次の方法で共有


脅威とその対策

第 10 章 :追加のレジストリ エントリ

公開日: 2006年8月14日

ダウンロード

『脅威とその対策ガイド』のダウンロード

この章では、管理用テンプレート (.adm) ファイルで定義されていないベースライン セキュリティ テンプレート ファイルのレジストリ エントリ (レジストリ値) に関する追加情報について説明します。.adm ファイルでは、ポリシーおよび Microsoft® Windows Server™ 2003 のデスクトップ、シェル、セキュリティの制約を定義します。

トピック

カスタマイズされたセキュリティ構成エディタ
TCP/IP 関連のレジストリ エントリ
その他のレジストリ エントリ
Windows XP SP2 と Windows Server 2003 SP1 で利用可能なレジストリ エントリ
Windows XP SP2 で利用可能なレジストリ エントリ
Windows Server 2003 SP1 で利用可能なレジストリ エントリ
関連情報

カスタマイズされたセキュリティ構成エディタ

Microsoft 管理コンソール (MMC) の [セキュリティ テンプレート] スナップインを読み込み、セキュリティ テンプレートを表示したときに、次の表に示すエントリは表示されません。これらのエントリは、カスタマイズされたバージョンのセキュリティ構成エディタ (SCE) を使用して .inf ファイルに追加されています。これらのエントリは、メモ帳などのテキスト エディタを使用して表示または編集できます。レジストリは、コンピュータの SCE ユーザー インターフェイスが修正されているかいないかに関わらず、ポリシーがダウンロードされたときにコンピュータに適用されます。

また、これらのエントリは、変更を自動化するためにセキュリティ テンプレート内に組み込まれます。ポリシーが削除されてもこれらのエントリは自動的に削除されないため、Regedt32.exe などのレジストリ編集ツールを使用して手動で変更する必要があります。このガイドに付属の Microsoft Excel® ブック「Windows Default Security and Services Configuration」に、既定の設定が記載されています。

セキュリティ構成エディタのユーザー インターフェイスの変更方法

SCE は、グループ ポリシーを使用して個々のコンピュータまたは複数のコンピュータに適用されるセキュリティ テンプレートを定義するために使用します。セキュリティ テンプレートに含めることができるのは、パスワード ポリシー、ロックアウト ポリシー、Kerberos プロトコル ポリシー、監査ポリシー、イベント ログの設定、レジストリ値、サービスの起動モード、サービスのアクセス許可、ユーザー権利、グループ メンバシップの制限、レジストリのアクセス許可、およびファイル システムのアクセス許可です。SCE は、さまざまな MMC スナップインおよび管理ツールで使用されます。たとえば、[セキュリティ テンプレート] スナップインおよび [セキュリティの構成と分析] スナップイン で使用されます。[グループ ポリシー エディタ] スナップインでは、[コンピュータの構成] ツリーの [セキュリティ設定] の部分で使用されます。また、[ローカル セキュリティ設定]、[ドメイン コントローラ セキュリティ ポリシー]、および [ドメイン セキュリティ ポリシー] ツールにも使用されます。

このガイドには、Seregvl.inf ファイル (%systemroot%\inf フォルダ) の変更および Scecli.dll ファイルの再登録により SCE に追加されたエントリが含まれます。元のセキュリティ設定および追加設定は、このガイドで前述したスナップインやツールの "ローカルポリシー\セキュリティ" セクションに記述されます。次のセクションで説明しますが、このガイドと共に提供されるセキュリティ テンプレートおよびグループ ポリシーを編集するすべてのコンピュータ上にある Sceregvl.inf ファイルを更新し、Scecli.dll ファイルを再登録する必要があります。ただし、Sceregvl.inf ファイルのカスタマイズ情報では、Service Pack 1 (SP1) を適用済みの Microsoft Windows® XP Professional および Windows Server 2003 にのみ存在する機能を使用します。古いバージョンの Windows にはインストールしないでください。

Sceregvl.inf ファイルを変更して登録すると、そのコンピュータの SCE ユーザー インターフェイスにカスタム レジストリ値が表示されます。新しい設定は SCE の項目の一覧の最後に表示されます。設定の前には、すべて "MSS:" という名前が付いています。MSS は Microsoft Solutions for Security の意味で、このガイドを作成したグループの名前です。次に、これらの新しいレジストリ値を定義するセキュリティ テンプレートまたはポリシーを作成します。これらのテンプレートまたはポリシーは、ターゲットのコンピュータで Sceregvl.inf が変更されているかどうかに関わらず、すべてのコンピュータに適用されます。SCE UI の次回起動時にカスタム レジストリ値が表示されます。

