ユーザー アカウントの権限を構成する
ユーザー権限を構成するときは、最小限の特権の原則に従うことが重要です。 これは、ユーザーが自分のタスクだけを実行するために必要な権限と特権のみを付与することを意味します。 その結果、未承認ユーザーがアカウントを侵害した場合、そのアカウントに割り当てられている特権の限定されたセットにのみアクセスできることになります。 IT スタッフは、管理タスクを実行するために使用される特権アカウントとは別に、電子メールに応答するなどの日常的な活動用に個別のアカウントを持つ必要もあります。
追加の参考資料: 最小限の特権の原則の実装について詳しくは、「最小限の特権管理モデルを実装する」を参照してください。
| ユーザー権限の割り当てポリシー | 関数 |
|---|---|
| 資格情報マネージャーに信頼された呼び出し側としてアクセス | バックアップおよび復元中に資格証明マネージャーによって使用されます。 この特権をユーザー アカウントに割り当てないでください。 |
| ネットワークからこのコンピューターにアクセスする | ネットワークからコンピューターに接続できるユーザーとグループを決定します。 この権限はリモート デスクトップ サービスには影響しません。 |
| オペレーティング システムの一部として機能 | プロセスで認証せずにユーザーの権限を借用できるようにします。 通常はこの特権を必要とするプロセスに LocalSystem アカウントを割り当てます。 |
| ドメインにワークステーションを追加する | ドメインにワークステーションを参加させられるようにします。 |
| プロセスのメモリ クォータの増加 | プロセスに割り当てられるメモリの最大量を調整できるセキュリティ プリンシパルを決定します。 |
| ローカルでのサインインを許可する | コンピューターにローカルでサインインできるユーザーを決定します。 コンピューターにサインインできるアカウントを制限する方法として、Users グループのメンバーを削除するために特権アクセス ワークステーションでこのポリシーを変更します。 既定では、認証されたユーザーは、ドメイン コントローラーを除くすべてのワークステーションまたはサーバーにサインインできます。これは、特定のグループのメンバーに制限されています。 |
| リモート デスクトップ サービスを使用したサインインを許可する | リモート デスクトップ サービス接続を使用して、リモートでサインインできるユーザーとグループを決定します。 |
| ファイルとディレクトリのバックアップ | ユーザーが通常はアクセス許可のないファイル、ディレクトリ、レジストリ、およびその他のオブジェクトをバックアップするためのアクセス許可を付与します。 この権限を割り当てると、コンピューター上のすべてのデータに間接的にアクセスできるようになります。これは、その権限を持つユーザーがそのデータをバックアップし、完全に制御できる環境でそれを回復できるためです。 |
| 走査チェックのバイパス | この権限を持つユーザーが、アクセス許可のないディレクトリを走査できるようにします。 しかし、ユーザーがそのディレクトリの内容を一覧表示することはできません。 |
| システム時刻の変更 | この権限を持つユーザーが、タイム ゾーンとは別のシステム時刻を変更できるようにします。 |
| タイム ゾーンの変更 | この権限を持つユーザーは、タイムゾーンを変更できますが、システム時刻は変更できません。 |
| ページ ファイルの作成 | この権限を持つユーザーがページ ファイルを作成および変更できるようにします。 |
| トークン オブジェクトの作成 | プロセスでローカル リソースへのアクセスを許可するトークンを作成するために使用できるユーザー アカウントを決定します。 この権限は、ローカル管理者特権を活用するために使用できるため、完全にシステムを制御させたくないユーザーには割り当てないでください。 |
| グローバル オブジェクトの作成 | すべてのセッションで使用できるグローバル オブジェクトを作成できるユーザー アカウントを決定します。 この権限は、ローカル管理者特権を活用するために使用できるため、完全にシステムを制御させたくないユーザーには割り当てないでください。 |
| 永続的共有オブジェクトの作成 | オブジェクト マネージャーを使用してディレクトリ オブジェクトを作成できるユーザー アカウントを決定します。 |
| シンボリック リンクの作成 | サインインしているコンピューターからシンボリック リンクを作成できるユーザー アカウントを決定します。 シンボリック リンクは、それらをサポートするように構成されていないアプリのセキュリティ上の脆弱性をさらす可能性があるため、この権限は信頼されたユーザーにのみ割り当てる必要があります。 |
| プログラムのデバッグ | オペレーティング システム カーネル内のプロセスにデバッガーをアタッチできるユーザー アカウントを決定します。 新しいシステム コンポーネントを記述する開発者のみがこの能力を必要とします。 アプリケーションを記述する開発者はそうではありません。 |
