第 4 章 :メンバ サーバー ベースライン ポリシー
最終更新日: 2006年8月14日
ダウンロード
Windows Server 2003 セキュリティ ガイドを入手する (英語情報)
トピック
この章では、Microsoft Windows Server 2003 Service Pack 1 (SP1) を実行しているすべてのサーバーを対象として、ベースライン セキュリティ テンプレートを管理するための構成要件について説明します。また、3 種類の異なる環境においてセキュリティ保護された Windows Server 2003 SP1 構成をセットアップおよび構成するための管理上の指針について説明します。この章で説明する構成要件は、このガイドの以降の章で説明するすべての手順のベースラインとなります。各章では、個々のサーバーの役割をセキュリティ強化する方法について説明します。
この章に示す推奨設定によって、エンタープライズ環境内のビジネス アプリケーション サーバーの基盤にセキュリティを確立することができます。ただし、こうしたセキュリティ構成を運用環境に実装する前に、そのセキュリティ構成を実装することによって社内の業務アプリケーションに不具合が生じないかどうかを、総合的にテストする必要があります。
この章で説明している推奨設定はほとんどの組織に当てはまり、Windows Server 2003 SP1 を実行しているコンピュータであれば、既存のものにでも新規のものにでも適用できます。Windows Server 2003 SP1 の既定のセキュリティ構成は、このガイドの作成チームにより調査、検討、テストが十分になされたものです。それぞれの設定の既定の設定すべてと詳細な説明については、https://go.microsoft.com/fwlink/?LinkId=15159 の関連ガイド『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』を参照してください。全般的に、これから説明する推奨設定のほとんどにより、既定の設定よりセキュリティが強化されます。
この章では、次の 3 種類の環境に対するセキュリティ設定について説明します。
レガシ クライアント (LC)。この環境には、Windows NT 4.0 やMicrosoft Windows 98 を実行しているコンピュータが含まれます。これらのオペレーティング システムは、レガシ オペレーティング システムとも呼ばれます。この環境でも十分なセキュリティは確保されますが、このガイドで定義している 3 種類の環境のうちで最も低いセキュリティに該当します。セキュリティを強化するために、エンタープライズ クライアント環境に移行することでセキュリティを向上させることができます。LC 環境には、上記のレガシ オペレーティング システムに加えて、Windows 2000 Professional ワークステーションと Windows XP Professional ワークステーションが含まれます。また、この環境に存在するドメイン コントローラのオペレーティング システムは、必ず Windows 2000 または Windows Server 2003 です。Windows NT 4.0 を実行しているドメイン コントローラは、存在しません。ただし、Windows NT を実行しているメンバ サーバーは、存在する可能性があります。
エンタープライズ クライアント (EC)。この環境が実現するセキュリティは強固です。この環境は、最近の Windows オペレーティング システム向けに設計されてます。EC 環境には、Windows 2000 Professional および Windows XP Professional を実行しているクライアントが含まれます。LC 環境から EC 環境に移行するために必要となる作業のほとんどは、Windows 98 や Windows NT 4.0 Workstation を実行するレガシ クライアントを Windows 2000 または Windows XP にアップグレードすることです。この環境では、すべてのドメイン コントローラとメンバ サーバーが Windows 2000 Server または Windows Server 2003 を実行しています。
セキュリティ強化 - 機能制限 (SSLF)。この環境は、EC 環境よりはるかに強力なセキュリティを実現します。EC 環境からセキュリティ強化 - 機能制限 (SSLF) 環境に移行するには、クライアント コンピュータとサーバーの両方を厳しいセキュリティ ポリシーに従わせる必要があります。この環境には、Windows 2000 Professional や Windows XP Professional を実行するクライアント コンピュータ、および Windows 2000 Server または Windows Server 2003 を実行するドメイン コントローラが含まれます。SSLF 環境では、セキュリティ保護意識が非常に高く、クライアントの機能性および管理の容易さが大幅に低下しても、最高レベルのセキュリティを実現することが優先されます。この環境のメンバ サーバーでは、Windows 2000 Server または Windows Server 2003 を実行します。
多くの場合、SSLF 環境では明示的に既定値を設定します。この構成では、設定を一部ローカルに調整しようとするアプリケーションで障害が発生する可能性があるので、互換性に影響が生じることを想定する必要があります。たとえば、アプリケーションによっては、ユーザー権利の割り当てを調整して、サービス アカウントの特権を追加で取得する必要があります。しかし、グループ ポリシーがローカル コンピュータ ポリシーより優先されるので、このような処理は失敗します。SSLF 設定の場合は特に、推奨設定を運用コンピュータに展開する前に、すべてのアプリケーションを十分にテストする必要があります。
次の図は、3 種類のセキュリティ環境とそれぞれで使用可能なクライアントを示しています。
.gif)
図 4.1 セキュリティ環境の現状と計画
画像を画面全体に表示
組織の環境のセキュリティを段階的に強化する場合は、まずレガシ クライアント環境からスタートし、その後に、アプリケーションとクライアント コンピュータを厳しいセキュリティ設定に更新してテストしながら、徐々に高いセキュリティ レベルに移行します。
次の図は、セキュリティ テンプレート (.inf ファイル) がエンタープライズ クライアント用のメンバ サーバー ベースライン ポリシー (MSBP) の元データとして使用されるようすを示しています。また、このポリシーをリンクして組織内のすべてのサーバーに適用する方法の一例も示します。
Windows Server 2003 SP1 は、出荷時の既定値が、セキュリティで保護された環境が実現するよう構成されています。多くの場合、この章では既定値と異なる設定を規定します。また、3 種類の環境それぞれに特定の既定値を適用します。すべての既定値の詳細については、https://go.microsoft.com/fwlink/?LinkId=15159 の関連ガイド『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』を参照してください。
.gif)
図 4.2 セキュリティ テンプレート EC - Member Server Baseline.inf が MSBP にインポートされ、メンバ サーバー組織単位 (OU) にリンクされます。
画像を画面全体に表示
個々のサーバーの役割のセキュリティを強化する手順については、このガイドの以降の章で説明します。このガイドで説明する主なサーバーの役割は次のとおりです。
DNS サービスを含むドメイン コントローラ
WINS サービスと DHCP サービスを含むインフラストラクチャ サーバー
ファイル サーバー
プリント サーバー
インターネット インフォメーション サービス (IIS) を実行する Web サーバー
Microsoft Internet Authentication Server (IAS) サーバー
証明書サービス (CA) サーバー
要塞ホスト
この章で説明するエンタープライズ クライアント MSBP の多くは、このガイドで定義している 3 種類のセキュリティ環境に存在する上記のサーバーの役割にも適用されます。各セキュリティ テンプレートは、それぞれの環境のセキュリティ要件を満たすように設計されています。次の表は、3 種類の環境に対応するベースライン セキュリティ テンプレートの名前を示しています。
表 4.1 3 種類の環境で使用するベースライン セキュリティ テンプレート
| LC-Member Server Baseline.inf |
EC-Member Server Baseline.inf |
SSLF-Member Server Baseline.inf |
この章の以降では、3 種類すべての環境に共通するセキュリティ設定、つまりすべての **Member Server Baseline** セキュリティ テンプレートについて説明します。
ベースライン セキュリティ テンプレートは、「第 5 章 ドメイン コントローラ ベースライン ポリシー」で定義されるドメイン コントローラ セキュリティ テンプレートの基礎でもあります。**Domain Controllers Role** セキュリティ テンプレートには、ドメイン コントローラ グループ ポリシー GPO のベースライン設定が含まれています。この GPO は、3 種類の環境すべてにおいて、ドメイン コントローラ OU にリンクされます。OU とグループ ポリシーを作成し、適切なセキュリティ テンプレートを各 GPO にインポートする手順の詳細については、「第 2 章 Windows Server 2003 のセキュリティ強化メカニズム」を参照してください。
**注** :サーバーのセキュリティを強化するために使用される手順の中には、グループ ポリシーで自動化できないものがあります。これらの手順については、この章の「追加のセキュリティ設定」を参照してください。
[](#mainsection)[ページのトップへ](#mainsection)
Windows Server 2003 のベースライン ポリシー
-------------------------------------------
メンバ サーバー OU レベルの設定は、このガイドで説明しているすべてのメンバ サーバーの役割に共通の設定を定義します。これらの設定を適用するには、メンバ サーバー OU にリンクする GPO を作成します。このような GPO をベースライン ポリシーと呼びます。この GPO は、各サーバーのセキュリティ設定の構成を自動化します。各サーバーの役割に基づいて、サーバー アカウントをメンバ サーバー OU の適切な子 OU に移動する必要があります。
以降の各設定の説明順序は、Microsoft 管理コンソール (MMC) の \[セキュリティの構成エディタ (SCE)\] スナップインのユーザー インターフェイス (UI) に表示される順序と同じです。
[](#mainsection)[ページのトップへ](#mainsection)
監査ポリシー
------------
管理者は監査ポリシーを作成して、レポートするセキュリティ イベントを定義し、特定のイベント カテゴリに含まれるユーザーまたはコンピュータのアクティビティを記録する必要があります。これにより、オブジェクトにアクセスしたユーザー、ユーザーによるコンピュータへのログオンまたはコンピュータからのログオフ、監査ポリシー設定に対する変更など、セキュリティに関連するアクティビティを監視できます。
監査ポリシーを実装する前に、環境で監査するイベント カテゴリを決める必要があります。管理者が各イベント カテゴリに対して選択した監査設定によって、組織の監査ポリシーが定義されます。管理者は、個々のイベント カテゴリに対する監査設定を定義してから、組織のセキュリティ ニーズに応える監査ポリシーを作成します。
監査ポリシーが存在しない場合、セキュリティ上の問題が発生したときにその詳細を知ることが困難または不可能になります。一方、監査設定が構成されており、許可されている数多くのアクティビティによりイベントが生成されると、セキュリティ イベント ログは無駄なデータでいっぱいになります。以下の推奨事項と設定の説明を参考にして、収集するデータが無駄にならないよう監視対象を決定します。
多くの場合、障害ログは正常な処理のログよりも情報量がかなり多くなります。通常、障害とはエラーの発生を意味するからです。たとえば、一般的に、ユーザーによるコンピュータへのログオン成功は通常動作であると見なされます。しかし、ユーザーがコンピュータにログオンしようして何度も失敗した場合、他のユーザーのアカウント資格情報を使用してコンピュータに侵入しようとしている可能性があります。イベント ログには、コンピュータで発生したイベントが記録されます。Microsoft Windows オペレーティング システムでは、アプリケーション、セキュリティ イベント、システム イベントのそれぞれに専用のイベント ログが存在します。セキュリティ ログには、監査イベントが記録されます。グループ ポリシーのイベント ログ コンテナは、アプリケーション、セキュリティ、およびシステムのイベント ログに関連する属性の定義に使用されます。この属性には、最大ログ サイズ、各ログのアクセス権利、保存の設定、保存方法などがあります。
監査ポリシーを実装する前に、組織ではデータを収集、編成、および分析する方法を決定する必要があります。監査データを大量に集めても、活用する予定がなければ価値はほとんどありません。また、コンピュータ ネットワークを監査すると、パフォーマンスが低下する可能性があります。特定の設定を組み合わせたときに生じる影響は、エンドユーザーのコンピュータでは無視できても、負荷の高いサーバーでは顕著に見られる場合もあります。したがって、新しい監査設定を運用環境に展開する前に、パフォーマンスへの影響をテストする必要があります。
次の表に、このガイドで定義している 3 種類のセキュリティ環境における、監査ポリシー設定の推奨値を示します。表からわかるように、ほとんどの設定値は 3 種類のセキュリティ環境でほぼ同じです。各設定に関する詳細情報については、表の後のサブセクションで説明します。
監査ポリシーの設定は、Windows Server 2003 SP1 では、グループ ポリシー オブジェクト エディタを使用して、次の場所で構成できます。
**コンピュータの構成\\Windows の設定\\セキュリティの設定\\ローカル ポリシー**
**\\監査ポリシー**
ここで説明する規定の設定の概要については、このガイドのダウンロード バージョンに付属の Microsoft Excel ブック「Windows Server 2003 Security Guide Settings」を参照してください。以下で説明する各設定の既定値と詳細な説明については、[https://go.microsoft.com/fwlink/?LinkId=15159](https://technet.microsoft.com/ja-jp/library/75849e66-9f52-4ceb-874e-cace62110b09(v=TechNet.10)) の関連ガイド『[*脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定*](https://technet.microsoft.com/ja-jp/library/75849e66-9f52-4ceb-874e-cace62110b09(v=TechNet.10))』を参照してください。
**表 4.2 監査ポリシーの設定**
| アカウント ログオン イベントの監査 |
成功 |
成功 |
成功 失敗 |
| アカウント管理の監査 |
成功 |
成功 |
成功 失敗 |
| ログオン イベントの監査 |
成功 |
成功 |
成功 失敗 |
| オブジェクト アクセスの監査 |
監査しない |
監査しない |
失敗 |
| ポリシーの変更の監査 |
成功 |
成功 |
成功 |
| 特権使用の監査 |
監査しない |
監査しない |
失敗 |
| プロセス追跡の監査 |
監査しない |
監査しない |
監査しない |
| システム イベントの監査 |
成功 |
成功 |
成功 |
### アカウント ログオン イベントの監査
このポリシー設定では、アカウントの妥当性を検査する他のコンピュータにユーザーがログオンするイベント、またはそのコンピュータからユーザーがログオフするイベントを監査するかどうかを決定します。ドメイン コントローラでドメイン ユーザー アカウントが認証されると、アカウント ログオン イベントが生成され、ドメイン コントローラのセキュリティ ログに記録されます。ローカル コンピュータ上でローカル ユーザーを認証すると、ログオン イベントが生成され、ローカルのセキュリティ ログに記録されます。アカウント ログオフ イベントは記録されません。
\[アカウント ログオン イベントの監査\] は、LC および EC のベースライン ポリシーでは**成功**値が記録されるように設定されており、SSLF ベースライン ポリシーでは**成功**イベントと**失敗**イベントが両方記録されるように設定されています。
次の表は、このポリシー設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。これらイベント ID は、Microsoft Operations Manager (MOM) などの任意のソフトウェア スイートを監視するときにカスタム警告を作成する場合に役立ちます。
**表 4.3 アカウント ログオン イベント**
| 672 |
認証サービス (AS) チケットが正常に発行され、検証されました。Windows Server2003 SP1 では、この種類のイベントは、要求が成功した場合には成功の監査になり、要求が失敗した場合には失敗の監査になります。 |
| 673 |
チケット保証サービス (TGS) のチケットが許可されました。TGS は、Kerberos バージョン 5 TGS から発行されるチケットで、ドメイン内の特定のサービスに対するユーザー認証に使用されます。Windows Server2003 SP1 では、イベントの種類として成功と失敗が記録されます。 |
| 674 |
セキュリティ プリンシパルが AS チケットまたは TGS チケットを更新しました。 |
| 675 |
事前認証が失敗しました。ユーザーが間違ったパスワードを入力すると、キー配布センター (KDC) でこのイベントが生成されます。 |
| 676 |
認証チケット要求が失敗しました。Windows Server2003 SP1 では、このイベントは生成されません。Windows の他のバージョンでは、このイベントにより、不正な資格情報が原因ではない認証エラーが発生したことが示されます。 |
| 677 |
TGS チケットが許可されませんでした。Windows Server2003 SP1 では、このイベントは生成されず、ID 672 の失敗監査イベントが使用されます。 |
| 678 |
アカウントはドメイン アカウントに正常にマップされました。 |
| 681 |
ログオンの失敗。ドメイン アカウント ログオンが試行されました。このイベントを生成するのは、ドメイン コントローラだけです。 |
| 682 |
ユーザーが、切断されたターミナル サーバー セッションに再接続しました。 |
| 683 |
ユーザーが、ログオフせずにターミナル サーバー セッションを切断しました。 |
### アカウント管理の監査
このポリシー設定では、コンピュータで発生するアカウント管理イベントを監査するかどうかを決定します。アカウント管理イベントの例を次に示します。
- ユーザー アカウントまたはグループの作成、変更、削除
- ユーザー アカウントの名前変更、無効化、有効化
- パスワードの設定または変更
組織では、ドメイン アカウントとローカル アカウントのどちらについても、アカウントを作成、変更、または削除したユーザーを特定できるようにする必要があります。権限のない変更処理が行われた場合、組織のポリシーに従う方法を理解していない管理者が誤って変更したことが考えられますが、意図的な攻撃が発生した可能性もあります。
たとえば、アカウント管理失敗イベントは、多くの場合、下位レベルの管理者、または下位レベルの管理者のアカウントを見破った攻撃者が、自分の権利を格上げしようとしたことを示しています。ログを調べることにより、攻撃者が変更または作成したアカウントを確認できます。
\[アカウント管理の監査\] は、LC および EC のベースライン ポリシーでは**成功**値が記録されるように設定されており、SSLF のベースライン ポリシーでは**成功**イベントと**失敗**イベントが両方記録されるように設定されています。
次の表は、このポリシー設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。これらイベント ID は、MOM などの任意のソフトウェア スイートを監視するときにカスタム警告を作成する場合に役立ちます。多くの運用管理ソフトウェアでは、スクリプトを使用してカスタマイズして、これらのイベント ID に基づいてイベントをキャプチャまたはフラグ付けできます。
**表 4.4 アカウント管理イベント**
| 624 |
ユーザー アカウントが作成されました。 |
| 627 |
ユーザー パスワードが変更されました。 |
| 628 |
ユーザー パスワードが設定されました。 |
| 630 |
ユーザー アカウントが削除されました。 |
| 631 |
グローバル グループが作成されました。 |
| 632 |
メンバがグローバル グループに追加されました。 |
| 633 |
メンバがグローバル グループから削除されました。 |
| 634 |
グローバル グループが削除されました。 |
| 635 |
新しいローカル グループが作成されました。 |
| 636 |
メンバがローカル グループに追加されました。 |
| 637 |
メンバがローカル グループから削除されました。 |
| 638 |
ローカル グループが削除されました。 |
| 639 |
ローカル グループ アカウントが変更されました。 |
| 641 |
グローバル グループ アカウントが変更されました。 |
| 642 |
ユーザー アカウントが変更されました。 |
| 643 |
ドメイン ポリシーが変更されました。 |
| 644 |
ユーザー アカウントが自動的にロックされました。 |
| 645 |
コンピュータ アカウントが作成されました。 |
| 646 |
コンピュータ アカウントが変更されました。 |
| 647 |
コンピュータ アカウントが削除されました。 |
| 648 |
セキュリティが無効なローカル セキュリティ グループが作成されました。
注 :正式な名前での SECURITY_DISABLED は、アクセス チェックでアクセス許可を付与するときにこのグループを使用できないことを示します。 |
