ローカルポリシー

セキュリティオプションの設定

最終更新日: 2002年12月18日

ローカルポリシーでは、管理者が既知のセキュリティ関連システムパラメータで構成されたセキュリティオプションを設定することも可能です。これらの多くは、通常、Regedt32.exe のようなツールを使用してレジストリ値を指定することで設定されます。[セキュリティオプション] 経由で変更できるセキュリティ関連システムパラメータの全一覧は、『Microsoft Windows 2000 Security Configuration Guide』の「Table 3.6 Security Option Settings」に記載されています。「必須」コラムには、Windows 2000 ST に準拠するには、セキュリティオプションを有効と無効いずれに設定すべきか示されています。このコラムが空白の場合、評価された構成のセキュリティオプションを無効または有効どちらにも設定することができます。

[セキュリティオプション] は以下のように設定します。

管理者アカウントを使用してログオンします。
[Active Directory ユーザーとコンピュータ] ツールを開きます。
ドメインコントローラを含むコンテナを右クリックし、[プロパティ] をクリックします。
[グループポリシー] タブをクリックして、[編集] をクリックし、[既定のドメインポリシー] を編集します。
[グループポリシー] ウィンドウで、[コンピュータの構成] を展開し、[Windows の設定]、[セキュリティの設定]、[ローカルポリシー] の順に移動します。
[セキュリティオプション] を選択します。

拡大表示する
[セキュリティオプション] ポリシーを設定するには、ポリシーオプションをダブルクリックするか、あるいはポリシーを右クリックして [セキュリティ] タブを開きます。これにより、[セキュリティポリシーの設定] ダイアログボックスが開きます。

拡大表示する
セキュリティ設定を変更するには、[セキュリティポリシーの設定] ダイアログボックスの [このポリシーの設定を定義する] をチェックし、このセキュリティオプションを有効と無効いずれに設定するか選択します。
[OK] をクリックし、選択したオプションを確定します

選択したセキュリティオプションの [セキュリティポリシーの設定] ダイアログボックスへの入力内容は、オプションの設定要件に応じて異なります。たとえば、ドロップダウンメニューからの選択が必要なセキュリティオプションもあれば、以下のようにテキストを入力するものもあります。

以下のサブパラグラフでは、2 種類の方法で Windows 2000 セキュリティオプションを設定した ST 要件の実装例を示しています。最初の方法は、ローカルコンピュータのセキュリティポリシー、またはグループポリシーの編集に関するものです。2 番目の方法は、個々のコンピュータのレジストリの直接編集に関するものです。

グループポリシーのセキュリティオプションインターフェイスによるセキュリティターゲット要件の設定

バックアップと復元の特権使用の監査

既定では、バックアップと復元の特権の使用は監査されません。[特権使用の監査] ポリシーを有効にし、このセキュリティオプションを設定すると、バックアップと復元の特権の使用が監査されます。以下の手順で、この機能を有効にして監査イベントエントリを作成すると、ファイルとディレクトリのバックアップ または ファイルとディレクトリの復元の特権 を常時利用できます。

管理者アカウントを使用してログオンします。
[Active Directory ユーザーとコンピュータ] ツールを開きます。
ドメインコントローラを含むコンテナを右クリックし、[プロパティ] をクリックします。
[グループポリシー] タブをクリックして、[編集] をクリックし、[既定のドメインポリシー] を編集します。
[グループポリシー] ウィンドウで、[コンピュータの構成] を展開し、[Windows の設定]、[セキュリティの設定]、[ローカルポリシー] の順に移動します。
[セキュリティオプション] を選択します。
詳細ウィンドウの [バックアップと復元の特権の使用を監査する] をダブルクリックします。
[このポリシーの設定を定義する] ボックスをチェックし、[有効] を選択して [OK] をクリックします。
[グループポリシー] ウィンドウを閉じます。

