: このユーザー権限は、監査の目的で "重要な特権" と見なされます。キーのパス: [Privilege Rights]SeDebugPrivilege OS: WS2016, WS2019 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Debug programs コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.2.19 CIS WS2019 2.2.19 |
= Administrators (ポリシー) |
重大 |
| ネットワークからこのコンピューターへのアクセスを拒否 (CCE-37954-5) |
説明: このポリシー設定では、ユーザーによるデータへのリモートでのアクセスとデータの潜在的な変更を可能にする、ユーザーのネットワーク経由でのコンピューターへの接続を禁止します。 高セキュリティ環境では、リモート ユーザーによるコンピューター上のデータへのアクセスは不要であるべきです。 代わりに、ネットワーク サーバーを利用してファイル共有を行う必要があります。 - レベル 1 - ドメイン コントローラー。この設定の推奨値は、"Guests、Local account" を含んでいることです。 - レベル 1 - メンバー サーバー。この設定の推奨値は、"Guests、Local account と Administrators グループのメンバー" を含んでいることです。 注意: 前述のようにスタンドアロンの (ドメイン参加済みではない) サーバーを構成すると、サーバーをリモートで管理できなくなる可能性があります。 注: 前述のようにメンバー サーバーまたはスタンドアロン サーバーを構成すると、ローカル サービス アカウントを作成して Administrators グループに配置するアプリケーションに悪影響を及ぼす可能性があります。この場合、ドメインがホストされたサービス アカウントを使用するようにアプリケーションを変換するか、ユーザー権利の割り当てから Local アカウントと Administrators グループのメンバーを削除するかのいずれかが必要になります。 可能な場合は、このルールに例外を設けるよりも、ドメインがホストされたサービス アカウントを使用することを強くお勧めします。 キーのパス: [Privilege Rights]SeDenyNetworkLogonRight OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを構成します: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny access to this computer from the network コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21 |
>= Guests (ポリシー) |
重大 |
| バッチ ジョブとしてのログオン権限を拒否する (CCE-36923-1) |
説明: このポリシー設定では、バッチ ジョブとしてコンピューターにログオンできないアカウントを規定します。 バッチ ジョブとはバッチ (.bat) ファイルではなく、バッチキュー機能です。 ジョブのスケジュールにタスク スケジューラを使用するアカウントには、このユーザー権利が必要です。 バッチ ジョブとしてのログオンを拒否ユーザー権利は、バッチ ジョブとしてログオン ユーザー権利を上書きします。これは、アカウントが過剰なシステム リソースを消費するジョブをスケジュールできるようにするために使用される場合があります。 このような状況が発生すると、DoS 状態が発生する可能性があります。 このユーザー権利を推奨アカウントに割り当てない場合、セキュリティ上のリスクが生じる可能性があります。 この設定の推奨値は Guests を含んでいることです。キーのパス: [Privilege Rights]SeDenyBatchLogonRight OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Guests を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22 |
>= Guests (ポリシー) |
重大 |
| サービスとしてのログオン権限を拒否する (CCE-36877-9) |
説明: このセキュリティ設定では、プロセスをサービスとして登録できないサービス アカウントを規定します。 このポリシー設定と、サービスとしてログオン ポリシー設定の両方が適用されているアカウントの場合、このポリシー設定が優先されます。 この設定の推奨値は Guests を含んでいることです。 注: このセキュリティ設定は、System、Local Service、Network Service の各アカウントには適用されません。キーのパス: [Privilege Rights]SeDenyServiceLogonRight OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Guests を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23 |
>= Guests (ポリシー) |
重大 |
| ローカルでのログオンを拒否する (CCE-37146-8) |
説明: このセキュリティ設定では、コンピューターでログオンが禁止されているユーザーを規定します。 このポリシー設定と、ローカル ログオンを許可ポリシー設定の両方が適用されているアカウントの場合、このポリシー設定が優先されます。 重要: このセキュリティ ポリシーを Everyone グループに適用すると、どのユーザーもローカルでログオンできなくなります。 この設定の推奨値は Guests を含んでいることです。キーのパス: [Privilege Rights]SeDenyInteractiveLogonRight OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、 Guests を含めるように次の UI パスを設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on locally コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24 |
>= Guests (ポリシー) |
重大 |
| リモート デスクトップ サービスを使ったログオンを拒否 (CCE-36867-0) |
説明: このポリシー設定では、ユーザーがターミナル サービス クライアントとしてログオンできるかどうかを規定します。 ベースライン メンバー サーバーがドメイン環境に参加した後は、ローカル アカウントを使用してネットワークからサーバーにアクセスする必要はありません。 ドメイン アカウントが、管理とエンドユーザーの処理のためにサーバーにアクセスできます。 この設定の推奨値は Guests, Local account を含んでいることです。 注意: 前述のようにスタンドアロンの (ドメイン参加済みではない) サーバーを構成すると、サーバーをリモートで管理できなくなる可能性があります。キーのパス: [Privilege Rights]SeDenyRemoteInteractiveLogonRight OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを構成します: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on through Remote Desktop Services コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.2.26 |
>= Guests (ポリシー) |
重大 |
| コンピューターとユーザー アカウントに委任時の信頼を付与 (CCE-36860-5) |
説明: このポリシー設定を使用すると、ユーザーは Active Directory のコンピューター オブジェクト上で Trusted for Delegation 設定を変更できます。 この権限を乱用すると、承認されていないユーザーがネットワーク上で他のユーザーに偽装できるようになってしまうおそれがあります。 - レベル 1 - ドメイン コントローラー。この設定の推奨値は "Administrators" です。 - レベル 1 - メンバー サーバー。この設定の推奨値は "No One" です。 キーのパス: [Privilege Rights]SeEnableDelegationPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを構成します: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Enable computer and user accounts to be trusted for delegation コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28 |
= No One (ポリシー) |
重大 |
| リモート コンピューターからの強制シャットダウン (CCE-37877-8) |
説明: このポリシー設定を使用すると、ユーザーはネットワーク上のリモートの場所から Windows Vista ベースのコンピューターをシャットダウンできます。 このユーザー権利が割り当てられているユーザーは、サービス拒否 (DoS) 状態を引き起こすことができます。その場合、コンピューターがユーザーからの要求を処理できなくなります。 そのため、特に信頼できる管理者にのみ、このユーザー権利を割り当てることをお勧めします。 この設定の推奨値は Administrators です。キーのパス: [Privilege Rights]SeRemoteShutdownPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Force shutdown from a remote system コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29 |
= Administrators (ポリシー) |
重大 |
| セキュリティ監査の生成 (CCE-37639-2) |
説明: このポリシー設定では、セキュリティ ログで監査レコードを生成できるユーザーまたはプロセスを規定します。 この設定の推奨値は LOCAL SERVICE, NETWORK SERVICE です。 注:Web サーバーの役割サービスとともに Web サーバー (IIS) の役割を持つメンバー サーバーには、この推奨事項に対する特別な例外として、IIS アプリケーション プールに対するこのユーザー権利の付与を許可する必要があります。 注 2:Active Directory フェデレーション サービス (AD FS) の役割を保持するメンバー サーバーには、この推奨事項に対する特別な例外として、NT SERVICE\ADFSSrv と NT SERVICE\DRS サービス、および関連する Active Directory フェデレーション サービス (AD FS) のサービス アカウントに対するこのユーザー権利の付与を許可する必要があります。キーのパス: [Privilege Rights]SeAuditPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを LOCAL SERVICE, NETWORK SERVICE に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Generate security audits コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30 |
<= Local Service, Network Service, IIS APPPOOL\DefaultAppPool (ポリシー) |
重大 |
| プロセス ワーキング セットの増加 (AZ-WIN-00185) |
説明: この権限は、プロセスのワーキング セットのサイズを増減できるユーザー アカウントを規定します。 プロセスのワーキング セットとは、プロセスが物理 RAM メモリ内で現在参照できるメモリ ページのセットです。 これらのページは常駐しており、ページ フォールトをトリガーすることなくアプリケーションから使用できます。 ワーキング セットの最小サイズと最大サイズは、プロセスの仮想メモリのページング動作に影響します。 SCM でユーザー権利を構成する際は、コンマで区切られたアカウントの一覧を入力します。 アカウントは、ローカルにすることも Active Directory 内に配置することもできます。また、グループ、ユーザー、またはコンピューターにすることもできます。 キーのパス: [Privilege Rights]SeIncreaseWorkingSetPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Increase a process working set コンプライアンス標準マッピング: |
