Microsoft Windows 2000 セキュリティ構成ガイド
付録 E ‐ 評価された構成のための Windows 2000 セキュリティ構成チェック リスト
最終更新日: 2003年2月18日
完了および検証済み | WINDOWS 2000 セキュリティ構成チェック リスト (設定は、別途注記されている以外の、すべてのオペレーティング システムのバージョンに当てはまります。) | 必須 | 推奨 |
---|---|---|---|
ファイル システムの構成 セキュリティの目的: 評価されたセキュリティ機構を構成し、セキュリティ ターゲットの要件を遵守できるようにします。 ファイル システムの種類: NTFS | |||
アカウント ポリシー | |||
パスワード ポリシー | |||
パスワードの履歴を記録する セキュリティの目的: パスワードを再利用する頻度に制限を設けます。 コンピュータの設定: _____ 個のパスワードを記録 (推奨: 24 個のパスワードを記録します。) | |||
パスワードの有効期間 セキュリティの目的: ユーザーがパスワードを変更せずに使い続けられる期間を設定します。 コンピュータの設定: _____ 日 (推奨: 42 日) | |||
パスワードの変更禁止期間 セキュリティの目的: ユーザーがパスワードを変更せずに使い続けなければならない期間を設定します。 コンピュータの設定: _____ 日 (推奨: 2 日) | |||
パスワードの長さ セキュリティの目的: ユーザーのパスワードに必要な長さを設定します。 コンピュータの設定: 8 文字 | |||
パスワードは要求する複雑さを満たす セキュリティの目的: 複雑 (強力) なパスワードを使用することを求めます。 コンピュータの設定: 有効 無効 (推奨: 有効) | |||
暗号化を元に戻せる状態でドメインのすべてのユーザーのパスワードを保存する セキュリティの目的: 有効にしてはなりません。パスワードに関しては暗号強度の弱い暗号化を用います。 コンピュータの設定: 無効 | |||
アカウント ロックアウト ポリシー | |||
ロックアウト期間 セキュリティの目的: 無効なパスワードの使用が試みられた後、指定された期間にわたってアカウントをロックアウトします。 コンピュータの設定: _____ 分 (ST ではこの設定を必要としますが、期間は定められていません。0 に設定するよう推奨します。その場合、管理者がアカウントのロックを解除する必要があります。) | |||
アカウントのロックアウトのしきい値 セキュリティの目的: 無効なログインの試みが何回行われたらアカウントをロックするかを設定します。 コンピュータの設定: _____ 回の無効なログインの試み (ST ではこの設定を必要とし、5 を超える値を設定してはならないと指定されています。この値を 5 回に設定するよう推奨します。) | |||
ロックアウト カウントのリセット セキュリティの目的: ロックアウトしきい値を何分間維持した後にリセットするかを設定します。 コンピュータの設定: _____ 分 (上記の 2 つのポリシー値を設定した場合、この値も設定しなければなりません。推奨する設定値は 30 分です。) | |||
Kerberos ポリシー | |||
ユーザー ログオンの制限を強制する セキュリティの目的: すべてのログオン要求をユーザー権利のポリシーに照らして検証します。 コンピュータの設定: 既定の設定 (有効) のままにします。 | |||
サービス チケットの最長有効期間 セキュリティの目的: サービス チケットが有効な最長の期間を設定します。 コンピュータの設定: _____ 分 (既定の設定のままとするよう推奨します。ドメインのメンバの場合は 600 分、ドメインのメンバでないコンピュータの場合は 60 分です。) | |||
チケットの最長有効期間 セキュリティの目的: ユーザー チケットが有効な最長の期間を設定します。 コンピュータの設定: _____ 時間 (既定の設定のままとするよう推奨します。ドメインのメンバの場合は 10 時間、ドメインのメンバでないコンピュータの場合は 7 時間です。) | |||
ユーザー チケットを更新できる最長有効期間 セキュリティの目的: 有効期限が切れたユーザー チケットを更新できる期間を設定します。 コンピュータの設定: _____ 日 (既定の設定のままとするよう推奨します。ドメインのメンバの場合は 7 日、ドメインのメンバでないコンピュータの場合は 10 日です。) | |||
コンピュータの時計の同期の最長トレランス セキュリティの目的: ドメイン内のコンピュータ間の同期の最長のトレランスを設定します。 コンピュータの設定: 既定の設定 (ドメインのメンバの場合は 5 分、ドメインのメンバでないコンピュータの場合は 60 分) のままとします : | |||
ローカル ポリシー | |||
監査ポリシー | |||
アカウント ログオン イベントの監査 セキュリティの目的: アカウントを検証するためにこのコンピュータが使用された、他のコンピュータからのアカウントへのログオン/ログオフのイベントを監査します。アカウントへのログオン イベントはアカウントが実在する場所で生成されます。 コンピュータの設定: 成功 失敗 (推奨: 成功、失敗) | |||
アカウント管理の監査 セキュリティの目的: アカウント管理活動を監査します。 コンピュータの設定: 成功 失敗 (推奨: 成功、失敗) | |||
ディレクトリ サービスのアクセスの監査 セキュリティの目的: 独自のシステム アクセス制御リストが指定されている、Active Directory オブジェクトへのアクセスを監査します。 コンピュータの設定: 成功 失敗 (推奨: 成功、失敗) | |||
ログオン イベントの監査 セキュリティの目的: コンピュータに対するローカルまたはネットワークを通じたログオン/ログオフのイベントを監査します。ログオン イベントはログオンの試みがなされた場所で生成されます。 コンピュータの設定: 成功 失敗 (推奨: 成功、失敗) | |||
オブジェクト アクセスの監査 セキュリティの目的: 独自のシステム アクセス制御リストが指定されている、オブジェクト (ファイル、フォルダ、レジストリ キー、プリンタなど) へのアクセスを監査します。 コンピュータの設定: 成功 失敗 (推奨: 成功、失敗) | |||
ポリシーの変更の監査 セキュリティの目的: ユーザー権利の割り当てポリシー、監査ポリシー、信頼ポリシーの変更を監査します。 コンピュータの設定: 成功 失敗 (推奨: 成功) | |||
特権使用の監査 セキュリティの目的: ユーザーが権利を行使した各インスタンスを監査します。 コンピュータの設定: 成功 失敗 (推奨: 成功、失敗) | |||
プロセス追跡の監査 セキュリティの目的: 詳細な追跡情報を監査します。具体的には、プログラムの起動、プロセスの終了、重複の処理、間接オブジェクト アクセスなどを対象とします。 コンピュータの設定: 成功 失敗 (推奨: 成功、失敗) | |||
システム イベントの監査 セキュリティの目的: ユーザーがコンピュータを再起動またはシャットダウンしたとき、またはシステムのセキュリティまたはセキュリティ ログに影響を及ぼすイベントが発生したときに監査します。 コンピュータの設定: 成功 失敗 (推奨: 成功) | |||