使用許可の警告の実行

ログオンを許可する前に警告メッセージを表示することをお勧めします。メッセージの表現については、場合により、社内の法律部門と相談する必要があります。このシステムが、承認されたユーザーのみを対象としており、悪用した場合、法的な処分の対象となることをユーザーに知らせるメッセージにしておく必要があります。以下はその一例です。

このシステムは Company XYZ の公的ビジネスのみの利用を目的としています。適切に使用され、セキュリティメカニズムを欺く行為のないことを確認するため、Company XYZ のコンピュータシステムは監視されています。未承認の使用または意図的なシステムの誤用は、刑事的な処罰の対象となります。

上記のログオンメッセージを以下の手順で [ローカルコンピュータポリシー] に追加します。

管理者アカウントを使用してログオンします。
[Active Directory ユーザーとコンピュータ] ツールを開きます。
ドメインコントローラを含むコンテナを右クリックし、[プロパティ] をクリックします。
[グループポリシー] タブをクリックして、[編集] をクリックし、[既定のドメインポリシー] を編集します。
[グループポリシー] ウィンドウで、[コンピュータの構成] を展開し、[Windows の設定]、[セキュリティの設定]、[ローカルポリシー] の順に移動します。
[セキュリティオプション] を選択します。
詳細ウィンドウで、[ログオン時のユーザーへのメッセージのタイトル] をダブルクリックします。
[このポリシーの設定を定義する] ボックスをチェックします。
メッセージのタイトル (「Warning」など) を入力し、[OK] をクリックします。
[ログオン時のユーザーへのメッセージのテキスト] をダブルクリックします。
[このポリシーの設定を定義する] ボックスをチェックします。
メッセージのテキストを入力し、[OK] をクリックします。
[グループポリシー] ウィンドウを閉じます。

ドメインクライアントを再起動し、そのドメインへログインすると、ログインバナーメッセージが表示されます。

このセキュリティ設定は、既定のドメイン GPO と関連付けられているので、ドメイン内のすべてのコンピュータに適用されます。この設定は、セキュリティパラメータを指定する (個々のコンピュータに定義された) ローカルポリシーよりも優先されますが、この値を指定する OU ポリシーよりは優先されません。

ログオンを必要としないシャットダウンの無効化

このセキュリティオプションは、Windows へログオンしなくてもコンピュータをシャットダウンできるかどうかを指定します。このポリシーが有効な場合、Windows ログオン画面にシャットダウン コマンドが表示されます。このポリシーが無効な場合、Windows ログオン画面に、コンピュータをシャットダウンするオプションは表示されません。この場合、システムのシャットダウンを実行するには、ユーザーがコンピュータへ正しくログオンできると共に、システムのシャットダウンのユーザー権利を所有している必要があります。既定のローカルコンピュータポリシーにおいて、このオプションはワークステーションでは有効に、サーバーでは無効になっています。

以下の手順で、ドメインコンピュータの Windows ログオン画面でのシャットダウンボタンを無効にします。

管理者アカウントを使用してログオンします。
[Active Directory ユーザーとコンピュータ] ツールを開きます。
ドメインコントローラを含むコンテナを右クリックし、[プロパティ] をクリックします。
[グループポリシー] タブをクリックして、[編集] をクリックし、[既定のドメインポリシー] を編集します。
[グループポリシー] ウィンドウで、[コンピュータの構成] を展開し、[Windows の設定]、[セキュリティの設定]、[ローカルポリシー] の順に移動します。
[セキュリティオプション] を選択します。
詳細ウィンドウで、[システムをシャットダウンするのにログオンを必要としない] をダブルクリックします。
[このポリシーの設定を定義する] ボックスをチェックし、[無効] を選択して [OK] をクリックします。
[グループポリシー] ウィンドウを閉じます。

セキュリティ監査をログできない場合の即時的なシステムシャットダウン

このセキュリティオプションは、セキュリティイベントのログを実行できない場合、システムをシャットダウンすべきか指定します。このポリシーが有効な場合、セキュリティ監査をログできないと、理由を問わずシステムが停止します。通常、セキュリティ監査ログがいっぱいのときや、セキュリティログの保存方法が [イベントを上書きしない] または **[指定した日数を過ぎたら上書きする]**に指定されている場合に、イベントのログが失敗します。セキュリティログがいっぱいで、既存エントリを上書きできない場合に、このセキュリティオプションが有効になっていると、青い画面に以下のようなエラーが表示されます。

