トレーニング
モジュール
Windows Sever ユーザー アカウントをセキュリティで保護する - Training
ユーザー アカウントを最小の権限にしてセキュリティ保護したうえで保護ユーザー グループに入れることで Active Directory 環境を保護します。 認証スコープを制限し、潜在的に安全でないアカウントを修復する方法について説明します。
このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
このヘッダーは、複数のテクノロジで使用されます。 詳細については、次を参照してください。
ntsecpkg.h には、次のプログラミング インターフェイスが含まれています。
CredMarshalTargetInfo 指定したターゲットをバイト値の配列にシリアル化します。 |
CredFreeCredentialsFn セキュリティ パッケージで使用される資格情報を格納するために使用されるメモリを解放します。 |
CrediUnmarshalandDecodeStringFn マーシャリングされた文字列を元の形式に変換し、マーシャリングされていない文字列を復号化します。 |
CredReadDomainCredentialsFn 資格情報マネージャーからドメイン資格情報を読み取ります。 |
CredReadFn 資格情報マネージャーから資格情報を読み取ります。 |
CredWriteFn 指定した資格情報を資格情報マネージャーに書き込みます。 |
KspDeleteContextFn セキュリティ コンテキストを削除します。 |
KspMakeSignatureFn 指定したメッセージとセキュリティ コンテキストに基づいて署名を生成します。 |
KspVerifySignatureFn 受信したメッセージが署名に従って正しいことを確認します。 |
LSA_ADD_CREDENTIAL ログオン セッションに資格情報を追加します。 |
LSA_ALLOCATE_CLIENT_BUFFER クライアントのアドレス空間にバッファーを割り当てます。 |
LSA_ALLOCATE_LSA_HEAP ヒープにメモリを割り当てます。 LSA に返される一部の情報は、この関数を使用して割り当てられる必要があります。 |
LSA_ALLOCATE_PRIVATE_HEAP プライベート ヒープにメモリを割り当てます。 |
LSA_ALLOCATE_SHARED_MEMORY AllocateSharedMemory 関数は、CreateSharedMemory 関数の呼び出しによって以前に予約されたメモリのセクションから共有メモリのブロックを割り当てます。 |
LSA_AP_CALL_PACKAGE LSA への信頼された接続を持つログオン アプリケーションが LsaCallAuthenticationPackage 関数を呼び出し、認証パッケージの識別子を指定すると、ローカル セキュリティ機関 (LSA) によって呼び出されます。 |
LSA_AP_CALL_PACKAGE_PASSTHROUGH LsaCallAuthenticationPackage 関数に送信されるパススルー ログオン要求のディスパッチ関数。 |
LSA_AP_INITIALIZE_PACKAGE 認証パッケージに自身を初期化する機会を提供するために、システムの初期化中にローカル セキュリティ機関 (LSA) によって 1 回呼び出されます。 |
LSA_AP_LOGON_TERMINATED ログオン セッションが終了したときに認証パッケージに通知するために使用されます。 ログオン セッションを参照する最後のトークンが削除されると、ログオン セッションは終了します。 |
LSA_AP_LOGON_USER LSA_AP_LOGON_USER (ntsecpkg.h) コールバック関数は、ユーザーのログオン資格情報を認証します。 |
LSA_AP_LOGON_USER_EX LSA_AP_LOGON_USER_EX (ntsecpkg.h) コールバック関数は、ユーザーのログオン資格情報を認証します。 |
LSA_AP_LOGON_USER_EX2 ユーザーの初回ログオン時のユーザー ログオン試行を認証するために使用されます。 ユーザーに対して新しいログオン セッションが確立され、ユーザーの検証情報が返されます。 |
LSA_AUDIT_ACCOUNT_LOGON AuditAccountLogon 関数は、外部プリンシパル名の Windows アカウントへのマッピングを表す監査レコードを生成します。 |
LSA_AUDIT_LOGON AuditLogon 関数は、ログオン試行を監査するために使用されます。 |
LSA_CALL_PACKAGE CallPackage 関数は、サービスにアクセスするために別のセキュリティ パッケージを呼び出すために使用されます。 |
LSA_CALL_PACKAGE_PASSTHROUGH CallPackagePassthrough 関数は、サービスにアクセスするために別のセキュリティ パッケージを呼び出すために使用されます。 |
