この資料では、Windows NT 4.0 ドメイン、Windows 2000 ドメイン、および Windows Server 2003 ドメインで特定のセキュリティ設定およびユーザー権利の割り当てを変更した場合に、Microsoft Windows 95、Microsoft Windows 98、Microsoft Windows NT 4.0、Microsoft Windows 2000、Microsoft Windows XP Professional、または Microsoft Windows Server 2003 を実行しているクライアント コンピュータ上で発生することがある互換性の問題について説明します。
ローカル ポリシーおよびグループ ポリシーで、セキュリティ設定およびユーザー権利の割り当てを構成することにより、ドメイン コントローラおよびメンバ コンピュータのセキュリティを強化できます。セキュリティ強化のマイナス面は、クライアント、サービス、およびプログラムの互換性が損なわれることです。
セキュリティ設定を誤って構成した場合にわかりやすいように、セキュリティ設定を変更するにはグループ ポリシー オブジェクト エディタ ツールを使用します。グループ ポリシー オブジェクト エディタを使用した場合、以下のオペレーティング システムではユーザー権利の割り当て機能が強化されています。
| ? | Microsoft Windows XP Professional Service Pack 2 (SP2) |
| ? | Microsoft Windows Server 2003 Service Pack 1 (SP1) |
この機能強化により、セキュリティ設定またはユーザー権利の割り当てを、互換性が低く、制限が厳しい設定に変更すると、この資料へのリンクを含むダイアログ ボックスが表示されます。同じセキュリティ設定またはユーザー権利の割り当てを、レジストリまたはセキュリティ テンプレートを使用して直接編集した場合の設定の効果は、グループ ポリシー オブジェクト エディタで設定を変更した場合と同じですが、この資料へのリンクを含むダイアログ ボックスは表示されません。
この資料には、特定のセキュリティ設定またはユーザー権利の割り当ての影響を受けるクライアント、プログラム、および操作の例が記載されています。ただし、これらの例は、マイクロソフト オペレーティング システム、サードパーティ製オペレーティング システム、または影響を受けるプログラム バージョンのすべてに当てはまるものではありません。また、この資料で説明されているのは、セキュリティ設定およびユーザー権利の割り当てのすべてではありません。
実稼働環境にセキュリティ関連の設定変更を導入する前に、テスト用のフォレストで互換性を検証することを推奨します。テスト用のフォレストは、以下の点について、実稼働環境と同じにする必要があります。
| ? | クライアントおよびサーバーのオペレーティング システムのバージョン、クライアントおよびサーバーのプログラム、Service Pack のバージョン、修正プログラム、スキーマの変更、セキュリティ グループ、グループ メンバシップ、ファイル システム内のオブジェクトへのアクセス許可、共有フォルダ、レジストリ、Active Directory ディレクトリ サービス、ローカルおよびグループ ポリシー設定、オブジェクトの数、種類および場所 |
| ? | 実行する管理タスク、使用する管理ツール、管理タスクの実行に使用するオペレーティング システム |
| ? | 実行する操作 (コンピュータおよびユーザー ログオンの認証。ユーザー、コンピュータ、および管理者によるパスワードの再設定。参照。すべてのクライアント オペレーティング システム、すべてのアカウントまたはリソース ドメインにおける、すべてのクライアント オペレーティング システムおよびすべてのアカウントまたはリソース ドメインからの、ファイル システムのアクセス許可、共有フォルダのアクセス許可、レジストリのアクセス許可、および Active Directory リソースに対して ACL エディタを使用して行うアクセス許可の設定。管理者および管理者以外のアカウントからの印刷。) |
先頭へ戻る
Windows Server 2003 SP1
Gpedit.msc で生成される警告
ネットワークに悪影響を及ぼす可能性があるユーザー権利やセキュリティ オプションを、ユーザーが変更しようとしていることを認識しやすくするために、2 つの警告メカニズムが gpedit.msc に追加されています。管理者が、エンタープライズ全体に悪影響を及ぼす可能性のあるユーザー権利を変更すると、徐行を表す標識に似た新しいアイコンが表示されます。「サポート技術情報」 (Microsoft Knowledge Base) の資料 823659 へのリンクを含む警告メッセージも表示されます。このメッセージのテキストは、次のとおりです。
この設定を変更すると、クライアント、サービスおよびアプリケーションおよびアプリケーションとの互換性に影響がある可能性があります。詳細な情報については <user right or security option being modified> を参照してください。(Q823659)