| 649 |
セキュリティが無効なローカル セキュリティ グループが変更されました。 |
| 650 |
セキュリティが無効なローカル セキュリティ グループにメンバが追加されました。 |
| 651 |
セキュリティが無効なローカル セキュリティ グループからメンバが削除されました。 |
| 652 |
セキュリティが無効なローカル グループが削除されました。 |
| 653 |
セキュリティが無効なグローバル グループが作成されました。 |
| 654 |
セキュリティが無効なグローバル グループが変更されました。 |
| 655 |
セキュリティが無効なグローバル グループにメンバが追加されました。 |
| 656 |
セキュリティが無効なグローバル グループからメンバが削除されました。 |
| 657 |
セキュリティが無効なグローバル グループが削除されました。 |
| 658 |
セキュリティが有効なユニバーサル グループが作成されました。 |
| 659 |
セキュリティが有効なユニバーサル グループが変更されました。 |
| 660 |
セキュリティが有効なユニバーサル グループにメンバが追加されました。 |
| 661 |
セキュリティが有効なユニバーサル グループからメンバが削除されました。 |
| 662 |
セキュリティが有効なユニバーサル グループが削除されました。 |
| 663 |
セキュリティが無効なユニバーサル グループが作成されました。 |
| 664 |
セキュリティが無効なユニバーサル グループが変更されました。 |
| 665 |
セキュリティが無効なユニバーサル グループにメンバが追加されました。 |
| 666 |
セキュリティが無効なユニバーサル グループからメンバが削除されました。 |
| 667 |
セキュリティが無効なユニバーサル グループが削除されました。 |
| 668 |
グループの種類が変更されました。 |
| 684 |
管理グループ メンバのセキュリティ記述子を設定されました。
注 :ドメイン コントローラでは 60 分ごとにバックグラウンド スレッドにより管理グループのすべてのメンバ (ドメイン、エンタープライズ、スキーマの管理者など) が検索され、固定セキュリティ記述子がこれらのメンバに適用されます。このイベントは記録されます。 |
| 685 |
アカウントの名前が変更されました。 |
### ログオン イベントの監査
このポリシー設定では、ユーザーがコンピュータにログオンするたび、およびコンピュータからログオフするたびに監査するかどうかを指定します。\[ログオン イベントの監査\] を設定すると、ドメイン アカウント アクティビティを監視するドメイン コントローラに関する記録、およびローカル アカウント アクティビティを監視するローカル コンピュータに関する記録が生成されます。
\[ログオン イベントの監査\] を \[監査しない\] に設定すると、組織内のコンピュータにログオンしたユーザーやログオンしようとしたユーザーを特定することが困難、または不可能になります。ドメイン メンバで \[ログオン イベントの監査\] を \[成功\] に設定すると、ユーザーがネットワークにログオンするたびに、そのアカウントがネットワーク上のどこに存在するかに関係なく、イベントが生成されます。\[アカウント ログオン イベントの監査\] が \[有効\] になっている場合に、ユーザーがローカル アカウントでログオンすると 2 つのイベントが生成されます。
このポリシー設定の既定値を変更していない場合でも、セキュリティ上の問題が発生した際に分析に使用できる監査記録証拠は何もありません。\[ログオン イベントの監査\] は、LC および EC ベースライン ポリシーの場合は**成功**値が記録されるように設定され、SSLF ベースライン ポリシーの場合は**成功**値と**失敗**値が両方記録されるように設定されています。
次の表は、このポリシー設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。
**表 4.5 監査ログオン イベント**
| 528 |
ユーザーがコンピュータに正常にログオンしました。 |
| 529 |
ログオンの失敗。不明なユーザー名でログオンしようとしたか、または実在のユーザー名と無効なパスワードの組み合わせでログオンしようとしました。 |
| 530 |
ログオンの失敗。許可されていない時間にユーザー アカウントへログオンしようとしました。 |
| 531 |
ログオンの失敗。無効なアカウントを使用してログオンを試行しました。 |
| 532 |
ログオンの失敗。期限切れのアカウントを使用してログオンを試行しました。 |
| 533 |
ログオンの失敗。このコンピュータへのログオンが許可されていないユーザーがログオンしようとしました。 |
| 534 |
ログオンの失敗。許可されていない種類のログオンを使用してユーザーがログオンしようとしました。 |
| 535 |
ログオンの失敗。指定されたアカウントのパスワードの期限は切れています。 |
| 536 |
ログオンの失敗。Net Logon サービスが有効ではありません。 |
| 537 |
ログオンの失敗。その他の理由でログオンが失敗しました。
注 :場合によっては、ログオン失敗の理由が不明なことがあります。 |
| 538 |
ユーザーのログオフ処理が完了しました。 |
| 539 |
ログオンの失敗。ログオンが試行された時点でアカウントがロックアウトされていました。 |
| 540 |
ユーザーがネットワークへログオンしました。 |
| 541 |
ローカル コンピュータとピア ID の一覧との間で、メイン モードのインターネット キー交換 (IKE) 認証が完了した (セキュリティ アソシエーションが確立された) か、クイック モードによりデータ チャネルが確立されました。 |
| 542 |
データ チャネルが終了しました。 |
| 543 |
メイン モードが終了しました。
注 :このイベントは、セキュリティ アソシエーションの有効期限切れ (既定値は 8 時間)、ポリシーの変更、またはピアの終了により発生することがあります。 |
| 544 |
ピアから有効な証明書が提供されなかったか、または署名が検証されなかったため、メイン モード認証が失敗しました。 |
| 545 |
Kerberos 認証プロトコル障害または無効なパスワードが原因で、メイン モード認証が失敗しました。 |
| 546 |
ピアから送信された提案が無効であるため、IKE セキュリティ アソシエーションを確立できませんでした。受信したパケットに、無効なデータが含まれていました。 |
| 547 |
IKE ハンドシェイク実行時に障害が発生しました。 |
| 548 |
ログオンの失敗。信頼される側のドメインのセキュリティ識別子 (SID) が、クライアントのアカウント ドメイン SID と一致しません。 |
| 549 |
ログオンの失敗。信頼されていない名前空間に対応するすべての SID が、フォレスト間認証時にフィルタにより除外されました。 |
| 550 |
サービス拒否 (denial-of-service) 攻撃の可能性を示す通知メッセージです。 |
| 551 |
ユーザーがログオフ処理を開始しました。 |
| 552 |
既に別のユーザーとしてログオンしているユーザーが、明示的な資格情報を使用してコンピュータにログオンしました。 |
| 682 |
ユーザーが切断されたターミナル サーバー セッションに再接続しました。 |
| 683 |
ユーザーが、ログオフせずにターミナル サーバー セッションを切断しました。
注 :ネットワーク上のターミナル サーバー セッションへユーザーが接続されると、このイベントが生成されます。このイベントは、ターミナル サーバー上に記録されます。 |
オブジェクト アクセスの監査
[オブジェクト アクセスの監査] ポリシー設定を有効にしただけでは、どのイベントも監査されません。[オブジェクト アクセスの監査] では、固有のシステム アクセス制御リスト (SACL) が指定されているオブジェクト (ファイル、フォルダ、レジストリ キー、プリンタなど) にユーザーがアクセスした場合にイベントを監査するかどうかを設定します。
SACL は、アクセス制御エントリ (ACE) で構成されています。各 ACE には、次の 3 つの情報が含まれています。
監査対象のセキュリティ プリンシパル (ユーザー、コンピュータ、またはグループ)
監査対象のアクセス タイプ (これをアクセス マスクと呼びます)
監査対象のアクセス イベント (失敗したアクセス イベントのみ、成功したアクセス イベントのみ、または両方のアクセス イベント) を示すフラグ
[オブジェクト アクセスの監査] で成功値をログに記録するよう設定した場合、指定した SACL を持つオブジェクトにユーザーが正常にアクセスすると、監査エントリが生成されます。失敗値をログに記録するよう設定した場合、指定した SACL を持つオブジェクトにユーザーがアクセスできないと監査エントリが生成されます。
組織の SACL を構成する場合は、有効にするアクションのみを定義する必要があります。たとえば、実行可能ファイルで [データの書き込み] 監査設定および [データの追加] 監査設定を有効にして、実行可能ファイルの変更または置換の追跡を可能にする必要がある場合があります。これは、コンピュータ ウイルス、ワーム、およびトロイの木馬の攻撃対象が、通常、実行可能ファイルだからです。同様に、機密文書へのアクセスまたは機密文書の変更の追跡が必要になる場合もあります。
[オブジェクト アクセスの監査] は、LC 環境と EC 環境のベースライン ポリシーでは、既定値の [監査しない] に設定されています。SSLF 環境のベースライン ポリシーでは、失敗値をログに記録するように設定されています。
次の表は、このポリシー設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。
表 4.6 オブジェクト アクセス イベント
| 560 |
アクセスは、既存のオブジェクトに対して許可されました。 |
| 562 |
オブジェクトへのハンドルが閉じられました。 |
| 563 |
オブジェクトを削除する目的で、オブジェクトを開こうとしました
注 :Createfile() に FILE_DELETE_ON_CLOSE フラグが指定されているときに、ファイル システムによってこのイベントが使用されます。 |
| 564 |
保護されたオブジェクトが削除されました。 |
| 565 |
既存のオブジェクトの種類に対するアクセスが許可されました。 |
| 567 |
ハンドルに関連付けられているアクセス許可が使用されました。
注 :ハンドルは、所定のアクセス許可 (読み取り、書き込みなど) が与えられた状態で作成されます。ハンドルが使用されると、使用されたアクセス許可ごとに 1 つの監査が生成されます。 |
| 568 |
監査対象ファイルへのハード リンクを作成しようとしました。 |
| 569 |
承認マネージャのリソース マネージャが、クライアント コンテキストを作成しようとしました。 |
| 570 |
クライアントがオブジェクトへアクセスしようとしました。
注 :オブジェクトに対する操作が行われるたびに、イベントが生成されます。 |
| 571 |
承認マネージャ アプリケーションによりクライアント コンテキストが削除されました。 |
| 572 |
管理者によりアプリケーションが初期化されました。 |
| 772 |
証明書マネージャにより保留中の証明書要求が拒否されました。 |
| 773 |
証明書サービスは再送信された証明書要求を受信しました。 |
| 774 |
証明書サービスは証明書を失効化しました。 |
| 775 |
証明書サービスは、証明書失効リスト (CRL) を公開する要求を受信しました。 |
| 776 |
証明書サービスが証明書失効リスト (CRL) を公開しました。 |
| 777 |
証明書要求の拡張が作成されました。 |
| 778 |
証明書の要求属性が変更されました。 |
| 779 |
証明書サービスはシャットダウンの要求を受信しました。 |
| 780 |
証明書サービスのバックアップが開始されました。 |
| 781 |
証明書サービスのバックアップを完了しました。 |
| 782 |
証明書サービスの復元が開始されました。 |
| 783 |
証明書サービスの復元を完了しました。 |
| 784 |
証明書サービスは開始されました。 |
| 785 |
証明書サービスは停止されました。 |
| 786 |
証明書サービスのセキュリティのアクセス許可が変更されました。 |
| 787 |
証明書サービスはアーカイブされたキーを取得しました。 |
| 788 |
証明書サービスは証明書をデータベースにインポートしました。 |
| 789 |
証明書サービスの監査フィルタが変更されました。 |
| 790 |
証明書サービスは証明書の要求を受信しました。 |
| 791 |
証明書サービスは証明書の要求を許可し、証明書を発行しました。 |
| 792 |
証明書サービスは証明書の要求を拒否しました。 |
| 793 |
証明書サービスは証明書の要求の状態を保留に設定しました。 |
| 794 |
証明書サービスの証明書マネージャの設定が変更されました。 |
| 795 |
証明書サービスの構成エントリが変更されました。 |
| 796 |
証明書サービスのプロパティが変更されました。 |
| 797 |
証明書サービスはキーをアーカイブしました。 |
| 798 |
証明書サービスはキーをインポートしてアーカイブしました。 |
| 799 |
証明書サービスは証明機関 (CA) 証明書を Active Directory に公開しました。 |
| 800 |
証明書データベースから 1 つ以上の行が削除されました。 |
| 801 |
役割の分離は有効になっています。 |
### ポリシーの変更の監査
このポリシー設定では、ユーザー権利の割り当てポリシー、信頼ポリシー、または監査ポリシー自体に対する変更をその都度監査するかどうかを決定します。
\[ポリシーの変更の監査\] で**成功**値をログに記録するよう設定した場合、ユーザー権利の割り当てポリシー、信頼ポリシー、または監査ポリシーの変更が成功するたびに、監査エントリが生成されます。**失敗**値をログに記録するよう設定した場合、ユーザー権利の割り当てポリシー、信頼ポリシー、または監査ポリシーの変更が失敗するたびに、監査エントリが生成されます。
推奨設定を使用すると、攻撃者が**プログラムのデバッグ**特権や**ファイルとディレクトリのバックアップ**特権を追加するなどの方法で格上げを試みているアカウント特権を特定できます。
このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、\[ポリシーの変更の監査\] は**成功**値をログに記録するように設定されています。現状では、\[失敗\] を記録するよう設定しても、意味のあるイベントは収集されません。
次の表は、このポリシー設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。
**表 4.7 ポリシー変更の監査のイベント**
| 608 |
ユーザー権限が割り当てられました。 |
| 609 |
ユーザー権限が削除されました。 |
| 610 |
別のドメインとの信頼関係が作成されました。 |
| 611 |
別のドメインとの信頼関係が削除されました。 |
| 612 |
監査ポリシーが変更されました。 |
| 613 |
インターネット プロトコル セキュリティ (IPsec) ポリシー エージェントが開始されました。 |
| 614 |
IPsec ポリシー エージェントが無効になりました。 |
| 615 |
IPsec ポリシー エージェントが変更されました。 |
| 616 |
IPsec ポリシー エージェントにより、重大である可能性のある障害が検出されました。 |
| 617 |
Kerberos ポリシーが変更されました。 |
| 618 |
暗号化されたデータの回復ポリシーが変更されました。 |
| 620 |
他のドメインとの信頼関係が変更されました。 |
| 621 |
アカウントに対してシステム アクセスが権限が与えられました。 |
| 622 |
アカウントからシステム アクセス権限が削除されました。 |
| 623 |
ユーザーごとの監査ポリシーが設定されました。 |
| 625 |
ユーザーごとの監査ポリシーが更新されました。 |
| 768 |
あるフォレスト内の名前空間要素と別のフォレスト内の名前空間要素との間に競合が検知されました
注 :あるフォレスト内の名前空間要素と別のフォレスト内の名前空間要素が重複している場合、名前空間要素の名前の解決があいまいになることがあります。このような重複も衝突と呼ばれます。それぞれのエントリの種類に対してすべてのパラメータが有効なわけではありません。たとえば、"TopLevelName" タイプのエントリには、DNS 名、NetBIOS 名、および SID などのフィールドは無効です。 |
| 769 |
信頼されたフォレストの情報が追加されました。
注 :フォレストの信頼情報が更新されエントリが追加されると、このイベント メッセージが生成されます。エントリが追加、削除、または変更されるたびにイベントメッセージが 1 つ生成されます。フォレスト信頼情報の 1 回の更新で複数のエントリが追加、削除、または変更されると、生成されるすべてのイベント メッセージには、操作 ID と呼ばれる一意の ID が割り当てられます。この機能より、1 回の操作で複数のイベント メッセージが生成されていることがわかります。それぞれのエントリの種類に対してすべてのパラメータが有効なわけではありません。たとえば、"TopLevelName" タイプのエントリには、DNS 名、NetBIOS 名、および SID などのパラメータは無効です。 |
| 770 |
信頼されたフォレストの情報が削除されました。
注 :イベント 769 の注を参照してください。 |
| 771 |
信頼されたフォレストの情報が変更されました。
注 :イベント 769 の注を参照してください。 |
| 805 |
イベント ログ サービスによって、セッションのセキュリティ ログ構成が読み取られました。 |
### 特権使用の監査
このポリシー設定では、ユーザー権利が実行されるたびに監査するかどうかを指定します。\[特権使用の監査\] で**成功**値をログに記録するよう設定した場合、ユーザー権利の実行が成功するたびに監査エントリが生成されます。**失敗**値をログに記録するよう設定した場合、ユーザー権利の実行が失敗するたびに監査エントリが生成されます。
ただし、次のユーザー権利が実行された場合は、大量のイベントがセキュリティ ログに生成されるので、\[特権使用の監査\] を構成しても、監査エントリは生成されません。これらのユーザー権利が監査された場合、コンピュータの次のパフォーマンスに影響が出る可能性があります。
- 横断チェックのバイパス
- プログラムのデバッグ
- トークン オブジェクトの作成
- プロセス レベル トークンの置き換え
- セキュリティ監査の生成
- ファイルとディレクトリのバックアップ
- ファイルとディレクトリの復元
**注** :上記のユーザー権利を監査するには、グループ ポリシーの \[監査: バックアップと復元の特権の使用を監査する\] セキュリティ オプションを有効にする必要があります。
\[特権使用の監査\] は、LC 環境と EC 環境のベースライン ポリシーでは、既定値の \[監査しない\] のままになっています。SSLF 環境のベースライン ポリシーでは、**失敗**値をログに記録するように設定されています。ユーザー権利の使用に失敗したということは、ネットワーク上で何か問題が発生したことを意味します。また、セキュリティ侵害が試みられたことを示す場合も数多くあります。組織で \[特権使用の監査\] を \[有効\] に設定するのは、業務上の特別な理由がある場合に限定してください。
次の表は、この設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。
**表 4.8 特権使用イベント**
| 576 |
ユーザー アクセス トークンに指定された特権が追加されました
注 :ユーザーがログオンするとこのイベントが生成されます。 |
| 577 |
ユーザーが特権の必要なシステム サービス操作を実行しようとしました。 |
| 578 |
既に開かれている保護オブジェクトへのハンドルで特権が使用されました。 |
### プロセス追跡の監査
このポリシー設定では、プログラムのアクティブ化、プロセスの終了、ハンドルの複製、および間接的オブジェクト アクセスなどの、イベントに関する詳細な追跡情報を監査するかどうかを設定します。このポリシー設定で**成功**値を記録するよう設定した場合、追跡対象の処理が成功するたびに監査エントリが生成されます。**失敗**値を記録するよう設定した場合、追跡対象のプロセスが失敗するたびに監査エントリが生成されます。
\[プロセス追跡の監査\] は大量のイベントを生成するので、通常は \[監査しない\] に設定されています。これは、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでも同様です。ただし、セキュリティ上の問題が発生したときに、このポリシー設定が役に立つことがあります。起動されたプロセスの詳細なログ、および各プロセスの起動時刻を記録することができるからです。
次の表は、この設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。
**表 4.9 プロセス追跡イベント**
| 592 |
新しいプロセスが作成されました。 |
| 593 |
プロセスが終了しました。 |
| 594 |
オブジェクトへのハンドルが複製されました。 |
| 595 |
オブジェクトへの間接アクセスが取得されました。 |
| 596 |
データ保護マスタ キーのバックアップが作成されました。
注 :マスタ キーは CryptProtectData ルーチン、CryptUnprotectData ルーチン、および暗号化ファイル システム (EFS) により使用されます。新しいマスタ キーが作成されるたびに、マスタ キーのバックアップが作成されます (既定の設定は 90 秒)。通常、キーのバックアップはドメイン コントローラに作成されます。 |
| 597 |
データ保護マスタ キーが、回復サーバーから回復されました。 |
| 598 |
監査対象データは保護されていました。 |
| 599 |
監査対象データは保護されていませんでした。 |
| 600 |
プロセスにプライマリ トークンが割り当てられました。 |
| 601 |
ユーザーがサービスをインストールしようとしました。 |
| 602 |
スケジューラ ジョブが作成されました。 |