LSA_CALL_PACKAGEEX CallPackageEx 関数は、サービスにアクセスするために別のセキュリティ パッケージを呼び出すために使用されます。 |
LSA_CANCEL_NOTIFICATION CancelNotification 関数は、以前に登録した通知を取り消します。 |
LSA_CLIENT_CALLBACK ローカル セキュリティ機関 (LSA) モードのセキュリティ パッケージがユーザー モード パッケージにコールバックし、そこで DLL 内の関数を呼び出すことができます。 |
LSA_CLOSE_SAM_USER セキュリティ アカウント マネージャー (SAM) ユーザー アカウントへのハンドルを閉じます。 |
LSA_CONVERT_AUTH_DATA_TO_TOKEN ConvertAuthDataToToken 関数は、GetAuthDataForUser 関数または GetUserAuthData 関数から返される承認データからアクセス トークンを作成します。 |
LSA_COPY_FROM_CLIENT_BUFFER クライアント プロセスのアドレス空間から現在のプロセスのバッファーに情報をコピーします。 |
LSA_COPY_TO_CLIENT_BUFFER 現在のプロセスのバッファーからクライアント プロセスのアドレス空間に情報をコピーします。 |
LSA_CRACK_SINGLE_NAME CrackSingleName 関数は、ある形式から別の形式に名前を変換します。 |
LSA_CREATE_LOGON_SESSION ログオン セッションを作成します。 |
LSA_CREATE_SHARED_MEMORY CreateSharedMemory 関数は、クライアント プロセスとセキュリティ パッケージによって共有されるメモリのセクションを作成します。 |
LSA_CREATE_THREAD ローカル セキュリティ機関 (LSA) で使用する必要がある Windows CreateThread 関数のラッパー。 |
LSA_CREATE_TOKEN CreateToken 関数は、SpAcceptLsaModeContext の呼び出しの処理中にトークンを作成するために SSP/AP によって使用されます。 |
LSA_CREATE_TOKEN_EX SpAcceptLsaModeContext の呼び出しの処理中にトークンを作成します。 |
LSA_DELETE_CREDENTIAL 既存の資格情報を削除します。 |
LSA_DELETE_LOGON_SESSION ユーザーの認証情報が正当であるかどうかを判断しながら、作成されたすべてのログオン セッションをクリーンアップします。 |
LSA_DELETE_SHARED_MEMORY DeleteSharedMemory 関数は、クライアントとセキュリティ パッケージによって共有されるメモリのセクションを解放します。 |
LSA_DUPLICATE_HANDLE DuplicateHandle 関数は、重複するハンドルを作成します。 返された重複は、呼び出し元のプロセス空間にあります。 |
LSA_EXPAND_AUTH_DATA_FOR_DOMAIN 指定したユーザー認証データ内のドメイン グループを展開します。 |
LSA_FREE_CLIENT_BUFFER AllocateClientBuffer 関数で以前に割り当てられたクライアント バッファーを解放します。 |
LSA_FREE_LSA_HEAP FreeReturnBuffer 関数は、ローカル セキュリティ機関 (LSA) によって割り当てられ、セキュリティ パッケージに返されるバッファーを解放するために使用されます。 返されたバッファー内の情報が不要になった場合、パッケージはこの関数を呼び出します。 |
LSA_FREE_PRIVATE_HEAP AllocatePrivateHeap 関数を使用して割り当てられたメモリを解放します。 |
LSA_FREE_SHARED_MEMORY FreeSharedMemory 関数は、AllocateSharedMemory 関数によって以前に割り当てられた共有メモリのブロックを解放します。 |
LSA_GET_AUTH_DATA_FOR_USER GetAuthDataForUser 関数は、セキュリティ アカウント マネージャー (SAM) データベースからユーザーの認証情報を取得し、ConvertAuthDataToToken 関数に適した形式に設定します。 |
LSA_GET_CALL_INFO GetCallInfo 関数は、最新の関数呼び出しに関する情報を取得します。 |
LSA_GET_CLIENT_INFO GetClientInfo 関数は、スレッド ID やプロセス ID などのクライアント プロセスに関する情報と、クライアントの状態と特権を示すフラグを取得します。 |
LSA_GET_CREDENTIALS ログオン セッションに関連付けられている資格情報を取得します。 |
