トレーニング
モジュール
Windows Sever ユーザー アカウントをセキュリティで保護する - Training
ユーザー アカウントを最小の権限にしてセキュリティ保護したうえで保護ユーザー グループに入れることで Active Directory 環境を保護します。 認証スコープを制限し、潜在的に安全でないアカウントを修復する方法について説明します。
このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
このヘッダーは、セキュリティと ID によって使用されます。 詳細については、次を参照してください。
ntsecapi.h には、次のプログラミング インターフェイスが含まれています。
AuditComputeEffectivePolicyBySid 指定したセキュリティ プリンシパルの 1 つ以上のサブカテゴリの有効な監査ポリシーを計算します。 この関数は、システム監査ポリシーとユーザーごとのポリシーを組み合わせることで、効果的な監査ポリシーを計算します。 |
AuditComputeEffectivePolicyByToken 指定したトークンに関連付けられているセキュリティ プリンシパルの 1 つ以上のサブカテゴリの有効な監査ポリシーを計算します。 この関数は、システム監査ポリシーとユーザーごとのポリシーを組み合わせることで、効果的な監査ポリシーを計算します。 |
AuditEnumerateCategories 使用可能な監査ポリシー カテゴリを列挙します。 |
AuditEnumeratePerUserPolicy ユーザーごとの監査ポリシーが指定されているユーザーを列挙します。 |
AuditEnumerateSubCategories 使用可能な監査ポリシー サブカテゴリを列挙します。 |
AuditFree 指定したバッファーの監査関数によって割り当てられたメモリを解放します。 |
AuditLookupCategoryGuidFromCategoryId 指定した監査ポリシー カテゴリを表す GUID 構造体を取得します。 |
AuditLookupCategoryIdFromCategoryGuid 指定した監査ポリシー カテゴリを表すPOLICY_AUDIT_EVENT_TYPE列挙体の要素を取得します。 |
AuditLookupCategoryNameA 指定した監査ポリシー カテゴリの表示名を取得します。 (ANSI) |
AuditLookupCategoryNameW 指定した監査ポリシー カテゴリの表示名を取得します。 (Unicode) |
AuditLookupSubCategoryNameA 指定した監査ポリシー サブカテゴリの表示名を取得します。 (ANSI) |
AuditLookupSubCategoryNameW 指定した監査ポリシー サブカテゴリの表示名を取得します。 (Unicode) |
AuditQueryGlobalSaclA 監査メッセージへのアクセスを委任するグローバル システム アクセス制御リスト (SACL) を取得します。 (ANSI) |
AuditQueryGlobalSaclW 監査メッセージへのアクセスを委任するグローバル システム アクセス制御リスト (SACL) を取得します。 (Unicode) |
AuditQueryPerUserPolicy 指定したプリンシパルの 1 つ以上の監査ポリシー サブカテゴリのユーザーごとの監査ポリシーを取得します。 |
AuditQuerySecurity 監査ポリシーへのアクセスを委任するセキュリティ記述子を取得します。 |
AuditQuerySystemPolicy 1 つ以上の監査ポリシー サブカテゴリのシステム監査ポリシーを取得します。 |
AuditSetGlobalSaclA 監査メッセージへのアクセスを委任するグローバル システム アクセス制御リスト (SACL) を設定します。 (ANSI) |
AuditSetGlobalSaclW 監査メッセージへのアクセスを委任するグローバル システム アクセス制御リスト (SACL) を設定します。 (Unicode) |
AuditSetPerUserPolicy 指定したプリンシパルの 1 つ以上の監査サブカテゴリにユーザーごとの監査ポリシーを設定します。 |
AuditSetSecurity 監査ポリシーへのアクセスを委任するセキュリティ記述子を設定します。 |
AuditSetSystemPolicy 1 つ以上の監査ポリシー サブカテゴリのシステム監査ポリシーを設定します。 |
LsaAddAccountRights アカウントに 1 つ以上の特権を割り当てます。 |
LsaCallAuthenticationPackage 認証パッケージと通信するためにログオン アプリケーションによって使用されます。 |
