第 3 章 ‐ セキュリティで保護された構成
最終更新日: 2003年2月18日
この章では、評価された構成をサポートする Windows 2000 の標準のインストール ベースにおけるセキュリティ構成に変更を加える手順について、詳しく説明します。セキュリティ上の目的およびその目的を満たすために必要な構成上の措置を表にして示します。それらの措置は、 Windows 2000 Professional (スタンドアロンおよびドメイン メンバ)、Server (スタンドアロンおよびドメイン メンバ)、およびドメイン コントローラの構成ごとに列を分けて記述します。
ドメイン セキュリティ ポリシーをドメイン内のすべてのコンピュータに適用する場合、Windows 2000 Professional および Server 用に定義されている設定を、必要に応じてドメイン セキュリティ ポリシーの要件に適用します。このドキュメントに定義されているドメイン コントローラの設定はドメイン コントローラ セキュリティ ポリシーに対してのみ適用されます。
このドキュメントの第 4 章では、あらかじめ定義されているセキュリティ構成のテンプレートを適用することにより、この章に定義されているセキュリティの設定の大部分を自動化する手順を説明します。ユーザーに便利なように、このドキュメントの付録 E に Windows 2000 セキュリティ構成チェック リストを提示します。
トピック
Windows 2000 のセキュリティ ポリシー
その他のセキュリティ構成インターフェイス
アカウント ポリシー
ローカル ポリシー
監査ログの管理
既定のグループ アカウント
既定のユーザー アカウント
システム サービス
ファイル システムのセキュリティ保護
共有フォルダへのアクセス許可
レジストリのセキュリティ保護
IPSec ポリシー
ファイル システムの暗号化
自動的なスクリーン ロックによる保護の有効化
システム修復ディスクの更新
セキュリティで保護された構成上でのアプリケーションのインストール手順
Windows 2000 のセキュリティ ポリシー
ここでは、さまざまなセキュリティ ポリシー ツールおよびセキュリティ ポリシーを適用する際の優先順位について説明します。既定では、グループ ポリシーは累積的に継承され、Active Directory コンテナ内のすべてのコンピュータに適用されます。グループ ポリシーはグループ ポリシー オブジェクト (GPO) を通じて管理します。GPO とは、サイト、ドメインまたは組織単位 (OU) のような、特定の Active Directory オブジェクトに特殊な階層構造で添付されているデータ構造です。
いったん作成された GPO は LSDOU という標準的な順序で適用されます。この記号は、(1) ローカル、(2) サイト、(3) ドメイン、(4) 組織単位を意味します。順序が後のポリシーほど、前に適用されたポリシーよりも優先度が高くなります。ローカル グループ ポリシー オプションが最初に処理され、次にドメイン ポリシーが処理される順序です。あるコンピュータがドメインに属し、 ドメインのコンピュータ ポリシーとローカルのコンピュータ ポリシーの間に競合がある場合には、ドメインのポリシーが優先します。しかし、コンピュータがドメインに属さない場合には、ローカル グループ ポリシー オブジェクトが適用されます。
Active Directory およびグループ ポリシーが取り入れられているドメインにコンピュータが組み込まれたときに、ローカル グループ ポリシー オブジェクト (LGPO) が処理されます。ポリシーを継承しないオプションが指定されている場合でも、LGPO ポリシーは処理されることに注意してください。
ドメイン全体に関するアカウント ポリシー (パスワード、ロックアウト、Kerberos) はドメインの既定のグループ ポリシー オブジェクト (GPO) 内に定義されます。ドメイン コントローラ (DC) に関するローカル ポリシー (監査、ユーザー権利、およびセキュリティ オプション) はドメイン コントローラ の既定の GPO 内に定義されます。DC の場合、既定の DC GPO に定義されている設定は既定のドメイン GPO に定義されている設定よりも優先します。したがって、既定のドメイン GPO にユーザーの特権 (たとえば、ドメインにワークステーションを追加) を定義しても、そのドメイン内の DC には影響しません。
特定のグループ ポリシー オブジェクト内のグループ ポリシーを必ず適用し、そのポリシーが下位の Active Directory コンテナ内の GPO によって上書きされることを防止するオプションが存在します。たとえば、ドメインのレベルにある GPO が定義されており、その GPO を必ず適用するように指定されていれば、その GPOに含まれるポリシーはそのドメインに属するすべての OU に適用されます。つまり、下位レベルのコンテナ (OU) からそのドメインのグループ ポリシーを上書きすることはできません。
注意 : アカウント ポリシー セキュリティ領域は、ドメイン内のコンピュータへの適用のされ方について、特別な扱いを受けます。ドメイン内の DC はすべて、DC 用のコンピュータ オブジェクトがどこに存在しても、ドメイン ノードにおいて構成された GPO からアカウント ポリシーを受け取ります。それにより、すべてのドメイン アカウントにアカウント ポリシーが一貫して適用されることが保証されます。ドメイン内の DC 以外のコンピュータはすべて、通常の GPO 階層に従って、それらのコンピュータに関するローカル アカウント用のポリシーを受け取ります。既定では、ローカル アカウント用にドメイン GPO 内で構成されているポリシーの設定が、メンバのワークステーションおよびサーバーに適用されます。しかし、下位レベルに別の GPO があって、それが既定の設定とは異なる場合、下位の設定が有効になります。
ローカル セキュリティ ポリシー
ローカル セキュリティ ポリシーは、ローカルコンピュータのセキュリティ用件の設定に使用されます。主に、スタンドアロン コンピュータ用または、ドメイン メンバのセキュリティに特化した設定の適用に使用されます。ネットワークで管理される Active Directory 内のローカル セキュリティ ポリシーの設定は、最も低い優先順位になります。
ローカル セキュリティ ポリシーを開くには
管理者権限を持っているアカウントを使用して、コンピュータにログオンします。
Windows 2000 Professional コンピュータにおいては、既定では [管理ツール] は [スタート] メニューのオプションとして表示されません。Windows 2000 Professional において [管理ツール] メニュー オプションを表示するには、[スタート] をクリックし、[設定] をポイントし、[タスクバーと [スタート] メニュー] を選択します。[タスクバーとスタート メニューのプロパティ] ウィンドウ内で、[詳細] タブをクリックします。[[スタート] メニュー のカスタマイズ] ダイアログ ボックス内で [管理ツールを表示する] チェック ボックスをオンにします。[OK] ボタンをクリックして、設定を終了します。
[スタート] をクリックし、[プログラム] をポイントし、さらに [管理ツール] をポイントし、それから [ローカル セキュリティ ポリシー] をクリックします。すると、[ローカル セキュリティ設定] コンソールが開かれます。
注意 : ローカル セキュリティ ポリシーには、コンピュータのローカル設定、およびドメイン レベルのセキュリティ ポリシーの設定を追加した結果の有効な設定が表示されます。ドメイン レベルのセキュリティ ポリシーの設定は、下に示すように、いかなるローカル設定よりも優先します。
ドメイン セキュリティ ポリシー
ドメイン セキュリティ ポリシーはドメイン内のすべてのコンピュータに関するセキュリティ要件を設定して継承するために使用します。ドメイン セキュリティ ポリシーはドメイン内のすべてのコンピュータに対するローカル セキュリティ ポリシーに優先します。
ドメイン セキュリティ ポリシーを開くには
管理者権限を持っているアカウントを使用して、ドメイン コントローラにログオンします。
[スタート] をクリックし、[プログラム] をポイントし、[管理ツール] をポイントしてから、[ドメイン セキュリティ ポリシー] を選択します。すると、[ドメイン セキュリティ ポリシー] コンソールが開かれます。
ドメイン コントローラ セキュリティ ポリシー
ドメイン コントローラ セキュリティ ポリシーはドメイン コントローラに関するセキュリティ要件を設定して適用するために使用します。ドメイン コントローラ セキュリティ ポリシーは対象のドメイン内のすべてのドメイン コントローラに厳格に適用され、ドメイン セキュリティ ポリシーによって上書きされることはありません。
ドメイン コントローラ セキュリティ ポリシーを開くには
管理者権限を持っているアカウントを使用して、ドメイン コントローラにログオンします。
[スタート] をクリックし、[プログラム] をポイントし、[管理ツール] をポイントしてから、[ドメイン コントローラ セキュリティ ポリシー] を選択します。すると、[ドメイン コントローラ セキュリティ ポリシー] コンソールが開かれます。
組織単位グループ ポリシー オブジェクト
このドキュメントでは組織単位グループ ポリシー オブジェクト (OU GPO) の実装については取り上げません。しかし、前に説明したポリシー インターフェイスによって実装されたセキュリティ ポリシー設定を OU GPO が上書きする可能性があることに注意する必要があります。たとえば、ドメイン用に設定されているポリシーが子 OU 用に構成された同じポリシーと矛盾する場合、そのドメイン ポリシー設定は子 OU に継承されません。代わって、子 OU 内の設定が適用されます。OU GPO を作成する際に [上書きなし] オプションを選択すると、それを避けることができます。[上書きなし] オプションは、親のポリシーが子のポリシーと矛盾し、かつ、子に [ポリシーを継承しない] が設定されている場合でも、すべての子コンテナに親のポリシーを強制的に継承させる働きをします。GPO の [プロパティ] ダイアログ ボックスの [オプション] ボタンをクリックすることにより、[上書きなし] チェック ボックスを表示させることができます。
その他のセキュリティ構成インターフェイス
説明と実装を容易にするために、このドキュメントでは上で説明したインターフェイスである Windows 2000 セキュリティ ポリシーを通じてセキュリティの設定を管理することに焦点を当てます。しかし、他にも利用可能なツールがあります。スタンドアロンのポリシー インターフェイスを通じては対処できないセキュリティ管理オプションがあった場合には、それらのツールを取り上げることがあります。それらのツールには、標準 Windows 2000 管理インターフェイスもあれば、セキュリティ構成ツール セットもあります。後者の場合、特定のセキュリティの設定を適用するために使用できるだけではなく、確立されたポリシー要件にオペレーティング システムが適合しているかをテストするためにも使用することができます。それらの各インターフェイスの使い方の詳細については、『Windows 2000 評価された構成 管理者ガイド』を参照してください。
Windows エクスプローラ
特定のファイルおよびフォルダに関するアクセス許可および監査の設定を行うために、Windows エクスプローラを使用することができます。共有リソースおよび共有アクセス許可も、Windows エクスプローラ インターフェイスを通じて設定することができます。そのようすを下に図示します。
レジストリ エディタ
Windows 2000 で利用可能なレジストリ エディタは 2 つあります。Regedit.exe と Regedt32.exe です。その 2 つのうちで、レジストリ キー オブジェクトに関するアクセス許可および監査の設定をサポートしているのは Regedt32.exe だけです。評価された構成においては、 Regedt32.exe のみを使用すべきです。
警告 : レジストリ エディタの使い方を誤ると、システム全体に及ぶ深刻な問題が生じ、それを修正するためには Windows 2000 を再インストールしなければならないことがあります。レジストリ エディタの不適切な使用によって生じた問題の解決に関して、マイクロソフトは一切保証を負いません。
コンピュータ管理インターフェイス
[コンピュータの管理] インターフェイスはすべての Windows 2000 オペレーティング システムで利用可能です。このインターフェイスを使用すると、監査ログ、共有リソース割り当てとアクセス許可、システム サービス、さらにはユーザー アカウントおよびグループ アカウントを管理することができます。ドメイン コントローラ上においては、[コンピュータの管理] インターフェイスではなく、[Active Directory ユーザーとコンピュータ] インターフェイスを使用して、ユーザー アカウントおよびグループ アカウントを管理します。
Active Directory ユーザーとコンピュータ
[Active Directory ユーザーとコンピュータ] インターフェイスは、ドメインのユーザーおよびコンピュータをはじめとする Active Directory オブジェクトを作成して管理するために使用します。このインターフェイスはドメイン コントローラ上でのみ利用可能です。
Microsoft セキュリティ構成ツール セット
Microsoft セキュリティ構成ツール セットは Microsoft 管理コンソール (MMC) の一連のスナップインから構成されており、Windows 2000 オペレーティング システムのセキュリティを構成し分析できるように設計されています。セキュリティ構成ツール セットを使用すると、管理者は Windows 2000 オペレーティング システムのセキュリティを構成し、それから定期的にシステムの分析を実施して、構成の現状を維持したり、時間の経過にともなって必要となる構成の変更を実施したりすることができます。
Microsoft セキュリティ構成ツール セットの使い方に関する詳しい情報が記載されているドキュメントを次のサイトからダウンロードすることができます。https://www.microsoft.com/japan/windows2000/remove404.mspx.
