Windows 2000 セキュリティの構成

公開日: 2004年9月7日

目次

モジュールの内容
目的
適用対象
モジュールの使用方法
ビルトイン グループ
アカウント ポリシー
ローカル ポリシー
追加のセキュリティ設定
その他のレジストリ設定
OS/2 および POSIX サブシステムを削除する
NULL セッション アクセスを制限する
名前付きパイプおよび共有経由の NULL セッション アクセスを制限する
ネットワーク ブラウズ リストでコンピュータを非表示にする
Service Pack 3 のレジストリ エントリ
既定の IPSec 適用除外を解除する
DLL の検索順序を変更する
アプリケーションが生成した入力によってセッション ロックが妨害されないようにする
監査ログがパーセントのしきい値に達したときに監査イベントを生成する
サービス拒否攻撃に対して TCP/IP スタックを強化する
タイム サービス認証を確認する
LM ハッシュ作成を無効にする
自動実行を無効にする
LDAP BIND コマンド要求の設定
監査ログがいっぱいになったときに管理警告を生成する
フォルダの Web 表示をオフにする
NTLM SSP を強化する
監査ログを管理する
既定のグループ アカウント
既定のユーザー アカウント
システム サービス
ファイル システムのセキュリティを確保する
フォルダのアクセス許可を共有する
レジストリのセキュリティを確保する
IPSec ポリシー
ファイル システムを暗号化する
自動スクリーン ロック保護機能を有効にする
システム修復ディスクを更新する
参照情報

モジュールの内容

このモジュールでは、Microsoft Windows 2000 オペレーティング システムのセキュリティを向上するために使用できるセキュリティ設定について詳しく説明します。このモジュールには、各設定によって達成されるセキュリティの目的と、その目的を達成するために必要な構成操作について記述した表が含まれます。各設定は、SCE インターフェイスに表示されるカテゴリ別に分割されています。

ページのトップへ

目的

このモジュールの目的

  • Windows 2000 システムをセキュリティ保護するポリシー設定を識別する。

  • Windows 2000 システムをセキュリティ保護するレジストリ設定を検索する。

  • ネットワーク ロールを担う Windows 2000 システムを安全に構成する。

  • Windows 2000 のセキュリティに関する参照資料を検索する。

ページのトップへ

適用対象

このモジュールは、次の製品とテクノロジに適用されます。

  • Microsoft Windows 2000 オペレーティング システムのセキュリティ

  • グループ ポリシー

  • セキュリティ テンプレート

  • Microsoft Windows 2000 Professional オペレーティング システム

    • ドメイン メンバ ワークステーション

    • ドメイン メンバ ラップトップ

    • スタンドアロン ワークステーション

  • Microsoft Windows 2000 Server オペレーティング システム

    • ドメイン コントローラ

    • ドメイン メンバ サーバー

    • スタンドアロン サーバー

ページのトップへ

モジュールの使用方法

このモジュールでは、Microsoft Windows 2000 Professional および Microsoft Windows 2000 Server システムのセキュリティを確保するための方法について説明します。ここでは、安全な環境を作るために適用する必要のあるグループ ポリシーとレジストリの設定を定義します。また、構成する設定とその理由についても説明します。Windows 2000 システム用の安全な構成を作成するには、このモジュールを使用してください。

参考情報

  • モジュール「Windows 2000 のセキュリティ構成ツール**」を参照してください。**このモジュールでは、安全な構成を適用するために使用できる Windows 2000 のツールについて説明します。

  • モジュール「Windows 2000 の既定のセキュリティポリシー設定**」を参照してください。**このモジュールでは、Windows 2000 システムのさまざまなロールに適用される既定のセキュリティ ポリシー設定について詳しく説明します。

  • モジュール「Windows 2000 ユーザーの権利と特権の構成」を参照してください。このモジュールでは、Windows 2000 システムの既定のユーザー権利の割り当てについて詳しく説明し、現在のモジュールに推奨される変更を含む一覧を提供します。

  • チェックリスト「Windows 2000 セキュリティ構成チェックリスト**」を使用します。**これには、構成の変更がすべて行われていることを確認するためのシステムの評価時に使用できるセキュリティ チェックリストが含まれています。

  • [HOWTO] 技術情報を使用します。

    • [HOWTO] Windows 2000 を安全にインストールする方法]

    • [HOWTO] Windows 2000 でセキュリティ テンプレートを構成および適用する方法]

  • **セキュリティ構成テンプレートをダウンロードしてください。**このガイダンスに付属しているセキュリティ テンプレートは、https://www.microsoft.com/download/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56 からダウンロードしてください。

ページのトップへ

ビルトイン グループ

Windows 2000 には数多くのビルトイン グループが備わっています。いくつかのグループには、特筆すべき特長があります。たとえば、Power Users グループ (ワークステーション、スタンドアロン、およびメンバ サーバー上)、Server Operators、Print Operators、および Backup Operators (サーバー上) などです。これらのグループの目的は、ユーザーを管理者とせずに、ユーザーの機能を向上することです。ただし、これらのグループに付与される能力により、これらのいずれかのグループのメンバは、管理者になることができます。Operators グループは主に、管理者がシステムを誤って破壊してしまうのを防ぐために設計されています。ただし、このグループではシステムを故意に破壊することは阻止されません。

Power Users グループは、通常の User としては適切に動作しない古いアプリケーションを使用するようなシナリオのために設計されています。そのためこのグループは、ユーザーを Power Users にするか、Administrators にするかの決断しか残されていないような特定の環境において必要になります。このような選択を迫られた場合、Power Users の方が望ましい選択肢であることは明らかです。そのためこのガイドラインでは、他の一部のリファレンスで奨励されるように、Power Users グループを使用不可にするようなことはしません。ただし、Power Users を必要としない環境では、Power Users グループを制御する必要があります。また管理者は、ユーザーがこのグループのメンバにならないように監視する必要があります。

ページのトップへ

アカウント ポリシー

アカウント ポリシーとは、3 つの主なアカウント認証機能を制御するルールです。これらのアカウント認証機能には、パスワードのポリシー、アカウント ロックアウトのポリシー、および Kerberos ポリシーがあります。

  • パスワードのポリシー
    パスワードの使用や有効期間などの設定を決定します。

  • アカウント ロックアウトのポリシー
    アカウントがシステムからロックアウトされる時期と期間を決定します。

  • Kerberos ポリシー
    Kerberos 認証は、Windows 2000 以上のコンピュータにおいて、これらが Microsoft Active Directory ドメインのメンバであるときに使用される認証メカニズムです。このポリシーは、管理者が Kerberos 認証を構成するのを許可します。

アカウント ポリシーは、ドメインまたは OU 内のユーザー アカウントに適用できます。フォレストの 1 つのドメイン内のアカウント ポリシーが、サブドメインを含む別のドメインに影響を与えるには、グループ ポリシー オブジェクトへの明示的なリンクが存在する必要があります。さらに、アカウント ポリシーに関する次の重要な点に注意する必要があります。

  • ドメイン ポリシーを経由して適用されるドメイン アカウント ポリシーは、そのドメインとサブドメイン内のドメイン コントローラで定義されているアカウントに対してのみ有効です。これには次の 3 つの設定も含まれます。

    • ログオン時間を経過した場合は自動的にユーザーをログオフする。

    • Administrator アカウント名を変更する。

    • Guest アカウント名を変更する

  • OU で定義されているアカウント ポリシーは、その OU のメンバのコンピュータで定義されているローカル アカウントで有効になります。

パスワードのポリシー

  • 現在のパスワードのポリシー設定を表示および編集するには

    1. 該当するセキュリティ ポリシーを、GPO、SCE、またはローカル セキュリティ ポリシーを経由して開きます。

    2. [セキュリティの設定] を展開します。

    3. [セキュリティの設定] で [アカウント ポリシー] を展開して、[パスワードのポリシー]、[アカウント ロックアウトのポリシー]、および [Kerberos ポリシー] を表示します。

    4. [パスワードのポリシー] をクリックします。右側の詳細ウィンドウに、構成可能なパスワードのポリシー設定が表示されます。

    5. 表 1 の推奨事項に従って、パスワードのポリシーを設定します。

1: パスワードのポリシーの設定

パスワードのポリシー ドメイン WKS ドメイン ラップトップ DC ドメイン サーバー スタンドアロン WKS スタンドアロン サーバー
[パスワードの履歴を記録する] の設定
セキュリティの目的: パスワードの再使用が可能な頻度に制限を設けます。これを任意の値に設定すると、その値に等しい数の以前のパスワードと新しいパスワードが照合され、新しいパスワードが既存のパスワードのいずれかに一致する場合、そのパスワードの変更は拒否されます(これはクリアテキスト パスワードを格納せずに行われることに注意してください)。
手順:
a. 右側の詳細ウィンドウの [パスワードの履歴を記録する] をダブルクリックし、対応する [セキュリティ ポリシーの設定] ダイアログ ボックスを開きます。
b. ドメイン レベルのポリシーの場合は、[このポリシーの設定を定義する] チェック ボックスをオンにします。
c. [パスワードの数] フィールドの値を変更し (最大値は 24)、システムが記録するパスワードの数を反映させます。
推奨事項: これを 24 に設定します。
説明: この設定により、故意か過失かにかかわらず、ユーザーがパスワードを再使用することができなくなるため、パスワードのセキュリティが強化されます。これにより、盗んだパスワードを攻撃者が解読するまでに、そのパスワードが無効になる可能性が高くなります。
[パスワードの有効期間] の設定
セキュリティの目的: ユーザーがパスワードを変更しなければならない時期がくるまで 1 つのパスワードを保持できる期間を設定します。
手順:
a. 右側の詳細ウィンドウの [パスワードの有効期間] をダブルクリックし、対応する [セキュリティ ポリシーの設定] ダイアログ ウィンドウを開きます。
b. ドメイン レベルのポリシーの場合は、[このポリシーの設定を定義する] チェック ボックスをオンにします。
c. [日] フィールドの値を必要な値に変更します。
推奨事項: 70 日
説明: これにより、パスワードが定期的に変更されるようになるため、パスワードのセキュリティが強化されます。推奨される設定を使用すれば、ユーザーがパスワードを覚えられなくなるほど頻繁にパスワードを変更する必要がありません。
[パスワードの変更禁止期間] の設定
セキュリティの目的: ユーザーがパスワードを変更できる時期がくるまで 1 つのパスワードを保持しなければならない期間を設定します。
手順:
a. 右側の詳細ウィンドウで [パスワードの変更禁止期間] をダブルクリックし、対応する [セキュリティ ポリシーの設定] ダイアログ ボックスを開きます。
b. ドメイン レベルのポリシーの場合は、[このポリシーの設定を定義する] チェック ボックスをオンにします。
c. [日] フィールドの値を必要な値に変更します。
推奨事項: 2 日
説明: この設定は、ユーザーがパスワードをリセットできるようになるまで、一定の期間に同じパスワードを使用するよう強制することで、新しいパスワードを記憶できるようにします。また、新しいパスワードを短期間に 25 回変更して、パスワードの履歴を早く入れ替え、以前と同じパスワードを使うという行為を防ぐことができます。
[パスワードの長さ] の設定
セキュリティの目的: ユーザーのパスワードに求められる最小文字数を設定します。
手順:
a. 右側の詳細ウィンドウの [パスワードの長さ] をダブルクリックし、対応する [セキュリティ ポリシーの設定] ダイアログ ボックスを開きます。
b. ドメイン レベルのポリシーの場合は、[このポリシーの設定を定義する] チェック ボックスをオンにします。
c. [文字以上] フィールドの値を必要な値に変更します。
推奨事項: 8 文字
パスワードが 1 文字長くなるごとに、その複雑さは飛躍的に向上します。8 文字以上の長いパスワードを必須とすることで、脆弱な LM ハッシュ方式であっても高いセキュリティが得られます。攻撃者が LM ハッシュの 7 文字の部分の片方だけでなく、両方を解読することが必要になるためです。パスワードが 7 文字以下の場合、LM ハッシュの後半部分にある特定の値を見ただけで、そのパスワードが 8 文字より短いことがわかってしまいます。
LM ハッシュが格納される方法により、8 文字のパスワードは 7 文字のパスワードよりも安全性が低下するのではないかという点が論じられてきました。8 文字のパスワードでは、攻撃者は前半の部分のパスワードをテストしている間に、後半の部分をテストすれば済むことになります。ただし、パスワードの両方の部分をテストすると、攻撃者が実行する必要のあるチェックの数がさらに 1/7 増加するため、パスワードの解読に必要な時間が大幅に増加します。パスワードは常に長い方が好ましく、LM ハッシュが格納されていなければ 8 文字のパスワードの方が 7 文字のパスワードよりもはるかに安全です。長いパスワードよりも短いパスワードを推奨することは、誤った方針です。
[パスワードは要求する複雑さを満たす] の設定
セキュリティの目的: 複雑な (強力な) パスワードを使用することを要求します。このポリシーは、次の 4 つの文字セットのうちの少なくとも 3 つを使用することを義務付けます。文字セットは、(1) 大文字の英字、(2) 小文字の英字、(3) 数字、(4) 英数字以外の文字です。
推奨事項: パスワードを複雑にすることができます。
説明: パスワードを複雑にすることは、パスワードが推測され、解読されることを防ぐうえで最も重要です。
[暗号化を元に戻せる状態でドメインのすべてのユーザーのパスワードを保存する] の設定
セキュリティの目的: この設定は、特定の種類の下位互換性を必要とする環境においてセキュリティを緩和することを目的としています。一部のシナリオでは、ユーザーのクリアテキスト パスワードを把握しておくことが必要な場合があります。このようなシナリオでこの設定を有効にすると、クリアテキストのパスワードを取得できます。
推奨事項: この設定を有効にしないでください。既定の設定である "無効" が適用されていることを確認してください。
#### アカウント ロックアウトのポリシー アカウント ロックアウトは、アカウントのパスワードが推測されることを防ぐために使用されます。無効なパスワードが特定の回数だけ入力されると、アカウント ロックアウト機能によってそのアカウントがロックアウトされます。ロックアウトは一定の期間有効にするか、管理者がそのアカウントのロックを解除するまで無限の期間有効にすることができます。Administrator のビルトイン アカウントをローカルのログオンからロックアウトすることはできません。ロックアウトはネットワークからのログオンに対してのみ可能です。また、このアカウントは Windows 2000 Server リソース キットに含まれている passprop.exe ツールを使用した場合にのみネットワーク ログオンからロックアウトできます。 アカウント ロックアウトのポリシーの使用は避けるべき理由がいくつかあります。まず、パスワードのポリシーを前述の説明に従って構成していれば、攻撃者が短期間でパスワードを推測することはできなくなるため、アカウント ロックアウトは無用になります。ユーザーが、大文字と小文字の英字および数字のみを使用しており、辞書に含まれている言葉に数字を追加しただけのパスワードは使用していないものと仮定した場合、パスワードを 1 回推測するのに 0.5 秒かかるとすると、正しいパスワードを探し当てるのに 3,461,760 年かかることになります。パスワードは頻繁に変更されるため、攻撃者が正しいパスワードを推測できる可能性はさらに低くなります。実際、パスワードが 70 日ごとに変更され、辞書に含まれていない言葉がパスワードに使用されていると仮定すると、パスワードの有効期限が切れる前に 1 つのランダムなパスワードを推測するには、被害者のシステムにアクセスするのに 52,000 の T3 回線が必要になります。つまり、パスワードが非常に脆弱で、攻撃者が 10 回未満の試行回数で正しいパスワードを推測できた場合、問題はアカウント ロックアウトのポリシーを使用していないことにあるのではなく、安易なパスワードを使用したことにあります。 さらに、アカウント ロックアウトのポリシーを有効にすると、ユーザーが **CapsLock** キーをオフにするのを忘れたなどが原因で自分のアカウントを誤ってロックアウトしてしまうような問題が発生し、ヘルプデスクの負担が非常に大きくなります。複雑なパスワードを使用することは通常は好ましいことですが、それによって前述のような問題がさらに多く発生することにもなります。 アカウント ロックアウトに直接起因するヘルプデスクへの電話量の増加よりもさらに問題となるのは、攻撃者がサービス アカウントをロックアウトした場合のネットワークへの影響です。このようなことが発生すると、サービスは開始できなくなります。アカウント ロックアウトが原因でサービスが開始できない場合、サービスの開始は再試行されないため、管理者はアカウント ロックアウトの期限が切れた後にシステムに手動でアクセスしてサービスを開始する必要があります。 脆弱性スキャナは、すべての環境で使用すべきものです。ただし、脆弱性スキャナは通常は一般的に使用される少数のパスワードをテストします。また、アカウント ロックアウトのポリシーが使用されている場合には、ネットワークがスキャンされるたびにすべてのアカウントがロックアウトされます。これによって、システムの可用性に予想外の悪影響が及ぶことになります。 さらに、アカウント ロックアウトは既定では、攻撃者による攻撃の対象に最もなりやすい 1 つのアカウント、つまり Administrator アカウントに対しては機能しません。システム上の他の管理者アカウントの一覧を取得することは可能ですが、ほとんどの攻撃者は既定の Administrator アカウントなど、明白なアカウントのパスワードを推測しようとします。Administrator アカウントのロックアウトを有効にするには、リソース キットに含まれている passprop.exe ユーティリティを使用する必要があります。 最後に、信頼されていないネットワークからの Windows のネットワーキングを阻止するために通常はファイアウォールが使用されるため、パスワードの推測は、信頼されているネットワークからのみ可能になります。信頼されているネットワークでは、パスワード推測攻撃の犯人を、ログオンの試行を追跡することで比較的簡単に発見し、対処することができます。 アカウント ロックアウトには 1 つの有用な用途があります。それは、パスワード推測攻撃が行われていることを管理者に警告することです。ただし、この検出には侵入検出システムを使用する必要があります。アカウント ロックアウトのポリシーを実際の侵入検出システムの代わりに使用するようなことは避けてください。ただし、警告を発するためにアカウント ロックアウトが求められるような環境では、しきい値を 50、タイマーを 30 分に設定してください。 #### Kerberos ポリシー Kerberos ポリシーは既定の設定で十分です。これらの既定を変更しないでください。 [](#mainsection)[ページのトップへ](#mainsection) ### ローカル ポリシー ローカル ポリシーは、個別のコンピュータまたはユーザーに適用されるセキュリティ設定を管理します。ローカル ポリシーのセクションは、次の構成に使用できます。 - 監査ポリシー 監査ポリシーは、どのセキュリティ イベントがコンピュータのセキュリティ イベント ログに記録されるかを決定します (試行の成功、試行の失敗、または両方)。セキュリティ ログは、イベント ビューア MMC スナップインを使用して管理します。 - ユーザー権利の割り当て ユーザー権利は、個別のユーザーまたはグループが実行できる操作の種類を管理します。これらは以前のバージョンの Microsoft Windows NT では "特権" と呼ばれていました。 - セキュリティ オプション これらはコンピュータのさまざまなレジストリ ベースのセキュリティ設定を管理するために使用されます。これらのセキュリティ設定には、データのデジタル署名、Administrator および Guest のアカウント名の変更、フロッピー ドライブと CD-ROM のアクセスの制限、ドライバのインストール、ログオン プロンプトなどがあります。ここで説明している設定の中には、説明するツール内では既定で表示されないものがあります。ユーザー インターフェイスでこれらの設定を表示および管理するには、管理者がまずカスタム テンプレートを適用し、インターフェイスに表示される設定を変更する必要があります。 #### 監査ポリシー - **セキュリティに関連するイベントの監査を有効にするには** 1. 適切なセキュリティ ポリシーを開きます。 2. \[セキュリティの設定\] を展開します。 3. \[セキュリティの設定\] で \[ローカル ポリシー\] を展開して、\[監査ポリシー\]、\[ユーザー権利の割り当て\]、および \[セキュリティ オプション\] を表示します。 4. \[監査ポリシー\] をクリックします。右側の詳細ウィンドウに、構成可能な監査ポリシー設定が表示されます。 ![](images/Dd362907.secmod220_01(ja-jp,TechNet.10).jpg) **図 1: 監査ポリシーの設定** 5. セキュリティ イベントの監査を設定するには、右側の詳細ウィンドウで必要な監査ポリシーをダブルクリックします。\[セキュリティ ポリシーの設定\] ダイアログ ボックスが開きます。 **表** **2:** **監査ポリシーの設定**

