Windows XP セキュリティ ガイド

第 3 章 :Windows XP クライアントのセキュリティ設定

最終更新日: 2006年8月17日

ダウンロード

『Windows XP セキュリティ ガイド』のダウンロード

トピック

概要
アカウント ポリシーの設定
ローカル ポリシーの設定
監査ポリシーの設定
ユーザー権利の割り当ての設定
セキュリティ オプションの設定
イベント ログのセキュリティ設定
制限されたグループ
システム サービス
追加のレジストリ設定
セキュリティ構成エディタのユーザー インターフェイスの変更方法
追加のセキュリティ設定
ファイル システムを保護する
まとめ

概要

この章では、Microsoft® Windows® 2000 または Windows Server™ 2003 の Active Directory® ディレクトリ サービス ドメインのグループ ポリシーを使用して構成する主なセキュリティ設定について詳しく説明します。規定のポリシー設定を実装すると、Microsoft Windows XP Professional Service Pack 2 (SP2) を実行している組織内のデスクトップ コンピュータとラップトップ コンピュータのセキュリティを保護できます。この章では、Windows XP で使用可能なすべてのポリシー設定ではなく、コンピュータのセキュリティに直接関連するポリシー設定に関するガイダンスだけを示しています。

「第 1 章 Windows XP セキュリティ ガイドの概要」で説明しているように、この章に示すガイダンスは、このガイドで定義しているエンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境に固有のものです。ポータブル コンピュータはモバイル コンピュータであり、常に企業ネットワークを通じて作業環境内のドメイン コントローラに接続されているとは限らないため、この章ではラップトップとデスクトップで個別のポリシー設定を行うことをお勧めしています。また、ラップトップ ユーザーは、オンサイトのテクニカル サポートを利用できない時間帯でも作業することが想定されます。そのため、ラップトップ クライアント コンピュータの場合、ドメイン コントローラへの接続を必要とするポリシー設定やログオン時間を管理する設定はデスクトップの場合とは異なります。

「第 2 章 Active Directory ドメイン インフラストラクチャの構成」で説明しているように、特定の環境に指定しないポリシー設定をドメイン レベルで定義する場合があります。この章で未定義 として示すポリシー設定も同じように扱われます。その特定の環境では、既定値で十分なセキュリティを確保できます。また、グループ ポリシー オブジェクト (GPO) のポリシー設定が未定義であると、インストール中に設定を変更する必要があるアプリケーションの展開が容易になります。たとえば、エンタープライズ管理ツールでは、管理対象コンピュータのローカル サービス アカウントに対して特定のユーザー権利の割り当てが必要な場合があります。この章に示すガイダンスは、推奨設定で構成されています。環境で変更を行うときは、事前にビジネス ニーズを慎重に検討してください。

次の表は、このガイダンスで使用できるインフラストラクチャ ファイル (.inf) を定義しています。このファイルには、この章で説明する 2 つの環境に対するベースライン セキュリティの設定内容がすべて網羅されています。

表 3.1 ベースライン セキュリティ テンプレート

説明	EC	SSLF
デスクトップのベースライン セキュリティ テンプレート	EC-Desktop.inf	SSLF-Desktop.inf
ラップトップのベースライン セキュリティ テンプレート	EC-Laptop.inf	SSLF-Laptop.inf

この章で説明するポリシー設定の詳細については、https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx の関連ガイド『[*脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定*](https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx)』を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### アカウント ポリシーの設定 この章では、アカウント ポリシーの設定については説明しません。これらの設定については、このガイドの「第 2 章 Active Directory ドメイン インフラストラクチャの構成」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### ローカル ポリシーの設定 Windows XP Professional を実行しているコンピュータであれば、ローカル セキュリティ ポリシー コンソールまたは Active Directory ドメインベースの GPO のいずれかを使用してローカル ポリシーを設定できます。ローカル ポリシーの設定には、監査ポリシー、ユーザー権利の割り当て、セキュリティ オプションなどの設定があります。 [](#mainsection)[ページのトップへ](#mainsection) ### 監査ポリシーの設定 監査ポリシーでは、管理者に報告するセキュリティ イベントが決定され、指定されたイベント カテゴリのユーザーまたはシステム アクティビティが記録されます。これにより、管理者は、誰がオブジェクトにアクセスしたか、ユーザーがコンピュータにログオンまたはログオフしたかどうか、監査ポリシーの設定が変更されたかどうかなど、セキュリティに関連するアクティビティを監視できます。これらすべての理由から、管理者が環境に実装する監査ポリシーを作成することをお勧めします。 ただし、監査ポリシーの実装に際しては、環境内で監査が必要なイベント カテゴリを事前に決定する必要があります。イベント カテゴリ内で選択した監査設定により、監査ポリシーが決まります。特定のイベント カテゴリについて監査ポリシーの設定を定義することで、管理者は組織のセキュリティ ニーズに合わせた監査ポリシーを作成できます。 監査設定が構成されていない場合、セキュリティ上の事故が発生した際にその詳細を知ることが困難になるか、不可能になります。しかし、監査の構成によって、許可されたアクティビティがイベントを過剰に生成するため、セキュリティ イベント ログは無駄なデータでいっぱいになってしまいます。この後の各セクションの情報は、何を監視するか、また関連する監査データをどのように収集するかを組織で決定するうえで役に立ちます。 Windows XP の監査ポリシー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\Windows の設定\\セキュリティの設定\\ローカル ポリシー\\監査ポリシー** 次の表に、この章で説明する 2 種類のセキュリティ環境でのデスクトップとラップトップのクライアント コンピュータに推奨される監査ポリシー設定を示します。エンタープライズ クライアント環境は EC、セキュリティ強化 - 機能制限環境は SSLF と略しています。これらの推奨設定を確認し、組織のニーズに合わせて調整する必要があります。ただし、大量のトラフィックが発生する可能性のある監査設定には特に注意してください。たとえば、\[特権使用の監査\] の成功または失敗の監査を有効にすると、大量の監査イベントが生成され、セキュリティ イベント ログでその他の種類のエントリを検索できなくなる可能性があります。このような構成は、パフォーマンスに大きく影響する可能性もあります。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 3.2 監査ポリシーの推奨設定**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
アカウント ログオン イベントの監査	成功	成功	成功、失敗	成功、失敗
アカウント管理の監査	成功	成功	成功、失敗	成功、失敗
ディレクトリ サービスのアクセスの監査	未定義	未定義	未定義	未定義
ログオン イベントの監査	成功	成功	成功、失敗	成功、失敗
オブジェクト アクセスの監査	監査しない	監査しない	失敗	失敗
ポリシーの変更の監査	成功	成功	成功	成功
特権使用の監査	監査しない	監査しない	失敗	失敗
プロセス追跡の監査	監査しない	監査しない	監査しない	監査しない
システム イベントの監査	成功	成功	成功	成功

#### アカウント ログオン イベントの監査 このポリシー設定を有効にすると、資格情報検証のイベントが生成されます。これらのイベントは、資格情報を検証する権限のあるコンピュータで発生します。ドメイン アカウントの場合はドメイン コントローラ、ローカル アカウントの場合はローカル コンピュータに権限があります。ドメイン環境の場合、ほとんどのアカウント ログオン イベントは、ドメイン アカウントに対して権限のあるドメイン コントローラのセキュリティ ログで発生します。ただし、ログオンに使用されているアカウントによっては、組織内の他のコンピュータで発生する場合もあります。 このガイダンスでは、\[アカウント ログオン イベントの監査\] の値を、EC 環境では \[成功\] のみ、SSLF 環境では \[成功\] および \[失敗\] に設定します。 #### アカウント管理の監査 このポリシー設定は、ユーザーまたはグループの新規作成、ユーザーまたはグループの名前の変更、ユーザー アカウントの有効化または無効化、アカウントのパスワードの変更、アカウント管理イベントの監査の有効化などの操作を追跡するために使用します。この監査ポリシー設定を有効にすると、管理者はイベントを追跡して、ユーザー アカウントおよびグループ アカウントの作成 (悪意による作成、意図しない作成、許可された作成など) を検出できます。 \[アカウント管理の監査\]の値は、EC 環境では\[成功\]、SSLF 環境では \[成功\]および \[失敗\]に設定します。 #### ディレクトリ サービスのアクセスの監査 このポリシー設定は、ドメイン コントローラで監査タスクを実行する場合のみ有効にできます。そのため、この設定はワークステーション レベルでは定義されていません。このポリシー設定は、Windows XP Professional を実行しているコンピュータには適用されません。したがって、この章で説明している 2 つの環境では、\[ディレクトリ サービスのアクセスの監査\] の値を \[未定義\] に設定する必要があります。 #### ログオン イベントの監査 このポリシー設定では、ログオン セッションの作成と破棄を記録するイベントが生成されます。これらのイベントは、アクセス先のコンピュータで発生します。対話型ログオンの場合、イベントはログオン先のコンピュータで生成されます。共有リソースにアクセスするためにネットワーク ログオンが行われた場合、イベントは、アクセスされたリソースをホストするコンピュータで生成されます。 \[ログオン イベントの監査\] の値を \[監査しない\] に設定すると、組織内のコンピュータにアクセスした、またはアクセスを試みたユーザーの特定が困難または不可能になります。 \[ログオン イベントの監査\] の値は、EC 環境では \[成功\] に設定します。SSLF 環境では、\[成功\] および \[失敗\] に設定します。 #### オブジェクト アクセスの監査 \[オブジェクト アクセスの監査\] ポリシーを有効にしただけでは、どのイベントも監査されません。このポリシー設定では、システム アクセス制御リスト (SACL) が指定されているオブジェクト (ファイル、フォルダ、レジストリ キー、プリンタなど) にアクセスするユーザーのイベントを監査するかどうかを指定します。 SACL は、アクセス制御エントリ (ACE) で構成されています。各 ACE には、次の 3 つの情報が含まれています。 - 監査対象のセキュリティ プリンシパル (ユーザー、コンピュータ、またはグループ) - 監査対象のアクセス タイプ (これをアクセス マスクと呼びます) - 監査対象のアクセス イベント (失敗したアクセス イベントのみ、成功したアクセス イベントのみ、または両方のアクセス イベント) を示すフラグ \[オブジェクト アクセスの監査\] の値を \[成功\] に設定すると、SACL が指定されたオブジェクトへのユーザー アクセスが成功するたびに、監査エントリが生成されます。このポリシー設定を \[失敗\] に設定すると、SACL が指定されたオブジェクトへのユーザー アクセスが失敗するたびに、監査エントリが生成されます。 組織では、SACL を構成する際、有効にするアクションのみを定義する必要があります。たとえば場合によっては、実行可能ファイルの \[データの書き込み\] および \[データの追加\] を監査する設定を有効にして、実行可能ファイルの変更や置換の追跡を可能にする必要があります。ウイルス、ワーム、トロイの木馬などは、実行可能ファイルを標的にすることが多いからです。同様に、機密文書へのアクセスまたは機密文書の変更の追跡が必要になる場合もあります。 \[オブジェクト アクセスの監査\] の値は、EC 環境では \[監査なし\]、SSLF 環境では \[失敗\] に設定します。次の手順に実効性を持たせるために、この設定を有効にする必要があります。 ファイルまたはフォルダに対して監査ルールを手動で設定し、指定したファイルまたはフォルダのオブジェクトごとに監査ルールをテストするには、次の手順に従います。テストの手順はスクリプト ファイルにより自動化することもできます。 **ファイルまたはフォルダの監査ルールをテストするには** 1. Windows エクスプローラを使用してファイルまたはフォルダを検索し、該当のファイルまたはフォルダを選択します。 2. \[ファイル\] メニューをクリックし、\[プロパティ\] を選択します。 3. \[セキュリティ\] タブをクリックし、\[詳細設定\] をクリックします。 4. \[監査\] タブをクリックします。 5. \[追加\] をクリックすると、\[ユーザー、コンピュータ、またはグループの選択\] ダイアログ ボックスが表示されます。 6. \[オブジェクトの種類\] をクリックすると、\[オブジェクトの種類\] ダイアログ ボックスが表示されます。このダイアログ ボックスで、検索するオブジェクトの種類を選択します。 **注** :既定では、\[ユーザー\]、\[グループ\]、および \[ビルトイン セキュリティ プリンシパル\] の各種類のオブジェクトが選択されます。 7. \[場所\] をクリックすると、\[場所\] ダイアログ ボックスが表示されます。このダイアログ ボックスで、ドメインまたはローカルのコンピュータを選択します。 8. \[ユーザーまたはグループの選択\] ダイアログ ボックスで、監査するグループ名またはユーザー名を入力します。次に、\[選択するオブジェクト名を入力してください\] ダイアログ ボックスで、認証されているすべてのユーザーのアクセスを監査するために **「Authenticated Users」** と入力し、\[OK\] をクリックします。\[監査エントリ\] ダイアログ ボックスが表示されます。 9. \[監査エントリ\] ダイアログ ボックスを使用して、ファイルまたはフォルダで監査するアクセスの種類を指定します。 **注** :アクセスごとに複数のイベントがイベント ログに生成されるため、ログのサイズが急速に増大する場合があります。 10. \[監査エントリ\] ダイアログ ボックスで、\[フォルダの一覧/データの読み取り\] の隣にあるリストから \[成功\] および \[失敗\] を選択し、\[OK\] をクリックします。 11. 有効にした監査エントリが \[セキュリティの詳細設定\] ダイアログ ボックスの \[監査\] タブに表示されます。 12. \[OK\] をクリックして \[プロパティ\] ダイアログ ボックスを閉じます。 **ファイルまたはフォルダの監査ルールをテストするには** 1. ファイルまたはフォルダを開きます。 2. ファイルまたはフォルダを閉じます。 3. \[イベント ビューア\] を開始します。\[セキュリティ イベント ログ\] に **"イベント ID 560"** のオブジェクト アクセス イベントがいくつか表示されます。 4. 必要に応じてイベントをダブルクリックして、イベントの詳細を表示します。 #### ポリシーの変更の監査 このポリシー設定では、ユーザー権利の割り当てポリシー、Windows ファイアウォール ポリシー、信頼ポリシー、または監査ポリシー自体が変更されるたびに監査するかどうかを指定します。推奨設定を使用すると、**"プログラムのデバッグ"** 特権や **"ファイルとディレクトリのバックアップ"** 特権を追加することによって、攻撃者が格上げを試みているアカウント特権を確認できます。 この章で説明している 2 つの環境では、\[ポリシーの変更の監査\] の値を \[成功\] に設定します。値を \[失敗\] に設定するとセキュリティ イベント ログに正確なアクセス情報が生成されないため、説明対象から除外しています。 #### 特権使用の監査 このポリシー設定では、ユーザーによるユーザー権利の使用を監査するかどうかを指定します。この値を \[成功\] に設定すると、ユーザー権利が正常に行使されるたびに監査エントリが生成されます。この値を \[失敗\] に設定すると、ユーザー権利の行使が失敗するたびに監査エントリが生成されます。このポリシー設定では、大量のイベント レコードが生成される場合があります。 \[特権使用の監査\] の値は、EC 環境のコンピュータでは \[監査なし\] に設定します。SSLF 環境では \[失敗\] に設定して、失敗したすべてのユーザー特権使用を監査します。 #### プロセス追跡の監査 このポリシー設定では、プログラムのアクティブ化、プロセスの終了、ハンドルの複製、間接的オブジェクト アクセスなどのイベントに関する詳細な追跡情報を監査するかどうかを指定します。\[プロセス追跡の監査\] を有効にすると大量のイベントが生成されるので、通常は、\[監査なし\] に設定します。ただし、この設定は、プロセス起動の詳細ログからの応答時およびプロセス起動時に役に立ちます。 この章で説明している 2 つの環境では、\[プロセス追跡の監査\] の値を \[監査なし\] に設定します。 #### システム イベントの監査 このポリシー設定は、成功および失敗したシステム イベントを監視し、それらの記録から、許可されていないシステム アクセスのインスタンスを特定できるので、重要です。システム イベントには、環境内のコンピュータの起動やシャットダウン、フル イベント ログ、システム全体に影響するその他のセキュリティ関連イベントなどがあります。 この章で説明している 2 つの環境では、\[システム イベントの監査\] の値を \[成功\] に設定します。 [](#mainsection)[ページのトップへ](#mainsection) ### ユーザー権利の割り当ての設定 Windows XP Professional の特権グループの多くを組み合わせて、複数のユーザー権利をユーザーまたはグループに割り当て、標準ユーザー以上の特権を与えることができます。 ユーザー権利の値を特に**設定しない**場合は、この設定を有効にしますが、この設定にユーザーやグループは追加しないでください。ユーザー権利の値を**未定義**にする場合は、この設定を有効にしないでください。 ユーザー権利の割り当て設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\Windows の設定\\セキュリティの設定\\ローカル ポリシー\\ユーザー権利の割り当て** 次の表に、ユーザー権利の割り当ての推奨設定 (第 1 部) を示します。この章で説明している 2 種類のセキュリティ環境のデスクトップとラップトップのクライアント コンピュータの推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 ユーザー権利の割り当ての推奨設定 (第 2 部) を表 3.4 に示します。これらのユーザー権利の詳細については、表の後の各サブセクションを参照してください。 **注** :インターネット インフォメーション サーバー (IIS) の多くの機能では、IIS\_WPG、IIS IUSR\_*<コンピュータ名>* 、**IWAM\_* < コンピュータ名>* などの特定のアカウントに特定の特権が必要です。IIS に関連するアカウントに必要なユーザー権利の詳細については、https://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx の「[IIS and Built-in Accounts (IIS 6.0)](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx)」(英語情報) を参照してください。 #### ユーザー権利 (第 1 部) **表 3.3 ユーザー権利の割り当ての推奨設定 - 第 1 部**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
ネットワーク経由でコンピュータへアクセス	未定義	未定義	Administrators	Administrators
オペレーティング システムの一部として機能	なし	なし	なし	なし
プロセスのメモリ クォータの増加	未定義	未定義	Administrators、LOCAL SERVICE、NETWORK SERVICE	Administrators、LOCAL SERVICE、NETWORK SERVICE
ローカル ログオンを許可する	Users、Administrators	Users、Administrators	Users、Administrators	Users、Administrators
ターミナル サービスを使ったログオンを許可する	未定義	未定義	なし	なし
ファイルとディレクトリのバックアップ	未定義	未定義	Administrators	Administrators
横断チェックのバイパス	未定義	未定義	Administrators、Users	Administrators、Users
システム時刻の変更	Administrators	Administrators	Administrators	Administrators
ページファイルの作成	Administrators	Administrators	Administrators	Administrators
永続的共有オブジェクトの作成	未定義	未定義	なし	なし
トークン オブジェクトの作成	未定義	未定義	なし	なし
プログラムのデバッグ	Administrators	Administrators	なし	なし
ネットワーク経由でコンピュータへアクセスを拒否する	Support_ 388945a0、Guest	Support_ 388945a0、Guest	Support_ 388945a0、Guest	Support_ 388945a0、Guest
バッチ ジョブとしてログオンを拒否する	未定義	未定義	Support_ 388945a0、Guest	Support_ 388945a0、Guest
ローカルでログオンを拒否する	未定義	未定義	Support_ 388945a0、 Guest、任意のサービス アカウント	Support_ 388945a0、Guest、任意のサービス アカウント
ターミナル サービスを使ったログオンを拒否する	未定義	未定義	Everyone	Everyone
コンピュータとユーザー アカウントに委任時の信頼を付与	未定義	未定義	なし	なし

