付録 H: ローカル管理者アカウントとグループをセキュリティで保護する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

付録 H: ローカル管理者アカウントとグループをセキュリティで保護する

現在、メインストリーム サポートにある Windows のすべてのバージョンでは、ローカル管理者アカウントが既定で無効になっています。これにより、pass-the-hash やその他の資格情報の盗難攻撃でアカウントが使用できなくなります。 ただし、レガシ オペレーティング システムが含まれている環境、またはローカル管理者アカウントが有効になっているドメインでは、これらのアカウントを前述のように使用して、メンバー サーバーやワークステーション間でセキュリティを侵害を伝播することができます。 後で説明する手順に従って、各ローカル管理者アカウントおよびグループをセキュリティで保護する必要があります。

組み込みの管理者 (BA) グループをセキュリティで保護する場合の考慮事項の詳細については、「最低限の特権の管理モデルを実装する」を参照してください。

ローカル管理者アカウントのコントロール

フォレスト内の各ドメインのローカル管理者アカウントには、次の設定を構成する必要があります。

  • ドメインに参加しているシステムでのドメインの管理者アカウントの使用を制限するように GPO を構成する

    • 1つまたは複数のGPOを作成し、各ドメイン内のワークステーションおよびメンバーサーバーOUにリンクする場合は、Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignmentsの次のユーザー権限に管理者アカウントを追加します。

      • ネットワークからこのコンピューターへのアクセスを拒否

      • バッチ ジョブとしてのログオン権限を拒否する

      • サービスとしてのログオン権限を拒否する

      • リモート デスクトップ サービスを使ったログオンを拒否

ローカル管理者グループをセキュリティで保護するための詳細な手順

ドメインに参加しているシステムの管理者アカウントを制限するように GPO を構成する

  1. サーバー マネージャー[ツール] をクリックし、[グループ ポリシーの管理] をクリックします。

  2. コンソール ツリーで <Forest>\Domains\<Domain> を展開し、[グループ ポリシー オブジェクト] に移動します (ここで、<Forest> はフォレストの名前、<Domain> は、グループ ポリシーを設定するドメインの名前です)。

  3. コンソール ツリーで、 [グループ ポリシー オブジェクト] を右クリックし、[新規] をクリックします。

    Screenshot that shows the Members tab for configuring GPOs to restrict the administrator account on domain-joined systems.

  4. [新規 GPO] ダイアログ ボックスに <GPO 名>を入力し、[OK] をクリックします (ここで、<GPO 名>は、この GPO の名前です)。

    Screenshot that shows where to name the GPO so you can configure GPOs to restrict the administrator account on domain-joined systems.

  5. 詳細ペインで <GPO 名> を右クリックし、[編集] をクリックします。

  6. Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies に移動し、[ユーザー権限の割り当て] をクリックします。

    Screenshot that shows where to navigate so you can configure GPOs to restrict the administrator account on domain-joined systems.

  7. ローカル管理者アカウントが、メンバー サーバーとワークステーションにネットワーク経由でアクセスするのを防ぐために、次の手順を実行して、ユーザーの権限を構成します。

    1. [ネットワーク経由のアクセスを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、ローカル管理者アカウントのユーザー名を入力してから、[OK] をクリックします。 このユーザー名は Administrator で、これが、Windows のインストール時の既定値です。

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing members servers and workstations over the network.

    3. [OK] をクリックします。

      重要

      これらの設定に Administrator アカウントを追加するときは、アカウントのラベルを付ける方法によって、ローカルの Administrator アカウントとドメインの Administrator アカウントのどちらを構成するかを指定します。 たとえば、TAILSPINTOYS ドメインの管理者アカウントを、これらの拒否権限に追加するには、TAILSPINTOYS ドメインの管理者アカウントを参照します。このアカウントは、TAILSPINTOYS\Administrator と表示されています。 グループ ポリシー オブジェクト エディターのこれらのユーザー権限設定で「Administrator」と入力した場合は、すでに説明したように、GPO が適用される各コンピューターのローカル管理者アカウントが制限されます。

  8. ローカル管理者アカウントがバッチ ジョブとしてログオンするのを防ぐために、次の手順を実行して、ユーザーの権限を構成します。

    1. [バッチ ジョブとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、ローカル管理者アカウントのユーザー名を入力してから、[OK] をクリックします。 このユーザー名は Administrator で、これが、Windows のインストール時の既定値です。

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a batch job.