| ネットワークからこのコンピューターへのアクセスを拒否 | 指定されたユーザーとグループがネットワークからコンピューターにアクセスするのをブロックします。 この設定により、ネットワークからのアクセスを許可するポリシーがオーバーライドされます。 |
| バッチ ジョブとしてのサインインを拒否する | 指定されたユーザーとグループがバッチ ジョブとしてサインインするのをブロックします。 これにより、バッチ ジョブとしてのサインイン ポリシーがオーバーライドされます。 |
| サービスとしてのサインインを拒否する | サービス アカウントでサービスとしてのプロセスを登録するのをブロックします。 このポリシーにより、サービスとしてのサインイン ポリシーがオーバーライドされます。 しかし、ローカル システム、ローカル サービス、またはネットワーク サービス アカウントには適用されません。 |
| ローカルでのサインインを拒否する | アカウントでローカルにサインオンするのをブロックします。 このポリシーにより、ローカルでのサインインを許可するポリシーがオーバーライドされます。 |
| リモート デスクトップ サービスを使用したサインインを拒否する | アカウントでリモート デスクトップ サービスを使用してサインインするのをブロックします。 このポリシーにより、リモート デスクトップ サービスを使用したサインインを許可するポリシーがオーバーライドされます。 |
| コンピューターとユーザー アカウントに委任時の信頼を付与 | ユーザーまたはコンピューター オブジェクトに対して、Trusted for Delegation 設定を構成できるかどうかを決定します。 |
| リモート コンピューターからの強制シャットダウン | この権限を割り当てられたユーザーは、リモート ネットワークの場所からコンピューターをシャットダウンできます。 |
| セキュリティ監査の生成 | プロセスでセキュリティ ログに項目を追加するために使用できるアカウントを決定します。 この権限はセキュリティ ログとの対話を可能にするため、これをユーザー アカウントに割り当てた場合、セキュリティ上のリスクを表します。 |
| 認証後にクライアントを借用する | ユーザーの代わりに実行されているアプリでクライアントの権限を借用できるようにします。 この権限はセキュリティ上のリスクになる可能性があるため、信頼されたユーザーにのみ割り当てる必要があります。 |
| プロセス ワーキング セットの増加 | この権限が割り当てられているアカウントでは、プロセスでランダム アクセス メモリ (RAM) のプロセスに使用できるメモリ ページの数を増減できます。 |
| スケジューリング優先順位の繰り上げ | この権限が割り当てられたアカウントでは、プロセスのスケジュールの優先度を変更できます。 |
| デバイス ドライバーのロードとアンロード | この権限が割り当てられたアカウントでは、デバイス ドライバーを動的にカーネル モードにロードおよびアンロードできます。 この権限は、プラグ アンド プレイ ドライバーのロードとアンロードを行う権限とは別のものです。 この権利を割り当てると、カーネル モードへのアクセスが許可されるため、セキュリティ上のリスクとなります。 |
| メモリ内のページのロック | この権限が割り当てられたアカウントでは、プロセスを使用してデータを物理メモリに格納しておき、仮想メモリへのそのデータのページングをブロックします。 |
| バッチ ジョブとしてサインインする | このアクセス許可があるアカウントを持つユーザーは、バッチ キュー機能を使用してコンピューターにサインインできます。 この権限は、以前のバージョンの Windows オペレーティング システムのみに関係しています。Windows 10 や Windows Server 2016 以降などの新しいバージョンでは使用しないでください。 |
| サービスとしてサインインする | セキュリティ プリンシパルがサービスとしてサインインできるようにします。 この権限は、組み込みのサービス アカウントのいずれかではなく、ユーザー アカウントを使用するように構成するサービスの場合に割り当てる必要があります。 |
| 監査ログとセキュリティ ログの管理 | この権限を割り当てられたユーザーは、ファイルや AD DS (Active Directory) オブジェクトなどのリソースに対して、オブジェクト アクセスの監査オプションを構成できます。 この権限を割り当てられたユーザーは、セキュリティ ログ内のイベントを確認し、セキュリティ ログをクリアすることもできます。 未承認ユーザーは自分の痕跡を隠すための方法としてセキュリティ ログをクリアする可能性があるので、コンピューターに対するローカル管理者アクセス許可を割り当てないユーザー アカウントにはこの権限を割り当てないでください。 |
| オブジェクト ラベルの変更 | このアクセス許可を持つユーザーは、他のユーザーが所有するファイル、レジストリ キー、プロセスを含む、オブジェクトの整合性レベルを変更できます。 |