SCE ユーザー インターフェイスを変更する方法については、次の手順で説明します。既に SCE に他のカスタマイズを加えた場合、手動で行う必要のある手順があります。最小限のユーザー操作で設定を追加できるスクリプトが提供されています。このスクリプトにはエラー検出と復元機能が組み込まれていますが、失敗することがあります。失敗した場合、原因を特定して問題を修正するか、手動の手順に従います。SCE インターフェイスを既定の状態に復元するときに使用する、別のスクリプトも提供されています。このスクリプトは、すべてのカスタム設定を削除し、Windows XP SP2 または Windows Server 2003 SP1 の既定のインストール時の状態に SCE を戻します。

手動で sceregvl.inf を更新するには

  1. メモ帳などのテキスト エディタを使用して、SCE Update フォルダの Values-sceregvl.txt ファイルを開きます。
    (SCE Update フォルダは、このガイドをダウンロード (英語) し、展開したインストーラ プログラムを実行すると作成されます。)

    ※ スクリプトの訂正: Values-sceregvl.txt ファイル内に一か所誤りがあります。こちらの値を修正の後次ステップへと進んでください。

    【誤】「Values-sceregvl.txt」ファイルでの設定値 MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlog\AutoAdminLogon,4,%DisableAutoLogon%,0
    【正】 MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon,1,%DisableAutoLogon%,0

  2. テキスト エディタでもう 1 つウィンドウを開き、%systemroot%\inf\sceregvl.inf ファイルを開きます。

  3. sceregvl.inf ファイルの [Register Registry Values] セクションの下部に移動します。Values-sceregvl.txt ファイルからテキストをコピーし、改行せずに sceregvl.inf ファイルの [Register Registry Values] セクションに貼り付けます。

  4. Values-sceregvl.txt ファイルを閉じ、ダウンロードの SCE Update フォルダの Strings-sceregvl.txt ファイルを開きます。

  5. sceregvl.inf ファイルの [Strings] セクションの下部に移動します。Strings-sceregvl.txt ファイルからテキストをコピーし、改行せずに sceregvl.inf ファイルの [Strings] セクションに貼り付けます。

  6. sceregvl.inf ファイルを保存し、テキスト エディタを終了します。

  7. コマンド プロンプトを開き、regsvr32 scecli.dll を実行して DLL を再登録します。

SCE の次回起動時にこれらのカスタム レジストリ値が表示されます。

sceregvl.inf を自動的に更新するには

  1. スクリプトを実行するには、このガイドをダウンロードした SCE Update フォルダにある Values-sceregvl.txt、Strings-sceregvl.txt、 および Update_SCE_with_MSS_Regkeys.vbs ファイルが同じ場所にある必要があります。

  2. 更新対象のコンピュータ上で Update_SCE_with_MSS_Regkeys.vbs スクリプトを実行します。

  3. 画面に表示されるプロンプトに従います。

この手順は、前述の手順で説明した Update_SCE_with_MSS_Regkeys.vbs スクリプトを使用して作成されたカスタム エントリのみが削除されます。また、自動更新スクリプトによって加えられた変更を元に戻すこともできます。

Update_SCE_with_MSS_Regkeys.vbs スクリプトによって加えられた変更を元に戻すには

  1. 更新対象のコンピュータ上で Rollback_SCE_for_MSS_Regkeys.vbs スクリプトを実行します。

  2. 画面に表示されるプロンプトに従います。

この手順では、SCE ユーザー インターフェイスに追加したすべてのカスタム エントリが削除されます。このガイドから加えられた変更、このガイドの旧バージョンまたは他のセキュリティ ガイドから加えられた変更も同様に削除されます。

Windows XP SP2 および Windows Server 2003 SP1 の既定の状態に SCE を復元するには

  1. スクリプトを実行するには、このガイドをダウンロードした SCE Update フォルダにある **sceregvl_W2K3_SP1.inf.txt、sceregvl_XPSP2.inf.txt、**および Restore_SCE_to_Default.vbs ファイルが同じ場所にある必要があります。