ユーザーの権利の割り当て | |||
ネットワーク経由でコンピュータへアクセス セキュリティの目的: ネットワークを経由してコンピュータに接続することを許可するユーザーを設定します。 コンピュータの設定: 割り当て先: (ドメイン ポリシーにおいて Windows 2000 Professional および Server 用に示されているように設定します。) | |||
オペレーティング システムの一部として機能 セキュリティの目的: プロセスがユーザーとして認証されるようにして、ユーザーと同じリソースにアクセスできるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
ドメインにワークステーションを追加 (ドメイン コントローラ) セキュリティの目的: ユーザーがドメインにコンピュータを追加できるようにします。 コンピュータの設定: Authenticated Users アカウントを削除します。この特権を他のアカウントに割り当ててはいけません。既定では、Domain Admins にこの特権が与えられています。 | |||
ファイルとディレクトリのバックアップ セキュリティの目的: システムをバックアップするために、ファイルおよびディレクトリへのアクセス許可をユーザーが回避できるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
走査チェックのバイパス セキュリティの目的: フォルダのパスを辿っていく際に、アクセスする権限のないフォルダをユーザーが通過するようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
システム時刻の変更 セキュリティの目的: コンピュータ内蔵の時計の時刻をユーザーが設定できるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
ページ ファイルの作成 セキュリティの目的: ユーザーがページ ファイルを作成してサイズを変更できるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
トークン オブジェクトの作成 セキュリティの目的: プロセスがアクセス トークンを作成できるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
永続的共有オブジェクトの作成 セキュリティの目的: Windows 2000 のオブジェクト マネージャ内に、プロセスがディレクトリ オブジェクトを作成できるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
プログラムのデバッグ セキュリティの目的: ユーザーが任意のプロセスにデバッガを添付できるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
ネットワーク経由でコンピュータへアクセスを拒否する セキュリティの目的: ユーザーまたはグループがネットワークを通じてこのコンピュータに接続することを禁止します。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
バッチ ジョブとしてログオンを拒否する セキュリティの目的: ユーザーまたはグループがバッチ キュー機能を使用してログオンすることを禁止します。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
サービスとしてログオンを拒否する セキュリティの目的: ユーザーまたはグループがサービスとしてログオンすることを禁止します。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
ローカルでログオンを拒否する セキュリティの目的: ユーザーまたはグループがキーボードからローカルにログオンすることを禁止します。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
コンピュータとユーザー アカウントに委任時の信頼を付与 セキュリティの目的: Active Directory 内のユーザーまたはコンピュータに関する委任に対する信頼の設定をユーザーが変更できるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
リモート コンピュータからの強制シャットダウン セキュリティの目的: ネットワーク上のリモート ロケーションからユーザーがコンピュータをシャットダウンできるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
セキュリティ監査の生成 セキュリティの目的: プロセスがセキュリティ ログ中にエントリを生成できるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
クォータの増加 セキュリティの目的: 他のプロセスに対するプロパティの書き込み許可を得ているプロセスが、他のプロセスに割り当てられているプロセッサのクォータを増やせるようにします。 コンピュータの設定: 既定の割り当て先: Administrators を変更してはいけません : (ドメイン ポリシーにおいては、Administrators のみに割り当てます。) | |||
スケジューリング優先順位の繰り上げ セキュリティの目的: 他のプロセスに対するプロパティの書き込み許可を得ているプロセスが、他のプロセスの実行優先度を上げられるようにします。 コンピュータの設定: 既定の割り当て先: Administrators を変更してはいけません : (ドメイン ポリシーにおいては、Administrators のみに割り当てます。) | |||
デバイス ドライバのロードとアンロード セキュリティの目的: ユーザーがプラグ アンド プレイ方式のデバイス ドライバをインストールおよびアンインストールできるようにします。 コンピュータの設定: 既定の割り当て先: Administrators を変更してはいけません : (ドメイン ポリシーにおいては、Administrators のみに割り当てます。) | |||
メモリ中のページのロック セキュリティの目的: プロセスがデータを物理メモリ内に保持し、ディスク上の仮想メモリにデータがページングされることのないようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
バッチ ジョブとしてログオン セキュリティの目的: ユーザーがバッチ キュー機能を使用してログオンできるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
サービスとしてログオン セキュリティの目的: セキュリティ プリンシパルがサービスとしてログオンできるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
ローカル ログオン セキュリティの目的: ユーザーがコンピュータのキーボードからローカル ログオンできるようにします。 コンピュータの設定: 割り当て先: (ドメイン ポリシーにおいて、Windows 2000 Professional および Server 用に示されているように設定します。) | |||