| ファームウェア環境値の修正 | ファームウェア環境変数を変更できるユーザーを決定します。 このポリシーは主に、x86 ベース以外のコンピューターのブート構成設定を変更するためのものです。 |
| ボリュームの保守タスクを実行 | ボリュームでメンテナンス タスクを実行できるユーザー アカウントを決定します。 この権限を割り当てると、このアクセス許可を持つユーザーがボリュームに格納されているデータにアクセスする可能性があるため、セキュリティ上のリスクとなります。 |
| 単一プロセスのプロファイル | パフォーマンス監視ツールを利用して非システム プロセスを監視できるユーザー アカウントを決定します。 |
| システム パフォーマンスのプロファイル | パフォーマンス監視ツールを利用してシステム プロセスを監視できるユーザー アカウントを決定します。 |
| ドッキング ステーションからコンピューターを削除 | 割り当てられている場合、ユーザー アカウントでサインインせずにドッキング ステーションからポータブル コンピューターを削除できます。 |
| プロセス レベル トークンを置き換える | 割り当てられている場合、ユーザー アカウントで 、CreateProcessAsUser API を呼び出して、あるサービスが別のサービスをトリガーできるようにすることができます。 |
| ファイルとディレクトリの復元 | この権限を割り当てられたユーザーが、ファイル、ディレクトリ、およびレジストリに対するアクセス許可を回避し、復元されたデータでこれらのオブジェクトを上書きできるようにします。 この権限はセキュリティ上のリスクとなります。この権限を持つユーザー アカウントでレジストリ設定を上書きし、既存のアクセス許可を置き換えることができるためです。 |
| システムのシャットダウン | ローカルにサインインしているユーザーに、オペレーティング システムをシャットダウンする能力を割り当てます。 |
| ディレクトリ サービス データの同期化 | AD DS データを同期する能力を割り当てます。 |
| ファイルとその他のオブジェクトの所有権の取得 | 割り当てられている場合、このユーザー アカウントでは、AD DS オブジェクト、ファイル、フォルダー、レジストリ キー、プロセス、およびスレッドを含む、セキュリティ保護可能なオブジェクトの所有権を取得できます。 これはセキュリティ上のリスクを表します。これにより、ユーザーがセキュリティ保護可能なオブジェクトを制御できるようになるためです。 |
また、以下のような、アカウントを使用する方法と時間を制限する追加のアカウント セキュリティ オプションを構成することもできます。
ログオン時間。 この設定を使用して、ユーザーがアカウントを使用できる時間を構成します。
ログオン ワークステーション。 この設定を使用して、アカウントでサインインできるコンピューターを制限します。 既定では、ユーザーはアカウントを使用して、ドメイン内の任意のコンピューターにサインインできます。
パスワードを無期限にする。 ドメイン パスワード ポリシーからアカウントが除外されるので、特権アカウントにはこのオプションを構成しないでください。
対話型ログオンにはスマート カードが必要。 高セキュリティ環境では、このオプションを有効にして、スマート カードとアカウント資格情報の両方を持つ承認ユーザーのみが確実に特権アカウントを使用できるようにすることができます。
アカウントは重要なので委任できない。 このオプションを有効にすると確実に、信頼されたアプリケーションでネットワーク上の他のサービスまたはコンピューターにアカウントの資格情報を転送できないようになります。 高い特権を持つアカウントに対して、この設定を有効にする必要があります。
このアカウントに Kerberos データ暗号化標準 (DES) 暗号化のみを使う。 このオプションでは、DES 暗号化のみを使用するようにアカウントを構成します。これは、Advanced Encryption Standard (AES) よりも弱い形式の暗号化です。 セキュリティで保護されたネットワークでは、このオプションを構成しないでください。
このアカウントで Kerberos AES 128 ビット暗号化をサポートする。 このオプションを有効にすると、Kerberos AES 128 ビット暗号化の実行が許可されます。
このアカウントで Kerberos AES 256 ビット暗号化をサポートする。 可能であれば、特権アカウントに対してこのオプションを構成し、AES 128 ビット暗号化オプションでこの形式の Kerberos 暗号化を使用する必要があります。
Kerberos 事前認証を必要としない。 Kerberos 事前認証により、リプレイ攻撃のリスクが軽減されます。 したがって、このオプションは有効にしないでください。
アカウントの期限。 アカウントの終了日を構成し、使用されなくなった後に AD DS に残らないようにすることができます。