<= Administrators, Local Service (ポリシー) |
警告 |
| スケジューリング優先順位の繰り上げ (CCE-38326-5) |
説明: このポリシー設定では、ユーザーがプロセスの基本優先度クラスを上げることができるかどうかを決定します。 (優先度クラス内での相対的な優先度の繰り上げは、特権操作ではありません。)このユーザー権利は、オペレーティング システムに付属の管理ツールでは必要ありませんが、ソフトウェア開発ツールで必要になる場合があります。 この設定の推奨値は Administrators です。キーのパス: [Privilege Rights]SeIncreaseBasePriorityPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators, Window Manager\Window Manager Group に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Increase scheduling priority コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33 |
= Administrators (ポリシー) |
警告 |
| デバイス ドライバーのロードとアンロード (CCE-36318-4) |
説明: このポリシー設定を使用すると、ユーザーはシステムに新しいデバイス ドライバーを動的に読み込むことができます。 攻撃者はこの機能を使用して、デバイス ドライバーとして表示される悪意のあるコードをインストールできる可能性があります。 このユーザー権利は、ユーザーが Windows Vista でローカルのプリンターまたはプリンター ドライバーを追加するために必要です。 この設定の推奨値は Administrators です。キーのパス: [Privilege Rights]SeLoadDriverPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Load and unload device drivers コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34 |
<= Administrators, Print Operators (ポリシー) |
警告 |
| メモリ内のページのロック (CCE-36495-0) |
説明: このポリシー設定を使用すると、プロセスによって物理メモリにデータを保持し、システムによるディスク上の仮想メモリへのデータのページングが防止されるようになります。 このユーザー権利が割り当てられている場合、システムのパフォーマンスが大幅に低下する可能性があります。 この設定の推奨値は No One です。キーのパス: [Privilege Rights]SeLockMemoryPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを No One に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Lock pages in memory コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35 |
= No One (ポリシー) |
警告 |
| 監査ログとセキュリティ ログの管理 (CCE-35906-7) |
説明: このポリシー設定では、ファイルとディレクトリの監査オプションを変更したり、セキュリティ ログをクリアしたりできるユーザーを規定します。 Microsoft Exchange Server が動作している環境では、正しい動作のために、この権限がドメイン コントローラー上で 'Exchange Servers' グループに対して付与されている必要があります。 この点を考慮すると、'Exchange Servers' グループにこの権限を付与する DC は、このベンチマークに準拠しています。 環境内で Microsoft Exchange Server が使用されていない場合、この権限は DC 上で "Administrators" のみに制限される必要があります。 - レベル 1 - ドメイン コントローラー。この設定の推奨値は "Administrators" と "Exchange Servers" (環境内で Exchange が動作している場合) です。 - レベル 1 - メンバー サーバー。この設定の推奨値は "Administrators" です キーのパス: [Privilege Rights]SeSecurityPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを構成します: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Manage auditing and security log コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38 |
= Administrators (ポリシー) |
重大 |
| オブジェクト ラベルの変更 (CCE-36054-5) |
説明: この特権は、ファイル、レジストリ キー、または他のユーザーが所有するプロセスなどのオブジェクトの整合性ラベルを変更できるユーザー アカウントを規定します。 あるユーザー アカウントで実行されているプロセスが、そのユーザーにより所有されるオブジェクトのラベルをより下位のレベルに修正する場合、この特権は必要ありません。 この設定の推奨値は No One です。キーのパス: [Privilege Rights]SeRelabelPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを No One に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Modify an object label コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.2.39 CIS WS2022 2.2.39 |
= No One (ポリシー) |
警告 |
| ファームウェア環境値の修正 (CCE-38113-7) |
説明: このポリシー設定を使用すると、ユーザーはハードウェア構成に影響を与えるシステム全体の環境変数を構成できます。 この情報は通常、前回正常起動時の構成に保存されます。 これらの値を変更すると、ハードウェア障害が発生し、サービス拒否状態が発生する可能性があります。 この設定の推奨値は Administrators です。キーのパス: [Privilege Rights]SeSystemEnvironmentPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Modify firmware environment values コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40 |
= Administrators (ポリシー) |
警告 |
| ボリュームの保守タスクを実行 (CCE-36143-6) |
説明: このポリシー設定を使用すると、ユーザーはシステムのボリュームまたはディスクの構成を管理できるようになり、結果としてユーザーがボリュームを削除してデータの損失を引き起こしたり、サービス拒否状態を引き起こしたりするのを許す可能性があります。 この設定の推奨値は Administrators です。キーのパス: [Privilege Rights]SeManageVolumePrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Perform volume maintenance tasks コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41 |
= Administrators (ポリシー) |
警告 |
| 単一プロセスのプロファイル (CCE-37131-0) |
説明: このポリシー設定では、システム以外のプロセスのパフォーマンスを監視するためのツールを使用できるユーザーを規定します。 通常、Microsoft 管理コンソール (MMC) のパフォーマンス スナップインを使用するために、このユーザー権利を構成する必要はありません。 ただし、システム モニターが Windows Management Instrumentation (WMI) を使用してデータを収集するように構成されている場合には、このユーザー権利が必要です。 単一プロセスをプロファイルするユーザー権利を制限すると、侵入者がシステムへの攻撃を仕掛けるために使用できる追加情報を取得できなくなります。 この設定の推奨値は Administrators です。キーのパス: [Privilege Rights]SeProfileSingleProcessPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Profile single process コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42 |
= Administrators (ポリシー) |
警告 |
| システム パフォーマンスのプロファイル (CCE-36052-9) |
説明: このポリシー設定を使用すると、ユーザーはさまざまなシステム プロセスのパフォーマンスを表示するためのツールを利用できるようになり、結果として攻撃者がシステムのアクティブなプロセスを特定し、コンピューターの潜在的な攻撃面に関する分析情報を得るために悪用される可能性があります。 この設定の推奨値は Administrators, NT SERVICE\WdiServiceHost です。キーのパス: [Privilege Rights]SeSystemProfilePrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators, NT SERVICE\WdiServiceHost に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Profile system performance コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.2.43 CIS WS2022 2.2.43 |
<= Administrators, NT SERVICE\WdiServiceHost (ポリシー) |
警告 |
| プロセス レベル トークンの置き換え (CCE-37430-6) |
説明: このポリシー設定を使用すると、あるプロセスまたはサービスから、別のサービスまたはプロセスを異なるセキュリティ アクセス トークンで開始できるようになります。この機能を使用して、開始するサブプロセスのセキュリティ アクセス トークンを変更することで、権限を昇格させることができます。 この設定の推奨値は LOCAL SERVICE, NETWORK SERVICE です。 注:Web サーバーの役割サービスとともに Web サーバー (IIS) の役割を持つメンバー サーバーには、この推奨事項に対する特別な例外として、IIS アプリケーション プールに対するこのユーザー権利の付与を許可する必要があります。 注 2: Microsoft SQL Server がインストールされているメンバー サーバーでは、この推奨事項に対する特別な例外として、このユーザー権利を追加の SQL 生成エントリに付与する必要があります。キーのパス: [Privilege Rights]SeAssignPrimaryTokenPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを LOCAL SERVICE, NETWORK SERVICE に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Replace a process level token コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.2.44 CIS WS2022 2.2.44 |
<= LOCAL SERVICE, NETWORK SERVICE (ポリシー) |
警告 |