監査ポリシー

ドメイン WKS ドメイン ラップトップ DC ドメイン サーバー スタンドアロン WKS スタンドアロン サーバー
監査イベントのカテゴリ 成功 失敗            
アカウント ログオン イベントの監査
このコンピュータがユーザーの認証に使用されているログオン イベントを監査します。つまり、DC ではこれによってすべてのドメイン ログオン イベントが監査されますが、ドメイン メンバでは、ローカル アカウントが使用されているイベントのみが監査されます。
アカウント管理の監査
アカウント管理に関係のあるイベントをすべて監査します。これらのアカウント管理には、アカウントの作成、アカウントのロックアウト、アカウントの削除などがあります。
ディレクトリ サービスのアクセスの監査
Active Directory オブジェクトへのアクセスの監査を有効にします。この設定自体がイベントの生成を発生させることはありません。SACL がオブジェクト上で定義されているときにのみ、すべてのアクセスが監査されます。このため、SACL の効果を引き出すには、成功と失敗の両方の監査を有効にする必要があります。		          
ログオン イベントの監査
アカウントがどこに存在するかにかかわらず、このポリシーの適用先のシステムで発生したログオン イベントを監査します。つまり、ドメイン メンバでは、これに対して成功の監査を有効にすると、誰かがシステムにログオンするたびにイベントが生成されます。ログオンに使用されたアカウントがローカルに存在し、[アカウント ログオン イベントの監査] 設定も有効になっている場合は、ログオンによって 2 つのイベントが生成されます。		    
オブジェクト アクセスの監査
ファイル システムやレジストリのオブジェクトなど、ディレクトリ サービス オブジェクト以外のすべての監査可能なオブジェクトへのアクセスの監査を有効にします。この設定自体が、監査の対象となるイベントを発生させることはありません。監査が有効になり、SACL が定義されているオブジェクトが監査できるようになるだけです。このため、この設定には成功と失敗の両方の監査を有効にする必要があります。
ポリシーの変更の監査
この設定は、ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーへの変更を監査するかどうかを定義します。これに対しては成功イベントのみを監査するようにします。この種のアクセスの失敗を監査しても、意味がないためです。		        
特権使用の監査
この設定は、誰かが特権を使用するたびに監査イベントを生成するかどうかを決定します。"走査チェックのバイパス" や "プログラムのデバッグ" などの特定の特権は、この設定を行っても監査されません。このような監査は FullPrivilegeAuditing レジストリ値を設定することで有効にできます。特権の監査を有効にすると、非常の多数のイベントが生成されるため、これを有効にすることは避けるようにしてください。		                
プロセス追跡の監査
この設定は、特定のプロセス イベントの監査を有効にします。プロセス イベントには、プログラムの起動と終了、ハンドルの複製、間接的なオブジェクトのアクセスなどがあります。この監査を有効にすると、"非常に" 多数のイベントが生成され、短期間にイベント ログがいっぱいになります。このため、デバッグの目的以外で大規模にこれを有効にすることは避けてください。攻撃を分析するにはプロセス追跡を使用すると便利です。たとえば、バッファ オーバーフローを悪用してコマンド シェルを起動する試みが行われることがよくあります。プロセス追跡が有効になっていると、このような試みがログに記録されます。ただし、プロセス追跡を有効にする場合は、ログを厳重に管理する必要があります。		                
システム イベントの監査
システムのシャットダウンや起動などのイベント、または、ログのクリアなど、システム ログやセキュリティ ログに影響するイベントを監査します。		  
#### ログオンの権利と特権 ログオンの権利と特権は、ユーザーがターゲット システムで持つ権利を管理します。これらは、ネットワークからのログオンまたはローカルでのログオンなどの特定の操作や、新しいログオン トークンの生成などの管理タスクを実行する権利を付与するために使用します。 - **ユーザー権利の割り当てを変更するには** 1. 適切なセキュリティ ポリシーを開きます。 2. \[セキュリティの設定\] を展開します。 3. \[セキュリティの設定\] で \[ローカル ポリシー\] を展開して、\[監査ポリシー\]、\[ユーザー権利の割り当て\]、および \[セキュリティ オプション\] を表示します。 4. \[ユーザー権利の割り当て\] をクリックします。右側の詳細ウィンドウに、構成可能なユーザー権利のポリシー設定が表示されます。 ![](images/Dd362907.secmod220_02(ja-jp,TechNet.10).jpg) **図 2: ユーザー権利の割り当ての設定** **注:** すべての種類のシステムにすべてのグループが存在するわけではありません。このため、ターゲット グループが存在するシステムでこのポリシーを変更する必要があります。または、ポリシー テンプレートを手動で編集し、適切なグループを含めることができます。 表 3 は、ユーザーの権利と特権の割り当てのうち、既定値から変更すべきものを示しています。その他多くの権利がポリシー エディタ インターフェイスに表示されます。ただし、これらの既定の設定は適切であるため、変更は必要ありません。この表内のチェック マークは、この変更をその列の特定の種類のシステムに適用すべきであることを示します。 **表** **3:** **ユーザーの権利と特権**

ユーザーの権利と特権の割り当て ドメイン WKS ドメイン ラップトップ DC ドメイン サーバー スタンドアロン WKS スタンドアロン サーバー

特権 既定 変更後            
ネットワーク経由でコンピュータへアクセス (Professional/Server) Administrators
Backup Operators
Power Users
Users
Everyone		 Administrators
Backup Operators
Power Users
Users
Authenticated Users		  
ネットワーク経由でコンピュータへアクセス (ドメインコントローラ) Administrators
Authenticated Users
Everyone		 Administrators
Authenticated Users		          
ローカルログオン (Professional) Administrators
Backup Operators
Power Users
Users
<コンピュータ名>\Guest		 Administrators
Backup Operators
Power Users
Users		      
ローカルログオン (Server) Administrators
Backup Operators
Power Users
Users
<コンピュータ名>\Guest
<コンピュータ名>\TsInte
rnetUser		 Administrators
Backup Operators
Power Users
注: この特権をターミナル サーバー アプリケーション サーバーの Users に付与する必要があります。		        
ローカルログオン (ドメインコントローラ) Administrators
Account Operators
Backup Operators
Print Operators
Server Operators
TsInternetUser		 Administrators
Account Operators
Backup Operators
Print Operators
Server Operators		          
ドメインにワークステーションを追加 (ドメインコントローラ) Authenticated Users Authenticated Users          
クォータの増加 (ドメインコントローラのドメインセキュリティポリシー内) (未定義) Administrators          
スケジューリング優先順位の繰り上げ (ドメインコントローラのドメインセキュリティポリシー内) (未定義) Administrators          
デバイスドライバのロードとアンロード (ドメインコントローラのドメインセキュリティポリシー内) (未定義) Administrators          
監査とセキュリティログの管理 (ドメインコントローラのドメインセキュリティポリシー内) (未定義) Administrators          
ファームウェア環境値の修正 (ドメインコントローラのドメインセキュリティポリシー内) (未定義) Administrators          
システムパフォーマンスのプロファイル (ドメインコントローラのドメインセキュリティポリシー内) (未定義) Administrators          
システムのシャットダウン (クライアント) Administrators
Backup Operators
Power Users
Users		 Administrators
Backup Operators
Power Users
Authenticated Users		      
システムのシャットダウン (サーバー) Administrators
Power Users
(他のグループはシステムの種類によって異なる)		 Administrators      
ファイルとその他のオブジェクトの所有権の取得 (ドメインコントローラのドメインセキュリティポリシー内) (未定義) Administrators          
#### セキュリティ オプションを変更する - **定義済みのセキュリティ関連レジストリ設定を変更するには** 1. 適切なセキュリティ ポリシーを開きます。 2. \[セキュリティの設定\] を展開します。 3. \[セキュリティの設定\] で \[ローカル ポリシー\] を展開して、\[監査ポリシー\]、\[ユーザー権利の割り当て\]、および \[セキュリティ オプション\] を表示します。 4. \[セキュリティ オプション\] をクリックします。右側の詳細ウィンドウに、構成可能なセキュリティ オプションが表示されます。 ![](images/Dd362907.secmod220_03(ja-jp,TechNet.10).jpg) **図 3: セキュリティ オプションの設定** 5. セキュリティ オプションを設定するには、右側の詳細ウィンドウで必要なポリシーをダブルクリックします。\[セキュリティ ポリシーの設定\] ダイアログ ウィンドウが開きます。 6. ドメイン レベルのポリシーの場合は、\[このポリシーの設定を定義する\] チェック ボックスをオンにします。 7. 選択したセキュリティ オプションの \[セキュリティ ポリシーの設定\] ダイアログ ボックスへの入力は、オプションの構成要件によって異なります。たとえば、セキュリティ オプションによっては、下図のようにドロップダウン メニューからの選択やテキスト入力が必要な場合があります。 ![](images/Dd362907.secmod220_04(ja-jp,TechNet.10).jpg) **図 4: スマート カード取り出し時の動作** ![](images/Dd362907.secmod220_05(ja-jp,TechNet.10).jpg) **図 5: ログオン時のユーザーへのメッセージのテキスト** 8. 表 4 のようにセキュリティ オプションを変更します。 **表** **4:** **セキュリティオプションの設定**