##### ネットワーク経由でコンピュータへアクセス このポリシー設定は、ネットワーク上の他のユーザーがコンピュータに接続することを許可します。サーバー メッセージ ブロック (SMB) ベースのプロトコル、NetBIOS、共通インターネット ファイル システム (CIFS)、Component Object Model Plus (COM+) など、さまざまなネットワーク プロトコルで必要です。 \[ネットワーク経由でコンピュータへアクセス\] の値は、EC 環境では \[未定義\]、SSLF 環境では \[Administrators\] に設定します。 ##### オペレーティング システムの一部として機能 このポリシー設定は、プロセスがユーザーの ID を取得して、そのユーザーがアクセスを許可されているリソースにアクセスすることを許可します。 そのため、この章で説明している 2 つの環境では、\[オペレーティング システムの一部として機能\] の値を**誰にも割り当てない**ように制限します。 ##### プロセスのメモリ クォータの増加 このポリシー設定は、プロセスで使用できる最大メモリ容量をユーザーが調整することを許可します。メモリ クォータを調整する機能はシステムのチューニングに有用ですが、悪用される可能性があります。たとえば、サービス拒否 (DoS) 攻撃に利用される可能性もあります。 そのため、\[プロセスのメモリ クォータの増加\] の値は、SSLF 環境のコンピュータでは \[Administrators\]、\[LOCAL SERVICE\]、および \[NETWORK SERVICE\] に制限します。EC 環境のコンピュータでは \[未定義\] に設定します。 ##### ローカル ログオンを許可する このポリシー設定では、環境内のコンピュータに対話的にログオンできるユーザーを指定します。クライアント コンピュータのキーボードで **Ctrl** + **Alt** + **Del** キーを押してログオンする場合は、このユーザー権利が必要です。ターミナル サービスまたは Microsoft インターネット インフォメーション サービス (IIS) を使用してログオンするユーザーの場合も、このユーザー権利が必要です。 **Guest** アカウントには、既定でこのユーザー権利が与えられています。このアカウントは既定で無効になっているので、グループ ポリシーを使用してこの設定を有効にすることをお勧めします。ただし、このユーザー権利は一般に **Administrators** グループと **Users** グループに制限する必要があります。組織内で **Backup Operators** グループにこの機能が必要な場合は、このユーザー権利をグループに割り当てます。 この章で説明している 2 つの環境では、\[ローカル ログオンを許可する\] の値を \[Users\] と \[Administrators\] に制限します。 ##### ターミナル サービスを使ったログオンを許可する このポリシー設定では、ターミナル サービス クライアントとしてログオンする権利を持つユーザーまたはグループを指定します。リモート デスクトップ ユーザーには、このユーザー権利が必要です。企業のヘルプ デスク戦略の一環としてリモート アシスタンスを使用している場合、グループを作成し、そのグループにグループ ポリシーを使用してこのユーザー権利を割り当てます。組織内のヘルプ デスクでリモート アシスタンスを使用していない場合は、このユーザー権利を **Administrators** グループのみに割り当てるか、グループ制限の機能を使用して、**Remote Desktop Users** グループにユーザー アカウントが含まれないようにします。 このユーザー権利を **Administrators** グループのみ、または場合によっては **Remote Desktop Users** グループに制限すると、好ましくないユーザーが Windows XP Professional のリモート アシスタンス機能を使用してネットワーク上のコンピュータにアクセスすることを防止できます。 \[ターミナル サービスを使ったログオンを許可する\] の値は、EC 環境では \[未定義\] に設定します。SSLF 環境では、セキュリティを強化するために**どのグループにも設定しません**。 ##### ファイルとディレクトリのバックアップ このポリシー設定は、ユーザーがファイルおよびディレクトリのアクセス許可を回避してシステムをバックアップすることを許可します。このユーザー権利は、NTBACKUP などのアプリケーションが NTFS ファイルシステムのバックアップ アプリケーション プログラミング インターフェイス (API) を使用してファイルまたはディレクトリにアクセスしようとしたときにのみ有効になります。それ以外の場合は、割り当てられているファイルおよびディレクトリのアクセス許可が適用されます。 \[ファイルとディレクトリのバックアップ\] の値は、EC 環境では \[未定義\] に設定します。SSLF 環境では、このポリシー設定を \[Administrators\] に設定します。 ##### 横断チェックのバイパス このポリシー設定は、特別なアクセス許可である "フォルダのスキャン" を持っていないユーザーが、NTFS ファイル システムまたはレジストリ内のオブジェクト パスを移動するときにフォルダを "スキャン" することを許可します。このユーザー権利を持っていても、ユーザーはディレクトリをスキャンできるだけで、フォルダの内容を一覧表示することはできません。 \[横断チェックのバイパス\] の値は、EC 環境のコンピュータでは \[未定義\] に設定します。SSLF 環境では \[Administrators\] および \[Users\] グループに設定します。 ##### システム時刻の変更 このポリシー設定では、環境内のコンピュータの内部クロックの日時を変更できるユーザーとグループを指定します。このユーザー権利を割り当てられたユーザーにより、イベント ログの表示に影響が出ることがあります。コンピュータの時刻設定を変更すると、ログに記録されるイベントの発生時刻には、実際の時刻ではなく、新しい時刻が反映されます。 この章で説明している 2 つの環境では、\[システム時刻の変更\] の値を \[Administrators\] に設定します。 **注** :環境内のローカル コンピュータとドメイン コントローラの時刻がずれていると、Kerberos 認証プロトコルに問題が生じることがあります。これにより、ユーザーがネットワークにログオンしていても、ドメインにログオンできなくなったり、ドメイン リソースへのアクセス認証を取得できなくなったりすることがあります。さらに、システム時刻がドメイン コントローラと同期していない場合、グループ ポリシーをクライアント コンピュータに適用する際に問題が発生します。 ##### ページファイルの作成 このポリシー設定は、ユーザーがページファイルのサイズを変更することを許可します。攻撃者は、ページファイルのサイズを極端に大きくするか小さくすることにより、侵入したコンピュータのパフォーマンスを簡単に操作できます。 \[ページファイルの作成\] の値は、EC 環境と SSLF 環境のすべてのコンピュータで \[Administrators\] に設定します。 ##### 永続的共有オブジェクトの作成 このポリシー設定は、ユーザーがオブジェクト マネージャでディレクトリ オブジェクトを作成することを許可します。このユーザー権利は、オブジェクトの名前空間を拡張するカーネル モードのコンポーネントで使用できます。ただし、カーネル モードで動作しているコンポーネントには、最初からこのユーザー権利が設定されています。したがって、通常は、改めてこのユーザー権利を割り当てる必要はありません。 \[永続的共有オブジェクトの作成\] の値は、EC 環境では \[未定義\] に設定し、SSLF 環境では**どのグループにも設定しません**。 ##### トークン オブジェクトの作成 このポリシー設定は、プロセスによるアクセス トークンの作成を許可します。アクセス トークンによって、機密データにアクセスできるように権利が格上げされる場合があります。セキュリティの優先度が高い環境では、このユーザー権利はどのユーザーにも割り当てないでください。この機能が必要なプロセスでは、このユーザー権利が既定で割り当てられるローカル システム アカウントを使用する必要があります。 \[トークン オブジェクトの作成\] の値は、EC 環境では \[未定義\] に設定し、SSLF 環境では**どのグループにも設定しません**。 ##### プログラムのデバッグ このポリシー設定では、プロセスまたはカーネルにデバッガを接続できるユーザーを指定します。この設定により、機密性が高く、重要なオペレーティング システム コンポーネントに無制限にアクセスできます。このユーザー権利は、管理者が "インメモリ パッチ" ("ホットパッチ") をサポートする更新プログラムを利用する場合に必要です。Microsoft パッケージ インストーラの最新機能の詳細については、https://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/deployment/winupdte.mspx の「[Windows と Windows コンポーネント用パッケージ インストーラ Update.exe の内部メカニズム](https://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/deployment/winupdte.mspx)」を参照してください。このユーザー権利は攻撃者が悪用する可能性があるため、既定では **Administrators** グループにのみ割り当てられています。 **注** :Microsoft が 2003 年 10 月に提供を開始した複数のセキュリティ更新プログラムでは、管理者が**プログラムのデバッグ** ユーザー権利を持っている必要がある Update.exe のバージョンが使用されていました。このユーザー権利を持っていなかった管理者は、ユーザー権利を再構成するまで、これらの更新プログラムをインストールできませんでした。詳細については、https://support.microsoft.com/default.aspx?kbid=830846 のマイクロソフト サポート技術情報「[Windows 更新プログラムのインストール中、応答が停止するか、大部分またはすべての CPU リソースが消費される](https://support.microsoft.com/default.aspx?kbid=830846)」を参照してください。 プログラムのデバッグユーザー権利は強力です。したがって、このポリシーの値は、EC 環境では \[Administrators\] に設定し、SSLF 環境では既定値のまま**どのグループにも設定しません**。 ##### ネットワーク経由でコンピュータへアクセスを拒否する このポリシー設定は、ユーザーがネットワークからコンピュータに接続することを禁止します。ネットワークから接続できると、ユーザーは、リモートでデータにアクセスして変更できます。高セキュリティ環境では、リモート ユーザーがコンピュータのデータにアクセスする必要はありません。その代わりに、ネットワーク サーバーを使用してファイル共有を行います。 この章で説明している 2 つの環境のコンピュータでは、\[ネットワーク経由でコンピュータへアクセスを拒否する\] の値を、\[Support\_388945a0\] および \[Guest\] に設定します。 ##### バッチ ジョブとしてログオンを拒否する このポリシー設定は、ユーザーがバッチキュー機能を使用してログオンすることを禁止します。バッチキューは、Windows Server 2003 でジョブが後で自動的に実行されるようにスケジュールを設定する機能です。 \[バッチ ジョブとしてログオンを拒否する\] の値は、EC 環境では \[未定義\]、SSLF 環境では \[Support\_388945a0\] および \[Guest\] に設定します。 ##### ローカルでログオンを拒否する このポリシー設定は、ユーザーがコンピュータ コンソールにローカル ログオンすることを禁止します。権限のないユーザーがコンピュータにローカル ログオンできると、悪質なコードをダウンロードしたり、そのコンピュータでの特権を格上げしたりする可能性があります(攻撃者がコンソールに物理的にアクセスできる場合は、考慮する必要のあるリスクは他にもあります)。このユーザー権利は、コンピュータ コンソールへの物理的なアクセスが必要なユーザーに割り当ててはいけません。 \[ローカルでログオンを拒否する\] の値は、EC 環境では \[未定義\]、SSLF 環境では \[Support\_388945a0\] および \[Guest\] に設定します。また、SSLF 環境のコンピュータに追加するサービス アカウントにもこのユーザー権利を割り当てて、悪用を回避する必要があります。 ##### ターミナル サービスを使ったログオンを拒否する このポリシー設定は、ユーザーがリモート デスクトップ接続を使用して環境内のコンピュータにログオンすることを禁止します。このユーザー権利を **Everyone** グループに割り当てると、既定の **Administrators** グループのメンバもターミナル サービスを使用して環境内のコンピュータにログオンできなくなります。 \[ターミナル サービスを使ったログオンを拒否する\] の値は、EC 環境では \[未定義\]、SSLF 環境では \[Everyone\] に設定します。 ##### コンピュータとユーザー アカウントに委任時の信頼を付与 このポリシー設定は、ユーザーが Active Directory でコンピュータ オブジェクトの**委任に対する信頼**の設定を変更することを許可します。この特権が悪用されると、権限のないユーザーがネットワーク上の他のユーザーになりすますおそれがあります。 そのため、\[コンピュータとユーザー アカウントに委任時の信頼を付与\] の値は、EC 環境では \[未定義\] に設定し、SSLF 環境では**どのグループにも設定しません**。 #### ユーザー権利 (第 2 部) **表 3.4 ユーザー権利の割り当ての推奨設定 - 第 2 部**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
リモート コンピュータからの強制シャットダウン	Administrators	Administrators	Administrators	Administrators
セキュリティ監査の生成	LOCAL SERVICE、NETWORK SERVICE	LOCAL SERVICE、NETWORK SERVICE	LOCAL SERVICE、NETWORK SERVICE	LOCAL SERVICE、NETWORK SERVICE
スケジューリング優先順位の繰り上げ	Administrators	Administrators	Administrators	Administrators
デバイス ドライバのロードとアンロード	Administrators	Administrators	Administrators	Administrators
メモリ内のページのロック	なし	なし	なし	なし
バッチ ジョブとしてログオン	未定義	未定義	なし	なし
サービスとしてログオン	未定義	未定義	NETWORK SERVICE、LOCAL SERVICE	NETWORK SERVICE、LOCAL SERVICE
監査とセキュリティ ログの管理	Administrators	Administrators	Administrators	Administrators
ファームウェアの環境変数の修正	Administrators	Administrators	Administrators	Administrators
ボリュームの保守タスクを実行	Administrators	Administrators	Administrators	Administrators
単一プロセス プロファイル	未定義	未定義	Administrators	Administrators
システム パフォーマンスのプロファイル	Administrators	Administrators	Administrators	Administrators
ドッキング ステーションからコンピュータを削除	Administrators、Users	Administrators、Users	Administrators、Users	Administrators、Users
プロセス レベル トークンを置き換える	LOCAL SERVICE、NETWORK SERVICE	LOCAL SERVICE、NETWORK SERVICE	LOCAL SERVICE、NETWORK SERVICE	LOCAL SERVICE、NETWORK SERVICE
ファイルとディレクトリの復元	未定義	未定義	Administrators	Administrators
システムのシャットダウン	Administrators、Users	Administrators、Users	Administrators、Users	Administrators、Users
ファイルとその他のオブジェクトの所有権の取得	Administrators	Administrators	Administrators	Administrators