GPEDIT.MSC のリンクをクリックしてこの「サポート技術情報」が表示された場合は、説明をよく読んで、この設定を変更した場合に受ける可能性のある影響を理解してください。新しい警告テキストが表示されるユーザー権利を以下に示します。
| ? | ネットワーク経由でコンピュータへアクセス |
| ? |
ローカル ログオンを許可する |
| ? | 走査チェックのバイパス |
| ? | コンピュータとユーザー アカウントに委任時の信頼を付与
|
警告およびポップアップが表示されるセキュリティ オプションを以下に示します。
| ? | ドメイン メンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する |
| ? | ドメイン メンバ: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする |
| ? | ドメイン コントローラ: LDAP サーバー署名必須 |
| ? | Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う |
| ? | ネットワーク アクセス: 匿名の SID と名前の変換を許可する |
| ? | ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない |
| ? | ネットワーク セキュリティ: LAN Manager 認証レベル |
| ? | 監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする |
| ? | ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント
|
先頭へ戻る
ここでは、Windows NT 4.0 ドメイン、Windows 2000 ドメイン、および Windows Server 2003 ドメインにおいて特定の設定を変更した場合に発生する可能性のある互換性の問題について説明します。
先頭へ戻る
ユーザー権利
| 1. | ネットワーク経由でコンピュータへアクセス| a. | 背景
リモートの Windows コンピュータとの対話的処理を行うには、"ネットワーク経由でコンピュータへアクセス" ユーザー権利が必要です。そのようなネットワーク操作の例には、共通ドメインまたはフォレスト内のドメイン コントローラ間での Active Directory のレプリケーション、ユーザーおよびコンピュータからのドメイン コントローラに対する認証要求、ネットワーク上のリモート コンピュータに配置された共有フォルダ、プリンタ、および他のシステム サービスへのアクセスがあります。
ユーザー、コンピュータ、およびサービス アカウントを、このユーザー権利が付与されたセキュリティ グループに明示的または暗黙的に追加または削除することにより、"ネットワーク経由でコンピュータへアクセス" ユーザー権利を付与または削除することができます。たとえば、ユーザー アカウントまたはコンピュータ アカウントは、管理者によりカスタムまたはビルトインのセキュリティ グループに明示的に追加されるか、オペレーティング システムにより Domain Users、Authenticated Users、Enterprise Domain Controllers など、計算されたセキュリティ グループに暗黙的に追加される場合があります。
既定では、Everyone または Authenticated Users (推奨)、およびドメイン コントローラの Enterprise Domain Controllers グループなど、計算されたグループが既定のドメイン コントローラ グループ ポリシー オブジェクト (GPO) に定義されている場合、ユーザー アカウントおよびコンピュータ アカウントに "ネットワーク経由でコンピュータへアクセス" ユーザー権利が付与されます。 | | b. | 危険な設定
次の設定は、危険な設定です。
| ? | このユーザー権利から、Enterprise Domain Controllers セキュリティ グループを削除する。 | | ? | Authenticated Users グループを削除するか、ユーザー、コンピュータ、およびサービス アカウントにネットワーク経由でのコンピュータへの接続を許可する明示的なグループを削除する。 | | ? | このユーザー権利から、すべてのユーザーおよびコンピュータを削除する。 |
| | c. | このユーザー権利を付与する理由| ? | Enterprise Domain Controllers グループに "ネットワーク経由でコンピュータへアクセス" ユーザー権利を付与すると、同じフォレスト内のドメイン コントローラ間でレプリケーションを行うために Active Directory レプリケーションで必要になる認証要件が満たされます。 | | ? | このユーザー権利により、ユーザーおよびコンピュータは Active Directory を含む、共有ファイル、プリンタ、およびシステム サービスにアクセスできるようになります。 | | ? | ユーザーが以前のバージョンの Microsoft Outlook Web Access (OWA) を使用してメールにアクセスするには、このユーザー権利が必要です。 |