セキュリティ オプション ドメイン WKS ドメイン ラップトップ DC ドメイン サーバー スタンドアロン WKS スタンドアロン サーバー
匿名接続の追加を制限する
セキュリティの目的: 匿名ユーザーによる SAM のアカウントと共有の列挙の機能を無効にします。
推奨事項: ドメイン サーバーとスタンドアロン サーバーの場合は、[SAM のアカウントと共有の列挙を許可しない] に設定します。この設定は、RestrictAnonymous を 1 に設定した場合と同等であり、この方法で頻繁に参照されます。ラップトップおよびワークステーションの場合は、[明示的な匿名アクセス権がない場合アクセスを許可しない] に設定します (RestrictAnonymous = 2)。
注: [明示的な匿名アクセス権がない場合アクセスを許可しない] オプションは、多くの環境で接続の問題を発生させる可能性があります。このため、着信接続を広く受け入れる必要のあるシステムには、この設定をお勧めしません。ただし、セキュリティ上の有用性が非常に高いため、総合的にテストを行い、ユーザー固有の環境で使用できるかどうかを評価することをお勧めします。この設定に関して現在までに認識されている主な非互換性には次のものがあります。
Exchange 2000 Server で [明示的な匿名アクセス権がない場合アクセスを許可しない] に設定すると、クライアントはグローバル アドレス帳のアドレスを検索できなくなります。この問題は、Windows 2000 Service Pack 3 で修正されています。Windows 2000 ドメイン コントローラで [SAM のアカウントと共有の列挙を許可しない] に設定すると、Windows XP、NT、および Macintosh クライアントのユーザーはログオン時のドメイン パスワードを変更できなくなります。Windows XP の修正は、マイクロソフト プロダクトサポートサービスに連絡して、修正プログラム 328817 を入手することができます。Windows NT および Macintosh クライアントに対応する修正はありません。
この修正が設定されている場合、下位レベル クライアント (Windows 9x 以前) はドメインに対する認証を受けられません。
信頼する側の NT 4 ドメインのユーザーは、信頼される側の Windows 2000 ドメインのユーザーを一覧表示できません。
ブラウザ サービスの機能の信頼性が損なわれます。
フォレスト間の通信が正しく機能しません。
詳細については、マイクロソフト サポート技術情報 246261、「Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法」を参照してください。注: 要塞ホスト システムについては、[明示的な匿名アクセス権がない場合アクセスを許可しない] に設定することをお勧めします。
システムをシャットダウンするのにログオンを必要としない
セキュリティの目的: ログオンしていないシステムのシャットダウンをユーザーに許可しません。これは、ターミナル サーバーでは特に重要です。
推奨事項: マトリックスのシステムでは、このポリシーを無効に設定します。ターミナル サービスが有効になっていないシステムの場合、実際には、この設定でセキュリティが大幅に強化されるわけではありません。攻撃者がシャットダウンを行うには、非ターミナル サービス システムへの物理的なアクセスが必要であり、物理的なアクセスがあれば単純に配線を切断することもできます。		      
グローバルシステムオブジェクトへのアクセスを監査する
セキュリティの目的: グローバル システム オブジェクトへのアクセスを監査する機能を有効にします。このポリシーが有効な場合、ミューテックス、イベント、セマフォ、DOS デバイスなどのシステム オブジェクトが、既定のシステム アクセス制御リスト (SACL) で作成されます。[オブジェクトアクセスの監査] 監査ポリシーも有効にしている場合は、これらのシステム オブジェクトへのアクセスが監査されます。
推奨事項: このポリシーは、特にセキュリティが重要なシステムを除いて無効にしておきます。セキュリティが特に重要なシステムでは有効にします。
注: この設定は、主に開発者による新しいプログラムのトラブルシューティングを目的として開発されています。大量の監査情報が生成されます。このため、定期的に監査ログの確認、保存、および消去が可能な、監査管理プロセスが厳格に実施されている環境か、またはこの設定によって生成されたイベントがミーティングなどで実際に役立つ場合にのみ有効にしてください。ログ記録対象のイベント数の増加に対応するため、最大ログ サイズも編集する必要があります。		            
バックアップと復元の特権の使用を監査する
セキュリティの目的: [ファイルとディレクトリのバックアップ] または [ファイルとディレクトリの復元] の特権が使用されている場合は、必ず監査イベント エントリを作成する機能を有効にします。既定では、バックアップと復元の特権の使用は監査されません。[特権使用の監査] 監査ポリシーが有効で、このセキュリティ オプションが設定されていると、バックアップと復元の特権の使用が監査されます。
推奨事項: この設定では非常に大量のイベントが生成されるため、バックアップ上問題があり、そのトラブルシューティングの際に利用する場合のみ有効にしてください。		            
ログオン時間が時間切れになった場合、自動的にユーザーをログオフする
セキュリティの目的: ユーザーが許可された有効時間を超えてログオンしたままになっている場合に、強制的に "ネットワーク" からログオフさせます。推奨事項: ログオン時間制限が実施されている環境では、この設定を有効にする必要があります。それ以外の環境では、この設定の効果はありません。
注: ユーザーに特定のログオン有効時間を守らせることは、セキュリティを強化する手段ではありません。言い換えると、ユーザーが操作するシステムをユーザーから保護することにはなりません。		            
システムのシャットダウン時に仮想メモリのページファイルをクリアする
セキュリティの目的: システムのシャットダウン時に仮想メモリ ページ ファイルを削除します。このページ ファイルは、次回のユーザーのログオン時に再初期化されます。これは、次のユーザーがマシンにログオンしたときに、ページ ファイル内に残っている可能性がある情報すべてを確実に利用できないようにすることを目的にしています。
推奨事項: シャットダウン時に物理的にセキュリティで保護できないノートブック コンピュータなどのマシンでは、この設定を有効にします。
注: この設定を有効にすると、システム シャットダウンに要する時間が大幅に増加します。		          
常にクライアント側の通信にデジタル署名を行う
セキュリティの目的: コンピュータがクライアント通信に常にデジタル署名を行うかどうかを指定します。Windows 2000 Server の Server Message Block (SMB) 認証プロトコルは、"Man-in-the-middle" 攻撃に対抗する相互認証をサポートし、能動的なメッセージ攻撃を防ぐメッセージ認証をサポートします。SMB 署名は、デジタル署名を SMB のそれぞれに配置することでこの認証を行ってから、クライアントとサーバーの両方によって確認が行われます。
既定では、この設定が無効になっています。このオプションを有効にするには、Windows 2000 SMB クライアント サブシステムで SMB パケット署名を実行する必要があります。この場合、コンピュータからデジタル署名をサポートしないサーバーへの通信ができなくなります。この通信ができなくなる状況が望ましくない場合は、このオプションを設定しないでください。そのような場合は、この設定ではなく、署名をサポートするすべてのシステム (Windows 2000 以降) で [可能な場合、クライアントの通信にデジタル署名を行う] オプションが設定されていることを確認し、可能な場合は常に署名が使用されるようにしてください。
推奨事項: この設定を有効にしないでください。		            
可能な場合、クライアントの通信にデジタル署名を行う
セキュリティの目的: このポリシーが有効になっている場合、Windows 2000 Server の Server Message Block (SMB) クライアント サブシステムでは、SMB パケット署名の実行が有効かまたは要求されている SMB サーバーと通信する際に、SMB パケット署名が実行されます。その他の詳細については、この表の [常にクライアント側の通信にデジタル署名を行う] を参照してください。
推奨事項: この設定は既定で有効になっています。そのままにしておいてください。		            
常にサーバーの通信にデジタル署名を行う
セキュリティの目的: このポリシーを有効にすると、システムが SMB サーバーとして機能している場合に SMB パケット署名の実行が要求されます。このポリシーは、署名を実行しないクライアント システムとの通信をできなくするため、既定では無効になっています。その他の詳細については、この表の [常にクライアント側の通信にデジタル署名を行う] を参照してください。
推奨事項: 下位レベル システムに対する SMB サーバーとして機能しないシステムでは、この設定を有効にする必要があります。ドメイン内のクライアント ワークステーションがこの機能を果たすことはめったにありません。このため、クライアント ワークステーションではこの設定を有効にすることをお勧めします。ドメイン コントローラでこの設定を有効にしておくと、マイクロソフト セキュリティ情報 MS02-070 で説明されているような種類の攻撃を防ぎます。ただし、これは、下位レベル クライアントがこのドメイン コントローラと通信できなくなるという事実と比較して検討する必要があります。このため、DC 構成テンプレートでは、この設定を無効のままにしておくことをお勧めします。Windows 2000 より新しいクライアントのみの環境では、ドメイン コントローラでこの設定を有効にしてください。		      
可能な場合、サーバーの通信にデジタル署名を行う
セキュリティの目的: このポリシーを有効にすると、システムが SMB サーバーとして機能している場合に SMB パケット署名の実行が有効になります。このポリシーは、ワークステーションおよびサーバー プラットフォームのローカル コンピュータ ポリシーでは既定で無効になっています。ドメイン コントローラでは、既定でこのポリシーが有効になっています。その他の詳細については、この表の [常にクライアント側の通信にデジタル署名を行う] を参照してください。
推奨事項: すべてのシステムで、この設定を有効にしてください。
注: この設定により、通信に大幅なオーバーヘッドが生じる可能性があります。このため、使用環境でネットワーク応答時間が許容限度を超えて増加しないかどうかを検証する必要があります。
ログオンに Ctrl+Alt+Del を必要としない
セキュリティの目的: このオプションを有効にすると、信頼されたパス メカニズムは無効になります。信頼されたパス メカニズムの目的は、ユーザーのログイン セッションのなりすましを防ぐことです。このメカニズムは、オペレーティング システムによって常に Ctrl+Alt+Del キーのシーケンスを遮断し、他のサブシステムとプロセスがこのキー シーケンスをキャプチャできないようにします。このメカニズムが無効になっていると、攻撃者はキーストローク ロガーを使用してログオン インターフェイスに対して容易になりすまし攻撃を仕掛けることができます。このため、この設定は "決して" 有効にしないでください。Windows 2000 コンピュータでは、ポリシー ツールでこのオプションが "未定義" と表示される場合がありますが、既定では無効に設定されています。
推奨事項: このポリシーを無効に設定します。
注: 既定の設定のままにしておきます。しかし、無効に設定することで、変更されたマシンを確実に上書きできます。		            
ログオン画面に最後のユーザー名を表示しない
セキュリティの目的: 既定の Windows 2000 ログオン インターフェイスには、そのコンピュータに最後にログオンしたユーザー名が表示されます。このオプションを有効にすると、最後のユーザー名がログイン セッションから削除されます。この結果、ローカルのコンピュータに侵入しようとする攻撃者は、パスワードの推測だけでなく正しいユーザー名の推測も必要になります。ただし、ユーザー名一覧の入手はそれほど困難ではなく、パスワードの使用が適切な防御メカニズムになります。さらに、この設定を有効にすると、ユーザーが各自のユーザー名を思い出せない場合に対処するために、テクニカル サポート コストの増加を招くことが明らかになっています。
推奨事項: 研究室のワークステーションやターミナル サーバーのように、共用目的で設定されたマシンでのみこの設定を有効にすることをお勧めします。それ以外のマシンでは、サポート コストの増加と比較検討した場合に、この設定を使用する価値はほとんどありません。		            
LAN Manager 認証レベル
セキュリティの目的: このセキュリティ オプションは、Windows ネットワークに使用される特定の種類の認証プロトコルの強制に使用され、また、新たな種類の認証プロトコル (NTLMv2) を有効にします。NTLMv2 は新しい認証プロトコルであり、Windows 認証のセキュリティを大幅に強化します。多数のなりすまし攻撃を防ぎ、クライアントに対してサーバー自体を認証する機能をサーバーに提供します。
NTLM プロトコルでは、パスワード攻撃者がキャプチャした NTLM 認証セッションを使用してパスワードを解読することができました。これに対抗するため、NTLM バージョン 2 が開発されました。NTLMv2 には、次のようなセキュリティ機能が追加実装されています。
接続ごとに一意のセッション キー: 新たに接続が確立されるたびに、一意のセッション キーがセッションに生成されます。つまり、接続の完了後、キャプチャされたセッション キーは実用の役には立たなくなります。
セッション キーのキー交換による保護: セッション キーの保護に使用されるキー ペアを入手しないと、セッション キーを傍受できません。
セッション データの暗号化と整合性の確保のための一意キーの生成: クライアントからサーバーへのデータの暗号化に使用されるキーと、サーバーからクライアントへのデータの暗号化に使用されるキーは同じではありません。
暗号の強化: NTLMv2 では、セッション キーの暗号化プロトコル、およびメッセージ整合性と認証シーケンスのハッシュ アルゴリズムが強化されています。
NTLMv2 の詳細については、マイクロソフト サポート技術情報の 147706、「Windows NT 上の LM 認証を無効にする方法」を参照してください。NTLMv2 は、Windows NT 4.0 Service Pack 4 以降で使用可能であり、Windows 9x については、Windows 2000 CD-ROM の Clients\Win9x ディレクトリにあるディレクトリ サービス クライアントから使用できます。資料では、この設定を LMCompatibilityLevel で示す場合も多く、これは、有効化に使用される実際のレジストリ スイッチの名前です。
この設定は、認証プロトコルと認証後に使用されるセッション セキュリティ プロトコルの両方に作用します。Windows NT 4 SP4 以降の Windows NT ベースのシステム (Windows 2000、Windows XP、および Windows Server 2003? を含む) はすべて、追加変更せずに NTLMv2 認証を使用した SMB クライアント接続に対応します。LMCompatibilityLevel 設定は、次に示す認証のいずれかの項目の変更に使用されます。
クライアントとして機能する際にシステムが送信する認証プロトコルを変更します。サーバーとして機能する際にシステムが受け入れる認証プロトコルを変更します。アカウント データベースが格納されるマシンの設定値が、動作を管理します。つまり、ドメイン アカウントが使用される場合は、ドメイン コントローラで設定された値が有効になります。ローカル アカウントの使用時は、サーバー上の設定値が有効になります。
NTLMv2 セッション セキュリティを有効にします。
この動作を管理する設定は 6 つあります。かっこ内の数値は、LMCompatibilityLevel レジストリ値の実際の設定値です。クライアントの動作の列は、この設定でマシンが SMB クライアントとしてどのように動作するかを示しています。サーバーの動作の列は、サーバーで設定が行われている場合に認証を実行するサーバーがどのように動作するかを示しています。ドメイン アカウントが使用され、DC にアクセス可能な場合は、認証サーバーが常に DC になります。DC にアクセスできない場合やローカル アカウントが使用される場合、認証サーバーはクライアントの接続先のサーバーになります。 [ 各設定に対する、クライアントおよびサーバーの動作 ] 設定: LM & NTLM 応答の送信 (0 または設定なし) クライアントの動作: LM および NTLM 認証を使用し、NTLMv2 認証やセッション セキュリティは使用しません。 サーバーの動作: LM、NTLM、および NTLMv2 認証を受け入れます。
設定: ネゴシエートされた場合 LM & NTLM を送信 - NTLMv2 セッションセキュリティを使用する (1) クライアントの動作: LM および NTLM 認証を使用し、サーバーがサポートする場合は NTLMv2 セッション セキュリティを使用します。この設定は、クライアント上で NTLMv2 セッション セキュリティのみを有効にします。クライアントで使用される認証プロトコルは変更しません。 サーバーの動作: LM、NTLM、および NTLMv2 認証を受け入れます。
設定: NTLM 応答のみ送信する (2) クライアントの動作: クライアントは、NTLM 認証のみを使用し、サーバーがサポートする場合は NTLMv2 セッション セキュリティを使用します。この設定によって、クライアントは LM 認証を使用できなくなりますが、NTLMv2 認証の使用は有効になりません。 サーバーの動作: LM、NTLM、および NTLMv2 認証を受け入れます。
設定: NTLMv2 応答のみ送信 (LM を拒否する) (4) クライアントの動作: NTLMv2 認証のみを使用します。サーバーがサポートする場合は NTLMv2 セッション セキュリティを使用します。 サーバーの動作: LM を拒否します (NTLM および NTLMv2 の認証のみを受け入れます)。これは、RRAS サーバーの機能を使用する場合の最大設定です。システムのいずれかで LMCompatibilityLevel を 5 に設定すると、着信接続の受け入れが停止します。
設定: NTLMv2 応答のみ送信 (LM と NTLM を拒否する) (5) クライアントの動作: NTLMv2 認証のみを使用します。サーバーがサポートする場合は NTLMv2 セッション セキュリティを使用します。 サーバーの動作: NTLMv2 認証のみを受け入れます。この設定が 4 未満の Windows NT 4.0 ドメイン コントローラがある場合に 5 に設定すると、ドメインの信頼性に問題が発生する可能性があります。ただし、これらのシステムで LMCompatibilityLevel が NTLMv2 応答のみ送信 (LM を拒否する) (4) に設定されていると、ドメインの信頼性が維持されます。しかし、NTLM 認証をサポートしない下位レベル クライアントに対するサービスはできなくなります。