次の表に、ユーザー権利の割り当ての推奨設定 (第 3 部) を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 ##### リモート コンピュータからの強制シャットダウン このポリシー設定は、ユーザーがネットワーク上の遠隔地から Windows XP ベースのコンピュータをシャットダウンすることを許可します。このユーザー権利を割り当てられたユーザーによって、サービス拒否 (DoS) 状態が発生し、コンピュータがユーザー要求を処理できなくなる可能性があります。したがって、このユーザー権利は、信頼性の高い管理者だけに割り当てることをお勧めします。 この章で説明している 2 つの環境では、\[リモート コンピュータからの強制シャットダウン\] の値を、\[Administrators\] に設定します。 ##### セキュリティ監査の生成 このポリシー設定では、セキュリティ ログに監査レコードを生成できるユーザーまたはプロセスを指定します。攻撃者はこの機能を使用して大量の監査イベントを作成する可能性があります。その結果、システム管理者は不正行為の特定が困難になります。また、イベント ログのイベントが必要に応じて上書きされるように設定されている場合は、関連のない大量のイベントによって不正行為の証拠が上書きされる可能性もあります。 そのため、この章で説明している 2 つの環境では、\[セキュリティ監査の生成\] の値を、\[LOCAL SERVICE\] および \[NETWORK SERVICE\] に設定します。 ##### スケジューリング優先順位の繰り上げ このポリシー設定は、プロセスが利用するプロセッサ時間の長さをユーザーが変更することを許可します。攻撃者はこの機能を使用して、プロセスの優先順位をリアルタイムに繰り上げ、コンピュータでサービス拒否状態を発生させる可能性があります。 そのため、この章で説明している 2 つの環境では、\[スケジューリング優先順位の繰り上げ\] の値を \[Administrators\] に設定します。 ##### デバイス ドライバのロードとアンロード このポリシー設定は、ユーザーがシステム上で新しいデバイス ドライバを動的にロードすることを許可します。攻撃者はこの機能を使用して、デバイス ドライバに見せかけた悪質なコードをインストールする可能性があります。ユーザーが Windows XP 環境でローカル プリンタまたはプリンタ ドライバを追加するには、このユーザー権利および **Power Users** グループまたは **Administrators** グループのメンバシップが必要です。 このユーザー権利は攻撃者が使用する可能性があるので、この章で説明している 2 つの環境では、\[デバイス ドライバのロードとアンロード\] の値を \[Administrators\] に設定します。 ##### メモリ内のページのロック このポリシー設定は、プロセスが物理メモリにデータを保持することを許可します。これによって、システムはディスク上の仮想メモリにデータをページングできなくなります。このユーザー権利を割り当てると、システム パフォーマンスが大幅に低下する場合があります。 そのため、この章で説明している 2 つの環境では、\[メモリ内のページ ロック\] の値を**どのグループにも設定しません**。 ##### バッチ ジョブとしてログオン このポリシー設定は、アカウントがタスク スケジューラ サービスを使用してログオンすることを許可します。タスク スケジューラは管理目的でよく使用されるので、EC 環境では必要な場合があります。ただし、SSLF 環境では、その使用を制限する必要があります。これは、システム リソースの誤用を防いだり、攻撃者がこの権利を使用して、コンピュータにユーザー レベルでアクセスした後で悪質なコードを起動することを防いだりするためです。 したがって、\[バッチ ジョブとしてログオン\] の値は、EC 環境では \[未定義\] に設定し、SSLF 環境では**どのグループにも設定しません**。 ##### サービスとしてログオン このポリシー設定は、アカウントがネットワーク サービスを起動したり、システムで実行されているサービスとしてプロセスを登録したりすることを許可します。SSLF 環境では、このユーザー権利の使用をすべてのコンピュータで制限する必要があります。EC 環境では、多くのアプリケーションにこの特権が必要な場合があるので、構成する前に慎重に評価およびテストする必要があります。 \[サービスとしてログオン\] の値は、EC 環境では \[未定義\]、SSLF 環境では \[NETWORK SERVICE\] および \[LOCAL SERVICE\] に設定します。 ##### 監査とセキュリティ ログの管理 このポリシー設定では、ファイルとディレクトリの監査オプションを変更でき、セキュリティ ログを消去できるユーザーを指定します。 この機能の潜在的な脅威は比較的小さいので、この章で説明している 2 つの環境では、\[監査とセキュリティ ログの管理\] の既定値の \[Administrators\] を使用します。 ##### ファームウェアの環境変数の修正 このポリシー設定は、ハードウェア構成に影響するシステム全体の環境変数をユーザーが設定することを許可します。通常、この情報は、前回正常起動時の構成に保存されます。これらの値を変更すると、ハードウェア障害が発生し、サービス拒否状態になる可能性があります。 この機能の潜在的な脅威は比較的小さいので、この章で説明している 2 つの環境では、\[ファームウェア環境変数の変更\] の既定値の \[Administrators\] を使用します。 ##### ボリュームの保守タスクを実行 このポリシー設定は、ユーザーがシステムのボリュームまたはディスク構成を管理することを許可します。ユーザーはボリュームを削除できるので、データの損失およびサービス拒否状態が発生する可能性があります。 この章で説明している 2 つの環境では、\[ボリュームの保守タスクを実行\] の既定値の \[Administrators\] を使用します。 ##### 単一プロセス プロファイル このポリシー設定は、システム プロセス以外のプロセスのパフォーマンスを監視するツールを使用できるユーザーを指定します。通常は、Microsoft 管理コンソール (MMC) の \[パフォーマンス\] スナップインを使用するために、このユーザー権利を設定する必要はありません。ただし、Windows Management Instrumentation (WMI) を使用してシステム モニタがデータを収集するように設定している場合は、このユーザー権利が必要です。**"単一プロセス プロファイル"** ユーザー権利を制限すると、侵入者は追加情報を取得できないため、システムを攻撃できません。 \[単一プロセス プロファイル\] の値は、EC 環境のコンピュータでは \[未定義\]、SSLF 環境では \[Administrators\] に設定します。 ##### システム パフォーマンスのプロファイル このポリシー設定は、ユーザーがさまざまなシステム プロセスのパフォーマンスを表示するツールを使用することを許可します。この設定が悪用されると、攻撃者がシステムのアクティブなプロセスを判別して、コンピュータの潜在的な攻撃対象を特定する可能性があります。 この章で説明している 2 つの環境では、\[システム パフォーマンスのプロファイル\] の既定値の \[Administrators\] を使用します。 ##### ドッキング ステーションからコンピュータを削除 このポリシー設定は、ポータブル コンピュータのユーザーが \[スタート\] メニューの \[PC の取り外し\] をクリックしてコンピュータの装着を解除することを許可します。 この章で説明している 2 つの環境では、\[ドッキング ステーションからコンピュータを削除\] の値を、\[Administrators\] および \[Users\] グループに設定します。 ##### プロセス レベル トークンを置き換える このポリシー設定は、1 つのプロセスまたはサービスが、異なるセキュリティ アクセス トークンを持つ別のプロセスまたはサービスを開始することを許可します。この設定を使用すると、そのサブプロセスのセキュリティ アクセス トークンを変更し、特権を格上げできます。 この章で説明している 2 つの環境では、\[プロセス レベル トークンを置き換える\] の既定値の \[LOCAL SERVICE\] および \[NETWORK SERVICE\] を使用します。 ##### ファイルとディレクトリの復元 このポリシー設定では、環境内で Windows XP を実行しているコンピュータでバックアップ済みのファイルとディレクトリを復元する際、ファイル、ディレクトリ、レジストリ、およびその他の永続的なオブジェクトへのアクセス許可を回避できるユーザーを指定します。オブジェクト所有者として有効なセキュリティ プリンシパルを設定できるユーザーもこのユーザー権利で決定します。この点で、**ファイルとディレクトリのバックアップ** ユーザー権利に似ています。 \[ファイルとディレクトリの復元\] の値は、EC 環境では \[未定義\]、SSLF 環境では \[Administrators\] に設定します。 ##### システムのシャットダウン このポリシー設定は、環境内でコンピュータにローカルでログオンしているユーザーのうち、Shut Down コマンドを使用してオペレーティング システムをシャットダウンできるユーザーを指定します。このユーザー権利が誤用されると、サービス拒否状態になることがあります。高セキュリティ環境では、この権利を **Administrators** グループおよび **Users** グループにのみ割り当てることをお勧めします。 この章で説明している 2 つの環境では、\[システムのシャットダウン\] の値を、\[Administrators\] および \[Users\] に設定します。 ##### ファイルとその他のオブジェクトの所有権の取得 このポリシー設定は、ファイル、フォルダ、レジストリ キー、プロセス、またはスレッドの所有権をユーザーが取得することを許可します。このユーザー権利は、オブジェクトを保護するために設定されているアクセス許可を回避し、指定したユーザーに所有権を付与します。 この章で説明している 2 つの環境では、\[ファイルとその他のオブジェクトの所有権の取得\] の既定値の \[Administrators\] を使用します。 [](#mainsection)[ページのトップへ](#mainsection) ### セキュリティ オプションの設定 環境内で Windows XP を実行しているコンピュータで、グループ ポリシーを使用して適用するセキュリティ オプションの設定を使用して、フロッピー ディスク ドライブや CD-ROM ドライブへのアクセス、ログオン プロンプトなどの機能を有効または無効にできます。これらの設定は、データのデジタル署名、Administrator および Guest のアカウント名、ドライバのインストール方法など、その他の設定にも使用します。 セキュリティ オプションの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\Windows の設定\\セキュリティの設定\\ローカル ポリシー\\セキュリティ オプション** このセクションに含まれる設定は、すべての種類のシステムに存在するわけではありません。グループ ポリシーのうち、このセクションで定義するセキュリティ オプションの部分からなる設定を完全に運用可能にするには、それらが存在するシステムでその設定を手動で変更する必要があります。または、グループ ポリシーのテンプレートを個別に編集して、規定の設定が有効になるよう適切な設定オプションを組み込みます。 この後の各セクションでは、セキュリティ オプションの推奨設定を、オブジェクトの種類ごとに示します。各セクションでは、設定を表に示します。設定の詳細については、表の後の各サブセクションを参照してください。この章で説明しているエンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境のデスクトップとラップトップのクライアント コンピュータの推奨設定を示します。 #### アカウント 次の表に、アカウントのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。 **表 3.5 セキュリティ オプションの推奨設定 - アカウント**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
アカウント:Administrator アカウントの状態	未定義	未定義	有効	有効
アカウント:Guest アカウントの状態	無効	無効	無効	無効
アカウント:ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する	有効	有効	有効	有効
アカウント:Administrator アカウント名の変更	推奨	推奨	推奨	推奨
アカウント:Guest アカウント名の変更	推奨	推奨	推奨	推奨

##### アカウント:Administrator アカウントの状態 このポリシー設定は、通常の運用時に Administrator アカウントを有効または無効にします。コンピュータがセーフ モードで起動したときは、この設定に関係なく Administrator アカウントは常に有効になります。 \[アカウント: Administrator アカウントの状態\] の値は、EC 環境では \[未定義\]、SSLF 環境では \[有効\] に設定します。 ##### アカウント:Guest アカウントの状態 このポリシー設定では、Guest アカウントを有効にするかどうかを指定します。Guest アカウントを有効にした場合、認証されていないネットワーク ユーザーがシステムにアクセスできます。 この章で説明している 2 つの環境では、\[アカウント: Guest アカウントの状態\] セキュリティ オプションの値を \[無効\] に設定します。 ##### アカウント:ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する このポリシー設定は、物理的なコンピュータ コンソール以外の場所からログオンするときに、パスワード保護されていないローカル アカウントを使用できるかどうかを指定します。このポリシー設定を有効にすると、空のパスワードを使用するローカル アカウントは、リモート クライアント コンピュータからネットワークにログオンできなくなります。このようなアカウントは、コンピュータのキーボードからのみログオンできます。 この章で説明している 2 つの環境では、\[アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する\] の値を \[有効\] に設定します。 ##### アカウント:Administrator アカウント名の変更 ビルトイン ローカル Administrator アカウントはよく知られているため、攻撃者の標的になる可能性が高くなっています。このアカウントに別の名前を選択し、管理者アカウントや上位のアクセス権を持つアカウントであることを示す名前の使用を避けることをお勧めします。また、\[コンピュータの管理\] コンソールを使用してローカル管理者に関する既定の説明も変更するようにしてください。 この章で説明している 2 つの環境では \[アカウント: Administrator アカウント名の変更\] 設定を使用することをお勧めします。 **注** :このポリシー設定はセキュリティ テンプレートでは構成されていません。また、このガイダンスではアカウントの新しいユーザー名を例示していません。これは、このガイダンスを実装する組織が同じユーザー名を実際の環境で使用しないようにするためです。 ##### アカウント:Guest アカウント名の変更 ビルトイン ローカル Guest アカウントもハッカーにはよく知られている名前です。このアカウントも、その目的を推測できないような名前に変更することをお勧めします。このアカウントを無効にする場合でも (推奨設定)、セキュリティ強化のために名前を変更することをお勧めします。 この章で説明している 2 つの環境では、\[アカウント: Guest アカウント名の変更\] 設定を使用することをお勧めします。 **注** :このポリシー設定はセキュリティ テンプレートでは構成されていません。また、ここではアカウントの新しいユーザー名を例示していません。これは、このガイダンスを実装する組織が同じユーザー名を実際の環境で使用しないようにするためです。 #### 監査 次の表に、監査の推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。 **表3.6 セキュリティ オプションの推奨設定 - 監査**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
監査:グローバル システム オブジェクトへのアクセスを監査する	未定義	未定義	無効	無効
監査:バックアップと復元の特権の使用を監査する	未定義	未定義	無効	無効
監査:セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする	未定義	未定義	未定義	未定義

##### 監査:グローバル システム オブジェクトへのアクセスを監査する このポリシー設定を有効にすると、ミューテックス、イベント、セマフォ、MS-DOS® デバイスなどのシステム オブジェクトの既定のシステム アクセス制御リスト (SACL) が作成され、これらのシステム オブジェクトへのアクセスが監査されます。 \[監査: グローバル システム オブジェクトへのアクセスを監査する\] 設定を有効にすると、セキュリティ イベント ログが大量のセキュリティ イベントで短時間のうちにいっぱいになる可能性があります。したがって、このポリシー設定の値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 ##### 監査:バックアップと復元の特権の使用を監査する このポリシー設定では、\[特権使用の監査\] 設定が有効になっているときに、バックアップと復元を含むすべてのユーザー特権の使用を監査するかどうかを指定します。両方のポリシーを有効にすると、ファイルがバックアップまたは復元されるたびに監査イベントが生成されます。 \[監査: バックアップと復元の特権の使用を監視する\] 設定を有効にすると、セキュリティ イベント ログが大量のセキュリティ イベントで短時間のうちにいっぱいになる可能性があります。したがって、このポリシー設定の値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 ##### 監査:セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする このポリシー設定では、システムがセキュリティ イベントを記録できない場合にシャットダウンするかどうかを指定します。この設定は、Trusted Computer System Evaluation Criteria (TCSEC) の C2 および Common Criteria 証明書の要件で、監査システムがイベントを記録できない場合、監査可能なイベントが発生することを禁止します。監査システムにエラーが生じた際には、システムを停止して STOP メッセージを表示することで、この要件は満たされます。このポリシー設定を有効にすると、セキュリティ監査がなんらかの理由によって記録できない場合にシステムがシャットダウンされます。 \[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする\] 設定を有効にすると、予期しないシステム障害が発生する可能性があります。したがって、この章で説明している 2 つの環境では、このポリシーの値を \[未定義\] に設定します。 #### デバイス 次の表に、デバイスのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。 **表 3.7 セキュリティ オプションの推奨設定 - デバイス**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
デバイス:ログオンなしの装着解除を許可する	未定義	未定義	無効	無効
デバイス:リムーバブル メディアを取り出すのを許可する	Administrators、Interactive Users	Administrators、Interactive Users	Administrators	Administrators
デバイス:ユーザーがプリンタ ドライバをインストールできないようにする	有効	無効	有効	無効
デバイス:CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する	未定義	未定義	無効	無効
デバイス:フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する	未定義	未定義	無効	無効
デバイス:署名されていないドライバのインストール時の動作	警告するがインストールは許可する	警告するがインストールは許可する	警告するがインストールは許可する	警告するがインストールは許可する

##### デバイス:ログオンなしの装着解除を許可する このポリシー設定では、ユーザーがシステムにログオンしなくてもポータブル コンピュータの装着を解除できるかどうかを指定します。このポリシー設定を有効にすると、ログオン操作が不要になり、また、ハードウェアが備えている取り外しボタンを使用してコンピュータをドッキング ステーションから取り外すことができます。このポリシー設定を無効にする場合は、ログオンしていないユーザーに**ドッキング ステーションからコンピュータを削除**ユーザー権利を割り当てる必要があります。このユーザー権利は、このガイダンスでは定義していません。 \[デバイス: ログオンなしの装着解除を許可する\] の値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 ##### デバイス:リムーバブル メディアを取り出すのを許可する このポリシー設定では、リムーバブル メディアのフォーマットおよび取り出しを許可するユーザーを指定します。このポリシー設定を使用すると、権限のないユーザーが、コンピュータからデータを取り出して、そのユーザーがローカルの管理者権限を持つ別のコンピュータでそのデータにアクセスすることを防止できます。 \[デバイス: リムーバブル メディアを取り出すのを許可する\] の値は、EC 環境では \[Administrators\] および \[Interactive Users\] に制限します。SSLF 環境では、セキュリティを強化するため、\[Administrators\] のみに制限します。 ##### デバイス:ユーザーがプリンタ ドライバをインストールできないようにする 攻撃者が、プリンタ ドライバに偽装したトロイの木馬プログラムを使用することは十分に考えられます。このプログラムは、ユーザーからは印刷に使用する必要があるように見えますが、実際はユーザーのコンピュータ ネットワークに悪質なコードを拡散します。このような事態が発生する可能性を減らすには、プリンタ ドライバのインストール権限を管理者だけに制限する必要があります。ただし、ラップトップはモバイル デバイスであるため、作業を継続するために、ラップトップ ユーザーはリモートのソースからプリンタ ドライバをインストールしなければならないこともあります。したがって、ラップトップ ユーザーの場合はこの設定を無効にし、デスクトップ ユーザーの場合は常に有効にしておく必要があります。 \[デバイス: ユーザーがプリンタ ドライバをインストールできないようにする\] の値は、この章で説明している 2 つの環境のデスクトップでは \[有効\]、ラップトップでは \[無効\] に設定します。 ##### デバイス:CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する このポリシー設定では、ローカル ユーザーとリモート ユーザーが同時に CD-ROM ドライブにアクセスできるかどうかを指定します。このポリシー設定を有効にすると、対話的にログオンしたユーザーだけが CD-ROM ドライブのメディアにアクセスできます。このポリシー設定が有効で、ログオンしているユーザーが存在しない場合は、ネットワークから CD-ROM ドライブにアクセスできます。この設定を有効にすると、バックアップ ジョブでボリューム シャドウ コピーが指定されている場合に、Windows バックアップ ユーティリティは正しく動作しません。ボリューム シャドウ コピーを使用するサードパーティのバックアップ製品も正しく動作しません。 \[デバイス: CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する\] の値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 ##### デバイス:フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する このポリシー設定では、ローカル ユーザーとリモート ユーザーが同時にフロッピー ドライブにアクセスできるかどうかを指定します。このポリシー設定を有効にすると、対話的にログオンしたユーザーだけがフロッピー ドライブのメディアにアクセスできます。このポリシー設定が有効で、ログオンしているユーザーが存在しない場合は、ネットワーク上からフロッピー ドライブのメディアにアクセスできます。この設定を有効にすると、バックアップ ジョブでボリューム シャドウ コピーが指定されている場合に、Windows バックアップ ユーティリティは正しく動作しません。ボリューム シャドウ コピーを使用するサードパーティのバックアップ製品も正しく動作しません。 \[デバイス: フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する\] の値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 ##### デバイス:署名されていないドライバのインストール時の動作 このポリシー設定は、Windows Hardware Quality Lab (WHQL) による承認と署名がなされていないデバイス ドライバが Setup API を使用してインストールされようとした場合の動作を指定します。このオプションは、署名がないドライバのインストールを防止したり、署名がないドライバがインストールされようとすると、管理者に警告したりします。これにより、Windows XP 上で正常に動作することが証明されていないドライバがインストールされるのを回避できます。このポリシー設定の値を \[警告するがインストールは許可する\] に設定した場合は、自動インストールのスクリプトで、署名がないドライバをインストールしようとしたときに失敗するという問題が発生する可能性があります。 そのため、この章で説明している 2 つの環境では、\[デバイス: 署名されていないドライバのインストール時の動作\] の値を \[警告するがインストールは許可する\] に設定します。 **注** :このポリシー設定を実装する場合は、グループ ポリシーを適用する前にすべての標準のソフトウェア アプリケーションでクライアント コンピュータを完全に構成して、この設定によって発生する可能性のあるインストール エラーのリスクを軽減する必要があります。 #### ドメイン メンバ 次の表に、ドメイン メンバのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。 **表 3.8 セキュリティ オプションの推奨設定 - ドメイン メンバ**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
ドメイン メンバ:常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する	有効	有効	有効	有効
ドメイン メンバ:可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する	有効	有効	有効	有効
ドメイン メンバ:可能な場合、セキュリティ チャネルのデータをデジタル的に署名する	有効	有効	有効	有効
ドメイン メンバ:コンピュータ アカウント パスワード: 定期的な変更を無効にする	無効	無効	無効	無効
ドメイン メンバ:最大コンピュータ アカウントのパスワードの有効期間	30 日間	30 日間	30 日間	30 日間
ドメイン メンバ:強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする	有効	有効	有効	有効