アカウント ポリシー
アカウント ポリシーは主要な 3 つのアカウント認証機能を制御するルールです。具体的には、パスワードの構成、アカウントのロックアウト、および Kerberos 認証を対象にします。
パスワード ポリシー : ローカル ユーザー アカウントに関して、適用や有効期間のようなパスワードの設定を決める働きをします。
アカウント ロックアウト ポリシー : ローカル ユーザー アカウントに関して、いつだれのためにアカウントをシステムからロックアウトするかを決める働きをします。
Kerberos ポリシー : Kerberos 認証は Active Directory ドメインにおいて使用される主要な認証機構です。
アカウント ポリシーはドメイン内のユーザー、組織単位、ツリーなどに適用することができます。これらのポリシーは階層構造をしています。
ドメイン ポリシーは Active Directory オブジェクト ポリシーに優先します。
組織単位ポリシーはドメイン ポリシーに優先します。
ルート ドメイン ポリシーはすべてのポリシーに優先します。
アカウント ポリシーの設定に関する詳細については、『Windows 2000 評価された構成 管理者ガイド』を参照してください。
パスワード ポリシーの設定
現在のパスワード ポリシーを表示して編集するには、以下の手順で操作を行います。
対象のセキュリティ ポリシーを開きます。
[セキュリティの設定] を展開します。
[セキュリティの設定] の下の [アカウント ポリシー] を展開して、[パスワードのポリシー]、[アカウント ロックアウトのポリシー]、[Kerberos ポリシー] を表示させます。
[パスワードのポリシー] オブジェクトをクリックします。すると、右側の詳細ペインに、構成可能な [パスワードのポリシー] の設定が表示されます。
表 3.1 に示されている「推奨」または「必須」の指示に応じて、パスワード ポリシーを設定します。
表 3.1 パスワード ポリシーの設定
パスワード ポリシー | Professional | Server | DC | 必須 | 推奨 |
---|---|---|---|---|---|
パスワード履歴要件を設定する セキュリティの目的: パスワード再利用の頻度の制限を設定します。 |
![]() |
![]() |
![]() |
![]() |
|
パスワードの有効期間を設定する セキュリティの目的: ユーザーがパスワードを変更せずに使い続けられる期間を設定します。 |
![]() |
![]() |
![]() |
![]() |
|
パスワードの変更禁止期間を設定する セキュリティの目的: ユーザーがパスワードを変更せずに使い続けなければならない期間を設定します。 |
![]() |
![]() |
![]() |
![]() |
|
パスワードの長さを設定する セキュリティの目的: ユーザーのパスワードに必要な長さを設定します。 |
![]() |
![]() |
![]() |
![]() |
|
パスワードの複雑性要件を設定する セキュリティの目的: 複雑 (強力) なパスワードを使用することを求めます。このポリシーを設定した場合、パスワード内で英数字、特殊文字、大文字、小文字を組み合わせて使用しなければなりません。 |
![]() |
![]() |
![]() |
![]() |
|
元に戻せるパスワードの暗号化を有効にしない セキュリティの目的: 推奨しません。 手順: 既定の設定が無効になっていることを確認します。 |
![]() |
![]() |
![]() |
![]() |
アカウント ロックアウトのポリシー | Professional | Server | DC | 必須 | 推奨 |
---|---|---|---|---|---|
ロックアウト期間の設定
セキュリティの目的: 無効なパスワードの使用が試みられたためにいったんアカウントがロックされると、この指定期間が経過 (または管理者がアカウントのロックを解除) してからでないと、リセットすることはできません。
手順:
|
![]() |
![]() |
![]() |
![]() |
|
アカウントのロックアウトのしきい値を設定する セキュリティの目的: 無効なログインの試みが何回行われたら、アカウントをロックするかを設定します。 |
![]() |
![]() |
![]() |
![]() |
|
アカウントのロックアウト リセット カウンタを設定する セキュリティの目的: ログオンの試みが失敗するたびに、不正なログオンの回数を記録するしきい値が繰り上げられます。このポリシーはロックアウトしきい値を何分間維持した後にリセットするかを決定します。 |
![]() |
![]() |
![]() |
![]() |
Kerberos ポリシー | Professional | Server | DC | 必須 | 推奨 |
---|---|---|---|---|---|
ユーザー ログオンの制限を強制する セキュリティの目的: すべてのログオン要求をユーザー権利のポリシーに照らしてチェックし、ユーザーがローカルにログオンまたはネットワークを通じてコンピュータにアクセスする許可を有しているかどうか判定します。 手順: 既定の設定が適切です。設定が「有効」であることを確認します。 | ![]() |
![]() |
![]() |
![]() |
|
サービス チケットの最長有効期間を設定する セキュリティの目的: サービス チケットが有効な最長の期間を設定します。 手順: 既定の設定が適切です。サービス チケットの有効期限が「600 分」に設定されていることを確認します。 |
![]() |
![]() |
![]() |
![]() |
|
チケットの最長有効期間を設定する セキュリティの目的: ユーザー チケットが有効な最長の期間を設定します。 手順: 既定の設定が適切です。ユーザー チケットの有効期限が「10 時間」に設定されていることを確認します。 |
![]() |
![]() |
![]() |
![]() |
|
ユーザー チケットを更新できる最長有効期間を設定する セキュリティの目的: 有効期限が切れたユーザー チケットを更新できる期間を設定します。 手順: 既定の設定が適切です。ユーザー チケットを更新できる期間が「7 日」であることを確認します。 |
![]() |
![]() |
![]() |
![]() |
|
コンピュータの時計の同期の最長トレランスを設定する セキュリティの目的: ドメイン内のコンピュータ間の同期の最長のトレランスを設定します。 手順: 既定の設定が適切です。最長トレランスが「5 分」に設定されていることを確認します。 |
![]() |
![]() |
![]() |
![]() |
監査ポリシー | Professional | Server | DC | 必須 | 推奨 | ||
---|---|---|---|---|---|---|---|
監査イベントのカテゴリ | 成功 | 失敗 | |||||
アカウント ログオン イベントの監査 |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
|
アカウント管理の監査 |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
|
ディレクトリ サービスのアクセスの監査 |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
|
ログオン イベントの監査 |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
|
オブジェクト アクセスの監査 |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
|
ポリシーの変更の監査 |
![]() |
![]() |
![]() |
![]() |
![]() |
||
特権使用の監査 |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
|
プロセス追跡の監査 |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
|
システム イベントの監査 |
![]() |
![]() |
![]() |
![]() |
![]() |
注意 :
評価された構成には特定の監査情報を提供する機能が含まれなければなりません。しかし、監査情報が生成される必要はありません。
[オブジェクト アクセスの監査] ポリシーを設定すると、オブジェクトを監査することが可能になるだけです。オブジェクト アクセス監査イベントを収集するためには、アクセスの試みをログに記録する対象の個々のオブジェクトに関して、監査 SACL を設定する必要があります。[ディレクトリ サービスのアクセスの監査] ポリシーを設定する場合も同様です。
付録B 「監査カテゴリとイベント」に、Windows 2000 の監査イベント、適用される ST 要件、および推奨する監査の設定のマトリックスを提示します。
「アカウント ログオン イベント」は、ドメインのように、アカウントが置かれている場所で生成されます。「ログオン イベント」はログオンの試みがなされた場所で生成されます。
ログオン権利およびログオン特権の修正
ユーザー アカウントおよびサービスに関するログオン権利およびログオン特権を修正します。
対象のセキュリティ ポリシーを開きます。
[セキュリティの設定] を展開します。
[セキュリティの設定] の下の [ローカル ポリシー] を展開して、[監査ポリシー]、[ユーザー権利の割り当て]、[セキュリティ オプション] を表示させます。
[ユーザー権利の割り当て] オブジェクトをクリックします。すると、右側の詳細ペインに、構成可能なユーザー権利ポリシーの設定が表示されます。
ログオン権利およびログオン特権を設定するには、右側の詳細ペイン内の対象のポリシーをダブルクリックします。すると、[セキュリティ ポリシーの設定] ダイアログ ウィンドウが開かれます。
ドメインレベルのポリシーに関して、[このポリシーの設定を定義する] チェック ボックスをオンにします。
アカウントのログオン権利またはログオン特権を削除するには、アカウント名をクリックしてハイライトさせ、それから [削除] ボタンをクリックします。
アカウントにログオン権利またはログオン特権を追加するには、[追加] ボタンをクリックし、それから対象のアカウントの適切なアカウント ディレクトリを参照します。
評価された構成を維持するためには、ユーザーの権利と特権の既定の割り当ての中で、管理者が変更しなければならないものがいくつかあります (表 3.5 の「推奨」および「必須」の列を参照)。
注意 : ドメイン コントローラには Power Users アカウントは存在しません。したがって、Power Users グループのユーザー権利と特権に影響を与える修正をドメイン コントローラから手作業で実施することはできません。また、ドメイン コントローラには Power Users グループは存在しないにもかかわらず、ドメイン コントローラのローカル ポリシーには Power Users グループへの参照が依然として残っている可能性があることにも注意してください。コンピュータをサーバーからドメイン コントローラに変更した後でも、この参照は残ります。
表 3.5 ユーザー権利と特権
ユーザー権利と特権の割り当て | Professional | Server | DC | 必須 | 推奨 | ||
---|---|---|---|---|---|---|---|
ログオン権利 | 既定値 | 修正後 | |||||
ネットワーク経由でコンピュータへアクセス (Professional/Server) | Administrators Backup Operators Power Users Users | Administrators Backup Operators Power Users Users |
![]() |
![]() |
![]() |
||
ネットワーク経由でコンピュータへアクセス (ドメイン コントローラ) | Administrators Authenticated Users | AdministratorsAuthenticated Users |
![]() |
![]() |
|||
ローカル ログオン (Professional) | Administrators Backup Operators Power Users Users コンピュータ名\Guest | Administrators Backup Operators Power Users |
![]() |
![]() |
|||
ローカル ログオン (Server) | Administrators Backup Operators Power Users Users コンピュータ名\Guest コンピュータ名\TsInternetUser | Administrators Backup Operators Power Users Users |
![]() |
![]() |
|||
ローカル ログオン (ドメイン コントローラ) | Administrators Account Operators Backup Operators Print Operators Server Operators | Administrators Account Operators Backup Operators Print Operators Server Operators |
