トークン オブジェクトの作成
[トークン オブジェクトの作成] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定では、トークンの作成でプロセスが使えるアカウントと、プロセスが NtCreateToken() または他のトークン作成 API を使う場合に、ローカル リソースにアクセスするのに使えるアカウントを指定します。
ユーザーがローカル デバイスにログオンするか、ネットワーク経由でリモート デバイスに接続すると、Windows によってユーザーのアクセス トークンが作成されます。その後、システムでは、このトークンを調べ、ユーザー特権のレベルを特定します。特権を取り消すと、この変更はすぐに記録されますが、ユーザーが次回ログオンまたは接続するまで、ユーザーのアクセス トークンには反映されません。
定数: SeCreateTokenPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
- このユーザー権利は、オペレーティング システムによって内部的に使われます。必要な場合を除き、ユーザー、グループ、またはローカル システム以外のプロセスには、このユーザー権利を割り当てないでください。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
このユーザー権利は、オペレーティング システムによって内部的に使われます。既定では、すべてのユーザー グループには割り当てられません。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
ローカル システム |
メンバー サーバーの有効な既定の設定 |
ローカル システム |
クライアント コンピューターの有効な既定の設定 |
ローカル システム |
ポリシー管理
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
注意
このユーザー権利が与えられているユーザー アカウントはシステムを完全に制御できるため、システムが侵害される可能性があります。この権利をすべてのユーザー アカウントには割り当てないことを強くお勧めします。
Windows では、ユーザーのアクセス トークンを調べ、ユーザー特権のレベルを特定します。ユーザーがローカル デバイスにログオンしたり、ネットワーク経由でリモート デバイスに接続したりすると、アクセス トークンが作成されます。特権を取り消すと、この変更はすぐに記録されますが、ユーザーが次回ログオンまたは接続するまで、ユーザーのアクセス トークンには反映されません。トークンを作成または変更できるユーザーは、現在ログオンしている場合、コンピューター上のすべてのアカウントのアクセス レベルを変更できます。権限の昇格や DoS 条件の作成も可能になります。
対策
[トークン オブジェクトの作成] ユーザー権利をすべてのユーザーには割り当てないでください。このユーザー権利を必要とするプロセスでは、このユーザー権利が割り当てられた別のユーザー アカウントではなく、このユーザー権利がすでに含まれているローカル システム アカウントを使う必要があります。
考えられる影響
なし。既定の構成は [未定義] です。