  2. 更新対象のコンピュータ上で Restore_SCE_to_Default.vbs スクリプトを実行します。

  3. 画面に表示されるプロンプトに従います。

SCE ユーザー インターフェイスを既定の外観に復元するには

  1. [スタート] メニューの [ファイル名を指定して実行] をクリックし、**「regedit.exe」**と入力して Enter キーを押し、レジストリ エディタ ツールを開きます。

  2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Reg Values に移動します。

  3. この場所にあるサブキーは、それぞれ SCE のセキュリティ オプション セクションの 1 項目に対応します。すべてのサブキーを慎重に削除します。親キー (Reg Values) は削除しないでください。親キーに含まれるサブキーのみ削除してください。

  4. コマンド プロンプトを開き、regsvr32 scecli.dll を実行して SCE DLL を再登録します。

  5. 以後起動される SCE では、お使いの Windows のバージョンに含まれる元のレジストリ値のみが表示されます。

ページのトップへ

TCP/IP 関連のレジストリ エントリ

サービス拒否 (DoS) 攻撃を防ぐには、最新のセキュリティ更新プログラムでコンピュータを更新された状態に保ち、攻撃者による危険にさらされる Windows Server 2003 コンピュータの TCP/IP プロトコル スタックを強化する必要があります。既定の TCP/IP スタック設定は、標準的なイントラネット トラフィックを処理するように調整されています。コンピュータを直接インターネットに接続する場合は、DoS 攻撃から保護するために TCP/IP スタックを強化することをお勧めします。

TCP/IP スタックを狙った DoS 攻撃のほとんどは、次の 2 種類のいずれかです。1 つは、大量の TCP 接続を開くなど、システム リソースを過度に使用する攻撃です。もう 1 つは、ネットワーク スタックまたはオペレーティング システム全体に悪影響を与えるように作られたパケットを送り付ける攻撃です。次のレジストリ設定は、TCP/IP スタックを狙った攻撃から保護するために役立ちます。

次の表に示すレジストリ設定が HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ サブキー内のテンプレート ファイルに追加されました。各設定の詳細については、表の下のセクションおよび https://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/technologies/networking/tcpip03.mspx の「Microsoft Windows Server 2003 TCP/IP 実装詳細」を参照してください。

