1. ローカルセキュリティポリシー
1.コンセプト
- 主に、コンピュータにログインするアカウントのセキュリティ設定を行うためです。
- 主な影響はローカル コンピュータのセキュリティ設定です
2. 開封方法
- [スタート] メニュー -> 管理ツール -> ローカル セキュリティ ポリシー
- コマンド secpol.msc を使用します。
- ローカル グループ ポリシーから、コマンド gpedit.msc を使用します。
2. アカウント戦略
1. パスワード ポリシー (Windows Server オペレーティング システムではデフォルトで有効)
- パスワードは複雑さの要件を満たす必要があります (最も一般的に使用されます)
- パスワードの最小長
- パスワードの最低有効期限
- パスワードの最大有効期間
- パスワード履歴を強制する
- パスワードを元に戻せる暗号化で保存します (通常は無効)
2. アカウントロック戦略
アカウント ロック時間 30 分、アカウント ロックしきい値 2 回、アカウント ロック カウンタのリセット 10 分
アカウント ロック カウンタのリセット時間がアカウント ロック時間以下です。
管理者はアカウント ロック ポリシーの制限を受けておらず、管理者のユーザー名も固定されているため、ハッカーの攻撃を受けやすく、サーバーがダウンしてしまいます。この方法を使用すると、 管理者を非表示にして、爆破が実行できないようにすることができます。 (Windows オペレーティング システムによって強化された環境の 1 つ)
- アカウントロック時間
- アカウントのロックアウトしきい値
- アカウント ロックアウト カウンタをリセットする
3. ローカル戦略
1. 監査戦略
- ポリシーの変更を監査する
*v*
このセキュリティ設定は、ユーザー権利の割り当てポリシー、監査ポリシー、アカウントを変更しようとする試みに OS が応答するかどうかを決定します。ポリシー、またはトラスト ポリシーのすべてのインスタンスが監査されます。
メインの監査ポリシーに変更があるかどうか。たとえば、ポリシーに一連の変更を行ったばかりの場合、監査ポリシーでこれらの操作の監査の成功または失敗を設定できます。 >ローカル セキュリティ設定 ->. ポリシーの対応するセキュリティ設定の後に監査が行われない場合、ポリシーを変更するこれらの操作は記録されません。
*v* - ログイン イベントを監査する
*v*
このセキュリティ設定は、ログインしようとするユーザーの各インスタンスを OS が監査するかどうかを決定します。監査
は主にどのユーザーがログインしたか、ログインが成功したか失敗したかを監査するもので、ログイン、ログアウト、アカウントロックなどが監査されます。
ハッカーがサーバーを爆破している場合、外部から何者かが私のコンピューターを爆破していることを示す、継続的なログインと監査の失敗がログ サーバーで確認できますか。 [イベント ビューアー] -> [Windows ログ] -> [セキュリティ] で、ここでサブアカウント ログインの監査を確認できます。 *v* - オブジェクト アクセスの監査
*v*
このセキュリティ設定は、ユーザーが非 Active Directory オブジェクトにアクセスしようとする試みを OS が監査するかどうかを決定します。監査は、オブジェクトにシステム アクセス制御リスト (SACL) が指定されており、要求されたアクセスの種類 (読み取り、書き込み、または変更) および要求を行ったアカウントが SACL の設定と一致する場合にのみ生成されます。
管理者は、成功のみ、失敗のみ、成功と失敗の両方を監査するか、またはこれらのイベントをまったく監査しない (つまり、成功も失敗も監査しない) かを指定できます。
*v* - プロセス追跡を監査する
*v*
このセキュリティ設定は、OS がプロセスの作成、プロセスの終了、プロセス関連のイベントを監査するかどうかを決定します。ハンドル コピーおよび間接的なオブジェクト アクセス。
例: ここでユーザーとしてログインし、プロセスを開始または終了すると、プロセスが審査されます。
ハッカーがコンピュータに侵入し、トロイの木馬を仕掛けた場合ユーザーがこのトロイの木馬プログラムを実行するため、コンピュータ上に隠しユーザーを作成し、この隠しユーザーを使用してトロイの木馬を実行します。トロイの木馬プロセスがコンピュータ上に生成されます。監査プロセスの追跡を通じて、特定のユーザーが特定のプロセスを有効にしていることがわかります。このプロセスを追跡することは危険なプロセスであるため、どのユーザーがこのプロセスを作成したかを確認し、不要なユーザーまたは非表示のユーザーを適時に削除してください。 - ディレクトリ サービス アクセスを監査する
*v*
はディレクトリ用です。
このセキュリティ設定は、OS がユーザーの Active Directory オブジェクトへのアクセス試行を監査します。監査は、オブジェクトにシステム アクセス制御リスト (SACL) が指定されており、要求されたアクセスの種類 (読み取り、書き込み、または変更) および要求を行ったアカウントが SACL の設定と一致する場合にのみ生成されます。
*v* - 権限の使用状況を監査する