### システム イベントの監査
このポリシー設定では、ユーザーがコンピュータを再起動またはシャットダウンしたこと、あるいはコンピュータのセキュリティまたはセキュリティ ログに影響を及ぼすイベントが発生したことを、監査するかどうかを指定します。このポリシー設定で**成功**値を記録するように設定した場合、システム イベントの実行が成功するたびに監査エントリが生成されます。**失敗**イベントをログに記録するよう設定した場合、システム イベントを実行しようとして失敗するたびに監査エントリが生成されます。
次の表は、この設定で記録する成功のイベントのうち、最も有用なものを示しています。
**表 4.10 システム イベントの監査のシステム イベント メッセージ**
| 512 |
Windows が起動します。 |
| 513 |
Windows がシャットダウンします。 |
| 514 |
ローカル セキュリティ パッケージが、ローカル セキュリティ機関により読み込まれました。 |
| 515 |
信頼されたログオン プロセスが、ローカル セキュリティ機関に登録されました。 |
| 516 |
セキュリティ イベント メッセージをキューに登録するために割り当てられた内部リソースがすべて消費され、一部のセキュリティ イベント メッセージが失われました。 |
| 517 |
監査ログが消去されました。 |
| 518 |
通知パッケージがセキュリティ アカウント マネージャにより読み込まれました。 |
| 519 |
プロセスが無効なローカル プロシージャ コール (LPC) ポートを使用してクライアントを偽装しようとしたか、またはクライアント アドレス領域で読み取りまたは書き込みを実行しようとしました。 |
| 520 |
システム時刻が変更されました。
注 :この監査は通常 2 回表示されます。 |
ページのトップへ
ユーザー権利の割り当て
ユーザー権利を割り当てられたユーザーとグループは、組織内のコンピュータに対するログオンの権限または特権を持ちます。ログオンの権限の例としては、コンピュータに対話的にログオンする権限があります。特権の例としては、コンピュータをシャット ダウンする権限があります。この 2 種類とも、管理者によって、コンピュータのセキュリティ設定の一部として、個々のユーザーまたはグループに割り当てられます。
注 :ここの説明では、[未定義] はユーザーだけに適用されます。管理者には該当するユーザーの権利が与えられます。ローカルの管理者は、ローカルの [ユーザー権利の割り当て] ポリシーを変更できますが、ドメイン単位のグループ ポリシーが更新または再適用されると、そのグループ ポリシーが優先されます。
ユーザーの権利の割り当て設定は、Windows Server 2003 SP1 では、グループ ポリシー オブジェクト エディタの次の場所で構成できます。
コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー
\ユーザー権利の割り当て
ユーザー権利の割り当ての既定値は、組織内のサーバーの種類によって異なります。たとえば、Windows Server 2003 によってビルトイン グループに割り当てられる権利は、メンバ サーバーとドメイン コントローラとで異なります (各種サーバー間におけるビルトイン グループの類似性は、次の一覧には記載されていません)。
Member Servers
Power Users。一部制約はあるものの、管理に関するほとんどの権利があります。Power Users は、Windows Server 2003 SP1 または Windows XP で認定されているアプリケーションに加えて、レガシ アプリケーションを実行できます。
HelpServicesGroup。これは、ヘルプとサポート センター用のグループです。このグループの既定のメンバは、Support_388945a0 です。
TelnetClients。このグループのメンバには、ネットワーク上の Telnet サーバーにアクセスする権利があります。
Domain Controllers
Server Operators。このグループのメンバは、ドメイン サーバーを管理できます。
Terminal Server License Services。このグループのメンバには、ネットワーク上のターミナル サーバー ライセンス サーバーにアクセスする権利があります。
Windows Authorization Access Group。このグループのメンバには、ユーザー オブジェクトの計算済みの tokenGroupsGlobalAndUniversal 属性にアクセスする権利があります。
Guests グループ、Guest ユーザー アカウント、および Support_388945a0 ユーザー アカウントは、ドメインごとに一意の SID を持っています。したがって、ユーザー権利の割り当てに関するグループ ポリシーは、特定のターゲット グループのみが存在するコンピュータでは変更する必要がある場合があります。また、ポリシー テンプレートを個別に修正して、.inf ファイルに適切なグループを追加することもできます。たとえば、テスト環境のドメイン コントローラ上で、ドメイン コントローラ グループ ポリシーを作成できます。
注 :Guests グループのメンバ、Support_388945a0、および Guest のメンバの間では SID は一意なので、サーバーのセキュリティ強化のために使用されている設定の一部は、このガイドに付属のセキュリティ テンプレートでは自動化できません。これらの設定については、この章で後述する「追加のセキュリティ設定」を参照してください。
ここでは、このガイドで定義している 3 種類の環境に対して規定された MSBP ユーザー権利の割り当て設定について詳しく説明します。ここで説明する規定の設定の概要については、このガイドのダウンロード バージョンに付属の Microsoft Excel ブック「Windows Server 2003 Security Guide Settings」を参照してください。ここで説明している既定の設定と各設定の詳細については、関連ガイド*『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』* を参照してください。
次の表に、このガイドで定義している 3 種類のセキュリティ環境に対する、ユーザー権利の割り当ての設定の推奨値を示します。各設定に関する詳細情報については、表の後のサブセクションで説明します。
表 4.11 ユーザー権利の割り当てに関する推奨設定
| ネットワーク経由でコンピュータへアクセス |
未定義 |
未定義 |
Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS |
| オペレーティング システムの一部として機能 |
未定義 |
未定義 |
なし |
| プロセスのメモリ クォータの増加 |
未定義 |
未定義 |
Administrators、NETWORK SERVICE、LOCAL SERVICE |
| ローカル ログオンを許可する |
Administrators、Backup Operators、Power Users |
Administrators、Backup Operators、Power Users |
Administrators |
| ターミナル サービスを使ったログオンを許可する |
Administrators、Remote Desktop Users |
Administrators、Remote Desktop Users |
Administrators |
| ファイルとディレクトリのバックアップ |
未定義 |
未定義 |
Administrators |
| 横断チェックのバイパス |
未定義 |
未定義 |
Authenticated Users |
| システム時刻の変更 |
未定義 |
未定義 |
Administrators |
| ページファイルの作成 |
未定義 |
未定義 |
Administrators |
| トークン オブジェクトの作成 |
未定義 |
未定義 |
なし |
| グローバル オブジェクトの作成 |
未定義 |
未定義 |
Administrators、SERVICE |
| 永続的共有オブジェクトの作成 |
未定義 |
未定義 |
なし |
| プログラムのデバッグ |
未定義 |
Administrators |
なし |
| ネットワーク経由でコンピュータへアクセスを拒否する |
ANONOYMOUS LOGON、Guests、Support_388945a0、
すべての非オペレーティング システム サービス アカウント |
ANONOYMOUS LOGON、Guests、Support_388945a0、
すべての非オペレーティング システム サービス アカウント |
ANONOYMOUS LOGON、Guests、Support_388945a0、
すべての非オペレーティング システム サービス アカウント |
| バッチ ジョブとしてログオンを拒否する |
Guests、Support_388945a0 |
Guests、Support_388945a0 |
Guests、Support_388945a0 |
| サービスとしてログオンを拒否する |
未定義 |
未定義 |
なし |
| ローカルでログオンを拒否する |
未定義 |
未定義 |
Guests、Support_388945a0 |
| ターミナル サービスを通したログオンを拒否する |
Guests |
Guests |
Guests |
| コンピュータとユーザー アカウントに委任時の信頼を付与 |
未定義 |
未定義 |
Administrators |
| リモート コンピュータからの強制シャットダウン |
未定義 |
未定義 |
Administrators |
| セキュリティ監査の生成 |
未定義 |
未定義 |
NETWORK SERVICE、LOCAL SERVICE |
| 認証後にクライアントを偽装 |
未定義 |
未定義 |
Administrators、SERVICE |
| スケジューリング優先順位の繰り上げ |
未定義 |
未定義 |
Administrators |
| デバイス ドライバのロードとアンロード |
未定義 |
未定義 |
Administrators |
| メモリ内のページのロック |
未定義 |
未定義 |
なし |
| バッチ ジョブとしてログオン |
未定義 |
未定義 |
未定義 |
| サービスとしてログオン |
未定義 |
未定義 |
NETWORK SERVICE |
| 監査とセキュリティ ログの管理 |
未定義 |
未定義 |
Administrators |
| ファームウェアの環境値の修正 |
未定義 |
未定義 |
Administrators |
| ボリュームの保守タスクを実行 |
未定義 |
未定義 |
Administrators |
| 単一プロセス プロファイル |
未定義 |
未定義 |
Administrators |
| システム パフォーマンスのプロファイル |
未定義 |
未定義 |
Administrators |
| ドッキング ステーションからコンピュータを削除 |
未定義 |
未定義 |
Administrators |
| プロセス レベル トークンを置き換える |
未定義 |
未定義 |
LOCAL SERVICE、NETWORK SERVICE |
| ファイルとディレクトリの復元 |
未定義 |
未定義 |
Administrators |
| システムのシャットダウン |
未定義 |
未定義 |
Administrators |
| ディレクトリ サービス データの同期化 |
未定義 |
未定義 |
なし |
| ファイルとその他のオブジェクトの所有権の取得 |
未定義 |
未定義 |
Administrators |
### ネットワーク経由でコンピュータへアクセス
このポリシー設定では、ネットワーク経由でコンピュータに接続できるユーザーとグループを指定します。この設定は、サーバー メッセージ ブロック (SMB) ベースのプロトコル、NetBIOS、共通インターネット ファイル システム (CIFS)、HTTP、Component Object Model Plus (COM+) など、数多くのネットワーク プロトコルで必要になります。
\[ネットワーク経由でコンピュータへアクセス\] は、LC 環境と EC 環境では \[未定義\] に設定されています。一方、Windows Server 2003 SP1 では、**Everyone** セキュリティ グループにアクセス権限が付与されていても、匿名ユーザーにはアクセス権限が付与されなくなりました。ただし、ゲスト用のグループとアカウントには、**Everyone** セキュリティ グループを介してアクセス権限が付与されます。この理由から、SSLF 環境では、**ネットワーク経由でコンピュータへアクセス** ユーザー権利は **Everyone** セキュリティ グループには付与されないため、ドメインに対するゲスト アクセスをねらった攻撃を防御することができます。SSLF 環境で、このユーザー権利が割り当てられるのは、**Administrators**、**Authenticated Users**、**ENTERPRISE DOMAIN CONTROLLERS** の各グループだけです。
### オペレーティング システムの一部として機能
このポリシー設定では、プロセスが、識別したユーザー ID を基に、そのユーザーにアクセスが承認されているリソースへのアクセスを取得できるかどうかを指定します。一般に、このユーザー権利を必要とするのは低レベルの認証サービスだけです。
\[オペレーティング システムの一部として機能\] ユーザー権利は、LC 環境と EC 環境では \[未定義\] に設定されています。SSLF 環境では、NULL 値または空白に設定されています。これにより、このユーザー権利はどのセキュリティ グループおよびアカウントにも割り当てられません。
### プロセスのメモリ クォータの増加
このポリシー設定では、プロセスが使用できるメモリの最大容量をユーザーが調整できるかどうかを指定します。コンピュータのチューニングには便利ですが、悪用される可能性があります。攻撃者がユーザー権利を悪用して DoS 攻撃を仕掛ける可能性があります。
\[プロセスのメモリ クォータの増加\] は、LC 環境と EC 環境では \[未定義\] に設定されています。SSLF 環境では、このユーザー権利は **Administrators** グループ、NETWORK SERVICE、および LOCAL SERVICE に割り当てます。
### ローカル ログオンを許可する
このポリシー設定では、指定したコンピュータに対話的にログオンできるユーザーを指定します。キーボードで **Ctrl** + **Alt** + **Del** キーを押してログオン画面を表示してログオンするには、このユーザー権利が必要です。このユーザー権利を持つアカウントは、コンピュータのローカル コンソールへのログオンに使用できます。
**ローカル ログオンを許可する** ユーザー権利は、LC 環境と EC 環境の場合、**Administrators**、**Backup Operators**、**Power Users** の各グループだけに割り当てます。こうすることで、承認されていないユーザーがログオンして、ユーザー権利を格上げしたり環境にウイルスを侵入させたりすることを防ぐことができます。SSLF 環境では **Administrators** グループだけに割り当てます。
### ターミナル サービスを使ったログオンを許可する
このポリシー設定では、ターミナル サービス クライアントとしてログオンできる権限を持つユーザーまたはグループを指定します。
**ターミナル サービスを使ったログオンを許可する**ユーザー権利は、LC 環境と EC 環境の場合は **Administrators** グループと **Remote Desktop Users** グループだけに付与します。SSLF 環境の場合、このユーザー権利を割り当てるのは **Administrators** グループのメンバのみです。
### ファイルとディレクトリのバックアップ
このポリシー設定では、ユーザーがファイルとディレクトリに関する権限とは無関係にコンピュータをバックアップできるかどうかを指定します。この権利は、アプリケーションが、NTBACKUP.EXE などのバックアップ ユーティリティを使用して、NTFS バックアップ アプリケーション プログラミング インターフェイス (API) を介したアクセスを試みる場合にのみ使用されます。このような場合に該当しないときは、通常のファイル権限とディレクトリ権限が適用されます。
\[ファイルとディレクトリのバックアップ\] は、LC 環境と EC 環境では \[未定義\] に設定されています。SSLF 環境では、このユーザー権利は **Administrators** グループだけに割り当てられています。
### 横断チェックのバイパス
このポリシー設定では、ユーザーが NTFS ファイル システムまたはレジストリ内のオブジェクト パスを移動する際、「フォルダのスキャン」という特別なアクセス権限のチェックなしにフォルダ間を移動できるかどうかを指定します。このユーザー権利があっても、ユーザーはディレクトリをスキャンできるだけで、フォルダの内容を一覧表示することはできません。
\[横断チェックのバイパス\] は、LC 環境と EC 環境では \[未定義\] に設定されています。SSLF 環境では、このユーザー権利は **Authenticated Users** グループのみに割り当てられます。
### システム時刻の変更
このポリシー設定では、コンピュータの内蔵クロックの時刻と日付を変更できるユーザーを指定します。イベント ログにはコンピュータの内蔵クロックに基づいてタイムスタンプが記録されるので、このユーザー権利が割り当てられたユーザーは、イベント ログの内容に影響を与えることが可能になります。コンピュータの時刻が変更された場合、イベントが実際に発生した実際の時刻がログに反映されなくなります。
\[システム時刻の変更\] は、LC 環境と EC 環境では \[未定義\] に設定されています。SSLF 環境では、このユーザー権利は **Administrators** グループだけに割り当てられています。
**注** :ローカル コンピュータの時刻とドメイン コントローラの時刻がずれていると、Kerberos 認証プロトコルで問題が生じることがあります。この場合、ネットワークにログオンしていても、ドメインにログオンできなかったり、ドメイン リソースにアクセスするための認証を取得できなかったりすることがあります。
### ページファイルの作成
このポリシー設定では、ユーザーがページ ファイルを作成したり、そのサイズを変更したりできるかどうかを指定します。ページ ファイルのサイズを変更するには、\[システムのプロパティ\] ダイアログ ボックスの \[詳細設定\] タブにある \[パフォーマンス オプション\] ボックスで、特定のドライブに対するページ ファイルのサイズを指定します。
The\[ページファイルの作成\] は、LC 環境と EC 環境では \[未定義\] に設定されています。SSLF 環境では、このユーザー権利は **Administrators** グループだけに割り当てられています。
### トークン オブジェクトの作成
このポリシー設定では、プロセスがトークンを作成できるかどうかを指定します。作成できる場合、プロセスは、NtCreateToken() などのトークン作成 API を使用する際に、作成したトークンを使用して任意のローカル リソースにアクセスできます。
\[トークン オブジェクトの作成\] は、LC 環境と EC 環境では \[未定義\] に設定されています。SSLF 環境では、このポリシー設定は NULL 値または空白に設定されています。つまり、このユーザー権利を持つセキュリティ グループまたはアカウントはありません。
### グローバル オブジェクトの作成
このポリシー設定では、すべてのセッションで使用できるグローバル オブジェクトの作成をユーザーに許可します。ただし、このユーザー権利が割り当てられていないユーザーも、そのユーザーのセッションに固有のオブジェクトは作成できます。
\[グローバル オブジェクトの作成\] は、LC 環境と EC 環境では \[未定義\] に設定されています。SSLF 環境では、このユーザー権利が割り当てられるのは **SERVICE** グループと **Administrators** グループのみです。
### 永続的共有オブジェクトの作成
このポリシー設定では、ユーザーがオブジェクト マネージャを使用してディレクトリ オブジェクトを作成できるかどうか、つまり共有フォルダやプリンタなどのオブジェクトを作成できるかどうかを指定します。このユーザー権利は、オブジェクトの名前空間を拡張するカーネル モード コンポーネントに付与されていると利便性が高いため、この種類のコンポーネントには最初から備わっています。したがって、このユーザー権利をユーザーに明示的に割り当てる必要は通常はありません。
\[永続的共有オブジェクトの作成\] は、LC 環境と EC 環境では \[未定義\] に設定されています。SSLF 環境では、このポリシー設定は NULL 値または空白に設定されています。つまり、このユーザー権利を持つセキュリティ グループまたはアカウントはありません。
### プログラムのデバッグ
このポリシー設定では、プロセスまたはカーネルにデバッガを接続できるユーザーを指定します。指定すると、取り扱いに慎重を要する、重要なオペレーティング システム コンポーネントにアクセスできます。特別な場合を除き、プログラムのデバッグを運用環境で行うことは避けてください。この特別な場合には、テスト環境では正確に評価できない基幹アプリケーションをトラブルシューティングする場合などが該当します。
\[プログラムのデバッグ\] は、LC 環境では \[未定義\] に設定されています。EC 環境では、このユーザー権利は **Administrators** グループだけに割り当てられています。SSLF 環境では、このポリシー設定は NULL 値または空白に設定されています。つまり、このユーザー権利を持つセキュリティ グループまたはアカウントはありません。
**注** :Windows Server 2003 SP1 では、**プログラムのデバッグ**ユーザー権利を削除すると、ユーザーが Windows Update サービスを使用できなくなる可能性があります。ただし、Windows Update を使用しなくても、更新プログラムは手動でダウンロードおよびインストールできます。また、このユーザー権利を削除すると、クラスタ サービスへの妨害になる可能性があります。詳細については、
| Administrator アカウントの状態 |
未定義 |
未定義 |
有効 |
| Guest アカウントの状態 |
無効 |
無効 |
無効 |
| ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する |