| | d. | このユーザー権利を削除する理由| ? | コンピュータをネットワークに接続することが可能なユーザーは、アクセス許可を持つリモート コンピュータのリソースにアクセスできます。たとえば、このユーザー権利は、ユーザーが共有プリンタおよび共有フォルダにアクセスするために必要です。このユーザー権利が Everyone グループに付与され、かつ同じグループが読み取りのアクセス許可を持つように、いくつかの共有フォルダに共有アクセス許可と NTFS アクセス許可の両方が設定されている場合、すべてのユーザーがそれら共有フォルダのファイルを参照できます。ただし、Windows Server 2003 では、既定の共有アクセス許可と NTFS アクセス許可に Everyone グループが含まれていないため、新規インストールの Windows Server 2003 でこの状況が発生することはほとんどありません。Microsoft Windows NT 4.0 または Windows 2000 からアップグレードしたシステムでは、それらのオペレーティング システムにおける既定の共有アクセス許可とファイル システム アクセス許可が、Windows Server 2003 での既定のアクセス許可のようには制限されていないため、この脆弱性による危険性が高くなっています。 | | ? | このユーザー権利から Enterprise Domain Controllers セキュリティ グループを削除する正当な理由はありません。 | | ? | 通常、Authenticated Users グループを優先し、Everyone グループを削除します。Everyone グループを削除した場合は、Authenticated Users グループにこのユーザー権利を付与する必要があります。 | | ? | Windows NT 4.0 ドメインを Windows 2000 にアップグレードした場合、"ネットワーク経由でコンピュータへアクセス" ユーザー権利は、Everyone グループ、Authenticated Users グループ、および Enterprise Domain Controllers グループに明示的には付与されません。そのため、Windows NT 4.0 ドメイン ポリシーから Everyone グループを削除した場合、Windows 2000 へのアップグレード後 Active Directory レプリケーションを実行すると、アクセス拒否のエラー メッセージが出力されて失敗します。Windows Server 2003 の Winnt32.exe は、Windows NT 4.0 プライマリ ドメイン コントローラ (PDC) をアップグレードするときに、Enterprise Domain Controllers グループにこのユーザー権利を付与することにより、この誤った設定を回避します。グループ ポリシー オブジェクト エディタでこのユーザー権利が表示されない場合は、Enterprise Domain Controllers グループにこのユーザー権利を付与してください。 |
| | e. | 互換性の問題の例| ? | Windows 2000 および Windows Server 2003 : Active Directory スキーマ、構成、ドメイン、グローバル カタログ、アプリケーション パーティションのレプリケーションがアクセス拒否のエラーで失敗し、REPADMIN および REPLMON などの監視ツールまたはイベント ログのレプリケーション イベントで報告されます。 | | ? | すべてのマイクロソフト ネットワーク オペレーティング システム : ユーザー、またはユーザーが所属するセキュリティ グループにこのユーザー権利が付与されていない場合は、リモート ネットワークのクライアント コンピュータからのユーザー アカウント認証は失敗します。 | | ? | すべてのマイクロソフト ネットワーク オペレーティング システム : アカウント、またはアカウントが所属するセキュリティ グループにこのユーザー権利が付与されていない場合は、リモート ネットワーク クライアントからのアカウント認証は失敗します。これは、ユーザー アカウント、コンピュータ アカウント、およびサービス アカウントに当てはまります。 | | ? | すべてのマイクロソフト ネットワーク オペレーティング システム : このユーザー権利からすべてのアカウントを削除すると、どのアカウントを使用してもドメインへのログオンやネットワーク リソースへのアクセスができなくなります。Enterprise Domain Controllers、Everyone、または Authenticated Users など、計算されたグループが削除された場合、ネットワーク経由でリモート コンピュータにアクセスするには、このユーザー権利をアカウント、またはアカウントが所属するセキュリティ グループに明示的に付与する必要があります。これは、すべてのユーザー アカウント、すべてのコンピュータ アカウント、およびすべてのサービス アカウントに当てはまります。 | | ? | すべてのマイクロソフト ネットワーク オペレーティング システム : ローカルの管理者アカウントで空白のパスワードが使用されています。ドメイン環境では、管理者アカウントで空白のパスワードを使用してネットワークに接続することは許可されません。この構成では、アクセス拒否のエラー メッセージが表示されることがあります。 |