*v*このセキュリティ設定は、ユーザー権限を行使するユーザーの各インスタンスを監査するかどうかを決定します。 *v* - システム イベントを監査する
*v*
このセキュリティ設定は、OS が次のイベントのいずれかを監査するかどうかを決定します。システム時刻の変更を試みます。
システムを安全に起動またはシャットダウンしようとします。
拡張可能な認証コンポーネントのロードを試みます。< a i=3> 監査システムの障害により監査対象のイベントが失われるため セキュリティ ログのサイズが、設定可能な警告しきい値レベルを超えています。 *v* - アカウント ログオン イベントを監査する
*v*このセキュリティ設定は、OS がアカウント認証情報を検証するたびにこのコンピュータを監査するかどうかを決定します*v* - アカウント管理の監査
*v*このセキュリティ設定は、コンピューター上のすべてのアカウント管理イベントを監査するかどうかを決定します。アカウント管理イベントの例は次のとおりです。
ユーザー アカウントまたはグループを作成、変更、または削除します。
ユーザー アカウントの名前を変更、無効化、または有効化します。
パスワードを設定または変更します。
このポリシー設定を定義すると、イベント タイプの監査が成功するか、失敗するか、またはまったく監査されないかを指定できます。成功監査では、アカウント管理イベントが成功したときに監査エントリが生成されます。失敗監査では、アカウント管理イベントが失敗したときに監査エントリが生成されます。値を監査なしに設定するには、このポリシー設定の [プロパティ] ダイアログ ボックスで [これらのポリシー設定を定義する] チェック ボックスをオンにし、[成功] チェック ボックスと [失敗] チェック ボックスをオフにします。
*v*
2. ユーザー権限の割り当て
- ネットワークからコンピュータにアクセスする
- タイムゾーンの変更: 管理者とローカルサービス
- システム時刻の変更: 管理者とローカルサービス
- コンピュータをシャットダウンする
- ネットワークからコンピュータにアクセスする
- ネットワークからのコンピュータアクセスを拒否する
- リモート デスクトップ アクセス コンピューター: コマンド mstsc
- リモートデスクトップログインを拒否する
3. セキュリティオプション
- Microsoft Webサーバー
- シャットダウン
*v*
シャットダウン: ログインせずにシステムをシャットダウンできるようにしますこのセキュリティ設定は、Windows にログインせずにコンピュータをシャットダウンできるかどうかを決定します。
このポリシーが有効な場合、Windows ログイン画面でシャットダウン コマンドを使用できるようになります。
このポリシーが無効になっている場合、コンピューターをシャットダウンするオプションは Windows ログイン画面に表示されません。この場合、ユーザーはシステムのシャットダウンを実行する前に、コンピュータに正常にログオンでき、システムをシャットダウンするユーザー権限を持っている必要があります。
ワークステーションのデフォルト設定: 有効。
サーバーのデフォルト設定: 無効。
*v* - 回復コンソール
- 対話型ログイン
*v*
対話型ログイン: Ctrl+Alt+Del を押す必要はありませんこのセキュリティ設定は、ユーザーがログインするために Ctrl+Alt+Del を押す必要があるかどうかを決定します。
コンピュータでこのポリシーが有効になっている場合、ユーザーは Ctrl+Alt+Del を押さずにログインできます。 Ctrl+Alt+Del を押す必要がないため、ユーザーはユーザーのパスワードを傍受しようとする攻撃に対して脆弱になります。ログインする前に Ctrl+Alt+Del を押すようにユーザーに要求すると、ユーザーがパスワードを入力するときに信頼できるパスを介した通信が保証されます。
*v* - 装置
- レビュー
- サイバーセキュリティ
- ネットワークアクセス
- システムの暗号化
- システム設定
- ユーザーアカウント制御
- ドメインメンバー
- ドメインコントローラー
- アカウント
*v*
アカウント: ゲスト アカウントのステータス
このセキュリティ設定は、ゲスト アカウントが有効か無効かを決定します。
デフォルト値: 無効。
注: ゲスト アカウントが無効で、セキュリティ オプション「ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル」が「ゲストのみ」に設定されている場合、ネットワーク ログオン (Microsoft ネットワーク サーバーなどによる) (SMB) サービスによって実行されるネットワーク ログインは失敗します。
アカウント: パスワードが空のローカル アカウントには、コンソール ログインのみが許可されます。
このセキュリティ設定は、パスワードで保護されていないローカル アカウントを物理コンピュータから使用できるかどうかを決定します。コンソール以外の場所からログインします。この設定を有効にすると、パスワードで保護されていないローカル アカウントは、コンピュータのキーボードからのみログインできます。
デフォルト値: 有効。
*v*