有効 |
有効 |
有効 |
#### アカウント:Administrator アカウントの状態
このポリシー設定では、通常の操作時に Administrator アカウントを有効にするのか、または無効にするのかを指定します。コンピュータをセーフ モードで起動した場合は、この設定に関係なく、Administrator アカウントは常に有効です。
\[アカウント: Administrator アカウントの状態\] は、LC 環境と EC 環境では \[未定義\] に設定されており、SSLF 環境では \[有効\] に設定されています。
#### アカウント:Guest アカウントの状態
このポリシー設定では、Guest アカウントが有効か無効かを指定します。Guest アカウントを有効にすると、承認されていないネットワーク ユーザーが、Guest アカウントでログオンしてコンピュータにアクセスできます。
\[アカウント: Guest アカウントの状態\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで \[無効\] に設定されています。
#### アカウント:ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する
このポリシー設定では、パスワード保護されていないローカル アカウントを使用して、物理コンピュータのコンソール以外の場所からログオンできるかどうかを指定します。このポリシー設定が有効の場合、パスワードが空白でないローカル アカウントを使用してリモート クライアントからネットワークにログオンすることはできません。また、パスワード保護されていないローカル アカウントを使用する場合、そのコンピュータに物理的に接続されたキーボードから直接ログオンすることだけが可能です。
このガイドで定義している 3 つの環境すべてのベースライン ポリシーでは、\[アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する\] は \[有効\] に設定されています。
### 監査の設定
**表 4.13 セキュリティ オプション :監査に関する推奨設定**
| グローバル システム オブジェクトへのアクセスを監査する |
無効 |
無効 |
無効 |
| バックアップと復元の特権の使用を監査する |
無効 |
無効 |
無効 |
| セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする |
無効 |
無効 |
有効 |
#### 監査:グローバル システム オブジェクトへのアクセスを監査する
このポリシー設定が有効な場合、グローバル システム オブジェクトへのアクセスが監査されます。\[監査: グローバル システム オブジェクトへのアクセスを監査する\] と \[オブジェクト アクセスの監査\] の監査ポリシーの両方を有効にした場合、大量の監査イベントが生成されます。
\[監査: グローバル システム オブジェクトへのアクセスを監査する\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、既定値である \[無効\] に設定されています。
**注** :このポリシー設定の設定内容を変更した場合、Windows Server 2003 を再起動するまで、変更結果は反映されません。
#### 監査:バックアップと復元の特権の使用を監査する
このポリシー設定では、\[特権使用の監査\] の有効時に、バックアップと復元を含むすべてのユーザー特権の使用を監査するかどうかを指定します。このポリシー設定を有効にすると、大量のセキュリティ イベントが生成される可能性があります。これにより、サーバーの応答が遅くなったり、セキュリティ ログに重要ではない数多くのイベントが記録されることがあります。
このため、\[監査: バックアップと復元の特権の使用を監査する\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、既定値である \[無効\] に設定されています。
**注** :このポリシー設定の設定内容を変更した場合、Windows Server 2003 を再起動するまで、変更結果は反映されません。
#### 監査:セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする
このポリシー設定では、セキュリティ イベントをログに記録できない場合にコンピュータを直ちにシャットダウンするかどうかを指定します。
LC 環境と EC 環境では、\[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする\] を有効にすると、必要な管理作業の負担が大きくなります。したがって、このポリシー設定は、これらの環境のベースライン ポリシーでは \[無効\] に設定されています。SSLF 環境のベースライン ポリシーでは \[有効\] に設定されています。これは、管理者が特に別の値を選択しない限り、セキュリティ ログからのイベントの削除を防ぐために管理作業の負担が大きくなってもやむを得ないと考えられるからです。
### デバイスの設定
**表 4.14 セキュリティ オプション :デバイスに関する推奨設定**
| ログオンなしの装着解除を許可する |
無効 |
無効 |
無効 |
| リムーバブル メディアを取り出すのを許可する |
Administrators |
Administrators |
Administrators |
| ユーザーがプリンタ ドライバをインストールできないようにする |
有効 |
有効 |
有効 |
| CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する |
未定義 |
未定義 |
無効 |
| フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する |
未定義 |
未定義 |
無効 |
| 署名されていないドライバのインストール時の動作 |
警告するがインストールは許可する |
警告するがインストールは許可する |
警告するがインストールは許可する |
#### デバイス:ログオンなしの装着解除を許可する
このポリシー設定では、ユーザーがコンピュータにログオンしなくてもポータブル コンピュータのドッキングを解除できるかどうかを指定します。このポリシー設定を有効にした場合、ログオン操作が不要になり、外部ハードウェアの取り外しボタンを押してコンピュータをドッキング ステーションから取り外すことができます。このポリシー設定を無効にする場合、ログオンしないユーザーに**ドッキング ステーションからコンピュータを削除**ユーザー権利を割り当てる必要があります。
\[デバイス: ログオンなしの装着解除を許可する\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで \[無効\] に設定されています。
#### デバイス:リムーバブル メディアを取り出すのを許可する
このポリシー設定では、リムーバブル メディアのフォーマットおよび取り出しを実行できるユーザーを指定します。サーバーのリムーバブル メディアを取り出す権限は、管理者にのみ付与すべきです。
このため、\[デバイス: リムーバブル メディアを取り出すのを許可する\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、既定値である \[無効\] に設定されています。
#### デバイス:ユーザーがプリンタ ドライバをインストールできないようにする
あるコンピュータ上でネットワーク プリンタに印刷するには、そのネットワークプリンタ用ドライバがそのコンピュータにインストールされている必要があります。\[デバイス: ユーザーがプリンタ ドライバをインストールできないようにする\] を有効にすると、**Administrators** グループのユーザー、**Power Users** グループのユーザー、または Server Operator 権限を持つユーザーのみが、プリンタ ドライバをインストールしてネットワーク プリンタを追加できるようになります。このポリシー設定を無効にすると、ユーザーはプリンタ ドライバをインストールできるようになります。
\[デバイス: ユーザーがプリンタ ドライバをインストールできないようにする\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、既定値である \[有効\] に設定されています。
#### デバイス:CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する
このポリシー設定では、ローカル ユーザーとリモート ユーザーの両方が同時に CD-ROM にアクセスできるようにするかどうかを設定します。このポリシー設定を有効にすると、対話型でログオンしたユーザーに対してのみ、リムーバル CD-ROM メディアへのアクセスが許可されます。このポリシー設定が有効でも、対話的にログオンしているユーザーがいない場合は、ネットワーク経由で CD-ROM にアクセスできます。
\[デバイス: CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する\] は、LC 環境と EC 環境のベースライン ポリシーでは \[未定義\] に設定されています。SSLF 環境のベースライン ポリシーでは、このポリシー設定は \[無効\] に設定されています。
#### デバイス:フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する
このポリシー設定では、ローカル ユーザーとリモート ユーザーの両方が同時にリムーバブル フロッピー メディアにアクセスできるようにするかどうかを指定します。このポリシー設定を有効にすると、対話型でログオンしたユーザーに対してのみ、リムーバル フロッピー メディアへのアクセスが許可されます。このポリシー設定が有効でも、対話的にログオンしているユーザーがいない場合は、ネットワーク経由でフロッピー ディスク メディアにアクセスできます。
\[デバイス: フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する\] は、LC 環境と EC 環境のベースライン ポリシーでは \[未定義\] に設定されています。SSLF 環境のベースライン ポリシーでは、このポリシー設定は \[無効\] に設定されています。
#### デバイス:署名されていないドライバのインストール時の動作
このポリシー設定では、Windows Hardware Quality Lab (WHQL) による承認と署名がないデバイス ドライバが (Setup API を介して) インストールされようとしたときの動作を指定します。このポリシー設定の指定に応じて、署名のないドライバのインストールが中止されるか、または、署名のないドライバがインストールされようとしている旨の警告が管理者に通知されます。
\[デバイス: 署名されないドライバのインストール時の動作\] 設定は、Windows Server2003 SP1 での実行が認証されていないドライバのインストール防止に使用できます。ただし、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、このポリシー設定は \[警告するがインストールは許可する\] に設定されています。この指定の潜在的な問題の 1 つは、無人インストール スクリプトで署名のないドライバをインストールしようとするとスクリプトが失敗することです。
### ドメイン メンバの設定
**表 4.15 セキュリティ オプション :ドメイン メンバに関する推奨設定**
| 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する |
無効 |
有効 |
有効 |
| 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する |
有効 |
有効 |
有効 |
| 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する |
有効 |
有効 |
有効 |
| コンピュータ アカウント パスワード: 定期的な変更を無効にする |
無効 |
無効 |
無効 |
| 最大コンピュータ アカウントのパスワードの有効期間 |
30 日間 |
30 日間 |
30 日間 |
| 強力な (Windows 2000、Windows XP、または Windows Server 2003) セッション キーを必要とする |
有効 |
有効 |
有効 |
#### ドメイン メンバ:常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する
このポリシー設定では、ドメイン メンバから送信されたすべてのセキュリティ チャネル トラフィックが署名または暗号化される必要があるかどうかを指定します。セキュリティ チャネルのデータが常に暗号化または署名される設定のコンピュータは、すべてのセキュリティ チャネル トラフィックを署名または暗号化できないドメイン コントローラとはセキュリティ チャネルを確立できません。
\[ドメイン メンバ: 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する\] は、LC 環境のベースライン ポリシーでは \[無効\] に設定されており、EC 環境と SSLF 環境の場合には \[有効\] に設定されています。
**注** :メンバ ワークステーションとサーバーでこの設定を活用するには、メンバのドメインを構成するすべてのドメイン コントローラで、Windows NT 4.0 Service Pack 6a またはそれ以降のバージョンの Windows を実行している必要があります。また、Dsclient がインストールされていない Windows 98 Second Edition クライアントでは、このポリシー設定はサポートされません。
#### ドメイン メンバ:可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する
このポリシー設定では、ドメイン メンバから送信される、すべてのセキュリティ チャネル トラフィックに対して、ドメイン メンバが暗号化のネゴシエートを試行できるかどうかを指定します。このポリシー設定を有効にすると、ドメイン メンバはセキュリティ保護されたチャネルのすべてのトラフィックを暗号化するように要求します。無効にすると、ドメイン メンバはセキュリティ チャネル暗号化のネゴシエートを許可しません。
このため、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、\[ドメイン メンバ: 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する\] は \[有効\] に設定されています。
#### ドメイン メンバ:可能な場合、セキュリティ チャネルのデータをデジタル的に署名する
このポリシー設定では、ドメイン メンバから送信される、すべてのセキュリティ チャネル トラフィックに対して、ドメイン メンバが署名のネゴシエートを試行できるかどうかを指定します。署名を必須にすることにより、データの取得が可能なユーザーによってトラフィックが変更されないようにします。
このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、\[ドメイン メンバ: 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する\] は \[有効\] に設定されています。
#### ドメイン メンバ:コンピュータ アカウント パスワード: 定期的な変更を無効にする
このポリシー設定では、ドメイン メンバがそのコンピュータ アカウント パスワードを定期的に変更できるかどうかを指定します。このポリシー設定を有効にすると、ドメイン メンバはそのコンピュータ アカウント パスワードを変更できません。無効にすると、ドメイン メンバは、\[ドメイン メンバ: 最大コンピュータ アカウントのパスワードの有効期間\] で指定された間隔 (既定値は 30 日) で、そのコンピュータのアカウントのパスワードを変更できます。
コンピュータのアカウント パスワードが自動的に変更されない場合は、そのコンピュータのドメイン アカウントのパスワードが攻撃者に特定されると、攻撃を受ける可能性があります。このため、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、\[ドメイン メンバ: コンピュータ アカウント パスワード: 定期的な変更を無効にする\] は \[無効\] に設定されています。
#### ドメイン メンバ:最大コンピュータ アカウントのパスワードの有効期間
このポリシー設定では、コンピュータ アカウント パスワードの有効期間の上限を指定します。このポリシー設定は、Windows 2000 を実行しているコンピュータでもサポートされていますが、Windows 2000 マシンの Security Configuration Manager ツールでこの設定を指定することはできません。既定では、各ドメイン メンバはそのドメイン パスワードを 30 日ごとに自動変更します。この間隔を大幅に延ばすか、またはこの設定を 0 にしてコンピュータがパスワードを変更しないようにすると、攻撃者がブルート フォース攻撃を仕掛けて 1 つまたは複数のコンピュータ アカウントのパスワードを推測するのにかける時間が長くなります。
このため、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、\[ドメイン メンバ: 最大コンピュータ アカウントのパスワードの有効期間\] は \[30 日\] に設定されています。
#### ドメイン メンバ:強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする
このポリシー設定では、暗号化されたセキュリティ チャネルのデータに 128 ビット キー強度が必要かどうかを指定します。このポリシー設定を有効にすると、セキュリティ チャネルは 128 ビット暗号化が使用されない限り確立されません。無効にすると、ドメイン メンバはドメイン コントローラ間でキーの長さをネゴシエートする必要があります。ドメイン コントローラとメンバ コンピュータ間でセキュリティで保護されたチャネル通信を確立するために使用されるセッション キーの強度が、Windows 2000 では以前の Microsoft オペレーティング システムのセッション キーより高くなっています。
このガイドで定義している 3 種類のセキュリティ環境には Windows 2000 以降のドメイン コントローラが必ず含まれているので、3 種類のセキュリティ環境すべてのベースライン ポリシーで、\[ドメイン メンバ: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする\] は \[有効\] に設定されています。
**注** :このポリシー設定を有効にすると、Windows 2000 を実行しているコンピュータを Windows NT 4.0 ドメインに参加させることができなくなります。
### 対話型ログオンの設定
**表 4.16 セキュリティ オプション :対話型ログオンに関する推奨設定**
| セッションがロックされているときにユーザーの情報を表示する |
未定義 |
未定義 |
ユーザー表示名、ドメインおよびユーザー名 |
| 最後のユーザー名を表示しない |
有効 |
有効 |
有効 |
| Ctrl+Alt+Del を必要としない |
無効 |
無効 |
無効 |
| ログオン時のユーザーへのメッセージのテキスト |
(組織の担当者に相談のこと) |
(組織の担当者に相談のこと) |
(組織の担当者に相談のこと) |
| ログオン時のユーザーへのメッセージのタイトル |
(組織の担当者に相談のこと) |
(組織の担当者に相談のこと) |
(組織の担当者に相談のこと) |
| ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 |
1 |
0 |
0 |
| パスワードが無効になる前にユーザーに変更を促す |
14 日 |
14 日 |
14 日 |
| workstation のロック解除にドメイン コントローラの認証を必要とする |
有効 |
有効 |
有効 |
| スマート カードが必要 |
未定義 |
未定義 |
無効 |
| スマート カード取り出し時の動作 |
未定義 |
ワークステーションをロックする |
ワークステーションをロックする |
#### 対話型ログオン:セッションがロックされているときにユーザーの情報を表示する
このポリシー設定では、組織内のクライアント コンピュータに最後にログオンしたユーザーのアカウント名を各コンピュータの Windows ログオン画面に表示するかどうかを指定します。このポリシー設定を有効にすると、侵入者が組織内のデスクトップまたはラップトップ コンピュータの画面を見てアカウント名を収集することができません。
\[対話型ログオン: セッションがロックされているときにユーザーの情報を表示する\] は、LC 環境と EC 環境では \[未定義\] に設定されています。SSLF 環境のベースライン サーバー ポリシーでは \[ユーザーの表示名、ドメインおよびユーザー名\] に設定されています。
#### 対話型ログオン:最後のユーザー名を表示しない
このポリシー設定では、コンピュータに最後にログインしたユーザーの名前を Windows ログオン画面に表示するかどうかを指定します。このポリシー設定を有効にすると、最後にログオンしたユーザーの名前は \[Windows へログオン\] ダイアログ ボックスに表示されません。
\[対話型ログオン: 最後のユーザー名を表示しない\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで \[有効\] に設定されています。
#### 対話型ログオン:Ctrl+Alt+Del を必要としない
このポリシー設定では、ユーザーがログオンする前に **Ctrl** + **Alt** + **Del** キーを押す必要があるかどうかを指定します。このポリシー設定を無効にすると、ユーザーは Windows にログオンする前に必ず **Ctrl** + **Alt** + **Del** キーを押す必要があります (スマート カードを使用して Windows にログオンする場合を除く)。
このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、\[対話型ログオン: Ctrl+Alt+Del を必要としない\] は \[無効\] に設定されています。こうすることで、攻撃者がトロイの木馬プログラムを使用してユーザー パスワードを傍受する可能性を低減させることができます。