![]() |
![]() |
|||
特権 | 既定値 | 修正後 | |||||
ドメインにワークステーションを追加 (ドメイン コントローラ) | Authenticated Users のアカウントを削除します。この特権を他のユーザーに与えてはなりません。 注意 Domain Administrators は既定でこの特権を保持しています。 |
![]() |
![]() |
||||
クォータの増加 (ドメイン コントローラ – ドメイン セキュリティ ポリシー内) | (未定義) | Administrators |
![]() |
![]() |
|||
スケジューリング優先順位の繰り上げ (ドメイン コントローラ – ドメイン セキュリティ ポリシー内) | (未定義) | Administrators |
![]() |
![]() |
|||
デバイス ドライバのロードとアンロード (ドメイン コントローラ – ドメイン セキュリティ ポリシー内) | (未定義) | Administrators |
![]() |
![]() |
|||
監査とセキュリティ ログの管理 (ドメイン コントローラ – ドメイン セキュリティ ポリシー内) | (未定義) | Administrators |
![]() |
![]() |
|||
ファームウェア環境値の修正 (ドメイン コントローラ – ドメイン セキュリティ ポリシー内) | (未定義) | Administrators |
![]() |
![]() |
|||
システム パフォーマンスのプロファイル (ドメイン コントローラ – ドメイン セキュリティ ポリシー内) | (未定義) | Administrators |
![]() |
![]() |
|||
システムのシャットダウン (Professional) | Administrators Backup Operators Power Users | Administrators Backup Operators Power Users |
![]() |
![]() |
|||
ファイルとその他のオブジェクトの所有権の取得 (ドメイン コントローラ – ドメイン セキュリティ ポリシー内) | (未定義) | Administrators |
![]() |
![]() |
セキュリティ オプション | Professional | Server | DC | 必須 | 推奨 |
---|---|---|---|---|---|
匿名接続の追加を制限する セキュリティの目的: 匿名ユーザーが SAM アカウントおよび共有を列挙できないようにします。 |
![]() |
![]() |
![]() |
![]() |
|
サーバー オペレータがタスクのスケジュールを割り当てるのを許可する (ドメイン コントローラのみ) セキュリティの目的: Server Operators が AT スケジュール機能を用いてジョブを作成することを許すかどうかを決定します。既定では、AT スケジュール機能を用いてジョブを作成することができるのは、管理者だけです。このセキュリティ ポリシーの設定を有効にすると、Administrators としてのアクセス許可を与えずに、Server Operators グループのメンバが AT スケジュール機能を用いてドメイン コントローラ上のジョブを作成できるようになります。 手順: この機能を有効にしてはいけません。AT スケジュール機能は評価された構成の一部ではありません。 |
![]() |
![]() |
|||
ログオン抜きのシャットダウンを無効にする セキュリティの目的: 先にシステムの認証を受けないでコンピュータをシャットダウンできないようにします。 |
![]() |
![]() |
![]() |
![]() |
|
リムーバブル NTFS メディアの取り出しを制限する セキュリティの目的: 権限のある管理者にのみ、コンピュータからメディアを取り出すことを許可することにより、リムーバブル メディアに収められているデータに関する ACL 設定の整合性を保証します。 |
![]() |
![]() |
![]() |
![]() |
|
セッションを切断する前に、ある一定のアイドル時間を必要とする セキュリティの目的: サーバー メッセージ ブロック (SMB) セッションにおいて、アイドル状態が何分間続いたらセッションを切断するかを決定します。管理者はこのポリシーを使用して、非アクティブな SMB セッションをいつ切断するかを制御することができます。クライアントのアクティビティが再開された場合には、セッションは自動的に再確立されます。ローカル コンピュータ ポリシーには、サーバーに関するこのポリシーの既定値は 15 分と定義されています。ワークステーションにはこのポリシーは定義されていません。このポリシーの値が 0 に設定されている場合、アイドルなセッションを、合理的に可能な限り、早急に切断することを意味します。 手順: 既定の設定のままにしておきます。 |
![]() |
![]() |
![]() |
![]() |
|
グローバル システム オブジェクトへのアクセスを監査する セキュリティの目的: グローバル システム オブジェクトへのアクセスを監査できるようにします。このポリシーを有効にすると、ミューテックス、イベント、セマフォ、および DOS デバイスのようなシステム オブジェクトが既定のシステム アクセス制御リスト (SACL) と共に作成されます。オブジェクト アクセスの監査に関する監査ポリシーも有効に設定されていると、これらのシステム オブジェクトへのアクセスが監査されます。 |
![]() |
![]() |
![]() |
![]() |
|
バックアップと復元の特権の使用を監査するセキュリティの目的: [ファイルとディレクトリのバックアップ]または [ファイルとディレクトリの復元] の特権が使用されるたびに、監査イベントを記録できるようにします。既定では、バックアップと復元の特権の使用は監査の対象外です。[特権使用の監査]に関する監査ポリシーが有効であり、このセキュリティ オプションも設定されている場合に、バックアップと復元の特権の使用が監査されます。手順:
|
![]() |
![]() |
![]() |
![]() |
|
ログオン時間を経過した場合は自動的にユーザーをログオフする セキュリティの目的: ユーザーが許可されている時間以上にログオンしたままでいるときに、そのユーザーをネットワークから強制的にログオフさせます。 |
![]() |
![]() |
|||
ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル) セキュリティの目的: ユーザーが許されている時間以上にログオンしたままでいるときに、そのユーザーをローカル コンピュータから強制的にログオフさせます。 手順: 右側の詳細ペイン内の [ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル)] をダブルクリックします。 ドメインレベルのポリシーに関して、[このポリシーの設定を定義する] チェック ボックスをオンにします。 [有効] ラジオ ボタンを選択し、それから [OK] ボタンをクリックします。 |
![]() |
![]() |
![]() |
![]() |
|
システムのシャットダウン時に仮想メモリのページ ファイルをクリアする セキュリティの目的: システムがシャットダウンされたときに、仮想メモリのページ ファイルを削除します。ユーザーが次回にログインするときに、ページファイルは再初期化されます。この目的は、ページファイル内に残っている情報が、次のユーザーがコンピュータにログオンしたときに利用できないようにすることです。 |
![]() |
![]() |
![]() |
![]() |
|
常にクライアント側の通信にデジタル署名を行う セキュリティの目的: クライアント側の通信に常にデジタル署名を行うかどうかを決定します。Windows 2000 のサーバー メッセージ ブロック (SMB) 認証プロトコルでは、相互認証およびメッセージ認証をサポートしています。前者は「man-in-the-middle」攻撃を排除し、後者はアクティブ メッセージ攻撃を防止する働きをします。各 SMB にデジタル署名を付し、それをクライアントとサーバーの両方で検証することにより、この認証が行われます。 このオプションを有効にすると、Windows 2000 SMB クライアントは SMB パケットに署名する必要があります。このオプションを無効にした場合は、SMB クライアントがパケットに署名する必要はありません。このポリシーは既定では無効にされています。評価された構成に関しては、このポリシー オプションを無効にし、次のセキュリティ オプションの [可能な場合、クライアントの通信にデジタル署名を行う] を有効にすることができます。評価された構成の運用環境は同じ要件に合わせてすべてのコンピュータが構成されている閉じたネットワークです。したがって、通信には SMB 署名が用いられます (下の注意を参照してください)。 |
![]() |
![]() |
![]() |
![]() |
|
可能な場合、クライアントの通信にデジタル署名を行う セキュリティの目的: このポリシーを有効にすると、SMB パケット署名を行うことが有効または必要となっている SMB サーバーと通信するときに、Windows 2000 のサーバー メッセージ ブロック (SMB) クライアントは SMB パケット署名を行います。詳細については、「常にクライアント側の通信にデジタル署名を行う」を参照してください。 |
![]() |
![]() |
![]() |
![]() |
|
常にサーバーの通信にデジタル署名を行う セキュリティの目的: このポリシーを有効にすると、Windows 2000 のサーバー メッセージ ブロック (SMB) サーバーは SMB パケットに署名する必要があります。このポリシーは既定では無効にされています。詳細については、「常にクライアント側の通信にデジタル署名を行う」を参照してください。 |
![]() |
![]() |
![]() |
![]() |
|
可能な場合、サーバーの通信にデジタル署名を行う セキュリティの目的: このポリシーを有効にすると、Windows 2000 のサーバー メッセージ ブロック (SMB) サーバーは SMB パケットに署名する必要があります。ローカル コンピュータ ポリシーにおいては、ワークステーションおよびサーバー プラットフォームに関しては、このポリシーは既定では無効にされています。ドメイン コントローラに関しては、このポリシーは既定では有効にされています。詳細については、「常にクライアント側の通信にデジタル署名を行う」を参照してください。 |
![]() |
![]() |
![]() |
![]() |
|
ログオンに Ctrl+Alt+Del を必要としない セキュリティの目的: このオプションを有効にしてはいけません。このオプションを有効にすると、信頼されたパスの仕組みが無効になります。信頼されたパスの仕組みの目的は、ユーザーのログイン セッションがスプーフィングされることを防止することにあります。Windows 2000 コンピュータ上ではこのオプションは既定では無効に設定されています。ただし、ポリシー ツールの中には未定義と表示するもがあります。 手順: 右側の詳細ペイン内の [ログオンに Ctrl+Alt+Del を必要としない]オプションが未定義または無効に設定されていることを確認します。 | ![]() |
![]() |
![]() |
![]() |
|
ログオン画面に最後のユーザー名を表示しない セキュリティの目的: 既定では、コンピュータに前回ログオンしたユーザーのユーザー ID が Windows 2000 のログイン インターフェイス画面に表示されます。このオプションを有効にすると、ログイン セッションにおいて、前回ログインしたユーザーの名前が削除されます。その結果、ローカルでコンピュータに入りこもうとする侵入者は、パスワードだけではなく正しいユーザー ID も推測しなければならなくなります。 |
![]() |
![]() |
![]() |
![]() |
|
LAN Manager 認証レベル
セキュリティの目的: このセキュリティ オプションはWindows のチャレンジ/レスポンス認証レベルを設定するために使用します。このセキュリティ オプションにより、ネットワーク ログオンに使用するチャレンジ/レスポンス認証プロトコルが決まります。この選択により、クライアントによって使用される認証プロトコルのレベル、ネゴシエートされるセッションのセキュリティのレベル、および以下の各選択オプションで受け入れられる認証のレベルが影響を受けます。
|
![]() |
![]() |
![]() |
![]() |
|
ログオン画面に警告を表示する セキュリティの目的: タイトルと警告の付いたログオン見出しを表示するように、対話型のログオン画面を構成します。 |
![]() |
![]() |
![]() |
![]() |
|