既定では、このポリシーは無効です。この設定の場合、システムが自動的にシャットダウンし、レジストリの値が 2 にリセットされます。システムを再起動すると、管理者アカウントだけがログオンできるようになります。そこで管理者は、他のユーザーのログオンを許可する前に、ログを保存または削除し、レジストリ値を 1 へリセットして、システムの再起動を行う必要があります。

注意 : 定期的な監査ログの保存と削除に関する厳密な手順を実装した場合に限り、サーバーとドメインコントローラ上でこのセキュリティポリシーを使用します。このレジストリ設定を使用するには、ユーザーの業務やシステムネットワークサービスの混乱を招きかねないシステムの停止を避けるため、厳密な監査保存ポリシーが維持されている必要があります。

以下の手順でこのセキュリティポリシーを有効にします。

管理者アカウントを使用してログオンします。
[Active Directory ユーザーとコンピュータ] ツールを開きます。
ドメインコントローラを含むコンテナを右クリックし、[プロパティ] をクリックします。
[グループポリシー] タブをクリックして、[編集] をクリックし、[既定のドメインポリシー] を編集します。
[グループポリシー] ウィンドウで、[コンピュータの構成] を展開し、[Windows の設定]、[セキュリティの設定]、[ローカルポリシー] の順に移動します。
[セキュリティオプション] を選択します。
詳細ウィンドウで、[システムをシャットダウンするのにログオンを必要としない] をダブルクリックします。
[このポリシーの設定を定義する] ボックスをチェックし、[無効] を選択して [OK] をクリックします。
[グループポリシー] ウィンドウを閉じます。

この設定の結果、監査ログがいっぱいで、システムが停止した場合、レジストリエディタを使用して以下のように復旧します。

警告 : レジストリエディタを不適切に使用すると、問題解決のために Windows 2000 の再インストールが必要となるような、システム全体に及ぶ重大な問題が生じるおそれがあります。マイクロソフトは、レジストリエディタの使用によって生じた問題の解決について一切保証しません。

権限のある管理者としてログインします。
監査ログの保存と削除を行います。
[スタート] を開き、[ファイル名を指定して実行] を選択して、regedt32 を入力し、**[OK]**をクリックします。
HKEY_LOCAL_MACHINE on Local Machine ウィンドウをクリックします。
SYSTEM\CurrentControlSet\Control\Lsa に移動します。
トピックウィンドウの CrashOnAuditFail をダブルクリックします。
DWORD エディタの値を 2 から 1 へリセットし、[OK] ボタンをクリックします。

ページのトップへ

レジストリエディタによるセキュリティターゲット要件の設定

このサブセクションでは、上記で説明したセキュリティパラメータを、レジストリエディタによって Windows 2000 のレジストリを直接編集することで設定する例を示します。

用許可の警告の実行:

レジストリエディタを終了すると、変更がすぐに実行されるので変更を取り消すオプションがありません。そのためレジストリの編集は極めて慎重に行う必要があります。

レジストリエディタ (regedt32.exe) を起動するには、[スタート] を開き、[ファイル名を指定して実行]を選択して、regedt32 を入力し、[OK] をクリックします。
HKEY_LOCAL_MACHINE on Local Machine ウィンドウをクリックします。
展開されていない場合は、HKEY_LOCAL_MACHINE をダブルクリックします。
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon に移動します。
トピックウィンドウの LegalNoticeCaption をダブルクリックします。
セージのタイトル (「Warning」など) を入力し、[OK] をクリックします。
LegalNoticeText をダブルクリックします。
メッセージのテキストを入力し、[OK] をクリックします。
[レジストリ] メニューで [レジストリエディタの終了] を選択します。