#### 対話型ログオン:ログオン時のユーザーへのメッセージのテキスト
このポリシー設定では、ユーザーがログオンするときに表示されるテキスト メッセージを指定します。多くの場合、このテキストは法的な理由で使用されます。たとえば、アクセスに権限がない場合、または企業情報を誤用した場合には悪い影響が及ぶこと、あるいはユーザーのアクションが監査されていることについてユーザーに警告するためなどに使用されます。
\[対話型ログオン: ログオン時のユーザーへのメッセージのテキスト\] セキュリティ オプションを使用することをお勧めします。このテキストの文言については、組織内の関係者と相談してください。
**注** :\[対話型ログオン: ログオン時のユーザーへのメッセージのテキスト\] と \[対話型ログオン: ログオン時のユーザーへのメッセージのタイトル\] のいずれかを正しく機能させるときには、両方とも有効にする必要があります。
#### 対話型ログオン:ログオン時のユーザーへのメッセージのタイトル
このポリシー設定では、ユーザーがコンピュータにログオンするときに表示される対話型のログオン ダイアログ ボックスのタイトル バーのタイトルを指定できます。このポリシーを設定する目的は、\[ログオン時のユーザーへのメッセージのテキスト\] 設定と同じです。
このため、\[対話型ログオン: ログオン時のユーザーへのメッセージのテキスト\] 設定を使用することをお勧めします。このテキストの文言については、組織内の関係者と相談してください。
**注** :\[対話型ログオン: ログオン時のユーザーへのメッセージのテキスト\] と \[対話型ログオン: ログオン時のユーザーへのメッセージのタイトル\] のいずれかを正しく機能させるときには、両方とも有効にする必要があります。
#### 対話型ログオン:ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数
このポリシー設定では、ユーザーが、キャッシュされたアカウント情報により、Windows ドメインにログオンできるかどうかを指定します。ドメイン アカウントのログオン情報はローカルにキャッシュされるので、その直後のログオン時にはドメイン コントローラに接続できなくてもユーザーはログオンできます。この機能が有効の場合、ワークステーションはドメイン コントローラに接続しないので、アカウントが無効になったり削除されたりした後でもユーザーはログオンできる場合があります。このポリシー設定では、何人分のユーザーのログオン情報をローカルのキャッシュに格納するかを指定します。この設定を 0 にした場合には、ログオン キャッシュは無効になります。
EC 環境と SSLF 環境のベースライン ポリシーでは、\[対話型ログオン: ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数\] は **0** に設定されています。LC 環境では **1** に設定されており、ドメイン コントローラに接続できない正当なクライアントにアクセスが許可されます。
#### 対話型ログオン:パスワードが無効になる前にユーザーに変更を促す
このポリシー設定は、パスワードの有効期限が切れる何日前からユーザーに警告するかを指定します。第 3 章の「アカウント ポリシー」セクションでは、ユーザー パスワードが定期的に期限切れになるように設定することを推奨しています。パスワードの期限がいつ切れるかをユーザーに通知しないと、ユーザーは、パスワードの有効期限が実際に切れるまでそのことに気付かない可能性があります。これは、パスワードの変更方法を理解していないローカル ユーザーが混乱する原因になる可能性があります。また、パスワードの有効期限が切れることを知らずにそのパスワードが無効になった場合には、リモート ユーザーはダイヤルアップまたは仮想プライベート ネットワーク (VPN) 接続を介してログオンできなくなります。
このため、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、\[対話型ログオン: パスワードが無効になる前にユーザーに変更を促す\] は、既定の設定である 14 日間に設定されています。
#### 対話型ログオン:workstation のロック解除にドメイン コントローラの認証を必要とする
ドメイン アカウントの場合、このポリシー設定では、コンピュータのロックを解除するためにドメイン コントローラへの接続が必要かどうかを指定します。このポリシー設定は、\[対話型ログオン: ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数\] 設定と同様の潜在的な脆弱性に対処します。ユーザーは、サーバーのネットワーク ケーブルを外すこと、古いパスワードを使用してサーバーをロック解除すること、および認証なしにサーバーをロック解除することが可能です。
このような事態の発生を防ぐため、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、\[対話型ログオン: workstation のロック解除にドメイン コントローラの認証を必要とする\] は、\[有効\] に設定されています。
**重要** :このポリシー設定は、Windows 2000、Windows XP、および Windows Server 2003 を実行しているコンピュータに適用されます。ただし、Windows 2000 を実行しているコンピュータで、Security Configuration Manager ツールを使用してこれを指定することはできません。
#### 対話型ログオン:スマート カードが必要
このポリシー設定では、スマート カードを使用してコンピュータにログオンするようにユーザーに要求します。ユーザー認証に長くて複雑なパスワードを使用すると、セキュリティが向上します。パスワードの定期的な変更を義務付けると、さらにセキュリティが向上します。このような対策を実施することにより、攻撃者がブルート フォース攻撃を使用してユーザーのパスワードを特定できる可能性は低くなります。反面、ユーザーに強力なパスワードを選択するよう強制するのは難しく、また、強力なパスワードを設定してもブルート フォース攻撃に対しては脆弱です。
認証にパスワードではなくスマート カードを使用すると、セキュリティが大幅に向上します。これは、現状のテクノロジでは攻撃者が別のユーザーになりすますことがほぼ不可能であるからです。暗証番号 (PIN) を必要とするスマート カードでは、2 要素 (ユーザーがスマート カードを所持している必要があること、PIN を知っている必要があること) の認証が実現されます。攻撃者が、ユーザーのコンピュータとドメイン コントローラとの間の認証トラフィックを取得したとしても、トラフィックの解読は非常に困難になります。トラフィックが解読できたとしても、ユーザーが次回ネットワークにログオンするときには、新しいセッション キーが生成されて、ユーザーとドメイン コントローラとの間のトラフィックの暗号化に使用されます。
Microsoft は、スマート カードまたはその他の強力な認証テクノロジを組織に導入することをお勧めします。スマート カードが導入済みの場合は、\[対話型ログオン: スマート カードが必要\] 設定だけを有効にする必要があります。この理由から、LC 環境と EC 環境のベースライン ポリシーでは、このポリシー設定は \[未定義\] に設定されています。SSLF 環境のベースライン ポリシーでは \[無効\] に設定されています。
#### 対話型ログオン:スマート カード取り出し時の動作
このポリシー設定では、ログオンしたユーザーのスマート カードがスマート カード読み取り装置から取り出されたときの動作を指定します。この設定を \[ワークステーションをロックする\] に設定すると、スマート カードが取り出されたときにワークステーションがロックされます。つまり、ユーザーは自分のスマート カードを持って席をはずすことができます。この設定を \[ログオフを強制する\] に設定すると、スマート カードが取り出されたときにユーザーは自動的にログオフされます。
\[対話型ログオン: スマート カード取り出し時の動作\] は、LC 環境のベースライン ポリシー設定では \[未定義\] に設定されており、EC 環境と SSLF 環境のベースライン ポリシーでは \[ワークステーションをロックする\] に設定されています。
### Microsoft ネットワーク クライアントの設定
**表 4.17 セキュリティ オプション :Microsoft ネットワーク クライアントに関する推奨設定**
| 常に通信にデジタル署名を行う |
無効 |
有効 |
有効 |
| サーバーが同意すれば、通信にデジタル署名を行う |
有効 |
有効 |
有効 |
| サード パーティ製の SMB サーバーへのパスワードを、暗号化しないで送信する |
無効 |
無効 |
無効 |
#### Microsoft ネットワーク クライアント:常に通信にデジタル署名を行う
このポリシー設定では、パケット署名が SMB クライアント コンポーネントによって要求されるかどうかを指定します。この設定を有効にすると、Microsoft ネットワーク サーバーが SMB パケット署名の実行に同意しない場合には、Microsoft ネットワーク クライアントは Microsoft ネットワーク サーバーと通信できなくなります。レガシ クライアントが混在する環境では、このオプションを \[無効\] に設定してください。レガシ クライアントは、ドメイン コントローラを認証したり、ドメイン コントローラにアクセスしたりできないからです。ただし、Windows 2000、Windows XP、および Windows Server 2003 を実行している環境では、この設定を使用できます。このガイドで定義している EC 環境と SSLF 環境には、これらのオペレーティング システムを実行しているコンピュータだけが存在し、そのどれもがデジタル署名をサポートしています。
したがって、環境内のコンピュータ間の通信セキュリティを向上させるため、EC 環境と SSLF 環境のベースライン ポリシーでは、\[Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う\] は \[有効\] に設定されています。
#### Microsoft ネットワーク クライアント:サーバーが同意すれば、通信にデジタル署名を行う
このポリシー設定は、SMB クライアントが SMB パケット署名のネゴシエートを試行するかどうかを指定します。Windows ネットワークにデジタル署名を実装することで、セッションの乗っ取りを防ぐことができます。このポリシー設定を有効にすると、メンバ サーバー上の Microsoft ネットワーク クライアントは、通信相手のサーバーがデジタル署名された通信を受け入れる場合にのみ、署名を要求します。
このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、\[Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う\] は \[有効\] に設定されています。
#### Microsoft ネットワーク クライアント:サード パーティ製の SMB サーバーへのパスワードを、暗号化しないで送信する
このポリシー設定を有効にすると、SMB リダイレクタは、認証時のパスワード暗号化をサポートしていない Microsoft 以外の SMB サーバーに、プレーンテキストのパスワードを送信できるようになります。
\[Microsoft ネットワーク クライアント: サーバーへのパスワードを、暗号化しないで送信する\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、既定値である \[無効\] に設定されています。ただし、パスワードの機密性を確保することよりもアプリケーションの要件の方が優先される場合は、この限りではありません。
### Microsoft ネットワーク サーバーの設定
**表 4.18 セキュリティ オプション :Microsoft ネットワーク サーバーに関する推奨設定**
| セッションを中断する前に、ある一定のアイドル時間を必要とする |
15 分 |
15 分 |
15 分 |
| 常に通信にデジタル署名を行う |
無効 |
有効 |
有効 |
| クライアントが同意すれば、通信にデジタル署名を行う |
有効 |
有効 |
有効 |
| ログオン時間の有効期間が切れるとクライアントを切断する |
有効 |
有効 |
有効 |
#### Microsoft ネットワーク サーバー:セッションを中断する前に、ある一定のアイドル時間を必要とする
このポリシー設定では、非アクティブ状態が原因でセッションを中断する場合に、SMB セッションで経過している必要がある連続アイドル時間を指定します。管理者はこのポリシー設定を使用して、コンピュータが非アクティブな SMB セッションを中断するタイミングを制御できます。クライアント アクティビティが再開すると、セッションは自動的に再確立されます。
このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、\[Microsoft ネットワーク サーバー: セッションを中断する前に、ある一定のアイドル時間を必要とする\] は \[15 分\] に設定されています。
#### Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う
このポリシー設定では、SMB クライアントとのその後の通信を許可する前に、SMB パケット サーバー コンポーネントにパケット署名が必要かどうかを指定します。Windows 2000 Server、Windows 2000 Professional、Windows Server 2003、および Windows XP Professional には、相互認証をサポートする SMB バージョンが含まれています。これにより、セッションの乗っ取りが防止され、仲介者攻撃を防ぐメッセージ認証がサポートされます。SMB 署名では、各 SMB パケットにデジタル署名することによってこの認証を行います。各パケットは、クライアントとサーバーの両方によって検証されます。コンピュータが、署名のない SMB 通信をすべて無視するように構成されている場合、レガシ アプリケーションおよびレガシ オペレーティング システムは接続できません。すべての SMB 署名が完全に無効になっている場合、コンピュータは通信セッションを乗っ取ろうとする攻撃に対して脆弱です。
\[Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う\] 設定は、LC 環境のベースライン ポリシーでは \[無効\] に設定されており、EC 環境と SSLF 環境では \[有効\] に設定されています。
#### Microsoft ネットワーク サーバー:クライアントが同意すれば、通信にデジタル署名を行う
このポリシー設定では、SMB サーバーが SMB パケット署名と、SMB パケット署名を要求するクライアントをネゴシエートするかどうかを指定します。Windows 2000 Server、Windows 2000 Professional、Windows Server 2003、および Windows XP Professional には、相互認証をサポートする SMB バージョンが含まれています。これにより、セッションの乗っ取りが防止され、仲介者攻撃を防ぐメッセージ認証がサポートされます。SMB 署名では、各 SMB パケットにデジタル署名することによってこの認証を行います。各パケットは、クライアントとサーバーの両方によって検証されます。コンピュータが、署名のない SMB 通信をすべて無視するように構成されている場合、レガシ アプリケーションおよびレガシ オペレーティング システムは接続できません。すべての SMB 署名が完全に無効になっている場合、コンピュータは通信セッションを乗っ取ろうとする攻撃に対して脆弱です。
このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、\[Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う\] は \[有効\] に設定されています。
#### Microsoft ネットワーク サーバー:ログオン時間の有効期間が切れるとクライアントを切断する
このポリシー設定では、使用しているユーザー アカウントに有効なログオン時間外にネットワーク コンピュータに接続しているユーザーを切断するかどうかを指定します。このポリシー設定は SMB コンポーネントに影響します。組織でユーザーのログオン時間が決められている場合には、このポリシー設定を有効にします。この設定を無効にする場合、ユーザーがログオン時間以外の時間にネットワーク リソースにアクセスすることを禁止する必要があります。そうしないと、アクセスを許可された時間内に確立されたセッションを通じてネットワーク リソースを引き続き使用できることになります。
このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、\[Microsoft ネットワーク サーバー: ログオン時間の有効期間が切れるとクライアントを切断する\] は \[有効\] に設定されています。
### ネットワーク アクセスの設定
**表 4.19 セキュリティ オプション :ネットワーク アクセスに関する推奨設定**
| 匿名の SID と名前の変換を許可する |
未定義 |
未定義 |
無効 |
| SAM アカウントの匿名の列挙を許可しない |
有効 |
有効 |
有効 |
| SAM アカウントおよび共有の匿名の列挙を許可しない |
有効 |
有効 |
有効 |
| ネットワーク認証のために資格情報または .NET Passport を保存することを許可しない |
有効 |
有効 |
有効 |
| Everyone のアクセス許可を匿名ユーザーに適用する |
無効 |
無効 |
無効 |
| リモートからアクセスできる名前付きパイプ |
未定義 |
未定義 |
COMNAP、COMNODE、SQL\QUERY、SPOOLSS、LLSRPC、netlogon、lsarpc、samr、browser |
| リモートからアクセスできるレジストリのパス |
System\CurrentControlSet\Control\Product Options;
System\CurrentControlSet\Control\
Server Applications;
Software\Microsoft\
Windows NT\Current
バージョン |
System\CurrentControlSet\Control\Product Options;
System\CurrentControlSet\Control\
Server Applications;
Software\Microsoft\
Windows NT\Current
バージョン |
System\CurrentControlSet\Control\Product Options;
System\CurrentControlSet\Control\
Server Applications;
Software\Microsoft\
Windows NT\Current
バージョン |
| リモートからアクセスできるレジストリのパスおよびサブパス |
(設定情報については後述のサブセクションを参照) |
(設定情報については後述のサブセクションを参照) |
(設定情報については後述のサブセクションを参照) |
| 名前付きパイプと共有への匿名のアクセスを制限する |
有効 |
有効 |
有効 |
| 匿名でアクセスできる共有 |
未定義 |
未定義 |
なし |
| ローカル アカウントの共有とセキュリティ モデル |
クラシック - ローカル ユーザーがローカル ユーザーとして認証する |
クラシック - ローカル ユーザーがローカル ユーザーとして認証する |
クラシック - ローカル ユーザーがローカル ユーザーとして認証する |
#### ネットワーク アクセス:匿名の SID と名前の変換を許可する
このポリシー設定では、匿名ユーザーが別のユーザーの SID 属性を要求できるかどうかを指定します。このポリシー設定が有効の場合、ローカル アクセス権限を持つユーザーは、一般的な Administrators SID を使用して、アカウントの名前が変更されている場合も含めて、ビルトイン Administrator アカウントの本当の名前を取得できます。さらに、取得したアカウント名を使用してパスワード推測攻撃を開始することが可能です。
\[ネットワーク アクセス: 匿名の SID と名前の変換を許可する\] は、LC 環境と EC 環境のベースライン ポリシーでは \[未定義\] に設定されています。SSLF 環境のベースライン ポリシーでは \[無効\] に設定されています。
#### ネットワーク アクセス:SAM アカウントの匿名の列挙を許可しない
このポリシー設定では、コンピュータに匿名で接続する際に付与する追加権限を指定します。Windows では、匿名のユーザーは、ドメイン アカウントの名前の列挙など、一定のアクティビティを実行できます。この機能は、相互信頼のない信頼されたドメインでユーザーにアクセスを付与する場合などに便利です。ただし、この設定が有効になっている場合でも、匿名ユーザーが、特殊ビルトイン グループ **ANONYMOUS LOGON** を明示的に含むアクセス許可を持つリソースにアクセスすることは可能です。
\[ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは \[有効\] に設定されています。
#### ネットワーク アクセス:SAM アカウントおよび共有の匿名の列挙を許可しない
このポリシー設定では、SAM アカウントと共有の匿名の列挙を許可するかどうかを指定します。
\[ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは \[有効\] に設定されています。
#### ネットワーク アクセス:ネットワーク認証のために資格情報または .NET Passport を保存することを許可しない
このポリシー設定では、ドメイン認証の終了後に、パスワード、資格情報、または Microsoft .Net Passport を後で使用できるように**ユーザー名およびパスワードの保存**設定で保存するかどうかを指定します。
\[ネットワーク アクセス: ネットワーク認証のために資格情報または .NET Passport を保存することを許可しない\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで \[有効\] に設定されています。