ログオン情報をキャッシュ化しない セキュリティの目的: Windows 2000 にはログオン情報をキャッシュ化する機能が備わっています。ログオン時にドメイン コントローラが見つからず、ユーザーが過去にシステムにログオンしたことがある場合、それらの資格情報を使用してログオンすることができます。CachedLogonsCount レジストリ値は、Windows 2000 によって何件のユーザー アカウント エントリがローカル コンピュータのログオン キャッシュに保存されるかを示します。このエントリの値が 0 である場合、ユーザー アカウントに関するデータはログオン キャッシュに保存されません。その場合、ドメイン コントローラが利用できず、ユーザーのアカウント情報が保存されていないコンピュータにユーザーがログオンしようとすると、次のメッセージが表示されます。 ログオンできません。ログオン先ドメイン <ドメイン名> は利用できません。 Administrator がユーザーのドメイン アカウントを無効にしても、ネット ケーブルを外すことにより、ユーザーは依然としてキャッシュを使用してログオンすることができます。これを防止するために、管理者はログオン情報のキャッシュ化を無効にすべきです。そうすると、ログオンにかかる時間が少し長くなりますが、ハッカーがキャッシュ メモリからログオン情報を盗用することを防止することができます。 |
![]() |
![]() |
![]() |
![]() |
|
コンピュータ アカウント パスワードのシステム保守をしない セキュリティの目的: コンピュータ アカウント パスワードを毎週リセットするか否かを決定します。Windows 2000 のセキュリティの一環として、コンピュータ アカウント パスワードは 7 日ごとに自動的に変更されます。このポリシーを有効にすると、パスワードが毎週変更されることはなくなります。このポリシーを無効にすると、コンピュータ アカウントの新しいパスワードが毎週生成されます。既定ではこのポリシーは無効に設定されています。 手順: このポリシーを有効にしてはなりません。ローカルポリシーは無効、ドメイン ポリシーは無効に設定されているかまたは未定義であることを確認します。 |
![]() |
![]() |
![]() |
![]() |
|
ユーザーがプリンタ ドライバをインストールできないようにする セキュリティの目的: Users グループのメンバがプリンタ ドライバをインストールできないようにするどうかを決定します。このポリシーを有効にすると、ユーザーがローカル コンピュータにプリンタ ドライバをインストールすることはできなくなります。したがって、ローカル コンピュータ上にデバイス ドライバが存在しないときに、ユーザーが「プリンタを追加」することはできません。このポリシーを無効にすると、Users グループのメンバがコンピュータ上にプリンタ ドライバをインストールすることができます。既定では、この設定はサーバー上では有効に、ワークステーション上では無効になっています。 |
![]() |
![]() |
![]() |
![]() |
|
パスワードが無効になる前にユーザーに変更を促す セキュリティの目的: ユーザーのパスワードの有効期限が切れる何日前にユーザーに警告するかを決定します。ユーザーに予告することにより、ユーザーは余裕を持って十分強力なパスワードを考案することができます。既定では、この値は 14 日に設定されています。 手順: なし。既定の設定は適切です。 | ![]() |
![]() |
![]() |
![]() |
|
回復コンソール: 自動管理ログオンを許可する セキュリティの目的: 回復コンソールの既定の設定では、システムにアクセスするためには、Administrator アカウントのパスワードを入力する必要があります。このオプションを有効にすると、回復コンソールはパスワードを必要とせずに、自動的にシステムにログオンします。既定では、このオプションは無効に設定されています。ただし、ポリシー ツールの中にはこのオプションを未定義と表示するもがあります。 手順: このオプションを有効にしてはいけません。 | ![]() |
![]() |
![]() |
![]() |
|
回復コンソール: すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する
セキュリティの目的: このオプションを有効にすると、回復コンソールの SET コマンドを使用できるようになります。すると、回復コンソールの以下の環境変数を設定することが可能になります。
|
![]() |
![]() |
![]() |
![]() |
|
Administrator アカウント名の変更 セキュリティの目的: Administrator アカウントのセキュリティ識別子 (SID) に関連する名前を変更するために使用します。この変更を行うと、ハッカーにパスワードだけではなく Administrator アカウントに関連したユーザー ID も推測させることになり、 Administrator アカウントが盗用される機会を減らすことができます。 手順: 右側の詳細ペイン内の [Administrator アカウント名の変更] をダブルクリックします。 ドメインレベルのポリシーに関して、[このポリシーの設定を定義する] チェック ボックスをオンにします。 テキスト ボックスに Administrator アカウントの新しい名前を入力し、それから [OK] ボタンをクリックします。 | ![]() |
![]() |
![]() |
![]() |
|
Guest アカウント名の変更 セキュリティの目的: Guest アカウントのセキュリティ識別子 (SID) に関連する名前を変更するために使用します。この変更を行うと、ハッカーにパスワードだけではなく Guest アカウントに関連したユーザー ID も推測させることになり、匿名で Guest アカウントが盗用される機会を減らすことができます。 手順: 右側の詳細ペイン内の [Guest アカウント名の変更] をダブルクリックします。 ドメインレベルのポリシーに関して、[このポリシーの設定を定義する] チェック ボックスをオンにします。 テキスト ボックスに Guest アカウントの新しい名前を入力し、それから [OK] ボタンをクリックします。 | ![]() |
![]() |
![]() |
![]() |
|
CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する セキュリティの目的: ローカル ユーザーとリモート ユーザーの両方に同時に CD-ROM へのアクセスを許可するかどうかを決定します。このポリシーを有効にすると、対話型でログオンしたユーザーだけがリムーバブル CD-ROM メディアにアクセスできるようになります。このポリシーを無効にすると、ローカル ユーザーとリモート ユーザーが同時に CD-ROM にアクセスできるようになります。 手順: 右側の詳細ペイン内の [CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する] をダブルクリックします ドメインレベルのポリシーに関して、[このポリシーの設定を定義する] チェック ボックスをオンにします [有効] ラジオ ボタンを選択し、それから [OK] ボタンをクリックします。 | ![]() |
![]() |
![]() |
![]() |
|
フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する セキュリティの目的: ローカル ユーザーとリモート ユーザーの両方に同時にリムーバブル フロッピー メディアへのアクセスを許すかどうかを決定します。このオプションを有効にすると、対話型でログオンしたユーザーだけがリムーバブル フロッピー メディアにアクセスできるようになります。対話型でログオンしたユーザーがだれもいない場合は、ネットワークを通じてフロッピー メディアを共有することができます。このオプションを無効にすると、ローカル ユーザーとリモート ユーザーが同時にフロッピー メディアにアクセスできるようになります。 手順: 右側の詳細ペイン内の [フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する] をダブルクリックします ドメインレベルのポリシーに関して、[このポリシーの設定を定義する] チェック ボックスをオンにします。 [有効] ラジオ ボタンを選択し、それから [OK] ボタンをクリックします。 | ![]() |
![]() |
![]() |
![]() |
|
セキュリティで保護されたチャネル: 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する セキュリティの目的: セキュリティで保護されたチャネル データを常にデジタル的に暗号化または署名するかどうかを決定します。Windows 2000 システムをドメインに加えたときに、コンピュータ アカウントが作成されます。その後で、Windows 2000 システムを起動すると、コンピュータ アカウントのパスワードを使用して、属するドメインのドメイン コントローラとの間にセキュリティで保護されたチャネルが作成されます。セキュリティで保護されたチャネルを通じて送られる要求は認証され、パスワードのような機密情報は暗号化されます。しかし、チャネルの整合性はチェックされず、すべての情報が暗号化されるとは限りません。このポリシーを有効にすると、セキュリティで保護されたチャネルを通じ発信されるすべてのトラフィックは署名または暗号化されなければなりません。このポリシーを無効にすると、署名および暗号化についてドメイン コントローラとネゴシエートされます。既定では、このポリシーは無効に設定されています。 手順: 既定の設定を変更してはいけません。 | ![]() |
![]() |
![]() |
![]() |
|
セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化または署名する セキュリティの目的: セキュリティで保護されたチャネル データを常にデジタル的に暗号化または署名するかどうかを決定します。Windows 2000 システムをドメインに加えたときに、コンピュータ アカウントが作成されます。その後で、Windows 2000 システムを起動すると、コンピュータ アカウントのパスワードを使用して、属するドメインのドメイン コントローラとの間にセキュリティで保護されたチャネルが作成されます。セキュリティで保護されたチャネルを通じて送られる要求は認証され、パスワードのような機密情報は暗号化されます。しかし、チャネルの整合性はチェックされず、すべての情報が暗号化されるとは限りません。このポリシーを有効にすると、セキュリティで保護されたチャネルを通じて発信されるすべてのトラフィックは暗号化されなければなりません。このポリシーを無効にすると、セキュリティで保護されたチャネルを通じて発信されるトラフィックは暗号化されません。既定では、このオプションは有効に設定されています。 手順: 既定の設定を変更してはいけません。 | ![]() |
![]() |
![]() |
![]() |
|
セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する セキュリティの目的: セキュリティで保護されたチャネル データを常にデジタル的に暗号化または署名するかどうかを決定します。Windows 2000 システムをドメインに加えたときに、コンピュータ アカウントが作成されます。その後で、Windows 2000 システムを起動すると、コンピュータ アカウントのパスワードを使用して、属するドメインのドメイン コントローラとの間にセキュリティで保護されたチャネルが作成されます。セキュリティで保護されたチャネルを通じて送られる要求は認証され、パスワードのような機密情報は暗号化されます。しかし、チャネルの整合性はチェックされず、すべての情報が暗号化されるとは限りません。このポリシーを有効にすると、セキュリティで保護されたチャネルを通じて発信されるすべてのトラフィックは署名されなければなりません。このポリシーを無効にすると、セキュリティで保護されたチャネルを通じて発信されるトラフィックは署名されません。既定では、このオプションは有効に設定されています。 手順: 既定の設定を変更してはいけません。 | ![]() |
![]() |
![]() |
![]() |
|
セキュリティで保護されたチャネル: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする セキュリティの目的: このポリシーを有効にすると、セキュリティで保護されたチャネルを通じて発信されるすべてのトラフィックは強力な (Windows 2000 かそれ以降のバージョン) 暗号化キーを必要とします。このポリシーを無効にすると、キーの強度についてドメイン コントローラとネゴシエートされます。このオプションを有効にするのは、信頼される側のすべてのドメイン内のすべてのドメイン コントローラで強力なキーがサポートされている場合のみとすべきです。既定では、このポリシーは無効に設定されています。 手順: 既定の設定を変更してはいけません。 | ![]() |
![]() |
![]() |
![]() |
|
サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する セキュリティの目的: このポリシーを有効にすると、サーバー メッセージ ブロック (SMB) リダイレクタは、認証中にパスワードを暗号化することがサポートされていない非マイクロソフト SMB サーバーにクリアテキストのパスワードを送信できるようになります。既定では、このポリシーは無効に設定されています。 手順: 既定の設定を変更してはいけません。 | ![]() |