| ファイルとディレクトリの復元 (CCE-37613-7) |
説明: このポリシー設定では、環境内で Windows Vista を実行しているコンピューター上でバックアップされたファイルとディレクトリを復元するときに、ファイル、ディレクトリ、レジストリ、およびその他の永続的なオブジェクトに対するアクセス許可をバイパスできるユーザーを規定します。 また、このユーザー権利は、有効なセキュリティ プリンシパルをオブジェクトの所有者として設定できるユーザーも規定します。これは、ファイルとディレクトリのバックアップのユーザー権利に似ています。 この設定の推奨値は Administrators です。キーのパス: [Privilege Rights]SeRestorePrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Restore files and directories コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.2.45 |
<= Administrators, Backup Operators (ポリシー) |
警告 |
| システムのシャットダウン (CCE-38328-1) |
説明: このポリシー設定では、環境内のコンピューターにローカルでログオンしているユーザーのうち、[シャットダウン] コマンドを使用してオペレーティング システムをシャットダウンできるユーザーを規定します。 このユーザー権利を誤用すると、サービス拒否状態が発生する可能性があります。 この設定の推奨値は Administrators です。キーのパス: [Privilege Rights]SeShutdownPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Shut down the system コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 2.2.46 CIS WS2022 2.2.46 |
<= Administrators, Backup Operators (ポリシー) |
警告 |
| ファイルとその他のオブジェクトの所有権の取得 (CCE-38325-7) |
説明: このポリシー設定を使用すると、ユーザーはファイル、フォルダー、レジストリ キー、プロセス、またはスレッドの所有権を取得できます。 このユーザー権利は、オブジェクトを保護するために設定されているすべてのアクセス許可をバイパスして、指定されたユーザーに所有権を与えます。 この設定の推奨値は Administrators です。キーのパス: [Privilege Rights]SeTakeOwnershipPrivilege OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Administrators に設定します:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Take ownership of files or other objects コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48 |
= Administrators (ポリシー) |
重大 |
| 認証後にクライアントを借用するユーザー権限は、管理者、サービス、ローカル サービス、ネットワーク サービスにのみ割り当てる必要があります。 (AZ-WIN-73785) |
説明: ポリシー設定を使用すると、ユーザーの代わりに実行されるプログラムは、そのユーザー (または別の指定されたアカウント) を偽装して、ユーザーの代わりに動作することができます。 この種の偽装にこのユーザー権利が必要な場合、承認されていないユーザーは、たとえば、リモート プロシージャ コール (RPC) や、(承認されていないユーザーの権限を管理またはシステム レベルに昇格させる可能性がある) クライアントを偽装するために作成したサービスへの名前付きパイプを使用して、そのクライアントを接続させることはできません。 サービス コントロール マネージャーによって開始されるサービスによって、組み込みサービス グループがそのアクセス トークンに既定で追加されます。 COM インフラストラクチャによって開始され、特定のアカウントで実行するように構成された COM サーバーによっても、そのアクセス トークンにサービス グループが追加されます。 この結果、これらのプロセスには起動時にこのユーザー権利が割り当てられます。 また、次のいずれかの条件が存在する場合、ユーザーはアクセス トークンを偽装できます: - 偽装されるアクセス トークンがこのユーザー用である。 - このログオン セッションで、明示的な資格情報を使用してネットワークにログオンすることにより、ユーザーがアクセス トークンを作成した。 - 要求されるレベルが [偽装する] よりも下である ([匿名] または [識別] など)。 [認証後にクライアントを偽装] のユーザー権利を持つ攻撃者は、サービスを作成し、クライアントを欺いてそのサービスに接続させ、そのクライアントを偽装して、攻撃者のアクセス レベルをそのクライアントのレベルに昇格させる可能性があります。 この設定の推奨値は Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE です。 注: このユーザー権限は、監査の目的で "重要な特権" と見なされます。 注 #2: メンバー サーバーに Microsoft SQL Server ''と'' そのオプション機能である "Integration Services" コンポーネントをインストールすると、この推奨事項に対する特別な例外として、SQL で生成される追加のエントリーにこのユーザー権利を付与することが必要になります。キーのパス: [Privilege Rights]SeImpersonatePrivilege OS: WS2016, WS2019 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Impersonate a client after authentication コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.2.31 CIS WS2019 2.2.31 |
<= Administrators,Service,Local Service,Network Service (ポリシー) |
重要 |
Windows コンポーネント
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| 基本認証を許可する (CCE-36254-1) |
説明: このポリシー設定を使用すると、Windows リモート管理 (WinRM) サービスでリモート クライアントからの基本認証を受け付けるかどうかを管理できます。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Allow Basic authentication 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート WindowsRemoteManagement.admx/adml によって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1 |
存在しないか、= 0 (レジストリ) |
重大 |
| 診断データを許可する (AZ-WIN-00169) |
説明: このポリシー設定では、Microsoft に報告される診断データと使用状況データの量を規定します。 値が 0 の場合、最小限のデータが Microsoft に送信されます。 このデータには、悪意のあるソフトウェア削除ツール (MSRT) および Windows Defender データ (有効になっている場合)、そして利用統計情報のクライアント設定が含まれます。 値に 0 を設定すると、Enterprise、EDU、IoT、および Server を実行しているデバイスにのみ適用されます。 他のデバイスの値を 0 に設定しても、値に 1 を選択した場合と同じになります。 値を 1 に設定した場合、基本的な量の診断データと使用状況データだけが送信されます。 値を 0 または 1 に設定すると、デバイスの特定のエクスペリエンスが低下することに注意してください。 値を 2 にした場合は、送信される診断データと使用状況データが増加します。 値を 3 にした場合、値が 2 のときと同じデータに加えて、問題の原因となった可能性のあるファイルやコンテンツを含む、追加の診断データが送信されます。 Windows 10 の利用統計情報の設定は、Windows オペレーティング システムと一部のファースト パーティ アプリに適用されます。 この設定は、Windows 10 で実行されているサード パーティのアプリには適用されません。 この設定の推奨値は Enabled: 0 - Security [Enterprise Only] です。 注: [利用統計情報の許可] 設定が [0 - セキュリティ [Enterprise のみ]] に設定されている場合、アップグレードと更新を延期するための Windows Update のオプションは無効になります。キーのパス: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled: Diagnostic data off (not recommended) または Enabled: Send required diagnostic data に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Data Collection and Preview Builds\Allow Diagnostic Data 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 11 Release 21H2 以降の管理用テンプレートに含まれているグループ ポリシー テンプレート 'DataCollection.admx/adml' によって提供されます。 注 #2: 以前の Microsoft Windows 管理用テンプレートでは、この設定は当初 "テレメトリの許可" という名前でしたが、Windows 11 リリース 21H2 管理用テンプレートから "診断データを許可する" に名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1 |
>= 1 (レジストリ) |
警告 |
| 暗号化されたファイルのインデックス作成を許可する (CCE-38277-0) |
説明: このポリシー設定では、暗号化された項目のインデックス作成を許可するかどうかを制御します。 この設定を変更すると、インデックスは完全に再構築されます。 インデックスの場所にフルボリューム暗号化 (BitLocker ドライブ暗号化や Microsoft 製以外のソリューションなど) を使用して、暗号化されたファイルのセキュリティを維持する必要があります。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Search\Allow indexing of encrypted files 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート Search.admx/adml によって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3 |
存在しないか、= 0 (レジストリ) |
警告 |
| Microsoft アカウントの省略可能を許可する (CCE-38354-7) |
説明: このポリシー設定を使用すると、サインインにアカウントを必要とする Windows ストア アプリに対して、Microsoft アカウントを省略可能にするかどうかを制御できます。 このポリシーは、それがサポートされている Windows ストア アプリにのみ影響します。 このポリシー設定を有効にした場合、通常はサインインに Microsoft アカウントが必要な Windows ストア アプリではなく、エンタープライズ アカウントを使用してユーザーがサインインできるようになります。 このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーは Microsoft アカウントを使用してサインインする必要があります。 キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional OS: WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\App runtime\Allow Microsoft accounts to be optional 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.1 および Server 2012 R2 管理istrative テンプレート (またはそれ以降) に含まれているグループ ポリシー テンプレート 'AppXRuntime.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.6.1 |