##### ドメイン メンバ:常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する このポリシー設定では、ドメイン メンバから送信された、セキュリティで保護されたチャネルのすべてのトラフィックに対して、署名または暗号化を行う必要があるかどうかを指定します。セキュリティで保護されたチャネルのデータに対して、常に暗号化または署名を行うように設定した場合、セキュリティで保護されたチャネルのすべてのトラフィックに対して暗号化または署名を行う機能のないドメイン コントローラを使用して、セキュリティで保護されたチャネルを確立できません。これは、セキュリティで保護されたチャネルのデータは、必ず署名と暗号化が行われるためです。 この章で説明している 2 つの環境では、\[ドメイン メンバ: 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する\] の値を \[有効\] に設定します。 ##### ドメイン メンバ:可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する このポリシー設定では、ドメイン メンバが、自ら送信した、セキュリティで保護されたチャネルのすべてのトラフィックに対して、暗号化をネゴシエートできるかどうかを指定します。このポリシー設定を有効にすると、そのドメイン メンバは、セキュリティで保護されたチャネルのすべてのトラフィックを暗号化するよう要求します。このポリシー設定を無効にすると、そのドメイン メンバは、セキュリティで保護されたチャネルの暗号化をネゴシエートしません。 この章で説明している 2 つの環境では、\[ドメイン メンバ: 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する\] の値を \[有効\] に設定します。 ##### ドメイン メンバ:可能な場合、セキュリティ チャネルのデータをデジタル的に署名する このポリシー設定では、ドメイン メンバが、自ら送信した、セキュリティで保護されたチャネルのすべてのトラフィックに対して、デジタル署名を行う必要があることをネゴシエートできるかどうかを指定します。デジタル署名によって、トラフィックがネットワーク上で取り込まれ、改ざんされることを防止できます。 この章で説明している 2 つの環境では、\[ドメイン メンバ: 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する\] の値を \[有効\] に設定します。 ##### ドメイン メンバ:コンピュータ アカウント パスワード: 定期的な変更を無効にする このポリシー設定では、ドメイン メンバがそのコンピュータ アカウントのパスワードを定期的に変更できるかどうかを指定します。このポリシー設定を有効にすると、ドメイン メンバはコンピュータ アカウントのパスワードを変更できません。このポリシー設定を無効にすると、ドメイン メンバは、\[ドメイン メンバ: 最大コンピュータ アカウントのパスワードの有効期間\] セキュリティ オプションで指定された間隔 (既定値は 30 日) で、そのコンピュータのアカウントのパスワードを変更できます。アカウント パスワードを自動変更できない場合には、攻撃者がシステムのドメイン アカウントのパスワードを割り出すおそれがあるため、そのコンピュータには潜在的な脆弱性が存在することになります。 したがって、この章で説明している 2 つの環境では、\[ドメイン メンバ: コンピュータ アカウント パスワード: 定期的な変更を無効にする\] の値を \[無効\] に設定します。 ##### ドメイン メンバ:最大コンピュータ アカウントのパスワードの有効期間 このポリシー設定では、コンピュータ アカウントのパスワードの最長有効期間を指定します。既定では、各ドメイン メンバはそのドメイン パスワードを 30 日ごとに自動変更します。この間隔を大幅に延ばすか、またはこの設定を 0 にして、コンピュータのパスワードを変更しないようにすると、攻撃者がいずれかのコンピュータ アカウントに対してブルート フォース攻撃を仕掛ける期間がより長くなることになります。 したがって、この章で説明している 2 つの環境では、\[ドメイン メンバ: 最大コンピュータ アカウントのパスワードの有効期間\] の値を \[30 日間\] に設定します。 ##### ドメイン メンバ:強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする このポリシー設定を有効にすると、128 ビットの強力なセッション キーを使用してセキュリティで保護されたチャネルのデータを暗号化できるドメイン コントローラでのみ、セキュリティで保護されたチャネルが確立されます。 このポリシー設定を有効にするには、ドメイン内のすべてのドメイン コントローラで、強力なセッション キーを使用してセキュリティで保護されたチャネルのデータを暗号化できる必要があります。つまり、すべてのドメイン コントローラで Microsoft Windows 2000 以降が実行されている必要があります。Windows 2000 以外のドメインとの通信が必要な場合は、このポリシー設定を無効にすることをお勧めします。 この章で説明している 2 つの環境では、\[ドメイン メンバ: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする\] の値を \[有効\] に設定します。 #### 対話型ログオン 次の表に、対話型ログオンのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。 **表 3.9 セキュリティ オプションの推奨設定 - 対話型ログオン**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
対話型ログオン:最後のユーザー名を表示しない	有効	有効	有効	有効
対話型ログオン:Ctrl+Alt+Del を必要としない	無効	無効	無効	無効
対話型ログオン:ログオン時のユーザーへのメッセージのテキスト	このシステムは権限のあるユーザーに限定されています。権限のないアクセスを試みようとするユーザーは、起訴されます。	このシステムは権限のあるユーザーに限定されています。権限のないアクセスを試みようとするユーザーは、起訴されます。	このシステムは権限のあるユーザーに限定されています。権限のないアクセスを試みようとするユーザーは、起訴されます。	このシステムは権限のあるユーザーに限定されています。権限のないアクセスを試みようとするユーザーは、起訴されます。
対話型ログオン:ログオン時のユーザーへのメッセージのタイトル	IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZA- TION.	IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZA- TION.	IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZA- TION.	IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZA- TION.
対話型ログオン:ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数	2	2	0	2
対話型ログオン:パスワードが無効になる前にユーザーに変更を促す	14 日間	14 日間	14 日間	14 日間
対話型ログオン:workstation のロック解除にドメイン コントローラの認証を必要とする	有効	無効	有効	無効
対話型ログオン:スマート カード取り出し時の動作	ワークステーションをロックする	ワークステーションをロックする	ワークステーションをロックする	ワークステーションをロックする

##### 対話型ログオン:最後のユーザー名を表示しない このポリシー設定では、組織内のクライアント コンピュータに最後にログオンしたユーザーのアカウント名を各コンピュータの Windows ログオン画面に表示するかどうかを指定します。このポリシー設定を有効にすると、侵入者が組織のデスクトップ コンピュータまたはラップトップ コンピュータの画面からアカウント名を収集できなくなります。 この章で説明している 2 つの環境では、\[対話型ログオン: 最後のユーザー名を表示しない\] の値を \[有効\] に設定します。 ##### 対話型ログオン:Ctrl+Alt+Del を必要としない Ctrl+Alt+Del キーを押すと、ユーザーがユーザー名とパスワードを入力したときに、オペレーティング システムへの信頼されるパスが確立されます。このポリシー設定を有効にすると、このキーの組み合わせを押さなくてもユーザーはネットワークにログオンできます。ただし、脆弱なログオン資格情報を使用してログオンできるようになるため、セキュリティのリスクが増大します。 この章で説明している 2 つの環境では、\[対話型ログオン: Ctrl+Alt+Del を必要としない\] の値を \[無効\] に設定します。 ##### 対話型ログオン:ログオン時のユーザーへのメッセージのテキスト このポリシー設定では、ユーザーがログオンするときに表示されるテキスト メッセージを指定します。このテキストは多くの場合、企業情報の誤用の結果についてユーザーに警告する場合や、ユーザーのアクションが監査される可能性を警告する場合など、法的な理由で使用されます。前の表に示したメッセージ テキストは、EC 環境と SSLF 環境での推奨例です。 この章で説明している 2 つの環境では、\[対話型ログオン: ログオン時のユーザーへのメッセージのテキスト\] 設定を有効にして、適切なテキストを指定します。 **注** :警告メッセージを表示する場合、事前に社内の法務担当者と人事担当者の承認を受ける必要があります。また、\[対話型ログオン: ログイン時のユーザーへのメッセージのテキスト\] 設定と \[対話型ログオン: ログオン時のユーザーへのメッセージのタイトル\] 設定を正しく機能させるには、この両方のセキュリティ オプションを有効にする必要があります。 ##### 対話型ログオン:ログオン時のユーザーへのメッセージのタイトル このポリシー設定では、ユーザーがシステムにログオンするときに表示されるウィンドウのタイトル バーのテキストを指定できます。このポリシーを設定する理由は、前のメッセージ テキストの設定と同じです。このポリシー設定を使用しないと、組織はシステムを攻撃してくる不正侵入者に対して、法的に脆弱になります。 したがって、この章で説明している 2 つの環境では、\[対話型ログオン: ログオン時のユーザーへのメッセージのタイトル\] 設定を有効にして、適切なテキストを指定します。 **注** :警告メッセージを表示する場合、事前に社内の法務担当者と人事担当者の承認を受ける必要があります。また、\[対話型ログオン: ログイン時のユーザーへのメッセージのテキスト\] 設定と \[対話型ログオン: ログオン時のユーザーへのメッセージのタイトル\] 設定を正しく機能させるには、この両方のセキュリティ オプションを有効にする必要があります。 ##### 対話型ログオン:ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 このポリシー設定では、キャッシュされたアカウント情報を使用してユーザーが Windows ドメインにログオンできるかどうかを指定します。ドメイン アカウントのログオン情報はローカルにキャッシュできるので、ドメイン コントローラに接続できない場合でも、ユーザーはログオンできます。このポリシー設定では、何人分のユーザーのログオン情報をローカルのキャッシュに格納するかを指定します。このポリシー設定の既定値は 10 です。値を 0 に設定した場合、ログオン キャッシュ機能は無効になります。サーバーのファイル システムにアクセスできる攻撃者は、キャッシュされた情報を見つけ出し、ブルート フォース攻撃でユーザー パスワードを確定することができます。 \[対話型ログオン: ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数\] の値は、EC 環境のデスクトップ コンピュータとクライアント コンピュータおよび SSLF 環境のラップトップ コンピュータでは **2** に設定します。SSLF 環境のデスクトップ コンピュータではこのポリシー設定を **0** に設定します。これらのコンピュータは、組織のネットワークに常に安全に接続されている必要があるからです。 ##### 対話型ログオン:パスワードが無効になる前にユーザーに変更を促す このポリシー設定では、パスワードの期限が切れる何日前にユーザーに警告するかを指定します。パスワードが切れる前に余裕を持ってユーザーに警告できるように、14 日間に設定することをお勧めします。 この章で説明している 2 つの環境では、\[対話型ログオン: パスワードが無効になる前にユーザーに変更を促す\] の値を \[14 日間\] に設定します。 ##### 対話型ログオン:workstation のロック解除にドメイン コントローラの認証を必要とする このポリシー設定を有効にすると、ドメイン コントローラが、コンピュータのロック解除に使用するドメイン アカウントを認証する必要があります。このポリシー設定を無効にすると、キャッシュされたログオン資格情報を使用してコンピュータのロックを解除できます。モバイル ユーザーはドメイン コントローラにネットワーク アクセスできないので、EC 環境と SSLF 環境のラップトップ ユーザーはこの設定を無効にすることをお勧めします。 \[対話型ログオン: workstation のロック解除にドメイン コントローラの認証を必要とする\] の値は、EC 環境と SSLF 環境のデスクトップ コンピュータでは \[有効\] に設定します。両方の環境のラップトップ コンピュータでは、\[無効\] に設定します。これにより、ユーザーは外出先でも作業することができます。 ##### 対話型ログオン:スマート カード取り出し時の動作 このポリシー設定では、ログオンしたユーザーのスマート カードが、スマート カード リーダーから取り出されたときの動作を指定します。このポリシー設定を \[ワークステーションをロックする\] に設定すると、スマート カードを取り出したときにワークステーションがロックされます。つまり、ユーザーが自分のスマート カードを持ってワークステーションのある場所から離れると、ワークステーションが自動的にロックされます。このポリシー設定を \[ログオフを強制する\] に設定すると、スマート カードを取り出したときにユーザーは自動的にログオフされます。 この章で説明している 2 つの環境では、\[対話型ログオン: スマート カード取り出し時の動作\] の値を \[ワークステーションをロックする\] に設定します。 #### Microsoft ネットワーク クライアント 次の表に、Microsoft ネットワーク クライアント コンピュータのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。 **表 3.10 セキュリティ オプションの推奨設定 - Microsoft ネットワーク クライアント**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
Microsoft ネットワーク クライアント:常に通信にデジタル署名を行う	有効	有効	有効	有効
Microsoft ネットワーク クライアント:サーバーが同意すれば、通信にデジタル署名を行う	有効	有効	有効	有効
Microsoft ネットワーク クライアント:サード パーティ製の SMB サーバーへのパスワードを、暗号化しないで送信する	無効	無効	無効	無効

##### Microsoft ネットワーク クライアント:常に通信にデジタル署名を行う このポリシー設定では、SMB クライアント コンポーネントでパケット署名が必要かどうかを指定します。このポリシー設定を有効にすると、Microsoft ネットワーク サーバーが SMB パケットに署名することに同意しない限り、Microsoft ネットワーク クライアント コンピュータはこのサーバーと通信できません。新しいクライアントとレガシ クライアントのコンピュータが混在する環境では、このセキュリティ オプションを \[無効\] に設定してください。レガシ クライアントは、ドメイン コントローラに対して認証を行ったり、ドメイン コントローラにアクセスしたりすることができないからです。Windows 2000 以降の環境では、このポリシー設定を有効にすることができます。 この章で説明している 2 つの環境のコンピュータでは、\[Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う\] の値を \[有効\] に設定します。 **注** :Windows XP コンピュータでこのポリシー設定を有効にして、リモート サーバーのファイル共有や印刷共有に接続するときは、これらのサーバーの \[Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う\] 設定も有効にする必要があります。設定の詳細については、https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx の関連ガイド『[*脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定*](https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx)』の第 5 章の「Microsoft ネットワーク クライアントとサーバー: 通信にデジタル署名を行う (4 つの関連する設定)」を参照してください。 ##### Microsoft ネットワーク クライアント:サーバーが同意すれば、通信にデジタル署名を行う このポリシー設定では、SMB クライアントが SMB パケットへの署名をネゴシエートするかどうかを指定します。Windows ネットワークでデジタル署名を実装すると、セッションが乗っ取られることを防止できます。このポリシー設定を有効にすると、Microsoft ネットワーク クライアントは、通信相手のサーバーがデジタル署名された通信を受け入れる場合にのみ、署名を使用します。 この章で説明している 2 つの環境では、\[Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う\] の値を \[有効\] に設定します。 **注** :ネットワーク上の SMB クライアントでこのポリシー設定を有効にし、ユーザー環境のすべてのクライアントおよびサーバーとのパケット署名でこの設定が有効になるようにします。 ##### Microsoft ネットワーク クライアント:サード パーティ製の SMB サーバーへのパスワードを、暗号化しないで送信する このポリシー設定を無効にすると、SMB リダイレクタは、認証時に、パスワード暗号化をサポートしない Microsoft SMB サーバー以外のサーバーにプレーンテキスト パスワードを送信しなくなります。このポリシー設定を有効にしなければならないビジネス上の理由がある場合以外には、このポリシー設定を無効にすることをお勧めします。このポリシー設定を有効にすると、暗号化されていないパスワードがネットワーク上で送信されることが可能になります。 この章で説明している 2 つの環境では、\[Microsoft ネットワーク クライアント: サードパーティ製の SMB サーバーへのパスワードを、暗号化しないで送信する\] の値を \[無効\] に設定します。 #### Microsoft ネットワーク サーバー 次の表に、Microsoft ネットワーク サーバーのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。 **表 3.11 セキュリティ オプションの推奨設定 - Microsoft ネットワーク サーバー**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
Microsoft ネットワーク サーバー:セッションを中断する前に、ある一定のアイドル時間を必要とする	15 分	15 分	15 分	15 分
Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う	有効	有効	有効	有効
Microsoft ネットワーク サーバー:クライアントが同意すれば、通信にデジタル署名を行う	有効	有効	有効	有効

##### Microsoft ネットワーク サーバー:セッションを中断する前に、ある一定のアイドル時間を必要とする このポリシー設定では、非アクティブな SMB セッションが中断されるまでに必要な連続アイドル時間を指定できます。管理者はこのポリシー設定を使用して、コンピュータが非アクティブな SMB セッションを中断するタイミングを制御できます。クライアント アクティビティが再開すると、セッションは自動的に再確立されます。 この章で説明している 2 つの環境では、\[Microsoft ネットワーク サーバー: セッションを中断する前に、ある一定のアイドル時間を必要とする\] の値を \[有効\] にし、その時間を \[15 分\] に設定します。 ##### Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う このポリシー設定では、サーバー側の SMB サービスで SMB パケット署名を行う必要があるかどうかを指定します。このポリシー設定を混在環境で有効にすると、ダウンストリーム クライアントはワークステーションをネットワーク サーバーとして使用できなくなります。 この章で説明している 2 つの環境では、\[Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う\] の値を \[有効\] に設定します。 ##### Microsoft ネットワーク サーバー:クライアントが同意すれば、通信にデジタル署名を行う このポリシー設定では、サーバー側の SMB サービスが、接続を確立しようとするクライアントによって SMB パケットの署名を要求された場合、署名することができるかどうかを指定します。\[Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う\] 設定が無効の場合、クライアントから署名の要求がなければ、署名なしで接続が許可されます。 この章で説明している 2 つの環境では、\[Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う\] の値を \[有効\] に設定します。 **注** :ネットワーク上の SMB クライアントでこのポリシー設定を有効にし、環境内のすべてのクライアントおよびサーバーと SMB クライアント間のパケット署名が完全に有効になるようにします。 #### ネットワーク アクセス 次の表に、ネットワーク アクセスのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。 **表 3.12 セキュリティ オプションの推奨設定 - ネットワーク アクセス**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
ネットワーク アクセス:匿名の SID と名前の変換を許可する	無効	無効	無効	無効
ネットワーク アクセス:SAM アカウントの匿名の列挙を許可しない	有効	有効	有効	有効
ネットワーク アクセス:SAM アカウントおよび共有の匿名の列挙を許可しない	有効	有効	有効	有効
ネットワーク アクセス:ネットワーク認証のために資格情報または .NET Passport を保存することを許可しない	有効	有効	有効	有効
ネットワーク アクセス:Everyone のアクセス許可を匿名ユーザーに適用する	無効	無効	無効	無効
ネットワーク アクセス:リモートからアクセスできる名前付きパイプ	未定義	未定義	* 名前付きパイプの全一覧については、この後の設定の説明を参照	* 名前付きパイプの全一覧については、この後の設定の説明を参照
ネットワーク アクセス:リモートからアクセスできるレジストリのパス	未定義	未定義	* パスの全一覧については、この後の設定の説明を参照	* パスの全一覧については、この後の設定の説明を参照
ネットワーク アクセス:匿名でアクセスできる共有	未定義	未定義	comcfg、dfs$	comcfg、dfs$
ネットワーク アクセス:ローカル アカウントの共有とセキュリティ モデル	クラシック - ローカル ユーザーがローカル ユーザーとして認証する	クラシック - ローカル ユーザーがローカル ユーザーとして認証する	クラシック - ローカル ユーザーがローカル ユーザーとして認証する	クラシック - ローカル ユーザーがローカル ユーザーとして認証する

