この記事では、定義済みのセキュリティ テンプレートを適用する方法について説明します。
適用対象: Windows Server 2003
元の KB 番号: 816585
まとめ
Microsoft Windows Server 2003 には、ネットワーク上のセキュリティ レベルを高めるために適用できる定義済みのセキュリティ テンプレートがいくつか含まれています。 Microsoft 管理コンソール (MMC) のセキュリティ テンプレートを使用して、要件に合わせてセキュリティ テンプレートを変更できます。
Windows Server 2003 の定義済みのセキュリティ テンプレート
既定のセキュリティ (security.inf のセットアップ)
セットアップ security.inf テンプレートはインストール中に作成され、各コンピューターに固有です。 インストールがクリーン インストールかアップグレードかによって、コンピューターによって異なります。 セットアップ security.inf は、オペレーティング システムのインストール中に適用される既定のセキュリティ設定を表します。これには、システム ドライブのルートに対するファイルのアクセス許可が含まれます。 サーバーとクライアント コンピューターで使用できます。ドメイン コントローラーに適用できません。 ディザスター リカバリーのために、このテンプレートの一部を適用できます。
グループ ポリシーを使用してセットアップ security.inf を適用しないでください。 その場合、パフォーマンスが低下する可能性があります。
Note
Microsoft Windows 2000 には、ocfiless (ファイル サーバー用) と ocfilesw (ワークステーション用) という 2 つのその他のセキュリティ テンプレートが存在します。 Windows Server 2003 では、これらのファイルはセットアップ security.inf ファイルに置き換えられます。
ドメイン コントローラーの既定のセキュリティ (DC security.inf)
このテンプレートは、サーバーがドメイン コントローラーに昇格されるときに作成されます。 ファイル、レジストリ、およびシステム サービスの既定のセキュリティ設定が反映されます。 このテンプレートを再適用すると、これらの設定は既定値に設定されます。 ただし、テンプレートによって、新しいファイル、レジストリ キー、および他のプログラムによって作成されたシステム サービスに対するアクセス許可が上書きされる場合があります。
Compatible (Compatws.inf)
このテンプレートは、Windows ロゴ プログラム for Software に属していないほとんどのプログラムの要件と一致する方法で、Users グループのメンバーに付与される既定のファイルとレジストリのアクセス許可を変更します。 互換性のあるテンプレートでは、Power Users グループのすべてのメンバーも削除されます。
ソフトウェア用 Windows ロゴ プログラムの詳細については、次の Microsoft Web サイトを参照してください: Windows Server カタログ
Note
互換性のあるテンプレートをドメイン コントローラーに適用しないでください。
Secure (Secure*.inf)
セキュリティで保護されたテンプレートは、プログラムの互換性に影響を与える可能性が最も低い拡張セキュリティ設定を定義します。 たとえば、セキュリティで保護されたテンプレートでは、より強力なパスワード、ロックアウト、監査の設定が定義されます。 さらに、テンプレートでは、NTLMv2 応答のみを送信するようにクライアントを構成し、LAN Manager の応答を拒否するようにサーバーを構成することで、LAN Manager と NTLM 認証プロトコルの使用を制限します。
Windows Server 2003 には、ワークステーション用の Securews.inf とドメイン コントローラー用の Securec.inf という 2 つの定義済みの Secure テンプレートがあります。 これらのテンプレートとその他のセキュリティ テンプレートの使用に関する詳細については、ヘルプおよびサポート センターで「定義済みのセキュリティ テンプレート」を検索してください。
高度なセキュリティ (hisec*.inf)
高度にセキュリティで保護されたテンプレートでは、セキュリティで保護されたチャネルを介した認証とデータ交換に必要な暗号化レベルや署名、サーバー メッセージ ブロック (SMB) クライアントとサーバー間など、セキュリティで保護されたテンプレートで定義されていない追加の制限を指定します。
システム ルート セキュリティ (Rootsec.inf)
このテンプレートでは、ルートのアクセス許可を指定します。 既定では、Rootsec.inf はシステム ドライブのルートに対してこれらのアクセス許可を定義します。 ルート ディレクトリのアクセス許可が誤って変更された場合は、このテンプレートを使用して再適用することも、同じルート アクセス許可を他のボリュームに適用するようにテンプレートを変更することもできます。 指定されたとおり、テンプレートは子オブジェクトで定義されている明示的なアクセス許可を上書きしません。子オブジェクトによって継承されるアクセス許可のみが伝達されます。
ターミナル サーバー ユーザー SID なし (Notssid.inf)
このテンプレートを適用すると、ターミナル サービスWindows ターミナル実行されていない場合に、ファイル システムとレジストリの場所からサーバー セキュリティ識別子 (SID) を削除できます。 その後、システムのセキュリティが必ずしも向上するとは限りません。 Windows Server 2003 のすべての定義済みテンプレートの詳細については、ヘルプおよびサポート センターで「定義済みのセキュリティ テンプレート」を検索してください。
重要
ドメイン コントローラーにセキュリティ テンプレートを実装すると、既定のドメイン コントローラー ポリシーまたは既定のドメイン ポリシーの設定が変更される場合があります。 適用されたテンプレートは、新しいファイル、レジストリ キー、および他のプログラムによって作成されたシステム サービスに対するアクセス許可を上書きする場合があります。 これらのポリシーの復元は、セキュリティ テンプレートを適用した後に必要になる場合があります。 ドメイン コントローラーで次の手順を実行する前に、SYSVOL 共有のバックアップを作成します。
セキュリティ テンプレートを適用する
- [開始をクリックし、実行をクリックし、「mmc」と入力して、[
OK] をクリック 。 - [ファイル] メニューの [スナップインの追加と削除] をクリックします。
- 追加をクリックします。
- Available スタンドアロン スナップイン一覧で、[セキュリティの構成と分析] をクリックし[追加]、[]、[閉じる] の順にクリックし、[
OK ] をクリックします。 - 左側のウィンドウで [セキュリティの構成と分析]をクリックし 右側のウィンドウに手順を表示します。
- [セキュリティの構成と分析を右クリックし、[データベースの開く] をクリック。
- [ ファイル名 ボックスにデータベース ファイルの名前を入力し、[ 開く] をクリックします。
- 使用するセキュリティ テンプレートをクリックし、 Open をクリックして、テンプレートに含まれるエントリをデータベースにインポートします。
- 左側のウィンドウで セキュリティの構成と分析 を右クリックし、[コンピューターを今すぐ構成 ] をクリック。