ポリシー CSP - LocalPoliciesSecurityOptions


LocalPoliciesSecurityOptions ポリシー

LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts
LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus
LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount
LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon
LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia
LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn
LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn
LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL
LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit
LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn
LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior
LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways
LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways
LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests
LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel
LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile
LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

注意

データ形式 (およびその他のポリシー関連の詳細) を見つけるには、「 ポリシー DDF ファイル」を参照してください。

LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

このポリシー設定により、ユーザーはこのコンピューターに新しい Microsoft アカウントを追加できなくなります。

[ユーザーは Microsoft アカウントを追加できません] オプションを選択した場合、ユーザーはこのコンピューターで新しい Microsoft アカウントを作成できません。 ローカル アカウントを Microsoft アカウントに切り替えるか、ドメイン アカウントを Microsoft アカウントに接続します。 このオプションは、企業での Microsoft アカウントの使用を制限する必要がある場合に推奨されるオプションです。

[ユーザーは Microsoft アカウントで追加またはログオンできません] オプションを選択した場合、既存の Microsoft アカウント ユーザーは Windows にサインインできません。 このオプションを選択すると、このコンピューター上の既存の管理者がサインインしてシステムを管理できなくなる可能性があります。

このポリシーを無効にするか、構成しなかった場合 (推奨)、ユーザーは Windows で Microsoft アカウントを使用できます。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: アカウント: Microsoft アカウントをブロックする
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

サポートされている値は次のとおりです。

  • 0 - 無効 (ユーザーは Windows で Microsoft アカウントを使用できます)。
  • 1 - 有効 (ユーザーは Microsoft アカウントを追加できません)。

LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

この設定により、管理者はローカル管理者アカウントを有効にすることができます。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: アカウント: 管理者アカウントの状態を有効にする
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

サポートされている値は次のとおりです。

  • 0 - 無効 (ローカル管理者アカウントが無効)。
  • 1 - 有効 (ローカル管理者アカウントが有効)。

**LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus**
エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

この設定により、管理者はゲスト管理者アカウントを有効にすることができます。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: アカウント: ゲスト アカウントの状態を有効にする
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

サポートされている値は次のとおりです。

  • 0 - 無効 (ローカル管理者アカウントが無効)。
  • 1 - 有効 (ローカル管理者アカウントが有効)。

LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する

このセキュリティ設定は、パスワードで保護されていないローカル アカウントを使用して、物理コンピューター コンソール以外の場所からサインインできるかどうかを決定します。 有効にすると、パスワードで保護されていないローカル アカウントは、コンピューターのキーボードでのみサインインできます。

既定値: 有効

警告

物理的に安全な場所にないコンピューターでは、常にすべてのローカル ユーザー アカウントに強力なパスワード ポリシーを適用する必要があります。 それ以外の場合、コンピューターに物理的にアクセスできるユーザーは、パスワードのないユーザー アカウントを使用してサインインできます。 これは、ポータブル コンピューターでは特に重要です。

このセキュリティ ポリシーを Everyone グループに適用した場合、リモート デスクトップ サービスを使用してサインインすることはできません。

この設定は、ドメイン アカウントを使用するサインインには影響しません。 リモート 対話型サインインを使用するアプリケーションでは、この設定をバイパスできます。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: アカウント: 空白のパスワードのローカル アカウント使用をコンソール ログオンのみに制限する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

有効な値は:

  • 0 - 無効 - パスワードで保護されていないローカル アカウントを使用して、物理コンピューター コンソール以外の場所からサインインできます。
  • 1 - 有効 - パスワードで保護されていないローカル アカウントは、コンピューターのキーボードでのみサインインできます。

LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

アカウント: Administrator アカウント名の変更

このセキュリティ設定は、別のアカウント名がアカウント管理者のセキュリティ識別子 (SID) に関連付けられているかどうかを決定します。 既知の管理者アカウントの名前を変更すると、権限のないユーザーがこの特権ユーザー名とパスワードの組み合わせを推測するのが少し難しくなります。

既定値: 管理者

このポリシーでは、次のものがサポートされています。

  • サポートされる値型は string です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: アカウント: 管理者アカウントの名前を変更する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

アカウント: Guest アカウント名の変更

このセキュリティ設定は、別のアカウント名がアカウント "ゲスト" のセキュリティ識別子 (SID) に関連付けられているかどうかを決定します。 既知のゲスト アカウントの名前を変更すると、承認されていないユーザーがこのユーザー名とパスワードの組み合わせを推測するのが少し難しくなります。

既定値: ゲスト

このポリシーでは、次のものがサポートされています。

  • サポートされる値型は string です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: アカウント: ゲスト アカウントの名前を変更する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

デバイス: サインインせずにドッキング解除を許可する

このセキュリティ設定は、サインインしなくてもポータブル コンピューターをドッキング解除できるかどうかを決定します。 このポリシーが有効になっている場合は、サインインは必要なく、外部ハードウェア取り出しボタンを使用してコンピューターのドッキングを解除できます。 無効にした場合、ユーザーはサインインし、[ドッキング ステーションからコンピューターを削除する] 権限を持ってコンピューターのドッキングを解除する必要があります。

既定値: 有効

注意事項

このポリシーを無効にすると、外部ハードウェア取り出しボタン以外の方法を使用して、ドッキング ステーションからノート PC を物理的に削除しようとする可能性があります。 これによりハードウェアが破損する可能性があるため、この設定は一般に、物理的にセキュリティ保護可能なラップトップ構成でのみ無効にする必要があります。

GP 情報:

  • GP フレンドリ名: デバイス: ログオンせずにドッキング解除を許可する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

デバイス: リムーバブル メディアを取り出すのを許可する

このセキュリティ設定は、リムーバブル NTFS メディアのフォーマットと取り出しを許可するユーザーを決定します。 この機能は、次の場合に提供できます。

  • 管理者。
  • 管理者と対話型ユーザー。

既定値: このポリシーは定義されておらず、管理者のみがこの機能を持ちます。

GP 情報:

  • GP フレンドリ名: デバイス: リムーバブル メディアのフォーマットと取り出しが許可されます
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