表 10.1 Windows Server 2003 SP1 および Windows XP SP2 の TCP/IP 関連のレジストリ値

レジストリ エントリ 形式 XP SP2 の既定 2003 SP1 の既定 最も安全な値 (10 進数)
DisableIPSourceRouting DWORD 1 1 2
EnableDeadGWDetect DWORD 1 1 0
EnableICMPRedirect DWORD 1 1 0
KeepAliveTime DWORD 7200000 7200000 300,000
PerformRouterDiscovery DWORD 2 2 0
SynAttackProtect DWORD 0 1 1
TcpMaxConnectResponseRetransmissions DWORD 2 2 2
TcpMaxDataRetransmissions DWORD 5 5 3
#### DisableIPSourceRouting:IP source routing protection level (protects against packet spoofing) このエントリは、SCE に \[MSS:(DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)\] と表示されます。IP ソース ルーティングは、ネットワーク上でデータグラムが経由する IP ルートを送信者が指定できるようにするメカニズムです。 ##### 脆弱性 攻撃者がソース ルーティングされたパケットを使用して、身元および場所をあいまいにできます。ソース ルーティングを使用すると、パケットを送信するコンピュータはその経路を指定できます。 ##### 対策 \[MSS:(DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)\] エントリの値を \[Highest protection, source routing is completely disabled\] に設定します。 このレジストリ エントリで設定可能な値は、次のとおりです。 - 0、1 または 2。既定の設定は 1 (ソース ルーティング パケットを転送しない) です。 SCE UI に、次のオプションが表示されます。 - No additional protection, source routed packets are allowed\] - Medium, source routed packets ignored when IP forwarding is enabled - Highest protection, source routing is completely disabled - 未定義 ##### 考えられる影響 この値を 2 に設定すると、ソース ルーティングされた着信パケットがすべて破棄されます。 #### EnableDeadGWDetect:Allow automatic detection of dead network gateways (could lead to DoS) このエントリは、SCE に \[MSS:(EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)\] と表示されます。反応しないゲートウェイの検出が有効になっている場合、接続数が増えすぎると、IP はバックアップ ゲートウェイを変更する場合があります。 ##### 脆弱性 攻撃者は、サーバーが意図しないゲートウェイに強制的に切り換えるようにしてしまう可能性があります。これを行うのは非常に難しいので、このエントリの値は小さくなっています。 ##### 対策 \[MSS:(EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)\] エントリの値を \[無効\] に設定します。 このレジストリ エントリで設定可能な値は、次のとおりです。 - 1 または 0。Windows Server 2003 での既定の設定は 1 (有効) です。 SCE UI では、これらのオプションは次のように表示されます。 - 有効 - 無効 - 未定義 ##### 考えられる影響 この設定を 0 に構成すると、Windows が使用不能なゲートウェイを検出して自動的に切り替えなくなります。 #### EnableICMPRedirect:Allow ICMP redirects to override OSPF generated routes このエントリは、SCE に \[MSS:(EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes\] と表示されます。Internet Control Message Protocol (ICMP) のリダイレクトにより、スタックはホストのルートの深さを調べます。Open Shortest Path First (OSPF) により生成されたルートは、これらのルートに置き換えられます。 ##### 脆弱性 この動作は仕様です。問題は、ICMP のリダイレクトにより深さが調べられたルートに対する 10 分間のタイムアウト期間により、ネットワークで一時的に影響を受けたホストへのトラフィックが適切にルーティングされなくなることです。 ##### 対策 \[MSS:(EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes\] エントリの値を \[無効\] に設定します。 このレジストリ エントリで設定可能な値は、次のとおりです。 - 1 または 0。既定の設定は 1 (有効) です。 SCE UI では、これらのオプションは次のように表示されます。 - 有効 - 無効 - 未定義 ##### 考えられる影響 ルーティングとリモート アクセス サービス (RRAS) が、自律システム外部ルーター (ASBR) として構成されている場合、接続されたインターフェイス サブネット ルートが正しく読み込まれません。代わりに、このルーターは OSPF ルートにホストのルートを含めてしまいます。しかし、OSPF ルーターを ASBR ルーターとして使用することはできないため、接続されたインターフェイス サブネット ルートを OSPF に読み込むと、ルーティング テーブルに通常とは異なるルーティング パスが含まれ、混乱が生じます。 #### KeepAliveTime:How often keep-alive packets are sent in milliseconds (300,000 is recommended) このエントリは、SCE に \[MSS:(KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended)\] と表示されます。この値は、TCP がアイドル状態の接続に keep-alive パケットを送信し、引き続き同じ状態かどうかを調べる頻度を設定します。リモート コンピュータにまだ接続可能な場合、TCP は keep-alive パケットを認識します。 ##### 脆弱性 ネットワーク アプリケーションに接続できた攻撃者が、大量の接続を確立して DoS 状態にする可能性があります。 ##### 対策 \[MSS:(KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended)\] エントリの値を \[300000 or 5 minutes\] に設定します。 