推奨事項: 次のガイドラインに従って、環境で許容される限り大きく設定します。
Windows NT 4.0 SP4 以降のみの環境 (Windows 2000 および XP を含む) では、すべてのクライアントで 5 に設定し、すべてのクライアントの構成後にすべてのサーバーでも 5 に設定します。Windows 2000 RRAS サーバーは例外で、設定が 4 より大きい場合は正しく機能しません。
Windows 9x クライアントがあり、そのクライアントのすべてに DSClient をインストールできる場合は、Windows NT ベースのマシン (NT、2000、および XP) ではこの値を 5 に設定し、Windows 9x のコンピュータでは 3 に設定します。それ以外の場合は、Windows 9x 以外のマシンでも 3 以下に設定する必要があります。
この設定を有効にして中断するアプリケーションが検出された場合は、ロールバックを 1 ステップずつ行って、何が中断したかを確認します。この設定はすべてのマシンで最低でも 1 にする必要があり、一般には、すべてのマシンで 3 に設定されています。優先サポート契約がある場合は、どのアプリケーションがどのレベルで中断したかについてプロダクト サポート サービスにお知らせください。
注: Windows NT 4.0 と Windows 2000 が混在するドメイン環境で LMCompatibility を 2 よりも大きい値に設定すると、相互運用上の問題が発生する場合があります。詳細については、マイクロソフト サポート技術情報の 305379「Windows NT 4.0 のドメインで NTLM 2 のレベル 2 より上を使用する Windows 2000 の認証問題」を参照してください。
W2KHG-baseline.inf テンプレートでは、LMCompatibilityLevel が NTLMv2 応答のみ送信する (3) に設定されます。
承認された使用上の警告を実装する
セキュリティの目的: 対話的ログオン画面にタイトルと警告が記載されたログオン バナーが表示されるように[ログオン時のユーザーへのメッセージのタイトル] と [ログオン時のユーザーへのメッセージのテキスト] を利用して構成します。このバナーは主として承認された使用法ポリシーへの準拠またはユーザーへの通知に使用されます。使用の法的根拠または法的要件があるかどうかについては、弁護士にお問合せください。
推奨事項: このバナーは、情報セキュリティ ポリシーに従って設定してください。		    
ドメインコントローラが利用できない場合に使用する、前回ログオンのキャッシュ数
セキュリティの目的: Windows 2000 には、ログオン情報をキャッシュする機能があります。ログオン時にドメイン コントローラが見つからず、そのユーザーが過去にログオンしたことがある場合に、そのときの資格情報をログオンに使用できます。これは、たとえばユーザーがネットワークから離れたところで使用する必要があるポータブル コンピュータの場合に非常に便利です。CachedLogonsCount レジストリ値の設定によって、Windows 2000 でローカル コンピュータのログオン キャッシュに保存されるユーザー アカウントのエントリ数が決定されます。ログオン キャッシュはセキュリティで保護されたコンピュータ領域であり、資格情報はシステムで使用可能な最も強力な暗号化形式によって保護されます。このエントリの値が 0 の場合、Windows 2000 のログオン キャッシュにユーザー アカウント データが保存されません。この場合、ユーザーのドメイン コントローラが使用できないときに、ユーザー アカウント情報のないコンピュータにユーザーがログオンしようとすると、Windows 2000 では「ログオンできません。ログオン先ドメイン <ドメイン名> は利用できません。」というメッセージが表示されます。
Administrator がユーザーのドメイン アカウントを無効にした場合、そのユーザーは、ネットワーク ケーブルを切断すれば、キャッシュを使用してログオンできます。これを防ぐため、Administrator は、ログオン情報のキャッシュを無効にできます。既定では、10 セットの資格情報のキャッシュを許可するように設定されています。
推奨事項: この値は最低でも 2 に設定し、ドメイン コントローラの停止中や使用不可の場合でもシステムを使用可能にします。
コンピュータアカウントパスワードのシステム保守をしない
セキュリティの目的: Windows 2000 ドメインのコンピュータをドメイン リソースとして使用可能にするには、ドメイン コントローラに対して自己認証する必要があります。この設定によって、コンピュータ アカウント パスワードが毎週リセットされないようにするかどうかを設定します。Windows 2000 のセキュリティ機能として、"コンピュータ アカウント" のパスワードが 7 日ごとに自動変更されます。このポリシーを有効にすると、毎週のパスワード変更要求が行われなくなります。このポリシーを無効にすると、コンピュータ アカウントの新規パスワードが毎週生成されます。このポリシーは、既定では無効になっています。
推奨事項: このポリシーを無効にして、いずれかの時点で上書きされた可能性があるマシンも確実に正しく構成されるようにします。このポリシーを有効にする実質的な理由はありません。		    
ユーザーがプリンタドライバをインストールできないようにする
セキュリティの目的: Users グループのメンバによるプリンタ ドライバのインストールを許可するかどうかを設定します。このポリシーを有効にすると、ユーザーはローカル コンピュータでプリンタ ドライバをインストールできなくなります。これによって、デバイス ドライバがローカル コンピュータにない場合、ユーザーはプリンタの追加ができなくなります。このポリシーを無効にすると、Users グループのメンバはコンピュータにプリンタ ドライバをインストールできます。既定では、この設定はサーバーでは有効、ワークステーションでは無効になっていて、管理者によるプリンタ ドライバのインストールを義務付けた場合に発生するサポート オーバーヘッドを軽減します。この設定を有効にすると、ワークステーションのセキュリティが若干強化されますが、管理オーバーヘッドは大幅に増加します。セキュリティに関する第 3 の鉄則 "悪意のある攻撃者があなたのコンピュータに対して物理的なアクセスを無制限に行える場合、もはやそれはあなたのコンピュータではない" と比較検討する必要があります。セキュリティの鉄則の詳細については、「セキュリティに関する 10 の鉄則」
(https://www.microsoft.com/japan/technet/archive/community/columns/security/essays/10imlaws.mspx?mfr=true) を参照してください。
推奨事項: この設定は変更しないでください。		            
パスワードが無効になる前にユーザーに変更を促す
セキュリティの目的: Windows 2000 で、パスワードの有効期限が近づいていることを何日前からユーザーに警告するのかを設定します。事前にユーザーに警告することによって、ユーザーは強固なパスワードを構成するだけの時間の余裕が得られます。既定では、この値は 14 日間に設定されています。
推奨事項: なし。既定の設定で十分です。		            
回復コンソール: 自動管理ログオンを許可する
セキュリティの目的: 既定では、回復コンソールによって、システムへのアクセス前に Administrator アカウントのパスワードの入力が要求されます。このオプションを有効にすると、回復コンソールはパスワードの入力を要求せずに、自動的にシステムにログオンします。ポリシー ツールでは "未定義" と表示されることがありますが、既定ではこの設定は無効になっています。
推奨事項: このオプションは無効に設定します。
回復コンソール: すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する
セキュリティの目的: このオプションを有効にすると、回復コンソールの SET コマンドによる、以下の回復コンソール環境変数の設定が可能になります。
AllowWildCards - 一部のコマンド (DEL コマンドなど) でのワイルドカードのサポートを有効にします。
AllowAllPaths - コンピュータ上にあるすべてのファイルおよびフォルダにアクセスできます。
AllowRemovableMedia - フロッピー ディスクなどのリムーバブル メディアにファイルをコピーできるようにします。
NoCopyPrompt - 既存のファイルを上書きする際に確認のメッセージを表示しません。既定では、SET コマンドは無効で、これらの変数はいずれも有効ではありません。ポリシー ツールでは "未定義" と表示されることがあります。
推奨事項: このオプションを有効にして、回復コンソールを使用したシステムの回復機能を拡張します。
Administrator アカウント名の変更
セキュリティの目的: アカウント "Administrator" のセキュリティ識別子 (SID) に関連付けられた名前の変更に使用されます。匿名アクセスが無効にされていない場合は、Administrator アカウント名の設定は些細なことであるため、実質的にはセキュリティを強化するものではありません。ただし、[匿名接続の追加を制限する] の設定が [SAM アカウントと共有の列挙を許可しない] に設定されている場合はセキュリティを若干強化できます。しかし、ユーザー名はパスワードではありません。Administrator アカウントを保護するには、一般的でない名前を使用するよりも、強力なパスワードを使用する必要があります。さらに、プログラムによっては、Administrator アカウントの名前を変更するとエラーが発生する場合もあります。
推奨事項: SAM アカウントの匿名列挙の制限が使用できない場合は、セキュリティ強化を目的として Administrator アカウントの名前を変更する必要はありません。		            
Guest アカウント名の変更
セキュリティの目的: アカウント "Guest" のセキュリティ識別子 (SID) に関連付けられた名前の変更に使用されます。この設定はセキュリティを強化するものではありません。
推奨事項: セキュリティ強化を目的として Guest アカウントの名前を変更する必要はありません。無効になっていることだけを確認してください。		            
CD-ROM へのアクセスを、ローカルログオンユーザーだけに制限する
セキュリティの目的: CD-ROM に、ローカル ユーザーとリモート ユーザーの両方が同時にアクセスできるようにするかどうかを設定します。このポリシーを有効にすると、対話型ログオン ユーザーのみがリムーバブル CD-ROM メディアへのアクセスを許可されます。このポリシーを無効にすると、対話的にログオンしたユーザーがいない場合、ネットワーク上で CD-ROM を共有できます。
推奨事項: この設定は、特にログオンしているユーザーがいる場合しか効果がないため、セキュリティがほとんど強化されません。この設定を有効にしないでください。		            
フロッピーへのアクセスを、ローカルログオンユーザーだけに制限する
セキュリティの目的: フロッピー ディスクに、ローカル ユーザーとリモート ユーザーの両方が同時にアクセスできるようにするかどうかを設定します。このポリシーを有効にすると、対話型ログオン ユーザーのみがリムーバブル メディアのフロッピー ディスクへのアクセスを許可されます。このポリシーを無効にすると、対話的にログオンしたユーザーがいない場合、ネットワーク上でフロッピー ディスクを共有できます。
推奨事項: この設定は、特にログオンしているユーザーがいる場合しか効果がないため、セキュリティがほとんど強化されません。この設定を有効にしないでください。		            
セキュリティで保護されたチャネル: 常にセキュリティチャネルのデータをデジタル的に暗号化または署名する
セキュリティの目的: コンピュータでセキュリティが保護されたチャネルのデータを、常にデジタル的に暗号化するか、署名するかを設定します。セキュリティが保護されたチャネルは、ドメイン コントローラとドメイン メンバ間の通信に使用されます。Windows 2000 システムがドメインに参加すると、コンピュータ アカウントが作成されます。その後、システムが起動すると、そのアカウントのパスワードを使用して、ドメインに使用されるドメイン コントローラでセキュリティが保護されたチャネルが作成されます。セキュリティが保護されたチャネルを介するトラフィック フローの一例にログオン トラフィックがあります。セキュリティで保護されたチャネルで送信される要求は認証され、パスワードなどの重要な情報は暗号化されます。ただし、チャネルの整合性はチェックされず、すべての情報が暗号化されるわけではありません。このポリシーを有効にすると、セキュリティが保護されたチャネルで発信されるトラフィックすべての署名または暗号化が行われます。このポリシーを無効にすると、署名と暗号化についてドメイン コントローラとネゴシエーションが行われます。既定では、このポリシーは無効になっています。
推奨事項: 下位レベル ドメインとの通信を防ぐ必要がある場合を除き、このポリシーは有効にしないでください。		            
セキュリティで保護されたチャネル: 可能な場合、セキュリティチャネルのデータをデジタル的に暗号化または署名する
セキュリティの目的: セキュリティが保護されたチャネルの暗号化について、コンピュータがドメイン コントローラとネゴシエーションするかどうかを設定します。既定では、すべての重要な情報は既に暗号化されています。このポリシーを有効にすると、暗号化がサポートされるドメイン コントローラと通信する際に、セキュリティが保護されたチャネルを介するトラフィックのすべてが暗号化されます。このオプションは既定で有効です。
推奨事項: 既定の設定を変更しないでください。		            
セキュリティで保護されたチャネル: 可能な場合、セキュリティチャネルのデータをデジタル的に署名する
セキュリティの目的: コンピュータがセキュリティで保護されたチャネルのデータの整合性に対する署名についてネゴシエーションするかどうかを設定します。セキュリティで保護されたチャネルで送信される要求は認証され、パスワードなどの重要な情報は暗号化されます。ただし、チャネルの整合性はチェックされず、すべての情報が暗号化されるわけではありません。このポリシーを有効にすると、署名をサポートするドメイン コントローラとの通信の際に、セキュリティが保護されたチャネルのトラフィックがデジタル署名されます。このオプションは既定で有効です。
推奨事項: 既定の設定を変更しないでください。		            
セキュリティで保護されたチャネル: 強力な (Windows 2000 かそれ以降のバージョン) セッションキーを必要とする
セキュリティの目的: このポリシーを有効にすると、セキュリティが保護されたチャネルの発信トラフィックすべてに強力な (Windows 2000 以降) 暗号化キーが必要になります。この設定を無効にすると、キーの強度について DC とネゴシエーションが行われます。このオプションは、信頼されるドメインのすべての DC が強力なキーをサポートしている場合にのみ有効にしてください。既定では、この値は無効になっています。
推奨事項: 正規の DC すべてが Windows 2000 以降を実行している場合は、このポリシーを有効にします。これ以外の場合は無効にしておいてください。		    
サードパーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する
セキュリティの目的: このポリシーを有効にすると、Server Message Block (SMB) のリダイレクタから、認証時にパスワード暗号化機能をサポートしないマイクロソフト以外の SMB サーバーにクリアテキストのパスワードを送信できます。既定では、このオプションは無効になっています。
推奨事項: 無効に設定して、個別のマシンで行われた変更を確実に上書きします。
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする
セキュリティの目的: セキュリティ イベントのログを記録できない場合にシステムをシャットダウンするかを決定します。このポリシーを有効にすると、セキュリティ監査のログが何らかの理由で記録されない場合にシステムが停止されます。一般に、イベントの記録ができなくなるのは、セキュリティ監査ログがいっぱいになった場合や、セキュリティ ログに指定されている保存方法が [イベントを上書きしない] か [指定した日数を過ぎたら上書きする] の場合です。セキュリティ ログがいっぱいになり、既存のエントリを上書きできない場合に、このセキュリティ オプションが有効になっていると、ブルー スクリーンに変わり、次のエラーが表示されます。
"STOP:C0000244 {監査の失敗}
セキュリティ監査の生成に失敗しました。" このエラーから回復するには、管理者がログオンしてログを保存し (必要な場合)、ログをクリアしてから必要に応じてこのオプションをリセットします。既定では、このポリシーは無効になっています。このポリシーを有効にすると、攻撃者は大量のイベント ログ入力を生成するだけでサービス拒否 (DoS) 攻撃を実行できるようになります。
推奨事項: このポリシーは有効にしないでください。適切なログ管理方針によって、攻撃者によるサービス拒否攻撃の条件を整えることなくイベントの喪失を防いでください。		            
スマートカード取り出し時の動作
セキュリティの目的: ログオン ユーザーのスマート カードがスマート カード リーダーから取り出されたときの動作を設定します。選択できる動作は次のとおりです。
[何もしない]
[ワークステーションをロックする]
[ログオフを強制する]
既定では [何もしない] が指定されています。[ワークステーションをロックする] が指定されている場合は、スマート カードが取り出されるとワークステーションがロックされ、ユーザーがコンピュータから離れる際に各自のスマート カードを携帯し、保護されたセッションを保持できます。[ログオフを強制する] が指定されている場合、スマート カードを取り出すとユーザーは自動的にログオフします。
推奨事項: スマート カードを取り出すと、ワークステーションがロックされるように構成します。注: スマート カードを使用したログオンは、ドメイン環境でのみサポートされます。このため、スタンドアロン システムには効果がありません。		    
グローバルシステムオブジェクトの既定のアクセス許可を強化する (例: シンボリックリンク)
セキュリティの目的: システム オブジェクトの既定の随意アクセス制御リスト (DACL) の強度を設定します。Windows 2000 では、DOS デバイス名、ミューテックス、およびセマフォなどの、共有しているシステム リソースのグローバル一覧が管理されます。オブジェクトは、位置の確認とプロセス間での共有が可能です。各オブジェクト タイプは既定の DACL を利用して作成されます。DACL は、オブジェクトにアクセスできるユーザーおよび付与されるアクセス許可を指定します。このポリシーを有効にすると、既定の DACL が強化されます。管理者以外のユーザーに共有オブジェクトの読み取り許可を与えますが、ユーザー自身が作成した共有オブジェクト以外を変更する許可は与えません。既定では、Windows 2000 Professional および Server のローカルでこのオプションが有効になっていますが、ドメイン セキュリティ ポリシーでは定義されていません。
推奨事項: この設定が有効になっていることを確認します。
署名されていないドライバのインストール時の動作
セキュリティの目的: ドライバの発行元の署名がないデバイス ドライバを Windows 2000 デバイス インストーラを使用してインストールしようとしたときの動作を設定します。選択できる動作は次のとおりです。
[警告なしで許可する]
[警告するがインストールは許可する]
[インストールを許可しない]
既定では [警告するがインストールは許可する] が設定されています。
推奨事項: 既定の設定で十分です。		            
署名されていないドライバ以外のインストール時の動作
セキュリティの目的: 署名がないデバイス ドライバ以外のソフトウェアをインストールしようとしたときの動作を設定します。
選択できる動作は次のとおりです。
[警告なしで許可する]
[警告するがインストールは許可する]
[インストールを許可しない]
既定では [警告なしで許可する] が設定されています。
推奨事項: 現状では、デジタル署名があるソフトウェアは非常に少数です。このため、この設定は事実上、効力がありません。既定値のままでかまいません。		            
[](#mainsection)[ページのトップへ](#mainsection) ### 追加のセキュリティ設定 ここで説明する追加のセキュリティ設定は、既定のセキュリティ ポリシー GUI では利用できません。これらの設定を構成するには、レジストリ エディタを使用するか、このガイドに付属のカスタマイズされた sceregvl.inf テンプレートをインストールします。カスタムの sceregvl.inf テンプレートは、これらの設定を既定のセキュリティ ポリシーに追加します。 レジストリを編集する方法は、レジストリ エディタのヘルプ ツールからも参照できます。たとえば、レジストリにキーを追加する方法を参照するには、次の手順を実行します。 - **レジストリにキーを追加する方法を参照するには** 1. \[スタート\] ボタンをクリックし、\[ファイル名を指定して実行\] をクリックします。 2. \[ファイル名を指定して実行\] ダイアログ ボックスのテキスト ボックスに「regedt32」と入力し、\[OK\] をクリックして、レジストリ エディタ (Regedt32.exe) を開きます。 3. エディタの \[ヘルプ\] メニューの \[目次\] をクリックします。 4. レジストリ エディタのヘルプ ツールの右側のウィンドウ領域で、\[レジストリの情報を追加または削除する\] ハイパーリンクをクリックします。 5. このウィンドウ領域が変更されて、レジストリ情報の追加と削除に関するヘルプ トピックが一覧表示されます。\[レジストリにキーを追加する\] ハイパーリンクをクリックして、詳細な方法を参照します。 **注:** レジストリ設定を変更する場合は、regedit.exe (Windows 95 のレジストリ エディタ) ではなく regedt32.exe (Windows NT のレジストリ エディタ) を使用することを強くお勧めします。Windows 2000 にはどちらのエディタも付属していますが、一般には regedit.exe の方が使いやすいと感じられるようです。ただし、regedit.exe ではすべてのレジストリ データ型がサポートされず、認識されないデータ型は変換されます。これらが変換されると、一部の値が正しく読み取られなくなり、起動不可能になるなどの重大な問題を招くおそれがあります。"手動でのレジストリの編集は、あくまでもユーザー自身の責任で行ってください"。レジストリを変更する場合は、必ず事前にレジストリをバックアップし、問題が発生した場合のレジストリの復元方法を確認しておきます。レジストリのバックアップ、復元、および編集については、マイクロソフト サポート技術情報の 256986「Microsoft Windows レジストリの説明」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### その他のレジストリ設定 ここで説明するレジストリ設定を使用して、オペレーティング システムのセキュリティ状態をさらに強化することができます。「Service Pack 3 のレジストリ エントリ」のセクションで示す設定を除いて、これらの設定は Windows 2000 のすべてのバージョンで利用できます。 [](#mainsection)[ページのトップへ](#mainsection) ### OS/2 および POSIX サブシステムを削除する OS/2 および POSIX サブシステムは、POSIX および OS/2 アプリケーションとの互換性を保つために組み込まれています。この種類のアプリケーションを Windows 2000 で実行する必要が生じることはまれであり、ほとんどの場合、この 2 つのサブシステムは問題なく削除できます。ただし、これらのサブシステムを手動で削除する前に、必ずこのレジストリ キーのバックアップを作成してください (または設定を元に戻すことのできるテンプレートを使用します)。Windows 2000 から OS/2 および POSIX のサポートを削除するには、下の表に示すレジストリを編集し、値を削除します。 **表** **5: OS/2** **および** **POSIX** **のサポートを削除するレジストリキー**

キーのパス: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager データ型
キー: SubSystems
値名: Optional		 REG_MULTI_SZ すべてのエントリを削除
**注:** この変更を手動で行う場合は、regedt32.exe を使用することが "きわめて" 重要です。regedit.exe は REG\_MULTI\_SZ の値を処理しません。regedit.exe を使って Optional 値からすべてのエントリを削除すると、システムが起動しなくなります。詳細については、前のページの注を参照してください。グループ ポリシーを使用すれば、この変更は正しく行われます。 **注:** Dell 社のコンピュータには、OS/2 用に作成された抽出ツールと共にいくつかの更新ファイルが付属していました。これらの更新ファイルは、OS/2 サブシステムが削除されると機能しなくなります。 **注:** マイクロソフトの Services for UNIX 製品には、Posix サブシステムが必要です。Services for UNIX を実行する必要があるマシンでは、このサブシステムを削除しないでください。 [](#mainsection)[ページのトップへ](#mainsection) ### NULL セッション アクセスを制限する NULL セッションは、認証されていない従来の各種通信に使用されます。このセッションは、コンピュータ上のさまざまな共有を通して利用されます。コンピュータへの NULL セッション アクセスを防止するには、RestrictNullSessAccess という値をレジストリに追加します。この値を 1 に設定すると、NullSessionPipes エントリおよび NullSessionShares エントリに列挙されているものを除くすべてのサーバー パイプおよび共有への NULL セッション アクセスが制限されます。 **表** **6: NULL** **セッションを防止するレジストリキー**

キーのパス: HKLM\SYSTEM\ CurrentControlSet\Services\LanmanServer データ型
キー: Parameters
値名: RestrictNullSessAccess		 REG_DWORD 1
[](#mainsection)[ページのトップへ](#mainsection) ### 名前付きパイプおよび共有経由の NULL セッション アクセスを制限する このようなアクセスを制限することで、ネットワーク経由の認証されていないアクセスを防止できます。名前付きパイプおよび共有ディレクトリを経由する NULL セッション アクセスを制限するには、下の表に示すレジストリを編集し、値を削除します。 **表** **7:** **名前付きパイプおよび共有経由の** **NULL** **セッションを防止するレジストリキー**