    3. [OK] をクリックします。

      重要

      これらの設定に管理者アカウントを追加するときは、アカウントのラベルを付ける方法によって、ローカル管理者アカウントとドメイン管理者アカウントのどちらを構成するかを指定します。 たとえば、TAILSPINTOYS ドメインの管理者アカウントを、これらの拒否権限に追加するには、TAILSPINTOYS ドメインの管理者アカウントを参照します。このアカウントは、TAILSPINTOYS\Administrator と表示されています。 グループ ポリシー オブジェクト エディターのこれらのユーザー権限設定で「Administrator」と入力した場合は、すでに説明したように、GPO が適用される各コンピューターのローカル管理者アカウントが制限されます。

  9. ローカル管理者アカウントがサービスとしてログオンするのを防ぐために、次の手順を実行して、ユーザーの権限を構成します。

    1. [サービスとしてのログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、ローカル管理者アカウントのユーザー名を入力してから、[OK] をクリックします。 このユーザー名は Administrator で、これが、Windows のインストール時の既定値です。

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a service.

    3. [OK] をクリックします。

      重要

      これらの設定に管理者アカウントを追加するときは、アカウントのラベルを付ける方法によって、ローカル管理者アカウントとドメイン管理者アカウントのどちらを構成するかを指定します。 たとえば、TAILSPINTOYS ドメインの管理者アカウントを、これらの拒否権限に追加するには、TAILSPINTOYS ドメインの管理者アカウントを参照します。このアカウントは、TAILSPINTOYS\Administrator と表示されています。 グループ ポリシー オブジェクト エディターのこれらのユーザー権限設定で「Administrator」と入力した場合は、すでに説明したように、GPO が適用される各コンピューターのローカル管理者アカウントが制限されます。

  10. ローカル管理者アカウントが、メンバー サーバーとワークステーションにリモート デスクトップ サービス経由でアクセスするのを防ぐために、次の手順を実行して、ユーザーの権限を構成します。

    1. [リモート デスクトップ サービスを使ったログオンを拒否] をダブルクリックし、[これらのポリシーの設定を定義する] を選択します。

    2. [ユーザーまたはグループの追加] をクリックし、ローカル管理者アカウントのユーザー名を入力してから、[OK] をクリックします。 このユーザー名は Administrator で、これが、Windows のインストール時の既定値です。

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing member servers and workstations via Remote Desktop Services.

    3. [OK] をクリックします。

      重要

      これらの設定に管理者アカウントを追加するときは、アカウントのラベルを付ける方法によって、ローカル管理者アカウントとドメイン管理者アカウントのどちらを構成するかを指定します。 たとえば、TAILSPINTOYS ドメインの管理者アカウントを、これらの拒否権限に追加するには、TAILSPINTOYS ドメインの管理者アカウントを参照します。このアカウントは、TAILSPINTOYS\Administrator と表示されています。 グループ ポリシー オブジェクト エディターのこれらのユーザー権限設定で「Administrator」と入力した場合は、すでに説明したように、GPO が適用される各コンピューターのローカル管理者アカウントが制限されます。

  11. グループ ポリシー管理エディターを終了するには、[ファイル] をクリックし、[終了]を クリックします。

  12. グループポリシー管理で、次の手順に従って、GPO をメンバーサーバーとワークステーションの OU にリンクします:

    1. <Forest>\Domains\<Domain> に移動します (ここで <Forest> はフォレストの名前、<Domain> はフォレストを設定するドメインの名前グループ ポリシー)。

    2. GPO を適用する OU を右クリックし、[既存の GPO へのリンクを作成] をクリックします。

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the GPO to the member server and workstation OUs.

    3. 作成した GPO を選択し、[OK] をクリックします。

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server and workstation OUs.

    4. ワークステーションを含む他のすべての OU へのリンクを作成します。

    5. メンバー サーバーを含む他のすべての OU へのリンクを作成します。

検証手順

[ネットワーク経由のアクセスを拒否] GPO 設定を確認する

GPO の変更の影響を受けないメンバー サーバーまたはワークステーション (ジャンプ サーバーなど) から、GPO の変更の影響を受けるネットワーク経由で、メンバー サーバーまたはワークステーションへのアクセスを試みてください。 GPO 設定を確認するには、NET USE コマンドを使用して、システム ドライブ のマッピングを試みます。

  1. GPO の変更の影響を受けないメンバー サーバーまたはワークステーションにローカルでログオンします。

  2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

  3. [検索] ボックスに「コマンド プロンプト」と入力して、[コマンド プロンプト] を右クリックし、[管理者として実行] をクリックすると、管理者特権でのコマンド プロンプトが開きます。

  4. 管理者特権の承認を求めるメッセージが表示されたら、[はい] を クリックします。

    Screenshot that highlights the User Account Control dialog box you'll see when verifying the GPO settings.

