Windows の管理上のセキュリティの設定

次の表は、さらにセキュリティを強化するために Microsoft Windows システムで利用可能な管理上の推奨設定を提供します。
これらの設定について詳しくは、Windows サーバーのマニュアルを参照してください。
ローカル ポリシー設定について以下の表で説明しています。
[セキュリティ設定] > [アカウントポリシー] > [アカウントロックアウトのポリシー]
ポリシー
推奨のセキュリティの設定
ロックアウト期間
0
アカウントのロックアウトのしきい値
3 回ログオンに失敗
ロックアウトカウンタのリセット
15 分後
[セキュリティ設定] > [アカウントポリシー] > [パスワードポリシー]
パスワードのポリシー
推奨のセキュリティの設定
パスワードの履歴を記録する
24 回のパスワード
パスワードの有効期間
60 日
パスワードの変更禁止期間
2 日
パスワードの長さ
10 文字以上
パスワードは、複雑さの要件を満たす必要がある
有効
暗号化を元に戻せる状態でパスワードを保存する
無効
[セキュリティ設定] > [ローカルポリシー] > [監査ポリシー]
監査ポリシー
推奨のセキュリティの設定
アカウントログオンイベントの監査
成功、失敗
アカウント管理の監査
成功、失敗
ディレクトリサービスのアクセスの監査
成功、失敗
ログオンイベントの監査
成功、失敗
オブジェクトアクセスの監査
成功、失敗
ポリシーの変更の監査
成功、失敗
特権使用の監査
成功、失敗
プロセス追跡の監査
監査しない
システムイベントの監査
成功、失敗
[セキュリティ設定] > [ローカルポリシー] > [ユーザー権利の割り当て]
ユーザー権利の割り当て
推奨のセキュリティの設定
ファイルとディレクトリの復元
Administrators, Backup Operators
システムのシャットダウン
Administrators, Power Users, Backup Operators
ディレクトリサービスデータの同期
ファイルとその他のオブジェクトの所有権の取得
Administrators
ネットワーク経由でコンピュータへアクセス
Everyone, Administrators, Users, Power Users, Backup Operators
オペレーティングシステムの一部として機能
ドメインにワークステーションを追加
プロセスのメモリクォータの増加
LOCAL SERVICE, NETWORK SERVICE, Administrators
ローカルログオンを許可する
Administrators, Users, Power Users, Backup Operators
ターミナル サービスを使ったログオンを許可する
Administrators, Remote Desktop Users
ファイルとディレクトリのバックアップ
Administrators, Backup Operators
走査チェックのバイパス
Everyone, Administrators, Users, Power Users, Backup Operators
システム時刻の変更
Administrators, Power Users
ページファイルの作成
Administrators
トークンオブジェクトの作成
グローバルオブジェクトの作成
Administrators, SERVICE
永続的共有オブジェクトの作成
プログラムのデバッグ
Administrators
ネットワーク経由でコンピュータへアクセスを拒否する
バッチジョブとしてログオンを拒否する
サービスとしてログオンを拒否する
ローカルでログオンを拒否する
リモートデスクトップサービスを使ったログオンを拒否する
コンピュータとユーザーアカウントに委任時の信頼を付与
リモートコンピュータからの強制シャットダウン
Administrators
セキュリティ監査の生成
LOCAL SERVICE, NETWORK SERVICE
認証後にクライアントを偽装
Administrators, SERVICE
スケジューリング優先順位の繰り上げ
Administrators
デバイスドライバのロードとアンロード
Administrators
メモリ内のページのロック
バッチジョブとしてログオン
LOCAL SERVICE
サービスとしてログオン
NETWORK SERVICE
監査とセキュリティログの管理
Administrators
ファームウェア環境値の修正
Administrators
ボリュームの保守タスクを実行
Administrators
単一プロセスのプロファイル
Administrators, Power Users
システムパフォーマンスのプロファイル
Administrators
ドッキングステーションからコンピュータを削除
Administrators, Power Users
プロセスレベルトークンの置き換え
LOCAL SERVICE, NETWORK SERVICE
ファイルとディレクトリの復元
Administrators, Backup Operators
システムのシャットダウン
Administrators, Power Users, Backup Operators
ディレクトリサービスデータの同期
ファイルとその他のオブジェクトの所有権の取得
Administrators
[セキュリティ設定] > [ローカルポリシー] > [セキュリティオプション]