**注** :このポリシー設定の設定内容を変更した場合、その変更は Windows を再起動するまで反映されません。
#### ネットワーク アクセス:Everyone のアクセス許可を匿名ユーザーに適用する
このポリシー設定では、コンピュータに匿名で接続する際に付与する追加権限を指定します。このポリシー設定を有効にすると、匿名の Windows ユーザーは、ドメイン アカウント名やネットワーク共有名の列挙など、特定の操作の実行が可能になります。つまり、権限のないユーザーでも、匿名で接続してアカウント名と共有リソース名を列挙し、その情報を利用して、パスワードを推測したりソーシャル エンジニアリング攻撃 (心理的方法でユーザーをだまして重要データを収集する行為) を仕掛けることができます。
このため、\[ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで \[無効\] に設定されています。
**注** :このポリシー設定が有効になっているドメインは、Windows NT 4.0 ドメインまたは Windows NT 4.0 を実行しているドメイン コントローラとの間で、信頼関係を確立することや維持することができません。
#### ネットワーク アクセス:リモートからアクセスできる名前付きパイプ
このポリシー設定では、匿名でアクセスできる属性および許可を持つ通信セッション (名前付きパイプ) を指定します。
SSLF 環境では、\[ネットワーク アクセス: リモートからアクセスできる名前付きパイプ\] を既定値に設定するように義務付ける必要があります。既定値は、次の名前付きパイプで構成されます。
- COMNAP SNA セッション アクセス
- COMNODE SNA セッション アクセス
- SQL\\QUERY SQL インスタンス アクセス
- SPOOLSS スプーラ サービス
- LLSRPC License Logging サービス
- Netlogon Net Logon サービス
- Lsarpc LSA アクセス
- Samr SAM アクセス
- browser Computer Browser サービス
**重要** :このポリシー設定を有効にする必要がある場合は、必ず、社内環境のアプリケーションに必要な名前付きパイプだけを追加してください。このガイドのその他のすべての推奨設定と同様に、このポリシー設定も運用環境に展開する前に入念にテストする必要があります。
#### ネットワーク アクセス:リモートからアクセスできるレジストリのパス
このポリシー設定では、ネットワーク経由でアクセスできるレジストリ パスを指定します。
\[ネットワーク アクセス: リモートからアクセスできるレジストリのパス\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、既定値に設定されています。
**注** :このポリシーを設定した場合でも、権限のあるユーザーがネットワーク経由でレジストリにアクセスできるようにするには、Remote Registry システム サービスを起動しておく必要があります。
#### ネットワーク アクセス:リモートからアクセスできるレジストリのパスおよびサブパス
このポリシー設定では、ネットワーク経由でアクセスできるレジストリ パスとサブパスを指定します。
\[ネットワーク アクセス: リモートからアクセスできるレジストリのパスおよびサブパス\] の既定値は、このガイドで定義している 3 種類の環境すべてのベースライン セキュリティ テンプレートに適用されます。既定値は、次のパスとサブパスで構成されます。
- System\\CurrentControlSet\\Control\\Print\\Printers
- System\\CurrentControlSet\\Services\\Eventlog
- Software\\Microsoft\\OLAP Server
- Software\\Microsoft\\Windows NT\\CurrentVersion\\Print
- Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows
- System\\CurrentControlSet\\Control\\ContentIndex
- System\\CurrentControlSet\\Control\\Terminal Server
- System\\CurrentControlSet\\Control\\Terminal Server\\UserConfig
- System\\CurrentControlSet\\Control\\Terminal Server\\DefaultUserConfiguration
- Software\\Microsoft\\Windows NT\\CurrentVersion\\Perflib
- System\\CurrentControlSet\\Services\\SysmonLog
#### ネットワーク アクセス:名前付きパイプと共有への匿名のアクセスを制限する
このポリシー設定は、匿名による共有と名前付きパイプへのアクセスを制限するために、次の設定で使用されます。
- **ネットワーク アクセス: リモートからアクセスできる名前付きパイプ**
- **ネットワーク アクセス: 匿名でアクセスできる共有**
\[ネットワーク アクセス: 名前付きパイプと共有への匿名のアクセスを制限する\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで \[有効\] に設定されています。
#### ネットワーク アクセス:匿名でアクセスできる共有
このポリシー設定では、匿名ユーザーがアクセスできるネットワーク共有を指定します。この設定は、既定値のままでもほとんど影響を及ぼしません。ユーザーがサーバー上の共有リソースにアクセスするには、必ず事前に認証を受ける必要があるからです。
\[ネットワーク アクセス: 匿名でアクセスできる共有\] は、LC 環境と EC 環境では \[未定義\] に設定されており、SSLF 環境では \[なし\] に設定されています。
**注** :このポリシー設定には危険性があります。表示されるすべての共有に、すべてのネットワークユーザーがアクセスできるからです。このポリシー設定が有効になっていると、機密データが流出したり壊されたりする可能性があります。
#### ネットワーク アクセス:ローカル アカウントの共有とセキュリティ モデル
このポリシー設定では、ローカル アカウントを使用するネットワーク ログオンの認証方法を指定します。\[クラシック\] 設定を使用すると、リソースに対するアクセスを微調整することができるため、同じリソースに対してさまざまなユーザーに異なる種類のアクセスを許可できます。\[Guest のみ\] 設定を使用すると、すべてのユーザーを同等に扱うことができます。これに関連して、\[Guest のみ\] として認証されるすべてのユーザーは、特定のリソースへの同じアクセス レベルを取得します。
\[ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、既定値である \[クラシック\] に設定されています。
### ネットワーク セキュリティの設定
**表 4.20 セキュリティ オプション :ネットワーク セキュリティに関する推奨設定**
| 次のパスワードの変更で LAN Manager のハッシュの値を保存しない |
有効 |
有効 |
有効 |
| LAN Manager 認証レベル |
NTLMv2 応答のみ送信する |
NTLMv2 応答のみ送信\LM を拒否する |
NTLMv2 応答のみ送信\LM と NTLM を拒否する |
| 必須の署名をしている LDAP クライアント |
ネゴシエーション署名 |
ネゴシエーション署名 |
ネゴシエーション署名 |
| セキュア RPC を含む NTLM SSP ベースのクライアントの最小のセッション セキュリティ |
最小なし |
すべて有効 |
すべて有効 |
| セキュア RPC を含む NTLM SSP ベースのサーバーの最小のセッション セキュリティ |
最小なし |
すべて有効 |
すべて有効 |
#### ネットワーク セキュリティ:次のパスワードの変更で LAN Manager のハッシュの値を保存しない
このポリシー設定では、パスワードの変更時に新しいパスワードの LAN Manager (LM) ハッシュ値を保存するかどうかを指定します。暗号強度の高い Windows NT ハッシュに比べて、LM ハッシュは比較的弱く攻撃を受けやすくなっています。
このことから、\[ネットワーク セキュリティ: 次のパスワードの変更で LAN Manager のハッシュの値を保存しない\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで \[有効\] に設定されています。
**注** :このポリシー設定が有効の場合、非常に古いレガシ オペレーティング システムと一部のアプリケーションでエラーが発生する可能性があります。また、このポリシー設定を有効にした後には、すべてのアカウントのパスワードを変更する必要があります。
#### ネットワーク セキュリティ:LAN Manager 認証レベル
このポリシー設定では、ネットワーク ログオンに使用するチャレンジ/レスポンス認証プロトコルを指定します。この選択は、以下に示すように、クライアント コンピュータが使用する認証プロトコルのレベル、ネゴシエートするセキュリティのレベル、およびサーバーが受け付ける認証のレベルに影響します。以下の表の数値は、**LMCompatibilityLevel** レジストリ値に対する実際の設定値です。
**表 4.21 LMCompatibilityLevel レジストリ値の設定**
| 0 |
クライアントは LAN Manager および NTLM の認証を使用しますが、NTLMv2 セッション セキュリティは決して使用しません。 |
| 1 |
クライアントは LAN Manager と NTLM 認証を使用します。サーバーがサポートする場合は、NTLMv2 セッション セキュリティを使用します。 |
| 2 |
クライアントは NTLM 認証のみを使用します。サーバーがサポートする場合は、NTLMv2 セッション セキュリティを使用します。 |
| 3 |
クライアントは NTLMv2 認証のみを使用します。サーバーがサポートする場合は、NTLMv2 セッション セキュリティを使用します。 |
| 4 |
クライアントは NTLM 認証のみを使用します。サーバーがサポートする場合は、NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、LAN Manager 認証を拒否します。 |
| 5 |
クライアントは NTLMv2 認証のみを使用します。サーバーがサポートする場合は、NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、LAN Manager と NTLM 認証を拒否し、NTLMv2 だけを受け付けます。 |
このポリシー設定は、以下のガイドラインに従って、環境で許容される最高レベルに設定する必要があります。
Windows NT 4.0 SP4、Windows 2000、および Windows XP Professional のみが存在する環境では、このポリシー設定をすべてのクライアントを \[NTLMv2 応答のみ送信 (LM と NTLM を拒否する)\] に設定し、すべてのクライアントの設定が終わったら、すべてのサーバーを \[NTLMv2 応答のみ送信 (LM と NTLM を拒否する)\] に設定します。この推奨設定には例外があります。Windows 2003 のルーティングとリモート アクセス サーバーで、この設定を \[NTLMv2 応答のみ送信 (LM を拒否する)\] より高いレベルに設定すると、正しく機能しなくなります。
EC 環境では、ルーティングとリモート アクセス サーバーが必要な場合があります。このため、EC 環境の \[ネットワーク セキュリティ: LAN Manager 認証レベル\] は、ベースライン ポリシーで \[NTLMv2 応答のみ送信 (LM を拒否する)\] に設定されています。ルーティングとリモート アクセス サーバーは SSLF 環境ではサポートされていないので、SSLF 環境では、このポリシー設定は \[NTLMv2 応答のみ送信 (LM と NTLM を拒否する)\] に設定されています。
DSClient のインストールが可能な Windows 9x クライアントがある場合、Windows NT (Windows NT、Windows 2000、および Windows XP Professional) を実行しているコンピュータで、このポリシー設定を \[NTLMv2 応答のみ送信 (LM と NTLM を拒否する)\] に設定します。それ以外の場合は、Windows 9x を実行していないコンピュータのベースライン ポリシーで、このポリシー設定を \[NTLMv2 応答のみ送信する\] かそれより低いままにしておく必要があります。これは、LC 環境における設定内容です。
このポリシー設定を有効にすると正しく動作しないアプリケーションが見つかった場合、設定を 1 つずつ前の状態に戻し、原因を突き止めます。最低でも、すべてのコンピュータのベースライン ポリシーで、このポリシーを \[LM と NTLM を送信する - ネゴシエーションの場合、NTLMv2 セッション セキュリティを使う\] に設定する必要があります。通常、環境内のすべてのコンピュータを \[NTLMv2 応答のみ送信する\] に設定できます。
#### ネットワーク セキュリティ:必須の署名をしている LDAP クライアント
このポリシー設定では、LDAP BIND 要求を発行するクライアントに代わって要求するデータ署名のレベルを指定します。署名のないネットワーク トラフィックは、仲介者攻撃を受けやすくなります。LDAP サーバーに対して、攻撃者が LDAP クライアントから不正なクエリを送信すると、このサーバーはそのクエリに基づいて誤った処理を行う可能性があります。
このため、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、\[ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント\] は \[ネゴシエーション署名\] に設定されています。
#### ネットワーク セキュリティ:セキュア RPC を含む NTLM SSP ベースのクライアントの最小のセッション セキュリティ
このポリシー設定を使用すると、メッセージの機密性 (暗号化)、メッセージの署名、128 ビット暗号化、または NTLM バージョン 2 (NTLMv2) セッション セキュリティのネゴシエーションがクライアントに必須になります。このポリシー設定は、できるだけ高いレベルに設定してください。ただし、アプリケーションがネットワークで正常に動作することを確認してください。このポリシー設定を適切に設定することで、NTLM SSP ベースのサーバーからのネットワーク トラフィックを、仲介者攻撃とデータの漏洩から保護することができます。
LC 環境のベースライン ポリシーでは、\[ネットワーク セキュリティ: セキュア RPC を含む NTLM SSP ベースのクライアントの最小のセッション セキュリティ\] は \[最小なし\] に設定されています。EC 環境と SSLF 環境では、すべて有効に設定されています。
#### ネットワーク セキュリティ:セキュア RPC を含む NTLM SSP ベースのサーバーの最小のセッション セキュリティ
このポリシー設定を使用すると、メッセージの機密性 (暗号化)、メッセージの整合性、128 ビット暗号化、または NTLMv2 セッション セキュリティのネゴシエーションがサーバーに必須になります。このポリシー設定は、できるだけ高いレベルに設定してください。ただし、アプリケーションがネットワークで正常に動作することを確認してください。前述のポリシー設定と同様、このポリシーを適切に設定することで、NTLM SSP ベースのクライアントからのネットワーク トラフィックを、仲介者攻撃とデータの漏洩から保護することができます。
LC 環境のベースライン ポリシーでは、\[ネットワーク セキュリティ: セキュア RPC を含む NTLM SSP ベースのサーバーの最小のセッション セキュリティ\] は \[最小なし\] に設定されています。EC 環境と SSLF 環境では、すべて有効に設定されています。
### 回復コンソールの設定
**表 4.22 セキュリティ オプション :回復コンソールの推奨設定**
| 自動管理ログオンを許可する |
無効 |
無効 |
無効 |
| すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する |
有効 |
有効 |
無効 |
#### 回復コンソール:自動管理ログオンを許可する
このポリシー設定では、コンピュータへのアクセスを許可する前に Administrator アカウントのパスワード入力を必須にするかどうかを指定します。このポリシー設定が有効になっている場合、回復コンソールでパスワードを入力する必要はなく、コンピュータに自動的にログオンできます。回復コンソールは、起動に問題があるコンピュータに対処する必要がある場合に、役に立つことがあります。ただし、この設定を有効にすると問題が生じることもあります。サーバーの設置場所に行き、サーバーの電源を落としてシャットダウンし、再起動してから、\[再起動\] メニューから \[回復コンソール\] を選択することで、だれでもサーバーを完全に制御することが可能だからです。
このため、\[回復コンソール: 自動管理ログオンを許可する\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、既定の設定である \[無効\] に設定されています。この設定が無効な場合に、回復コンソールを使用するには、ユーザー名とパスワードを入力して、回復コンソールのアカウントを入手する必要があります。
#### 回復コンソール:すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する
このポリシー設定を有効にすると、回復コンソールの **SET** コマンドが使用可能になり、このコマンドで次の回復コンソール環境変数の設定が可能になります。
- **AllowWildCards**。コマンドの一部 (DEL コマンドなど) でワイルドカード サポートを有効にする。
- **AllowAllPaths**。コンピュータ上のすべてのファイルとフォルダへのアクセスを許可する。
- **AllowRemovableMedia**。ファイルを、フロッピー ディスクなどのリムーバブル メディアにコピーすることを許可する。
- **NoCopyPrompt**。既存ファイルを上書きするときに、通知を行わないようにする。
SSLF 環境のベースライン ポリシーでは、最高レベルのセキュリティを確保するために、\[回復コンソール: すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する\] は \[無効\] に設定されています。LC 環境と EC 環境では、\[有効\] に設定されています。
### シャットダウンの設定
**表 4.23 セキュリティ オプション :シャットダウンに関する推奨設定**
| システムをシャットダウンするのにログオンを必要としない |
無効 |
無効 |
無効 |
| 仮想メモリのページ ファイルをクリアする |
無効 |
無効 |
無効 |
#### シャットダウン:システムをシャットダウンするのにログオンを必要としない
このポリシー設定では、Windows オペレーティング システムへのログオンが要求されないユーザーがコンピュータをシャットダウンできるかどうかを指定します。コンソールにアクセスできるユーザーであれば、コンピュータをシャットダウンできます。これにより、攻撃者または操作を誤ったユーザーが、ID 情報を与えることなく、ターミナル サービスからサーバーに接続し、シャットダウンまたは再起動する可能性が生じます。
このため、\[シャットダウン: システムをシャットダウンするのにログオンを必要としない\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、既定の設定である \[無効\] に設定されています。
#### シャットダウン:仮想メモリのページ ファイルをクリアする
このポリシー設定では、コンピュータのシャットダウン時に仮想メモリのページファイルをクリアするかどうかを指定します。このポリシー設定が有効担っている場合には、コンピュータがシャットダウンされるたびに、システムの ページファイルがクリアされます。また、このポリシー設定が有効で、かつ、ポータブル コンピュータ上で休止状態が無効になっている場合は、休止状態ファイル (hiberfil.sys) もクリアされます。サーバーのシャットダウンと再起動に時間がかかるようになり、大きなページ ファイルを持つサーバーでは特にそれが顕著になります。
このため、このガイドで定義している 3 種類の環境すべてで、\[シャットダウン: 仮想メモリのページ ファイルをクリアする\] は \[無効\] に設定されています。
**注** :サーバーに物理的にアクセスできる攻撃者は、サーバーの電源を切断するだけで、この対応策を回避できます。
### システム暗号化の設定
**表 4.24 セキュリティ オプション :システム暗号化に関する推奨設定**
| コンピュータに保存されているユーザー キーに強力なキー保護を強制する |
最初にキーが使用されるときには、ユーザーに要求する |
最初にキーが使用されるときには、ユーザーに要求する |
ユーザーがキーを使うときにはパスワードの入力が必要 |
| 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う |
無効 |
無効 |
有効 |
#### システム暗号化:コンピュータに保存されているユーザー キーに強力なキー保護を強制する
このポリシー設定では、ユーザーの秘密キー (S-MIME キーなど) の使用時にパスワードの使用を必須にするかどうかを指定します。ユーザーがキーを使用するたびにドメイン パスワードとは異なるパスワードの入力を要求するようにこのポリシーを設定すると、攻撃者がローカルに保存されているキーにアクセスすることが、ログオン パスワードが解読済みであっても難しくなります。
LC 環境と EC 環境のベースライン ポリシーの場合、可用性の要件から、\[システム暗号化: コンピュータに保存されているユーザー キーに強力なキー保護を強制する\] は \[最初にキーが使用されるときには、ユーザーに要求する\] に設定されています。SSLF 環境では、セキュリティを向上させるため、\[ユーザーがキーを使うときにはパスワードの入力が必要\] に設定されています。