= 1 (レジストリ) |
警告 |
| 暗号化されていないトラフィックを許可する (CCE-38223-4) |
説明: このポリシー設定を使用すると、Windows リモート管理 (WinRM) サービスで、暗号化されていないメッセージをネットワーク経由で送受信するかどうかを管理できます。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Allow unencrypted traffic 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート WindowsRemoteManagement.admx/adml によって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3 |
存在しないか、= 0 (レジストリ) |
重大 |
| ユーザーによるインストール制御を有効にする (CCE-36400-0) |
説明: ユーザーに対して、通常であればシステム管理者のみが使用できるインストール オプションを変更できるようにします。 Windows インストーラーのセキュリティ機能により、通常システム管理者のみに許可されているインストールのオプション (たとえば、ファイルのインストール先ディレクトリの指定) をユーザーが変更することはできません。 ユーザーによる保護されたオプションの変更がインストール パッケージで許可されていることを Windows インストーラーが検出した場合、インストールは停止され、メッセージが表示されます。 これらのセキュリティ機能は、ユーザーは拒否されるディレクトリにアクセスできる特権セキュリティ コンテキストでインストール プログラムが実行されている場合にのみ動作します。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Installer\Allow user control over installs 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート MSI.admx/adml によって提供されます。 注 2: 以前の Microsoft Windows 管理istrative Templates では、この設定は [インストールに対するユーザー制御を有効にする] という名前でしたが、Windows 8.0 および Server 2012 (R2 以外) 管理istrative Templates 以降で名前が変更されました。コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1 |
存在しないか、= 0 (レジストリ) |
重大 |
| 常にシステム特権でインストールする (CCE-37490-0) |
説明: この設定は、システムにプログラムをインストールするときに、Windows インストーラーがシステム権限を使用する必要があるかどうかを制御します。 注: この設定は、[コンピューターの構成] と [ユーザーの構成] フォルダーの両方に表示されます。 この設定を有効にするには、両方のフォルダーで設定を有効にする必要があります。 注意: 有効にした場合、熟練ユーザーはこの設定で付与されるアクセス許可を利用して自分の権限を変更し、制限されているファイルやフォルダーに永続的にアクセスすることができます。 この設定の [ユーザーの構成] バージョンでは、必ずしもセキュリティが保証されない点に注意してください。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:User Configuration\Policies\Administrative Templates\Windows Components\Windows Installer\Always install with elevated privileges 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート MSI.admx/adml によって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2 |
存在しないか、= 0 (レジストリ) |
警告 |
| 接続するたびにパスワードを要求する (CCE-37929-7) |
説明: このポリシー設定では、ターミナル サービスに接続するたびにクライアント コンピューターにパスワードを要求するかどうかを指定します。 このポリシー設定を使用すると、ユーザーがリモート デスクトップ接続クライアントで既にパスワードを入力している場合でも、ターミナル サービスにログオンするときにパスワードの入力を強制的に要求できます。 既定では、ユーザーはリモート デスクトップ接続クライアントにパスワードを入力すれば、ターミナル サービスに自動的にログオンできます。 注: このポリシー設定を構成しなかった場合、ローカル コンピューターの管理者はターミナル サービス構成ツールを使用して、パスワードが自動的に送信されるのを許可または禁止できます。 キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Always prompt for password upon connection 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'TerminalServer.admx/adml' によって提供されます。 注 #2: Microsoft Windows Vista 管理用テンプレートでは、この設定の名前は "接続時に常にクライアントにパスワードを要求する" でしたが、Windows Server 2008 (R2 以外) 管理用テンプレートから名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.65.3.9.1 |
= 1 (レジストリ) |
重大 |
| アプリケーション: ログ ファイルが最大サイズに達したときのイベント ログの動作を制御する (CCE-37775-4) |
説明: このポリシー設定では、ログ ファイルが最大サイズに達したときのイベント ログの動作を制御します。 このポリシー設定を有効にした場合、ログ ファイルが最大サイズに達すると、新しいイベントはログに書き込まれずに失われます。 このポリシー設定を無効にした場合、または構成しなかった場合、ログ ファイルが最大サイズに達すると、新しいイベントは古いイベントを上書きします。 注: 古いイベントが保持されるかどうかは、"ログがいっぱいになった場合に自動的にバックアップする" ポリシー設定によって決まります。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Application\Control Event Log behavior when the log file reaches its maximum size 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'EventLog.admx/adml' によって提供されます。 注 2: 以前の Microsoft Windows 管理istrative Templates では、この設定は最初は [古いイベントを保持する] という名前でしたが、Windows 8.0 および Server 2012 (R2 以外) 管理istrative Templates 以降で名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.27.1.1 |
存在しないか、= 0 (レジストリ) |
重大 |
| アプリケーション: ログ ファイルの最大サイズ (KB) を指定する (CCE-37948-7) |
説明: このポリシー設定では、ログ ファイルの最大サイズを KB 単位で指定します。 このポリシー設定を有効にすると、最大ログ ファイル サイズを 1 MB (1024 KB) から 2 TB (2147483647 KB) の範囲で、KB 単位で構成できます。 このポリシー設定を無効にした場合、または構成しなかった場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。 この値は、ローカル管理者が [ログ プロパティ] ダイアログを使用して変更でき、既定値は 20 MB です。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled: 32,768 or greater に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Application\Specify the maximum log file size (KB) 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'EventLog.admx/adml' によって提供されます。 注 2: 以前の Microsoft Windows 管理istrative テンプレートでは、この設定は最初は最大ログ サイズ (KB (キロバイト)) という名前でしたが、Windows 8.0 および Server 2012 (R2 以外) 管理istrative Templates 以降で名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.27.1.2 |
>= 32768 (レジストリ) |
重大 |
| コンシューマー Microsoft アカウントのユーザー認証をすべてブロックする (AZ-WIN-20198) |
説明: この設定により、デバイス上のアプリケーションとサービスで、Windows OnlineID と WebAccountManager API を介して新しいコンシューマー Microsoft アカウント認証を利用できるかどうかが決まります。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth OS: WS2016, WS2019 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft accounts\Block all consumer Microsoft account user authentication コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1 |
= 1 (レジストリ) |
重大 |
| Microsoft MAPS へのレポートに対してローカル設定のオーバーライドを構成する (AZ-WIN-00173) |
説明: このポリシー設定では、Microsoft MAPS へ参加するための構成に関して、ローカル設定の優先を構成します。 この設定は、グループ ポリシーによってのみ設定できます。 この設定を有効にした場合、ローカルの基本設定がグループ ポリシーよりも優先されます。 この設定を無効にした場合、または構成しなかった場合、グループ ポリシーがローカルの基本設定よりも優先されます。 キーのパス: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Defender Antivirus\MAPS\Configure local setting override for reporting to Microsoft MAPS 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.1 および Server 2012 R2 管理Istrative Templates (またはそれ以降) に含まれているグループ ポリシー テンプレート WindowsDefender.admx/admlによって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1 |
存在しないか、= 0 (レジストリ) |
警告 |
| Windows SmartScreen の構成 (CCE-35859-8) |
