Windows の管理上のセキュリティの設定
次の表は、さらにセキュリティを強化するために Microsoft Windows システムで利用可能な管理上の推奨設定を提供します。
これらの設定について詳しくは、Windows サーバーのマニュアルを参照してください。
ローカル ポリシー設定について以下の表で説明しています。
ポリシー | 推奨のセキュリティの設定 |
|---|---|
ロックアウト期間 | 0 |
アカウントのロックアウトのしきい値 | 3 回ログオンに失敗 |
ロックアウトカウンタのリセット | 15 分後 |
パスワードのポリシー | 推奨のセキュリティの設定 |
|---|---|
パスワードの履歴を記録する | 24 回のパスワード |
パスワードの有効期間 | 60 日 |
パスワードの変更禁止期間 | 2 日 |
パスワードの長さ | 10 文字以上 |
パスワードは、複雑さの要件を満たす必要がある | 有効 |
暗号化を元に戻せる状態でパスワードを保存する | 無効 |
監査ポリシー | 推奨のセキュリティの設定 |
|---|---|
アカウントログオンイベントの監査 | 成功、失敗 |
アカウント管理の監査 | 成功、失敗 |
ディレクトリサービスのアクセスの監査 | 成功、失敗 |
ログオンイベントの監査 | 成功、失敗 |
オブジェクトアクセスの監査 | 成功、失敗 |
ポリシーの変更の監査 | 成功、失敗 |
特権使用の監査 | 成功、失敗 |
プロセス追跡の監査 | 監査しない |
システムイベントの監査 | 成功、失敗 |
ユーザー権利の割り当て | 推奨のセキュリティの設定 |
|---|---|
ファイルとディレクトリの復元 | Administrators, Backup Operators |
システムのシャットダウン | Administrators, Power Users, Backup Operators |
ディレクトリサービスデータの同期 | |
ファイルとその他のオブジェクトの所有権の取得 | Administrators |
ネットワーク経由でコンピュータへアクセス | Everyone, Administrators, Users, Power Users, Backup Operators |
オペレーティングシステムの一部として機能 | |
ドメインにワークステーションを追加 | |
プロセスのメモリクォータの増加 | LOCAL SERVICE, NETWORK SERVICE, Administrators |
ローカルログオンを許可する | Administrators, Users, Power Users, Backup Operators |
サービスを使ったログオンを許可する | Administrators, Remote Desktop Users |
ファイルとディレクトリのバックアップ | Administrators, Backup Operators |
走査チェックのバイパス | Everyone, Administrators, Users, Power Users, Backup Operators |
システム時刻の変更 | Administrators, Power Users |
ページファイルの作成 | Administrators |
トークンオブジェクトの作成 | |
グローバルオブジェクトの作成 | Administrators, SERVICE |
永続的共有オブジェクトの作成 | |
プログラムのデバッグ | Administrators |
ネットワーク経由でコンピュータへアクセスを拒否する | |
バッチジョブとしてログオンを拒否する | |
サービスとしてログオンを拒否する | |
ローカルでログオンを拒否する | |
リモートデスクトップサービスを使ったログオンを拒否する | |
コンピュータとユーザーアカウントに委任時の信頼を付与 | |
リモートコンピュータからの強制シャットダウン | Administrators |
セキュリティ監査の生成 | LOCAL SERVICE, NETWORK SERVICE |
認証後にクライアントを偽装 | Administrators, SERVICE |
スケジューリング優先順位の繰り上げ | Administrators |
デバイスドライバのロードとアンロード | Administrators |
メモリ内のページのロック | |
バッチジョブとしてログオン | LOCAL SERVICE |
サービスとしてログオン | NETWORK SERVICE |
監査とセキュリティログの管理 | Administrators |
ファームウェア環境値の修正 | Administrators |
ボリュームの保守タスクを実行 | Administrators |
単一プロセスのプロファイル | Administrators, Power Users |
システムパフォーマンスのプロファイル | Administrators |
ドッキングステーションからコンピュータを削除 | Administrators, Power Users |
プロセスレベルトークンの置き換え | LOCAL SERVICE, NETWORK SERVICE |
ファイルとディレクトリの復元 | Administrators, Backup Operators |
システムのシャットダウン | Administrators, Power Users, Backup Operators |
ディレクトリサービスデータの同期 | |
ファイルとその他のオブジェクトの所有権の取得 | Administrators |
セキュリティオプション | 推奨のセキュリティの設定 |
|---|---|