#### システム暗号化:暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う
このポリシー設定では、TLS/SSL (Transport Layer Security/Secure Sockets Layer) セキュリティ プロバイダが TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA 暗号スイートだけをサポートするかどうかを指定します。このポリシー設定によりセキュリティは向上しますが、このアルゴリズムは TLS または SSL でセキュリティ保護された公開 Web サイトのほとんどでサポートされていません。また、多くのクライアント コンピュータも、これらのアルゴリズムをサポートするようには構成されていません。
このため、LC 環境と EC 環境のベースライン ポリシーでは、\[システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う\] は \[無効\] に設定されています。SSLF 環境では、\[有効\] に設定されています。
### システム オブジェクトの設定
**表 4.25 セキュリティ オプション :システム オブジェクトに関する推奨設定**
| Administrators グループのメンバによって作成されたオブジェクトの既定の所有者 |
Object creator |
Object creator |
Object creator |
| Windows システムではないサブシステムのための大文字と小文字の区別をしないことが必須 |
有効 |
有効 |
有効 |
| 内部のシステム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク) |
有効 |
有効 |
有効 |
#### システム オブジェクト:Administrators グループのメンバによって作成されたオブジェクトの既定の所有者
このポリシー設定では、**Administrators** グループまたはオブジェクト作成者が、作成された任意のシステム オブジェクトの既定の所有者であるかどうかを指定します。システム オブジェクトが作成されると、所有権には、一般的な **Administrators** グループではなく、オブジェクトを作成したアカウントが反映されます。
このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、\[システム オブジェクト: Administrators グループのメンバによって作成されたオブジェクトの既定の所有者\] は \[Object creator\] に設定されています。
#### システム オブジェクト:Windows システムではないサブシステムのための大文字と小文字の区別をしないことが必須
このポリシー設定は、すべてのサブシステムで大文字と小文字を区別するかどうかを指定します。Microsoft Win32 サブシステムでは、大文字と小文字を区別しません。ただし、このカーネルでは、POSIX (Portable Operating System Interface for UNIX) などの他のサブシステムに対して大文字と小文字を区別します。Windows では大文字と小文字を区別しませんが、POSIX サブシステムでは大文字と小文字を区別するので、この設定を適用しなかった場合には、POSIX ユーザーは、大文字と小文字が混在した名前をファイルに付けることで、同じ名前のファイルを作成することができます。この状況になると、使用できるファイルは 1 つだけなので、別のユーザーは標準的な Win32 ツールから、名前の重複したファイルにアクセスすることが不可能になる場合があります。
ファイル名の整合性を保証するため、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、\[システム オブジェクト: システムではないサブシステムのための大文字と小文字の区別をしないことが必須\] は \[有効\] に設定されています。
#### システム オブジェクト:内部のシステム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク)
このポリシー設定では、オブジェクトの随意アクセス制御リスト (DACL) の既定の強度を指定します。この設定を有効にすると、複数のプロセスによりアクセスおよび共有されるオブジェクトのセキュリティを保護することができます。DACL の強度を高めるために、既定値である \[有効\] を使用します。これにより、管理者ではないユーザーによる共有オブジェクトの読み込みが許可されますが、自分が作成していない任意の共有オブジェクトの変更は許可されません。
\[システム オブジェクト: 内部のシステム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク)\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、既定値である \[有効\] に設定されています。
### システム設定
**表 4.26 セキュリティ オプション :システムに関する推奨設定**
| システム設定:オプション サブシステム |
なし |
なし |
なし |
| システム設定:ソフトウェア制限のポリシーのために Windows 実行可能ファイルに対して証明書の規則を使用する |
未定義 |
無効 |
有効 |
#### システム設定:オプション サブシステム
このポリシー設定では、それぞれの環境でアプリケーションのサポートに使用されるサブシステムを指定します。Windows Server 2003 におけるこのポリシー設定の既定値は \[POSIX\] です。
POSIX サブシステムを無効にするために、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、\[システム設定: オプション サブシステム\] は \[無効\] に設定されています。
#### システム設定:ソフトウェア制限のポリシーのために Windows 実行可能ファイルに対して証明書の規則を使用する
このポリシー設定では、ソフトウェアの制限のポリシーが有効になっているときに、ファイル拡張子が .exe であるソフトウェアをユーザーまたはプロセスが実行しようとした場合に、デジタル証明書を処理するかどうかを指定します。このポリシー設定では、証明書のルール (ソフトウェアの制限のポリシー ルールの一種) を有効または無効にします。ソフトウェアの制限のポリシーを使用すると、Authenticode 署名付きソフトウェアの実行を許可または禁止する証明書ルールを、そのソフトウェアに関連付けられているデジタル証明書に基づいて作成できます。ソフトウェアの制限のポリシーで証明書のルールを有効にするには、このポリシー設定を有効にする必要があります。
SSLF 環境では、\[システム設定: ソフトウェア制限のポリシーのために Windows 実行可能ファイルに対して証明書の規則を使用する\] は \[無効\] に設定されています。パフォーマンスに対する潜在的な影響を回避するため、EC 環境では \[無効\] に設定されており、LC 環境では \[未定義\] に設定されています。
[](#mainsection)[ページのトップへ](#mainsection)
イベント ログ
-------------
イベント ログにはコンピュータのイベントが記録され、セキュリティ ログには監査イベントが記録されます。グループ ポリシーのイベント ログ コンテナは、アプリケーション、セキュリティ、およびシステムのイベント ログの属性の定義に使用されます。この属性には、最大ログ サイズ、各ログのアクセス権利、保存の設定、保存方法などが該当します。アプリケーション、セキュリティ、およびシステムのイベント ログは MSBP で設定し、この設定はドメイン内のすべてのメンバ サーバーに適用されます。
Windows Server 2003 SP1 の場合、イベント ログの設定は、グループ ポリシー オブジェクト エディタを使用して、次の場所で構成できます。
**コンピュータの構成\\Windows の設定\\セキュリティの設定\\イベント ログ**
ここでは、このガイドで定義している 3 種類の環境に対して規定された MSBP イベント ログ設定について詳しく説明します。ここで説明する規定の設定の概要については、このガイドのダウンロード バージョンに付属の Microsoft Excel ブック「Windows Server 2003 Security Guide Settings」を参照してください。すべての既定値と各設定の詳細については、[https://go.microsoft.com/fwlink/?LinkId=15159](https://technet.microsoft.com/ja-jp/library/75849e66-9f52-4ceb-874e-cace62110b09(v=TechNet.10)) の関連ガイド *『脅威とその対策 : WindowsServer2003 と WindowsXP のセキュリティ設定』*を参照してください。
次の表に、このガイドで定義している 3 つの環境に対するイベント ログの推奨設定をまとめています。各設定に関する詳細情報については、表の後のサブセクションで説明します。
**表 4.27 イベント ログに関する推奨設定**
| アプリケーション ログの最大サイズ |
16,384 KB |
16,384 KB |
16,384 KB |
| セキュリティ ログの最大サイズ |
81,920 KB |
81,920 KB |
81,920 KB |
| システム ログの最大サイズ |
16,384 KB |
16,384 KB |
16,384 KB |
| ゲストによるアプリケーション ログへのアクセスを許可しない |
有効 |
有効 |
有効 |
| ゲストによるセキュリティ ログへのアクセスを許可しない |
有効 |
有効 |
有効 |
| ゲストによるシステム ログへのアクセスを許可しない |
有効 |
有効 |
有効 |
| アプリケーション ログの保存方法 |
必要時 |
必要時 |
必要時 |
| セキュリティ ログの保管方法 |
必要時 |
必要時 |
必要時 |
| システム ログの保存方法 |
必要時 |
必要時 |
必要時 |
### アプリケーション ログの最大サイズ
このポリシー設定では、アプリケーション イベント ログの最大サイズを指定します。このログの最大容量は 4 GB です。ただし、このサイズを設定すると、メモリが断片化する危険性があり、パフォーマンスが低下したり、イベント ログの記録が不安定になったりする可能性があるため、このサイズはお勧めしません。アプリケーション ログ サイズの要件は、プラットフォームの機能とアプリケーション関連イベントの履歴記録の必要条件によって異なります。
\[アプリケーション ログの最大サイズ\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、既定値である **16,384 KB** に設定されています。
### セキュリティ ログの最大サイズ
このポリシー設定では、セキュリティ イベント ログの最大サイズを指定します。このログの最大容量は 4 GB です。ドメイン コントローラとスタンドアロン サーバーでは、セキュリティ ログを 80 MB 以上に設定してください。これにより、監査に十分な情報が適切に保存されます。他のコンピュータに対するこのポリシー設定は、ログの確認頻度、使用可能なディスク領域などの要因に基づいて指定します。
\[セキュリティ ログの最大サイズ\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは **81,920 KB** に設定されています。
### システム ログの最大サイズ
このポリシー設定では、システム イベント ログの最大サイズを指定します。このログの最大容量は 4 GB です。ただし、このサイズを設定すると、メモリが断片化する危険性があり、パフォーマンスが低下したり、イベント ログの記録が不安定になったりする可能性があるため、このサイズはお勧めしません。システム ログ サイズの要件は、プラットフォームの機能と履歴記録の必要条件によって異なります。
\[システム ログの最大サイズ\] は、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、既定値である **16,384 KB** に設定されています。
### ゲストによるアプリケーション ログへのアクセスを許可しない
このポリシー設定では、ゲストによるアプリケーション イベント ログへのアクセスを拒否するかどうかを指定します。Windows Server 2003 SP1 の既定では、ゲスト アクセスはすべてのコンピュータで禁止されています。したがって、このポリシー設定の設定値が何であっても、既定の構成のコンピュータに実際には何の影響もありません。
ただし、この構成は他に悪い影響を与えることのない多層防御手段と考えられるので、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、\[ゲストによるアプリケーション ログへのアクセスを許可しない\] は \[有効\] に設定されています。
**注** :この設定は、ローカル コンピュータ ポリシー オブジェクトでは表示されません。
### ゲストによるセキュリティ ログへのアクセスを許可しない
このポリシー設定では、ゲストによるセキュリティ イベント ログへのアクセスを拒否するかどうかを指定します。セキュリティ ログにアクセスするユーザーには、**監査とセキュリティ ログの管理**ユーザー権利 (このガイドでは定義していない) が割り当てられている必要があります。したがって、このポリシー設定の設定値が何であっても、既定の構成のコンピュータに実際には何の影響もありません。
ただし、この構成は他に悪い影響を与えることのない多層防御手段と考えられるので、このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、\[ゲストによるセキュリティ ログへのアクセスを許可しない\] は **\[有効\]** に設定されています。
**注** :この設定は、ローカル コンピュータ ポリシー オブジェクトでは表示されません。
### ゲストによるシステム ログへのアクセスを許可しない
このポリシー設定は、ゲストによるシステム イベント ログへのアクセスを拒否するかどうかを指定します。Windows Server 2003 SP1 の既定では、ゲスト アクセスはすべてのコンピュータで禁止されています。したがって、このポリシー設定の設定値が何であっても、既定の構成のコンピュータに実際には何の影響もありません。
ただし、side effectこのガイドで定義している 3 種類の環境すべてのベースライン ポリシーで、\[ゲストによるシステム ログへのアクセスを許可しない\] **は \[有効\]** に設定されています。
**注** :この設定は、ローカル コンピュータ ポリシー オブジェクトでは表示されません。
### アプリケーション ログの保存方法
このポリシー設定では、アプリケーション ログの保存方法を指定します。不正なアクティビティの調査またはトラブルシューティングを行うために履歴イベントが必要な場合は、アプリケーション ログを定期的にアーカイブする必要があります。必要に応じてイベントが上書きされる場合、履歴データが失われる可能性がありますが、ログには常に最新のイベントが記録されます。
このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、\[アプリケーション ログの保存方法\] は **\[必要時\]** に設定されています。
### セキュリティ ログの保管方法
このポリシー設定では、セキュリティ ログの保存方法を指定します。不正なアクティビティの調査またはトラブルシューティングを行うために履歴イベントが必要な場合は、セキュリティ ログを定期的にアーカイブする必要があります。必要に応じてイベントが上書きされる場合、履歴データが失われる可能性がありますが、ログには常に最新のイベントが記録されます。
このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、\[セキュリティ ログの保存方法\] は \[必要時\] に設定されています。
### システム ログの保存方法
このポリシー設定では、システム ログの保存方法を指定します。不正なアクティビティの調査またはトラブルシューティングを行うために履歴イベントが必要な場合は、ログを定期的にアーカイブする必要があります。必要に応じてイベントが上書きされる場合、履歴データが失われる可能性がありますが、ログには常に最新のイベントが記録されます。
このガイドで定義している 3 種類の環境すべてのベースライン ポリシーでは、\[システム ログの保存方法\] は \[必要時\] に設定されています。
[](#mainsection)[ページのトップへ](#mainsection)
追加のレジストリ エントリ
-------------------------
追加のレジストリ エントリ (*レジストリ値*とも呼ばれる) は、このガイドで定義している 3 種類のセキュリティ環境向けの、既定の管理用テンプレート (.adm) ファイルでは定義されていないベースライン セキュリティ テンプレート ファイルを対象に作成されています。.adm ファイルには、Windows Server 2003 のデスクトップ、シェル、およびセキュリティのポリシーと制限が定義されています。
これらのレジストリ エントリは、セキュリティ テンプレート ("Security Options" セクション) に埋め込まれ、変更が自動で行われます。ポリシーを削除しても、これらのレジストリ エントリは自動的には削除されないため、Regedt32.exe などのレジストリ編集ツールを使用して手動で変更する必要があります。3 つの環境すべてに、同じレジストリ値が適用されます。
このガイドには、セキュリティ構成エディタ (SCE) に追加されている追加レジストリ エントリも含まれています。これらのレジストリ エントリを追加するには、**%windir%\\inf** フォルダにある Sceregvl.inf ファイルを変更し、Scecli.dll ファイルを再登録する必要があります。元のセキュリティ エントリおよび追加エントリは、この章で前述したスナップインとツールの**ローカルポリシー\\セキュリティ**の配下に存在します。このガイドに付属のセキュリティ テンプレートとグループ ポリシーの編集を行うコンピュータで、Sceregvl.inf ファイルを更新し、Scecli.dll ファイルを再登録する必要があります。これらのファイルの更新方法の詳細については、[https://go.microsoft.com/fwlink/?LinkId=15159](https://technet.microsoft.com/ja-jp/library/75849e66-9f52-4ceb-874e-cace62110b09(v=TechNet.10)) の関連ガイド『[*脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定*](https://technet.microsoft.com/ja-jp/library/75849e66-9f52-4ceb-874e-cace62110b09(v=TechNet.10))』を参照してください。
ここでは、追加のレジストリ エントリの概要のみについて説明します。詳細については、関連ガイドを参照してください。ここで説明している既定の設定と各設定の詳細については、*『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』* を参照してください。
### ネットワーク攻撃に対するセキュリティの考慮事項
サービス拒否 (DoS) 攻撃とは、ネットワーク ユーザーがコンピュータまたはコンピュータの特定サービスを使用できなくなるように、ネットワーク攻撃を受けることです。DoS 攻撃を防御するのは困難です。
DoS 攻撃を防ぐには、最新のセキュリティ修正プログラムでコンピュータを更新された状態に保ち、Windows Server 2003 SP1 を実行しているコンピュータと潜在的な攻撃者の危険にさらされているコンピュータの TCP/IP プロトコル スタックを強化する必要があります。既定の TCP/IP スタック設定は、標準的なイントラネット トラフィックを処理するように調整されています。コンピュータをインターネットに直接接続する場合は、DoS 攻撃に対して TCP/IP スタックを強化することをお勧めします。
以下の表に記載されている、テンプレート ファイルのレジストリ値は、
**KEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\**
サブキーに追加できます。
**表 4.28 TCP/IP レジストリ エントリの推奨設定**
| EnableICMPRedirect |
DWORD |
0 |
0 |
0 |
| SynAttackProtect |
DWORD |
1 |
1 |
1 |
| EnableDeadGWDetect |
DWORD |
0 |
0 |
0 |
| KeepAliveTime |
DWORD |
300,000 |
300,000 |
300,000 |
| DisableIPSourceRouting |
DWORD |
2 |
2 |
2 |
| TcpMaxConnectResponseRetransmissions |
DWORD |
2 |
2 |
2 |
| TcpMaxDataRetransmissions |
DWORD |
3 |
3 |
3 |
| PerformRouterDiscovery |
DWORD |
0 |
0 |
0 |
### その他のレジストリ エントリ
TCP/IP に固有ではないその他のレジストリ エントリの推奨設定を、次の表に示します。各エントリに関する詳細情報については、表の後のサブセクションで説明します。
**表 4.29 その他のレジストリ エントリの推奨設定**
| MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers |
DWORD |
1 |
1 |
1 |
| MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended) |
DWORD |
0 |
0 |
1 |
| MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended) |
DWORD |