デバイス: 共有プリンターに接続するときにユーザーがプリンター ドライバーをインストールできないようにする

コンピューターを共有プリンターに印刷するには、その共有プリンターのドライバーをローカル コンピューターにインストールする必要があります。 このセキュリティ設定は、共有プリンターへの接続の一環としてプリンター ドライバーをインストールできるユーザーを決定します。 この設定が有効になっている場合、共有プリンターへの接続の一部としてプリンター ドライバーをインストールできるのは管理者のみです。 この設定を無効にすると、共有プリンターへの接続の一部としてプリンター ドライバーをインストールできます。

サーバーの既定値: ワークステーションで既定値が有効: 無効

注意

この設定は、ローカル プリンターを追加する機能には影響しません。 この設定は管理者には影響しません。

GP 情報:

  • GP フレンドリ名: デバイス: ユーザーがプリンター ドライバーをインストールできないようにする
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

デバイス: CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する

このセキュリティ設定は、CD-ROM にローカル ユーザーとリモート ユーザーの両方が同時にアクセスできるかどうかを決定します。

このポリシーが有効になっている場合、対話形式でログオンしたユーザーのみがリムーバブル CD-ROM メディアにアクセスできます。 このポリシーが有効になっていて、対話形式でログオンしていない場合は、CD-ROM にネットワーク経由でアクセスできます。

既定値: このポリシーは定義されておらず、CD-ROM アクセスはローカルにログオンしているユーザーに限定されません。

GP 情報:

  • GP フレンドリ名 : デバイス: CD-ROM アクセスをローカルログオン ユーザーのみに制限する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

対話型ログオン: セッションがロックされているときにユーザー情報を表示する

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: 対話型ログオン: セッションがロックされているときにユーザー情報を表示する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

有効な値は:

  • 1 - ユーザー表示名、ドメイン名、ユーザー名。
  • 2 - ユーザー表示名のみ。
  • 3 - ユーザー情報を表示しません。

LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

対話型ログオン: 最後のサインインを表示しない

このセキュリティ設定は、Windows サインイン画面に、この PC で最後にサインインしたユーザーのユーザー名を表示するかどうかを決定します。

このポリシーが有効になっている場合、ユーザー名は表示されません。

このポリシーが無効になっている場合、ユーザー名が表示されます。

既定値: 無効

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: 対話型ログオン: 最後にサインインしたユーザーを表示しない
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

有効な値は:

  • 0 - 無効 (ユーザー名が表示されます)。
  • 1 - 有効 (ユーザー名は表示されません)。

LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

対話型ログオン: サインイン時にユーザー名を表示しない

このセキュリティ設定は、資格情報を入力した後、PC デスクトップが表示される前に、この PC にサインインしているユーザーのユーザー名が Windows サインインに表示されるかどうかを決定します。

このポリシーが有効になっている場合、ユーザー名は表示されません。

このポリシーが無効になっている場合、ユーザー名が表示されます。

既定値: 無効

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: 対話型ログオン: サインイン時にユーザー名を表示しない
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

有効な値は:

  • 0 - 無効 (ユーザー名が表示されます)。
  • 1 - 有効 (ユーザー名は表示されません)。

LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

対話型ログオン: Ctrl + Alt + DEL は必要ありません

このセキュリティ設定は、ユーザーがサインインする前に Ctrl + Alt + DEL キーを押す必要があるかどうかを決定します。

コンピューターでこのポリシーが有効になっている場合、ユーザーは Ctrl キーを押しながら Alt キーを押しながら DEL キーを押してサインインする必要はありません。 Ctrl キーを押しながら Alt キーを押しながら DEL キーを押す必要がないと、ユーザーのパスワードを傍受しようとする攻撃を受けやすくなります。 ユーザーがサインインする前に Ctrl + ALT + DEL を要求すると、ユーザーがパスワードを入力するときに信頼されたパスを介して通信できるようになります。

このポリシーが無効になっている場合は、Windows にログオンする前に Ctrl キーを押しながら Alt キーを押しながら DEL キーを押す必要があります。

ドメイン コンピューターの既定値: 有効: 少なくともWindows 8/無効: Windows 7 以前。 スタンドアロン コンピューターの既定値: 有効

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: 対話型ログオン: Ctrl キーを押しながら Alt キーを押しながら DEL キーを押す必要はありません
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

有効な値は:

  • 0 - 無効。
  • 1 - 有効 (ユーザーは Ctrl キーを押しながら Alt キーを押しながら DEL キーを押してサインインする必要はありません)。

LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

対話型ログオン: コンピューターの非アクティブ状態の上限

Windows はサインイン セッションの非アクティブ状態に気付き、非アクティブ時間が非アクティブ時間の制限を超えた場合、スクリーン セーバーが実行され、セッションがロックされます。

既定値: 適用されません

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: 対話型ログオン: コンピューターの非アクティブな制限
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

有効な値: 0 から 599940 まで。この値は、セッションがロックされるまでの非アクティブ時間 (秒単位) です。 0 (0) に設定されている場合、設定は無効になります。


LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

対話型ログオン: サインインしようとしているユーザーのメッセージ テキスト

このセキュリティ設定では、サインイン時にユーザーに表示されるテキスト メッセージを指定します。

このテキストは、多くの場合、法的な理由で使用されます。 たとえば、会社情報の誤用の影響についてユーザーに警告したり、自分のアクションが監査される可能性があることを警告したりします。

既定値: メッセージなし

このポリシーでは、次のものがサポートされています。

  • サポートされる値型は string です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: 対話型ログオン: ログオンしようとしているユーザーのメッセージ テキスト
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

対話型ログオン: サインインしようとしているユーザーのメッセージ タイトル

このセキュリティ設定を使用すると、対話型ログオンを含むウィンドウのタイトル バーにタイトルの指定を表示できます。サインインしようとしているユーザーのメッセージ テキスト。

既定値: メッセージなし

このポリシーでは、次のものがサポートされています。

  • サポートされる値型は string です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: 対話型ログオン: ログオンしようとしているユーザーのメッセージ タイトル
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

対話型ログオン: スマート カード取り出し時の動作

このセキュリティ設定は、ログオンしているユーザーのスマート カードがスマート カード リーダーから削除された場合の動作を決定します。

オプションは次のとおりです。

  • アクションなし
  • ワークステーションのロック
  • 強制的にログオフする
  • リモート デスクトップ サービス セッションの場合は切断する

このポリシーの [プロパティ] ダイアログ ボックスで [ワークステーションのロック] をクリックすると、スマート カードが削除されるとワークステーションがロックされ、ユーザーはエリアを離れ、スマート カードを持ち込み、保護されたセッションを維持できます。