LSA_GET_USER_AUTH_DATA GetUserAuthData 関数は、1 つのバッファー内のユーザーの承認データを返します。 |
LSA_MAP_BUFFER SecBuffer 構造体をセキュリティ サポート プロバイダー/認証パッケージ (SSP/AP) のアドレス空間にマップします。 |
LSA_OPEN_SAM_USER セキュリティ アカウント マネージャー (SAM) データベースのユーザー アカウントへのハンドルを取得します。 |
LSA_OPEN_TOKEN_BY_LOGON_ID 指定したユーザー ログオンに関連付けられているユーザー アクセス トークンを開きます。 |
LSA_PROTECT_MEMORY 指定したメモリ バッファーを暗号化します。 |
LSA_REGISTER_NOTIFICATION セキュリティ パッケージに通知されるメカニズムを提供します。 通知は、一定の間隔、イベント オブジェクトが通知されたとき、または特定のシステム イベント中に発生する可能性があります。 |
LSA_UPDATE_PRIMARY_CREDENTIALS ログオン セッションの資格情報が変更されたことを他のパッケージに通知するメカニズムを 1 つのセキュリティ パッケージに提供します。 |
SpAcceptCredentialsFn 認証されたセキュリティ プリンシパルに格納されている資格情報をセキュリティ パッケージに渡すために、ローカル セキュリティ機関 (LSA) によって呼び出されます。 |
SpAcceptLsaModeContextFn サーバーとクライアントによって共有されるセキュリティ コンテキストを作成するために使用されるサーバー ディスパッチ関数。 |
SpAcquireCredentialsHandleFn プリンシパルの資格情報へのハンドルを取得するために呼び出されます。 |
SpAddCredentialsFn セキュリティ プリンシパルの資格情報を追加するために使用します。 |
SpApplyControlTokenFn セキュリティ コンテキストにコントロール トークンを適用します。 この関数は現在、ローカル セキュリティ機関 (LSA) によって呼び出されていません。 |
SpCompleteAuthTokenFn 認証トークンを完了します。S |
SpDeleteCredentialsFn セキュリティ パッケージのプライマリまたは補足の資格情報の一覧から資格情報を削除します。 |
SpExchangeMetaDataFn セキュリティ サポート プロバイダーにメタデータを送信します。 |
SpExportSecurityContextFn セキュリティ コンテキストを別のプロセスにエクスポートします。 |
SpFormatCredentialsFn ユーザー オブジェクトに格納する資格情報を書式設定します。 |
SpFreeCredentialsHandleFn SpAcquireCredentialsHandle 関数を呼び出して取得した資格情報を解放します。 |
SpGetContextTokenFn 偽装するトークンを取得します。 |
SpGetCredentialsFn ユーザー オブジェクトからプライマリ資格情報と補助資格情報を取得します。 |
SpGetCredUIContextFn 資格情報プロバイダーからコンテキスト情報を取得します。 (SpGetCredUIContextFn) |
SpGetExtendedInformationFn セキュリティ パッケージに関する拡張情報を提供します。 |
SpGetInfoFn セキュリティ パッケージの名前や機能など、セキュリティ パッケージに関する一般的な情報を提供します。 |
SpGetUserInfoFn ログオン セッションに関する情報を取得します。 |
SpImportSecurityContextFn 別のプロセスからセキュリティ コンテキストをインポートします。 |
SpInitializeFn 一般的なセキュリティ情報とサポート関数のディスパッチ テーブルをセキュリティ パッケージに提供するために、ローカル セキュリティ機関 (LSA) によって 1 回呼び出されます。 |
SpInitLsaModeContextFn サーバーとクライアントの間でセキュリティ コンテキストを確立するために使用されるクライアント ディスパッチ関数。 |
SpInitUserModeContextFn パックされたローカル セキュリティ機関 (LSA) モードのコンテキストからユーザー モードのセキュリティ コンテキストを作成します。 |
SpInstanceInitFn SSP/AP でユーザー モード セキュリティ パッケージを初期化します。 |
SpLsaModeInitializeFn LSA に、SSP/AP DLL 内の各セキュリティ パッケージによって実装される関数へのポインターを提供します。 |
SpMarshallSupplementalCredsFn 補助資格情報をパブリック形式からローカル プロシージャ呼び出しに適した形式に変換します。 |