LsaClose LsaClose 関数は、Policy オブジェクトまたは TrustedDomain オブジェクトへのハンドルを閉じます。 |
LsaConnectUntrusted LSA サーバーへの信頼されていない接続を確立します。 |
LsaCreateTrustedDomainEx LsaCreateTrustedDomainEx 関数は、新しい TrustedDomain オブジェクトを作成することで、新しい信頼されたドメインを確立します。 |
LsaDeleteTrustedDomain LsaDeleteTrustedDomain 関数は、システムの信頼されたドメインの一覧から信頼されたドメインを削除し、関連付けられている TrustedDomain オブジェクトを削除します。 |
LsaDeregisterLogonProcess 呼び出し元のログオン アプリケーション コンテキストを削除し、LSA サーバーへの接続を閉じます。 |
LsaEnumerateAccountRights LsaEnumerateAccountRights 関数は、アカウントに割り当てられた特権を列挙します。 |
LsaEnumerateAccountsWithUserRight 指定された特権を保持するローカル セキュリティ機関 (LSA) ポリシー オブジェクトのデータベース内のアカウントを返します。 |
LsaEnumerateLogonSessions 既存のログオン セッション識別子 (LUID) のセットとセッション数を取得します。 |
LsaEnumerateTrustedDomains LsaEnumerateTrustedDomains 関数は、ログオン資格情報を認証するために信頼されたドメインの名前と SID を取得します。 |
LsaEnumerateTrustedDomainsEx ローカル システムによって信頼されているドメインに関する情報を返します。 |
LsaFreeMemory LsaFreeMemory 関数は、LSA 関数呼び出しによって出力バッファーに割り当てられたメモリを解放します。 |
LsaFreeReturnBuffer LSA によって以前に割り当てられたバッファーによって使用されるメモリを解放します。 |
LsaGetLogonSessionData 指定したログオン セッションに関する情報を取得します。 |
LsaLogonUser 格納されている資格情報を使用して、セキュリティ プリンシパルのログオン データを認証します。 |
LsaLookupAuthenticationPackage 認証パッケージの一意識別子を取得します。 |
LsaLookupNames ユーザー、グループ、またはローカル グループ名の配列に対応するセキュリティ識別子 (SID) を取得します。 |
LsaLookupNames2 指定したアカウント名のセキュリティ識別子 (SID) を取得します。 LsaLookupNames2 は、Windows フォレスト内の任意のドメイン内の任意のアカウントの SID を検索できます。 |
LsaLookupSids セキュリティ識別子 (SID) の配列に対応する名前を検索します。 LsaLookupSids が SID に対応する名前を見つけられない場合、この関数は SID を文字形式で返します。 |
LsaLookupSids2 セキュリティ識別子 (SID) の配列に対応し、インターネット プロバイダー ID をサポートする名前を検索します。 LsaLookupSids2 で SID に対応する名前が見つからない場合、関数は SID を文字形式で返します。 |
LsaNtStatusToWinError LsaNtStatusToWinError 関数は、LSA 関数によって返された NTSTATUS コードを Windows エラー コードに変換します。 |
LsaOpenPolicy ローカルまたはリモート システムの Policy オブジェクトへのハンドルを開きます。 |
LsaOpenTrustedDomainByName LsaOpenTrustedDomainByName 関数は、リモート信頼ドメインの LSA ポリシー ハンドルを開きます。 リモート コンピューターの LSA ポリシーを設定またはクエリするために、このハンドルを LSA 関数呼び出しに渡すことができます。 |
LsaQueryDomainInformationPolicy Policy オブジェクトからドメイン情報を取得します。 |
LsaQueryForestTrustInformation 指定したローカル セキュリティ機関 TrustedDomain オブジェクトのフォレストの信頼情報を取得します。 |
LsaQueryInformationPolicy Policy オブジェクトに関する情報を取得します。 |