  5. コマンド プロンプト ウィンドウで「net use \\<Server Name>\c$ /user:<Server Name>\Administrator」と入力します。ここで、<Server Name> は、ネットワーク経由でアクセスしようとしているメンバー サーバーまたはワークステーションの名前です。

    注意

    ローカル管理者の資格情報は、ネットワーク経由でアクセスしようとしているシステムでの資格情報である必要があります。

  6. 次のスクリーンショットは、表示されるエラー メッセージを示しています。

    Screenshot that highlights the logon failure error message when verifying the GPO settings.

「バッチ ジョブとしてログオンを拒否する」GPO 設定を確認

GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

バッチ ファイルを作成する

  1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

  2. [検索] ボックスに「notepad」と入力し、[メモ帳] をクリックします。

  3. メモ帳に「dir c:」と入力します。

  4. [ファイル] をクリックして、 [名前を付けて保存] をクリックします。

  5. [ファイル名] ボックスに「<Filename>.bat」と入力します (ここで、<Filename> は、新しいバッチ ファイルの名前です)。

タスクをスケジュールする

  1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

  2. [検索] ボックスに「タスク スケジューラ」と入力し、[タスク スケジューラ] をクリックします。

    注意

    Windows 8 が実行されているコンピューターの [検索] ボックスに「schedule tasks」と入力し、[タスクのスケジュール] をクリックします。

  3. [操作] をクリックし、[タスクの作成] をクリックします。

  4. [タスクの作成] ダイアログ ボックスで、「 <Task Name>」と入力します (ここで b<Task Name> は新しいタスクの名前です)。

  5. [操作] タブをクリックし、[新規] をクリックします。

  6. [操作] フィールドで [プログラムの開始] を選択します。

  7. [プログラム/スクリプト][参照] をクリックし、[バッチ ファイルの作成] セクションで作成したバッチ ファイルを見つけて選択し、[開く] をクリックします。

  8. [OK] をクリックします。

  9. [General] タブをクリックします。

  10. [セキュリティ オプション] フィールドで [ユーザーまたはグループ の変更] をクリックします。

  11. システムのローカル管理者アカウントの名前を入力し、[名前の確認] をクリックしてから、[OK] をクリックします。

  12. [ユーザーのログオン状態にかかわらず実行する][パスワードを保存しない] を選択します。 このタスクはローカル コンピューター リソースにのみアクセスできます。

  13. [OK] をクリックします。

  14. タスクを実行するためのユーザー アカウント資格情報を求めるダイアログ ボックスが表示されます。

  15. 資格情報を入力した後、[OK] を クリックします。

  16. 次のようなダイアログ ボックスが表示されます。

    Screenshot that highlights the Task Scheduler dialog box that appears when scheduling a task.

「サービスとしてのログオンを拒否する」GPO 設定を確認

  1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

  2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

  3. [検索] ボックスに 「services」と入力し、[サービス] をクリックします。

  4. 印刷スプーラーを見つけてダブルクリックします。

  5. [ログオン] タブをクリックします。

  6. [ログオン] フィールドで [このアカウント] をクリックします。

  7. [参照] をクリックし、システムのローカル管理者アカウント名を入力し、[名前の確認] をクリックしてから、[OK] をクリックします。

  8. [パスワード] および [パスワードの確認] フィールドに、選択したアカウントのパスワードを入力し、[OK] をクリックします。

  9. さらに 3 回、[OK] をクリックします。

  10. [印刷スプーラー] を右クリックし、[再開] をクリックします。

  11. サービスが再開されると、次のようなダイアログ ボックスが表示されます。

    Screenshot that shows a message indicating that Windows could not start the Print Spooler on the Local Computer.

プリンター スプーラー サービスへの変更を元に戻す

  1. GPO の変更の影響を受けるメンバー サーバーまたはワークステーションから、ローカルでログオンします。

  2. マウスを使用して、画面の右上または右下の隅にポインターを移動します。 [チャーム] バーが表示されたら、[検索] をクリックします。

  3. [検索] ボックスに 「services」と入力し、[サービス] をクリックします。

  4. 印刷スプーラーを見つけてダブルクリックします。

  5. [ログオン] タブをクリックします。

  6. [ログオン] フィールドで [ローカル システム アカウント] を選択し、[OK] を クリックします。

[リモート デスクトップ サービスを使ったログオンを拒否] GPO 設定を確認する

  1. マウスを使用して、ポインターを画面の右上隅または右下隅に移動します。 チャーム バーが表示されたら、[検索] をクリックします。

  2. [検索] ボックスに「リモート デスクトップ接続」と入力し、[リモート デスクトップ接続] をクリックします。

  3. [コンピューター] フィールドに接続先コンピューターの名前を入力し、[接続] をクリックします。 (コンピューター名の代わりに IP アドレスを入力することもできます)。

  4. メッセージが表示されたら、システムのローカル管理者アカウントの資格情報を入力します。

  5. 次のようなダイアログ ボックスが表示されます。

    secure local admin accounts and groups