説明: このポリシー設定を使用すると、Windows SmartScreen の動作を管理できます。 Windows SmartScreen を使用すると、インターネットからダウンロードした認識されていないプログラムを実行する前にユーザーに警告することで、PC の安全性を高めることができます。 この機能を有効にすると、PC 上で実行されたファイルとプログラムに関するいくつかの情報が Microsoft に送信されます。 このポリシー設定を有効にした場合、次のいずれかのオプションを設定することで Windows SmartScreen の動作を管理できます: * ダウンロードした不明なソフトウェアを実行する前にユーザーに警告する * SmartScreen を無効にする このポリシー設定を無効にした場合、または構成しなかった場合、Windows SmartScreen の動作は、PC の管理者がセキュリティとメンテナンスの Windows SmartScreen 設定を使用して管理します。 オプション: * ダウンロードした不明なソフトウェアを実行する前にユーザーに警告する * SmartScreen を無効にする キーのパス: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシーパス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します: 警告と回避: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Defender SmartScreen\Explorer\Configure Windows Defender SmartScreen 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.0 & Server 2012 (R2 以外) 管理一般テンプレート (またはそれ以降) に含まれるグループ ポリシー テンプレート Windowsエクスプローラー.admx/adml によって提供されます。 注 #2: 以前の Microsoft Windows 管理用テンプレートでは、この設定は当初 "Windows SmartScreen の構成" という名前でしたが、Windows 8.0 および Windows 10 Release 1703 の管理用テンプレートから名前が変更されました。コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.85.1.1 |
= 1 (レジストリ) |
警告 |
| 既定の RDP ポートからの変更の検出 (AZ-WIN-00156) |
説明: この設定では、リモート デスクトップ接続をリッスンするネットワーク ポートが、既定の 3389 から変更されているかどうかを判断します キーのパス: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: 該当なし コンプライアンス標準マッピング: |
= 3389 (レジストリ) |
重大 |
| Windows Search サービスを無効にする (AZ-WIN-00176) |
説明: このレジストリ設定は、Windows Search サービスを無効にします キーのパス: System\CurrentControlSet\Services\Wsearch\Start OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: 該当なし コンプライアンス標準マッピング: |
存在しないか、= 4 (レジストリ) |
重大 |
| ボリューム以外のデバイスの自動再生を許可しない (CCE-37636-8) |
説明: このポリシー設定では、カメラや電話などの MTP デバイスでの自動再生が許可されません。 このポリシー設定を有効にした場合、カメラや電話などの MTP デバイスの自動再生が許可されません。 このポリシー設定を無効にした場合、または構成しなかった場合、ボリューム以外のデバイスに対する自動再生が有効になります。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume OS: WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\AutoPlay Policies\Disallow Autoplay for non-volume devices 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理一般テンプレート (またはそれ以降) に含まれているグループ ポリシー テンプレート 'AutoPlay.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.8.1 |
= 1 (レジストリ) |
重大 |
| ダイジェスト認証を許可しない (CCE-38318-2) |
説明: このポリシー設定を使用すると、Windows リモート管理 (WinRM) クライアントでダイジェスト認証を使用しないかどうかを管理できます。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Client\Disallow Digest authentication 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート WindowsRemoteManagement.admx/adml によって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3 |
= 0 (レジストリ) |
重大 |
| WinRM で RunAs 資格情報の保存を許可しない (CCE-36000-8) |
説明: このポリシー設定を使用すると、Windows リモート管理 (WinRM) サービスでどのプラグインについても RunAs 資格情報の保存を許可しないようにするかどうかを管理できます。このポリシー設定を有効にすると、WinRM サービスはあらゆるプラグインに対しても、RunAsUser または RunAsPassword 構成値の設定を許可しません。既にプラグインで RunAsUser および RunAsPassword の構成値が設定されている場合、このコンピューターの資格情報ストアから RunAsPassword の構成値が消去されます。 このポリシー設定を無効にする場合、または構成しない場合、WinRM サービスではプラグインに対して RunAsUser および RunAsPassword の構成値の設定を許可し、RunAsPassword 値が安全に保存されます。 このポリシー設定を有効にした後、無効にした場合、それまでに RunAsPassword に構成済みの値があれば、リセットする必要があります。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Disallow WinRM from storing RunAs credentials 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理一般テンプレート (またはそれ以降) に含まれているグループ ポリシー テンプレート 'WindowsRemoteManagement.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.102.2.4 |
= 1 (レジストリ) |
重大 |
| パスワードの保存を許可しない (CCE-36223-6) |
説明: このポリシー設定は、ターミナル サービス クライアントでコンピューターにパスワードを保存できないようにするのに役立ちます。 注: このポリシー設定が既に無効として構成されている場合、または未構成の場合、以前保存したパスワードは、ターミナル サービス クライアントが任意のサーバーから最初に切断された時点で削除されます。 キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client\Do not allow passwords to be saved 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'TerminalServer.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.65.2.2 |
= 1 (レジストリ) |
重大 |
| 終了時に一時フォルダーを削除しない (CCE-37946-1) |
説明: このポリシー設定では、リモート デスクトップ サービスで、ユーザーのセッションごとの一時フォルダーをログオフ時に保存するかどうかを指定します。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Temporary Folders\Do not delete temp folders upon exit 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'TerminalServer.admx/adml' によって提供されます。 注 2: 以前の Microsoft Windows 管理Istrative Templates では、この設定は終了時に一時フォルダーを削除しないという名前でしたが、Windows 8.0 および Server 2012 (R2 以外) 管理から名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.65.3.11.1 |
存在しないか、= 1 (レジストリ) |
警告 |
| [パスワードの表示] ボタンを非表示にする (CCE-37534-5) |
説明: このポリシー設定を使用すると、パスワード入力のユーザー エクスペリエンスにおける [パスワードの表示] ボタンの表示を構成することができます。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal OS: WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Credential User Interface\Do not display the password reveal button 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理一般テンプレート (またはそれ以降) に含まれているグループ ポリシー テンプレート 'CredUI.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.16.1 |
= 1 (レジストリ) |
警告 |
| フィードバックの通知を表示しない (AZ-WIN-00140) |
説明: このポリシー設定を使用すると、Microsoft からのフィードバックの質問がデバイスに表示されないように設定できます。 このポリシー設定を有効にした場合、ユーザーに対して Windows フィードバック アプリからのフィードバック通知が表示されなくなります。 このポリシー設定を無効にした場合、または構成しなかった場合は、Windows フィードバック アプリからユーザーに対して、フィードバックを求める通知が表示されることがあります。 注: このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーはフィードバックの質問を受け取る頻度を制御できます。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Data Collection and Preview Builds\Do not show feedback notifications 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 10 Release 1511 以降の管理用テンプレートに含まれているグループ ポリシー テンプレート 'FeedbackNotifications.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.17.4 |
= 1 (レジストリ) |
重大 |
| セッションごとの一時フォルダーを使用しない (CCE-38180-6) |
説明: 既定ではリモート デスクトップ サービスは、ユーザーが RD セッション ホスト サーバーで保持しているアクティブ セッションごとに、RD セッション ホスト サーバー上に個別の一時フォルダーを作成します。 一時フォルダーは、RD セッション ホスト サーバー上のユーザーのプロファイル フォルダーの下の Temp フォルダー内に、"sessionid" という名前で作成されます。この一時フォルダーは、個々の一時ファイルを格納するために使用されます。 ディスク領域を再利用するため、一時フォルダーはユーザーがセッションからログオフすると削除されます。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Temporary Folders\Do not use temporary folders per session 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'TerminalServer.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.65.3.11.2 |