LsaQueryTrustedDomainInfo LsaQueryTrustedDomainInfo 関数は、信頼されたドメインに関する情報を取得します。 |
LsaQueryTrustedDomainInfoByName LsaQueryTrustedDomainInfoByName 関数は、信頼されたドメインに関する情報を返します。 |
LsaRegisterLogonProcess LSA サーバーへの接続を確立し、呼び出し元がログオン アプリケーションであることを確認します。 |
LsaRegisterPolicyChangeNotification LsaRegisterPolicyChangeNotification 関数は、イベント ハンドルをローカル セキュリティ機関 (LSA) に登録します。 このイベント ハンドルは、指定された LSA ポリシーが変更されるたびに通知されます。 |
LsaRemoveAccountRights アカウントから 1 つ以上の特権を削除します。 |
LsaRetrievePrivateData 汎用データの暗号化と暗号化解除には LSA プライベート データ関数を使用しないでください。 代わりに、CryptProtectData 関数と CryptUnprotectData 関数を使用します。 (LsaRetrievePrivateData) |
LsaSetDomainInformationPolicy ドメイン情報を Policy オブジェクトに設定します。 |
LsaSetForestTrustInformation 指定したローカル セキュリティ機関 TrustedDomain オブジェクトのフォレストの信頼情報を設定します。 |
LsaSetInformationPolicy Policy オブジェクトの情報を変更します。 |
LsaSetTrustedDomainInfoByName LsaSetTrustedDomainInfoByName 関数は、TrustedDomain オブジェクトの値を設定します。 |
LsaSetTrustedDomainInformation LsaSetTrustedDomainInformation 関数は、信頼されたドメインに関する Policy オブジェクトの情報を変更します。 |
LsaStorePrivateData 汎用データの暗号化と暗号化解除には LSA プライベート データ関数を使用しないでください。 代わりに、CryptProtectData 関数と CryptUnprotectData 関数を使用します。 LSA シークレットを操作する必要がある場合にのみ LSA プライベート データ関数を使用します (LsaStorePrivateData) |
LsaUnregisterPolicyChangeNotification LsaUnregisterPolicyChangeNotification 関数は、以前に登録された通知イベントを無効にします。 |
RtlDecryptMemory RtlEncryptMemory 関数によって以前に暗号化されたメモリ コンテンツを復号化します。 |
RtlEncryptMemory メモリの内容を暗号化します。 |
RtlGenRandom 擬似乱数を生成します。 |
PSAM_INIT_NOTIFICATION_ROUTINE InitializeChangeNotify 関数は、パスワード フィルター DLL によって実装されます。 この関数は DLL を初期化します。 |
PSAM_PASSWORD_FILTER_ROUTINE パスワード フィルター DLL によって実装されます。 この関数によって返される値は、新しいパスワードがシステムによって受け入れられるかどうかを決定します。 |
PSAM_PASSWORD_NOTIFICATION_ROUTINE パスワード フィルター DLL によって実装されます。 パスワードが変更されたことを DLL に通知します。 |
AUDIT_POLICY_INFORMATION セキュリティ イベントの種類と、その種類を監査するタイミングを指定します。 |
DOMAIN_PASSWORD_INFORMATION パスワードの最小長や一意のパスワードの必要な方法など、ドメインのパスワード ポリシーに関する情報が含まれます。 |
KERB_ADD_BINDING_CACHE_ENTRY_EX_REQUEST Kerberos ドメイン バインド キャッシュをオーバーライドして、ユーザーが特定のドメイン コントローラー (DC) にバインドできるようにします。 |
KERB_ADD_BINDING_CACHE_ENTRY_REQUEST バインド キャッシュ エントリを追加するメッセージを指定します。 |
KERB_ADD_CREDENTIALS_REQUEST ログオン セッションの追加のサーバー資格情報を追加、削除、または置き換えるメッセージを指定します。 |
