Windows XP セキュリティガイド

第 5 章 :スタンドアロン Windows XP クライアントをセキュリティで保護する

最終更新日: 2006年8月17日

ダウンロード

トピック

概要
 Windows NT 4.0 ドメイン内の Windows XP
ローカルグループポリシーオブジェクトの設定
 Windows XP にセキュリティテンプレートをインポートする
 まとめまとめ

概要

Active Directory® ディレクトリサービスベースのドメインに属さない Microsoft® Windows® XP Professional ベースのコンピュータの管理には、独自の問題があります。この章では、このガイドの前の各章で推奨されているポリシー設定を最も効果的に適用および管理する方法について説明します。規定のポリシー設定により、組織で Windows XP Professional を実行しているスタンドアロンのデスクトップコンピュータとラップトップコンピュータのセキュリティを保護できます。設定はローカルポリシーを使用して適用し、ローカル管理者を含め、クライアントコンピュータにログオンするすべてのユーザーに適用されます。

この章では、Windows XP で使用可能なすべてのポリシー設定のガイダンスは示しません。しかし、規定のポリシー設定により、現在知られている大部分の脅威から運用環境を保護できると同時に、ユーザーはそれぞれのコンピュータで業務を継続できます。適用するポリシー設定は、組織のセキュリティ目標に基づいている必要があります。

ページのトップへ

Windows NT 4.0 ドメイン内の Windows XP

Active Directory ドメイン以外の環境にある Windows XP クライアントの具体例としては、Microsoft Windows NT® 4.0 ドメインに属する Windows XP ベースのコンピュータがあります。このような環境では、Windows XP クライアントはスタンドアロンコンピュータと見なされます。このような環境ではポリシー設定が集中管理されないため、管理の負担が大きくなります。Windows NT 4.0 ベースのドメインコントローラを、Service Pack 6a (SP6a) および最新の更新と共にインストールすることをお勧めします。Windows NT 4.0 SP6a には、NTLM 認証に関する更新が含まれています。これらの更新がないと、Windows NT 4.0 ベースのドメインにある Windows XP ベースのコンピュータでは、ドメインまたはネットワークの接続と通信に関連する問題が発生する可能性があります。管理者は更新が提供されていないかどうかを頻繁に確認する必要があります。

Windows XP Professional では、以前のバージョンの Windows よりもポリシー設定が増えているため、ユーザー設定やコンピュータ設定をさらにカスタマイズできます。また、Windows 2000 Professional で使用できるポリシー設定に加えて、数百もの新しいローカルポリシー設定を使用できます。ローカルポリシーは、デスクトップコンピュータのロックや微調整を行うことができる、強力な管理機能です。ローカルポリシーを使用して、数多くのさまざまなカスタマイズされたシナリオが可能になります。ドメイン管理者は、ドメインに参加するすべてのクライアントコンピュータのローカル Administrators グループのメンバです。したがって、Windows XP クライアントコンピュータは、所属しているドメインと同程度のセキュリティでしか保護されません。

従来の環境の Windows XP クライアントコンピュータでは、Windows NT 4.0 ドメインコントローラと通信できるように、第 3 章「Windows XP クライアントのセキュリティ設定」で説明したセキュリティテンプレートの修正バージョンを使用します。これらのポリシー設定は、この章の最後で説明するスクリプトを使用して適用します。

Windows NT 4.0 ドメインコントローラと通信するため、コンピュータの構成\Windows の設定\セキュリティの設定\ローカルポリシー\セキュリティオプションにある次のポリシー設定を変更します。