![]() |
![]() |
![]() |
|
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする セキュリティの目的: セキュリティ イベントのログを記録できない場合に、システムを直ちにシャットダウンするかどうかを決定します。このポリシーを有効にすると、何らかの理由でセキュリティ監査のログを記録できない場合、システムは停止されます。通常、イベントのログを記録できないのは、セキュリティ監査ログがいっぱいになり、指定されているセキュリティ ログの保存方法が [イベントを上書きしない] または [指定した日数を過ぎたら上書きする] のどちらかである場合です。セキュリティ ログがいっぱいになり、既存のエントリを上書きすることができず、このセキュリティ オプションが有効であると、次のブルー スクリーンのエラーが表示されます。 STOP: C0000244 {Audit Failed} An attempt to generate a security audit failed. 回復するためには、管理者がログオンし、必要があればログのアーカイブを取り、ログをクリアし、このオプションを適切にリセットする必要があります。既定では、このポリシーは無効に設定されています。 手順: 右側の詳細ペイン内の [セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] をダブルクリックします。 ドメインレベルのポリシーに関して、[このポリシーの設定を定義する] チェック ボックスをオンにします。 [有効] ラジオ ボタンを選択し、それから [OK] ボタンをクリックします。 | ![]() |
![]() |
![]() |
![]() |
|
スマート カード取り出し時の動作
セキュリティの目的: ログオンしたユーザーのスマート カードがスマート カード読み取り装置から取り出されたときの措置を決定します。以下のオプションがあります。
|
![]() |
![]() |
![]() |
![]() |
|
グローバル システム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク) セキュリティの目的: オブジェクトに関する既定の随意アクセス制御リスト (DACL) の強度を決定します。Windows 2000 は、DOS デバイス名、ミューテックス、およびセマフォのような共有システム リソースのグローバル リストを保持しています。それにより、プロセスの間でオブジェクトの所在を突き止めて共有することができます。作成される各オブジェクト タイプには既定の DACL が付けられます。その中に、オブジェクトに対してだれがどのようなアクセス許可を有しているかが指定されています。このポリシーを有効にすると、既定の DACL が強化されます。それにより、管理者でないユーザーが共有オブジェクトを読むことができるようになりますが、自分が作成したのではない共有オブジェクトを修正することはできません。既定では、Windows 2000 Professional と Server 上でこのオプションはローカルに有効に設定されていますが、ドメイン セキュリティ ポリシーには定義されていません。 手順: 右側の詳細ペイン内の [グローバル システム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク)] をダブルクリックします。 ドメインレベルのポリシーに関して、[このポリシーの設定を定義する] チェック ボックスをオンにします。 [有効] ラジオ ボタンを選択し、それから [OK] ボタンをクリックします。 スタンドアロン コンピュータ/ドメイン メンバに関して、ローカル ポリシー内でこのセキュリティ オプションが有効に設定されていることを確認します。 | ![]() |
![]() |
![]() |
![]() |
|
署名されていないドライバのインストール時の動作
セキュリティの目的: Windows ハードウェア品質研究所 (WHQL) によって検証されていないデバイス ドライバを (Windows 2000 デバイス インストーラを用いて) インストールする試みがなされたときに、どのように対処するかを決定します。以下のオプションがあります。
|
![]() |
![]() |
![]() |
![]() |
|
署名されていないドライバ以外のインストール時の動作
セキュリティの目的: デバイス ドライバ以外の未検証のソフトウェアをインストールする試みがなされたときに、どのように対処するかを決定します。以下のオプションがあります。
|
![]() |
![]() |
![]() |
![]() |
キーのパス : HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers | フォーマット | 値 |
---|---|---|
キー: DCI 値の名前: Timeout | REG_DWORD | 0 |
キーのパス : HKLM\SYSTEM\CurrentControlSet\Control\Session Manager | フォーマット | 値 |
---|---|---|
キー: SubSystems 値の名前: 任意 | REG_MULTI_SZ | 値を削除 |
キーのパス : HKLM\SYSTEM\CurrentControlSet\Services | フォーマット | 値 |
---|---|---|
キー: audstub 値の名前: Start | REG_DWORD | 4 |
キー: mnmdd 値の名前: Start | REG_DWORD | 4 |
キー: ndistap 値の名前: Start | REG_DWORD | 4 |
キー: ndiswan 値の名前: Start | REG_DWORD | 4 |
キー: ndproxy 値の名前: Start | REG_DWORD | 4 |
キー: parvdm 値の名前: Start | REG_DWORD | 4 |
キー: pptpminiport 値の名前: Start | REG_DWORD | 4 |
キー: ptilink 値の名前: Start | REG_DWORD | 4 |
キー: rasacd 値の名前: Start | REG_DWORD | 4 |
キー: rasl2tp 値の名前: Start | REG_DWORD | 4 |
キー: raspti 値の名前: Start | REG_DWORD | 4 |
キー: wanarp 値の名前: Start | REG_DWORD | 4 |
キーのパス : HKLM\SYSTEM\CurrentControlSet\Control | フォーマット | 値 |
---|---|---|
キー: Session Manager 値の名前: EnhancedSecurityLevel | REG_DWORD | 1 |
キーのパス : HKLM\SYSTEM\ CurrentControlSet\Services\LanmanServer | フォーマット | 値 |
---|---|---|
キー: parameters 値の名前: RestrictNullSessAccess | REG_DWORD | 1 |
キーのパス : HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer | フォーマット | 値 |
---|---|---|
キー: parameters 値の名前: NullSessionPipes NullSessionShares | REG_MULTI_SZ | すべての値を削除 |
キーのパス : HKCU\Software\Policies\Microsoft\Windows\Control Panel | フォーマット | 値 |
---|---|---|
キー: Desktop 値の名前: BlockSendInputResets | REG_SZ | 1 |
キーのパス : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog | フォーマット | 値 |
---|---|---|
キー: Security 値の名前: WarningLevel | REG_DWORD | 90 |
キーのパス : HKLM\SYSTEM\CurrentControlSet\Services\Tcpip | フォーマット | 値 |
---|---|---|
キー: Parameters 値の名前: DisableIPSourceRouting | REG_DWORD | 2 |
キー: Parameters 値の名前: EnableDeadGWDetect | REG_DWORD | 0 |
キー: Parameters 値の名前: EnableICMPRedirect | REG_DWORD | 0 |
キー: Parameters 値の名前: EnablePMTUDiscovery | REG_DWORD | 0 |
キー: Parameters 値の名前: EnableSecurityFilters | REG_DWORD | 1 |
キー: Parameters 値の名前: KeepAliveTime | REG_DWORD | 300,000 |
キー: Parameters 値の名前: NoNameReleaseOnDemand | REG_DWORD | 1 |
キー: Parameters 値の名前: PerformRouterDiscovery | REG_DWORD | 0 |
キー: Parameters 値の名前: SynAttackProtect | REG_DWORD | 2 |
キー: Parameters 値の名前: TcpMaxConnectResponseRetransmissions | REG_DWORD | 2 |
キー: Parameters 値の名前: TcpMaxConnectRetransmissions | REG_DWORD | 3 |
キー: Parameters 値の名前: TCPMaxPortsExhausted | REG_DWORD | 5 |
キーのパス : HKLM\Software\Microsoft\Windows NT\CurrentVersion | フォーマット | 値 |
---|---|---|
キー: Winlogon 値の名前: ScreenSaverGracePeriod | REG_SZ | 0 |
キーのパス : HKLM\SYSTEM\CurrentControlSet\Services\W32Time | フォーマット | 値 |
---|---|---|
キー: Parameters 値の名前: type | REG_SZ | Nt5DS |
キーのパス : HKLM\SYSTEM\CurrentControlSet\Control\Lsa | フォーマット | 値 |
---|---|---|
キー: NoLMHash 値の名前: 値の名前は不要 | 指定不要 | 指定不要 |
キーのパス : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies | フォーマット | 値 |
---|---|---|
キー: Explorer 値の名前: NoDriveTypeAutoRun | REG_DWORD | 255 |
キーのパス : HKLM\System\CurrentControlSet\Services\NTDS | フォーマット | 値 |
---|---|---|
キー: Parameters 値の名前: LdapServerIntegrity | REG_DWORD | 2 |
キーのパス : HKLM\SYSTEM\CurrentControlSet\Services\Alerter | フォーマット | 値 |
---|---|---|
キー: Parameters 値の名前: AlertNames | REG_MULTI_SZ | 上に説明 |
監査ポリシーと構成 | Professional | Server | DC | 必須 | 推奨 |
---|---|---|---|---|---|
アプリケーション ログの最大サイズを設定する セキュリティの目的: アプリケーション イベント ログの最大サイズを指定します。既定値は 512 KB であり、最大サイズは 4 GB (4,194,240 KB) です。アプリケーション ログ サイズの要件は、プラットフォームの機能およびアプリケーション関連のイベントの履歴レコードの必要性に応じて異なります。 | ![]() |
![]() |
|||
スタンドアロンの Windows 2000 Professional および Server の場合の手順:
|
![]() |
![]() |
![]() |
||
セキュリティ ログの最大サイズを設定する セキュリティの目的: セキュリティ イベント ログの最大サイズを指定します。既定値は 512 KB であり、最大サイズは 4 GB です。 |
![]() |
![]() |
|||
スタンドアロンの Windows 2000 Professional および Server の場合の手順:
|
![]() |
![]() |
![]() |
||
システム ログの最大サイズを設定する セキュリティの目的: システム イベント ログの最大サイズを指定します。既定値は 512 KB であり、最大サイズは 4 GB です。 |
![]() |
![]() |