存在しないか、= 1 (レジストリ) |
重大 |
| 昇格時に管理者アカウントを列挙する (CCE-36512-2) |
説明: このポリシー設定では、ユーザーが実行中のアプリケーションの昇格を試みたときに、管理者アカウントが表示されるかどうかを制御します。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Credential User Interface\Enumerate administrator accounts on elevation 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート CredUI.admx/adml によって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2 |
存在しないか、= 0 (レジストリ) |
警告 |
| 添付ファイルのダウンロードを禁止する (CCE-37126-0) |
説明: このポリシー設定では、ユーザーがエンクロージャ (添付ファイル) をフィードからユーザーのコンピューターにダウンロードできないようにします。 この設定の推奨値は Enabled です。キーのパス: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\RSS Feeds\Prevent downloading of enclosures 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'InetRes.admx/adml' によって提供されます。 注 2: 以前の Microsoft Windows 管理istrative Templates では、この設定は "エンクロージャのダウンロードをオフにする" という名前でしたが、Windows 8.0 および Server 2012 (R2 以外) 管理のテンプレートから名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.66.1 |
= 1 (レジストリ) |
警告 |
| セキュリティで保護された RPC 通信を要求する (CCE-37567-5) |
説明: リモート デスクトップ セッション ホスト サーバーで、すべてのクライアントとのセキュリティで保護された RPC 通信を必須にするか、またはセキュリティで保護されていない通信を許可するかを指定します。 この設定を使用して、認証されて暗号化された要求のみを許可することにより、クライアントとの RPC 通信のセキュリティを強化できます。 状態が有効に設定されている場合、リモート デスクトップ サービスは、セキュリティで保護された要求をサポートする RPC クライアントからの要求を受け入れて、信用されていないクライアントとのセキュリティで保護されていない通信を許可しません。 状態が無効に設定されている場合は、リモート デスクトップ サービスではすべての RPC トラフィックに対してセキュリティが常に要求されます。 しかし、要求に応答しない RPC クライアントにはセキュリティで保護されていない通信が許可されます。 状態が未構成に設定されている場合は、セキュリティで保護されていない通信が許可されます。 注:RPC インターフェイスがリモート デスクトップ サービスの管理または構成に使用されています。 キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Require secure RPC communication 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'TerminalServer.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.65.3.9.2 |
= 1 (レジストリ) |
重大 |
| リモート接続にネットワーク レベル認証を使用したユーザー認証を必要とする (AZ-WIN-00149) |
説明: リモート接続にネットワーク レベル認証を使用したユーザー認証を要求します キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Require user authentication for remote connections by using Network Level Authentication 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'TerminalServer.admx/adml' によって提供されます。 注 #2 Microsoft Windows Vista 管理用テンプレートでは、この設定は当初 "リモート接続に RDP 6.0 を使用したユーザー認証を要求する" という名前でしたが、Windows Server 2008 (R2 以外) 管理用テンプレートから名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.65.3.9.4 |
存在しないか、= 1 (レジストリ) |
重大 |
| リムーバブル ドライブをスキャンする (AZ-WIN-00177) |
説明: このポリシー設定を使用すると、フル スキャンの実行時に、USB フラッシュ ドライブなどのリムーバブル ドライブに含まれる、悪意のあるソフトウェアと不要なソフトウェアをスキャンするかどうかを管理できます。 この設定を有効にした場合、どの種類のスキャンが実行されるときにでもリムーバブル ドライブがスキャンされます。 このポリシー設定を無効にした場合、または構成しなかった場合、フル スキャン時にリムーバブル ドライブがスキャンされません。 クイック スキャン時およびカスタム スキャン時にはリムーバブル ドライブはスキャンされる場合があります。 キーのパス: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Defender Antivirus\Scan\Scan removable drives 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.1 および Server 2012 R2 管理Istrative Templates (またはそれ以降) に含まれているグループ ポリシー テンプレート WindowsDefender.admx/admlによって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1 |
= 0 (レジストリ) |
重大 |
| セキュリティ: ログ ファイルが最大サイズに達したときのイベント ログの動作を制御する (CCE-37145-0) |
説明: このポリシー設定では、ログ ファイルが最大サイズに達したときのイベント ログの動作を制御します。 このポリシー設定を有効にした場合、ログ ファイルが最大サイズに達すると、新しいイベントはログに書き込まれずに失われます。 このポリシー設定を無効にした場合、または構成しなかった場合、ログ ファイルが最大サイズに達すると、新しいイベントは古いイベントを上書きします。 注: 古いイベントが保持されるかどうかは、"ログがいっぱいになった場合に自動的にバックアップする" ポリシー設定によって決まります。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Security\Control Event Log behavior when the log file reaches its maximum size 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'EventLog.admx/adml' によって提供されます。 注 2: 以前の Microsoft Windows 管理istrative Templates では、この設定は最初は [古いイベントを保持する] という名前でしたが、Windows 8.0 および Server 2012 (R2 以外) 管理istrative Templates 以降で名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.27.2.1 |
存在しないか、= 0 (レジストリ) |
重大 |
| セキュリティ: ログ ファイルの最大サイズ (KB) を指定する (CCE-37695-4) |
説明: このポリシー設定では、ログ ファイルの最大サイズを KB 単位で指定します。 このポリシー設定を有効にすると、最大ログ ファイル サイズを 1 MB (1024 KB) から 2 TB (2,147,483,647 KB) の範囲で、KB 単位で構成できます。 このポリシー設定を無効にした場合、または構成しなかった場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。 この値は、ローカル管理者が [ログ プロパティ] ダイアログを使用して変更でき、既定値は 20 MB です。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled: 196,608 or greater に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Security\Specify the maximum log file size (KB) 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'EventLog.admx/adml' によって提供されます。 注 2: 以前の Microsoft Windows 管理istrative テンプレートでは、この設定は最初は最大ログ サイズ (KB (キロバイト)) という名前でしたが、Windows 8.0 および Server 2012 (R2 以外) 管理istrative Templates 以降で名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.27.2.2 |
>= 196608 (レジストリ) |
重大 |
| 詳細な分析が必要な場合はファイルのサンプルを送信する (AZ-WIN-00126) |
説明: このポリシー設定は、MAPS 利用統計情報のオプトインが設定されている場合のサンプル送信の動作を構成します。 使用可能なオプションは次のとおりです。(0x0) 常に確認する (0x1) 安全なサンプルを自動的に送信する (0x2) 送信しない (0x3) すべてのサンプルを自動的に送信する キーのパス: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\MAPS\Send file samples when further analysis is required コンプライアンス標準マッピング: |
= 1 (レジストリ) |
警告 |
| クライアント接続の暗号化レベルを設定する (CCE-36627-8) |
説明: このポリシー設定では、リモート接続をホストしようとしているコンピューターが、リモート セッション用のクライアント コンピューターとの間で送受信されるすべてのデータに対して、暗号化レベルを使用するかどうかを指定します。 キーのパス: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled: High Level に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Set client connection encryption level 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'TerminalServer.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.65.3.9.5 |
存在しないか、= 3 (レジストリ) |
重大 |
| 自動実行の既定の動作を設定する (CCE-38217-6) |