SpQueryContextAttributesFn セキュリティ コンテキストの属性を取得します。 |
SpQueryCredentialsAttributesFn 資格情報の属性を取得します。 |
SpQueryMetaDataFn セキュリティ コンテキストを開始するときに、セキュリティ サポート プロバイダー (SSP) からメタデータを取得します。 |
SpSaveCredentialsFn 補足の資格情報をユーザー オブジェクトに保存します。 |
SpSealMessageFn クライアントとサーバーの間で交換されるメッセージを暗号化します。 |
SpSetExtendedInformationFn セキュリティ パッケージに関する拡張情報を設定します。 |
SpUnsealMessageFn SpSealMessage 関数で以前に暗号化されたメッセージを復号化します。 |
SpUpdateCredentialsFn 指定したコンテキストに関連付けられている資格情報を更新します。 (SpUpdateCredentialsFn) |
SpUserModeInitializeFn セキュリティ サポート プロバイダー/認証パッケージ (SSP/AP) DLL がクライアント/サーバー アプリケーションのプロセス空間に読み込まれるときに呼び出されます。 この関数は、SSP/AP DLL 内の各セキュリティ パッケージのSECPKG_USER_FUNCTION_TABLE テーブルを提供します。 |
SpValidateTargetInfoFn 指定したSECPKG_TARGETINFO構造体が有効なターゲットを表していることを検証します。 |
ENCRYPTED_CREDENTIALW 暗号化された資格情報を表します。 |
LSA_DISPATCH_TABLE パッケージが呼び出すことができるローカル セキュリティ機関 (LSA) 関数へのポインター Windows 認証含まれています。 |
LSA_SECPKG_FUNCTION_TABLE セキュリティ パッケージが呼び出すことができる LSA 関数へのポインターが含まれています。 ローカル セキュリティ機関 (LSA) は、パッケージの SpInitialize 関数を呼び出すときに、この構造体をセキュリティ パッケージに渡します。 |
LSA_TOKEN_INFORMATION_NULL 認証されていないシステム アクセスが必要な場合に使用されます。 |
LSA_TOKEN_INFORMATION_V1 認証パッケージがバージョン 2 の Windows トークン オブジェクトに配置できる情報が含まれており、LSA_TOKEN_INFORMATION_V1を超えました。 |
LSA_TOKEN_INFORMATION_V3 LSA トークンに要求のサポートを追加し、認証パッケージがバージョン 3 の Windows トークン オブジェクトに配置できる情報を含み、LSA_TOKEN_INFORMATION_V1を置き込みます。 |
SECPKG_BYTE_VECTOR バイト ベクター情報を指定します。 |
SECPKG_CALL_INFO 現在実行中の呼び出しに関する情報が含まれます。 |
SECPKG_CLIENT_INFO SECPKG_CLIENT_INFO構造体は、セキュリティ パッケージのクライアントに関する情報を保持します。 この構造体は、GetClientInfo 関数によって使用されます。 |
SECPKG_CONTEXT_THUNKS SECPKG_CONTEXT_THUNKS構造体には、LSA モードで実行される QueryContextAttributes (General) 呼び出しに関する情報が含まれています。この構造体は、SpGetExtendedInformation 関数と SpSetExtendedInformation 関数で使用されます。 |
SECPKG_CREDENTIAL 資格情報を指定します。 |
SECPKG_DLL_FUNCTIONS SECPKG_DLL_FUNCTIONS構造体には、クライアント/サーバー アプリケーションを使用したインプロセスの実行中にセキュリティ パッケージが呼び出すことができる LSA 関数へのポインターが含まれています。 |
SECPKG_EVENT_NOTIFY SECPKG_EVENT_NOTIFY構造体には、セキュリティ イベントに関する情報が含まれています。 この構造体は、イベント通知を受信するために登録された関数に渡されます。 イベント通知関数は、RegisterNotification 関数を呼び出すことによって登録されます。 |
SECPKG_EVENT_PACKAGE_CHANGE SECPKG_EVENT_PACKAGE_CHANGE構造体には、セキュリティ パッケージの可用性の変更に関する情報が含まれています。 |