KERB_ADD_CREDENTIALS_REQUEST_EX ログオン セッションの追加のサーバー資格情報と、その資格情報に関連付けるサービス プリンシパル名 (SPN) を追加、削除、または置き換えるメッセージを指定します。 |
KERB_BINDING_CACHE_ENTRY_DATA バインディング キャッシュ エントリのデータを指定します。 |
KERB_CERTIFICATE_HASHINFO 証明書ハッシュのペイロード情報を提供します。 |
KERB_CERTIFICATE_INFO 証明書情報を格納します。 |
KERB_CERTIFICATE_LOGON スマート カード ログオン セッションに関する情報が含まれます。 (KERB_CERTIFICATE_LOGON) |
KERB_CERTIFICATE_S4U_LOGON ユーザー (S4U) ログオンのサービスの証明書に関する情報が含まれます。 |
KERB_CERTIFICATE_UNLOCK_LOGON 対話型スマート カード ログオン セッション中にロックされているワークステーションのロックを解除するために使用される情報が含まれます。 |
KERB_CHANGEPASSWORD_REQUEST パスワードの変更に使用される情報が含まれます。 |
KERB_CLEANUP_MACHINE_PKINIT_CREDS_REQUEST コンピューターから PKINIT デバイスの資格情報をクリーンアップします。 |
KERB_CRYPTO_KEY Kerberos 暗号化セッション キーに関する情報が含まれます。 |
KERB_EXTERNAL_NAME 外部名に関する情報が含まれます。 |
KERB_EXTERNAL_TICKET 外部チケットに関する情報が含まれます。 |
KERB_INTERACTIVE_LOGON 対話型ログオン セッションに関する情報が含まれます。 |
KERB_INTERACTIVE_PROFILE KERB_INTERACTIVE_PROFILE構造体には、対話型ログオン プロファイルに関する情報が含まれています。 この構造体は LsaLogonUser 関数によって使用されます。 |
KERB_INTERACTIVE_UNLOCK_LOGON 対話型ログオン セッション中にロックされているワークステーションのロック解除に使用される情報が含まれます。 |
KERB_PURGE_BINDING_CACHE_REQUEST バインド キャッシュの要求を削除します。 |
KERB_PURGE_TKT_CACHE_REQUEST チケット キャッシュからエントリを削除するために使用される情報が含まれます。 |
KERB_QUERY_BINDING_CACHE_REQUEST バインド キャッシュのクエリに使用される情報が含まれます。 |
KERB_QUERY_BINDING_CACHE_RESPONSE バインド キャッシュに対してクエリを実行した結果を格納します。 |
KERB_QUERY_DOMAIN_EXTENDED_POLICIES_REQUEST 拡張ポリシーのドメインのクエリに使用される情報が含まれます。 |
KERB_QUERY_DOMAIN_EXTENDED_POLICIES_RESPONSE 指定したドメインの拡張ポリシーに対してクエリを実行した結果を格納します。 |
KERB_QUERY_TKT_CACHE_REQUEST チケット キャッシュのクエリに使用される情報が含まれます。 |
KERB_QUERY_TKT_CACHE_RESPONSE チケット キャッシュに対してクエリを実行した結果を格納します。 |
KERB_RETRIEVE_TKT_REQUEST チケットの取得に使用される情報が含まれます。 |
KERB_RETRIEVE_TKT_RESPONSE チケットの取得からの応答を格納します。 |
KERB_S4U_LOGON ユーザー (S4U) ログオンのサービスに関する情報が含まれます。 |
KERB_SMART_CARD_LOGON スマート カード ログオン セッションに関する情報が含まれます。 (KERB_SMART_CARD_LOGON) |
KERB_SMART_CARD_UNLOCK_LOGON スマート カード ログオン セッション中にロックされているワークステーションのロック解除に使用される情報が含まれます。 |
KERB_TICKET_CACHE_INFO キャッシュされた Kerberos チケットに関する情報が含まれます。 Kerberos チケットは、インターネット RFC 4120 で定義されています。 詳細については、「http://www.ietf.org」を参照してください。 |
KERB_TICKET_LOGON ネットワーク ログオンのプロファイル情報が含まれます。 |
