ネットワークからのこのコンピューターへのアクセスを拒否する

  • [アーティクル]

適用対象

  • Windows 11
  • Windows 10

ネットワーク セキュリティ ポリシー設定 の [このコンピューターへのアクセスを拒否 する] に関するベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。

リファレンス

このセキュリティ設定は、ネットワーク経由でデバイスにアクセスできないようにするユーザーを決定します。

定数: SeDenyNetworkLogonRight

  • アカウントのユーザー定義リスト
  • ゲスト

ベスト プラクティス

  • すべてのActive Directory Domain Services プログラムはアクセスにネットワーク ログオンを使用するため、ドメイン コントローラーにこのユーザー権限を割り当てるときは注意が必要です。

場所

[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [ユーザー権利の割り当て]

既定値

既定では、この設定はドメイン コントローラーとスタンドアロン サーバーのゲストです。

次の表に、実際のポリシー値と有効な既定のポリシー値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。

サーバーの種類または GPO 既定値
既定のドメイン ポリシー 未定義
既定のドメイン コントローラー ポリシー ゲスト
スタンドアロン サーバーの既定の設定 ゲスト
ドメイン コントローラーの有効な既定の設定 ゲスト
メンバー サーバーの有効な既定の設定 ゲスト
クライアント コンピューターの有効な既定の設定 ゲスト

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能とツールについて説明します。

このポリシー設定を有効にするには、デバイスの再起動は必要ありません。

このポリシー設定は、ユーザー アカウントが両方のポリシーの対象である場合 、ネットワーク ポリシー設定からこのコンピューターにアクセス する設定よりも優先されます。

アカウントのユーザー権利の割り当てに行った変更は、そのアカウントの所有者が次回ログオンすると有効になります。

グループ ポリシー

設定は、次のグループ ポリシー更新時にローカル コンピューターの設定を上書きするグループ ポリシー オブジェクト (GPO) を使用して次の順序で適用されます。

  1. ローカル ポリシー設定
  2. サイト ポリシーの設定
  3. ドメイン ポリシー設定
  4. OU ポリシー設定

ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

脆弱性

ネットワーク経由でデバイスにサインインできるユーザーは、アカウント名、グループ名、および共有リソースの一覧を列挙できます。 共有フォルダーやファイルにアクセスするアクセス許可を持つユーザーは、ネットワーク経由で接続でき、場合によってはデータを表示または変更できます。

対抗策

ネットワーク ユーザー 権限からこのコンピューターへのアクセスを拒否 する権限を次のアカウントに割り当てます。

  • 匿名サインイン
  • 組み込みのローカル管理者アカウント
  • ローカル ゲスト アカウント
  • すべてのサービス アカウント

この一覧の重要な例外は、ネットワーク経由でデバイスに接続する必要があるサービスを開始するために使用されるサービス アカウントです。 たとえば、Web サーバーがアクセスするための共有フォルダーを構成し、Web サイトを通じてそのフォルダー内のコンテンツを表示したとします。 IIS を実行するアカウントが、ネットワークの共有フォルダーを使用してサーバーにサインインできるようにする必要がある場合があります。 このユーザー権利は、規制コンプライアンスの問題のために機密情報を処理するサーバーとワークステーションを構成する必要がある場合に有効です。

サービス アカウントが Windows サービスのログオン プロパティで構成されている場合は、ドメイン コントローラーに対するネットワーク ログオン権限が適切に起動する必要があります。

潜在的な影響

他のアカウントのネットワーク ユーザー権限 からこのコンピューターへのアクセスを拒否 するを構成する場合は、環境内の特定の管理ロールに割り当てられているユーザーの機能を制限できます。 委任されたタスクが悪影響を受けないことを確認する必要があります。