Windows 2000 かそれ以降のバージョン - 無効
Microsoft ネットワーククライアント: 常に通信にデジタル署名を行う - 無効

これらのポリシー設定は、このガイドに付属のレガシークライアントのセキュリティテンプレートファイルで構成済みです。

ページのトップへ

ローカルグループポリシーオブジェクトの設定

Windows XP Professional オペレーティングシステムには、それぞれ 1 つのローカルグループポリシーオブジェクト (LGPO) があります。ポリシー設定は、グループポリシーオブジェクトエディタまたはスクリプトを使用して手動で LGPO に適用します。LGPO に含まれるポリシー設定は、ドメインベースの GPO よりも、特に [セキュリティの設定] の設定が少なくなっています。スタンドアロンクライアントコンピュータとして構成されている LGPO では、フォルダリダイレクト、リモートインストールサービス、またはグループポリシーソフトウェアインストールがサポートされませんが、これらを使用して、スタンドアロンクライアントコンピュータの運用環境を保護できます。

次の表は、LGPO でグループポリシースナップインにフォーカスしたときに開くグループポリシースナップイン拡張を示しています。

表 5.1 グループポリシースナップイン拡張

グループポリシースナップイン拡張	LGPO での利用
ソフトウェアインストール	不可
スクリプト	可能
セキュリティの設定	可能
管理用テンプレート	可能
フォルダリダイレクト	不可
Internet Explorer のメンテナンス	可能
リモートインストールサービス	不可

