管理のためのヒント
更新 : 2007 年 11 月
ここで説明する方法は、セキュリティ ポリシーの管理において、あらゆる場面に適用できます。セキュリティ ポリシーを設定および管理する場合は、ここで説明する内容を考慮するようにしてください。
ポリシー管理の長期的な方針
ポリシーを管理するために使用できる、信頼レベルを表す適切なカテゴリを定義してください。管理環境下で実行される可能性のあるコードを区別するためのコード グループをいくつか定義し、各コード グループに適用するアクセス許可を定義します。これらに従ってポリシーを慎重に作成して配置します。さまざまなアプリケーションを実行する必要が生じるたびにポリシーを部分的に設定していくのではなく、環境の初期設定時に全体的なポリシーを定義しておく必要があります。
管理レベル
管理対象とするポリシー レベルは、ポリシーをどの程度まで適用するかに応じて決まります。影響を受けるユーザーができるだけ少なく、それでいて管理上の要件を満たせるレベルのうち、一番低いポリシー レベルのセキュリティ ポリシーを管理するようにしてください。たとえば、次のようにします。
エンタープライズ内のすべてのワークステーションとユーザーに影響するポリシーを管理する場合は、エンタープライズ レベルにポリシーを追加します。エンタープライズ内のすべてのコンピュータに適用する必要がない、特定のコンピュータに関するポリシーはエンタープライズ レベルには追加しないでください。
特定のコンピュータ上のすべてのユーザーに影響するポリシーを管理する場合は、マシン レベルでポリシーを追加します。
特定のユーザーまたはユーザー グループに関するポリシーを管理する場合は、ユーザー レベルでポリシーを追加します。
ファイル システム
セキュリティ ポリシー ファイルを保存できる場合は、必ず NTFS ファイル システムを使用します。NTFS では、ユーザーおよびユーザー グループに基づいてファイルを保護でき、特定レベルの管理権限を持つユーザーだけがセキュリティ構成ファイルを編集できます。NTFS ファイル システムを使用しないシステムでは、承認されていないユーザーもセキュリティ ポリシーを変更できてしまい、セキュリティの脆弱性が生まれてしまいます。