KERB_TICKET_PROFILE KERB_TICKET_PROFILE構造体には、対話型ログオン プロファイルに関する情報が含まれています。 この構造体は LsaLogonUser によって返されます。 |
KERB_TICKET_UNLOCK_LOGON ワークステーションのロックを解除するための情報が含まれます。 |
LSA_AUTH_INFORMATION LSA_AUTH_INFORMATION構造には、信頼されたドメインの認証情報が含まれています。 |
LSA_ENUMERATION_INFORMATION LSA_ENUMERATION_INFORMATION構造体は LsaEnumerateAccountsWithUserRight 関数と共に使用され、SID へのポインターを返します。 |
LSA_FOREST_TRUST_BINARY_DATA ローカル セキュリティ機関のフォレスト信頼操作で使用されるバイナリ データが含まれます。 |
LSA_FOREST_TRUST_COLLISION_INFORMATION ローカル セキュリティ機関のフォレスト信頼の競合に関する情報が含まれます。 |
LSA_FOREST_TRUST_COLLISION_RECORD ローカル セキュリティ機関のフォレスト信頼の競合に関する情報が含まれます。 |
LSA_FOREST_TRUST_DOMAIN_INFO ドメインの識別情報が含まれます。 |
LSA_FOREST_TRUST_INFORMATION ローカル セキュリティ機関フォレストの信頼情報が含まれます。 |
LSA_FOREST_TRUST_RECORD ローカル セキュリティ機関のフォレスト信頼レコードを表します。 |
LSA_LAST_INTER_LOGON_INFO ログオン セッションに関する情報が含まれます。 (LSA_LAST_INTER_LOGON_INFO) |
LSA_TRANSLATED_SID LsaLookupNames 関数と共に使用して、アカウントを識別する SID に関する情報を返します。 |
MSV1_0_INTERACTIVE_LOGON 対話型ログオンに関する情報が含まれます。 |
MSV1_0_INTERACTIVE_PROFILE MSV1_0_INTERACTIVE_PROFILE構造体には、対話型ログオン プロファイルに関する情報が含まれています。 この構造体は LsaLogonUser 関数によって使用されます。 |
MSV1_0_LM20_LOGON ネットワーク ログオンで使用されるログオン情報が含まれます。 |
MSV1_0_LM20_LOGON_PROFILE ネットワーク ログオン セッションに関する情報が含まれます。 |
MSV1_0_SUBAUTH_LOGON サブ認証 DLL によって使用されます。 |
MSV1_0_SUBAUTH_REQUEST サブ認証パッケージに渡す情報が含まれます。 |
MSV1_0_SUBAUTH_RESPONSE サブ認証パッケージからの応答を格納します。 |
MSV1_0_SUPPLEMENTAL_CREDENTIAL MSV1_0_SUPPLEMENTAL_CREDENTIAL構造は、Kerberos またはカスタム認証パッケージからMSV1_0に資格情報を渡すために使用されます。 |
PKU2U_CERT_BLOB PKU2U 証明書データを指定します。 |
PKU2U_CERTIFICATE_S4U_LOGON S4U ログオンに使用する証明書を指定します。 |
PKU2U_CREDUI_CONTEXT PKU2U クライアント コンテキストを指定します。 |
POLICY_AUDIT_EVENTS_INFO POLICY_AUDIT_EVENTS_INFO構造は、システムの監査規則を設定および照会するために使用されます。 |
POLICY_AUDIT_SID_ARRAY Windows ユーザーまたはグループを表す SID 構造体の配列を指定します。 |
POLICY_LSA_SERVER_ROLE_INFO LSA サーバーの役割の設定とクエリに使用されます。 |
POLICY_MODIFICATION_INFO POLICY_MODIFICATION_INFO構造体は、LSA データベースの作成時刻と最終変更に関する情報を照会するために使用されます。 |
POLICY_PRIMARY_DOMAIN_INFO PolicyPrimaryDomainInformation 値とPOLICY_PRIMARY_DOMAIN_INFO構造体は廃止されました。 代わりに PolicyDnsDomainInformation と POLICY_DNS_DOMAIN_INFO 構造体を使用してください。 |
SECURITY_LOGON_SESSION_DATA ログオン セッションに関する情報が含まれます。 (SECURITY_LOGON_SESSION_DATA) |