#### アカウントポリシーアカウントポリシーには、パスワードポリシー、アカウントロックアウトポリシー、および Kerberos ポリシーの各設定が含まれています。パスワードポリシーでは、複雑なパスワードの作成やパスワードの頻繁な変更を要求する機能を通じて、多くの環境のセキュリティを保護できます。アカウントロックアウトポリシーでは、ログオン試行が特定の回数だけ失敗すると、そのアカウントを自動的に無効にできます。Kerberos ポリシー設定では、**チケットの最長有効期間**や**ユーザーログオンの制限を強制する**など、ドメインユーザーアカウントの Kerberos 関連の属性を指定します。ただし、スタンドアロンクライアントコンピュータはドメインに参加していないため、これらのポリシー設定は使用しません。通常、アカウントポリシーはドメインレベルで設定されるため、ドメインのクライアントコンピュータに対して構成されます。スタンドアロン Windows XP クライアントコンピュータの場合、このガイドの第 2 章「Active Directory ドメインインフラストラクチャを構成する」で説明したポリシー設定と同様に、これらのポリシー設定をローカルで適用する必要があります。 #### ローカルポリシーローカルポリシー (**コンピュータの構成\\Windows の設定\\セキュリティの設定**) は、このガイドの第 3 章「Windows XP クライアントのセキュリティ設定」で説明しているテンプレートを使用してクライアントコンピュータに適用します。これらのテンプレートとスタンドアロンクライアントコンピュータ用に作成されたテンプレートは組み合わせて使用します。環境内の複数のコンピュータに適用できるスクリプトを使用することで、セキュリティテンプレートの適用を自動化できます。次のセクションでは、ローカルポリシーの作成および展開のプロセスについて説明します。 [](#mainsection)[ページのトップへ](#mainsection) ### Windows XP にセキュリティテンプレートをインポートするスクリプトを使用してスタンドアロンクライアントコンピュータを構成できるテンプレートは複数あるので、クライアントコンピュータのセキュリティ要件をサポートするテンプレートを選択する必要があります。前のセクションでは、ローカルポリシーの設定について、およびグループポリシーオブジェクトエディタを使用したローカルポリシーの構成方法について説明しました。付属のテンプレートを使用すると、ネットワーク接続環境またはスタンドアロン環境にある多数のクライアントコンピュータの構成プロセスを自動化できます。このセクションでは、セキュリティポリシーの構成を自動化する方法について説明します。 #### 構成セキュリティテンプレートは、セキュリティ構成を表すファイルです。セキュリティテンプレートをローカルコンピュータに適用するには、LGPO にインポートします。ローカルポリシーの構成には、第 3 章「Windows XP クライアントのセキュリティ設定」で作成したテンプレートを使用します。管理者は、Microsoft 管理コンソール (MMC) にある \[セキュリティの構成と分析\] スナップイン、\[セキュリティテンプレート\] スナップイン、および Secedit.exe を使用してアカウントポリシーを作成し、スタンドアロンコンピュータで 2 つのセキュリティテンプレートを組み合わせます。 ##### セキュリティデータベースを作成するスタンドアロンクライアントコンピュータでセキュリティの設定をインポートするプロセスを自動化するには、ローカルセキュリティポリシーを設定するための参照用データベースを作成する必要があります。ベースラインのデータベースは、MMC の \[セキュリティの構成と分析\] スナップインを使用して作成されました。XP Default Security.sdb データベースの作成手順を以下に示します。このデータベースでは、テンプレートに Setup security.inf を使用してスタンドアロンクライアントコンピュータの既定のポリシー設定を確立します。 **新しい既定のセキュリティデータベースを作成するには** 1. \[スタート\] ボタンをクリックし、\[ファイル名を指定して実行\] をクリックします。次に、「**mmc**」と入力し、\[OK\] をクリックします。 2. \[ファイル\] メニューの \[新規作成\] をクリックして、新しいコンソールを作成します。 3. \[ファイル\] メニューの \[スナップインの追加と削除\] をクリックします。次に、\[スナップインの追加と削除\] ダイアログボックスの \[スタンドアロン\] タブをクリックし、\[追加\] をクリックします。 4. \[セキュリティの構成と分析\] をクリックし、\[追加\] をクリックします。次に、\[閉じる\] をクリックし、\[OK\] をクリックします。 5. \[セキュリティの構成と分析\] を右クリックし、\[データベースを開く\] をクリックします。 6. 新しいデータベース名 (XP Default Security) を入力し、\[開く\] をクリックします。 7. インポートするセキュリティテンプレート (**setup security.inf**) を選択し、\[開く\] をクリックします。 8. \[セキュリティの構成と分析\] を右クリックし、\[コンピュータの構成\] をクリックします。 9. \[システムの構成\] ダイアログボックスで、使用するログファイルの名前を入力し、\[OK\] をクリックします。このプロセスにより自動化プロセスに使用する既定のセキュリティの設定を持つデータベースファイルが作成されます。スクリプトや情報ファイルをコピーしたフォルダにセキュリティデータベースをコピーします。カスタムスクリプトを使用してデータベースを構成し、データベースを使用してローカルセキュリティポリシーが構成されます。管理者は、同様の手順に従って、このガイドで用意されているデータベースの代わりにカスタムデータベースを作成できます。 ##### カスタムテンプレートを作成する MMC の \[セキュリティテンプレート\] スナップインを使用すると、テンプレートでセキュリティポリシー設定を定義し、そのテンプレートをローカルコンピュータに適用できます。次に示す手順で、第 2 章「Active Directory ドメインインフラストラクチャを構成する」のアカウントポリシーの表に記載されたポリシー設定を使用して、Standalone-EC-Account.inf および Standalone-SSLF-Account.inf の 2 つのテンプレートが作成されました。 **カスタムテンプレートを作成するには** 1. \[スタート\] ボタンをクリックし、\[ファイル名を指定して実行\] をクリックします。次に、「**mmc**」と入力し、\[OK\] をクリックします。 2. \[ファイル\] メニューの \[新規作成\] をクリックして、新しいコンソールを作成します。 3. \[ファイル\] メニューの \[スナップインの追加と削除\] をクリックします。次に、\[スナップインの追加と削除\] ダイアログボックスの \[スタンドアロン\] タブをクリックし、\[追加\] をクリックします。 4. \[セキュリティテンプレート\] をクリックし、\[追加\] をクリックします。次に、\[閉じる\] をクリックし、\[OK\] をクリックします。 5. \[セキュリティテンプレート\] を展開します。 6. 新しいテンプレートを格納する既定のフォルダを選択し、\[新しいテンプレート\] をクリックします。 7. \[テンプレート名\] ボックスに、新しいセキュリティテンプレートの名前を入力します。 8. \[説明\] ボックスに、新しいセキュリティテンプレートの説明を入力し、\[OK\] をクリックします。 9. コンソールツリーで、新しいセキュリティテンプレートをダブルクリックしてセキュリティ領域を表示し、詳細パネルで構成対象のポリシー設定まで移動します。 10. 詳細パネルで、構成するポリシー設定を右クリックし、\[プロパティ\] をクリックします。 11. \[プロパティ\] ダイアログボックスで、\[このポリシーの設定をテンプレートで定義する\] チェックボックスをオンにし、設定を編集して、\[OK\] をクリックします。作成されたファイルは、**%windir%\\security\\templates** にあります。スクリプトを実行するためにセキュリティデータベースを作成したフォルダにセキュリティテンプレートをコピーします。これらのファイルは、テンプレートのインポートを自動化する次の段階で使用します。 #### ポリシーを適用する複数のコンピュータでセキュリティを構成する必要がある場合は、Secedit.exe ツールを使用すると便利です。コマンドプロンプト、バッチファイル、または自動タスクスケジューラから Secedit.exe ツールを呼び出して、テンプレートを自動的に作成および適用できます。secedit.exe ツールは、コマンドプロンプトから動的に実行することもできます。このガイドに付属のスクリプトでは、ローカルポリシーを組み合わせてクライアントコンピュータに適用するために Secedit.exe ツールを使用しています。 ##### ローカルポリシーを手動で適用するこのガイドに付属のスタンドアロンセキュリティテンプレートの .inf ファイルに記述されているポリシー設定をすべて適用するには、MMC の \[ローカルコンピュータポリシー\] スナップインではなく、\[セキュリティの構成と分析\] スナップインを使用する必要があります。\[ローカルコンピュータポリシー\] スナップインを使用してセキュリティテンプレートをインポートすることはできません。このスナップインでは、システムサービスのセキュリティポリシー設定を適用できないからです。セキュリティテンプレートをインポートおよび適用するには、\[セキュリティの構成と分析\] スナップインを使用して、次の各手順を実行します。 **セキュリティテンプレートをインポートするには** 1. MMC の \[セキュリティの構成と分析\] スナップインを起動します。 2. \[セキュリティの構成と分析\] を右クリックします。 3. \[データベースを開く\] をクリックします。 4. 新しいデータベース名を入力し、\[開く\] をクリックします。 5. インポートするセキュリティテンプレート (.inf ファイル) を選択し、\[開く\] をクリックします。テンプレート内のすべてのポリシー設定がインポートされ、確認または適用が可能になります。 **ポリシー設定を適用するには** 1. \[セキュリティの構成と分析\] を右クリックします。 2. \[コンピュータの構成\] をクリックします。 3. \[コンピュータの構成\] ダイアログボックスで、使用するログファイルの名前を入力し、\[OK\] をクリックします。環境ごとに両方のテンプレートをインポートする必要があります。セキュリティテンプレート内の関連するすべてのポリシー設定が、クライアントコンピュータのローカルポリシーに適用されます。以下の各セクションでは、ローカルポリシーを使用して適用するポリシー設定について説明します。 ##### Secedit このツールは、現在の構成と最低 1 つのテンプレートを比較して、システムセキュリティの構成および分析を行います。Secedit.exe ツールを使用するための構文を次に示します。 **secedit /configure /db***<FileName>* \[**/cfg***<FileName>*\] \[**/overwrite**\]\[**/areas***<Area1> <Area2>* ...\] **\[/log***<FileName>*\] \[**/quiet**\] 次の一覧で、Secedit.exe ツールのパラメータについて説明します。 - **/db***<FileName>*。セキュリティの構成を実行するためのデータベースを指定します。 - **/cfg***<FileName>*。コンピュータを構成する前にデータベースにインポートするセキュリティテンプレートを指定します。セキュリティテンプレートは、\[セキュリティテンプレート\] スナップインを使用して作成します。 - **/overwrite**。セキュリティテンプレートをインポートする前にデータベースを空にする必要があることを指定します。このパラメータを指定しないと、セキュリティテンプレートのポリシー設定がデータベースに蓄積されます。このパラメータを指定しなかった場合に、インポートするテンプレート内のポリシー設定とデータベース内のポリシー設定が競合したときは、テンプレート内の設定が優先されます。 - **/areas***<Area1><Area2>*。システムに適用するセキュリティ領域を指定します。このパラメータを指定しないと、データベースで定義されているすべてのセキュリティポリシー設定がシステムに適用されます。複数の領域を構成するには、各領域をスペースで区切ります。次の表は、サポートされているセキュリティ領域を示しています。 **表 5.2 セキュリティ領域**