SECPKG_EXTENDED_INFORMATION SECPKG_EXTENDED_INFORMATION構造体は、オプションのパッケージ機能に関する情報を保持するために使用されます。この構造体は、SpGetExtendedInformation 関数と SpSetExtendedInformation 関数で使用されます。 |
SECPKG_EXTRA_OIDS 拡張セキュリティ パッケージのオブジェクト識別子 (OID) を格納します。 |
SECPKG_FUNCTION_TABLE SECPKG_FUNCTION_TABLE構造体には、セキュリティ パッケージが実装する必要がある LSA 関数へのポインターが含まれています。 ローカル セキュリティ機関 (LSA) は、SpLsaModeInitialize 関数を呼び出すと、SSP/AP DLL からこの構造体を取得します。 |
SECPKG_GSS_INFO SECPKG_GSS_INFO構造体には、GSS 互換ネゴシエーションに使用される情報が含まれています。 |
SECPKG_MUTUAL_AUTH_LEVEL SECPKG_MUTUAL_AUTH_LEVEL構造体には、セキュリティ パッケージによって使用される認証レベルが含まれています。 |
SECPKG_NEGO2_INFO NEGO2 ネゴシエーションに使用される拡張パッケージ情報が含まれます。 |
SECPKG_PARAMETERS SECPKG_PARAMETERS構造体には、コンピューター システムに関する情報が含まれています。 この構造体は、SpInitialize 関数によって使用されます。 |
SECPKG_PRIMARY_CRED SECPKG_PRIMARY_CRED構造体には、プライマリ資格情報が含まれています。 この構造体は、LsaApLogonUserEx2 および SpAcceptCredentials 関数によって使用されます。 |
SECPKG_SERIALIZED_OID セキュリティ パッケージのオブジェクト識別子 (OID) を格納します。 |
SECPKG_SHORT_VECTOR 短いベクトル情報を指定します。 |
SECPKG_SUPPLEMENTAL_CRED SECPKG_SUPPLEMENTAL_CRED構造体には、セキュリティ パッケージによって認識される追加の資格情報が含まれています。 |
SECPKG_SUPPLEMENTAL_CRED_ARRAY SECPKG_SUPPLEMENTAL_CRED_ARRAY構造体には、追加の資格情報情報が含まれています。 この構造体は、LsaApLogonUserEx2 および UpdateCredentials 関数によって使用されます。 |
SECPKG_SUPPLIED_CREDENTIAL 指定された資格情報を指定します。 |
SECPKG_TARGETINFO 認証要求のターゲットを指定します。 |
SECPKG_USER_FUNCTION_TABLE SECPKG_USER_FUNCTION_TABLE構造体には、クライアント/サーバー アプリケーションを使用したプロセスでの実行をサポートするためにセキュリティ パッケージが実装する関数へのポインターが含まれています。 この構造体は、SpUserModeInitialize 関数によって提供されます。 |
SECPKG_WOW_CLIENT_DLL WOW 対応の 32 ビット DLL へのパスが含まれています。 |
SECURITY_USER_DATA SecurityUserData 構造体には、セキュリティ サポート プロバイダー/認証パッケージのユーザーに関する情報が含まれています。 この構造体は、SpGetUserInfo 関数によって使用されます。 |
LSA_TOKEN_INFORMATION_TYPE ログオン トークンに含めることができる情報のレベルを指定します。 |
SECPKG_EXTENDED_INFORMATION_CLASS SECPKG_EXTENDED_INFORMATION_CLASS列挙は、セキュリティ パッケージに対して設定または取得する情報の種類を表します。この列挙は、SpGetExtendedInformation 関数と SpSetExtendedInformation 関数で使用されます。 |
SECPKG_NAME_TYPE SECPKG_NAME_TYPE列挙は、アカウントに指定された名前の種類を記述するために使用されます。SECPKG_NAME_TYPE列挙は、GetAuthDataForUser 関数と OpenSamUser 関数によって使用されます。 |
SECPKG_SESSIONINFO_TYPE セッション情報の形式を指定します。 |
トレーニング
モジュール
Windows Sever ユーザー アカウントをセキュリティで保護する - Training
ユーザー アカウントを最小の権限にしてセキュリティ保護したうえで保護ユーザー グループに入れることで Active Directory 環境を保護します。 認証スコープを制限し、潜在的に安全でないアカウントを修復する方法について説明します。