キーのパス: HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer データ型
キー: Parameters
値名: NullSessionPipes、NullSessionShares		 REG_MULTI_SZ すべての値を削除
**注:** 一部のサービスは、NULL セッション アクセスを使用する必要があります。たとえば、Microsoft Commercial Internet System 1.0 では、POP3 サービスを機能させるために、使用する SQL Server コンピュータ上に SQL\\query パイプが必要です。 [](#mainsection)[ページのトップへ](#mainsection) ### ネットワーク ブラウズ リストでコンピュータを非表示にする Windows ドメインおよびワークグループでは、1 台のコンピュータがネットワーク上のリソースの一覧を保持しています。ブラウズ リストと呼ばれるこの一覧には、ネットワークで利用可能な共有やプリンタなどが列挙されています。SMB プロトコルがインストールされているコンピュータは、提供するリソースがあるかどうかに関係なく、既定で、マスタ ブラウザが保持するこのリソース一覧に自らを通知します。これにより、多くの場合において不必要なネットワーク オーバーヘッドが生じると同時に、ファイアウォール内部の潜在的な攻撃者が利用可能なネットワーク リソースの一覧を簡単に生成できるようになります。このため、提供するリソースを持たないコンピュータからのブラウザ アナウンスをオフにすることが望まれます。その 1 つの方法が、Computer Browser サービスをオフにすることです。ただし、これを行うとクライアント コンピュータもブラウズ リストのコピーを取得できなくなり、エンドユーザーが正当なネットワーク リソースを見つけ出すことがきわめて困難になります。より適切な解決策は、ブラウズ リストでコンピュータを非表示にすることです。この方法は、特にワークステーションとラップトップに限定して実行する必要があります。したがって、このガイド付属の 2 つのワークステーション テンプレートおよび 1 つのラップトップ テンプレートによって、この設定がオフになります。 **表** **8:** **ネットワークブラウズリストでコンピュータを非表示にするレジストリキー**

キーのパス: HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer データ型
キー: Parameters
値名: hidden		 REG_DWORD 1
**注:** この方法では、攻撃者がネットワーク上のリソースの一覧を生成することを防止できません。このような一覧は、特に SAM アカウントと共有を匿名で列挙する機能がオフになっていない場合に、別の手段を使って生成できます。ただし、その場合は一覧の生成にかなりの時間がかかるようになります。 [](#mainsection)[ページのトップへ](#mainsection) ### Service Pack 3 のレジストリ エントリ Service Pack 3 では、いくつかの新しいレジストリ エントリが導入され、これを構成してオペレーティング システムが提供するセキュリティを強化できるようになりました。 [](#mainsection)[ページのトップへ](#mainsection) ### 既定の IPSec 適用除外を解除する 設計上、ある種類のトラフィックは IPSec によるセキュリティ保護の対象から除外されます。これは、IPSec ポリシーですべての IP トラフィックを保護するように指定されている場合も同様です。IPSec が適用されないのは、ブロードキャスト、マルチキャスト、RSVP、IKE、および Kerberos トラフィックです。この適用除外の詳細については、マイクロソフト サポート技術情報の 254949「ドメイン コントローラの IPSec サポート」を参照してください。この適用除外を攻撃者が利用して、IPSec の規制を逃れる可能性があります。このため、適用除外は可能な限り解除することが重要です。IPSec を使用しないシステムでは、この設定の効果はありません。 **表** **9: IPSec** **適用除外を解除するレジストリキー**

キーのパス: HKLM\SYSTEM\CurrentControlSet\Services データ型
キー: IPSEC
値名: NoDefaultExempt		 REG_DWORD 1
このスイッチの詳細については、マイクロソフト サポート技術情報の 811832「一部の状況で、IPSec のデフォルトの適用除外項目を使用して IPsec による保護を迂回することが可能になる」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### DLL の検索順序を変更する Windows プラットフォーム上のほとんどのプログラムは、機能を再実装する手間を省くために各種のダイナミック リンク ライブラリ (DLL) を利用しています。オペレーティング システムはプログラムごとにそのプログラムの種類に応じて複数の DLL を読み込みます。プログラムで DLL の絶対位置が指定されていない場合は、既定の検索順序で DLL が検索されます。オペレーティング システムが既定で使用する検索順序は次のとおりです。 1. メモリ 2. 既知の DLL 3. マニフェストと .local 4. アプリケーション ディレクトリ 5. 現在の作業ディレクトリ 6. システム ディレクトリ (%systemroot%、%systemroot%\\system、および %systemroot%\\system32) 7. パス変数 現在の作業ディレクトリがシステム ディレクトリよりも先に検索されるという事実を、ファイル システムにアクセスできる第三者が利用して、ユーザーが起動したプログラムで偽装 DLL が読み込まれるようにする可能性があります。ユーザーがドキュメントをダブルクリックしてプログラムを起動すると、実際にはそのドキュメントの場所が現在の作業ディレクトリとなります。そのディレクトリに、その場所にあるシステム DLL と同じ名前の DLL があると、システム DLL の代わりにその DLL が読み込まれます。これは、実際に Nimda ウイルスで使用された攻撃方法です。 この攻撃を防ぐために Service Pack 3 で新たに作成された設定では、現在の作業ディレクトリの検索順序がシステム ディレクトリの後に変更されます。ただし、アプリケーションの互換性で問題が生じないように、既定ではこのスイッチがオンになっていません。これをオンにするには、次のレジストリ値を設定します。 **表** **10: DLL** **の検索順序を変更するレジストリキー**

キーのパス: HKLM\SYSTEM\CurrentControlSet\Control データ型
キー: Session Manager
値名: SafeDllSearchMode		 REG_DWORD 1
[](#mainsection)[ページのトップへ](#mainsection) ### アプリケーションが生成した入力によってセッション ロックが妨害されないようにする Service Pack 3 は、アプリケーションが生成したキーボードまたはマウス入力メッセージによるセッション ロックの妨害を回避するために使用できるレジストリ値を導入しています。既定では、アプリケーションは擬似入力を生成してスクリーン セーバー タイムアウトが増分するのを防ぎ、スクリーン セーバーの起動を回避しています。値の名前は BlockSendInputResets です。この値は、多くのポリシー設定と同様、Software\\Policies ツリーの下にあります。 HKCU\\Software\\Policies\\Microsoft\\Windows\\Control Panel\\Desktop ポリシーはユーザーが適用した設定よりも優先します。値は、関連する他のキーとの整合性をとるために REG\_SZ となり、任意の非ゼロ値でブール値として解釈されます。これは、値が設定され機能が有効であることを意味します。ゼロ値または値が欠落している場合は、現在の機能が維持されます。 この値が設定されている場合、実際のマウスまたはキーボード入力でのみスクリーン セーバーのタイマがリセットされます。現在、"挿入された" 入力が時間をリセットするケースが 3 つあります。 SendInput によって挿入された入力 ? これは、アプリケーションが意図的に擬似入力を試行する場合で、ブロックされます。 ウィンドウの起動 ? 新しいウィンドウがアクティブになるとカウンタがリセットされます。スクリーン セーバーが既に起動している場合を除きブロックされます。 SPI\_SETSCREENSAVETIMEOUT、SPI\_SETSCREENSAVEACTIVE、SPI\_SETLOWPOWERTIMEOUT、SPI\_SETLOWPOWERACTIVE、SPI\_SETPOWEROFFTIMEOUT、SPI\_SETPOWEROFFACTIVE を設定する SystemParametersInfo の呼び出し ? BlockSendInputResets が設定されると、これらの結果、タイマはリセットされなくなります。これらの値を設定するユーザーでは、マウスの使用やキー入力による "実際の" 入力を行う結果になるため、ユーザーの操作性に影響が出ることはありません。 この機能を有効にするには、下の表に示すレジストリ値を編集する必要があります。パスの作成が必要な場合があります。 **表** **11:** **アプリケーションが生成した入力によるセッションロックの妨害を防ぐレジストリキー**

キーのパス: (ポリシー)HKCU\Software\Policies\Microsoft\Windows\Control Panel データ型
キー: Desktop
値名: BlockSendInputResets		 REG_SZ 1
**注:** この機能を有効に利用するために、この値と連動してスクリーン セーバーを適切に設定する必要があることに注意してください。スクリーン セーバーの必要な設定を次に示します。 - 選択されたスクリーン セーバー - パスワード保護 - スクリーン セーバー タイムアウト期間 スクリーン セーバーの構成が正しく行われないと、この機能はマシン全体のセキュリティに対して本質的に効果がありません。パスワードで保護されたスクリーン セーバーの設定については、このモジュールの「自動スクリーン ロック保護機能を有効にする」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### 監査ログがパーセントのしきい値に達したときに監査イベントを生成する Service Pack 3 には、セキュリティ ログが構成可能なしきい値に達したときにセキュリティ監査をセキュリティ イベント ログに生成する機能があります。この機能を有効にするには、下の表に示す値を作成する必要があります。値のデータは、セキュリティ ログにイベントが記録されるパーセント値を指定します。下の表の値は推奨値であり、ローカルの要件に基づいて適切な値に構成可能です。たとえば、表に示す設定では、セキュリティ ログ サイズがパーセント (90) に達すると、セキュリティ ログに eventID 523 の 1 つのイベント エントリが "セキュリティ イベント ログは 90 パーセント使用されています。" というテキストで示されます。IDS を構成して、このイベントをオフにし、長いダンプおよびリセットを実行できます。 **表** **12:** **監査ログがパーセントのしきい値に達したときに監査イベントを生成するレジストリキー**

キーのパス: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog データ型
キー: Security
値名: WarningLevel		 REG_DWORD 90
**注:** この設定は、ログが \[必要に応じてイベントを上書きする\] に設定されている場合は動作しません。 [](#mainsection)[ページのトップへ](#mainsection) ### サービス拒否攻撃に対して TCP/IP スタックを強化する サービス拒否攻撃は、コンピュータやコンピュータ上の特定のサービスをネットワーク ユーザーに対して機能不全に陥らせることを目的とするネットワーク攻撃です。次の TCP/IP 関連のレジストリ値は、サービス拒否ネットワーク攻撃に対し、Windows 2000 で Windows 2000 TCP/IP スタックの抵抗力を高めます。下の表 13 に示された値は、一部の値で固有のレジストリ キーを追加する必要がありますが、すべてのシステムで設定できます。追加情報はマイクロソフト サポート技術情報の 315669「\[HOW TO\] Windows 2000 でサービス拒否攻撃に対する TCP/IP スタックを強化する方法」にあります。 **表** **13:** **サービス拒否攻撃に対し** **TCP/IP** **スタックを強化するレジストリキー**

キーのパス: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip データ型
キー: Parameters
値名: DisableIPSourceRouting		 REG_DWORD 2
キー: Parameters
値名: EnableDeadGWDetect		 REG_DWORD 0
キー: Parameters
値名: EnableICMPRedirect		 REG_DWORD 0
キー: Parameters
値名: EnableSecurityFilters		 REG_DWORD 1
キー: Parameters
値名: KeepAliveTime		 REG_DWORD 300,000
キー: Parameters
値名: PerformRouterDiscovery		 REG_DWORD 0
キー: Parameters
値名: SynAttackProtect		 REG_DWORD 2
キー: Parameters
値名: TcpMaxConnectResponseRetransmissions		 REG_DWORD 2
キー: Parameters
値名: TcpMaxConnectRetransmissions		 REG_DWORD 3
キー: Parameters
値名: TcpMaxDataRetransmissions		 REG_DWORD 3
キー: Parameters
値名: TCPMaxPortsExhausted		 REG_DWORD 5
**表** **14** **および** **15:** **ファイルサーバーやドメインコントローラなど、SMB** **トラフィックを処理する重要なサーバーをさらに強化するレジストリキー**

キーのパス: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip データ型
キー: Parameters
値名: EnablePMTUDiscovery		 REG_DWORD 0

キーのパス: HKLM\SYSTEM\CurrentControlSet\Services\NetBT データ型
キー: Parameters
値名: NoNameReleaseOnDemand		 REG_DWORD 1
これらの値はクライアントでは設定できません。EnablePMTUDiscovery は最大転送ユニットの検出を無効にし、非常に小さい MTU を設定する攻撃によってスタックの処理が過度になるのを回避します。クライアント システムでは、既定の設定 (1) のままにしておくことでパフォーマンスが向上します。NoNameReleaseOnDemand 設定は、SMB 名を解放する名前解放要求を拒否するようにシステムを構成します。この設定では、名前解放要求をサーバーに送信する攻撃によって適正なクライアントによるサーバーへのアクセスが不能になるのを防ぎます。クライアントでこの設定を行うと、そのクライアントが重要なサーバーと同名で間違って構成されたときに、サーバーが名前を回復できなくなり、適正な要求が不正なサーバーに送られる可能性があり、サービス拒否条件の原因になります。 [](#mainsection)[ページのトップへ](#mainsection) ### タイム サービス認証を確認する 下の表に示すキーの type の値が NT5DS に設定されていることを確認します。これによって、認証されたタイム サービスでシステムが動作していることが確保されます。 **表** **16:** **認証されたタイムサービスでシステムが動作していることを確保するレジストリキー**

キーのパス: HKLM\SYSTEM\CurrentControlSet\Services\W32Time データ型
キー: Parameters
値名: type		 REG_SZ Nt5DS
**注:** セキュリティ構成エディタ インターフェイスの制限のため、この設定はユーザー インターフェイスに表示されませんが、ベースライン テンプレートに設定されているため構成は行われます。 [](#mainsection)[ページのトップへ](#mainsection) ### LM ハッシュ作成を無効にする Windows 2000 ベースのサーバーでは、以前の全バージョンの Windows を実行するコンピュータを認証できます。ただし、以前のバージョンの Windows は認証に Kerberos を使用せず、Windows 2000 は LAN Manager (LM)、Windows NT (NTLM)、および NTLM Version 2 (NTLMv2) をサポートします。NTLM、NTLMv2、および Kerberos はいずれも Unicode ハッシュ (NT Hash としても知られる) を使用するのに対し、LM 認証プロトコルは LM ハッシュを使用します。LM ハッシュは NT ハッシュに比べて比較的脆弱であり、ブルート フォース攻撃が広がりやすい傾向があります。また、LM ハッシュは、複雑なパスワードの使用によってハッシュに追加された多くのエントロピーを削除します。このため、下位互換性のために必要でない場合、LM ハッシュの格納を回避する必要があります。Windows 95 より新しいクライアントのみの環境では、LM ハッシュは必要ありません。ただし、LM ハッシュを使用しないユーザーは、サーバーとして動作する Win9x コンピュータに接続できません。 Windows 2000 Service Pack 2 以降では、LM ハッシュの格納を無効にするレジストリ設定が提供されます。詳細については、マイクロソフト サポート技術情報の 299656「New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager」(英語) を参照してください。 **表** **17: LM** **ハッシュ作成を無効にするレジストリキー**

キーのパス: HKLM\SYSTEM\CurrentControlSet\Control\LSA データ型
キー: NoLMHash N/A N/A
Windows 2000 の場合、この設定は NoLMHash というキーです。ただし、Windows XP または Windows Server 2003 でこのキーを作成しても効果はありません。これらのオペレーティング システムでの設定は、NoLMHash という DWORD 値です。これらのすべてのオペレーティング システムで使用するカスタム ポリシー テンプレートを作成している場合、キーと値の両方を作成できます。値は同じ場所に作成し、値 1 が LM ハッシュの作成を無効にします。Windows 2000 システムから Windows Server 2003 へのアップグレード時にキーのアップグレードが行われますが、レジストリのどちらの設定にも影響はありません。 **注:** ベースライン テンプレートでこのポリシーが構成されます。Windows 2000 システムに接続する必要がある Windows 3.1 またはオリジナル リリースの Windows 95 を実行するクライアントがある場合は、Windows 2000 システムでこの設定を行うべきではありません。 [](#mainsection)[ページのトップへ](#mainsection) ### 自動実行を無効にする 自動実行によって、メディアがドライブに挿入されるとドライブからの読み取りが開始します。この結果、プログラムのセットアップ ファイルとオーディオ メディアの音声がすぐに開始します。メディアを挿入した際に悪意のある可能性のあるプログラムが開始するのを防ぐため、次のレジストリ キーを作成してすべてのドライブで自動実行を無効にします。 **表** **18:** **自動実行を無効にするレジストリキー**

キーのパス: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies データ型
キー: Explorer
値名: NoDriveTypeAutoRun		 REG_DWORD 255
自動実行はユーザーが期待する使いやすさのための設定です。この変更は、管理者がログオンするサーバーおよびワークステーションのみで行います。 [](#mainsection)[ページのトップへ](#mainsection) ### LDAP BIND コマンド要求の設定 この値は、次に示す LDAP サーバー (ldapagnt.lib) による LDAP bind コマンド要求の処理を決定するために使用されます。 - 1 (既定) または未定義: AD の LDAP エージェントは、SASL 認証メカニズムを指定する LDAP bind コマンド要求を処理する際、LDAP トラフィック署名の LDAP クライアント要求を常にサポートします。 - 2: AD の LDAP エージェントは、着信要求が TLS/SSL で既に保護されている場合を除き、LDAP bind コマンド要求で SASL のみをサポートします。他の認証タイプが使用されている場合、LDAP bind コマンド要求は拒否されます。LDAP bind コマンド要求が TLS/SSL を通じて行われない場合、クライアント セキュリティ コンテキストで LDAP トラフィック署名オプションが要求されます。 この値を設定するには、下の表に示すようにレジストリ キーを編集し、値 LdapServerIntegrity を作成して値を 2 にします。 **表** **19: LDAP BIND** **コマンド要求の設定のレジストリキー**