##### ネットワーク アクセス:匿名の SID と名前の変換を許可する このポリシー設定では、匿名ユーザーが他のユーザーにセキュリティ識別子 (SID) 属性を要求できるかどうか、または SID を使用してその対応するユーザー名を取得できるかどうかを指定します。このポリシー設定を無効にすると、認証されていないユーザーは、各 SID に関連付けられているユーザー名を取得できなくなります。 この章で説明している 2 つの環境では、\[ネットワーク アクセス: 匿名の SID と名前の変換を許可する\] の値を \[無効\] に設定します。 ##### ネットワーク アクセス:SAM アカウントの匿名の列挙を許可しない このポリシー設定は、匿名ユーザーが、セキュリティ アカウント マネージャ (SAM) のアカウントを列挙できるかどうかを制御します。このポリシー設定を有効にすると、匿名接続のユーザーは、環境内のワークステーションにあるドメイン アカウントのユーザー名を列挙できなくなります。また、このポリシー設定により、匿名の接続にその他の制限を加えることもできます。 この章で説明している 2 つの環境では、\[ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない\] の値を \[有効\] に設定します。 ##### ネットワーク アクセス:SAM アカウントおよび共有の匿名の列挙を許可しない このポリシー設定は、匿名ユーザーが SAM アカウントおよび共有を列挙できるかどうかを制御します。このポリシー設定を有効にすると、匿名ユーザーは、環境内のワークステーションにあるドメイン アカウントのユーザー名とネットワーク共有名を列挙できなくなります。 この章で説明している 2 つの環境では、\[ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない\] の値を \[有効\] に設定します。 ##### ネットワーク アクセス:ネットワーク認証のために資格情報または .NET Passport を保存することを許可しない このポリシー設定は、ローカル システム上での認証資格情報やパスワードの保存を制御します。 この章で説明している 2 つの環境では、\[ネットワーク アクセス: ネットワーク認証のために資格情報または .NET Passport を保存することを許可しない\] の値を \[有効\] に設定します。 ##### ネットワーク アクセス:Everyone のアクセス許可を匿名ユーザーに適用する このポリシー設定では、コンピュータへの匿名接続に追加で付与するアクセス許可を指定します。このポリシー設定を有効にすると、匿名の Windows ユーザーは、ドメイン アカウント名やネットワーク共有名の列挙など、特定の操作を実行できます。つまり、権限のないユーザーでも、匿名で接続してアカウント名と共有リソース名を列挙し、その情報を利用して、パスワードを推測したりソーシャル エンジニアリング攻撃 (心理的方法でユーザーをだまして重要データを収集する行為) を仕掛けることができます。 したがって、この章で説明している 2 つの環境では、\[ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する\] の値を \[無効\] に設定します。 ##### ネットワーク アクセス:リモートからアクセスできる名前付きパイプ このポリシー設定では、匿名でアクセスできる属性およびアクセス許可を付与する通信セッション (パイプ) を指定します。 \[ネットワーク アクセス: リモートからアクセスできる名前付きパイプ\] の値は、EC 環境では \[未定義\] に設定します。SSLF 環境では、次の既定値を使用します。 - COMNAP - COMNODE - SQL\\QUERY - SPOOLSS - LLSRPC - Browser ##### ネットワーク アクセス:リモートからアクセスできるレジストリのパス このポリシー設定では、アクセス可能なレジストリのパスを指定します。レジストリのパスにアクセスできるかどうかの判別は WinReg キーを参照します。 \[ネットワーク アクセス: リモートからアクセスできるレジストリのパス\] の値は、EC 環境では \[未定義\] に設定します。SSLF 環境では、次の既定値を使用します。 - System\\CurrentControlSet\\Control\\ProductOptions - System\\CurrentControlSet\\Control\\Print\\Printers - System\\CurrentControlSet\\Control\\Server Applications - System\\CurrentControlSet\\Control\\ContentIndex - System\\CurrentControlSet\\Control\\Terminal Server - System\\CurrentControlSet\\Control\\Terminal Server\\UserConfig - System\\CurrentControlSet\\Control\\Terminal Server\\DefaultUserConfiguration - System\\CurrentControlSet\\Services\\Eventlog - Software\\Microsoft\\OLAP Server - Software\\Microsoft\\Windows NT\\CurrentVersion ##### ネットワーク アクセス:匿名でアクセスできる共有 このポリシー設定では、匿名ユーザーがアクセスできるネットワーク共有を指定します。このポリシー設定は既定値のままで、ほとんど影響がありません。ユーザーがサーバー上の共有リソースにアクセスするには、必ず事前に認証を受ける必要があるからです。 \[ネットワーク アクセス: 匿名でアクセスできる共有\] の値は、EC 環境では \[未定義\] に設定します。SSLF 環境では、\[comcfg、dfs$\] に設定します。 **注** :このグループ ポリシー設定に他の共有を追加すると危険な場合があります。表示される共有には任意のネットワーク ユーザーがアクセスできるので、機密データが漏洩したり、破損したりする可能性があります。 ##### ネットワーク アクセス:ローカル アカウントの共有とセキュリティ モデル このポリシー設定では、ローカル アカウントを使用するネットワーク ログオンの認証方法を指定します。\[クラシック\] オプションを使用すると、リソースへのアクセスを細かく制御できます。たとえば、同一リソースに対して、異なるユーザーに種類の異なるアクセス権を割り当てることができます。\[Guest のみ\] オプションを使用すると、すべてのユーザーを同等に扱うことができます。このコンテキストでは、\[Guest のみ\] として認証されるすべてのユーザーは、特定のリソースへの同じアクセス レベルを取得します。 したがって、この章で説明している 2 つの環境では、\[ローカル アカウントの共有とセキュリティ モデル\] の既定値の \[クラシック\] オプションを使用します。 #### ネットワーク セキュリティ 次の表に、ネットワーク セキュリティのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。 **表 3.13 セキュリティ オプションの推奨設定 - ネットワーク セキュリティ**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
ネットワーク セキュリティ:次のパスワードの変更で LAN Manager のハッシュの値を保存しない	有効	有効	有効	有効
ネットワーク セキュリティ:LAN Manager 認証レベル	NTLMｖ2 応答のみを送信 (LM を拒否する)	NTLMｖ2 応答のみを送信 (LM を拒否する)	NTLMv2 応答のみ送信\LM と NTLM を拒否する	NTLMv2 応答のみ送信\LM と NTLM を拒否する
ネットワーク セキュリティ:必須の署名をしている LDAP クライアント	ネゴシエーション署名	ネゴシエーション署名	ネゴシエーション署名	ネゴシエーション署名
ネットワーク セキュリティ:セキュア RPC を含む NTLM SSP ベースのクライアントの最小のセッション セキュリティ	メッセージの機密性が必要、メッセージの整合性が必要、NTLMv2 セッション セキュリティが必要、 128 ビット暗号化が必要	メッセージの機密性が必要、メッセージの整合性が必要、NTLMv2 セッション セキュリティが必要、 128 ビット暗号化が必要	メッセージの機密性が必要、メッセージの整合性が必要、NTLMv2 セッション セキュリティが必要、 128 ビット暗号化が必要	メッセージの機密性が必要、メッセージの整合性が必要、NTLMv2 セッション セキュリティが必要、 128 ビット暗号化が必要
ネットワーク セキュリティ:セキュア RPC を含む NTLM SSP ベースのサーバーの最小のセッション セキュリティ	メッセージの機密性が必要、メッセージの整合性が必要、NTLMv2 セッション セキュリティが必要、 128 ビット暗号化が必要	メッセージの機密性が必要、メッセージの整合性が必要、NTLMv2 セッション セキュリティが必要、 128 ビット暗号化が必要	メッセージの機密性が必要、メッセージの整合性が必要、NTLMv2 セッション セキュリティが必要、 128 ビット暗号化が必要	メッセージの機密性が必要、メッセージの整合性が必要、NTLMv2 セッション セキュリティが必要、 128 ビット暗号化が必要

ネットワーク セキュリティ:次のパスワードの変更で LAN Manager のハッシュの値を保存しない

このポリシー設定では、パスワードの変更時に、新しいパスワードの LAN Manager (LM) のハッシュ値を保存するかどうかを指定します。暗号強度の高い Windows NT® ハッシュに比べて、LM ハッシュは比較的弱く、攻撃を受けやすくなっています。

そのため、この章で説明している 2 つの環境では、[ネットワーク セキュリティ: 次のパスワードの変更で LAN Manager のハッシュの値を保存しない] の値を [有効] に設定します。

注 :このポリシー設定が有効になっていると、古いオペレーティング システムおよび一部のサードパーティ アプリケーションは正しく動作しない可能性があります。また、この設定を有効にした後は、すべてのアカウントのパスワードを変更する必要があります。

ネットワーク セキュリティ:LAN Manager 認証レベル

このポリシー設定では、Windows 2000 および Window XP Professional 以外のクライアントを使用したネットワーク ログオンに対するチャレンジ/レスポンス認証の種類を指定します。LAN Manager 認証 (LM) は最もセキュリティの低い方法です。暗号化されたパスワードは、ネットワークから簡単に抽出され、解読されてしまいます。NT LAN Manager (NTLM) はこれよりも若干セキュリティの高い方法です。NTLMv2 は、Windows XP Professional、Windows 2000、および Windows NT 4.0 Service Pack 4 (SP4) 以降で使用できる、NTLM より高いセキュリティを持つバージョンです。NTLMv2 は、オプションのディレクトリ サービス クライアントを使用すれば、Windows 95 および Windows 98 でも使用できます。

このポリシーは、環境で最も強力な認証レベルに設定することをお勧めします。Windows 2000 Server または Windows Server 2003 のみを実行している環境で Windows XP Professional ワークステーションを使用している場合は、このポリシー設定をセキュリティ強度が最も高い [NTLMv2 応答のみ送信\LM と NTLM を拒否する] オプションに設定します。

[ネットワーク セキュリティ: LAN Manager 認証レベル] の値は、EC 環境では [NTLMｖ2 応答のみを送信 (LM を拒否する)] に設定します。SSLF 環境では、より制限の厳しい [NTLMv2 応答のみ送信\LM と NTLM を拒否する] に設定します。

ネットワーク セキュリティ:必須の署名をしている LDAP クライアント

このポリシー設定では、LDAP BIND 要求を発行するクライアントに代わって要求されるデータ署名のレベルを指定します。署名がないネットワーク トラフィックは仲介者攻撃を受けやすいので、攻撃者は LDAP クライアントから不正なクエリを送信して、LDAP サーバーがそのクエリに基づいて誤った判定処理を行う可能性があります。

したがって、この章で説明している 2 つの環境では、[ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント] の値を [ネゴシエーション署名] に設定します。

ネットワーク セキュリティ:セキュア RPC を含む NTLM SSP ベースのクライアントの最小のセッション セキュリティ

このポリシー設定では、クライアントのアプリケーション間の通信に対する最小のセキュリティ標準を指定します。このポリシー設定のオプションは次のとおりです。

• メッセージの整合性が必要

• メッセージの機密性が必要

• NTLMv2 セッション セキュリティが必要

• 128 ビット暗号化が必要

ネットワーク上のすべてのコンピュータが NTLMv2 および 128 ビット暗号化に対応できる場合は (Windows XP Professional SP2 や Windows Server 2003 SP1 など)、これら 4 つの設定オプションをすべて選択することで、最高レベルのセキュリティを確保できます。

この章で説明している 2 つの環境では、[ネットワーク セキュリティ: セキュア RPC を含む NTLM SSP ベースのクライアントの最小のセッション セキュリティ] の 4 つのオプションをすべて有効にします。

ネットワーク セキュリティ:セキュア RPC を含む NTLM SSP ベースのサーバーの最小のセッション セキュリティ

このポリシー設定は、前の設定と似ていますが、アプリケーションとの通信のサーバー側に影響する点が異なります。このポリシー設定のオプションは前の設定と同じで、次のとおりです。

• メッセージの整合性が必要

• メッセージの機密性が必要

• NTLMv2 セッション セキュリティが必要

• 128 ビット暗号化が必要

ネットワーク上のすべてのコンピュータが NTLMv2 および 128 ビット暗号化に対応できる場合は (Windows XP Professional SP2 や Windows Server 2003 SP1 など)、これら 4 つのオプションをすべて選択することで、最高レベルのセキュリティを確保できます。

この章で説明している 2 つの環境では、[ネットワーク セキュリティ: セキュア RPC を含む NTLM SSP ベースのサーバーの最小のセッション セキュリティ] の 4 つのオプションをすべて有効にします。

回復コンソール

次の表に、回復コンソールのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。

表 3.14 セキュリティ オプションの推奨設定 - 回復コンソール

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
回復コンソール:自動管理ログオンを許可する	無効	無効	無効	無効
回復コンソール:すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する	未定義	未定義	無効	無効

##### 回復コンソール:自動管理ログオンを許可する 回復コンソールは、システム障害の復旧に使用するコマンド ライン環境です。このポリシー設定を有効にした場合、起動時に回復コンソールが呼び出されたときに、そのアカウントが自動的に回復コンソールにログオンします。回復コンソールにアクセスする際には管理者によるパスワード入力が必要となるように、この設定を無効にすることをお勧めします。 この章で説明している 2 つの環境では、\[回復コンソール: 自動管理ログオンを許可する\] の値を \[無効\] に設定します。 ##### 回復コンソール:すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する このポリシー設定により、回復コンソールの SET コマンドが使用可能になります。この SET コマンドを使用して、次の回復コンソール環境変数を設定できます。 - **AllowWildCards**:コマンドの一部 (DEL コマンドなど) でワイルドカード サポートを有効にする。 - **AllowAllPaths**:コンピュータ上のすべてのファイルとフォルダへのアクセスを許可する。 - **AllowRemovableMedia**:ファイルを、フロッピー ディスクなどのリムーバブル メディアにコピーすることを許可する。 - **NoCopyPrompt**:既存ファイルを上書きするときに、通知を行わないようにする。 \[回復コンソール: すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する\] の値は、EC 環境では \[未定義\] に設定します。SSLF 環境では、最高レベルのセキュリティを確保するため、\[無効\] に設定します。 #### シャットダウン 次の表に、シャットダウンのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。 **表 3.15 セキュリティ オプションの推奨設定 - シャットダウン**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
シャットダウン:システムをシャットダウンするのにログオンを必要としない	未定義	未定義	無効	無効
シャットダウン:仮想メモリのページ ファイルをクリアする	無効	無効	無効	無効

##### シャットダウン:システムをシャットダウンするのにログオンを必要としない このポリシー設定では、ユーザーがコンピュータにログオンしなくても、コンピュータをシャットダウンできるかどうかを指定します。このポリシー設定を有効にすると、シャットダウン コマンドが Windows のログオン画面で使用可能になります。このポリシー設定は無効にし、コンピュータをシャットダウンできる権限を、そのシステムで資格を持つユーザーに制限することをお勧めします。 \[シャットダウン: システムをシャットダウンするのにログオンを必要としない\] の値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 ##### シャットダウン:仮想メモリのページ ファイルをクリアする このポリシー設定では、システムのシャットダウン時に仮想メモリのページ ファイルをクリアするかどうかを指定します。このポリシー設定を有効にすると、システムが正常にシャットダウンするたびに、システムのページ ファイルがクリアされます。また、このセキュリティ設定を有効にしている状態で、ポータブル コンピュータ システム上で休止状態が無効になっている場合は、休止状態ファイル (Hiberfil.sys) もゼロにされます。サーバーをシャットダウンして再起動すると時間がかかり、大きなページング ファイルを持つサーバーでは特にそれが顕著になります。 そのため、この章で説明している 2 つの環境のすべてのコンピュータでは、\[シャットダウン: 仮想メモリのページ ファイルをクリアする\] の値を \[無効\] に設定します。 #### システム暗号化 次の表に、システム暗号化のセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。 **表 3.16 セキュリティ オプションの推奨設定 - システム暗号化**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
システム暗号化:暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う	未定義	未定義	無効	無効

##### システム暗号化:暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う このポリシー設定では、Transport Layer Security/Secure Sockets Layer (TL/SS) セキュリティ プロバイダが TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA 暗号スイートだけをサポートするかどうかを指定します。このポリシー設定によってセキュリティ強度は高くなるものの、TLS または SSL を使用してセキュリティを確保している一般のほとんどの Web サイトでは、これらのアルゴリズムをサポートしていません。また、このポリシー設定を有効にしたクライアント コンピュータは、FIPS 準拠アルゴリズムを使用するように構成されていないサーバーのターミナル サービスに接続できなくなります。 \[システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う\] の値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 **注** :このポリシー設定を有効にすると、3DES プロセスがファイルのデータ ブロックごとに 3 回実行されるため、コンピュータのパフォーマンスが低下します。このポリシー設定は、組織で FIPS への準拠が必要な場合のみ有効にすることをお勧めします。 #### システム オブジェクト 次の表に、システム オブジェクトのセキュリティ オプションの推奨設定を示します。詳細については、表の後の各サブセクションを参照してください。 **表 3.17 セキュリティ オプションの推奨設定 - システム オブジェクト**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
システム オブジェクト:Administrators グループのメンバによって作成されたオブジェクトの既定の所有者	Object Creator	Object Creator	Object Creator	Object Creator
システム オブジェクト:Windows システムではないサブシステムのための大文字と小文字の区別をしないことが必須	未定義	未定義	有効	有効
システム オブジェクト:内部のシステム オブジェクトの既定のアクセス許可を強化する	有効	有効	有効	有効