このレジストリ エントリで設定可能な値は、次のとおりです。 - 1 から 0xFFFFFFFF。既定の設定は 7,200,000 (2 時間) です。 SCE UI に、次のオプションが表示されます。 - 150000 or 2.5 minutes - 300000 or 5 minutes **(推奨値)** - 600000 or 10 minutes - 1200000 or 20 minutes - 2400000 or 40 minutes - 3600000 or 1 hour - 7200000 or 2 hours **(既定値)** - 未定義 ##### 考えられる影響 Windows は、既定では keep-alive パケットを送信しません。しかし、keep-alive パケットを要求する TCP スタック フラグを構成するアプリケーションもあります。このような構成では、既定の設定値の 2 時間を 5 分に短縮して非アクティブなセッションをより短時間で切断するようにできます。 #### PerformRouterDiscovery:Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) このエントリは、SCE に \[MSS:(PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)\] と表示されます。この値は Internet Router Discovery Protocol (IRDP) を有効または無効にします。IRDP を使用すると、システムの既定のゲートウェイのアドレスを、インターフェイスごとに自動的に検出および構成できます (「RFC 1256」に記述されているとおり)。 ##### 脆弱性 同じネットワーク セグメント上のコンピュータの制御権を取得した攻撃者は、ネットワーク上のコンピュータがルーターを偽装するように構成する可能性があります。その結果、IRDP が有効になっているその他のコンピュータは、既に構成済みのコンピュータを通じてトラフィックをルーティングしようとします。 ##### 対策 \[MSS:(PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)\] エントリの値を \[無効\] に設定します。 このレジストリ エントリで設定可能な値は、次のとおりです。 - 0、1 または 2。既定の設定は 2 (DHCP が \[ルーター発見の実行\] オプションを送信する場合のみ有効) です。 SCE UI では、これらのオプションは次のように表示されます。 - 0 (無効) - 1 (有効) - 2 (DHCP が \[ルーターの発見を実行\] オプションを送信する場合のみ有効) - 未定義 ##### 考えられる影響 このエントリを無効にすると、IRDP をサポートする Windows Server 2003 により、コンピュータ上の既定のゲートウェイのアドレスが自動的に検出および構成されません。 #### SynAttackProtect:SYN 攻撃保護レベル (DoS に対する保護) このエントリは、SCE に \[MSS:(SynAttackProtect) Syn attack protection level (protects against DoS)\] と表示されます。このエントリにより、TCP で SYN-ACK の再送信が調節されます。このエントリを構成すると、接続要求 (SYN) 攻撃中の不完全な送信のオーバーヘッドが小さくなります。 このエントリを使用すると、RFC 1256 に記述されているように、Windows がマルチキャストの代替として、検出メッセージをブロードキャストとしてルーターに送信するように構成できます。既定では、ルーターの検出が有効になっていれば、ルーターの検出要求はすべてのルーターのマルチキャスト グループ (224.0.0.2) に送信されます。 ##### 脆弱性 SYN 攻撃では、攻撃者はサーバーに SYN パケットを連続的に送ります。するとサーバーが処理不可能になって正規の要求に応答できなくなるまで、ハーフオープン接続が開いた状態のままになります。 ##### 対策 \[MSS:(SynAttackProtect) Syn attack protection level (protects against DoS)\] エントリの値を \[Connections time out sooner if a SYN attack is detected\] に設定します。 このレジストリ エントリで設定可能な値は、次のとおりです。 - 1 または 0。既定の設定は、Windows Server 2003 SP1 では 1 (有効)、Windows XP SP2 では 0 (無効) です。 SCE UI では、これらのオプションは次のように表示されます。 - Connections time out more quickly if a SYN attack is detected - No additional protection, use default settings - 未定義 ##### 考えられる影響 この値により、接続の認識に時間がかかるようになり、SYN 攻撃が行われている場合 TCP 接続で即座のタイムアウトが要求されます。このレジストリ エントリを構成すると、Initial Round Trip Time (RTT) やウィンドウ サイズなど、各アダプタのソケット オプションで構成されるスケーラブル ウィンドウおよび TCP パラメータが機能しなくなります。システムが攻撃にさらされていることを検出すると、スケーラブル ウィンドウ (RFC 1323) およびアダプタ別構成の TCP パラメータ (初期 RTT、ウィンドウ サイズ) は、どのソケットについても有効ではなくなります。これは、保護が機能していると、SYN-ACK の送信前にルート キャッシュ エントリが照会されず、また、接続のこの段階では Winsock オプションが利用できなくなるためです。 #### TcpMaxConnectResponseRetransmissions:SYN-ACK retransmissions when a connection request is not acknowledged このエントリは、SCE に \[MSS:(TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged\] と表示されます。このエントリでは、TCP による SYN 再送信の試行回数を設定します。再送信のタイムアウトは、1 回の接続試行での次の再送信では 2 倍になります。初期タイムアウト値は 3 秒です。 ##### 脆弱性 SYN 攻撃では、攻撃者はサーバーに SYN パケットを連続的に送ります。ハーフオープン接続が開いた状態になり、サーバーが処理不可能になって正規の要求に応答できなくなります。 ##### 対策 \[MSS:(TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged\] エントリの値を \[3 seconds, half-open connections dropped after nine seconds\] に設定します。 このレジストリ エントリで設定可能な値は、次のとおりです。 - 0 から 0xFFFFFFFF。既定の設定は 2 です。 