領域名	説明
SECURITYPOLICY	アカウントポリシー、監査ポリシー、イベントログの設定、およびセキュリティオプションが含まれます。
GROUP_MGMT	制限されたグループの設定が含まれます。
USER_RIGHTS	ユーザー権利の割り当ての設定が含まれます。
REGKEYS	レジストリのアクセス許可が含まれます。
FILESTORE	ファイルシステムのアクセス許可が含まれます。
SERVICES	システムサービスの設定が含まれます。

領域名	説明
SECURITYPOLICY	アカウントポリシー、監査ポリシー、イベントログの設定、およびセキュリティオプションが含まれます。
GROUP_MGMT	制限されたグループの設定が含まれます。
USER_RIGHTS	ユーザー権利の割り当ての設定が含まれます。
REGKEYS	レジストリのアクセス許可が含まれます。
FILESTORE	ファイルシステムのアクセス許可が含まれます。
SERVICES	システムサービスの設定が含まれます。

/log*<FileName>*。構成プロセスの状態のログを記録するファイルを指定します。このパラメータを指定しないと、構成データは %windir%\security\logs ディレクトリ内の Scesrv.log ファイルに記録されます。
/quiet。ユーザーに確認せずに構成プロセスを実行するように指定します。

自動スクリプト

同じポリシー設定を多数のクライアントコンピュータに適用するには、スクリプトを使用した方が便利です。簡単なスクリプトで、この章で前に説明した Secedit.exe ツールを使用して、ローカルポリシーの適用を自動化できます。スクリプトと関連ファイルをローカルハードディスクのサブディレクトリにコピーし、そのサブディレクトリからスクリプトを実行します。

次のスクリプトを使用して、セキュリティテンプレートを LGPO にインポートし、環境内のスタンドアロン Windows XP クライアントコンピュータのセキュリティを保護できます。

**重要 :**セキュリティデータベースファイル XP Default Security.sdb が読み取り専用になっていないことを確認してください。スクリプトが正常に機能するには、このファイルを変更できる必要があります。

REM (c) Microsoft Corporation 1997-2005

REM スタンドアロン Windows XP クライアント コンピュータをセキュリティ保護するためのスクリプトREM REM 名前:
Standalone-EC-Desktop.cmd REM バージョン:     2.0

REM この CMD ファイルでは、スタンドアロン Windows XP デスクトップ クライアント コンピュータの
REM セキュリティ保護を目的としたセキュリティ ポリシーをインポートするための適切な
secedit.exe 構文を示します。REM この CMD ファイルを使用する前に、ガイド全体に目を通してください。

REM ポリシーを既定値にリセットします。
secedit.exe /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

REM アカウントを設定します。
secedit.exe /configure /db "XP Default Security.sdb" /cfg "Standalone-EC-Account.inf" 
/overwrite /quiet

REM セキュリティを設定します。
secedit.exe /configure /db "XP Default Security.sdb" /cfg "EC-Desktop.inf"

REM 共有フォルダを削除します。
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ 
MyComputer\NameSpace\DelegateFolders\ 
{59031a47-3f72-44a7-89c5-5595fe6b30ee}" /f