キーのパス: HKLM\System\CurrentControlSet\Services\NTDS データ型
キー: Parameters
値名: LdapServerIntegrity		 REG_DWORD 2
この設定はクライアント システムに影響しません。 [](#mainsection)[ページのトップへ](#mainsection) ### 監査ログがいっぱいになったときに管理警告を生成する Windows 2000 ベースのコンピュータの Alerter サービス受信者を追加するには、Regedt32.exe を使用して、下の表に示すようにレジストリを編集します。値のエントリは、管理警告を受信する各受信者の名前 (ユーザー名またはコンピュータ名) です。各受信者は \[データ\] ダイアログ ボックスで各行に表示されます。 **注:** 管理警告は Alerter および Messenger サービスの両方に依存します。発信側のコンピュータで Alerter サービスが実行していること、および受信側のコンピュータで Messenger サービスが実行していることを確認します。 **表** **20:** **管理警告の受信者を構成するレジストリキー**

キーのパス: HKLM\SYSTEM\CurrentControlSet\Services\Alerter データ型
キー: Parameters
値名: AlertNames		 REG_MULTI_SZ 上記を参照
[](#mainsection)[ページのトップへ](#mainsection) ### フォルダの Web 表示をオフにする Web 表示フォルダ (Windows XP の \[よく使う機能\]) では、背景の画像やその他のアクティブ コンテンツを使用してフォルダをカスタマイズできます。また、フォルダで選択されたコンテンツの解析も可能です。ウイルスに感染した Web ページまたは Word 文書など、不正なコードがコンテンツに含まれる場合、文書が選択されると同時に不正なコードが起動します。このため、最低でも管理ワークステーションでは Web 表示をオフにする必要があります。GUI でこの設定を行うことができます。\[フォルダ オプション\] ダイアログ ボックスの \[従来の Windows フォルダを使う\] を選択します。また、次のレジストリ値を構成して、レジストリで設定することもできます。 **表** **21:** **フォルダの** **Web** **表示をオフにするレジストリキー**

キーのパス: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced データ型
キー: Advanced
値名: WebView		 REG_DWORD 1
[](#mainsection)[ページのトップへ](#mainsection) ### NTLM SSP を強化する NTLM Security Support Provider (SSP) を使用するプログラム (RPC を介して通信するプログラムを含む) は、このモジュールで前述した LMCompatibilityLevel 設定に直接影響されません。NTLM SSP は動作を制御する固有のセキュリティ設定を使用します。NtlmMinClientSec および NtlmMinServerSec という値をそれぞれ作成することで、クライアントおよびサーバーとして機能する場合のシステムの動作を制御することが可能です。 設定はビットマスクで、実際のデータは以下の値の論理 OR です。 - **0x00000010** メッセージの整合性 - **0x00000020** メッセージの機密性 - **0x00080000** NTLMv2 セッション セキュリティ - **0x20000000** 128 ビット暗号化 - **0x80000000** 56 ビット暗号化 つまり、メッセージの整合性と機密性、NTLMv2 および 128 ビット暗号化の使用を有効にするには、値 0x20080030 を設定します。この設定は、ネットワークで使用するアプリケーションの機能を維持しながら、可能な限り高く設定する必要があります。 **表** **22: NTLM SSP** **を強化するレジストリキー**

キーのパス: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA データ型
キー: MSV1_0
値名: NtlmMinClientSec および NtlmMinServerSec		 REG_DWORD 0x20080030
**注:** この設定によってアプリケーションが "中止" します。既知の非互換性を次に示します。 - FrontPage 2000 は 0x20080000 と互換性がありません。この設定を使用した場合、FrontPage クライアントは FrontPage Server Extensions Server と通信できなくなります。 - NtlmMinServerSec を構成した場合、ノードがクラスタに結合できなくなります。 クライアントとサーバーの設定が一致することを確保する必要があります。多数のローカル管理ツールは通信に RPC を使用し、クライアントとサーバーの設定が一致しない場合、これらのツールによるローカル接続の確立に失敗することがあります。クライアントの NtlmMinClientSec 設定とサーバーの NtlmMinServerSec 設定が一致しない場合、リモート接続に失敗することがあります。このため、ネットワークの両方の設定で一貫して同じ設定を使用する必要があります。 [](#mainsection)[ページのトップへ](#mainsection) ### 監査ログを管理する ドメイン セキュリティ ポリシーのイベント ログ フォルダや、ドメイン、OU、およびサイト (ドメイン) に関連付けられた特定のグループ ポリシー オブジェクトのイベント ログ フォルダを使用して、ドメイン内のすべてのコンピュータのイベント ログ (セキュリティ ログなど) の管理オプションを構成できます。ローカル セキュリティ ポリシー オブジェクトでは、イベント ログ フォルダは表示されません。それらのシステムでは、イベント ログ スナップインで設定を直接管理します。 ドメイン メンバの場合は、イベント ビューア スナップインを使用してローカル監査のための管理オプションを構成できます。イベント ビューアで、セキュリティ ログなどの特定のログの管理オプションの設定に適した \[プロパティ\] インターフェイスが選択されます。 これらのインターフェイスを使用すると、イベント ログの表示、分類、フィルタ、および検索だけでなく、最大ログ サイズの設定やログの消去もできます。イベント ログ ファイルを正しく表示するには、そのファイルへのアクセス権が必要です。セキュリティ ログの内容を表示するには、Administrators グループのメンバとしてログオンする必要があります。イベント ビューア自体の使用には、特別な権限は必要ありません。 セキュリティは、ACL によってログおよび特定のレジストリ設定に適用されます。 #### イベント ログの設定にアクセスする - **イベントログの現在の設定を表示し、ドメインおよびドメインコントローラのポリシーを編集できるようにするには** 1. \[ドメイン セキュリティ ポリシー\] または \[ドメイン コントローラ セキュリティ ポリシー\] のどちらか適切な方を開きます。 2. \[セキュリティの設定\] を展開します。 3. \[セキュリティの設定\] で、\[イベント ログ\] を展開して \[イベント ログの設定\] を表示します。 4. \[イベント ログの設定\] をクリックします。右側の詳細ウィンドウに、構成可能な監査ログ管理設定が表示されます。 5. 表 23 の推奨事項に従って監査ポリシーを設定します。 ![](images/Dd362907.secmod220_07(ja-jp,TechNet.10).jpg) **図 6: イベント ログのポリシーの設定** - **イベントログの現在の設定を表示し、スタンドアロンのワークステーションおよびサーバーを編集できるようにするには** 1. \[イベント ビューア\] を開きます。\[スタート\] ボタンをクリックし、\[プログラム\] をポイントします。次に、\[管理ツール\] をポイントし、\[イベント ビューア\] をクリックします。 2. \[セキュリティ ログ\] を右クリックし、\[プロパティ\] をクリックします。\[セキュリティ ログのプロパティ\] ウィンドウに、構成可能な監査ログ管理設定が表示されます。 ![](images/Dd362907.secmod220_08(ja-jp,TechNet.10).jpg) **図 7: \[セキュリティ ログのプロパティ\]** 3. 表 23 の推奨事項に従って監査ポリシーを設定します。 **表** **23:** **監査管理の設定**

監査の管理および構成 ドメイン WKS ドメイン ラップトップ DC ドメイン サーバー スタンドアロン WKS スタンドアロン サーバー
[アプリケーション ログの最大サイズ] の設定
セキュリティの目的: アプリケーション イベント ログの最大サイズを指定します。既定値は 512 KB で、最大サイズは 4 GB (4,194,240 KB) です。必要なアプリケーション ログ サイズは、プラットフォームの機能およびアプリケーション関連イベントの履歴レコードの要件に応じて異なります。
推奨事項: ほとんどのシステムでは既定の設定で十分です。		            
[セキュリティ ログの最大サイズ] の設定
セキュリティの目的: セキュリティ イベント ログの最大サイズを指定します。既定値は 512 KB で、最大サイズは 4 GB です。
推奨事項: DC およびサーバーでは 20 MB 以上に構成します。他のシステムのログ サイズは、ログを確認する頻度やディスクの空き容量などに基づいて適切なサイズに構成します。テンプレートは他のすべてのシステムのログ サイズを 5 MB に構成します。
[システム ログの最大サイズ] の設定
セキュリティの目的: システム イベント ログの最大サイズを指定します。既定値は 512 KB で、最大サイズは 4 GB です。
推奨事項: ほとんどの環境では、既定の設定で十分です。		            
[アプリケーション ログのゲスト アクセスの制限]
セキュリティの目的: アプリケーション イベント ログへの匿名のアクセスを許可しません。このポリシーを有効にすると、ゲストはアプリケーション イベント ログにアクセスできません。既定では、すべての Windows 2000 オペレーティング システム上で、このポリシーがローカルで無効になっています。
推奨事項: すべてのシステムで、このポリシーを有効に設定します。注: 既定では、すべてのシステムでゲスト アクセスが禁止されています。したがって、この設定は、既定のシステムでは実際に影響を及ぼしません。ただし、この設定は綿密な防御策であり、副作用はほとんどありません。
[セキュリティ ログのゲスト アクセスの制限]
セキュリティの目的: セキュリティ イベント ログへの匿名のアクセスを許可しません。このポリシーを有効にすると、ゲストはセキュリティ イベント ログにアクセスできません。既定では、すべての Windows 2000 オペレーティング システム上で、このポリシーがローカルで無効になっています。セキュリティ ログにアクセスするには、"監査とセキュリティ ログの管理" のユーザー権限が必要です。Guest にはこの権限が与えられないため、この設定は綿密な防御策にすぎません。
推奨事項: すべてのシステムで、このポリシーを有効に設定します。
[システム ログのゲスト アクセスの制限]
セキュリティの目的: システム イベント ログへの匿名のアクセスを許可しません。このポリシーを有効にすると、ゲストはシステム イベント ログにアクセスできません。既定では、すべての Windows 2000 オペレーティング システム上で、このポリシーがローカルで無効になっています。
推奨事項: すべてのシステムで、このポリシーを有効に設定します。
[アプリケーション ログの保存日数]
セキュリティの目的: ドメイン ポリシーでアプリケーション ログの保存方法が [指定した日数を過ぎたら上書きする] に設定されているか、スタンドアロンのワークステーションまたはサーバーの [アプリケーション ログのプロパティ] ウィンドウで [指定した日数を過ぎたら上書きする] が選択されている場合は、アプリケーション ログのイベントの保存日数を指定します。この値は、ログを保存する間隔が指定されている場合にのみ設定します。また、アプリケーション ログの最大サイズがその間隔に対応できる十分な大きさであることを確認してください。
推奨事項: 既定の設定 "未定義" を変更しないでください。		            
[セキュリティ ログの保存日数]
セキュリティの目的: ドメイン ポリシーでセキュリティ ログの保存方法が [指定した日数を過ぎたら上書きする] に設定されているか、スタンドアロンのワークステーションまたはサーバーの [アプリケーション ログのプロパティ] ウィンドウで [指定した日数を過ぎたら上書きする] が選択されている場合は、セキュリティ ログのイベントの保存日数を指定します。この値は、ログを保存する間隔が指定されている場合にのみ設定します。また、セキュリティ ログの最大サイズがその間隔に対応できる十分な大きさであることを確認してください。
推奨事項: 既定の設定 "未定義" を変更しないでください。		            
[システム ログの保存日数]
セキュリティの目的: ドメイン ポリシーでシステム ログの保存方法が [指定した日数を過ぎたら上書きする] に設定されているか、スタンドアロンのワークステーションまたはサーバーの [アプリケーション ログのプロパティ] ウィンドウで [指定した日数を過ぎたら上書きする] が選択されている場合は、システム ログのイベントの保存日数を指定します。この値は、ログを保存する間隔が指定されている場合にのみ設定します。また、システム ログの最大サイズがその間隔に対応できる十分な大きさであることを確認してください。
推奨事項: 既定の設定 "未定義" を変更しないでください。		            
[アプリケーション ログの保存方法]
セキュリティの目的: アプリケーション ログが最大サイズに達したとき、オペレーティング システムでどのように処理するかを指定します。
推奨事項: 最新のイベントを記録するには、このポリシーを [必要に応じてイベントを上書きする] に設定します。注: ミーティングやトラブルシューティングの目的でイベントの履歴が必要になる場合は、定期的にログを保存してください。必要に応じてイベントを上書きすると、ログには常に最新のイベントが記録されますが、これにより履歴データが失われる可能性があります。
[セキュリティ ログの保存方法]
セキュリティの目的: セキュリティ ログが最大サイズに達したとき、オペレーティング システムでどのように処理するかを指定します。
推奨事項: 最新のイベントを記録するには、このポリシーを [必要に応じてイベントを上書きする] に設定します。注: ミーティングやトラブルシューティングの目的でイベントの履歴が必要になる場合は、定期的にログを保存してください。必要に応じてイベントを上書きすると、ログには常に最新のイベントが記録されますが、これにより履歴データが失われる可能性があります。
[システム ログの保存方法]
セキュリティの目的: システム ログが最大サイズに達したとき、オペレーティング システムでどのように処理するかを指定します。
推奨事項: 最新のイベントを記録するには、このポリシーを [必要に応じてイベントを上書きする] に設定します。注: ミーティングやトラブルシューティングの目的でイベントの履歴が必要になる場合は、定期的にログを保存してください。必要に応じてイベントを上書きすると、ログには常に最新のイベントが記録されますが、これにより履歴データが失われる可能性があります。
[セキュリティの監査ログがいっぱいになったら、コンピュータをシャットダウンする]
セキュリティの目的: セキュリティ イベントのログを記録できない場合にシステムをシャットダウンするかを決定します。このポリシーを有効にすると、なんらかの理由でセキュリティ監査を記録できなかった場合にシステムが停止します。通常は、セキュリティの監査ログがいっぱいになり、セキュリティ ログの保存方法を [イベントを上書きしない] または [指定した日数を過ぎたら上書きする] のどちらかに指定していると、イベントの記録ができなくなります。
推奨事項: この設定を有効にしないでください。有効にすると、サービス拒否 (DoS) 攻撃をたいへん受けやすくなり、稼動時間に大きな影響を与えます。		            
[](#mainsection)[ページのトップへ](#mainsection) ### 既定のグループ アカウント ここでは、Windows 2000 オペレーティング システムの既定のインストールで、ビルトイン グループの既定のグループ メンバシップへの必要な変更と推奨される変更について説明します。これらのビルトイン グループには、一連のユーザーの権限および特権と、グループのメンバがあらかじめ定義されています。5 種類のビルトイン グループの定義は、次のとおりです。 - グローバル グループ Windows 2000 ドメインが確立されると、Active Directory ストアにビルトイン グローバル グループが作成されます。グローバル グループを使用して、ドメイン全体で使用できるように、一般的なユーザー アカウントとグループ アカウントを種類ごとにグループ化します。グローバル グループには、ネイティブ モード ドメイン内の他のグループを含めることもできます。 - ドメイン ローカル グループ ドメイン ローカル グループは、特定のドメイン コントローラおよび Active Directory ストアでタスクを実行する特権および権限をユーザーに提供します。ドメイン ローカル グループは、ドメイン内でのみ使用され、Active Directory ツリーの他のドメインにはエクスポートできません。 - ユニバーサル グループ ユニバーサル グループは、ネイティブな Windows 2000 ドメインでのみ使用できます。このグループはフォレスト全体で使用できます。 - ローカル グループ スタンドアロン Windows 2000 サーバー、メンバ サーバー、およびワークステーションには、ビルトイン ローカル グループがあります。これらのビルトイン ローカル グループのメンバは、グループが所属する特定のコンピュータでのみタスクを実行できます。 - システム グループ システム グループには、変更可能な特定のメンバシップがありません。各システム グループを使用して、特定のユーザーのクラスやオペレーティング システム自体を表現します。これらのグループは Windows 2000 オペレーティング システムで自動的に作成されますが、グループ管理の GUI には表示されません。システム グループは、リソースへのアクセスを制御するためにのみ使用されます。 #### ドメインのグループ アカウント メンバシップを確認または変更する - **ドメインのグループアカウントにアクセスするには** 1. 管理者アカウントでドメイン コントローラにログインします。 2. \[スタート\] ボタンをクリックし、\[プログラム\] をポイントします。次に、\[管理ツール\] をポイントし、\[Active Directory ユーザーとコンピュータ\] をクリックします。 3. コンソール ツリーで、ドメイン ノードをダブルクリックします。グループ アカウントは、\[Builtin\] コンテナと \[Users\] コンテナにあります。 ![](images/Dd362907.secmod220_09(ja-jp,TechNet.10).jpg) **図 8: ビルトイン アカウント** #### スタンドアロンまたはメンバのコンピュータのグループ アカウント メンバシップを確認または変更する - **スタンドアロンまたは個別のドメインメンバコンピュータのグループアカウントにアクセスするには** 1. 管理者アカウントを使用してログインします。 2. \[スタート\] ボタンをクリックし、\[プログラム\] をポイントします。次に、\[管理ツール\] をポイントし、\[コンピュータの管理\] をクリックします。 3. コンソール ツリーで、\[ローカル ユーザーとグループ\] をダブルクリックします。グループ アカウントは、\[グループ\] コンテナにあります。 ![](images/Dd362907.secmod220_10(ja-jp,TechNet.10).jpg) **図 9: グループ アカウント** **注:** 表 24 の推奨事項に従ってグループ メンバシップを設定します。表 24 は、既定のグループの一覧です。特定のシステム ロールのチェックマークは、そのシステムの種類のネイティブなグループであり、そのシステムの種類でグループを管理する必要があることを示します。 #### アカウントのプライマリ グループ メンバシップを変更する 下の表に示されたグループ メンバシップにいくつかの必要な変更を加えるには、特定のグループからアカウントを削除する必要があります。AppleTalk などの他のネットワーク プロトコルとの互換性のために、ドメインのアカウントにはプライマリ グループの割り当てが必要です。このため、コンピュータをドメインに参加させる場合は、既定で設定されたアカウントのプライマリ グループ メンバシップの変更が必要になることがあります。Active Directory のコンピュータおよびユーザーの GUI でプライマリ グループのアカウントを削除しようとすると、操作は拒否されて次のメッセージが表示されます。 ![](images/Dd362907.secmod220_11(ja-jp,TechNet.10).jpg) **図 10: プライマリ グループの削除メッセージ** - **アカウントのプライマリグループを変更するには** 1. 管理者アカウントでドメイン コントローラにログインします。 2. \[スタート\] ボタンをクリックし、\[プログラム\] をポイントします。次に、\[管理ツール\] をポイントし、\[Active Directory ユーザーとコンピュータ\] をクリックします。 3. コンソール ツリーで、ドメイン ノードをダブルクリックします。 4. ユーザー アカウントは、\[Users\] コンテナにあります。 5. アカウント名を右クリックし、表示されるメニューの \[プロパティ\] をクリックします。アカウントの \[プロパティ\] GUI が表示されます。 6. \[所属するグループ\] タブをクリックして、アカウントが所属するグループの一覧を表示します。\[所属するグループ\] ウィンドウのいずれかのグループをクリックすると、\[プライマリ グループの設定\] ボタンが有効または無効になります。\[プライマリ グループの設定\] ボタンは、グループをプライマリ グループとして設定可能な場合は有効になり、プライマリ グループとして設定できないか、既にプライマリ グループとして設定されている場合は無効になります。 ![](images/Dd362907.secmod220_12(ja-jp,TechNet.10).jpg) **図 11: Guest アカウントのプロパティ** 7. アカウントのプライマリ グループを変更するには、新しいプライマリ グループとなるグループを選択し、\[プライマリ グループの設定\] をクリックします (\[プライマリ グループの設定\] ボタンが有効であることが必要です)。\[プライマリ グループの設定\] ボタンの上の \[プライマリ グループ\] に表示されていたグループは、新しく選択されたグループに変更されます。 8. \[適用\] をクリックし、\[OK\] をクリックします。 **注** **1:** 上記の方法ではなく、グループ ポリシー GUI を使用してグループからアカウントを削除する場合は、アカウントがプライマリ グループなしのままになる可能性があります。Posix アプリケーションまたは Macintosh クライアントでアカウントを使用する必要がある場合を除き、これによって悪影響が生じることはありません。 **注** **2:** 次の表では、SID を参照しています。SID (セキュリティ識別子) は、特定のユーザーまたはグループを表す値です。たとえば、匿名のログオン グループは、SID S-1-5-7 で表示されます。詳細については、Microsoft TechNet (