##### システム オブジェクト:Administrators グループのメンバによって作成されたオブジェクトの既定の所有者 このポリシー設定では、**Administrators** グループと **Object Creator** グループのどちらを新規システム オブジェクトの既定の所有者にするかを指定します。 この章で説明している 2 つの環境では、責任の所在をより明確にするため、\[システム オブジェクト: 内部のシステム オブジェクトの既定のアクセス許可を強化する\] の値を \[Object Creator\] グループに設定します。 ##### システム オブジェクト:Windows システムではないサブシステムのための大文字と小文字の区別をしないことが必須 このポリシー設定では、すべてのサブシステムで大文字と小文字を区別するかどうかを指定します。Microsoft Win32® サブシステムでは、大文字と小文字を区別しません。ただし、このカーネルでは、POSIX (Portable Operating System Interface for UNIX) などの他のサブシステムに対して大文字と小文字を区別します。Windows では大文字と小文字を区別しませんが、POSIX サブシステムでは大文字と小文字を区別するので、このポリシー設定を使用しないと、POSIX サブシステムのユーザーがファイルを作成してそれに大文字と小文字が混在する名前を付けたときに、別のファイルと同じ名前になる場合があります。この場合、使用できるファイルは 1 つだけなので、標準の Win32 ツールを使用する別のユーザーがこれらのファイルにアクセスできなくなることがあります。 ファイル名の整合性を確保するため、\[システム オブジェクト: Windows システムではないサブシステムのための大文字と小文字の区別をしないことが必須\] の値を、EC 環境では \[未定義\]、SSLF 環境では \[有効\] に設定します。 ##### システム オブジェクト:内部のシステム オブジェクトの既定のアクセス許可を強化する このポリシー設定では、オブジェクトの既定の随意アクセス制御リスト (DACL) の強度を指定します。この設定を有効にすると、プロセス間で検索および共有を行うことができるオブジェクトを保護できるようになり、その既定の構成によって DACL が強化されます。これは、管理者以外のユーザーが、共有オブジェクトを読み込むことはできても、そのユーザーが作成していないオブジェクトを変更できないからです。 したがって、この章で説明している 2 つの環境では、\[システム オブジェクト: 内部のシステム オブジェクトの既定のアクセス許可を強化する\] (たとえば、シンボリック リンクなどの内部のシステム オブジェクト) の値を、既定の \[有効\] に設定します。 [](#mainsection)[ページのトップへ](#mainsection) ### イベント ログのセキュリティ設定 イベント ログにはシステムのイベントが記録され、セキュリティ ログには監査イベントが記録されます。グループ ポリシーのイベント ログ コンテナは、最大ログ サイズ、各ログに対するアクセス権、保存設定、保存方法など、アプリケーション イベント ログ、セキュリティ イベント ログ、およびシステム イベント ログに関する属性を定義します。アプリケーション イベント ログ、セキュリティ イベント ログ、およびシステム イベント ログは、メンバ サーバー ベースライン ポリシー (MSBP) で設定され、ドメイン内のすべてのメンバ サーバーに適用されます。 イベント ログの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\Windows の設定\\セキュリティの設定\\イベント ログ** ここでは、この章で説明している 2 つの環境の規定された設定について詳しく説明します。ここで説明する規定の設定の概要については、Microsoft Excel® ブック「Windows XP Security Guide Settings」 を参照してください。各設定の既定値および詳細については、https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx の関連ガイド『[*脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定*](https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx)』を参照してください。この関連ガイドでは、ログ サイズを大きな値に設定した場合に、イベント ログ データが消失する可能性について詳しく説明しています。 次の表に、この章で説明しているエンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境のデスクトップおよびラップトップのクライアントに関する、推奨のイベント ログのセキュリティ設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 3.18 イベント ログ セキュリティの推奨設定**

設定	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
アプリケーション ログの最大サイズ	16384 KB	16384 KB	16384 KB	16384 KB
セキュリティ ログの最大サイズ	81920 KB	81920 KB	81920 KB	81920 KB
システム ログの最大サイズ	16384 KB	16384 KB	16384 KB	16384 KB
ゲストによるアプリケーション ログへのアクセスを許可しない	有効	有効	有効	有効
ゲストによるセキュリティ ログへのアクセスを許可しない	有効	有効	有効	有効
ゲストによるシステム ログへのアクセスを許可しない	有効	有効	有効	有効
アプリケーション ログの保存方法	必要時	必要時	必要時	必要時
セキュリティ ログの保存方法	必要時	必要時	必要時	必要時
システム ログの保存方法	必要時	必要時	必要時	必要時

#### アプリケーション ログの最大サイズ このポリシー設定では、アプリケーション イベント ログの最大サイズを指定します。このログの最大容量は 4 GB です。ただし、このサイズを設定すると、メモリの断片化によってパフォーマンスが低下し、イベント ログ記録の信頼性が低下する可能性があるため、このサイズはお勧めできません。アプリケーション ログ サイズの要件は、プラットフォームの機能と、アプリケーション関連イベントの履歴記録の必要条件によって異なります。 この章で説明している 2 つの環境のすべてのコンピュータでは、\[アプリケーション ログの最大サイズ\] の値を \[16384 KB\] に設定します。 #### セキュリティ ログの最大サイズ このポリシー設定では、セキュリティ イベント ログの最大サイズを指定します。このログの最大容量は 4 GB です。ただし、このサイズを設定すると、メモリの断片化によってパフォーマンスが低下し、イベント ログ記録の信頼性が低下する可能性があるため、このサイズはお勧めできません。セキュリティ ログ サイズの要件は、プラットフォームの機能と、アプリケーション関連イベントの履歴記録の必要条件によって異なります。 この章で説明している 2 つの環境のすべてのコンピュータでは、\[セキュリティ ログの最大サイズ\] の値を \[81920 KB\] に設定します。 #### システム ログの最大サイズ このポリシー設定では、システム イベント ログの最大サイズを指定します。このログの最大容量は 4 GB です。ただし、このサイズを設定すると、メモリの断片化によってパフォーマンスが低下し、イベント ログ記録の信頼性が低下する可能性があるため、このサイズはお勧めできません。システム ログ サイズの要件は、プラットフォームの機能やアプリケーション関連イベントの履歴記録のニーズによって異なります。 この章で説明している 2 つの環境のすべてのコンピュータでは、\[システム ログの最大サイズ\] の値を \[16384 KB\] に設定します。 #### ゲストによるアプリケーション ログへのアクセスを許可しない このポリシー設定では、ゲストがアプリケーション イベント ログにアクセスできないようにするかどうかを指定します。Windows Server 2003 の既定では、ゲスト アクセスは、すべてのシステムで禁止されています。したがって、このポリシー設定は、既定のシステム構成では実際に影響を及ぼしません。ただし、この設定は副作用のない多層防御設定と考えられます。 この章で説明している 2 つの環境では、\[ゲストによるアプリケーション ログへのアクセスを許可しない\] の値を \[有効\] に設定します。 #### ゲストによるセキュリティ ログへのアクセスを許可しない このポリシー設定では、ゲストがセキュリティ イベント ログにアクセスできないようにするかどうかを指定します。ユーザーがセキュリティ ログにアクセスするには、このガイダンスでは定義していない**監査とセキュリティ ログの管理**ユーザー権利が割り当てられている必要があります。したがって、このポリシー設定は、既定のシステム構成では実際に影響を及ぼしません。ただし、この設定は副作用のない多層防御設定と考えられます。 この章で説明している 2 つの環境では、\[ゲストによるセキュリティ ログへのアクセスを許可しない\] の値を \[有効\] に設定します。 #### ゲストによるシステム ログへのアクセスを許可しない このポリシー設定では、ゲストがシステム イベント ログにアクセスできないようにするかどうかを指定します。Windows Server 2003 の既定では、ゲスト アクセスは、すべてのシステムで禁止されています。したがって、このポリシー設定は、既定のシステム構成では実際に影響を及ぼしません。ただし、この設定は副作用のない多層防御設定と考えられます。 この章で説明している 2 つの環境では、\[ゲストによるシステム ログへのアクセスを許可しない\] の値を \[有効\] に設定します。 #### アプリケーション ログの保存方法 このポリシー設定では、アプリケーション ログの保存方法を指定します。不正処理の調査またはトラブルシューティングを実施するために履歴イベントが必要な場合は、アプリケーション ログのアーカイブ処理を定期的に行う必要があります。必要に応じてイベントを上書きすると、履歴データの一部は失われますが、常に最新のイベントがログに保存されます。 この章で説明している 2 つの環境では、\[アプリケーション ログの保存方法\] の値を \[必要時\] に設定します。 #### セキュリティ ログの保存方法 このポリシー設定では、セキュリティ ログの保存方法を指定します。不正処理の調査またはトラブルシューティングを実施するために履歴イベントが必要な場合は、セキュリティ ログのアーカイブ処理を定期的に行う必要があります。必要に応じてイベントを上書きすると、履歴データの一部は失われますが、常に最新のイベントがログに保存されます。 この章で説明している 2 つの環境では、\[セキュリティ ログの保存方法\] の値を \[必要時\] に設定します。 #### システム ログの保存方法 このポリシー設定では、システム ログの保存方法を指定します。不正処理の調査またはトラブルシューティングを実施するために履歴イベントが必要な場合は、システム ログのアーカイブ処理を定期的に行う必要があります。必要に応じてイベントを上書きすると、履歴データの一部は失われますが、常に最新のイベントがログに保存されます。 この章で説明している 2 つの環境では、\[システム ログの保存方法\] の値を \[必要時\] に設定します。 [](#mainsection)[ページのトップへ](#mainsection) ### 制限されたグループ \[制限されたグループ\] 設定では、Windows XP Professional の Active Directory グループ ポリシーを使用してグループのメンバシップを管理できます。最初に、組織のニーズを確認して、制限するグループを決定します。このガイダンスでは、**Backup Operators** グループと **Power Users** グループを 2 つの環境で制限しています。**Remote Desktop Users** グループについては、SSLF 環境だけで制限しています。**Backup Operators** グループと **Power Users** グループのメンバは **Administrators** グループのメンバに比べてシステム アクセスが制限されていますが、それでもシステムに対して強いアクセス権を持っています。 **注 :** 組織がこれらのグループを使用している場合は、そのメンバシップを慎重に管理し、\[制限されたグループ\] 設定のガイダンスは実装しないでください。組織で Power Users グループにユーザーを追加する場合は、この章の「ファイル システムを保護する」セクションで説明する、オプションのファイル システム アクセス許可を実装することもできます。 **表 3.19 \[制限されたグループ\] の推奨設定**

ローカル グループ	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
Backup Operators	メンバなし	メンバなし	メンバなし	メンバなし
Power Users	メンバなし	メンバなし	メンバなし	メンバなし
Remote Desktop Users			メンバなし	メンバなし

\[制限されたグループ\] 設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\Windows の設定\\セキュリティの設定\\制限されたグループ\\** 管理者は、任意のグループを GPO の名前空間にある、**制限されたグループ** ノードに直接追加することによって、GPO に制限されたグループを構成できます。 グループを制限すると、そのグループのメンバおよびそのグループが所属する他のグループを定義できます。グループのメンバを指定しなかった場合は、グループ全体が制限されたままになります。グループを制限するには、セキュリティ テンプレートを使用する必要があります。 **\[制限されたグループ\] 設定を表示または変更するには** 1. \[セキュリティ テンプレートの管理コンソール\] を開きます。 **注** :既定では、\[セキュリティ テンプレートの管理コンソール\] は \[管理ツール\] メニューに追加されていません。\[セキュリティ テンプレートの管理コンソール\] を追加するには、Microsoft 管理コンソール (mmc.exe) を起動して、\[セキュリティ テンプレートのアドイン\] を追加します。 2. 構成ファイルのディレクトリをダブルクリックして、構成ファイルをダブルクリックします。 3. \[制限されたグループ\] の項目をダブルクリックします。 4. \[制限されたグループ\] を右クリックし、\[グループの追加\] をクリックします。 5. \[参照\]、\[場所\] を順にクリックしてから、参照する場所を選択し、\[OK\] をクリックします。 **注** :通常、この操作を行うときは、リストの先頭にローカル コンピュータが表示されます。 6. \[選択するオブジェクト名を入力してください\] ボックスにグループ名を入力し、\[名前の確認\] をクリックします。 または \[詳細設定\]、\[検索開始\] を順にクリックし、使用可能なグループをすべて表示します。 7. 制限するグループを選択し、\[OK\] をクリックします。 8. \[グループの追加\] ダイアログ ボックスの \[OK\] をクリックしてダイアログ ボックスを閉じます。 このガイダンスでは、EC と SSLF の 2 つの環境で、グループ全体を制限するために、Power Users グループと Backup Operators グループのすべてのメンバ (ユーザーおよびグループ) の設定を削除します。また、SSLF 環境では、Remote Desktop Users グループのすべてのメンバを削除します。組織で使用する予定のないビルトイン グループはすべて制限することをお勧めします。 **注** :このセクションで説明した \[制限されたグループ\] の構成は単純です。Windows XP SP1 以降および Windows Server 2003 では、より複雑な構成をサポートしています。詳細については、https://support.microsoft.com/default.aspx?kbid=810076 のマイクロソフト サポート技術情報「[ユーザー定義のローカル グループの制限されたグループ ("所属するグループ") の動作に対する更新プログラム](https://support.microsoft.com/default.aspx?kbid=810076)」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### システム サービス Windows XP Professional をインストールすると、既定のシステム サービスが作成され、システムの起動時に実行するように構成されます。これらのシステム サービスの多くは、この章で説明している環境で実行する必要はありません。 Windows XP Professional では、オペレーティング システムの既定のインストールではインストールされませんが、IIS など、その他にも使用可能なオプション サービスが用意されています。これらのオプション サービスは、\[コントロール パネル\] の \[プログラムの追加と削除\] を使用するか、Windows XP Professional のカスタマイズされた自動インストールを作成することによって、既存のシステムに追加できます。 **重要** :どのサービスやアプリケーションであっても、攻撃ポイントとなる可能性があります。そのため、不要なサービスや実行ファイルは、使用している環境で無効にするか、または削除する必要があります。 システム サービスの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\Windows の設定\\セキュリティの設定\\システム サービス** 管理者はシステム サービスのスタートアップ モードを設定し、各サービスのセキュリティ設定を変更できます。 **重要** :Windows 2003 より前の Windows オペレーティング システムに含まれていたサービスを編集するためのグラフィカル ツールの各バージョンでは、サービスのプロパティを構成するときに、各サービスにアクセス許可が自動的に適用されます。グループ ポリシー オブジェクト エディタや MMC の \[セキュリティ テンプレート\] スナップインなどのツールは、セキュリティ構成エディタの DLL を使用してこれらのアクセス許可を適用します。既定のアクセス許可を変更すると、多くのサービスでさまざまな問題が発生します。Windows XP または Windows Server 2003 に含まれているサービスのアクセス許可は、変更しないことをお勧めします。既定のアクセス許可でも十分にアクセスを制限できます。 サービスのプロパティを編集するときに、Windows Server 2003 のセキュリティ構成エディタの DLL によってアクセス許可の構成が強制されることはありません。詳細については、https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx の関連ガイド『[*脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定*](https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx)』 を参照してください。 次の表に、この章で説明しているエンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境のデスクトップおよびラップトップ クライアントに関するシステム サービスの推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 3.20 システム サービスのセキュリティの推奨設定**

サービス名	表示名	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
Alerter	Alerter	無効	無効	無効	無効
ClipSrv	ClipBook	無効	無効	無効	無効
Browser	Computer Browser	未定義	未定義	無効	無効
Fax	Fax	未定義	未定義	無効	無効
MSFtpsvr	FTP Publishing	無効	無効	無効	無効
IISADMIN	IIS Admin	無効	無効	無効	無効
cisvc	Indexing Service	未定義	未定義	無効	無効
Messenger	Messenger	無効	無効	無効	無効
mnmsrvc	NetMeeting® Remote Desktop Sharing	無効	無効	無効	無効
RDSessMgr	Remote Desktop Help Session Manager	未定義	未定義	無効	無効
RemoteAccess	Routing and Remote Access	無効	無効	無効	無効
SNMP	SNMP Service	無効	無効	無効	無効
SNMPTRAP	SNMP Trap Service	無効	無効	無効	無効
SSDPSrv	SSDP Discovery Service	無効	無効	無効	無効
Schedule	Task Scheduler	未定義	未定義	無効	無効
TlntSvr	Telnet	無効	無効	無効	無効
TermService	Terminal Services	未定義	未定義	無効	無効
Upnphost	Universal Plug and Play Device Host	未定義	未定義	無効	無効
W3SVC	World Wide Web Publishing	無効	無効	無効	無効