このポリシーの [プロパティ] ダイアログ ボックスで [強制的にログオフ] をクリックすると、スマート カードが削除されると、ユーザーは自動的にサインオフされます。

リモート デスクトップ サービス セッションで [切断] をクリックすると、スマート カードを削除すると、ユーザーをログオフせずにセッションが切断されます。 このポリシーを使用すると、ユーザーはスマート カードを挿入し、後で、または別のスマート カード リーダー搭載コンピューターで、もう一度サインインしなくてもセッションを再開できます。 セッションがローカルの場合、このポリシーは Lock Workstation と同じように機能します。

注意

リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。

既定値: このポリシーは定義されていません。つまり、システムはそれを No アクションとして扱います。

Windows Vista 以降: この設定を機能させるには、スマート カード削除ポリシー サービスを開始する必要があります。

GP 情報:

  • GP フレンドリ名: 対話型ログオン: スマート カードの削除動作
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う

このセキュリティ設定は、SMB クライアント コンポーネントでパケット署名が必要かどうかを決定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft ファイル、印刷共有、およびその他の多くのネットワーク操作 (リモート Windows 管理など) の基礎を提供します。 転送中の SMB パケットを変更する中間者攻撃を防ぐために、SMB プロトコルは SMB パケットのデジタル署名をサポートします。 このポリシー設定は、SMB サーバーとの通信をさらに許可する前に、SMB パケット署名をネゴシエートする必要があるかどうかを決定します。

この設定を有効にすると、そのサーバーが SMB パケット署名を実行することに同意しない限り、Microsoft ネットワーク クライアントは Microsoft ネットワーク サーバーと通信しません。 このポリシーが無効になっている場合、SMB パケット署名はクライアントとサーバーの間でネゴシエートされます。

既定値: 無効

注意

すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートします。 クライアントとサーバー側の SMB コンポーネントのパケット署名を有効または要求するには、次の 4 つのポリシー設定によって制御されます。

  • Microsoft ネットワーク クライアント: 通信にデジタル署名する (常に) - クライアント側 SMB コンポーネントでパケット署名が必要かどうかを制御します。
  • Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意する場合) - クライアント側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。
  • Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に) - サーバー側の SMB コンポーネントでパケット署名が必要かどうかを制御します。
  • Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合) - サーバー側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。

SMB パケット署名は、方言のバージョン、OS のバージョン、ファイル サイズ、プロセッサ オフロード機能、アプリケーション IO の動作に応じて、SMB のパフォーマンスを大幅に低下させる可能性があります。 詳細については、「SMB 暗号化または SMB 署名を有効にした後のパフォーマンスの低下 」を参照してください - Windows Server |Microsoft Docs

GP 情報:

  • GP フレンドリ名: Microsoft ネットワーク クライアント: デジタル署名通信 (常に)
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う

このセキュリティ設定は、SMB クライアントが SMB パケット署名のネゴシエートを試みるかどうかを決定します。

サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft ファイル、印刷共有、およびその他の多くのネットワーク操作 (リモート Windows 管理など) の基礎を提供します。 転送中の SMB パケットを変更する中間者攻撃を防ぐために、SMB プロトコルは SMB パケットのデジタル署名をサポートします。 このポリシー設定は、SMB クライアント コンポーネントが SMB サーバーに接続するときに SMB パケット署名のネゴシエートを試みるかどうかを決定します。

この設定が有効になっている場合、Microsoft ネットワーク クライアントは、セッションのセットアップ時に SMB パケット署名を実行するようにサーバーに要求します。 サーバーでパケット署名が有効になっている場合は、パケット署名がネゴシエートされます。 このポリシーが無効になっている場合、SMB クライアントは SMB パケット署名をネゴシエートしません。

既定値: 有効

注意

すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートします。 クライアントとサーバー側の SMB コンポーネントのパケット署名を有効または要求するには、次の 4 つのポリシー設定によって制御されます。

  • Microsoft ネットワーク クライアント: 通信にデジタル署名する (常に) - クライアント側 SMB コンポーネントでパケット署名が必要かどうかを制御します。
  • Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意する場合) - クライアント側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。
  • Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に) - サーバー側の SMB コンポーネントでパケット署名が必要かどうかを制御します。
  • Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合) - サーバー側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。 クライアント側とサーバー側の両方の SMB 署名が有効になっていて、クライアントがサーバーへの SMB 1.0 接続を確立した場合、SMB 署名が試行されます。

SMB パケット署名は、方言のバージョン、OS のバージョン、ファイル サイズ、プロセッサ オフロード機能、アプリケーション IO の動作に応じて、SMB のパフォーマンスを大幅に低下させる可能性があります。 この設定は SMB 1.0 接続にのみ適用されます。 詳細については、「SMB 暗号化または SMB 署名を有効にした後のパフォーマンスの低下 」を参照してください - Windows Server |Microsoft Docs

GP 情報:

  • GP フレンドリ名: Microsoft ネットワーク クライアント: デジタル署名通信 (サーバーが同意した場合)
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

Microsoft ネットワーク クライアント: 暗号化されていないパスワードを送信してサード パーティの SMB サーバーに接続する

このセキュリティ設定が有効になっている場合、サーバー メッセージ ブロック (SMB) リダイレクターは、認証中にパスワード暗号化をサポートしていない Microsoft 以外の SMB サーバーにプレーンテキスト パスワードを送信できます。

暗号化されていないパスワードの送信はセキュリティ 上のリスクです。

既定値: 無効

GP 情報:

  • GP フレンドリ名: Microsoft ネットワーク クライアント: 暗号化されていないパスワードをサード パーティの SMB サーバーに送信する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

警告

バージョン 1803 Windows 10以降、このポリシーは非推奨です。

Microsoft ネットワーク サーバー: セッションを中断するまでに必要なアイドル時間の長さ

このセキュリティ設定は、非アクティブのためセッションが中断される前に、サーバー メッセージ ブロック (SMB) セッションで渡す必要がある継続的なアイドル時間を決定します。

管理者は、このポリシーを使用して、コンピューターが非アクティブな SMB セッションを中断するタイミングを制御できます。 クライアント アクティビティが再開されると、セッションは自動的に再確立されます。