監査とセキュリティ ログの管理 セキュリティの目的: ファイル、Active Directory オブジェクト、レジストリ キーのような個々のリソースに関して、ユーザーがオブジェクト アクセス監査オプションを指定できるようにします。 コンピュータの設定: 既定の割り当て先: Administrators を変更してはいけません : (ドメイン ポリシーにおいては、Administrators のみに割り当てます。) | |||
ファームウェア環境値の修正 セキュリティの目的: システム環境変数を修正できるようにします。修正方法は 2 通りあります。API を通じてプロセスに行わせる方法と、システム プロパティ アプレットを通じてユーザーが行う方法があります。 コンピュータの設定: 既定の割り当て先: Administrators を変更してはいけません : (ドメイン ポリシーにおいては、Administrators のみに割り当てます。) | |||
単一プロセスのプロファイル セキュリティの目的: ユーザーが Microsoft Windows NT および Windows 2000 のパフォーマンス モニタ ツールを使用して、システム プロセス以外のプロセスのパフォーマンスを監視できるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
システム パフォーマンスのプロファイル セキュリティの目的: ユーザーが Microsoft Windows NT および Windows 2000 のパフォーマンス モニタ ツールを使用して、システム プロセスのパフォーマンスを監視できるようにします。 コンピュータの設定: 既定の割り当て先: Administrators を変更してはいけません : (ドメイン ポリシーにおいては、Administrators のみに割り当てます。) | |||
ドッキング ステーションからコンピュータを削除 セキュリティの目的: ポータブル コンピュータのユーザーが [スタート] メニューの [PCの取り外し] をクリックすることにより、コンピュータのロックを解除できるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
プロセス レベル トークンの置き換え セキュリティの目的: 親プロセスが子プロセスに関連するアクセス トークンを置き換えられるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
ファイルとディレクトリの復元 セキュリティの目的: バックアップからファイルを復元するときに、ファイルおよびディレクトリへのアクセス許可をユーザーが回避して、オブジェクトの所有者としての有効なセキュリティ プリンシパルを設定できるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
システムのシャットダウン セキュリティの目的: ユーザーがローカル コンピュータをシャットダウンできるようにします。 コンピュータの設定: 割り当て先: (推奨: Windows 2000 Professional では、Administrators、Authenticated Users、Backup Operators、Power Users に割り当てます。) | |||
ディレクトリ サービス データの同期化 セキュリティの目的: ディレクトリの同期を取るサービスを行えるようにします。 コンピュータの設定: 割り当て先: (推奨: 既定の設定のままとします。) | |||
ファイルとその他のオブジェクトの所有権の取得 セキュリティの目的: システム内のセキュリティで保護可能な任意のオブジェクトの所有権をユーザーが取得できるようにします。 コンピュータの設定: 既定の割り当て先: Administrators を変更してはいけません : (ドメイン ポリシーにおいては、Administrators のみに割り当てます。) | |||
セキュリティ オプション | |||
匿名接続の追加を制限する セキュリティの目的: コンピュータへの匿名の接続に関する制限を設定します。 コンピュータの設定: SAM アカウントおよび共有リソースの列挙を許可してはいけません。 | |||
サーバー オペレータがタスクのスケジュールを割り当てるのを許可する (ドメイン コントローラのみ) セキュリティの目的: サーバー オペレータが AT スケジュール機能を用いてジョブを投入することを許可するかどうかを設定します。 コンピュータの設定: 無効 (AT スケジュール機能は評価された構成の一部ではありません。) | |||
システムをシャットダウンするのにログオンを必要としない セキュリティの目的: ユーザーがログオンせずにコンピュータをシャットダウンできるようにします。 コンピュータの設定: 無効 | |||
リムーバブル NTFS メディアを取り出すのを許可する セキュリティの目的: コンピュータからリムーバブル NTFS メディアを取り出す許可をアカウントに与えるように設定します。 コンピュータの設定: ポリシー中に定義されているアカウント: _________________________ (推奨: Administrators) | |||
セッションを切断する前に、ある一定のアイドル時間を必要とする セキュリティの目的: サーバー メッセージ ブロック (SMB) セッションにおいて、アイドル状態が何分間続いたらセッションを切断するかを設定します。 コンピュータの設定: _____ 分 (推奨: 既定の設定の 15 分を変更してはいけません。) | |||
グローバル システム オブジェクトへのアクセスを監査する セキュリティの目的: グローバル システム オブジェクトへのアクセスを監査できるようにします。 コンピュータの設定: 有効 無効 (推奨: 厳格な監査管理プロセスが用意されている場合にのみ、有効にします。) | |||
バックアップと復元の特権の使用を監査する セキュリティの目的: バックアップと復元のユーザー権利を監査できるようにします。 コンピュータの設定: 有効 無効 (推奨: 厳格な監査管理プロセスが用意されている場合にのみ、有効にします。) | |||
ログオン時間を経過した場合は自動的にユーザーをログオフする セキュリティの目的: このオプションを有効にすると、ユーザー アカウントの有効なログオン時間を超えてローカル コンピュータに接続しているユーザーの接続が切断されます。DC 上でのみ設定することができます。 コンピュータの設定: 有効 無効 (推奨: 有効) | |||
ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル) セキュリティの目的: このオプションを有効にすると、ユーザー アカウントの有効なログオン時間を超えてローカル コンピュータに接続しているユーザーの接続が切断されます。 コンピュータの設定: 有効 無効 (推奨: 有効) | |||
システムのシャットダウン時に仮想メモリのページ ファイルをクリアする セキュリティの目的: システムがシャットダウンされるときに、仮想メモリのページ ファイルをクリアするかどうかを設定します。 コンピュータの設定: 有効 | |||