セキュリティオプション
推奨のセキュリティの設定
アカウント: Administrator アカウントの状態
有効
アカウント: Guest アカウントの状態
無効
アカウント: ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する
有効
アカウント: Administrator アカウント名の変更
protectdemo
アカウント: Guest アカウント名の変更
Guest
監査: グローバルシステムオブジェクトへのアクセスを監査する
無効
監査: バックアップと復元の特権の使用を監査する
無効
監査: セキュリティ監査のログを記録できない場合はただちにシステムをシャットダウンする
無効
デバイス: ログオンなしの装着解除を許可する
有効
デバイス: リムーバブルメディアを取り出すのを許可する
Administrators
デバイス: ユーザーがプリンタドライバをインストールできないようにする
有効
デバイス: CD-ROM へのアクセスを、ローカルログオンユーザーだけに制限する
有効
デバイス: フロッピーへのアクセスを、ローカルログオンユーザーだけに制限する
有効
デバイス: 署名されていないドライバのインストール時の動作
インストールを許可しない
ドメインコントローラ: サーバーオペレータがタスクのスケジュールを割り当てるのを許可する
有効
ドメイン コントローラ: LDAP サーバー署名必須
未定義
ドメインコントローラ: コンピュータアカウントのパスワードの変更を拒否する
未定義
ドメインメンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する
有効
ドメインメンバ: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する
有効
ドメインメンバ: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する
有効
ドメイン メンバ: コンピュータ アカウント パスワード: 定期的な変更を無効にする
無効
ドメイン メンバ: 最大コンピュータ アカウントのパスワードの有効期間
30 日
ドメインメンバ: 強力な (Windows 2000 かそれ以降のバージョン) セッションキーを必要とする
有効
対話型ログオン: 最後のユーザー名を表示しない
有効
対話型ログオン: Ctrl+Alt+Del を必要としない
無効
対話型ログオン: ログオン時のユーザーへのメッセージのテキスト
対話型ログオン: ログオン時のユーザーへのメッセージのタイトル
未定義
対話型ログオン: ドメインコントローラが利用できない場合に使用する、前回ログオンのキャッシュ数
10 ログオン
対話型ログオン: パスワードが無効になる前にユーザーに変更を促す
14 日
対話型ログオン: workstation のロック解除にドメインコントローラの認証を必要とする
無効
対話型ログオン: スマートカードを必要とする
無効
対話型ログオン: スマートカード取り出し時の動作
ログオフを強制する
Microsoft ネットワーククライアント: 常に通信にデジタル署名を行う
有効
Microsoft ネットワーククライアント: サーバーが同意すれば、通信にデジタル署名を行う
有効
Microsoft ネットワーククライアント:サードパーティ製の SMB サーバーへのパスワードを、暗号化しないで送信する
無効
Microsoft ネットワークサーバー: セッションを中断する前に、ある一定のアイドル時間を必要とする
15 分後
Microsoft ネットワークサーバー: 常に通信にデジタル署名を行う
有効
Microsoft ネットワークサーバー: クライアントが同意すれば、通信にデジタル署名を行う
有効
Microsoft ネットワークサーバー: ログオン時間の有効期間が切れるとクライアントを切断する
有効
ネットワークアクセス: 匿名の SID と名前の変換を許可する
無効
ネットワークアクセス: SAM アカウントの匿名の列挙を許可しない
有効
ネットワークアクセス: SAM アカウントおよび共有の匿名の列挙を許可しない
無効
ネットワーク アクセス: ネットワーク認証のためにクレデンシャルまたは .NET Passport を保存することを許可しない
無効
ネットワークアクセス: Everyone のアクセス許可を匿名ユーザーに適用する
無効
ネットワークアクセス: リモートからアクセスできる名前付きパイプ
COMNAP, COMNODE, SQL\QUERY, SPOOLSS, EPMAPPER, LOCATOR, TrkWks, TrkSvr
ネットワークアクセス: リモートからアクセスできるレジストリのパス
System\​CurrentControlSet\​Control\​ProductOptions, System\​CurrentControlSet\​Control\​Server Applications, Software\​Microsoft\​Windows NT\​CurrentVersion
ネットワークアクセス: リモートからアクセスできるレジストリのパスおよびサブパス
System\​CurrentControlSet\​Control\​Print\​Printers, System\​CurrentControlSet\​Services\​Eventlog