このポリシー設定の場合、値 0 は、可能な限り迅速にアイドル セッションを切断することを意味します。 最大値は 99999 で、208 日です。実際には、この値はポリシーを無効にします。

既定値: このポリシーは定義されていません。つまり、システムはそれをサーバーの場合は 15 分、ワークステーションでは未定義として扱います。

GP 情報:

  • GP フレンドリ名: Microsoft ネットワーク サーバー: セッションを中断する前に必要なアイドル時間の長さ
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う

このセキュリティ設定は、SMB サーバー コンポーネントでパケット署名が必要かどうかを決定します。

サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft ファイル、印刷共有、およびその他の多くのネットワーク操作 (リモート Windows 管理など) の基礎を提供します。 転送中の SMB パケットを変更する中間者攻撃を防ぐために、SMB プロトコルは SMB パケットのデジタル署名をサポートします。 このポリシー設定は、SMB クライアントとのさらに通信を許可する前に、SMB パケット署名をネゴシエートする必要があるかどうかを決定します。

この設定が有効になっている場合、そのクライアントが SMB パケット署名を実行することに同意しない限り、Microsoft ネットワーク サーバーは Microsoft ネットワーク クライアントと通信しません。 この設定を無効にすると、クライアントとサーバーの間で SMB パケット署名がネゴシエートされます。

既定値: メンバー サーバーでは無効です。 ドメイン コントローラーに対して有効です。

注意

すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートします。 クライアントとサーバー側の SMB コンポーネントのパケット署名を有効または要求するには、次の 4 つのポリシー設定によって制御されます。

  • Microsoft ネットワーク クライアント: 通信にデジタル署名する (常に) - クライアント側 SMB コンポーネントでパケット署名が必要かどうかを制御します。
  • Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意する場合) - クライアント側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。
  • Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に) - サーバー側の SMB コンポーネントでパケット署名が必要かどうかを制御します。
  • Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合) - サーバー側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。

同様に、クライアント側の SMB 署名が必要な場合、そのクライアントは、パケット署名が有効になっていないサーバーとのセッションを確立できません。 既定では、サーバー側の SMB 署名はドメイン コントローラーでのみ有効になります。 サーバー側の SMB 署名が有効になっている場合、SMB パケット署名は、クライアント側の SMB 署名が有効になっているクライアントとネゴシエートされます。 SMB パケット署名は、方言のバージョン、OS のバージョン、ファイル サイズ、プロセッサ オフロード機能、アプリケーション IO の動作に応じて、SMB のパフォーマンスを大幅に低下させる可能性があります。 詳細については、「SMB 暗号化または SMB 署名を有効にした後のパフォーマンスの低下 」を参照してください - Windows Server |Microsoft Docs

GP 情報:

  • GP フレンドリ名: Microsoft ネットワーク サーバー: デジタル署名通信 (常に)
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う

このセキュリティ設定は、SMB サーバーが SMB パケット署名を要求するクライアントとネゴシエートするかどうかを決定します。

サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft ファイル、印刷共有、およびその他の多くのネットワーク操作 (リモート Windows 管理など) の基礎を提供します。 転送中の SMB パケットを変更する中間者攻撃を防ぐために、SMB プロトコルは SMB パケットのデジタル署名をサポートします。 このポリシー設定は、SMB クライアントが要求したときに SMB サーバーが SMB パケット署名をネゴシエートするかどうかを決定します。

この設定が有効になっている場合、Microsoft ネットワーク サーバーは、クライアントから要求された SMB パケット署名をネゴシエートします。 つまり、クライアントでパケット署名が有効になっている場合、パケット署名はネゴシエートされます。 このポリシーが無効になっている場合、SMB クライアントは SMB パケット署名をネゴシエートしません。

既定値: ドメイン コントローラーでのみ有効です。

注意

すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートします。 クライアントとサーバー側の SMB コンポーネントのパケット署名を有効または要求するには、次の 4 つのポリシー設定によって制御されます。

  • Microsoft ネットワーク クライアント: 通信にデジタル署名する (常に) - クライアント側 SMB コンポーネントでパケット署名が必要かどうかを制御します。
  • Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意する場合) - クライアント側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。
  • Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に) - サーバー側の SMB コンポーネントでパケット署名が必要かどうかを制御します。
  • Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合) - サーバー側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。 クライアント側とサーバー側の両方の SMB 署名が有効になっていて、クライアントがサーバーへの SMB 1.0 接続を確立した場合、SMB 署名が試行されます。

SMB パケット署名は、方言のバージョン、OS のバージョン、ファイル サイズ、プロセッサ オフロード機能、アプリケーション IO の動作に応じて、SMB のパフォーマンスを大幅に低下させる可能性があります。 この設定は SMB 1.0 接続にのみ適用されます。 詳細については、「SMB 暗号化または SMB 署名を有効にした後のパフォーマンスの低下 」を参照してください - Windows Server |Microsoft Docs

GP 情報:

  • GP フレンドリ名: Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合)
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク アクセス: SAM アカウントの匿名列挙を許可しない

このセキュリティ設定は、コンピューターへの匿名接続に付与されるその他のアクセス許可を決定します。

Windows では、匿名ユーザーがドメイン アカウントやネットワーク共有の名前を列挙するなど、特定のアクティビティを実行できます。 この機能は、たとえば、管理者が相互信頼を維持しない信頼されたドメイン内のユーザーにアクセス権を付与する場合に便利です。

このセキュリティ オプションを使用すると、次のように匿名接続にさらに制限を適用できます。

有効: SAM アカウントの列挙を許可しません。 このオプションは、リソースのセキュリティ アクセス許可で Everyone を認証済みユーザーに置き換えます。 無効: 追加の制限はありません。 既定のアクセス許可に依存します。

ワークステーションの既定値: サーバーで既定が有効: 有効

重要

このポリシーは、ドメイン コントローラーには影響しません。

GP 情報:

  • GP フレンドリ名: ネットワーク アクセス: SAM アカウントの匿名列挙を許可しない
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク アクセス: SAM アカウントと共有の匿名列挙を許可しない