アカウント: Administrator アカウントの状態 | 有効 |
アカウント: Guest アカウントの状態 | 無効 |
アカウント: ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する | 有効 |
アカウント: Administrator アカウント名の変更 | protectdemo |
アカウント: Guest アカウント名の変更 | Guest |
監査: グローバルシステムオブジェクトへのアクセスを監査する | 無効 |
監査: バックアップと復元の特権の使用を監査する | 無効 |
監査: セキュリティ監査のログを記録できない場合はただちにシステムをシャットダウンする | 無効 |
デバイス: ログオンなしの装着解除を許可する | 有効 |
デバイス: リムーバブルメディアを取り出すのを許可する | Administrators |
デバイス: ユーザーがプリンタドライバをインストールできないようにする | 有効 |
デバイス: CD-ROM へのアクセスを、ローカルログオンユーザーだけに制限する | 有効 |
デバイス: フロッピーへのアクセスを、ローカルログオンユーザーだけに制限する | 有効 |
デバイス: 署名されていないドライバのインストール時の動作 | インストールを許可しない |
ドメインコントローラ: サーバーオペレータがタスクのスケジュールを割り当てるのを許可する | 有効 |
ドメインコントローラ: LDAP サーバー署名必須 | 未定義 |
ドメインコントローラ: コンピュータアカウントのパスワードの変更を拒否する | 未定義 |
ドメインメンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する | 有効 |
ドメインメンバ: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する | 有効 |
ドメインメンバ: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する | 有効 |
ドメインメンバ: コンピュータアカウントパスワード: 定期的な変更を無効にする | 無効 |
ドメインメンバ: 最大コンピュータアカウントのパスワードの有効期間 | 30 日 |
ドメインメンバ: 強力な (Windows 2000 かそれ以降のバージョン) セッションキーを必要とする | 有効 |
対話型ログオン: 最後のユーザー名を表示しない | 有効 |
対話型ログオン: Ctrl+Alt+Del を必要としない | 無効 |
対話型ログオン: ログオン時のユーザーへのメッセージのテキスト | |
対話型ログオン: ログオン時のユーザーへのメッセージのタイトル | 未定義 |
対話型ログオン: ドメインコントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 | 10 ログオン |
対話型ログオン: パスワードが無効になる前にユーザーに変更を促す | 14 日 |
対話型ログオン: workstation のロック解除にドメインコントローラの認証を必要とする | 無効 |
対話型ログオン: スマートカードを必要とする | 無効 |
対話型ログオン: スマートカード取り出し時の動作 | ログオフを強制する |
Microsoft ネットワーククライアント: 常に通信にデジタル署名を行う | 有効 |
Microsoft ネットワーククライアント: サーバーが同意すれば、通信にデジタル署名を行う | 有効 |
Microsoft ネットワーククライアント:サードパーティ製の SMB サーバーへのパスワードを、暗号化しないで送信する | 無効 |
Microsoft ネットワークサーバー: セッションを中断する前に、ある一定のアイドル時間を必要とする | 15 分後 |
Microsoft ネットワークサーバー: 常に通信にデジタル署名を行う | 有効 |
Microsoft ネットワークサーバー: クライアントが同意すれば、通信にデジタル署名を行う | 有効 |
Microsoft ネットワークサーバー: ログオン時間の有効期間が切れるとクライアントを切断する | 有効 |
ネットワークアクセス: 匿名の SID と名前の変換を許可する | 無効 |
ネットワークアクセス: SAM アカウントの匿名の列挙を許可しない | 有効 |
ネットワークアクセス: SAM アカウントおよび共有の匿名の列挙を許可しない | 無効 |
ネットワークアクセス: ネットワーク認証のためにクレデンシャルまたはパスワードを保存することを許可しない | 無効 |
ネットワークアクセス: Everyone のアクセス許可を匿名ユーザーに適用する | 無効 |
ネットワークアクセス: リモートからアクセスできる名前付きパイプ | COMNAP, COMNODE, SQL\QUERY, SPOOLSS, EPMAPPER, LOCATOR, TrkWks, TrkSvr |
ネットワークアクセス: リモートからアクセスできるレジストリのパス | System\CurrentControlSet\Control\ProductOptions, System\CurrentControlSet\Control\Server Applications, Software\Microsoft\Windows NT\CurrentVersion |
ネットワークアクセス: リモートからアクセスできるレジストリのパスおよびサブパス | System\CurrentControlSet\Control\Print\Printers, System\CurrentControlSet\Services\Eventlog |