常にクライアント側の通信にデジタル署名を行う セキュリティの目的: クライアント側の通信に常にデジタル署名を行うかどうかを設定します コンピュータの設定: 無効 | |||
可能な場合、クライアントの通信にデジタル署名を行う セキュリティの目的: このオプションを有効にすると、SMB パケット署名を行うことが有効または必要となっている SMB サーバーと通信するときのみ、SMB クライアントにより SMB パケット署名が行われます。 コンピュータの設定: 有効 | |||
常にサーバーの通信にデジタル署名を行う セキュリティの目的: このオプションを有効にすると、SMB サーバーは SMB パケットに署名する必要があります。 コンピュータの設定: 無効 | |||
可能な場合、サーバーの通信にデジタル署名を行う セキュリティの目的: このオプションを有効にすると、SMB サーバーは必要なときに SMB パケットに署名を行います。 コンピュータの設定: 有効 | |||
ログオンに Ctrl+Alt+Del を必要としない セキュリティの目的: ユーザーがログオンする前に、 Ctrl+Alt+Del キーを押す必要があるかどうかを設定します。 コンピュータの設定: 無効 (「無効」に設定しても、実際には Ctrl+Alt+Del の使用が有効/必要になります。) | |||
ログオン画面に最後のユーザー名を表示しない セキュリティの目的: コンピュータに前回ログインしたユーザーの名前を Windows ログオン画面に表示するかどうかを設定します。 コンピュータの設定: 有効 無効 (推奨: 有効) | |||
LAN Manager 認証レベル セキュリティの目的: ネットワーク ログオンにどのチャレンジ/レスポンス認証プロトコルを使用するかを設定します。 コンピュータの設定: 選択されたオプション: _______________________________________ (推奨: SNTLMv2 応答のみ送信する/LM と NTLM を拒否する) | |||
ログオン時のユーザーへのメッセージのテキスト セキュリティの目的: ユーザーがログオンするときに示されるテキスト メッセージを指定します。 コンピュータの設定: メッセージ テキスト: __________________________________________________ __________________________________________________ __________________________________________________ __________________________________________________ __________ (推奨: ローカル ポリシーの要件に応じて、警告内容を設定します。) | |||
ログオン時のユーザーへのメッセージのタイトル セキュリティの目的: ログオンしようとしているユーザーに向けたメッセージ テキストが示されているウィンドウのタイトル バーに表示するタイトルを指定します。 コンピュータの設定: メッセージ タイトル: _________________________________________ (推奨: ローカル ポリシーの要件に応じて、警告内容を設定します。) | |||
ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 セキュリティの目的: キャッシュ化されているアカウント情報を使用して、ユーザーが Windows ドメインにログオンできる回数を設定します。 コンピュータの設定: キャッシュ: 0 回 | |||
コンピュータ アカウント パスワードのシステム保守をしない セキュリティの目的: コンピュータ アカウント パスワードを毎週リセットしないようにするかどうかを設定します。このポリシーを有効にすると、毎週パスワードの変更が求められることはなくなります。 コンピュータの設定: 有効 t src="/japan/technet/security/prodtech/windows2000/w2kccscg/images/box.gif" alt="box" /> 無効 (推奨: ローカル ポリシーは既定どおり無効に設定されており、ドメイン ポリシーは無効に設定されているかまたは未定義であることを確認します。) | |||
ユーザーがプリンタ ドライバをインストールできないようにする セキュリティの目的: ユーザー グループのメンバがプリンタ ドライバをインストールできないようにするかどうかを設定します。 コンピュータの設定: 有効 | |||
パスワードが無効になる前にユーザーに変更を促す セキュリティの目的: ユーザーのパスワードの有効期限が切れる何日前にユーザーに警告するかを設定します。 コンピュータの設定: _____ 日 (推奨: 既定値の 14 日が適切です。) | |||
回復コンソール: 自動管理ログオンを許可する セキュリティの目的: このオプションを有効にすると、パスワードを必要とせずに、回復コンソールから自動的にシステムにログオンします。 コンピュータの設定: 無効 (回復コンソールは評価された構成の一部ではありません。) | |||
回復コンソール: すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する セキュリティの目的: このオプションを有効にすると、回復コンソールの SET コマンドを使用できるようになります。 コンピュータの設定: 有効 無効 (推奨: このオプションを有効にしてはなりません。回復コンソールは評価された構成の一部ではありません。) | |||
Administrator アカウント名の変更 セキュリティの目的: Administrator アカウントのセキュリティ識別子 (SID) に別のアカウント名を関連付けます。 コンピュータの設定: (推奨: 記録されているアカウント名を変更して、安全にしまっておきます。それをここに記してはなりません。) | |||
Guest アカウント名の変更 セキュリティの目的: Guest アカウントのセキュリティ識別子 (SID) に別のアカウント名を関連付けます。 コンピュータの設定: (推奨: 記録されているアカウント名を変更して、安全にしまっておきます。それをここに記してはなりません。) | |||
CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する セキュリティの目的: このオプションを有効にすると、対話型でログオンしたユーザーだけがリムーバブル CD-ROM メディアにアクセスできるようになります。 コンピュータの設定: 有効 | |||
フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する セキュリティの目的: このオプションを有効にすると、対話型でログオンしたユーザーだけがリムーバブル フロッピー メディアにアクセスできるようになります。 コンピュータの設定: 有効 | |||