グループ メンバシップの変更 ドメイン WKS ドメイン ラップトップ DC ドメイン サーバー スタンドアロン WKS スタンドアロン サーバー

グローバルグループとユニバーサルグループ 既定のメンバ 変更/検証            
DnsUpdateProxy None このグループにアカウントを追加しないでください。          
Domain Admins Administrator このグループに管理者以外のアカウントを追加しないでください。          
Domain Guests Guest このグループにアカウントを追加しないでください。          
Domain Users Administrator
Guest
Krbtgt
TsInternetUser
(すべての新規ユーザーは既定で追加されます)		 Guest アカウントを削除し、TsInternetUser アカウントが無効になっていることを確認します。
注: Guest アカウントを削除する前に、アカウントのプライマリ グループを Domain Guests に変更します。		          
Enterprise Admins Administrator (ドメイン コントローラ管理者) このグループに管理者以外のアカウントを追加しないでください。
注: このグループには、フォレスト全体のすべてのコンピュータの完全な管理者特権があります。どのような場合でも、このグループのアカウントをシステム管理以外の目的で使用することはできません。		          
Group Policy Creator Owner Administrator このグループに管理者以外のアカウントを追加しないでください。          
Schema Admins Administrator このグループに管理者以外のアカウントを追加しないでください。          
ドメインローカルグループ 既定のメンバ 変更/検証            
Account Operators None このグループは、アカウントの管理だけを行う管理者に対してのみ使用します。これらのユーザーも通常の管理者として選別される必要があります。          
Administrators Administrator
Domain Administrators
Enterprise Administrators		 このグループに管理者以外のアカウントを追加しないでください。          
Backup Operators None このグループに管理者以外のアカウントを追加しないでください。
注: Backup Operators は、ファイルのアクセス許可にかかわらず、システムのすべてのファイルの読み取りが可能です。また、ファイルの復元も可能であるため、システムのセキュリティと安定性にも悪影響をもたらす可能性があります。		          
DnsAdmins None このグループに管理者以外のアカウントを追加しないでください。          
Guests Guest (ローカル)
Domain Guests
TsInternetUser		 このグループを使用しないでください。        
Pre-Windows 2000 Compatible Access None Windows 2000 以前のオペレーティング システムとの下位互換性を提供します。このグループを使用すると、Active Directory のアクセス許可が大幅に緩和されます。既定では、このグループにはメンバがありません。ただし、ドメインが "Windows 2000 以前の互換性モード" で作成されている場合は、Everyone グループがこのグループのメンバとなり、Active Directory のすべてのオブジェクトの読み取りアクセス許可が与えられます。これを無効にするには、Everyone グループを Pre-Windows 2000 Compatible Access グループから削除し、すべてのドメイン コントローラを再起動します。ただし、無効にすると、下位互換性に悪影響をもたらします。          
Print Operators None このグループに管理者以外のアカウントを追加しないでください。これらのユーザーはカーネル モードのドライバをインストールできるため、安定性とセキュリティに悪影響をもたらす可能性があります。          
Replicator None このグループに管理者以外のアカウントを追加しないでください。          
Server Operators None このグループに管理者以外のアカウントを追加しないでください。このグループは、善意を持つユーザーが、管理者になった場合に与える可能性のある損害をできる限り防止することを目的としています。悪意のあるユーザーがシステムに危害を及ぼすことを防止するためのグループではありません。          
Users Authenticated Users
Domain Users
INTERACTIVE
(すべての新規ローカル ユーザーは既定で追加されます)		 アクセスが認証されていない可能性のあるアカウント (Guest など) をこのグループに追加しないでください。          
ローカルグループ 既定のメンバ 変更/検証            
Administrators スタンドアロン: Administrator
ドメイン メンバ: Administrator
Domain Administrator		 このグループに管理者以外のアカウントを追加しないでください。  
Backup Operators None このグループに管理者以外のアカウントを追加しないでください。  
Guests スタンドアロン
プロフェッショナル:
Guest
スタンドアロン サーバー:
Guest
TsInternetUser
ドメイン メンバ:
Domain Guests を上記に追加する		 このグループを使用しないでください。Guest を含むすべてのアカウントをこのグループから削除します。  
Power Users None このグループの機能は、Server Operators グループと同等です。このグループは、標準ユーザーとして実行されないアプリケーションとの下位互換性を保持するために提供されています。Power Users を使用することで、これらのアプリケーションを実行するためにユーザーを管理者にする必要がなくなります。一部の環境では、ユーザーを管理者にする以外に選択肢がないため、Power Users が必要になります。ただし、Power Users グループを必要としない環境では、このグループを制限されたグループにすることにより、グループ ポリシーを使用してメンバシップを制御してください。ユーザーを Power Users グループのメンバにしても、ユーザーが管理者になることを "防止できない" 点に注意してください。このグループには、善意を持つユーザーを含める必要があります。悪意のあるユーザーは含めないでください。このグループの使用に際しては十分な検討が必要です。  
Replicator None このグループに管理者以外のアカウントを追加しないでください。  
Users スタンドアロン:
Authenticated Users
INTERACTIVE
(すべての新規ローカル ユーザーは既定で追加されます)
ドメイン メンバ:
Authenticated Users
Domain Users
INTERACTIVE
(すべての新規ローカル ユーザーは既定で追加されます)		 アクセスが認証されていない可能性のあるアカウント (Guest など) をこのグループに追加しないでください。  
システムグループ 既定のメンバ 変更/検証            
Anonymous Logon 認証されていないすべてのユーザー このグループを使用して、認証を行わないユーザーや認証できないユーザーに、リソースへのアクセスを許可します。通常、これは好ましい選択ではありません。したがって、アプリケーションや使用シナリオで必要な場合以外は、このグループを使用しないでください。リソースへのアクセス許可やユーザー権限をこのグループに与えないでください。
Authenticated Users 認証済みのすべてのユーザー Everyone の代わりに Authenticated Users グループを使用して、リソースへの匿名のアクセスの可能性を防止します。
DIALUP すべてのダイヤルイン ユーザー めったにないケースですが、ダイヤルアップ ユーザーが他の方法では得られない特定のアクセス許可を必要とする場合に、このグループが役立ちます。簡略化のため、このグループは使用しない方が処理しやすくなります。
SERVICE サービスとして実行されているすべてのプロセスは、この SID を取得します。 一般に、このグループを使用して権限を割り当てる必要はありません。
SELF オブジェクトによって表現されるセキュリティ プリンシパル この SID を使用して、Active Directory でユーザー独自のオブジェクトを変更する権限をユーザーに割り当てます。
NETWORK ネットワークを通じてコンピュータにアクセスしているユーザー この SID は、インターネット インフォメーション サービス (IIS) で主に使用されます。認証された Web アクセス (基本認証以外) を使用してサーバーにアクセスするすべてのユーザーは、この SID を取得します。したがって、このグループを使用すると、それらのユーザーにリソースへのアクセスを許可できます。
INTERACTIVE ローカル、つまりコンソールでコンピュータにアクセスしているすべてのユーザー。また、基本認証を使用して Web サーバーを通じてコンピュータにアクセスするユーザーや、認証された FTP と Telnet を使用してコンピュータにアクセスするユーザーもすべて、この SID を取得します。 この SID のアクセス許可の割り当てには十分に注意してください。ローカルでシステムにアクセス可能なすべてのユーザーに、リソースへのアクセスが許可されます。また、IIS への匿名のアクセスは、ローカル ログオンと見なされることに注意してください。このため、IIS VRoot を通じてリソースを公開すると、INTERACTIVE からアクセス可能なすべてのリソースに、匿名の Web ユーザーもアクセスできるようになります。
Everyone ローカル、ネットワーク経由、または RAS 経由でコンピュータにアクセスしているすべてのユーザー。これには、認証済みおよび認証されていないすべてのユーザーが含まれます。 リソースへのアクセス許可やユーザー権限をこのアカウントに割り当てないでください。必要に応じて、Authenticated Users、特定のユーザー アカウント、および特定のグループを使用してください。
注: このグループは、システムとの認証を行わない下位レベル クライアントのサポートのために必要な場合があります。
TERMINAL SERVER USER None 一般に、対話形式でシステムに接続する場合には得られないアクセス許可をターミナル サービス ユーザーに提供します。ほとんどの場合は、Users グループを使用した方が簡単です。      
[](#mainsection)[ページのトップへ](#mainsection) ### 既定のユーザー アカウント ここでは、Windows 2000 オペレーティング システムの既定のインストールで、ビルトイン ユーザー アカウントへの必要な変更と推奨される変更について説明します。ビルトイン ユーザー アカウントには、Administrator、Guest、および TsInternetUser が含まれます。 #### ドメインの既定のユーザー アカウントを確認または変更する - **ユーザーアカウントを確認または変更してセキュリティを評価するには** 1. ドメインのユーザー アカウントにアクセスするには、ドメイン コントローラで管理者アカウントを使用してログインします。 2. \[スタート\] ボタンをクリックし、\[プログラム\] をポイントします。次に、\[管理ツール\] をポイントし、\[Active Directory ユーザーとコンピュータ\] をクリックします。 3. コンソール ツリーで、ドメイン ノードを展開します。 4. ユーザー アカウントは、\[Users\] コンテナにあります。 ![](images/Dd362907.secmod220_13(ja-jp,TechNet.10).jpg) **図 12: ユーザー アカウント** #### 既定のユーザー アカウントをローカルで確認または変更する - **スタンドアロンまたは個別のドメインメンバコンピュータのユーザーアカウントを確認または変更してセキュリティを評価するには** 1. \[スタート\] ボタンをクリックし、\[プログラム\] をポイントします。次に、\[管理ツール\] をポイントし、\[コンピュータの管理\] をクリックします。 2. コンソール ツリーで、\[ローカル ユーザーとグループ\] を展開します。 3. ユーザー アカウントは、\[ユーザー\] コンテナにあります。 ![](images/Dd362907.secmod220_14(ja-jp,TechNet.10).jpg) **図 13: ローカル ユーザー アカウント** 4. 表 25 の推奨事項に従ってユーザー アカウントを変更します。 **表** **25:** **既定のユーザーアカウント**

ユーザー アカウントの変更 ドメイン WKS ドメイン ラップトップ DC ドメイン サーバー スタンドアロン WKS スタンドアロン サーバー

Administrator コンピュータまたはドメインを管理するためのビルトイン アカウント このアカウントを日常管理のために使用しないでください。各管理者にアカウントを 2 つずつ割り当て、1 つは電子メールを読むなどの日常的な用途に充て、もう 1 つは管理業務に使用します。セキュリティ上の理由から、管理者アカウントは電子メール専用にしてください。
Guest コンピュータまたはドメインへのゲスト アクセスのためのビルトイン アカウント このアカウントは無効にしてください。
TsInternetUser ターミナル サービスで使用されるユーザー アカウント。このアカウントはターミナル サービス インターネット コネクタ ライセンスによって使用され、Windows 2000 Server で利用可能です。インターネット コネクタ ライセンスが有効な場合、Windows 2000 ベースのサーバーは 200 件の匿名専用接続を受け入れます。ターミナル サービス クライアントは、ログオン ダイアログ ボックスの入力を要求されず、TsInternetUser アカウントによって自動的にログオンされます。 このアカウントは、他のすべての匿名のアカウントと同様に扱います。ドメイン コントローラでの匿名アカウントの使用は許可しないでください。      
[](#mainsection)[ページのトップへ](#mainsection) ### システム サービス 表 25 は、セキュリティで保護された Windows 2000 コンピュータで有効にするシステム サービスを示しています。 ドメイン内のすべてまたは特定の Windows 2000 プラットフォームでサービスを有効または無効にするには、ドメイン セキュリティ ポリシーを設定します。ドメイン コントローラでの設定の場合は、\[ドメイン コントローラ セキュリティ ポリシー\] インターフェイスを使用します。個別の Windows 2000 プラットフォームのローカル設定は、\[コンピュータの管理\] インターフェイスまたは \[ローカル セキュリティ ポリシー\] インターフェイスを通じて設定するか、secedit.exe でセキュリティ テンプレートを適用して設定します。 #### ドメイン コンピュータで不要なシステム サービスを無効にする - **ドメインまたはドメインコントローラの不要なサービスを無効にするには** 1. \[ドメイン セキュリティ ポリシー\] または \[ドメイン コントローラ セキュリティ ポリシー\] のどちらか適切な方を開きます。 2. \[セキュリティの設定\] を展開し、\[システム サービス\] をクリックします。 3. 右側のウィンドウで、無効にするサービスを選択します。選択したサービスを右クリックし、\[セキュリティ\] をクリックします。 4. \[セキュリティ ポリシーの設定\] ダイアログ ボックスで、\[このポリシーの設定を定義する\] チェック ボックスをオンにして、\[無効\] をクリックします。 ![](images/Dd362907.secmod220_15(ja-jp,TechNet.10).jpg) **図 14: ポリシーのサービスを無効にする** 5. \[OK\] をクリックします。 #### 不要なシステム サービスをローカルで無効にする - **スタンドアロンまたはワークグループの** **Windows 2000 Server** **あるいは** **Professional** **オペレーティングシステムで不要なサービスをローカルで無効にするには** 1. \[コンピュータの管理\] インターフェイスを開きます。 2. コンソール ツリーで、\[サービスとアプリケーション\] を展開し、\[サービス\] をクリックします。 3. 右側のウィンドウで、無効にするサービスを選択します。選択したサービスを右クリックし、\[プロパティ\] をクリックします。 4. 選択したサービスの \[プロパティ\] ダイアログ ボックスが表示されます。\[スタートアップの種類\] ボックスの一覧の \[無効\] をクリックします。 ![](images/Dd362907.secmod220_16(ja-jp,TechNet.10).jpg) **図 15: サービスをローカルで無効にする** 5. \[サービスの状態\] の下にある \[停止\] をクリックします。 6. \[OK\] をクリックします。 #### 最小限のシステム サービス 表 26 は、セキュリティで保護された Windows 2000 コンピュータで有効にするシステム サービスを示しています。 **表** **26:** **セキュリティで保護された** **Windows 2000** **コンピュータで使用可能なサービス**



  • Alerter サービス
  • Automatic Updates
  • COM+ Event System
  • Computer Browser
  • DHCP Client
  • DHCP Server
  • Distributed File System (DFS)
  • Distributed Link Tracking Client
  • Distributed Link Tracking Server
  • DNS Client
  • DNS Server
  • Event Log
  • File Replication Service
  • IIS Admin Service (Web サーバーのみ)
  • Indexing Service (ファイル インデックス処理が
    必要なシステムのみ)
  • Intersite Messaging
  • IPSec Policy Agent
  • Kerberos Key Distribution Center
  • License Logging Service
  • Logical Disk Manager
  • Logical Disk Manager Administrative Service
  • Messenger
  • Net Logon
  • Network Connections
  • NTLM Security Support Provider
  • Plug and Play
  • Print Spooler
  • Protected Storage
  • Remote Procedure Call (RPC)
  • Remote Registry Service
  • Removable Storage
  • RunAs Service
  • Security Accounts Manager
  • Server Service
  • System Event Notification
  • Task Scheduler
  • TCP/IP NetBIOS Helper Service
  • Telephony
  • Terminal Services (サーバーのみ)
  • Windows Internet Name Service (WINS)
  • Windows Management Instrumentation
  • Windows Management Instrumentation
    Driver Extensions
  • Windows Time
  • Workstation
  • World Wide Web Publishing Service、Simple
    Mail Transport Service、NNTP Service、および
    FTP Service は、IIS サーバーでのみ有効にします。
    これらのサービスが、他のすべてのコンピュータで無
    効になっているか、またはアンインストールされている
    ことを確認してください。