REM ローカル ポリシーを更新します。gpupdate.exe /force

次の表に、このガイドに付属のスクリプトと関連ファイルの一覧を示します。各環境のデスクトップおよびラップトップのクライアントコンピュータのファイルがあります。

表 5.3 スタンドアロンのスクリプトおよびファイル

スクリプト名およびファイル名	説明
Standalone-EC-Desktop.cmd	デスクトップクライアントコンピュータでエンタープライズクライアントポリシーを設定するためのスタンドアロンスクリプト。
Standalone-EC-Laptop.cmd	ラップトップクライアントコンピュータでエンタープライズクライアントポリシーを設定するためのスタンドアロンスクリプト。
Standalone-SSLF-Desktop.cmd	デスクトップクライアントコンピュータでセキュリティ強化 - 機能制限ポリシーを設定するためのスタンドアロンスクリプト。
Standalone-SSLF-Laptop.cmd	ラップトップクライアントコンピュータでセキュリティ強化 - 機能制限ポリシーを設定するためのスタンドアロンスクリプト。
Standalone-EC-Account.inf	エンタープライズクライアント環境のアカウントポリシーのテンプレート。
Standalone-SSLF-Account.inf	セキュリティ強化 - 機能制限環境のアカウントポリシーのテンプレート。
EC-Desktop.inf	エンタープライズクライアント環境のデスクトップクライアントコンピュータのセキュリティテンプレート。
EC-Laptop.inf	エンタープライズクライアント環境のラップトップクライアントコンピュータのセキュリティテンプレート。
SSLF-Desktop.inf	セキュリティ強化 - 機能制限環境のデスクトップクライアントコンピュータのテンプレート。
SSLF-Laptop.inf	セキュリティ強化 - 機能制限環境のラップトップクライアントコンピュータのテンプレート。
XP Default Security.sdb	既定のポリシーデータベース。

**表 5.4 レガシーのスクリプトおよびファイル**

スクリプト名およびファイル名	説明
Legacy-EC-Desktop.cmd	デスクトップクライアントコンピュータでエンタープライズクライアントポリシーを設定するためのレガシースクリプト。
Legacy-EC-Laptop.cmd	ラップトップクライアントコンピュータでエンタープライズクライアントポリシーを設定するためのレガシースクリプト。
Legacy-SSLF-Desktop.cmd	デスクトップクライアントコンピュータでセキュリティ強化 - 機能制限ポリシーを設定するためのレガシースクリプト。
Legacy-SSLF-Laptop.cmd	ラップトップクライアントコンピュータでセキュリティ強化 - 機能制限ポリシーを設定するためのレガシースクリプト。
Legacy-EC-Account.inf	レガシーエンタープライズ環境のアカウントポリシーのテンプレート。
Legacy-SSLF-Account.inf	レガシーセキュリティ強化 - 機能制限環境のアカウントポリシーのテンプレート。
Legacy-EC-Desktop.inf	レガシーエンタープライズクライアント環境のデスクトップクライアントコンピュータのセキュリティテンプレート。
Legacy-EC-Laptop.inf	レガシーエンタープライズクライアント環境のラップトップクライアントコンピュータのセキュリティテンプレート。
Legacy-SSLF-Desktop.inf	レガシーセキュリティ強化 - 機能制限環境のデスクトップクライアントコンピュータのテンプレート。
Legacy-SSLF-Laptop.inf	レガシーセキュリティ強化 - 機能制限環境のラップトップクライアントコンピュータのテンプレート。
XP Default Security.sdb	既定のポリシーデータベース。注 :データベースに書き込みアクセス権があることを確認してください。読み取り専用に設定することはできません。

[](#mainsection)[ページのトップへ](#mainsection)

まとめ

Windows XP のローカルポリシーは、Active Directory ドメインに属さない複数の Windows XP オペレーティングシステムに一貫性のあるセキュリティポリシー設定を適用できる便利な方法です。Windows XP のローカルポリシーを効果的に展開するには、ローカルポリシーの適用方法をしっかりと理解してください。また、すべてのクライアントコンピュータが適切な設定に構成されていることと、環境内の各コンピュータで適切なセキュリティが定義されていることを確認してください。

Windows XP セキュリティ ガイド