#### Alerter このサービスは、選択したユーザーおよびコンピュータに管理警告を通知します。このサービスを使用すると、ネットワークに接続している指定のユーザーに警告メッセージを送信できます。 **Alerter** サービスの値は \[無効\] に設定して、ネットワーク上で情報が送信されないようにします。この設定を行うと、この章で説明している 2 つの環境のセキュリティが強化されます。 **注** :このサービスを無効にすると、無停電電源装置 (UPS) 警告メッセージ システムの機能に影響する可能性があります。 #### ClipBook このサービスにより、クリップブック ビューアで、リモート コンピュータで表示できるデータの "ページ" を作成および共有できるようになります。このサービスは Network Dynamic Data Exchange (NetDDE) サービスに依存して、他のコンピュータが接続できる実際のファイル共有を作成します。**Clipbook** アプリケーションおよびサービスでは、共有するデータのページを作成できます。このサービスに明示的に依存するすべてのサービスは失敗します。ただし、Clipbrd.exe を使用すれば、ローカルのクリップボードを表示できます。ローカルのクリップボードには、ユーザーがテキストを選択し、\[編集\] メニューの \[コピー\] をクリックするか、または Ctrl キーを押しながら C キーを押すと、データが保存されます。 この章で説明している 2 つの環境では、セキュリティを強化するため、\[ClipBook\] サービスの値を \[無効\] に設定します。 #### Computer Browser このサービスは、ネットワーク上のコンピュータの最新一覧を管理し、一覧を要求したプログラムに提供します。このサービスは、ネットワーク ドメインやリソースを参照する必要がある Windows ベースのコンピュータによって使用されます。 セキュリティを強化するため、\[Computer Browser\] サービスの値を、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 #### Fax このサービスは、Telephony API (TAPI) 準拠のサービスで、環境内のクライアントに FAX 機能を提供します。このサービスにより、ユーザーは、ローカル FAX デバイスまたは共有ネットワーク FAX デバイスのいずれかを使用して、デスクトップ アプリケーションから FAX を送受信できるようになります。 \[Fax\] サービスの値は、EC 環境では \[未定義\] に設定します。SSLF 環境では、セキュリティを強化するため、\[無効\] に設定します。 #### FTP Publishing このサービスを使用すると、MMCの \[IIS\] スナップインにより接続と管理を行うことができます。このサービスに対するビジネス ニーズがない場合は、環境内の Windows XP クライアントにこのサービスをインストールしないことをお勧めします。 この章で説明している 2 つの環境では、\[FTP Publishing\] サービスの値を \[無効\] に設定します。 #### IIS Admin このサービスを使用すると、FTP、アプリケーション プール、Web サイト、Web サービス拡張などの IIS コンポーネントを管理できます。このサービスを無効にすると、ユーザーのコンピュータで Web サイトや FTP サイトを運用できなくなります。このような機能はほとんどの Windows XP クライアント コンピュータでは必要ありません。 この章で説明している 2 つの環境では、\[IIS Admin\] サービスの値を \[無効\] に設定します。 #### Indexing Service このサービスは、ローカル コンピュータとリモート コンピュータ上のファイルの内容とプロパティのインデックスを作成します。これにより、柔軟なクエリ言語を使用することで、ファイルへのアクセスが速くなります。また、このサービスを使用すると、ローカル コンピュータやリモート コンピュータ上の文書を高速検索することもでき、Web 上で共有されるコンテンツの検索インデックスを作成することもできます。 \[Indexing Service\] の値は、EC 環境のコンピュータでは \[未定義\] に設定します。SSLF 環境では、セキュリティを強化するため、\[無効\] に設定します。 #### Messenger このサービスは、クライアントとサーバー間で **Alerter** サービス メッセージを送信します。このサービスは、Windows Messenger や MSN Messenger とは無関係で、Windows XP クライアント コンピュータでは必要ありません。 そのため、この章で説明している 2 つの環境では、\[Messenger\] サービスの値を \[無効\] に設定します。 #### NetMeeting Remote Desktop Sharing このサービスにより、権限のあるユーザーは、企業のイントラネットで Microsoft NetMeeting を使用して、リモートでクライアントにアクセスできます。このサービスは、NetMeeting で明示的に有効にする必要があります。NetMeeting でこの機能を無効にしたり、Windows のトレイ アイコンを使用してサービスをシャットダウンしたりすることもできます。また、「第 4 章 : Windows XP の管理テンプレート」で説明するように、\[リモート デスクトップ共有を無効にする\] 設定を使用して、この機能をグループ ポリシーで無効にすることもできます。遠隔地からのクライアントへのアクセスを防ぐため、このサービスを無効にすることをお勧めします。 この章で説明している 2 つの環境では、\[NetMeeting Remote Desktop Sharing\] サービスの値を \[無効\] に設定します。 #### Remote Desktop Help Session Manager このサービスは、ヘルプとサポート センター アプリケーション (Helpctr.exe) 内のリモート アシスタンス機能を管理および制御します。 \[Remote Desktop Help Session Manager\] サービスの値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 #### Routing and Remote Access このサービスは、複数プロトコルの LAN-to-LAN、LAN-to-WAN、VPN、および NAT ルーティング サービスを提供します。また、ダイヤルアップと VPN のリモート アクセス サービスも提供します。 この章で説明している 2 つの環境では、\[Routing and Remote Access\] サービスの値を \[無効\] に設定します。 #### SNMP Service このサービスを使用すると、Simple Network Management Protocol (SNMP) の着信要求をローカル コンピュータで処理できます。**SNMP Service** には、ネットワーク デバイスのアクティビティを監視し、ネットワーク コンソール ワークステーションに報告するエージェントが含まれています。 この章で説明している 2 つの環境では、\[SNMP Service\] の値を \[無効\] に設定します。 #### SNMP Trap Service このサービスは、ローカルまたはリモートの SNMP エージェントによって生成されたトラップ メッセージを受信し、コンピュータで実行されている SNMP 管理プログラムに転送します。**SNMP Service** をエージェントに構成すると、特定のイベントが発生したときにこのサービスがトラップ メッセージを生成します。これらのメッセージはトラップの宛先に送信されます。 この章で説明している 2 つの環境では、\[SNMP Trap Service\] の値を \[無効\] に設定します。 #### SSDP Discovery Service このサービスによって、Universal Plug and Play ホスト サービスは、UPnP ネットワーク デバイスを検索および識別することができます。**SSDP Discovery Service** を無効にすると、システムはネットワーク上の UPnP デバイスを検索できなくなり、Universal Plug and Play ホスト サービスは UPnP デバイスを検索してそのデバイスとやり取りすることができなくなります。 この章で説明している 2 つの環境では、\[SSDP Discovery Service\] の値を \[無効\] に設定します。 #### Task Scheduler このサービスを利用すると、コンピュータで自動化されたタスクを構成し、そのスケジュールを設定できます。このサービスは、ユーザーが選択した基準をモニタし、基準が満たされるとタスクを実行します。 \[Task Scheduler\] サービスの値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 #### Telnet Windows 用の Telnet サービスは、Telnet クライアントへの ASCII ターミナル セッションを提供します。このサービスは、2 種類の認証と 4 種類のターミナル (ANSI、VT-100、VT-52、および VTNT) をサポートします。ただし、このサービスは、多くの Windows XP クライアントでは必要ありません。 この章で説明している 2 つの環境では、\[Telnet\] サービスの値を \[無効\] に設定します。 #### Terminal Services このサービスは、マルチセッション環境を提供し、クライアントのデバイスはサーバー上の仮想 Windows デスクトップ セッションと Windows ベースのプログラムにアクセスできるようになります。Windows XP では、リモート ユーザーがコンピュータに対話的に接続して、リモート コンピュータ上でデスクトップやアプリケーションを表示できます。 \[Terminal Services\] サービスの値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 #### Universal Plug and Play Device Host このサービスは、ネットワーク デバイスのピア ツー ピアのプラグ アンド プレイ機能をサポートします。UPnP 仕様は、デバイスとネットワーク サービスのインストールと管理を簡素化することを目的としています。UPnP は、ドライバに依存しない、標準準拠のプロトコルにより、デバイスおよびサービスの検索と制御を行います。UPnP デバイスは、ネットワーク アドレス指定を自動構成したり、ネットワーク サブネット上でその存在を通知したり、デバイスとサービスの情報を交換したりします。Windows XP コンピュータは、UPnP 制御ポイントとして機能して、Web インターフェイスまたはアプリケーション インターフェイスを通じてデバイスを検出および制御できます。 \[Universal Plug and Play Device Host\] サービスの値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 #### World Wide Web Publishing このサービスを使用すると、MMC の \[IIS\] スナップインにより Web との接続とその管理を行うことができます。このサービスは、Windows プラットフォームのアプリケーションに HTTP サービスを提供し、プロセス マネージャと構成マネージャを備えています。ただし、このサービスは、多くの Windows XP クライアントでは必要ありません。 この章で説明している 2 つの環境では、\[World Wide Web Publishing\] サービスの値を \[無効\] に設定します。 [](#mainsection)[ページのトップへ](#mainsection) ### 追加のレジストリ設定 追加のレジストリ値のエントリは、この章で説明している 2 つのセキュリティ環境の管理用テンプレート (.adm) ファイルで定義されていない、ベースライン セキュリティ テンプレート ファイルについて作成されています。 これらの設定は、セキュリティ テンプレートの "セキュリティ オプション" セクションに埋め込まれ、実装は自動的に行われます。ポリシーが削除された場合も、これらの設定は自動的に削除されないため、Regedt32.exe などのレジストリ編集ツールを使用して手動で変更する必要があります。 このガイドでは、セキュリティ構成エディタ (SCE) に追加する設定を示します。設定を追加するには、**%windir%\\inf** フォルダ内にある Sceregvl.inf ファイルを変更し、Scecli.dll ファイルを再登録します。元のセキュリティ設定と追加設定は、この章で前に示したスナップインとツールの**ローカル ポリシー\\セキュリティ オプション**セクションに表示されます。このガイドに示すセキュリティ テンプレートとグループ ポリシーを編集する必要があるコンピュータについて、次のサブセクション「セキュリティ構成エディタのユーザー インターフェイスの変更方法」の説明に従って、Sceregvl.inf ファイルを更新し、Scecli.dll を再登録する必要があります。 次の表に、この章で説明しているエンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境のデスクトップおよびラップトップ クライアントに関する追加レジストリの推奨設定を示します。 各設定の詳細については、表の後の各サブセクションを参照してください。各設定の既定値および詳細については、https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx の関連ガイド『[*脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定*](https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx)』を参照してください。 **表 3.21 追加のレジストリ設定**

設定名	EC デスクトップ	EC ラップトップ	SSLF デスクトップ	SSLF ラップトップ
MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended)	未定義	未定義	無効	無効
MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)	未定義	未定義	Highest Protection, source routing is completely disabled	Highest Protection, source routing is completely disabled
MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)	未定義	未定義	無効	無効
MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes	未定義	未定義	無効	無効
MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments)	未定義	未定義	有効	有効
MSS: (KeepAliveTime)How often keep-alive packets are sent in milliseconds	未定義	未定義	30000 or 5 minutes (推奨値)	30000 or 5 minutes (推奨値)
MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended)	Multicast, broadcast, and ISAKMP are exempt (Best for Windows XP)	Multicast, broadcast, and ISAKMP are exempt (Best for Windows XP)	Multicast, broadcast, and ISAKMP are exempt (Best for Windows XP)	Multicast, broadcast, and ISAKMP are exempt (Best for Windows XP)
MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended)	255, disable autorun for all drives	255, disable autorun for all drives	255, disable autorun for all drives	255, disable autorun for all drives
MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers	未定義	未定義	有効	有効
MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended)	未定義	未定義	有効	有効
MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)	未定義	未定義	有効	有効
MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended)	有効	有効	有効	有効
MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended)	0	0	0	0
MSS: (SynAttackProtect) Syn attack protection level (protects against DoS)	未定義	未定義	Connections timeout sooner if attack is detected	Connections timeout sooner if attack is detected
MSS: (TCPMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged	未定義	未定義	3 & 6 seconds, half-open connections dropped after 21 seconds	3 & 6 seconds, half-open connections dropped after 21 seconds
MSS: (TCPMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default)	未定義	未定義	3	3
MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning	未定義	未定義	90	90