セキュリティで保護されたチャネル: 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する セキュリティの目的: このポリシーを有効にすると、セキュリティで保護されたチャネルを通じて発信されるトラフィックはすべて署名または暗号化されます。 コンピュータの設定: 有効 無効 (推奨: 既定では、このオプションは無効に設定されています。既定の設定を変更してはいけません。) | |||
セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化または署名する セキュリティの目的: このオプションを有効にすると、セキュリティで保護されたチャネルを通じて発信されるトラフィックはすべて暗号化されます。 コンピュータの設定: 有効 無効 (推奨: 既定では、このオプションは有効に設定されています。既定の設定を変更してはいけません。) | |||
セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する セキュリティの目的: このオプションを有効にすると、セキュリティで保護されたチャネルを通じて発信されるトラフィックはすべて署名されます。 コンピュータの設定: 有効 無効 (推奨: 既定では、このオプションは有効に設定されています。既定の設定を変更してはいけません。) | |||
セキュリティで保護されたチャネル: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする セキュリティの目的: このポリシーを有効にすると、セキュリティで保護されたチャネルを通じて発信されるすべてのトラフィックは強力な (Windows 2000 かそれ以降のバージョン) 暗号化キーを必要とします。 コンピュータの設定: 有効 無効 (推奨: 既定では、このオプションは無効に設定されています。通常は既定の設定を変更しません。このオプションを有効にするのは、信頼される側のドメイン内の「すべての」ドメイン コントローラで強力なキーがサポートされている場合のみとすべきです。) | |||
システム パーティションの保護 (RISC プラットフォームのみ) セキュリティの目的: このオプションを有効にすると、オペレーティング システムが稼働している間は、RISC ベースのシステム パーティション (FAT でなければいけません) に対して管理的アクセスのみが許可されます。 コンピュータの設定: 未定義 (このポリシーは評価された構成には当てはまりません。) | |||
サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する セキュリティの目的: このポリシーを有効にすると、SMB リダイレクタは、認証中にパスワードを暗号化することがサポートされていない非マイクロソフト SMB サーバーに、クリアテキストのパスワードを送信できるようになります。 コンピュータの設定: 有効 無効 (推奨: 既定では、このオプションは無効に設定されています。既定の設定を変更してはいけません。) | |||
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする セキュリティの目的: セキュリティ イベントのログを記録できない場合に、システムを直ちにシャットダウンするかどうかを設定します。 コンピュータの設定: 有効 無効 注意: 監査ログを定期的にアーカイブおよびクリアする厳格な手続きを導入した後でのみ、サーバーおよびドメイン コントローラ上で、このセキュリティ ポリシーを使用すべきです。 (推奨: 有効。ログを定期的にアーカイブおよびクリアする必要があります。) | |||
スマート カード取り出し時の動作 セキュリティの目的: ログオンしたユーザーのスマート カードがスマート カード読み取り装置から取り出されたときの対応措置を設定します。 コンピュータの設定: __________________________________________ (推奨: スマート カードを使用する場合、[ワークステーションをロックする] に設定します。ただし、スマート カード テクノロジを組み込むことは、評価された構成の一部ではありません。) | |||
グローバル システム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク) セキュリティの目的: このポリシーを有効にすると、既定の DACL が強化されます。それにより、管理者でないユーザーが共有オブジェクトを読むことができるようになりますが、自分が作成したのではない共有オブジェクトを修正することはできません。 コンピュータの設定: 有効 | |||
署名されていないドライバのインストール時の動作 セキュリティの目的: Windows ハードウェア品質研究所によって検証されていないデバイス ドライバをインストールする試みがなされたときの対応措置を設定します。 コンピュータの設定: __________________________________________ (推奨: [警告するがインストールは許可する] に設定します。) | |||
署名されていないドライバ以外のインストール時の動作 セキュリティの目的: デバイス ドライバ以外の未検証のソフトウェアをインストールする試みがなされたときの対応措置を設定します。 コンピュータの設定: __________________________________________ (推奨: [警告するがインストールは許可する] に設定します。) | |||
イベント ログ | |||
イベント ログの設定 | |||
アプリケーション ログの最大サイズ セキュリティの目的: アプリケーション イベント ログの最大サイズを設定します。 コンピュータの設定: ______________ キロバイト (推奨: ほとんどの環境において、既定値の 512 キロバイトが適切です。) | |||
セキュリティ ログの最大サイズ セキュリティの目的: セキュリティ イベント ログの最大サイズを設定します。 コンピュータの設定: ______________ キロバイト (推奨: 予想される活動量、利用可能なディスクの空き領域、およびログを手作業でレビュー、アーカイブ、クリアする頻度に基づいて、なるべく大きなログ サイズを設定すべきです。) | |||
システム ログの最大サイズ セキュリティの目的: システム イベント ログの最大サイズを設定します。 コンピュータの設定: ______________ キロバイト (推奨: ほとんどの環境において、既定値の 512 キロバイトが適切です。) | |||
アプリケーション ログのゲスト アクセスの制限 セキュリティの目的: このオプションを有効にすると、匿名ユーザーはアプリケーション イベント ログにアクセスできなくなります。このポリシー オプションはスタンドアロンの Windows 2000 Professional および Server では利用できません。 コンピュータの設定: 有効 無効 (推奨: 有効) | |||
セキュリティ ログのゲスト アクセスの制限 セキュリティの目的: このオプションを有効にすると、匿名ユーザーはセキュリティ イベント ログにアクセスできなくなります。このポリシー オプションはスタンドアロンの Windows 2000 Professional および Server では利用できません。 コンピュータの設定: 有効 無効 (推奨: 有効) | |||
