対話型ログオン: 最後のサインインを表示しない
適用対象
- Windows 11
- Windows 10
対話型ログオン: 最後にサインインしたセキュリティ ポリシー設定を表示しないに関するベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。 バージョン 1703 Windows 10以前は、このポリシー設定の名前は Interactive logon:Do not display last user name でした。
リファレンス
このセキュリティ ポリシー設定は、デバイスにサインインする最後のユーザーの名前を Secure Desktop に表示するかどうかを決定します。
このポリシーが有効になっている場合、サインインに成功した最後のユーザーの完全な名前は Secure Desktop に表示されません。また、ユーザーのサインイン タイルも表示されません。 さらに、[ ユーザーの切り替え ] 機能が使用されている場合、完全な名前とサインイン タイルは表示されません。 サインイン画面では、修飾されたドメイン アカウント名 (またはローカル ユーザー名) とパスワードが要求されます。
このポリシーが無効になっている場合は、最後にサインインするユーザーの完全な名前が表示され、ユーザーのサインイン タイルが表示されます。 この動作は、 ユーザーの切り替え 機能が使用されている場合と同じです。
値
- 有効
- 無効
- 未定義
ベスト プラクティス
このポリシーの実装は、表示されるサインイン情報のセキュリティ要件によって異なります。 機密データを格納するデバイスがあり、モニターがセキュリティで保護されていない場所に表示されている場合、またはリモートからアクセスされる機密データを持つデバイスがある場合は、ログオンしているユーザーのフル ネームまたはドメイン アカウント名が表示され、セキュリティ ポリシー全体が矛盾する可能性があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
| サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
|---|---|
| 既定のドメイン ポリシー | 無効 |
| 既定のドメイン コントローラー ポリシー | 無効 |
| スタンドアロン サーバーの既定の設定 | 無効 |
| ドメイン コントローラーの有効な既定の設定 | 無効 |
| メンバー サーバーの有効な既定の設定 | 無効 |
| クライアント コンピューターでの GPO の有効な既定の設定 | 無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能とツールについて説明します。
再起動の必要性
なし。 変更は、ローカルに保存されたとき、またはグループ ポリシー経由で配布されたときに、デバイスを再起動しなくても有効になります。
ポリシーの競合に関する考慮事項
なし。
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して、グループ ポリシー オブジェクト (GPO) 経由で配布することで構成できます。 このポリシーが分散 GPO に含まれていない場合は、ローカル セキュリティ ポリシー スナップインを使用してローカル コンピューターでこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。
脆弱性
コンソールにアクセスできる攻撃者 (たとえば、物理的なアクセス権を持つユーザー、リモート デスクトップ セッション ホストを介してデバイスに接続できるユーザーなど) は、ログオンした最後のユーザーの名前を表示する可能性があります。 攻撃者は、パスワードの推測、辞書の使用、ブルートフォース攻撃を使用してサインインを試みる可能性があります。
対抗策
[対話型ログオン: 最後のユーザー名を表示しない] 設定を有効にします。
潜在的な影響
ユーザーは、ローカルまたはドメインにサインインするときに、常にユーザー名とパスワードを入力する必要があります。 ログオンしているすべてのユーザーのサインイン タイルは表示されません。