TRUSTED_DOMAIN_AUTH_INFORMATION TRUSTED_DOMAIN_AUTH_INFORMATION構造は、信頼されたドメインの認証情報を取得するために使用されます。 LsaQueryTrustedDomainInfo 関数は、InformationClass パラメーターが TrustedDomainAuthInformation に設定されている場合に、この構造体を使用します。 |
TRUSTED_DOMAIN_FULL_INFORMATION 信頼されたドメインに関する完全な情報を取得するために使用されます。 |
TRUSTED_DOMAIN_INFORMATION_EX 信頼されたドメインに関する拡張情報を取得するために使用されます。 |
TRUSTED_DOMAIN_NAME_INFO 信頼されたドメインの名前を照会または設定するために使用されます。 |
TRUSTED_PASSWORD_INFO TRUSTED_PASSWORD_INFO構造は、信頼されたドメインのパスワードのクエリまたは設定に使用されます。 |
TRUSTED_POSIX_OFFSET_INFO Posix ユーザー識別子とグループ識別子の生成に使用される値のクエリまたは設定に使用されます。 |
KERB_CERTIFICATE_INFO_TYPE 提供される証明書情報の種類を指定します。 |
KERB_LOGON_SUBMIT_TYPE 要求されるログオンの種類を識別します。 |
KERB_PROFILE_BUFFER_TYPE 返されるログオン プロファイルの種類をListsします。 |
KERB_PROTOCOL_MESSAGE_TYPE LsaCallAuthenticationPackage 関数を呼び出して Kerberos 認証パッケージに送信できるメッセージの種類をListsします。 |
LSA_FOREST_TRUST_COLLISION_RECORD_TYPE ローカル セキュリティ機関のフォレスト信頼レコード間で発生する可能性がある競合の種類を定義します。 |
LSA_FOREST_TRUST_RECORD_TYPE ローカル セキュリティ機関フォレスト信頼レコードの種類を定義します。 |
MSV1_0_LOGON_SUBMIT_TYPE 要求されるログオンの種類を示します。 |
MSV1_0_PROFILE_BUFFER_TYPE 返されるログオン プロファイルの種類をListsします。 |
MSV1_0_PROTOCOL_MESSAGE_TYPE LsaCallAuthenticationPackage 関数を呼び出して、MSV1_0認証パッケージに送信できるメッセージの種類をListsします。 |
PKU2U_LOGON_SUBMIT_TYPE PKU2U_CERTIFICATE_S4U_LOGON構造体で渡されるログオン メッセージの種類を示します。 |
POLICY_AUDIT_EVENT_TYPE POLICY_AUDIT_EVENT_TYPE列挙は、システムが監査できるイベントの種類を示す値を定義します。 |
POLICY_DOMAIN_INFORMATION_CLASS ポリシー ドメイン情報の種類を定義します。 |
POLICY_INFORMATION_CLASS Policy オブジェクトで設定またはクエリを実行する情報の種類を示す値を定義します。 |
POLICY_LSA_SERVER_ROLE LSA サーバーの役割を示す値を定義します。 |
POLICY_NOTIFICATION_INFORMATION_CLASS POLICY_NOTIFICATION_INFORMATION_CLASS列挙は、アプリケーションが変更の通知を要求できるポリシー情報とポリシー ドメイン情報の種類を定義します。 |
POLICY_SERVER_ENABLE_STATE POLICY_SERVER_ENABLE_STATE列挙は、有効か無効かに関係なく、LSA サーバーの状態を表します。 一部の操作は、有効な LSA サーバーでのみ実行できます。 |
SECURITY_LOGON_TYPE ログオン プロセスによって要求されたログオンの種類を示します。 |
TRUSTED_INFORMATION_CLASS TRUSTED_INFORMATION_CLASS列挙型は、信頼されたドメインに対して設定またはクエリを実行する情報の種類を示す値を定義します。 |
トレーニング
モジュール
Windows Sever ユーザー アカウントをセキュリティで保護する - Training
ユーザー アカウントを最小の権限にしてセキュリティ保護したうえで保護ユーザー グループに入れることで Active Directory 環境を保護します。 認証スコープを制限し、潜在的に安全でないアカウントを修復する方法について説明します。