説明: このポリシー設定では、自動実行コマンドの既定の動作を設定します。 通常、自動実行コマンドは autorun.inf ファイルに保存されています。 多くの場合、インストール プログラムや他のルーチンを起動します。 Windows Vista 以前の場合、自動実行コマンドを含むメディアを挿入すると、ユーザーによる手動操作がなくてもプログラムが自動的に実行されます。 この場合、ユーザーが知らずにコードが実行される可能性があるため、重大なセキュリティ上の問題が発生することがあります。 Windows Vista 以降の既定の動作では、自動実行コマンドを実行するかどうかをユーザーに確認するメッセージが表示されます。 自動実行コマンドは、[自動再生] ダイアログ ボックスでハンドラーとして表示されます。 このポリシー設定を有効にした場合、管理者は Windows Vista 以降の自動実行の既定の動作を次のように変更することができます。a) 自動実行コマンドを完全に無効にする。または b) 自動実行コマンドを Windows Vista 以前の自動実行の動作に戻す。 このポリシー設定を無効にした場合、または構成しなかった場合、Windows Vista 以降では、自動実行コマンドを実行するかどうかをユーザーに確認するメッセージが表示されます。 キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled: Do not execute any autorun commands に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\AutoPlay Policies\Set the default behavior for AutoRun 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.0 および Server 2012 (R2 以外) 管理一般テンプレート (またはそれ以降) に含まれているグループ ポリシー テンプレート 'AutoPlay.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.8.2 |
= 1 (レジストリ) |
重大 |
| セットアップ: ログ ファイルが最大サイズに達したときのイベント ログの動作を制御する (CCE-38276-2) |
説明: このポリシー設定では、ログ ファイルが最大サイズに達したときのイベント ログの動作を制御します。 このポリシー設定を有効にした場合、ログ ファイルが最大サイズに達すると、新しいイベントはログに書き込まれずに失われます。 このポリシー設定を無効にした場合、または構成しなかった場合、ログ ファイルが最大サイズに達すると、新しいイベントは古いイベントを上書きします。 注: 古いイベントが保持されるかどうかは、"ログがいっぱいになった場合に自動的にバックアップする" ポリシー設定によって決まります。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Setup\Control Event Log behavior when the log file reaches its maximum size 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'EventLog.admx/adml' によって提供されます。 注 2: 以前の Microsoft Windows 管理istrative Templates では、この設定は最初は [古いイベントを保持する] という名前でしたが、Windows 8.0 および Server 2012 (R2 以外) 管理istrative Templates 以降で名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.27.3.1 |
存在しないか、= 0 (レジストリ) |
重大 |
| セットアップ: ログ ファイルの最大サイズ (KB) を指定する (CCE-37526-1) |
説明: このポリシー設定では、ログ ファイルの最大サイズを KB 単位で指定します。 このポリシー設定を有効にすると、最大ログ ファイル サイズを 1 MB (1024 KB) から 2 TB (2,147,483,647 KB) の範囲で、KB 単位で構成できます。 このポリシー設定を無効にした場合、または構成しなかった場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。 この値は、ローカル管理者が [ログ プロパティ] ダイアログを使用して変更でき、既定値は 20 MB です。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled: 32,768 or greater に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Setup\Specify the maximum log file size (KB) 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'EventLog.admx/adml' によって提供されます。 注 2: 以前の Microsoft Windows 管理istrative テンプレートでは、この設定は最初は最大ログ サイズ (KB (キロバイト)) という名前でしたが、Windows 8.0 および Server 2012 (R2 以外) 管理istrative Templates 以降で名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.27.3.2 |
>= 32768 (レジストリ) |
重大 |
| システムによる再起動後に自動的に前回の対話ユーザーでサインインする (CCE-36977-7) |
説明: このポリシー設定では、Windows Update によるシステムの再起動後にデバイスが前回の対話ユーザーで自動的にサインインするかどうかを制御します。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn OS: WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled: に設定しますComputer Configuration\Policies\Administrative Templates\Windows Components\Windows Logon Options\Sign-in last interactive user automatically after a system-initiated restart 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.1 および Server 2012 R2 管理Istrative Templates (またはそれ以降) に含まれているグループ ポリシー テンプレート WinLogon.admx/admlによって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1 |
= 1 (レジストリ) |
重大 |
| 定義の更新をチェックする間隔を指定する (AZ-WIN-00152) |
説明: このポリシー設定を使用すると、定義の更新をチェックする間隔を指定できます。 時間の値は、更新をチェックする間隔の時間数を表します。 有効な値の範囲は 1 (1 時間ごと) から 24 (1 日ごと) までです。 この設定を有効にした場合、指定した間隔で定義の更新がチェックされます。 この設定を無効にした場合、または構成しなかった場合、既定の間隔で定義の更新がチェックされます。 キーのパス: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval OS: WS2008、WS2008R2、WS2012、WS2012R2 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Antivirus\Security Intelligence Updates\Specify the interval to check for security intelligence updates コンプライアンス標準マッピング: |
= 8 (レジストリ) |
重大 |
| システム: ログ ファイルが最大サイズに達したときのイベント ログの動作を制御する (CCE-36160-0) |
説明: このポリシー設定では、ログ ファイルが最大サイズに達したときのイベント ログの動作を制御します。 このポリシー設定を有効にした場合、ログ ファイルが最大サイズに達すると、新しいイベントはログに書き込まれずに失われます。 このポリシー設定を無効にした場合、または構成しなかった場合、ログ ファイルが最大サイズに達すると、新しいイベントは古いイベントを上書きします。 注: 古いイベントが保持されるかどうかは、"ログがいっぱいになった場合に自動的にバックアップする" ポリシー設定によって決まります。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\System\Control Event Log behavior when the log file reaches its maximum size 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'EventLog.admx/adml' によって提供されます。 注 2: 以前の Microsoft Windows 管理istrative Templates では、この設定は最初は [古いイベントを保持する] という名前でしたが、Windows 8.0 および Server 2012 (R2 以外) 管理istrative Templates 以降で名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.27.4.1 |
存在しないか、= 0 (レジストリ) |
重大 |
| システム: ログ ファイルの最大サイズ (KB) を指定する (CCE-36092-5) |
説明: このポリシー設定では、ログ ファイルの最大サイズを KB 単位で指定します。 このポリシー設定を有効にすると、最大ログ ファイル サイズを 1 MB (1024 KB) から 2 TB (2,147,483,647 KB) の範囲で、KB 単位で構成できます。 このポリシー設定を無効にした場合、または構成しなかった場合、ログ ファイルの最大サイズはローカルで構成された値に設定されます。 この値は、ローカル管理者が [ログ プロパティ] ダイアログを使用して変更でき、既定値は 20 MB です。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled: 32,768 or greater に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\System\Specify the maximum log file size (KB) 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'EventLog.admx/adml' によって提供されます。 注 2: 以前の Microsoft Windows 管理istrative テンプレートでは、この設定は最初は最大ログ サイズ (KB (キロバイト)) という名前でしたが、Windows 8.0 および Server 2012 (R2 以外) 管理istrative Templates 以降で名前が変更されました。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.27.4.2 |
>= 32768 (レジストリ) |
重大 |
| アプリケーション互換性プログラム インベントリでは、データの収集および Microsoft への情報の送信をできないようにする必要があります。 (AZ-WIN-73543) |
説明: 一部の機能では、ベンダーと通信したり、システム情報を送信したり、その機能のデータやコンポーネントをダウンロードしたりする場合があります。 この機能を有効にすると、機密性の高い可能性がある情報が企業外に送信されるのを防ぎ、管理されていないシステムの更新を防ぐことができます。 この設定により、プログラム インベントリではシステムに関するデータを収集して Microsoft に情報を送信できなくなります。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory OS: WS2016、WS2019、WS2022 サーバー タイプ: ドメイン メンバー グループ ポリシー パス: Computer Configuration\Administrative Templates\Windows Components\Application Compatibility\Turn off Inventory Collector コンプライアンス標準マッピング: |
= 1 (レジストリ) |
Informational |
| 自動再生機能をオフにする (CCE-36875-3) |