SCE UI には、次のオプションが表示されます。それぞれ 0、1、2、および 3 の値に対応します。 - No retransmission, half-open connections dropped after 3 seconds - 3 seconds, half-open connections dropped after 9 seconds - 3 & 6 seconds, half-open connections dropped after 21 seconds - 3, 6,& 9 seconds, half-open connections dropped after 45 seconds - 未定義 ##### 考えられる影響 この値を **2** 以上に設定する場合、スタックは内部的に SYN-ATTACK 保護を採用します。このエントリを **2** より小さい値に構成すると、スタックは SYN-ATTACK 保護のレジストリ値をまったく読み込めなくなります。このエントリは、半オープン状態の TCP 接続のクリーン アップに要する既定の時間を短縮します。激しい攻撃を受けているサイトは、この値を **1** まで下げることができます。値を **0** にすることも有効です。ただし、このパラメータを **0** に設定すると、SYN-ACK はまったく再送信されなくなるので、3 秒でタイムアウトになります。このように低い値を使用すると、離れた場所のクライアントからの正規の接続試行も失敗する可能性があります。 #### TcpMaxDataRetransmissions:How many times unacknowledged data is retransmitted (3 recommended, 5 is default) このエントリは、SCE に \[MSS:(TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default)\] と表示されます。このエントリは、接続を切断するまでに TCP が個々のデータ セグメント (非接続セグメント) を再送信する回数を制御します。再送信のタイムアウトは、1 回の接続での次の再送信では 2 倍になります。応答が再開された場合は、リセットされます。基本のタイムアウト値は、接続中に測定されたラウンドトリップ時間に応じて決まります。 ##### 脆弱性 ターゲットのコンピュータから転送されたデータの受信確認メッセージが送信されないと、悪意のあるユーザーがターゲットのコンピュータのリソースを使い切る可能性があります。 ##### 対策 \[MSS:(TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default)\] エントリの値を **3** に設定します。このレジストリ エントリで設定可能な値は、次のとおりです。 - 0 から 0 xFFFFFFFF。既定の設定は 5 です。 SCE UI では、テキスト入力ボックスを使用して設定を調整できます。 - ユーザー定義の値 - 未定義\] ##### 考えられる影響 発信方向の各セグメントが IP に到達すると、TCP は再送信タイマを開始します。タイマが無効になる前に所定のセグメントのデータの受信確認を受け取らないと、セグメントは最大 3 回まで再送信されます。 [](#mainsection)[ページのトップへ](#mainsection) ### その他のレジストリ エントリ 次の表のレジストリ エントリの使用もお勧めします。各レジストリ キー設定の場所の情報など、各エントリの詳細については表の下のサブセクションを参照してください。 **表 10.2 Windows Server 2003 のレジストリに追加された非 TCP/IP エントリ**
レジストリ エントリ 形式 最も安全な値 (10 進数)
MSS:(AutoAdminLogon) Enable Automatic Logon (not recommended) DWORD 未定義。非常に安全な環境でのみ 0 を使用します。
MSS:(AutoReboot) Allow Windows to automatically restart after a system crash (recommended except for highly secure environments) DWORD 未定義。非常に安全な環境でのみ 0 を使用します。
MSS:(AutoShareWks) Enable Administrative Shares (not recommended except for highly secure environments) DWORD 未定義。非常に安全な環境でのみ 1 を使用します。
MSS:(DisableSavePassword) Prevent the dial-up passsword from being saved (recommended) DWORD 1
MSS:(Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments) DWORD 未定義。非常に安全な環境でのみ 1 を使用します。
MSS:(NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended) DWORD Windows XP が動作するコンピュータの場合 1 を、Windows Server 2003 の場合 3。
MSS:(NoDriveTypeAutoRun) Disable Autorun for all drives (recommended) DWORD 0xFF
MSS:(NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers (Only recommended for servers) DWORD 1
MSS:(NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended) DWORD 1
MSS:(SafeDllSearchMode) Enable Safe DLL search mode (recommended) DWORD 1
MSS:(ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended) String 0
MSS:(WarningLevel) Percentage threshold for the security event log at which the system will generate a warning DWORD 0
#### 自動ログオンを無効にする :自動ログオンを無効にする このエントリは、SCE に \[MSS:(AutoAdminLogon) Enable Automatic Logon (not recommended)\] と表示されます。このエントリでは、自動ログオン機能を有効または無効に設定できます (このエントリは Windows XP のようこそ画面機能から独立しているため、ようこそ機能を無効にしても、エントリは影響を受けません)。既定では、このエントリは無効になっています。自動ログオンは、コンピュータの起動時にユーザーをコンピュータにログオンさせるために、レジストリに保存されたドメイン、ユーザー名、およびパスワードを使用します。ログオンのダイアログ ボックスは表示されません。 詳細については、