|||
スタンドアロンの Windows 2000 Professional および Server の場合の手順:
|
![]() |
![]() |
![]() |
||
アプリケーション ログのゲスト アクセスの制限
セキュリティの目的: アプリケーション イベント ログへの匿名アクセスを防止します。このポリシーを有効にすると、ゲストはアプリケーション イベント ログにアクセスできなくなります。既定では、すべての Windows 2000 オペレーティング システムにおいて、このポリシーはローカルで無効に設定されています。
ドメイン ポリシーおよびドメイン コントローラ ポリシーの場合の手順:
|
![]() |
![]() |
|||
セキュリティ ログのゲスト アクセスの制限
セキュリティの目的: セキュリティ イベント ログへの匿名アクセスを防止します。このポリシーを有効にすると、ゲストはセキュリティ イベント ログにアクセスできなくなります。既定では、すべての Windows 2000 オペレーティング システムにおいてこのポリシーはローカルで無効に設定されています。セキュリティ ログにアクセスするためには、ユーザーは [監査とセキュリティ ログの管理] のユーザー権利を有している必要があります。
ドメイン ポリシーおよびドメイン コントローラ ポリシーの場合の手順:
|
![]() |
![]() |
|||
システム ログへのゲスト アクセスを制限する
セキュリティの目的: システム イベント ログへの匿名アクセスを防止します。このポリシーを有効にすると、ゲストはシステム イベント ログにアクセスできなくなります。既定では、すべての Windows 2000 オペレーティング システムにおいてこのポリシーはローカルで無効に設定されています。
ドメイン ポリシーおよびドメイン コントローラ ポリシーの場合の手順:
|
![]() |
![]() |
|||
アプリケーション ログの保存 セキュリティの目的: アプリケーション ログを保存すべき日数を決定します。この指定が必要なのは、ドメイン ポリシー内でアプリケーション ログの保存方法を [指定した日数を過ぎたら上書きする] に設定した場合、またはスタンドアロンのワークステーションまたは Server の [アプリケーション ログのプロパティ] ウィンドウ内で [イベントを上書きする] オプションを選択した場合です。スケジュールに従って定期的にアプリケーション ログをアーカイブしている場合にのみ、この値を設定します。また、アーカイブの間隔に対応して、アプリケーション ログの最大サイズを十分大きく取るようにします。 ドメイン ポリシーおよびドメイン コントローラ ポリシーの場合の手順:「未定義」となっている既定の設定を変更してはいけません。 | ![]() |
![]() |
|||
スタンドアロンの Windows 2000 Professional および Server の場合の手順: [アプリケーション ログのプロパティ] ウィンドウの [イベントを上書きする] オプションに設定されている既定の日数 (7) を変更してはなりません。 | ![]() |
![]() |
![]() |
||
セキュリティ ログを保存する セキュリティの目的: セキュリティ ログを保存すべき日数を決定します。この指定が必要なのは、ドメイン ポリシー内でセキュリティ ログの保存方法を [指定した日数を過ぎたら上書きする] に設定した場合、またはスタンドアロンのワークステーションまたは Server の[セキュリティ ログのプロパティ] ウィンドウ内で [イベントを上書きする] オプションを選択した場合です。スケジュールに従って定期的にセキュリティ ログをアーカイブしている場合にのみ、この値を設定します。また、アーカイブの間隔に対応して、セキュリティ ログの最大サイズを十分大きく取るようにします。 ドメイン ポリシーおよびドメイン コントローラ ポリシーの場合の手順:「未定義」となっている既定の設定を変更してはなりません。 | ![]() |
![]() |
|||
スタンドアロンの Windows 2000 Professional および Server の場合の手順: [セキュリティ ログのプロパティ] ウィンドウの [イベントを上書きする] オプションに設定されている既定の日数 (7) を変更してはなりません。 | ![]() |
![]() |
![]() |
||
システム ログを保存する セキュリティの目的: システム ログを保存すべき日数を決定します。この指定が必要なのは、ドメイン ポリシー内でシステム ログの保存方法を [指定した日数を過ぎたら上書きする] に設定した場合、またはスタンドアロンのワークステーションまたは Server の [システム ログのプロパティ] ウィンドウ内で [イベントを上書きする] オプションを選択した場合です。スケジュールに従って定期的にシステム ログをアーカイブしている場合にのみ、この値を設定します。また、アーカイブの間隔に対応して、システム ログの最大サイズを十分大きく取るようにします。 ドメイン ポリシーおよびドメイン コントローラ ポリシーの場合の手順:「未定義」となっている既定の設定を変更してはなりません。 | ![]() |
![]() |
|||
スタンドアロンの Windows 2000 Professional および Server の場合の手順: [システム ログのプロパティ]ウィンドウの [イベントを上書きする] オプションに設定されている既定の日数 (7) を変更してはなりません。 | ![]() |
![]() |
![]() |
||
アプリケーション ログの保存方法 セキュリティの目的: アプリケーション ログが最大サイズに達したときの措置を決定します。 ドメイン ポリシーおよびドメイン コントローラ ポリシーの場合の手順:「未定義」となっている既定の設定を変更してはなりません。 | ![]() |
![]() |
|||
スタンドアロンの Windows 2000 Professional および Server の場合の手順: [アプリケーション ログのプロパティ] ウィンドウの [イベントを上書きする] オプションに設定されている既定の日数 (7) を変更してはなりません。 | ![]() |
![]() |
![]() |
||
セキュリティ ログの保存方法 セキュリティの目的: セキュリティ ログが最大サイズに達したときの措置を決定します。 | ![]() |
![]() |
|||
スタンドアロンの Windows 2000 Professional および Server の場合の手順:
|
![]() |
![]() |
![]() |
||
システム ログの保存方法 セキュリティの目的: システム ログが最大サイズに達したときの措置を決定します。 ドメイン ポリシーおよびドメイン コントローラ ポリシーの場合の手順:「未定義」となっている既定の設定を変更してはなりません。 | ![]() |
![]() |
|||
スタンドアロンの Windows 2000 Professional および Server の場合の手順: [システム ログのプロパティ]ウィンドウの [イベントを上書きする] オプションに設定されている既定の日数 (7) を変更してはなりません。 | ![]() |
![]() |
![]() |
||
セキュリティの監査ログがいっぱいになったら、コンピュータをシャットダウンする セキュリティの目的: セキュリティ イベントをログに記録できないときに、システムをシャットダウンするかどうかを決定します。このポリシーが有効であると、何らかの理由でセキュリティ監査のログを取れない場合、システムは停止されます。通常、イベントをログに記録できなくなるのは、セキュリティ監査ログがいっぱいになったときに、セキュリティ ログの保存方法に [イベントを上書きしない] または [指定した日数を過ぎたら上書きする] のどちらかが指定されている場合です。 手順: 上記のポリシーの設定に代えて、[セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] を使用します。このポリシーの設定はスタンドアロンのワークステーションおよび Server で利用することはできません。 | ![]() |
![]() |
![]() |
![]() |
グループ アカウントの修正 | Professional | Server | DC | 必須 | 推奨 | ||
---|---|---|---|---|---|---|---|
グローバル グループ | 既定のメンバ | 修正 / 検証 | |||||
DnsUpdateProxy | なし | このグループにアカウントを追加してはいけません。 |
![]() |
![]() |
|||
Domain Admins | Administrator | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
|||
Domain Guests | Guest | このグループにアカウントを追加してはいけません。 |
![]() |
![]() |
|||
Domain Users | Administrator Guest Krbtgt TsInternetUser (既定ではすべての新しいユーザーが追加されます) | Guest アカウントを削除し、TsInternetUser アカウントが無効になっていることを確認します。 注意 : Guest アカウントを削除する前に、そのアカウントのプライマリ グループを Domain Guests に変更します。 |
![]() |
![]() |
|||
Enterprise Admins | Administrator (ドメイン コントローラの Administrator) | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
|||
Group Policy Creator Owner | Administrator | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
|||
Schema Admins | Administrator | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
|||
ドメイン ローカル グループ | 既定のメンバ | 修正 / 検証 | |||||
Account Operators | なし | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
|||
Administrators | Administrator Domain Admins | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
|||
Backup Operators | なし | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
|||
DnsAdmins | なし | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
|||
Guests | Guest (ローカル) Domain Guests TsInternetUser | このグループは使用しません。Guest も含めて、すべてのアカウントをこのグループから削除します。 |
![]() |
![]() |
|||
Pre-Windows 2000 Compatible Access | なし | Windows 2000 よりも前のオペレーティング システムとの下位互換性を持たせるためのものです。TOE の目的を満たさないので、このグループを使用しないでください。 |
![]() |
![]() |
|||
Print Operators | なし | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
|||
Replicator | なし | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
|||
Server Operators | なし | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
|||
Users | Authenticated Users Domain Users INTERACTIVE (既定ではすべての新しいユーザーが追加されます) | 認証を受けずにアクセスする潜在的な可能性のあるアカウント (Guest など) をこのグループに追加してはいけません。 |
![]() |
![]() |
|||
ローカル グループ | 既定のメンバ | 修正 / 検証 | |||||
Administrators | スタンドアロン: Administrator ドメイン メンバ: Administrator | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
![]() |
||
Backup Operators | なし | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
![]() |
||
Guests | スタンドアロン Professional: Guest スタンドアロン Server: Guest TsInternetUser ドメイン メンバ: 上記に Domain Guests を追加します。 | このグループは使用しません。Guest も含めて、すべてのアカウントをこのグループから削除します。 |