システム ログのゲスト アクセスの制限 セキュリティの目的: このオプションを有効にすると、匿名ユーザーはシステム イベント ログにアクセスできなくなります。このポリシー オプションはスタンドアロンの Windows 2000 Professional および Server では利用できません。 コンピュータの設定: 有効 無効 (推奨: 有効) | |||
アプリケーション ログの保存日数 セキュリティの目的: アプリケーション ログの保存方法が「指定した日数」である場合に、イベントをアプリケーション ログに保存しておくべく日数を設定します。 コンピュータの設定: _____ 日 (推奨: 既定の設定 (7 日) を変更してはいけません。既定値は、ドメイン ポリシーおよびドメイン コントローラ ポリシーに関しては未定義であり、ログ プロパティにおいては 7 日です。) | |||
セキュリティ ログの保存日数 セキュリティの目的: セキュリティ ログの保存方法が「指定した日数」である場合に、イベントをセキュリティ ログに保存しておくべく日数を設定します。 コンピュータの設定: _____ 日 (推奨: 既定の設定 (7 日) を変更してはいけません。既定値は、ドメイン ポリシーおよびドメイン コントローラ ポリシーに関しては未定義であり、ログ プロパティにおいては 7 日です。) | |||
システム ログの保存日数 セキュリティの目的: システム ログの保存方法が「指定した日数」である場合に、イベントをシステム ログに保存しておくべく日数を設定します。 コンピュータの設定: _____ 日 (推奨: 既定の設定 (7 日) を変更してはいけません。既定値は、ドメイン ポリシーおよびドメイン コントローラ ポリシーに関しては未定義であり、ログ プロパティにおいては 7 日です。) | |||
アプリケーション ログの保存方法 セキュリティの目的: アプリケーション ログの保存方法を設定します。 コンピュータの設定: _____________________________________________________ (推奨: 既定の設定 (7 日) を変更してはいけません。既定値は、ドメイン ポリシーおよびドメイン コントローラ ポリシーに関しては未定義であり、ログ プロパティにおいては 7 日です。) | |||
セキュリティ ログの保存方法 セキュリティの目的: セキュリティ ログの保存方法を設定します。 コンピュータの設定: _____________________________________________________ (推奨: 既定の設定 (7 日) を変更してはいけません。既定値は、ドメイン ポリシーおよびドメイン コントローラ ポリシーに関しては未定義であり、ログ プロパティにおいては 7 日です。) | |||
システム ログの保存方法 セキュリティの目的: システム ログの保存方法を設定します コンピュータの設定: _____________________________________________________ (推奨: 既定の設定 (7 日) を変更してはいけません。既定値は、ドメイン ポリシーおよびドメイン コントローラ ポリシーに関しては未定義であり、ログ プロパティにおいては 7 日です。) | |||
セキュリティの監査ログがいっぱいになったら、コンピュータをシャットダウンする セキュリティの目的: このポリシーを設定する代りに、[セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] を使用してください。 コンピュータの設定: (推奨: 「未定義」に設定されています。) | |||
システム サービス | |||
評価されたサービス セキュリティの目的: 評価された構成を保つためには、下に列挙するすべてのサービスを有効にして稼働させても構いません。 (推奨: 上に列挙されている評価されたサービスを無効にしてはいけません。既定の設定が適切です。) | |||
非評価されたサービス セキュリティの目的: 下に列挙する既定のサービスは評価された構成には受け入れられないので、無効にしなければいけません。 (注意: 評価されたサービスと明示されていないその他のサービスも無効にしなければいけません。) | |||
レジストリへのアクセス許可 | |||
HKEY_LOCAL_MACHINE | |||
\SOFTWARE Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブキーのみ) Power Users: 特殊 (読み取り、書き込み、削除) SYSTEM: フル コントロール Users: 読み取り 継承メソッド: 伝達 \SOFTWARE\classes Administrators: フル コントロール Authenticated Users: 読み取り CREATOR OWNER: フル コントロール (サブキーのみ) Power Users: 特殊 (読み取り、書き込み、削除) SYSTEM: フル コントロール Users: 読み取り 継承メソッド: 伝達 | |||
\SOFTWARE\classes\.hlp Administrators: フル コントロール Authenticated Users: 読み取り CREATOR OWNER: フル コントロール (サブキーのみ) Power Users: 特殊 (読み取り、書き込み、削除) SYSTEM: フル コントロール Users: 読み取り 継承メソッド: 伝達 \SOFTWARE\classes\helpfile Administrators: フル コントロール Authenticated Users: 読み取り CREATOR OWNER: フル コントロール (サブキーのみ) Power Users: 特殊 (読み取り、書き込み、削除) SYSTEM: フル コントロール Users: 読み取り 継承メソッド: 伝達 | |||
\SOFTWARE\Microsoft\OS/2 Subsystem for NT Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブキーのみ) SYSTEM: フル コントロール 継承メソッド: 伝達 \SOFTWARE\Microsoft\Windows NT \CurrentVersion Authenticated Users: 読み取り 継承メソッド: 伝達 注意: Eveyone を Authenticated Users で置き換えます。継承された ACL はすべて残ります。 | |||
\SYSTEM\CurrentControlSet\Control \ComputerName Authenticated Users: 読み取り 継承メソッド: 伝達 注意: Eveyone を Authenticated Users で置き換えます。継承された ACL はすべて残ります。 \SYSTEM\currentcontrolset\control \ContentIndex Authenticated Users: 読み取り 継承メソッド: 伝達 注意: Eveyone を Authenticated Users で置き換えます。継承された ACL はすべて残ります。 | |||