ページのトップへ

ファイル システムのセキュリティを確保する

Windows 2000 には、アクセス許可として総称される場合もある随意アクセス制御リスト (DACL) を使用してファイルを保護する機能が用意されています。Service Pack 3 を適用すると、ファイルおよびディレクトリの既定のアクセス許可セットによって、ほとんどのアプリケーション環境に適したレベルのセキュリティが確保されます。ただし、いくつかの DACL では、これらの既定を超えた改良が可能です。ファイルおよびディレクトリの既定のアクセス許可は、"既定のセキュリティ設定" が含まれている "setup security.inf" セキュリティ テンプレート ファイルを通じてオペレーティング システムのインストール時に適用されます。

セキュリティを強化するには、オペレーティング システムをインストールし、最新の Service Pack と Service Pack 以降に発行されたすべてのパッチを使用してシステムを更新してから、下の表 27 の推奨事項に従ってファイル、ディレクトリ、およびサブディレクトリのアクセス許可を変更します。Windows 2000 の継承機能を使用して、ディレクトリ ツリーのできる限り上位にアクセス許可を設定します。こうすると、アクセス許可の管理が大幅に簡単になります。以下で推奨しているアクセス許可の変更は、すべての Windows 2000 オペレーティング システムに適用します。グループ ポリシーを使用して、ドメイン内のすべてまたは特定の Windows 2000 プラットフォームにアクセス許可を実装します。ドメイン レベルと対比して、OU レベルでアクセス許可を設定することをお勧めします。OU を構築して、特定のセキュリティ要件をすべてのマシンに簡単に含めることができます。組み込みのテンプレートを使用すると、セキュリティ構成エディタ インターフェイスから、個別の Windows 2000 プラットフォームにおけるローカルのアクセス許可を設定できます。

ドメイン ポリシーを使用してアクセス許可を設定する

  • ドメインまたはドメインコントローラのファイルおよびフォルダのアクセス許可ポリシーを設定するには

    1. 適切なグループ ポリシー オブジェクトを開きます。

    2. [セキュリティの設定] を展開します。

    3. [セキュリティの設定] の [ファイル システム] を右クリックします。

    4. [ファイルの追加] をクリックします。

    5. [ファイルまたはフォルダを追加します] ウィンドウで、追加するファイルまたはフォルダに移動して選択します。

      図 16: ポリシーのファイルのアクセス許可を設定する

    6. [OK] をクリックします。[データベース セキュリティ - <path\filename> のプロパティ] ウィンドウが表示されます。

      図 17: ポリシーのファイルのアクセス許可を設定する

    7. 必要に応じてアクセス許可を設定します。表 27 は、ファイルおよびフォルダのアクセス許可の設定を示しています。

セキュリティ構成エディタを使用してローカルでアクセス許可を設定する

スタンドアロン システムまたはローカルのシステムで、アクセス許可を反復可能な方法で最も簡単に設定するには、セキュリティ構成エディタ ツールを使用します。次の手順は、新規に追加したドライブのルートにアクセス許可を定義および設定する方法を示します。

  • 新規に追加したドライブのルートにアクセス許可を定義および設定するには

    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「MMC」と入力します。Microsoft 管理コンソールが開きます。

    2. [コンソール] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。

    3. [セキュリティの構成と分析] および [セキュリティ テンプレート] をダブルクリックして、[閉じる] をクリックします。[OK] をクリックします。必要な場合は、コンソールを保存します。

    4. [セキュリティ テンプレート] ノードを展開し、[新しいテンプレート] をクリックします。新しいテンプレートにわかりやすい名前を付けて保存します。

      図 18: 新しいセキュリティ テンプレートを作成する

    5. 新しいテンプレートを展開して、[ファイル システム] ノードを表示します。

    6. [ファイル システム] を右クリックし、[ファイルの追加] をクリックします。新しいドライブを選択します。このインスタンスでは D ドライブです。

    7. 下図のようにアクセス許可を設定します。

      図 19: セキュリティ テンプレートのディスク アクセス コントロールを構成する

    8. [OK] をクリックしてすべてのダイアログ ボックスを閉じます。新しいテンプレートを右クリックし、[保存] をクリックします。

    9. [セキュリティの構成と分析] を右クリックし、[データベースを開く] をクリックします。

    10. 任意のデータベース名を入力し、[OK] をクリックします。

      既存のデータベースを開いている場合は、次のダイアログ ボックスの [インポートする前にこのデータベースをクリアする] チェック ボックスをオンにしてください。次に、新規に作成したテンプレートを選択し、[開く] をクリックします。

      図 20: 新しいセキュリティ テンプレートをインポートする

    11. [セキュリティの構成と分析] を右クリックし、[コンピュータの構成] をクリックします。エラー ログのパスを選択します (既定のパスで十分です)。

    12. Windows エクスプローラで、標準 ACL エディタのアクセス許可を確認できます。ただし、これらの ACL は、将来使用するために保存するか、別のシステムに適用することができます。

27: ファイルおよびフォルダのアクセス許可の設定

ファイルおよびフォルダ DACL の設定 継承方法 (セキュリティ ポリシー ツールで設定) ドメイン WKS ドメイン ラップトップ DC ドメイン サーバー スタンドアロン WKS スタンドアロン サーバー
%SystemDrive% 注: Windows 2000 オペレーティング システムをインストールしたドライブ。注: これらのアクセス許可は、他のすべての非リムーバブル ドライブにも適用する必要があります。これらのアクセス許可をすべてのドライブのルートに設定すると、ユーザーはフォルダを作成してその中にファイルを作成できますが、独自に作成したドライブ以外では何も変更できません。また、Everyone の使用にも注意してください。システムへの匿名のアクセスを制限すると、"Guest アカウントが無効のまま" である限り、Everyone はすべての認証済みユーザーと同等になります。 Administrators: フル コントロール
CREATOR OWNER: フル コントロール (サブフォルダおよびファイル)
SYSTEM: フル コントロール
Users: 読み取りと実行 (このフォルダ、サブフォルダ、およびファイル)
Users: フォルダの作成/データの追加 (このフォルダおよびサブフォルダ)
Users: ファイルの作成/データの書き込み (サブフォルダのみ)
Everyone: 読み取りと実行		 適用
[](#mainsection)[ページのトップへ](#mainsection) ### フォルダのアクセス許可を共有する SMB ベースのサーバーとリダイレクタ サービスを使用したネイティブ Windows 2000 ファイル共有サービスが提供されています。共有を作成できるのは管理者だけですが、共有に設定された既定のセキュリティは Everyone グループにフル コントロール アクセスを許可します。これらのアクセス許可を使用すると、ネットワークを通じて表示される共有自体にアクセスできます。共有を通じて表示されるファイルおよびサブフォルダへのアクセスは、共有のマップ先の基になるフォルダで設定された NTFS アクセス許可によって制御されます。このため、共有によってマップされるすべてのファイルとフォルダに、NTFS アクセス許可を通じて適切なセキュリティを適用する必要があります。実際には、Everyone にフル コントロールを設定すると、共有自体ではなく基になるファイル システムだけでアクセス許可を管理するのと同等になります。 [](#mainsection)[ページのトップへ](#mainsection) ### レジストリのセキュリティを確保する セキュリティ管理者は、このモジュールで説明している標準セキュリティを考慮するだけでなく、Windows 2000 レジストリの特定のキーに対する保護を強化したい場合があります。既定では、標準レベルのセキュリティを提供しながら操作を実行できるように、レジストリのさまざまなコンポーネントに保護が設定されています。レジストリ キーの既定のアクセス許可は、"既定のセキュリティ設定" が含まれている "setup security.inf" セキュリティ テンプレート ファイルを通じてオペレーティング システムのインストール時に適用されます。 Windows NT 4.0 用に指定された既定のレジストリ ACL 設定に関連するセキュリティの問題に対処するために、Windows 2000 では既定のレジストリ ACL 設定が構成されています。さらに、Service Pack 2 以降では、既定の設定を超えてレジストリを部分的に強化しています。このため、表 28 に定義された ACL の変更は、アプリケーションに最小限の影響を与え、レジストリの重要なデータを局所的に保護する少数の変更だけを示しています。これらの変更を加えると、テストされていない少数のサード パーティ製アプリケーションが正しく機能しなくなる可能性があるため、常に注意が必要です。推奨しているアクセス許可の変更は、すべての Windows 2000 オペレーティング システムに適用します。ただし、プラットフォームごとにグループの使用が異なるため、アクセス許可はクライアント、サーバー、およびドメイン コントローラ間で微妙に異なります。このため、クライアントのアクセス許可をクライアント以外に適用しないでください。設定を誤ると、システム機能が減少する可能性があります。ただし、通常は、適切なテンプレートを再適用すると、この問題を解決できます。 ドメイン内のすべてまたは特定の Windows 2000 プラットフォームでアクセス許可を実装するには、ドメイン セキュリティ ポリシーを設定します。ドメイン コントローラでの設定の場合は、\[ドメイン コントローラ セキュリティ ポリシー\] インターフェイスを使用します。個別の Windows 2000 プラットフォームにおけるローカルのアクセス許可は、Regedt32.exe インターフェイスを使用するか、セキュリティ テンプレートと secedit.exe ユーティリティを使用して設定できます。 #### ドメイン ポリシーを使用してレジストリのアクセス許可を設定する - **ドメインおよびドメインコントローラでレジストリのアクセス許可ポリシーを設定するには** 1. \[ドメイン セキュリティ ポリシー\] または \[ドメイン コントローラ セキュリティ ポリシー\] のどちらか適切な方を開きます。 2. \[セキュリティの設定\] を展開します。 3. \[セキュリティの設定\] の \[レジストリ\] を右クリックします。\[キーの追加\] をクリックします。 4. \[レジストリ キーの選択\] ウィンドウで、追加するキーに移動して選択します。 ![](images/Dd362907.secmod220_22(ja-jp,TechNet.10).jpg) **図 21: ポリシーのレジストリ キーを選択する** 5. \[OK\] をクリックします。\[データベース セキュリティ - *<path>* のプロパティ\] ウィンドウが表示されます。 ![](images/Dd362907.secmod220_23(ja-jp,TechNet.10).jpg) **図 22: ポリシーのレジストリのアクセス許可を設定する** 6. 必要に応じてアクセス許可を設定します。表 28 は、必要な DACL の変更を示しています。 #### Regedt32.exe を使用してレジストリのアクセス許可を設定する - **レジストリのアクセス許可をローカルで設定するには** 1. \[スタート\] ボタンをクリックし、\[ファイル名を指定して実行\] をクリックします。 2. \[名前\] ボックスに「regedt32」と入力し、\[OK\] をクリックしてレジストリ エディタ (Regedt32.exe) を開きます。 3. 必要なレジストリ キーに移動して選択します。 ![](images/Dd362907.secmod220_24(ja-jp,TechNet.10).jpg) **図 23: レジストリ キーにローカルでアクセスする** 4. \[セキュリティ\] メニューの \[アクセス許可\] をクリックします。\[アクセス許可\] ダイアログ ウィンドウが表示されます。詳細なアクセス許可を設定するには、\[詳細\] をクリックします。 ![](images/Dd362907.secmod220_25(ja-jp,TechNet.10).jpg) **図 24: レジストリのアクセス許可をローカルで設定する** 5. 必要に応じてアクセス許可を設定します。表 28 は、DACL の変更を示しています。 **注:** 動作の適用または置き換えを管理する場合は、\[詳細\] を使用する必要があります。\[詳細\] を使用すると、現在のキーとサブキーに適用することによってアクセス許可を適用できます。既定では、現在のキーだけにアクセス許可を適用すると、アクセス許可が置き換えられます。 Regedt32.exe の "コントロールの読み取り" は、セキュリティ ポリシー ツールで "アクセス許可の読み取り" と呼ばれます。 下表に示された Power Users グループは、ドメイン コントローラでは使用できません。また、ドメイン コントローラから Windows 2000 のリモート コンピュータに設定することもできません。ただし、グループ ポリシー オブジェクトに適用されたセキュリティ テンプレートによって、このグループのアクセス許可を設定できます。 **表** **28:** **レジストリのアクセス許可に必要な変更**

レジストリ キー サブキー DACL の設定 継承方法 ドメイン WKS ドメイン ラップトップ DC ドメイン サーバー スタンドアロン WKS スタンドアロン サーバー
\SOFTWARE\Microsoft\Windows NT\CurrentVersion Users: [読み取り] および [このキーとサブキー]
Power Users: [値の照会]、[値の設定]、[サブキーの作成]、[サブキーの列挙]、[通知]、[削除]、[読み取り] の各アクセス許可および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]
TERMINAL SERVER USER: [値の照会]、[値の設定]、[サブキーの作成]、[サブキーの列挙]、[通知]、[削除]、[読み取り] の各アクセス許可および [このキーとサブキー]		 置き換え        
\SOFTWARE\Microsoft\Windows NT\CurrentVersion Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [値の照会]、[値の設定]、[サブキーの作成]、[サブキーの列挙]、[通知]、[削除]、[読み取り] の各アクセス許可および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
\SOFTWARE\Microsoft\Windows NT\CurrentVersion Users: [読み取り] および [このキーとサブキー]
Power Users: [値の照会]、[値の設定]、[サブキーの作成]、[サブキーの列挙]、[通知]、[削除]、[読み取り] の各アクセス許可および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え      
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
その他の設定により、明示的な DACL を持ったいくつかのサブキーで既定の DACL がリセットされます。これらの設定を構成しない場合は、上記の変更内容によって修正されます。 ?       ?      
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
その他の設定により、明示的な DACL を持ったいくつかのサブキーで既定の DACL がリセットされます。これらの設定を構成しない場合は、上記の変更内容によって修正されます。                
HKLM\System\Software \Microsoft\Windows NT\ CurrentVersion\ProfileList Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 このキーのアクセス許可の置き換えを許可しない  
HKLM\System\Software\ Microsoft\Windows NT\Current Version\AEDebug Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\Accessibility Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\ Microsoft\Windows NT\Current Version\AsrCommands Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]
Backup Operators: [値の照会]、[値の設定]、[サブキーの作成]、[サブキーの列挙]、[通知]、[削除]、[読み取り] の各アクセス許可および [このキーとサブキー]		 置き換え  
HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\Classes Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\Drivers32 Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\EFS Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\ Microsoft\Windows NT \CurrentVersion \IniFileMapping Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\ Microsoft\Windows NT\Current Version\Image File Execution Options Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\ Microsoft\Windows NT\Current Version\FontMapper Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Font Drivers Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Windows Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Time Zones Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Svchost Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Setup\ RecoveryConsole Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\SecEdit Users: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Perflib INTERACTIVE: [読み取り] および [このキーとサブキー]
Power Users: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え  
HKLM\System\Software \Microsoft\Windows NT\Current Version\ProfileList Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 このキーのアクセス許可の置き換えを許可しない          
HKLM\System\Software \Microsoft\Windows NT\Current Version\AEDebug Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Accessibility Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\AsrCommands Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]
Backup Operators: [値の照会]、[値の設定]、[サブキーの作成]、[サブキーの列挙]、[通知]、[削除]、[読み取り] の各アクセス許可および [このキーとサブキー]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Classes Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Drivers32 Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\EFS Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion \IniFileMapping Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\FontMapper Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Font Drivers Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Windows Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Time Zones Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Svchost Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Setup \RecoveryConsole Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\SecEdit Authenticated Users: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Perflib INTERACTIVE: [読み取り] および [このキーとサブキー]
Server Operators: [読み取り] および [このキーとサブキー]
Administrators: [フル コントロール] および [このキーとサブキー]
SYSTEM: [フル コントロール] および [このキーとサブキー]
CREATOR OWNER: [フル コントロール] および [サブキーのみ]		 置き換え          
[](#mainsection)[ページのトップへ](#mainsection) ### IPSec ポリシー アプリケーション プログラミング インターフェイス (API) ではなく、IPSec ポリシーを使用して、IPSec セキュリティ サービスを構成します。IPSec ポリシーは、大部分の既存ネットワークのほとんどの種類のトラフィックにさまざまなレベルの保護を提供します。ユーザー、グループ、アプリケーション、ドメイン、サイト、またはグローバル エンタープライズのセキュリティ要件に合った IPSec ポリシーを構成できます。Microsoft Windows 2000 が提供する IPSec ポリシー管理と呼ばれる管理インターフェイスを使用すると、ドメイン メンバの場合は Active Directory レベルでコンピュータの IPSec ポリシーを定義でき、非ドメイン メンバの場合はローカル コンピュータで定義できます。 IPSec ポリシーは、コンピュータ、ドメイン、または Active Directory で作成された任意の組織単位に適用できます。このポリシーは、安全な操作のための組織のガイドラインを基準にする必要があります。"ルール" と呼ばれるセキュリティ アクションを使用して、1 つのポリシーを種類の異なるコンピュータが混在するセキュリティ グループや組織単位に適用できます。 IPSec ポリシーの管理は複雑なトピックであり、このモジュールの対象範囲外です。IPSec ポリシーは Windows 2000 システムのセキュリティの確保にたいへん役立ちます。IPSec の使用の詳細については、「IPSec を使用したサーバー セキュリティの強化」(
  • Last updated on