![]() |
![]() |
![]() |
||
Power Users | なし | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
![]() |
||
Replicator | なし | このグループに管理者以外のアカウントを追加してはいけません。 |
![]() |
![]() |
![]() |
||
Users | スタンドアロン: Authenticated Users INTERACTIVE (既定ではすべての新しいユーザーが追加されます) ドメインメンバ: Authenticated Users Domain Users INTERACTIVE (既定ではすべての新しいユーザーが追加されます) | 認証を受けずにアクセスする潜在的な可能性のあるアカウント (Guest など) をこのグループに追加してはいけません。 |
![]() |
![]() |
![]() |
||
システム グループ | 既定のメンバ | 修正 / 検証 | |||||
Anonymous Logon | 認証されていないすべてのユーザー | このグループは使用しません。このグループにはリソースへのアクセス許可またはユーザー権限を与えてはいけません。 |
![]() |
![]() |
![]() |
![]() |
|
Authenticated Users | 認証されているすべてのユーザー | リソースへの潜在的な匿名アクセスを防止するために、Everyone の代りに、Authenticated Users グループを使用します。 |
![]() |
![]() |
![]() |
![]() |
|
DIALUP | すべてのダイアルイン ユーザー | ダイアルアップ サービスをサポートすることは TOE の目的ではありません。したがって、このグループにはリソースへのアクセス許可またはユーザー権限を与えてはいけません。 |
![]() |
![]() |
![]() |
![]() |
|
Everyone | ローカル、ネットワークまたは RAS を通じてコンピュータにアクセスする、すべてのユーザー。その中には、認証されているユーザーも認証されていないユーザーも、すべて含まれます。 | このグループにはリソースへのアクセス許可またはユーザー権限を与えてはいけません。必要に応じて、Authenticated Users または特定のユーザー アカウントおよびユーザー グループを使用します。 |
![]() |
![]() |
![]() |
![]() |
|
TERMINAL SERVER USER | なし | Terminal Service をサポートすることは TOE の目的ではありません。したがって、このアカウントにはリソースへのアクセス許可またはユーザー権限を与えてはいけません。 |
![]() |
![]() |
![]() |
![]() |
ユーザー アカウントの修正 | Professional | Server | DC | 必須 | 推奨 | ||
---|---|---|---|---|---|---|---|
ローカル ユーザー アカウント | 説明 | 修正 / 検証 | |||||
Administrator | コンピュータ/ドメインを管理するために組み込まれているアカウントです。 | 日常の管理にはこのアカウントを使用しません。権限を与えられた管理者のユーザー アカウントを責任のレベルに適する管理グループに含めることにより、その管理者に役割を割り当てます。Administrator アカウントの名前を変更し、パスワードで保護して、緊急時にのみ使用するようにします。 |
![]() |
![]() |
![]() |
![]() |
|
Guest | コンピュータ/ドメインへのゲスト アクセス用に組み込まれているアカウントです。 | このアカウントは無効にしておかなければなりません。 |
![]() |
![]() |
![]() |
![]() |
|
TsInternetUser | Terminal Service によって使用されるユーザー アカウントです。Windows 2000 Server 上で Terminal Service のインターネット コネクタ ライセンスによって使用されます。インターネット コネクタ ライセンスが有効に設定されていると、Windows 2000 ベースのサーバーは匿名の接続を 200 件だけ受け付けます。Terminal Service のクライアントにログオン ダイアログ ボックスが提示されることはありません。Terminal Service のクライアントは TsInternetUser アカウントを用いて自動的にログオンされます。 | Terminal Service は評価された構成の目的ではありません。また、匿名アクセスをサポートするアカウントは許可されるべきではありません。したがって、このアカウントを無効にします。 |
![]() |
![]() |
![]() |
評価されたサービスの一覧 | |
---|---|
Alerter サービス COM+ イベント システム コンピュータ ブラウザ DHCP クライアント DHCP サーバー 分散ファイル システム (DFS) DNS クライアント DNS サーバー イベント ログ ファイル複製サービス サイト間メッセージング IPSec ポリシー エージェント Kerberos キー配布センター 論理ディスク マネージャ 論理ディスク マネージャ管理サービス メッセンジャ ネット ログオン | ネットワーク接続 NTLM セキュリティ サポート プロバイダ プラグ アンド プレイ 印刷スプーラ 保護された記憶域 リモート プロシージャ コール (RPC) リモート プロシージャ コール (RPC) ロケータ リモート レジストリ サービス セキュリティ アカウント マネージャ サーバー システム イベント通知 TCP/IP NetBIOS ヘルパ サービス Windows インターネット ネーム サービス (WINS) Windows Management Instrumentation Windows Management Instrumentation のドライバ拡張 Windows Time ワークステーション |
ファイル システムのセキュリティ保護
保護すべきファイルおよびディレクトリの中に、Windows 2000 オペレーティング システム自体の構成要素があります。ファイルおよびディレクトリへのアクセス許可に関する一連の既定の設定により、ソフトウェアのインストールおよび運用環境のカスタマイズを、使用性を損なわずに容易に行えるようにする、最小レベルのセキュリティがかけられています。オペレーティング システムをインストールする際に適用される既定のファイルおよびディレクトリへのアクセス許可は "setup security.inf" セキュリティ テンプレート ファイルに収められています。この一連の既定のセキュリティの設定は製品の梱包を解いて直ちに使用することができます。
さらにセキュリティを高めるために、オペレーティング システムをインストールした直後に、このサブセクションに示す推奨に従って、ファイル、ディレクトリ、およびサブディレクトリへのアクセス許可を修正することを考慮してください。アクセス許可はサブディレクトリに適用する前に、親ディレクトリに適用するようにします。下に推奨するアクセス許可の変更は、すべての Windows 2000 オペレーティング システムに当てはまります。ドメイン内のすべて、またはあるグループの Windows 2000 プラットフォームにアクセス許可を適用するには、ドメイン セキュリティ ポリシーを設定します。ドメイン コントローラ上で設定を行うには、ドメイン コントローラ セキュリティ ポリシー インターフェイスを使用します。個々の Windows 2000 プラットフォーム上でローカルなアクセス許可を設定するには Windows エクスプローラ インターフェイスを使用します。
Windows エクスプローラ インターフェイスを使用して個別にアクセス許可を設定する方法の詳細については、『Windows 2000 評価された構成 管理者ガイド』の「データ保護」を参照してください。
ドメイン ポリシーを通じてアクセス許可を設定する
ドメイン用のファイルおよびフォルダへのアクセス許可ポリシーを設定します。ドメイン コントローラ用のファイルおよびフォルダへのアクセス許可ポリシーを設定します。
必要に応じて、ドメイン セキュリティ ポリシーまたはドメイン コントローラ セキュリティ ポリシーを開きます。
[セキュリティの設定] を展開します。
[セキュリティの設定] の下の [ファイル システム] を右クリックします。
[ファイルの追加] を選択します。
[ファイルまたはフォルダを追加します] ウィンドウから対象のファイルまたはフォルダに位置付けて選択します。
[OK] ボタンをクリックします。すると、[データベース セキュリティ - path\filename プロパティ] ウィンドウが表示されます。
必要に応じてアクセス許可を設定します。具体的な方法については、『Windows 2000 評価された構成 管理者ガイド』の「データ保護」を参照してください。ファイルおよびフォルダへのアクセス許可として推奨する設定を表 3.12 に示します。
Windows エクスプローラを通じてアクセス許可をローカルに設定する
Windows 2000 Server または Professional オペレーティング システムのもとで、ファイルおよびフォルダへのアクセス許可をローカルに設定します。
Windows エクスプローラを起動します。
対象のファイルまたはフォルダに位置付けて選択します。
ファイルまたはフォルダ上で右クリックし、[プロパティ] をクリックします。
プロパティ ウィンドウ内の [セキュリティ] タブを選択します。さらに詳細なアクセス許可の設定を行うために、[詳細] をクリックします。
必要に応じてアクセス許可を設定します。具体的な方法については、『Windows 2000 評価された構成 管理者ガイド』 の 「データ保護」を参照してください。ファイルおよびフォルダへのアクセス許可として推奨する設定を表 3.12 に示します。
注意 : [詳細] タブを通じて現在のフォルダ、サブフォルダ、およびファイルに適用することにより、アクセス許可は継承されます。現在のフォルダおよびファイルまたは現在のファイル オブジェクトのみに適用することにより、アクセス許可はローカルで上書きされます。
表 3.12 ファイルおよびフォルダへのアクセス許可の設定
ファイルおよびフォルダ | ACL の設定 | 継承メソッド (セキュリティ ポリシー ツールを通じて使用) | 必須 | 推奨 |
---|---|---|---|---|
C:\autoexec.bat | Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 | 上書き |
![]() |
|
C:\boot.ini | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
C:\config.sys | Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 | 上書き |
![]() |
|
C:\ntbootdd.sys 注意 : SCSI が利用可能なときに使用します。 | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
C:\ntdetect.com | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
C:\ntldr | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%ProgramFiles% | Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: 読み取り、実行 | 上書き |
![]() |
|
%SystemDirectory% | Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: 読み取り、実行 | 上書き |
![]() |
|
%SystemDirectory%\appmgmt | Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 | 継承 |
![]() |
|
%SystemDirectory%\config | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemDirectory%\dllcache | Administrators: フル コントロール CREATOR OWNER: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemDirectory%\DTCLog | Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: 読み取り、実行 | 継承 |
![]() |
|
%SystemDirectory%\GroupPolicy | Administrators: フル コントロール Authenticated Users: 読み取り、実行 SYSTEM: フル コントロール | 継承 |