このセキュリティ設定は、SAM アカウントと共有の匿名列挙を許可するかどうかを決定します。

Windows では、匿名ユーザーがドメイン アカウントやネットワーク共有の名前を列挙するなど、特定のアクティビティを実行できます。 この機能は、たとえば、管理者が相互信頼を維持しない信頼されたドメイン内のユーザーにアクセス権を付与する場合に便利です。 SAM アカウントと共有の匿名列挙を許可しない場合は、このポリシーを有効にします。

既定値: 無効

GP 情報:

  • GP フレンドリ名: ネットワーク アクセス: SAM アカウントと共有の匿名列挙を許可しない
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク アクセス: 名前付きパイプと共有への匿名のアクセスを制限する

このセキュリティ設定を有効にすると、共有とパイプへの匿名アクセスが次の設定に制限されます。

  • ネットワーク アクセス: 匿名でアクセスできる名前付きパイプ。
  • ネットワーク アクセス: 匿名でアクセスできる共有。
  • 既定値: 有効です。

GP 情報:

  • GP フレンドリ名: ネットワーク アクセス: 名前付きパイプと共有への匿名アクセスを制限する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク アクセス: SAM へのリモートの呼び出しを許可するクライアントを制限する

このポリシー設定を使用すると、SAM へのリモート rpc 接続を制限できます。

選択されていない場合は、既定のセキュリティ記述子が使用されます。

このポリシーは、少なくともWindows Server 2016でサポートされています。

GP 情報:

  • GP フレンドリ名: ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク セキュリティ: ローカル システムで NTLM のコンピューター ID を使用できるようにします。

サービスが Windows Vista または Windows Server 2008 より前のバージョンの Windows オペレーティング システムを実行しているデバイスに接続すると、ローカル システムとして実行され、NTLM に戻す SPNEGO (ネゴシエート) を使用するサービスは匿名で認証されます。 Windows Server 2008 R2 および Windows 7 以降では、サービスが Windows Server 2008 または Windows Vista を実行しているコンピューターに接続する場合、システム サービスはコンピューター ID を使用します。

サービスがデバイス ID に接続すると、データ保護を提供するために署名と暗号化がサポートされます。 (サービスが匿名で接続すると、システム生成のセッション キーが作成され、保護は提供されませんが、アプリケーションはエラーなしでデータに署名および暗号化できます。 匿名認証では、NULL セッションが使用されます。これは、ユーザー認証が実行されないサーバーとのセッションです。そのため、匿名アクセスが許可されます)。

GP 情報:

  • GP フレンドリ名: ネットワーク セキュリティ: ローカル システムで NTLM のコンピューター ID を使用できるようにする
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

有効な値は:

  • 0 - 無効。
  • 1 - 有効 (ローカル システムで NTLM のコンピューター ID を使用できるようにする)。

LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク セキュリティ: このコンピューターに対する PKU2U 認証要求でオンライン ID を使用できるようにします。

ドメインに参加しているマシンでは、このポリシーは既定でオフになります。 この無効化により、オンライン ID がドメインに参加しているマシンに対して認証できなくなります。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: ネットワーク セキュリティ: このコンピューターへの PKU2U 認証要求がオンライン ID を使用することを許可します。
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

有効な値は:

  • 0 - 無効。
  • 1 - 有効 (このコンピューターへの PKU2U 認証要求でオンライン ID を使用できるようにする)。

LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager ハッシュ値を格納しない

このセキュリティ設定は、次のパスワード変更時に、新しいパスワードの LAN Manager (LM) ハッシュ値が格納されるかどうかを決定します。 LM ハッシュは、暗号的に強力なWindows NTハッシュと比較して、比較的弱く、攻撃を受けやすくなります。 LM ハッシュはセキュリティ データベース内のローカル コンピューターに格納されるため、セキュリティ データベースが攻撃された場合にパスワードが侵害される可能性があります。

  • Windows Vista 以降の既定値: 有効
  • Windows XP の既定値: 無効

GP 情報:

  • GP フレンドリ名: ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager ハッシュ値を格納しない
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク セキュリティ LAN Manager 認証レベル

このセキュリティ設定は、ネットワーク ログオンに使用されるチャレンジ/応答認証プロトコルを決定します。 この選択は、クライアントによって使用される認証プロトコルのレベル、ネゴシエートされるセッション セキュリティのレベル、およびサーバーによって受け入れられる認証のレベルに次のように影響します。

  • LM 応答と NTLM 応答の送信: クライアントは LM 認証と NTLM 認証を使用し、NTLMv2 セッション セキュリティを使用しません。ドメイン コントローラーは LM、NTLM、NTLMv2 認証を受け入れます。

  • LM と NTLM の送信 - ネゴシエートされている場合は NTLMv2 セッション セキュリティを使用します。クライアントは LM 認証と NTLM 認証を使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、NTLMv2 認証を受け入れます。

  • NTLM 応答のみを送信する: クライアントは NTLM 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、NTLMv2 認証を受け入れます。

  • NTLMv2 応答のみを送信する: クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、NTLMv2 認証を受け入れます。

  • NTLMv2 応答のみを送信する\拒否 LM: クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM を拒否します (NTLM と NTLMv2 認証のみを受け入れます)。

  • NTLMv2 応答のみを送信する\LM と NTLM を拒否する: クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM と NTLM を拒否します (NTLMv2 認証のみを受け入れます)。

  • 既定値:

  • windows XP: LM 応答と NTLM 応答を送信します。

  • Windows Server 2003: NTLM 応答のみを送信します。

Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2: NTLMv2 応答のみを送信します。

GP 情報:

  • GP フレンドリ名: ネットワーク セキュリティ: LAN Manager 認証レベル
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク セキュリティ: NTLM SSP ベース (セキュリティで保護された RPC を含む) クライアントの最小セッション セキュリティ。

このセキュリティ設定により、クライアント デバイスは 128 ビット暗号化と NTLMv2 セッション セキュリティのネゴシエーションを必要とします。 これらの値は、LAN Manager 認証レベルのセキュリティ設定値に依存します。 オプションは次のとおりです。

  • NTLMv2 セッション セキュリティが必要: メッセージの整合性がネゴシエートされていない場合、接続は失敗します。

  • 128 ビット暗号化が必要: 強力な暗号化 (128 ビット) がネゴシエートされていない場合、接続は失敗します。

  • 既定値:

  • Windows XP、Windows Vista、Windows Server 2003、および Windows Server 2008: 要件なし。

  • Windows 7 および Windows Server 2008 R2: 128 ビット暗号化が必要です。

GP 情報:

  • GP フレンドリ名: ネットワーク セキュリティ: NTLM SSP ベース (セキュリティで保護された RPC を含む) クライアントの最小セッション セキュリティ
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のサーバー向け最小セッション セキュリティ

このセキュリティ設定により、サーバーは 128 ビット暗号化と NTLMv2 セッション セキュリティのネゴシエーションを要求できます。 これらの値は、LAN Manager 認証レベルのセキュリティ設定値に依存します。 オプションは次のとおりです。

  • NTLMv2 セッション セキュリティが必要: メッセージの整合性がネゴシエートされていない場合、接続は失敗します。

  • 128 ビット暗号化が必要です。 強力な暗号化 (128 ビット) がネゴシエートされていない場合、接続は失敗します。

  • 既定値:

  • Windows XP、Windows Vista、Windows Server 2003、および Windows Server 2008: 要件なし。

  • Windows 7 および Windows Server 2008 R2: 128 ビット暗号化が必要です。

GP 情報:

  • GP フレンドリ名: ネットワーク セキュリティ: NTLM SSP ベース (セキュリティで保護された RPC を含む) サーバーの最小セッション セキュリティ
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク セキュリティ: NTLM を制限する: NTLM 認証に対するリモート サーバーの例外を追加する

このポリシー設定を使用すると、"ネットワーク セキュリティ: NTLM を制限する: リモート サーバーへの送信 NTLM トラフィック" ポリシー設定が構成されている場合に、クライアントが NTLM 認証を使用できるリモート サーバーの例外リストを作成できます。

このポリシー設定を構成する場合は、クライアントが NTLM 認証を使用できるリモート サーバーの一覧を定義できます。

このポリシー設定を構成しない場合、例外は適用されません。

この例外リストのサーバーの名前付け形式は、アプリケーションで使用される完全修飾ドメイン名 (FQDN) または NetBIOS サーバー名で、1 行に 1 つずつ表示されます。 例外を確認するには、すべてのアプリケーションで使用される名前を一覧に含める必要があり、例外が正確であることを確認するには、サーバー名を両方の名前付け形式で一覧表示する必要があります。 単一のアスタリスク (*) は、文字列内の任意の場所でワイルドカード文字として使用できます。

GP 情報:

  • GP フレンドリ名: ネットワーク セキュリティ: NTLM を制限する: NTLM 認証にリモート サーバーの例外を追加する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク セキュリティ: NTLM を制限する: 受信 NTLM トラフィックを監査する

このポリシー設定を使用すると、着信 NTLM トラフィックを監査できます。

[無効] を選択した場合、またはこのポリシー設定を構成しない場合、サーバーは受信 NTLM トラフィックのイベントをログに記録しません。

[ドメイン アカウントの監査を有効にする] を選択すると、"ネットワーク セキュリティ: NTLM の制限: 着信 NTLM トラフィック" ポリシー設定が [すべてのドメイン アカウントを拒否する] オプションに設定されている場合にブロックされる NTLM パススルー認証要求のイベントがサーバーによってログに記録されます。

[すべてのアカウントの監査を有効にする] を選択した場合、サーバーは、"ネットワーク セキュリティ: NTLM の制限: 着信 NTLM トラフィック" ポリシー設定が [すべてのアカウントを拒否する] オプションに設定されている場合にブロックされるすべての NTLM 認証要求のイベントをログに記録します。

このポリシーは、少なくとも Windows 7 または Windows Server 2008 R2 でサポートされています。

注意

監査イベントは、アプリケーションとサービス ログ/Microsoft/Windows/NTLM の下にある "運用" ログに、このコンピューターに記録されます。

GP 情報:

  • GP フレンドリ名: ネットワーク セキュリティ: NTLM を制限する: 受信 NTLM トラフィックを監査する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィック

このポリシー設定を使用すると、着信 NTLM トラフィックを拒否または許可できます。

[すべて許可] を選択した場合、またはこのポリシー設定を構成しない場合、サーバーはすべての NTLM 認証要求を許可します。

[すべてのドメイン アカウントを拒否する] を選択すると、サーバーはドメイン サインインに対する NTLM 認証要求を拒否し、NTLM ブロックエラーを表示しますが、ローカル アカウントのサインインを許可します。

[すべてのアカウントを拒否する] を選択すると、サーバーは受信トラフィックからの NTLM 認証要求を拒否し、NTLM ブロックエラーを表示します。

このポリシーは、少なくとも Windows 7 または Windows Server 2008 R2 でサポートされています。

注意

ブロック イベントは、アプリケーションとサービス ログ/Microsoft/Windows/NTLM の下にある "運用" ログに、このコンピューターに記録されます。

GP 情報:

  • GP フレンドリ名: ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィック
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック

このポリシー設定を使用すると、この Windows 7 またはこの Windows Server 2008 R2 コンピューターから任意の Windows リモート サーバーへの送信 NTLM トラフィックを拒否または監査できます。

[すべて許可] を選択した場合、またはこのポリシー設定を構成しない場合、クライアント コンピューターは NTLM 認証を使用してリモート サーバーに対して ID を認証できます。

[すべて監査] を選択すると、クライアント コンピューターは、NTLM 認証要求ごとにイベントをリモート サーバーに記録します。 このログ記録を使用すると、クライアント コンピューターから NTLM 認証要求を受信しているサーバーを特定できます。

[すべて拒否] を選択した場合、クライアント コンピューターは NTLM 認証を使用してリモート サーバーに対して ID を認証できません。 "ネットワーク セキュリティ: NTLM を制限する: NTLM 認証のリモート サーバー例外を追加する" ポリシー設定を使用して、クライアントが NTLM 認証を使用できるリモート サーバーの一覧を定義できます。

このポリシーは、少なくとも Windows 7 または Windows Server 2008 R2 でサポートされています。

注意

監査イベントとブロック イベントは、アプリケーションとサービス ログ/Microsoft/Windows/NTLM の下にある "運用" ログに、このコンピューターに記録されます。

GP 情報:

  • GP フレンドリ名: ネットワーク セキュリティ: NTLM を制限する: リモート サーバーへの送信 NTLM トラフィック
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