\SYSTEM\CurrentControlSet\Control \Keyboard Layout Authenticated Users: 読み取り 継承メソッド: 伝達 注意: Eveyone を Authenticated Users で置き換えます。継承された ACL はすべて残ります。 \SYSTEM\CurrentControlSet\Control \Keyboard Layouts Authenticated Users: 読み取り 継承メソッド: 伝達 注意: Eveyone を Authenticated Users で置き換えます。継承された ACL はすべて残ります。 | |||
\SYSTEM\CurrentControlSet\Control \Print\Printers Administrators: フル コントロール Authenticated Users: 読み取り CREATOR OWNER: フル コントロール (サブキーのみ) Power Users: 特殊 (読み取り、書き込み、削除) SYSTEM: フル コントロール Users: 読み取り 継承メソッド: 置換 注意: 継承を削除して、すべての ACL を置き換えます。 \SYSTEM\CurrentControlSet\Control \ProductOptions Authenticated Users: 読み取り 継承メソッド: 伝達 注意: Eveyone を Authenticated Users で置き換えます。継承された ACL はすべて残ります。 | |||
\SYSTEM\CurrentControlSet\Services \Eventlog Authenticated Users: 読み取り 継承メソッド: 伝達 注意: Eveyone を Authenticated Users で置き換えます。継承された ACL はすべて残ります。 . \SYSTEM\CurrentControlSet\Services \Tcpip Authenticated Users: 読み取り 継承メソッド: 伝達 注意: Eveyone を Authenticated Users で置き換えます。継承された ACL はすべて残ります。 | |||
HKEY_CLASSES_ROOT | |||
\HKEY_CLASSES_ROOT Administrators: フル コントロール Authenticated Users: 読み取り CREATOR OWNER: フル コントロール (サブキーのみ) Power Users: 特殊 (読み取り、書き込み、削除) SYSTEM: フル コントロール Users: 読み取り 継承メソッド: 伝達 | |||
ファイル システムへのアクセス許可 | |||
C:\autoexec.bat Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 置換 C:\boot.ini Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 | |||
C:\config.sys Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 置換 | |||
C:\ntbootdd.sys Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 注意: SCSI が利用可能なときに使用します。 C:\ntdetect.com Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 | |||
C:\ntldr Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 %ProgramFiles% Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 置換 | |||
%SystemDirectory% Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 置換 %SystemDirectory%\appmgmt Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 伝達 | |||
%SystemDirectory%\config Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 %SystemDirectory%\dllcache Administrators: フル コントロール CREATOR OWNER: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 | |||
%SystemDirectory%\DTCLog Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 伝達 %SystemDirectory%\GroupPolicy Administrators: フル コントロール Authenticated Users: 読み取り、実行 SYSTEM: フル コントロール 継承メソッド: 伝達 | |||
%SystemDirectory%\ias Administrators: フル コントロール CREATOR OWNER: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 %SystemDirectory%\Ntbackup.exe Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 | |||
%SystemDirectory%\NTMSData Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 伝達 %SystemDirectory%\rcp.exe Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 | |||
%SystemDirectory%\Regedt32.exe Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 %SystemDirectory%\repl Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 伝達 | |||
%SystemDirectory%\repl\export Administrators: フル コントロール CREATOR OWNER: フル コントロール Replicator: 読み取り、実行 SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 伝達 %SystemDirectory%\repl\import Administrators: フル コントロール Replicator: 修正 SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 伝達 | |||