#### (AutoAdminLogon) Enable Automatic Logon レジストリ値エントリ **AutoAdminLogon** が、**HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended)\] と表示されます。 この設定は、Windows XP の **ようこそ**画面機能とは別です。この機能を無効にしても、この設定は無効になりません。コンピュータの自動ログオンを構成すると、そのコンピュータに物理的にアクセスできるすべてのユーザーは、接続先のネットワークを含め、コンピュータ上のすべての内容にアクセスできます。また、自動ログオンを有効にすると、パスワードはプレーンテキストでレジストリに保存され、**Authenticated Users** グループのユーザーは、この値が保存された特定のレジストリ キーをリモートで読み取ることができます。そのため、この値は、EC 環境では \[未定義\] に設定します。SSLF 環境では既定値の \[無効\] を明示的に使用します。 詳細については、https://support.microsoft.com/default.aspx?scid=315231 のマイクロソフト サポート技術情報「[Windows XP で自動ログオンを有効にする方法](https://support.microsoft.com/default.aspx?scid=315231)」を参照してください。 #### (DisableIPSourceRouting) IP source routing protection level レジストリ値エントリ **DisableIPSourceRouting** が、**HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)\] と表示されます。 IP ソース ルーティングは、ネットワーク上でデータグラムが経由する IP ルートを送信者が指定できるようにするメカニズムです。この値は、EC 環境では \[未定義\]、SSLF 環境では \[Highest Protection, source routing is completely disabled\] に設定します。 #### (EnableDeadGWDetect) Allow automatic detection of dead network gateways レジストリ値エントリ **EnableDeadGWDetect** が、**HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)\] と表示されます。 反応しないゲートウェイの検出が有効になっている場合に、一部の接続で問題が発生すると、IP がバックアップ ゲートウェイに切り替わることがあります。この値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 #### (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes レジストリ値エントリ **EnableICMPRedirect** が、**HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes\] と表示されます。 Internet Control Message Protocol (ICMP) のリダイレクトにより、スタックはホストのルートの深さを調べます。Open Shortest Path First (OSPF) により生成されたルートは、これらのルートに置き換えられます。この値は、EC 環境では \[未定義\]、SSLF 環境では \[無効\] に設定します。 #### (Hidden) Hide the Computer from Network Neighborhood Browse Lists レジストリ値エントリ **Hidden** が、**HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Lanmanserver\\Parameters\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments)\] と表示されます。 ドメイン上のブラウザに通知を送信しないようにコンピュータを構成できます。このように構成すると、コンピュータがブラウズ リストから隠されます。つまり、そのコンピュータは、同一ネットワーク上の他のコンピュータに対してその存在を通知することをやめます。コンピュータの名前を知っている攻撃者は、システムに関する詳細な情報をより簡単に収集できます。この設定を有効にすると、攻撃者がネットワーク上のコンピュータに関する情報を収集できる方法が 1 つなくなります。この設定を有効にして、ネットワーク トラフィックを軽減することもできます。ただし、この設定のセキュリティ上の利点は大きくありません。攻撃者は別の方法で、潜在的な標的を特定できるからです。そのため、この設定は、高セキュリティ環境でのみ有効にすることをお勧めします。 この値は、EC 環境では \[未定義\]、SSLF 環境では \[有効\] に設定します。 詳細については、https://support.microsoft.com/default.aspx?scid=321710 のマイクロソフト サポート技術情報「[HOW TO: ブラウザ一覧から Windows 2000 ベースのコンピュータを非表示をします。](https://support.microsoft.com/default.aspx?scid=321710)」を参照してください。 #### (KeepAliveTime) How often keep-alive packets are sent in milliseconds レジストリ値エントリ **KeepAliveTime** が、**HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended)\] と表示されます。 この値では、TCP がアイドル状態の接続に keep-alive パケットを送信し、まだ同じ状態かどうかを調べる頻度を設定します。リモート コンピュータにまだ接続可能な場合、TCP は keep-alive パケットを認識します。この値は、EC 環境では \[未定義\]、SSLF 環境では \[30000 or 5 minutes\] に設定します。 #### (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering レジストリ値エントリ **NoDefaultExempt** が **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\IPSEC\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended)\] と表示されます。 IPsec ポリシー フィルタの既定の適用除外については、Microsoft Windows 2000 および Windows XP のオンライン ヘルプに記載されています。これらのフィルタによって、インターネット キー交換 （IKE） と Kerberos 認証プロトコルが機能します。また、データ トラフィックが IPsec によって保護されている場合と、トラフィックが IPsec で保護されていない可能性がある場合 (マルチキャスト トラフィックやブロードキャスト トラフィックなど) に、ネットワークのサービス品質 (QoS) を通知できます (RSVP)。 IPsec は、特にインターネットに直接接続している環境で、基本的なホスト ファイアウォール パケット フィルタとしての使用が増加していますが、これらの既定の適用除外については十分に理解されていません。したがって、IPSec 管理者が安全であると思う IPSec ポリシーを作成しても、実際には、既定の適用除外項目を使用する受信攻撃に対しては安全ではない場合があります。この章で説明している 2 つの環境では、Windows XP SP 2 の既定の設定 (\[Multicast, broadcast, and ISAKMP are exempt\]) を使用することをお勧めします。 詳細については、https://support.microsoft.com/default.aspx?scid=811832 のマイクロソフト サポート技術情報「[一部の状況で、IPSec のデフォルトの適用除外項目が IPsec 保護の回避に利用されることがある](https://support.microsoft.com/default.aspx?scid=811832)」を参照してください。 #### (NoDriveTypeAutoRun) Disable Autorun for all drives レジストリ値エントリ **NoDriveTypeAutoRun** が **HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\** **Policies\\Explorer\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended)\] と表示されます。 自動実行は、コンピュータのドライブにメディアが挿入されるとすぐにそのメディアの読み込みを開始します。それにより、プログラムのセットアップ ファイルおよびオーディオ メディアの音声がすぐに開始します。この章で説明している 2 つの環境では、この値を \[255, disable autorun for all drives\] に設定します。 #### (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers レジストリ値エントリ **NoNameReleaseOnDemand** が **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Netbt\\Parameters\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers\] と表示されます。 NetBIOS over TCP/IP は、Windows ベース システムに登録された NetBIOS 名をそれぞれのシステムで設定された IP アドレスに簡単に解決できるネットワーク プロトコルです。この設定では、コンピュータが名前解放要求を受信したときに、その NetBIOS 名を解放するかどうかを指定します。この値は、EC 環境では \[未定義\]、SSLF 環境では \[有効\] に設定します。 #### (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames レジストリ値エントリ **NtfsDisable8dot3NameCreation** が **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Control\\FileSystem\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended)\] と表示されます。 Windows Server 2003 は、16 ビット アプリケーションとの下位互換を保つために 8.3 フォーマットのファイル名をサポートしています。8.3 フォーマットのファイルの命名規則では、ファイルに最長 8 文字の名前を付けることができます。この値は、EC 環境では \[未定義\]、SSLF 環境では \[有効\] に設定します。 #### (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses レジストリ値エントリ **PerformRouterDiscovery** が **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)\] と表示されます。 この設定を使用して、Internet Router Discovery Protocol (IRDP) を有効または無効にします。IRDP を使用すると、RFC 1256 でインターフェイス別に規定されているとおり、システムは既定のゲートウェイのアドレスを自動的に検出および構成します。この値は、EC 環境では \[未定義\]、SSLF 環境では \[有効\] に設定します。 #### (SafeDllSearchMode) Enable Safe DLL Search Order レジストリ値エントリ **SafeDllSearchMode** が **HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Control\\Session Manager\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended)\] と表示されます。 DLL 検索順序を設定して、要求された DLL を検索するには、次のいずれかの方法でプロセスを実行します。 - まずシステム パスで指定されたフォルダ、次に現在の作業フォルダを検索します。 - まず現在の作業フォルダ、次にシステム パスで指定されたフォルダを検索します。 この設定を有効にすると、レジストリ値は **1** に設定されます。設定が **1** の場合は、システム パスに指定されているフォルダが最初に検索され、現在の作業フォルダが次に検索されます。設定を無効にすると、レジストリ値は **0** に設定されます。この場合は、現在の作業フォルダが最初に検索され、システム パスに指定されているフォルダがその次に検索されます。この章で説明している 2 つの環境では、この値を \[有効\] に設定します。 #### (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires レジストリ値エントリ **ScreenSaverGracePeriod** が **HKEY\_LOCAL\_MACHINE\\SYSTEM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\** **Winlogon\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended)\] と表示されます。 Windows では、スクリーン セーバー ロックを有効にしている場合、スクリーン セーバーが起動されてからコンソールが実際に自動ロックされるまでには猶予期間があります。この章で説明している 2 つの環境では、この値を **0** 秒に設定します。 #### (SynAttackProtect) Syn attack protection level レジストリ値エントリ **SynAttackProtect** が **HKEY LOCAL MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (SynAttackProtect) Syn attack protection level (protects against DoS)\] と表示されます。 この設定により、TCP で SYN-ACK の再送信が調節されます。この値を構成すると、接続要求 (SYN) 攻撃が検出された場合の接続応答が速やかにタイムアウトになります。この値は、EC 環境では \[未定義\]、SSLF 環境では \[Connections timeout sooner if attack is detected\] に設定します。 #### (TCPMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged レジストリ値エントリ **TCPMaxConnectResponseRetransmissions** が **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged\] と表示されます。 この設定では、TCP による SYN 再送信の試行回数を指定します。再送信のタイムアウトは、所定の回数以内の接続試行で再送信が成功するたびに 2 倍になります。初期タイムアウト値は 3 秒です。この値は、EC 環境では \[未定義\]、SSLF 環境では \[3 & 6 seconds, half-open connections dropped after 21 seconds\] に設定します。 #### (TCPMaxDataRetransmissions) How many times unacknowledged data is retransmitted レジストリ値エントリ **TCPMaxDataRetransmissions** が **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default)\] と表示されます。 この設定は、接続を切断するまでに TCP が個々のデータ セグメント (非接続セグメント) を再送信する回数を制御します。再送信のタイムアウトは、接続中に再送信が成功するたびに 2 倍になります。応答が再開された場合は、リセットされます。基本のタイムアウト値は、接続中に測定されたラウンドトリップ時間に応じて決まります。この値は、EC 環境では \[未定義\]、SSLF 環境では **3** に設定します。 #### (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning レジストリ値エントリ **WarningLevel** が **HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Security\\** レジストリ キーのテンプレート ファイルに追加されました。このエントリは、SCE に \[MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning\] と表示されます。 この設定は、セキュリティ イベント ログがユーザー定義のしきい値に達するとログにセキュリティ監査を生成する新しい機能で、Windows 2000 の SP3 で使用できるようになりました。この値は、EC 環境では \[未定義\]、SSLF 環境では **90** に設定します。 **注** :ログ設定の値が \[必要に応じてイベントを上書きする\] または \[指定した日数を過ぎたらイベントを上書きする\] に設定されている場合、このイベントは生成されません。 [](#mainsection)[ページのトップへ](#mainsection) ### セキュリティ構成エディタのユーザー インターフェイスの変更方法 セキュリティ構成エディタ (SCE) ツール セットは、グループ ポリシーを通じて個々のコンピュータまたは複数のコンピュータに適用されるセキュリティ テンプレートを定義するために使用します。セキュリティ テンプレートに含めることができるのは、パスワード ポリシー、ロックアウト ポリシー、Kerberos 認証プロトコル ポリシー、監査ポリシー、イベント ログの設定、レジストリ値、サービスの起動モード、サービスのアクセス許可、ユーザー権利、グループ メンバシップの制限、レジストリのアクセス許可、およびファイル システムのアクセス許可です。SCE は、さまざまな MMC スナップインおよび管理ツールで使用されます。たとえば、\[セキュリティ テンプレート\] スナップインや \[セキュリティの構成と分析\] スナップインで使用されます。\[グループ ポリシー オブジェクト エディタ\] スナップインでは、\[コンピュータの構成\] ツリーの \[セキュリティ設定\] の部分で使用されます。また、ローカル セキュリティ設定、ドメイン コントローラ セキュリティ ポリシー、およびドメイン セキュリティ ポリシーでも使用されます。 このガイドでは、SCE に追加する設定について説明します。設定を追加するには、**%systemroot%\\inf** フォルダ内にある Sceregvl.inf ファイルを変更し、Scecli.dll ファイルを再登録する必要があります。 **重要** :この後に示す手順でカスタマイズする Sceregvl.inf ファイルは、Windows XP Professional SP 2 および Windows Server 2003 だけに存在する機能を使用します。カスタマイズしたファイルを古いバージョンの Windows にインストールしないでください。 Sceregvl.inf ファイルを変更して登録すると、そのコンピュータの SCE のユーザー インターフェイスにカスタム レジストリ値が表示されます。新しい設定は SCE の項目の一覧の最後に表示されます。設定の前には、すべて "MSS" というテキストが付いています。MSS は Microsoft Solutions for Security の意味で、このガイドを作成したグループの名前です。次に、これらの新しいレジストリ値を定義するセキュリティ テンプレートまたはセキュリティ ポリシーを作成します。これらのテンプレートまたはポリシーは、ターゲットのコンピュータで Sceregvl.inf ファイルを変更したかどうかに関係なく、すべてのコンピュータに適用できます。次回 SCE を起動すると、これらのカスタム レジストリ値が表示されます。 このガイドでは、SCE に表示される一部の新しい設定について説明していません。これらの設定は一般にエンドユーザー システムでは構成しないからです。新しい設定の詳細については、https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx の関連ガイド『[*脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定*](https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx)』を参照してください。 SCE のユーザー インターフェイスを変更する手順を次に示します。SCE で他のカスタマイズを既に行っている場合は、手動による操作手順に従う必要があります。操作をほとんど行わずに設定を追加できるスクリプトが用意されています。スクリプトにはエラー検出と復旧の機能が組み込まれていますが、正常に動作しない場合があります。正常に動作しない場合は、その原因を特定して問題を解決するか、手動による操作手順に従ってください。また、SCE のユーザー インターフェイスを既定の状態に復元できるスクリプトも用意されています。このスクリプトは、すべてのカスタム設定を削除し、SCE を、Windows XP SP2 または Windows Server 2003 SP1 の既定のインストールでの表示に復元します。 **Sceregvl.inf を手動で更新するには** 1. このガイドのダウンロードの **SCE Update** フォルダにある **Values-sceregvl.txt** ファイルを、メモ帳などのテキスト エディタで開きます。 2. テキスト エディタで別のウィンドウを開き **%systemroot%\\inf\\sceregvl.inf** ファイルを開きます。 3. **sceregvl.inf** ファイルの "\[Register Registry Values\]" セクションの下部に移動します。**Values-sceregvl.txt** ファイルのテキストを改ページを除いてコピーし、**sceregvl.inf** ファイルのこのセクションに貼り付けます。 4. **Values-sceregvl.txt** ファイルを閉じ、ダウンロードの **SCE Update** フォルダにある **Strings-sceregvl.txt** ファイルを開きます。 5. **sceregvl.inf** ファイルの "\[Strings\]" セクションの下部に移動します。**Strings-sceregvl.txt** ファイルのテキストを改ページを除いてコピーし、**sceregvl.inf** ファイルのこのセクションに貼り付けます。 6. **sceregvl.inf** ファイルを保存し、テキスト エディタを終了します。 7. コマンド プロンプトを開き、**regsvr32 scecli.dll** コマンドを実行して DLL ファイルを再登録します。 次回 SCE を起動すると、これらのカスタム レジストリ値が表示されます。 **sceregvl.inf を自動更新するには** 1. スクリプトが正常に動作するには、このガイドのダウンロードの **SCE Update** フォルダにある **Values-sceregvl.txt**、**Strings-sceregvl.txt**、および **Update\_SCE\_with\_MSS\_Regkeys.vbs** の各ファイルが同じ場所にある必要があります。 2. 更新するコンピュータで **Update\_SCE\_with\_MSS\_Regkeys.vbs** スクリプトを実行します。 3. 画面に表示される指示に従います。 次の手順では、前の手順の **Update\_SCE\_with\_MSS\_Regkeys.vbs** スクリプトで作成されたカスタム エントリだけが削除されます。 **Update\_SCE\_with\_MSS\_Regkeys.vbs スクリプトによる変更を元に戻すには** 1. 更新するコンピュータで **Rollback\_SCE\_for\_MSS\_Regkeys.vbs** スクリプトを実行します。 2. 画面に表示される指示に従います。 次の手順では、SCE のユーザー インターフェイスに追加した*すべての*カスタム エントリが削除されます。削除されるエントリには、このガイド、このガイドの旧バージョン、または他のセキュリティ ガイドで追加したカスタム エントリが含まれます。 **SCE を Windows XP SP2 または Windows Server 2003 SP1 の既定の状態に復元するには** 1. スクリプトが正常に動作するには、このガイドのダウンロードの **SCE Update** フォルダにある **sceregvl\_W2K3\_SP1.inf.txt**、**sceregvl\_XPSP2.inf.txt**、および **Restore\_SCE\_to\_Default.vbs** の各ファイルが同じ場所にある必要があります。 2. 更新するコンピュータで **Restore\_SCE\_to\_Default.vbs** スクリプトを実行します。 3. 画面に表示される指示に従います。 [](#mainsection)[ページのトップへ](#mainsection) ### 追加のセキュリティ設定 この章で説明している 2 つの環境でクライアント システムの強化に使用されたほとんどの対策は、グループ ポリシーを介して適用されましたが、グループ ポリシーによる適用が困難または不可能な設定が他にあります。このセクションで説明している各対策の詳細については、https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx の関連ガイド『[*脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定*](https://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx)』を参照してください。 #### 手動での強化処理 ここでは、このガイドで定義した各セキュリティ環境に追加対策を手動で実施して、Windows XP クライアントのセキュリティを強化する方法について説明します。 ##### ワトソン博士の無効化 : ワトソン博士システム デバッガの自動実行を無効にする Windows に付属しているワトソン博士ツールなどのシステム デバッガは、知識の豊富な攻撃者によって悪用される可能性があります。ワトソン博士システム デバッガを無効にする方法については、https://support.microsoft.com/default.aspx?scid=188296 のマイクロソフト サポート技術情報「[Windows NT でワトソン博士を無効にする方法](https://support.microsoft.com/default.aspx?scid=188296)」を参照してください。 ##### SSDP/UPNP の無効化 : SSDP/UPNP を無効にする 組織によっては、Windows XP のサブコンポーネントに含まれるユニバーサル プラグ アンド プレイ機能を完全に無効にする必要があります。このガイドでは **Universal Plug and Play ホスト** サービスを無効にしますが、Windows Messenger などの他のアプリケーションは **Simple Service Discovery Protocol (SSDP) 検出サービス** プロセスを使用して、ネットワーク ゲートウェイなどのネットワーク デバイスを識別します。Windows XP の SSDP 機能と UPnP 機能がアプリケーションに使用されないようにするには、**UPnPMode** という名前の REG\_DWORD レジストリ値を **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\DirectPlayNATHelp\\DPNHUPnP\\** レジストリ キーに追加し、その値を **2** に設定します。 詳細については、https://support.microsoft.com/default.aspx?scid=317843 のマイクロソフト サポート技術情報「[SSDP Discover Service および Universal Plug and Play Device Host を無効にしても SSDP トラフィックが送信される](https://support.microsoft.com/default.aspx?scid=317843)」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### ファイル システムを保護する NTFS ファイル システムは、Microsoft Windows のバージョンが更新されるたびに強化されてきました。多くの組織では NTFS のアクセス許可は既定の設定で十分です。このセクションで説明する設定は、このガイドで定義したセキュリティ強化 - 機能制限 (SSLF) 環境でラップトップとデスクトップを使用する組織が対象です。 ファイル システムのセキュリティ設定はグループ ポリシーを使用して変更できます。ファイル システムの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\Windows の設定\\セキュリティの設定\\ファイル システム** **注** :既定のファイル システムのセキュリティ設定に対する変更は、ラボ環境で徹底的にテストしてから大きな組織で展開する必要があります。これまでに、影響を受けたコンピュータを完全に再構築する必要がある程度まで、ファイルのアクセス許可が変更されたケースがありました。 ほとんどの場合は、Windows XP の既定のファイル アクセス許可で十分です。ただし、\[制限されたグループ\] 機能を使用して **Power Users** グループのメンバシップを禁止しない場合、または \[ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する\] 設定を有効にする場合は、次の段落で説明するオプションのアクセス許可を適用することをお勧めします。オプションのアクセス許可は限定的であり、格上げされた権限を持つ悪意のあるユーザーがシステムやネットワークのセキュリティを侵害するために使用する可能性のある特定の実行可能ツールに対して追加制限を適用します。 これらのアクセス許可を変更しても、システム ボリュームの複数のフォルダやルートには影響しません。システム ボリュームの複数のフォルダやルートのアクセス許可を変更すると、システムが不安定になる可能性があり危険です。ファイルはすべて **%SystemRoot%\\System32\\** フォルダにあり、これらのファイルのアクセス許可はすべて **Administrators も System もフル コントロール**になっています。 - regedit.exe - arp.exe - at.exe - attrib.exe - cacls.exe - debug.exe - edlin.exe - eventcreate.exe - eventtriggers.exe - ftp.exe - nbtstat.exe - net.exe - net1.exe - netsh.exe - netstat.exe - nslookup.exe - ntbackup.exe - rcp.exe - reg.exe - regedt32.exe - regini.exe - regsvr32.exe - rexec.exe - route.exe - rsh.exe - sc.exe - secedit.exe - subst.exe - systeminfo.exe - telnet.exe - tftp.exe - tlntsvr.exe これらのオプションのアクセス許可は、すぐに使用できるように、Optional-File-Permissions.inf という名前のセキュリティ テンプレートで構成済みです。このテンプレートは、このガイドのダウンロード バージョンに含まれています。 #### 高度なアクセス許可 \[アクセス許可\] ダイアログ ボックスでは、最初に表示される設定よりも高度なファイル アクセス許可を設定できます。高度な設定を行うには、\[詳細設定\] をクリックします。次の表に、高度なアクセス許可を示します。 **表 3.22 高度なファイル アクセス許可および説明**

高度なアクセス許可の名前	説明
フォルダのスキャンとファイルの実行	ユーザーがスキャン先フォルダへのアクセス許可を持っていなくても、他のファイルまたはフォルダにアクセスするためのフォルダ間の移動を許可または拒否します (フォルダにのみ適用)。
フォルダの一覧/データの読み取り	指定したフォルダ内のファイル名とサブフォルダ名の表示を許可または拒否します。このアクセス許可は、そのフォルダの内容にのみ影響し、アクセス許可を設定するフォルダを表示するかどうかには影響しません。
属性の読み取り	ファイル内のデータの表示を許可または拒否します (ファイルにのみ適用)。
拡張属性の読み取り	読み取り専用および隠しファイルなど、ファイルまたはフォルダの属性の表示を許可または拒否します。属性は NTFS によって定義されます。
ファイルの作成/データの書き込み	[ファイルの作成] では、フォルダ内でのファイルの作成を許可または拒否します (フォルダにのみ適用)。[データの書き込み] では、ファイルの変更および既存の内容の上書きを許可または拒否します (ファイルにのみ適用)。
フォルダの作成/データの追加	[フォルダの作成] では、指定したフォルダ内でのフォルダの作成を許可または拒否します (フォルダにのみ適用)。[データの追加] では、既存のデータを変更、削除、または上書きせずに、ファイルの末尾を変更することを許可または拒否します (ファイルにのみ適用)。
属性の書き込み	既存のデータを変更、削除、または上書きせずに、ファイルの末尾を変更することを許可または拒否します (ファイルにのみ適用)。
拡張属性の書き込み	読み取り専用や隠しファイルなど、ファイルまたはフォルダの属性の変更を許可または拒否します。属性は NTFS によって定義されます。
サブフォルダとファイルの削除	サブフォルダまたはファイルを削除するためのアクセス許可が付与されていなくても、サブフォルダおよびファイルの削除を許可または拒否します (フォルダに適用)。
削除	サブフォルダまたはファイルを削除するためのアクセス許可が付与されていなくても、サブフォルダおよびファイルの削除を許可または拒否します (フォルダに適用)。
アクセス許可の読み取り	フル コントロール、読み取り、書き込みなどのファイルまたはフォルダのアクセス許可の読み取りを許可または拒否します。
アクセス許可の変更	フル コントロール、読み取り、書き込みなどのファイルまたはフォルダのアクセス許可の変更を許可または拒否します。
所有権の取得	ファイルまたはフォルダの所有権の取得を許可または拒否します。ファイルまたはフォルダの所有者は、そのファイルまたはフォルダを保護する既存のアクセス許可に関係なく、常にアクセス許可を変更できます。

次の 3 つの用語は、ファイルおよびフォルダに適用されるアクセス許可の継承を説明する場合に使用されます。 - **適用**とは、すべてのサブフォルダおよびファイルに継承可能なアクセス許可を適用することです。子オブジェクトがアクセス許可の継承を受け入れないよう保護されていない場合は、オブジェクトのすべての子オブジェクトは、親オブジェクトのセキュリティ設定を継承します。競合が存在する場合は、子オブジェクトの明示的なアクセス許可が親オブジェクトから継承されたアクセス許可に優先します。 - **置き換え**とは、すべてのサブフォルダおよびファイルの既存のアクセス許可を継承可能なアクセス許可で置き換えることです。親オブジェクトのアクセス許可エントリは、子オブジェクトの設定に関係なく、子オブジェクトのセキュリティ設定よりも優先されます。子オブジェクトには親オブジェクトと同じアクセス制御エントリがあります。 - **無視**とはファイルまたはフォルダ (またはキー) のアクセス許可の置き換えを許可しないことです。このオブジェクトまたはその子オブジェクトすべてのセキュリティを構成または分析しない場合に、この設定オプションを使用します。 [](#mainsection)[ページのトップへ](#mainsection) ### まとめ この章では、2 つの環境で Windows XP Professional SP2 を実行しているコンピュータのセキュリティ保護を目的とした、主なセキュリティ設定と、各設定で推奨される構成について詳細に説明しました。組織のセキュリティ ポリシーを検討するときは、セキュリティとユーザーの生産性とのトレードオフに留意してください。悪質なコードや攻撃者からユーザーを保護する必要はありますが、ユーザーの作業を妨げるほど過度に制限のあるセキュリティ ポリシーを設定せず、作業の継続を確保する必要があります。 #### 関連情報 Windows XP Professional のセキュリティに関する詳細情報は、次のリンクで参照できます。 - Windows XP Professional のセキュリティを維持する方法の詳細については、Windows XP に付属のヘルプとサポート ツールおよび Microsoft の「[Windows XP セキュリティとプライバシー](https://www.microsoft.com/japan/windowsxp/using/security/default.mspx)」の Web サイト (https://www.microsoft.com/japan/windowsxp/using/security/default.mspx) を参照してください。 - Windows XP SP2 のセキュリティ機能の詳細については、https://www.microsoft.com/japan/technet/prodtechnol/winxppro/maintain/xpsp2sec.mspx の[Windows XP Service Pack 2 セキュリティに関する情報](https://www.microsoft.com/japan/technet/prodtechnol/winxppro/maintain/xpsp2sec.mspx)」を参照してください。 - Windows XP SP2 で利用できるセキュリティ設定の詳細については、https://technet2.microsoft.com/WindowsServer/ja/Library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1041.mspx?mfr=true の Microsoft TechNet の記事[セキュリティの設定の説明](https://technet2.microsoft.com/windowsserver/ja/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1041.mspx?mfr=true)」を参照してください。 - セキュリティで保護されたチャネルの詳細については、https://msdn.microsoft.com/archive/en-us/dnarntmag00/html/secure.asp にある、『Windows 2000 Magazine』の記事「[Secure Channels in NT 4.0](https://msdn.microsoft.com/archive/en-us/dnarntmag00/html/secure.asp)」(英語情報) を参照してください。 - Windows オペレーティング システムのセキュリティの詳細については、「[マイクロソフトプレス オンライン ホームページ](https://www.microsoft.com/japan/info/press/)」を参照してください。 - Windows XP および Windows Server 2003 の暗号化ファイル システム機能の詳細については、www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx の「[Encrypting File System in Windows XP and Windows Server 2003](https://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx)」(英語情報) を参照してください。 [](#mainsection)[ページのトップへ](#mainsection)