![]() |
|
%SystemDirectory%\ias | Administrators: フル コントロール CREATOR OWNER: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemDirectory%\Ntbackup.exe | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemDirectory%\NTMSData | Administrators: フル コントロール SYSTEM: フル コントロール | 継承 |
![]() |
|
%SystemDirectory%\rcp.exe | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemDirectory%\Regedt32.exe | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemDirectory%\repl | Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 | 継承 |
![]() |
|
%SystemDirectory%\repl\export | Administrators: フル コントロール CREATOR OWNER: フル コントロール Replicator: 読み取り、実行 SYSTEM: フル コントロール Users: 読み取り、実行 | 継承 |
![]() |
|
%SystemDirectory%\repl\import | Administrators: フル コントロール Replicator: Modify SYSTEM: フル コントロール Users: 読み取り、実行 | 継承 |
![]() |
|
%SystemDirectory%\rexec.exe | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemDirectory%\rsh.exe | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemDirectory%\secedit.exe | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemDirectory%\Setup | Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 | 継承 |
![]() |
|
%SystemDirectory%\spool\Printers | Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: フォルダのスキャン、属性の読み取り、拡張属性の読み取り、ファイルの作成、フォルダの作成 (フォルダおよびサブフォルダ) | 上書き |
![]() |
|
%SystemDrive% 注意 : Windows 2000 オペレーティング システムがインストールされているドライブ | Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: 読み取り、実行 | 継承 |
![]() |
|
%SystemDrive%\Documents and Settings | Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 | 継承 |
![]() |
|
%SystemDrive%\Documents and Settings\ Administrator | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemDrive%\Documents and Settings\ All Users | Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 | 継承 |
![]() |
|
%SystemDrive%\Documents and Settings\ All Users\Documents\DrWatson | Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: フォルダのスキャン、ファイルの作成、フォルダの作成 (フォルダおよびサブフォルダ) | 上書き |
![]() |
|
%SystemDrive%\Documents and Settings\ All Users\Documents\DrWatson\ drwtsn32.log | Administrators: フル コントロール CREATOR OWNER: フル コントロール SYSTEM: フル コントロール Users: 修正 | 上書き |
![]() |
|
%SystemDrive%\io.sys | Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 | 上書き |
![]() |
|
%SystemDrive%\msdos.sys | Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 | 上書き |
![]() |
|
%SystemDrive%\Temp | Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: フォルダのスキャン、ファイルの作成、フォルダの作成 (フォルダおよびサブフォルダ) | 上書き |
![]() |
|
%SystemRoot% | Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: 読み取り、実行 | 上書き |
![]() |
|
%SystemRoot%\$NtServicePackUninstall$ | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemRoot%\debug | Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: 読み取り、実行 | 継承 |
![]() |
|
%SystemRoot%\debug\UserMode | Administrators: フル コントロール SYSTEM: フル コントロール Users: (フォルダのみ) - フォルダのスキャン、フォルダの一覧、ファイルの作成。 (ファイルのみ) – ファイルの作成、フォルダの作成 | 継承 |
![]() |
|
%SystemRoot%\regedit.exe | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemRoot%\Registration | Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り | 継承 |
![]() |
|
%SystemRoot%\repair | Administrators: フル コントロール SYSTEM: フル コントロール | 上書き |
![]() |
|
%SystemRoot%\ Temp | Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: フォルダのスキャン、ファイルの作成、フォルダの作成 (フォルダおよびサブフォルダ) | 上書き |
![]() |
レジストリ キー | サブキー ACL の設定 特殊 (読み取り、書き込み、削除) = 値の照会、値の設定、サブキーの作成、サブキーの列挙、通知、削除、読み取り制御 読み取り = 値の照会、サブキーの列挙、通知、読み取り制御 別に注記しない限り、[このキーとサブキー] に適用します。 | 継承メソッド (セキュリティ ポリシー ツールを通じて使用) |
---|---|---|
HKEY_LOCAL_MACHINE | ||
\SOFTWARE | Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブキーのみ) Power Users: 特殊 (読み取り、書き込み、削除) SYSTEM: フル コントロール Users: 読み取り | 継承 |
\SOFTWARE\classes | Administrators: フル コントロール Authenticated Users: 読み取り CREATOR OWNER: フル コントロール (サブキーのみ) Power Users: 特殊 (読み取り、書き込み、削除) SYSTEM: フル コントロール Users: 読み取り | 継承 |
\SOFTWARE\classes\.hlp | Administrators: フル コントロール Authenticated Users: 読み取り CREATOR OWNER: フル コントロール (サブキーのみ) Power Users: 特殊 (読み取り、書き込み、削除) SYSTEM: フル コントロール Users: 読み取り | 継承 |
\SOFTWARE\classes\helpfile | Administrators: フル コントロール Authenticated Users: 読み取り CREATOR OWNER: フル コントロール (サブキーのみ) Power Users: 特殊 (読み取り、書き込み、削除) SYSTEM: フル コントロール Users: 読み取り | 継承 |
\SOFTWARE\Microsoft\OS/2 Subsystem for NT | Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブキーのみ) SYSTEM: フル コントロール | 継承 |
\SOFTWARE\Microsoft\Windows NT\CurrentVersion | Authenticated Users: 読み取り 注意 : Everyone を Authenticated Users で置き換えます。継承した ACL はすべて残ります。 | 継承 |
\SYSTEM\CurrentControlSet\ Control\ComputerName | Authenticated Users: 読み取り 注意 Everyone を Authenticated Users で置き換えます。継承した ACL はすべて残ります。 | 継承 |
\SYSTEM\currentcontrolset\control \ContentIndex | Authenticated Users: 読み取り 注意 : Everyone を Authenticated Users で置き換えます。継承した ACL はすべて残ります。 | 継承 |
\SYSTEM\CurrentControlSet\ Control\Keyboard Layout | Authenticated Users: 読み取り 注意 : Everyone を Authenticated Users で置き換えます。継承した ACL はすべて残ります。 | 継承 |
\SYSTEM\CurrentControlSet\ Control\Keyboard Layouts | Authenticated Users: 読み取り 注意 : Everyone を Authenticated Users で置き換えます。継承した ACL はすべて残ります。 | 継承 |
\SYSTEM\CurrentControlSet\ Control\Print\Printers | Administrators: フル コントロール Authenticated Users: 読み取り CREATOR OWNER: フル コントロール (サブキーのみ) Power Users: 特殊 (読み取り、書き込み、削除) SYSTEM: フル コントロール Users: 読み取り | 上書き |
\SYSTEM\CurrentControlSet\ Control\ProductOptions | Authenticated Users: 読み取り 注意 : Everyone を Authenticated Users で置き換えます。継承した ACL はすべて残ります。 | 継承 |
\SYSTEM\CurrentControlSet\ Services\Eventlog | Authenticated Users: 読み取り 注意 : Everyone を Authenticated Users で置き換えます。継承した ACL はすべて残ります。 | 継承 |
\SYSTEM\CurrentControlSet\ Services\Tcpip | Authenticated Users: 読み取り 注意 : Everyone を Authenticated Users で置き換えます。継承した ACL はすべて残ります。 | 継承 |
HKEY_CLASSES_ROOT | ||
\HKEY_CLASSES_ROOT 注意 : このキーは HKEY_LOCAL_MACHINE \SOFTWARE\Classes のエイリアスです。 | Administrators: フル コントロール Authenticated Users: 読み取り CREATOR OWNER: フル コントロール (サブキーのみ) Power Users: 特殊 (読み取り、書き込み、削除) SYSTEM: フル コントロール Users: 読み取り | 継承 |