%SystemDirectory%\rexec.exe Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 %SystemDirectory%\rsh.exe Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 | |||
%SystemDirectory%\secedit.exe Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 %SystemDirectory%\Setup Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 伝達 | |||
%SystemDirectory%\spool\Printers Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: フォルダのスキャン、属性の読み取り、拡張属性の読み取り、ファイルの作成、フォルダの作成 (フォルダおよびサブフォルダ) 継承メソッド: 置換 | |||
%SystemDrive% Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 伝達 %SystemDrive%\Documents and Settings Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 伝達 | |||
%SystemDrive%\Documents and Settings\Administrator Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 %SystemDrive%\Documents and Settings\All Users Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 伝達 | |||
%SystemDrive%\Documents and Settings\All Users\Documents\DrWatson Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: フォルダのスキャン、ファイルの作成、フォルダの作成 (フォルダおよびサブフォルダ) 継承メソッド: 置換 %SystemDrive%\Documents and Settings\All Users\Documents\DrWatson\ drwtsn32.log Administrators: フル コントロール CREATOR OWNER: フル コントロール SYSTEM: フル コントロール Users: 修正 継承メソッド: 置換 | |||
%SystemDrive%\io.sys Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 置換 %SystemDrive%\msdos.sys Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 置換 | |||
%SystemDrive%\Temp Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: フォルダのスキャン、ファイルの作成、フォルダの作成 (フォルダおよびサブフォルダ) 継承メソッド: 置換 | |||
%SystemRoot% Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 置換 %SystemRoot%\ $NtServicePackUninstall$ Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 | |||
%SystemRoot%\debug Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: 読み取り、実行 継承メソッド: 伝達 %SystemRoot%\debug\UserMode Administrators: フル コントロール SYSTEM: フル コントロール Users: (フォルダのみ) - フォルダのスキャン、フォルダの一覧、ファイルの作成。 (ファイルのみ) – ファイルの作成、フォルダの作成。 継承メソッド: 伝達 | |||
%SystemRoot%\regedit.exe Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 %SystemRoot%\Registration Administrators: フル コントロール SYSTEM: フル コントロール Users: 読み取り 継承メソッド: 伝達 | |||
%SystemRoot%\repair Administrators: フル コントロール SYSTEM: フル コントロール 継承メソッド: 置換 | |||
%SystemRoot%\ Temp Administrators: フル コントロール CREATOR OWNER: フル コントロール (サブフォルダおよびファイル) SYSTEM: フル コントロール Users: フォルダのスキャン、ファイルの作成、フォルダの作成 (フォルダおよびサブフォルダ) 継承メソッド: 置換 | |||
その他のレジストリの設定 (値は 10 進数で示します。そうでない場合は、注記します。) | |||
DirectDraw を無効にする | |||
不要なデバイスを無効にする | |||
OS/2 および POSIX サブシステムを削除する | |||
カーネル オブジェクトの属性を保護する | |||
ヌル セッション アクセスを制限する | |||
名前付きパイプ上で ヌル セッション アクセスを制限する | |||
アプリケーションで生成された入力からのセッション ロックの干渉を防止する
注意: この機能の効力を発揮させるためには、このキーと共に、スクリーン セーバーを適切に設定することが重要です。スクリーン セーバーについて、以下の設定を行う必要があります。
|
|||
監査ログがいっぱいのしきい値のパーセントに達したら監査イベントを生成する (ローカルの要件に応じて、値を編集することができます。) | |||
サービス拒否攻撃に対して TCP/IP スタックを強化する | |||
パスワードによるスクリーンセーバーの保護を直ちに発効させる | |||
LMHash の作成を無効にする | |||
自動実行を無効にする | |||
監査ログがいっぱいになったときに、管理上の警告を発する 注意: 管理上の警告は Alerter サービスとメッセンジャ サービスの両方に依存しています。送信元のコンピュータ上で Alerter サービスが、受信側のコンピュータ上でメッセンジャ サービスが、それぞれ実行されていることを確認してください。 | |||
LDAP BIND コマンド要求の LDAP サーバーでの処理 | |||
その他の推奨事項 | |||
管理者の暗号化証明書のバックアップ 可能な場合には、管理者の暗号化証明書のバックアップを取り、安全な場所に保管しておきます。 | |||
自動画面ロック保護の有効化 スクリーン セーバーをパスワードで保護するように設定します。推奨するタイムアウト期間は 15 分です。 | |||
システム修復ディスクの更新 実行した変更を反映するために、システム修復ディスクを更新します。 |