0xFF |
0xFF |
0xFF |
| MSS:(ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended) |
String |
0 |
0 |
0 |
| MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning |
DWORD |
90 |
90 |
90 |
| MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended) |
DWORD |
1 |
1 |
1 |
| MSS: (AutoReboot) Allow Windows to automatically restart after a system crash (recommended except for highly secure environments) |
DWORD |
1 |
1 |
0 |
| MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended) |
DWORD |
0 |
0 |
0 |
| MSS: (AutoShareWks) Enable Administrative Shares (recommended except for highly secure environments) |
DWORD |
1 |
1 |
0 |
| MSS: (DisableSavePassword) Prevent the dial-up password from being saved (recommended) |
DWORD |
1 |
1 |
1 |
| MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended) |
DWORD |
3 |
3 |
3 |
#### Configure NetBIOS Name Release Security:Allow the computer to ignore NetBIOS name release requests except from WINS servers
このエントリは、SCE に \[MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers\] と表示されます。
NetBIOS over TCP/IP は、Windows ベースのコンピュータに登録された NetBIOS 名を各コンピュータに設定されている IP アドレスに簡単に解決できるネットワーク プロトコルです。この値では、コンピュータが名前解放要求を受信したときに、その NetBIOS 名を解放するかどうかを指定します。
テンプレート ファイルのこのレジストリ値は、
**HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Netbt\\Parameters\\**
サブキーに追加できます。
#### Disable Auto Generation of 8.3 File Names:Enable the computer to stop generating 8.3 style filenames
このエントリは、SCE に \[MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended)\] と表示されます。
Windows Server 2003 SP1 は、16 ビット アプリケーションとの下位互換を保つために 8.3 フォーマットのファイル名をサポートしています。8.3 フォーマットのファイルの命名規則では、ファイルに 8 文字以下の名前を付けることができます。
テンプレート ファイルのこのレジストリ値は、
**HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Control\\FileSystem\\**
サブキーに追加できます。
#### Disable Autorun:Disable Autorun for all drives
このエントリは、SCE に \[MSS:(NoDriveTypeAutoRun) Disable Autorun for all drives (recommended)\] と表示されます。
自動実行は、メディアがコンピュータに挿入されると、すぐにコンピュータのドライブから読み込みを開始する機能です。それにより、プログラムのセットアップ ファイルの実行やオーディオ コンテンツの音声の再生がすぐに開始します。
テンプレート ファイルのこのレジストリ値は、
**HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\**
サブキーに追加できます。
#### Make Screensaver Password Protection Immediate:The time in seconds before the screen saver grace period expires (0 recommended)
このエントリは、SCE に \[MSS:(ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended)\] と表示されます。
Windows では、スクリーン セーバー ロックを有効にしている場合、スクリーン セーバーが起動されてからコンソールが実際に自動ロックされるまでには猶予期間があります。
テンプレート ファイルのこのレジストリ値は、
**HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\**
**Winlogon\\**
サブキーに追加できます。
#### Security Log Near Capacity Warning:Percentage threshold for the security event log at which the system will generate a warning
このエントリは、SCE に \[MSS:(WarningLevel) Percentage threshold for the security event log at which the system will generate a warning\] と表示されます。
このオプションは、Windows 2000 SP3 で導入されたもので、セキュリティ ログのサイズがユーザー定義のしきい値に達すると、セキュリティ ログにセキュリティ監査が生成されます。たとえば、このレジストリ エントリの値を 90 に設定した場合、セキュリティ ログが容量の 90% に達すると、eventID が 523 のエントリ ("The security event log is 90 percent full") が 1 回記録されます。
**注** :ログ設定が \[必要に応じてイベントを上書きする\] または \[指定した日数を過ぎたらイベントを上書きする\] に設定されている場合、このイベントは生成されません。
テンプレート ファイルのこのレジストリ値は、
**HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Security\\**
サブキーに追加できます。
#### Enable Safe DLL Search Order:Enable Safe DLL search mode (recommended)
このエントリは、SCE に \[MSS:(SafeDllSearchMode) Enable Safe DLL search mode (recommended)\] と表示されます。
実行中のプロセスから要求された DLL を検索するときに、DLL の検索順序を次のいずれの方法にするのかを設定できます。
- まずシステム パスに指定されているフォルダが検索され、次に現在の作業フォルダが検索されます。
- まず現在の作業フォルダが検索され、次にシステム パスに指定されているフォルダが検索されます。
レジストリ値は 1 に設定されています。これにより、まずシステム パスに指定されているフォルダが検索され、次に現在の作業フォルダが検索されます。このエントリを 0 に設定すると、まず現在の作業フォルダが検索され、次にシステム パスに指定されているフォルダが検索されます。
テンプレート ファイルのこのレジストリ値は、
**HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Control\\Session Manager\\**
サブキーに追加できます。
#### Automatic Reboot:Allow Windows to automatically restart after a system crash
このエントリは、SCE に \[MSS: (AutoReboot) Allow Windows to automatically restart after a system crash (recommended except for highly secure environments)\] と表示されます。
このエントリが有効な場合には、サーバーは致命的なクラッシュが発生した後に、自動的に再起動します。既定では有効になっていますが、高セキュリティ サーバーには適切でない設定です。
テンプレート ファイルのこのレジストリ値は、
**HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Control\\CrashControl\\**
サブキーに追加できます。
#### Automatic Logon:Enable Automatic Logon
このエントリは、SCE に \[MSS:(AutoAdminLogon) Enable Automatic Logon (not recommended)\] と表示されます。既定ではこのエントリは無効であり、このエントリをサーバーで使用することは実質的にはありません。
詳細については、
| ネットワーク経由でコンピュータへアクセスを拒否する
|
ビルトイン Administrator、Support_388945a0、
Guest、すべての非オペレーティング システム サービス アカウント |
ビルトイン Administrator、Support_388945a0、
Guest、すべての非オペレーティング システム サービス アカウント |
ビルトイン Administrator、Support_388945a0、
Guest、すべての非オペレーティング システム サービス アカウント |
| バッチ ジョブとしてログオンを拒否する |
Support_388945a0 および Guest |
Support_388945a0 および Guest |
Support_388945a0 および Guest |
| ターミナル サービスを使ったログオンを拒否する |
ビルトイン Administrator、Guests、Support_388945a0、Guest、すべての非オペレーティング システム サービス アカウント |
ビルトイン Administrator、Guests、Support_388945a0、Guest、すべての非オペレーティング システム サービス アカウント |
ビルトイン Administrator、Guests、Support_388945a0、Guest、すべての非オペレーティング システム サービス アカウント |
**重要** :すべての非オペレーティング システム サービス アカウントは、それぞれの企業における特定のアプリケーションに対するサービス アカウントです。これらのアカウントには、オペレーティング システムのビルトイン (組み込み) アカウントである LOCAL SYSTEM、LOCAL SERVICE、NETWORK SERVICE の各アカウントは含まれません。
リストされているセキュリティ グループを Enterprise Client - Member Server Baseline Policy に手動で追加するには、次の手順を実行します。
**セキュリティ グループをユーザー権利の割り当てに追加するには**
1. \[Active Directory ユーザーとコンピュータ\] で、メンバ サーバー OU を右クリックし、\[プロパティ\] をクリックします。
2. \[グループ ポリシー\] タブで、\[Enterprise Client Member Server Baseline Policy\] を選択し、リンク先の GPO を編集します。
3. \[Enterprise Client Member Server Baseline Policy\] を選択し、\[編集\] をクリックします。
4. \[グループ ポリシー\] ウィンドウで、\[コンピュータの構成\\Windows の設定\\セキュリティ設定\\ローカル ポリシー\\ユーザー権利の割り当て\] をクリックして、上記の表の各権利から固有のセキュリティ グループを追加します。
5. 変更したグループ ポリシーを閉じます。
6. \[メンバ サーバー OU\] の \[プロパティ\] ウィンドウを閉じます。
7. 次の手順を実行して、ドメイン コントローラ間で複製を強制実行して、すべてのドメイン コントローラに同じポリシーを適用します。
1. コマンド プロンプトを開き、**「gpupdate/Force」** と入力し、**Enter** キーを押して、ポリシーを強制的に更新します。
2. サーバーを再起動します。
8. イベント ログを参照して、グループ ポリシーが正常にダウンロードされたこと、およびサーバーがドメイン内の他のドメイン コントローラと通信できることを確認してください。
#### 既知のアカウントを保護する
Windows Server 2003 SP1 には、削除できず、名前だけ変更できるビルトイン ユーザー アカウントがいくつかあります。Windows Server 2003 の最もよく知られているビルトイン アカウントは、Guest と Administrator です。
既定では、Guest アカウントはメンバ サーバーとドメイン コントローラでは無効になっています。この設定は変更しないでください。悪意のあるコードの多くは、サーバーへの侵入で最初の試みとしてビルトイン Administrator アカウントを使用します。このため、ビルトイン Administrator アカウントの名前は変更され、説明も変更されて、攻撃者がよく知られているアカウントを使用してリモート サーバーへ侵入するのを防止しています。
ビルトイン Administrator アカウントの SID (セキュリティ識別子) を指定し、その本当の名前を調べてサーバーに侵入しようとする攻撃ツールが出現して以来、この設定を変更することの効果はここ数年間で減少しています。SID は、各ユーザー、グループ、コンピュータ アカウント、およびネットワークのログオン セッションをそれぞれ識別する値です。このビルトイン アカウントの SID を変更することはできません。ただし、Administrator アカウント名を一意の名前に変更すると、運用グループが Administrator アカウントに対する攻撃を簡単に監視できるようになります。
ドメインおよびサーバーのよく知られたアカウントをセキュリティで保護するには、以下の手順を実行します。
- すべてのドメインやサーバーで、Administrator アカウントと Guest アカウントの名前を変更し、パスワードを長く複雑な値に変更します。
- 各サーバーで異なる名前とパスワードを使用します。すべてのドメインおよびサーバーで同じアカウント名とパスワードを使用すると、1 台のメンバ サーバーへのアクセスに成功した攻撃者は、同じアカウント名とパスワードを使用して他のすべてのサーバーにもアクセスできるようになります。
- アカウントを容易に識別できないように、アカウントの説明を既定以外に変更します。
- 変更した内容を安全な場所に記録します。
**注** :ビルトイン Administrator アカウントは、グループポリシーを使用して変更できます。各組織がこのアカウント用に固有の名前を選択する必要があるため、この設定はベースライン ポリシーには実装されていません。ただし、このガイドで定義している 3 種類の環境すべてでは、\[アカウント: Administrator アカウント名の変更\] 設定を使用して、Administrator アカウント名を変更できます。このポリシー設定は、GPO のセキュリティ オプション設定に含まれています。
#### サービス アカウントをセキュリティ保護する
避けられない場合を除いて、ドメイン アカウントのセキュリティ コンテキストでサービスを実行するようには構成しないでください。サーバーに物理的にアクセスされた場合、LSA シークレットをダンプすることで、ドメイン アカウントのパスワードが容易に取得されます。サービス アカウントのセキュリティを保護する方法の詳細については、
| クライアント接続の暗号化レベルを設定する |
高 |
高 |
高 |
暗号化で利用可能な 3 つのレベルを、次の表に示します。
**表 4.32 ターミナル サービスの暗号化レベル**
| 高レベル |
クライアントとサーバーとの間で送信されるデータが、強力な 128 ビット暗号化を使用して暗号化されます。このレベルは、128 ビット クライアント (リモート デスクトップ接続クライアントなど) のみが存在する環境でターミナル サーバーを実行している場合に使用してください。このレベルの暗号化をサポートしていないクライアントは接続できません。 |
| クライアント互換 |
クライアントとサーバーとの間で送信されるデータが、そのクライアントでサポートされている最強のキーで暗号化されます。このレベルは、異なる種類のクライアントが混在している環境、またはレガシ クライアントが存在する環境でターミナル サーバーを実行している場合に使用してください。 |
| 低レベル |
クライアントからサーバーに送信されるデータが 56 ビット暗号化を使用して暗号化されます。
重要 :サーバーからクライアントに送信されるデータは暗号化されません。 |
エラー報告
表 4.33 エラー報告に関する推奨設定
| Windows エラーの報告をオフにする |
有効 |
有効 |
有効 |
このサービスは、Microsoft がエラーを追跡して対処するのに役立ちます。このサービスは、オペレーティング システム エラー、Windows コンポーネント エラー、またはプログラム エラーの報告を生成するように構成できます。このサービスは、Windows XP Professional および Windows Server 2003 でのみ使用できます。
**エラー報告**サービスを使用すると、このようなエラーをインターネット経由で Microsoft に報告したり、社内のファイル共有に報告したりできます。エラー報告に重要なデータまたは機密データが格納される可能性がありますが、Microsoft はエラー報告に関するプライバシー ポリシーに従って、そのようなデータを不正に使用しないことを保証します。ただし、データはプレーンテキスト HTTP で転送されるので、第三者によってインターネット上で傍受され、解読される可能性があります。
\[Windows エラーの報告をオフにする\] 設定は、エラー報告サービスがデータを送信するかどうかを制御します。
このポリシー設定は、Windows Server 2003 の場合、グループ ポリシー オブジェクト エディタを使用して、次の場所で指定できます。
**コンピュータの構成\\管理用テンプレート\\システム\\インターネット通信の管理\\インターネット通信の設定**
このガイドで定義している 3 種類の環境すべての DCBP で、\[Windows エラーの報告をオフにする\] は \[有効\] に設定します。
#### 手動メモリ ダンプを有効にする
Windows Server 2003 SP1 には、コンピュータを停止して Memory.dmp ファイルを生成するために使用できる機能が用意されています。この機能は明示的に有効にする必要があります。また、この機能の使用に適していないサーバーが組織内に存在する場合があります。サーバーのメモリ ダンプを取得する必要があると判断した場合は、
`scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>`
**Enter** キーを押します。次にその例を示します。
`scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Member Server Baseline.xml" /g:"Member Server Baseline Policy"
`
**注** :コマンド プロンプトに入力する情報が、表示の制限により複数行にわたって表示されることがあります。この情報は、すべて 1 行に入力してください。
- グループ ポリシー管理コンソールを使用して、新しく作成した GPO を適切な OU にリンクします。
SCW セキュリティ ポリシー ファイルに Windows ファイアウォールの設定が含まれている場合、この手順を正常に完了するには、ローカル コンピュータで Windows ファイアウォールが有効になっている必要があります。Windows ファイアウォールが有効であることを確認するには、[コントロール パネル] を開き、[Windows ファイアウォール] をダブルクリックします。
次に、最後のテストを実行して、GPO により意図した設定が適用されることを確認します。この手順を完了させるために、設定が適切であること、機能がその影響を受けないことを確認します。
ページのトップへ
まとめ
この章では、このガイドで定義している 3 種類のセキュリティ環境すべてで、Windows Server 2003 SP1 を実行しているサーバーに初期状態で適用されるセキュリティ強化処理について説明しました。この処理のほとんどで、セキュリティ環境ごとに固有のセキュリティ テンプレートを作成し、それをメンバ サーバーの親 OU にリンクされた GPO にインポートすることによって、対象レベルのセキュリティを実現しています。
ただし強化処理の一部は、グループ ポリシーを使用して適用することはできません。これらの設定を手動で構成する方法についても説明しました。個々のサーバーの役割が、できるだけセキュリティが高い状態で、その役割の範囲内で機能できるよう、処理が追加されました。
サーバーの役割に固有の処理には、追加のセキュリティ強化処理、およびベースライン セキュリティ ポリシーのセキュリティ設定を削減する処理などがあります。これらの変更については、このガイドの以降の章で詳しく説明しています。
関連情報
Windows Server 2003 SP1 を実行するサーバーのセキュリティ強化に関する詳細情報は、以下のリンクから参照できます。
ページのトップへ
ページのトップへ
.gif){kind=link}
.gif){kind=link}