シャットダウン: サインインせずにシステムをシャットダウンできるようにする

このセキュリティ設定は、Windows にサインインしなくてもコンピューターをシャットダウンできるかどうかを決定します。

このポリシーを有効にすると、Windows ログオン画面で [シャットダウン] コマンドを使用できます。

このポリシーを無効にすると、コンピューターをシャットダウンするオプションが Windows ログオン画面に表示されません。 この場合、ユーザーはコンピューターに正常にサインインでき、システム のシャットダウンを実行する直前にシステム ユーザーをシャットダウンする必要があります。

  • ワークステーションの既定値: 有効。
  • サーバーの既定値: 無効。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: シャットダウン: ログオンせずにシステムをシャットダウンできるようにする
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

有効な値は:

  • 0 - 無効。
  • 1 - 有効 (サインインせずにシステムをシャットダウンできるようにする)。

LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

シャットダウン: 仮想メモリのページ ファイルをクリアする

このセキュリティ設定は、システムのシャットダウン時に仮想メモリ ページファイルをクリアするかどうかを決定します。

仮想メモリのサポートでは、システム ページ ファイルを使用して、メモリのページが使用されていないときにディスクにスワップします。 実行中のシステムでは、このページファイルはオペレーティング システムによってのみ開き、十分に保護されています。 ただし、他のオペレーティング システムへの起動を許可するように構成されているシステムでは、このシステムがシャットダウンしたときに、システム ページファイルがワイプされていることを確認する必要があります。 このクリーニングにより、ページファイルに直接アクセスする権限のないユーザーが、ページファイルに入る可能性があるプロセス メモリからの機密情報を使用できなくなります。

このポリシーを有効にすると、クリーン シャットダウン時にシステム ページ ファイルがクリアされます。 このセキュリティ オプションを有効にすると、休止状態が無効になっていると、休止状態ファイル (hiberfil.sys) もゼロになります。

既定値: 無効

GP 情報:

  • GP フレンドリ名: シャットダウン: 仮想メモリ ページ ファイルをクリアする
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ユーザー アカウント制御: セキュリティで保護されたデスクトップを使用せずに、UIAccess アプリケーションが昇格を求めることを許可します。

このポリシー設定は、ユーザー インターフェイス アクセシビリティ (UIAccess または UIA) プログラムが、標準ユーザーが使用する昇格プロンプトのセキュリティで保護されたデスクトップを自動的に無効にできるかどうかを制御します。

有効: Windows リモート アシスタンスを含む UIA プログラムは、昇格プロンプトのセキュリティで保護されたデスクトップを自動的に無効にします。 [ユーザー アカウント制御: 昇格を求めるときにセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にしない場合、プロンプトは、セキュリティで保護されたデスクトップではなく対話型ユーザーのデスクトップに表示されます。

無効: (既定値)

セキュリティで保護されたデスクトップは、対話型デスクトップのユーザーのみが無効にすることも、"ユーザー アカウント制御: 昇格を求めるときにセキュリティで保護されたデスクトップに切り替える" ポリシー設定を無効にすることによってのみ無効にすることができます。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: ユーザー アカウント制御: UIAccess アプリケーションがセキュリティで保護されたデスクトップを使用せずに昇格を求めることを許可する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

有効な値は:

  • 0 - 無効。
  • 1 - 有効 (UIAccess アプリケーションがセキュリティで保護されたデスクトップを使用せずに昇格を求めることを許可します)。

LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作

このポリシー設定は、管理者の昇格プロンプトの動作を制御します。

オプションは次のとおりです。

  • 0 - プロンプトを表示せずに昇格する: 特権アカウントが、同意または資格情報を必要とせずに昇格を必要とする操作を実行できるようにします。

    注意

    このオプションは、最も制約のある環境でのみ使用します。

  • 1 - セキュリティで保護されたデスクトップで資格情報の入力を求める: 操作で特権の昇格が必要な場合は、セキュリティで保護されたデスクトップで特権ユーザー名とパスワードを入力するように求められます。 有効な資格情報を入力すると、そのユーザーが利用できる最も高い特権を使って操作が続行されます。

  • 2 - セキュリティで保護されたデスクトップで同意を求める: 操作で特権の昇格が必要な場合、ユーザーはセキュリティで保護されたデスクトップで [許可] または [拒否] を選択するように求められます。 [許可]を選択すると、そのユーザーが利用できる最も高い特権で操作が続行されます。

  • 3 - 資格情報の入力を求める: 操作で特権の昇格が必要な場合、ユーザーは管理ユーザー名とパスワードの入力を求められます。 有効な資格情報を入力すると、適用できる特権を使って操作が続行されます。

  • 4 - 同意を求める: 操作で特権の昇格が必要な場合、ユーザーは [許可] または [拒否] を選択するように求められます。 [許可]を選択すると、そのユーザーが利用できる最も高い特権で操作が続行されます。

  • 5 - Windows 以外のバイナリの同意を求める: (既定値) Microsoft 以外のアプリケーションの操作で特権の昇格が必要な場合、ユーザーはセキュリティで保護されたデスクトップで [許可] または [拒否] を選択するように求められます。 [許可]を選択すると、そのユーザーが利用できる最も高い特権で操作が続行されます。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: ユーザー アカウント制御: 管理承認モードでの管理者の昇格プロンプトの動作
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作

このポリシー設定は、標準ユーザーの昇格プロンプトの動作を制御します。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: ユーザー アカウント制御: 標準ユーザーの昇格プロンプトの動作
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

サポートされている値は次のとおりです。

  • 0 - 昇格要求を自動的に拒否する: 操作で特権の昇格が必要な場合は、構成可能なアクセス拒否エラー メッセージが表示されます。 デスクトップを標準ユーザーとして実行している企業は、ヘルプ デスクの呼び出しを減らすためにこの設定を選択できます。
  • 1 - セキュリティで保護されたデスクトップで資格情報の入力を求める: 操作で特権の昇格が必要な場合、ユーザーはセキュリティで保護されたデスクトップで別のユーザー名とパスワードを入力するように求められます。 有効な資格情報を入力すると、適用できる特権を使って操作が続行されます。
  • 3 (既定値) - 資格情報の入力を求める: 操作で特権の昇格が必要な場合は、管理者ユーザー名とパスワードの入力を求められます。 有効な資格情報を入力すると、適用できる特権を使って操作が続行されます。

LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする

このポリシー設定は、コンピューターのアプリケーション インストール検出の動作を制御します。

オプションは次のとおりです。

  • 有効: (既定値) 特権の昇格を必要とするアプリケーション インストール パッケージが検出されると、管理ユーザー名とパスワードの入力を求められます。 有効な資格情報を入力すると、適用できる特権を使って操作が続行されます。

  • 無効: アプリケーション インストール パッケージは検出されず、昇格を求められます。 標準ユーザーとしてデスクトップを実行し、グループ ポリシー、グループ ポリシー ソフトウェア インストールまたは Systems Management Server (SMS) などのインストール委任テクノロジを使っているエンタープライズについては、このポリシー設定を無効にする必要があります。 この場合は、インストーラーの検出は必要ありません。

GP 情報:

  • GP フレンドリ名: ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格を求めるメッセージを表示する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ユーザー アカウント制御: 署名および検証された実行可能ファイルのみを昇格する

このポリシー設定では、特権の昇格を要求するすべての対話型アプリケーションに対して公開キー インフラストラクチャ (PKI) 署名チェックが適用されます。 エンタープライズ管理者は、ローカル コンピューターの信頼された発行元証明書ストアに証明書を追加することで、実行を許可するアプリケーションを制御できます。

オプションは次のとおりです。

  • 0 - 無効: (既定値) 特定の実行可能ファイルの実行が許可される前に PKI 認定パスの検証を適用しません。
  • 1 - 有効: 実行が許可される前に、特定の実行可能ファイルの PKI 認定パス検証を適用します。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: ユーザー アカウント制御: 署名され検証された実行可能ファイルのみを昇格させる
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ

このポリシー設定は、ユーザー インターフェイス アクセシビリティ (UIAccess) の整合性レベルで実行を要求するアプリケーションがファイル システム内の安全な場所に存在する必要があるかどうかを制御します。 セキュリティで保護された場所は、次の場所に制限されます。

  • .\Program Files(サブフォルダーを含む)
  • .\Windows\system32\
  • .\Program Files (x86)(64 ビット バージョンの Windows のサブフォルダーを含む)

注意

Windows では、このセキュリティ設定の状態に関係なく、UIAccess 整合性レベルで実行を要求する対話型アプリケーションに公開キー インフラストラクチャ (PKI) 署名チェックが適用されます。

オプションは次のとおりです。

  • 0 - 無効: アプリケーションは、ファイル システム内のセキュリティで保護された場所に存在しない場合でも、UIAccess の整合性で実行されます。
  • 1 - 有効: (既定値) ファイル システム内のセキュリティで保護された場所にアプリケーションが存在する場合、UIAccess の整合性でのみ実行されます。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: ユーザー アカウント制御: セキュリティで保護された場所にインストールされている UIAccess アプリケーションのみを昇格する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ユーザー アカウント制御: 承認モード管理有効にする

このポリシー設定は、コンピューターのすべてのユーザー アカウント制御 (UAC) ポリシー設定の動作を制御します。 このポリシー設定を変更する場合は、コンピューターを再起動する必要があります。

オプションは次のとおりです。

  • 0 - 無効: 管理承認モードと関連するすべての UAC ポリシー設定が無効になります。

    注意

    このポリシー設定が無効になっている場合、オペレーティング システムの全体的なセキュリティが低下したことがWindows セキュリティ通知されます。

  • 1 - 有効: (既定値) 管理承認モードが有効になっています。 このポリシーを有効にし、関連する UAC ポリシー設定も適切に設定する必要があります。これにより、組み込みの管理者アカウントと、Administrators グループのメンバーである他のすべてのユーザーが管理承認モードで実行できるようになります。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: ユーザー アカウント制御: 管理承認モードですべての管理者を実行する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える

このポリシー設定は、昇格要求プロンプトを対話型ユーザーのデスクトップに表示するか、セキュリティで保護されたデスクトップに表示するかを制御します。

オプションは次のとおりです。

  • 0 - 無効: すべての昇格要求が対話型ユーザーのデスクトップに移動します。 管理者および標準ユーザーのプロンプト動作ポリシー設定が使用されます。
  • 1 - 有効: (既定値) 管理者と標準ユーザーのプロンプト動作ポリシー設定に関係なく、すべての昇格要求がセキュリティで保護されたデスクトップに送信されます。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: ユーザー アカウント制御: 昇格を求めるメッセージが表示されたら、セキュリティで保護されたデスクトップに切り替えます
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ユーザー アカウント制御: 組み込みの管理者アカウント管理承認モードを使用する

このポリシー設定は、組み込みの管理者アカウント管理承認モードの動作を制御します。

オプションは次のとおりです。

• 有効: 組み込みの管理者アカウントは、承認モード管理使用します。 既定値では、特権の昇格を必要とするすべての操作について、ユーザーの承認が求められます。

• 無効: (既定値) 組み込みの管理者アカウントは、完全な管理特権を持つすべてのアプリケーションを実行します。

GP 情報:

  • GP フレンドリ名: ユーザー アカウント制御: 組み込みの管理者アカウントの管理承認モード
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Windows SE いいえ はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

ユーザー アカウント制御: ファイルおよびレジストリの書き込みエラーを各ユーザーの場所に仮想化する

このポリシー設定は、定義されたレジストリとファイル システムの場所にアプリケーションの書き込みエラーをリダイレクトするかどうかを制御します。 このポリシー設定は、管理者として実行され、ランタイム アプリケーション データを %ProgramFiles%、%Windir%、%Windir%\system32、または HKLM\Software に書き込むアプリケーションを軽減します。

このポリシーでは、次のものがサポートされています。

  • サポートされている値の型は整数です。
  • サポートされている操作は、追加、取得、置換、および削除です。

GP 情報:

  • GP フレンドリ名: ユーザー アカウント制御: ユーザーごとの場所へのファイルとレジストリの書き込みエラーを仮想化する
  • GP パス: Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション

サポートされている値は次のとおりです。

  • 0 - 無効: 保護された場所にデータを書き込むアプリケーションは失敗します。
  • 1 - 有効: (既定) アプリケーションの書き込みエラーは、実行時にファイル システムとレジストリの両方の定義されたユーザーの場所にリダイレクトされます。

関連トピック

ポリシー構成サービス プロバイダー