説明: 自動再生機能は、ドライブにメディアを挿入するとすぐに、ドライブからの読み取りを開始する機能です。これにより、プログラムのセットアップ ファイルやオーディオ メディアが直ちに起動します。 攻撃者はこの機能を使用してプログラムを起動し、コンピューター、またはコンピューター上のデータに損害を与えることができます。 [自動再生機能をオフにする] 設定を有効にすると、自動再生機能を無効にできます。 フロッピー ディスクやネットワーク ドライブなどの一部の種類のリムーバブル ドライブでは、自動再生が既定で無効になっていますが、CD-ROM ドライブはそうではありません。 注: このポリシー設定を使用して、フロッピー ディスクやネットワーク ドライブなどの、自動再生が既定で無効になっているコンピューター ドライブで自動再生機能を有効にすることはできません。 キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled: All drives に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\AutoPlay Policies\Turn off Autoplay 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート 'AutoPlay.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.8.3 |
= 255 (レジストリ) |
重大 |
| エクスプローラーのデータ実行防止をオフにする (CCE-37809-1) |
説明: データ実行防止を無効にすると、特定のレガシ プラグイン アプリケーションを、エクスプローラーを終了せずに機能させることができます。 この設定の推奨値は Disabled です。 注: 一部のレガシ プラグイン アプリケーションやその他のソフトウェアでは、データ実行防止が機能しない場合があり、その特定のプラグイン/ソフトウェアに対しては例外を定義する必要があります。キーのパス: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention OS: WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\File Explorer\Turn off Data Execution Prevention for Explorer 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 7 および Server 2008 R2 管理istrative Templates (またはそれ以降) に含まれているグループ ポリシー Explorer.admx/adml テンプレートによって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2 |
存在しないか、= 0 (レジストリ) |
重大 |
| 破損後のヒープ終了をオフにする (CCE-36660-9) |
説明: 破損後のヒープ終了を無効にすると、ファイル エクスプローラーのセッションが破損した場合に、レガシ プラグイン アプリケーションが機能し続ける可能性があります。 破損後のヒープ終了をアクティブにすることで、これを予防できます。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\File Explorer\Turn off heap termination on corruption 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート Explorer.admx/adml によって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3 |
存在しないか、= 0 (レジストリ) |
重大 |
| Microsoft コンシューマー エクスペリエンスを無効にする (AZ-WIN-00144) |
説明: このポリシー設定では、コンシューマーがデバイスと Microsoft アカウントを最大限に活用できるようにするエクスペリエンスを無効にします。 このポリシー設定を有効にした場合、ユーザーには、Microsoft からの個人用に設定された推奨事項や、Microsoft アカウントに関する通知が表示されなくなります。 このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーに対して Microsoft からの提案や、Microsoft アカウントに関する通知が表示されることがあります。 注: この設定は、Enterprise および Education SKU にのみ適用されます。 キーのパス: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Cloud Content\Turn off Microsoft consumer experiences 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 10 Release 1511 以降の管理用テンプレートに含まれているグループ ポリシー テンプレート 'CloudContent.admx/adml' によって提供されます。 コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.14.2 |
存在しないか、= 1 (レジストリ) |
警告 |
| シェル プロトコルの保護モードをオフにする (CCE-36809-2) |
説明: このポリシー設定を使用すると、シェル プロトコルの機能のレベルを構成できます。 このプロトコルのすべての機能を使用する場合、アプリケーションでフォルダーを開いたり、ファイルを起動したりできます。 保護モードではプロトコルの機能が縮小され、アプリケーションでは限られたフォルダーのみ開くことができます。 保護モードでは、アプリケーションでファイルを開くことはできません。 Windows のセキュリティ向上のため、プロトコルを保護モードにしておくことを推奨します。 この設定の推奨値は Disabled です。キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior OS: WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Disabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\File Explorer\Turn off shell protocol protected mode 注: このグループ ポリシー パスは、Microsoft Windows 管理用テンプレートのすべてのバージョンに含まれているグループ ポリシー テンプレート WindowsExplorer.admx/adml によって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4 |
存在しないか、= 0 (レジストリ) |
警告 |
| 動作の監視を有効にする (AZ-WIN-00178) |
説明: このポリシー設定を使用すると、動作の監視を構成できます。 この設定を有効にした場合、または構成しなかった場合、動作の監視が有効になります。 この設定を無効にした場合、動作の監視が無効になります。 キーのパス: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: GP 経由で推奨される構成を確立するには、次の UI パスを Enabled に設定します:Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Defender Antivirus\Real-Time Protection\Turn on behavior monitoring 注: このグループ ポリシー パスは、既定では存在しない場合があります。 これは、Microsoft Windows 8.1 および Server 2012 R2 管理Istrative Templates (またはそれ以降) に含まれているグループ ポリシー テンプレート WindowsDefender.admx/admlによって提供されます。コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3 |
存在しないか、= 0 (レジストリ) |
警告 |
| PowerShell スクリプト ブロックのログ記録を有効にする (AZ-WIN-73591) |
説明: このポリシー設定では、Applications and Services Logs\Microsoft\Windows\PowerShell\Operational イベント ログ チャネルへのすべての PowerShell スクリプト入力のログ記録を有効にします。 この設定の推奨値は Enabled です。 注: ''スクリプト ブロック呼び出しの開始/停止イベント'' のログ記録が有効になっている場合 (オプション ボックスがオンになっている場合)、PowerShell では、コマンド、スクリプト ブロック、関数、またはスクリプトの呼び出しが開始または停止されたときに、追加のイベントをログに記録します。 このオプションを有効にすると、大量のイベント ログが生成されます。 大量のイベントが生成されるため、CIS では意図的にこのオプションについては推奨しないことにしました。 組織がオプションの設定を有効 (オン) にすることを選んだ場合、これはベンチマークにも準拠します。キーのパス: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging OS: WS2016、WS2019、WS2022 サーバーの種類:ドメイン コントローラ、ドメイン メンバー、ワークグループ メンバー グループ ポリシー パス: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows PowerShell\Turn on PowerShell Script Block Logging コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1 |
= 1 (レジストリ) |
重要 |
Windows 設定 - セキュリティ設定
| 名前 (ID) |
詳細 | 必要な値 (型) |
重大度 |
|---|---|---|---|
| プロセスのメモリ クォータの増加 (CCE-10849-8) |
説明: このポリシー設定を使用すると、ユーザーはプロセスで使用できるメモリの最大量を調整できます。 メモリ クォータを調整する機能は、システム チューニングに役立ちますが、悪用されるおそれがあります。 適切でないユーザーの手に渡ると、サービス拒否 (DoS) 攻撃を開始するために使用されるおそれがあります。 この設定の推奨値は Administrators, LOCAL SERVICE, NETWORK SERVICE です。 注:Web サーバーの役割サービスとともに Web サーバー (IIS) の役割を持つメンバー サーバーには、この推奨事項に対する特別な例外として、IIS アプリケーション プールに対するこのユーザー権利の付与を許可する必要があります。 注 2: Microsoft SQL Server がインストールされているメンバー サーバーでは、この推奨事項に対する特別な例外として、このユーザー権利を追加の SQL 生成エントリに付与する必要があります。キーのパス: [Privilege Rights]SeIncreaseQuotaPrivilege OS: WS2012、WS2012R2、WS2016、WS2019、WS2022 サーバーの種類: ドメイン コントローラー、ドメイン メンバー グループ ポリシー パス: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Adjust memory quotas for a process コンプライアンス標準マッピング: 名前プラットフォームID CIS WS2022 2.2.6 CIS WS2019 2.2.6 |
<= Administrators, Local Service, Network Service (ポリシー) |
警告 |
注意
特定の Azure Policy ゲスト構成設定を利用できるかどうかは、Azure Government とその他の各国のクラウドで異なる場合があります。
次のステップ
Azure Policy とゲスト構成に関するその他の記事:
- Azure Policy ゲスト構成。
- 規制コンプライアンスの概要。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。