|
|
| 2. | ローカル ログオンを許可する| a. | 背景
(ログオン用の Ctrl + Alt + Del キーの組み合わせを使用して) Microsoft Windows ベースのコンピュータのコンソールにログオンするユーザー、およびサービスを起動するアカウントには、ホストしているコンピュータ上のローカル ログオン権限が必要です。ローカル ログオン操作の例としては、メンバ コンピュータまたは組織全体のドメイン コントローラのコンソールにログインする管理者、メンバ コンピュータにログオンし、特権が付与されていないアカウントを使用してデスクトップにアクセスするドメイン ユーザーなどがあります。リモート デスクトップ接続またはターミナル サービスを使用するユーザーには、Windows 2000、Windows XP または Windows Server 2003 を実行している接続先コンピュータ上の "ローカル ログオンを許可する" (または "ローカル ログオン") ユーザー権利が必要です。これは、ホストしている側のコンピュータではこれらのログオン モードはローカルと見なされるためです。ターミナル サーバーが有効になっているサーバーにログオンするユーザーがこのユーザー権利を持っていない場合でも、"ターミナル サービスを使ったログオンを許可する" ユーザー権利があれば Windows Server 2003 ドメインでリモート対話型セッションを開始できます。 | | b. | 危険な設定
次の設定は、危険な設定です。
| ? | Account Operators、Backup Operators、Print Operators、Server Operators、ビルトインの Administrators グループなどの管理セキュリティ グループを既定のドメイン コントローラ ポリシーから削除する。 | | ? | ドメイン内のメンバ コンピュータ上およびドメイン コントローラ上で、コンポーネントやプログラムにより使用されるサービス アカウントを、既定のドメイン コントローラ ポリシーから削除する。 | | ? | ドメイン内のメンバ コンピュータのコンソールにログオンするユーザーまたはセキュリティ グループを削除する。 | | ? | メンバ コンピュータまたはワークグループ コンピュータのローカル セキュリティ アカウント マネージャ (SAM) データベース内に定義されているサービス アカウントを削除する。 | | ? | ドメイン コントローラ上で実行されているターミナル サービスで認証を行う、ビルトインでない管理者アカウントを削除する。 | | ? | Everyone グループを使用して、ドメイン内のすべてのユーザー アカウントに "ローカルでログオンを拒否する" ログオン権利を明示的または暗黙的に追加する。この設定を行うと、ユーザーはドメイン内のすべてのメンバ コンピュータおよびドメイン コントローラにログオンできなくなります。 |
| | c. | このユーザー権利を付与する理由| ? | ユーザーが、ワークグループ コンピュータ、メンバ コンピュータ、ドメイン コントローラのコンソールまたはデスクトップにアクセスするには、"ローカル ログオンを許可する" (または "ローカル ログオン") ユーザー権利が必要です。 | | ? | ユーザーが、Windows 2000 または Windows Server 2003 ベースのメンバ コンピュータまたはドメイン コントローラ上で実行されているターミナル サービス セッション経由でログオンするには、このユーザー権利が必要です。 |
| | d. | このユーザー権利を削除する理由| ? | コンソール アクセスを正規のユーザー アカウントに限定できないと、許可されていないユーザーが悪質なコードをダウンロードして実行し、ユーザー権利を変更する可能性があります。 | | ? | "ローカル ログオンを許可する" (または "ローカル ログオン") ユーザー権利を削除することにより、ドメイン コントローラやアプリケーション サーバーなどのコンピュータのコンソールに対して、許可されていないログオンが実行されることを防止できます。 | | ? | このログオン権利を削除すると、ドメイン アカウントではないアカウントを使用してドメイン内のメンバ コンピュータのコンソールにログオンすることはできなくなります。 |
| | e. | 互換性の問題の例| ? | Windows 2000 ターミナル サーバー : ユーザーが Windows 2000 ターミナル サーバーにログオンするには、"ローカル ログオン" ユーザー権利が必要です。 | | ? | Windows NT 4.0、Windows 2000、Windows XP または Windows Server 2003 : Windows NT 4.0、Windows 2000、Windows XP、または Windows Server 2003 を実行しているコンピュータのコンソールにログオンするには、ユーザー アカウントにこのユーザー権利を付与する必要があります。 | | ? | Windows NT 4.0 およびそれ以降 : Windows NT 4.0 およびそれ以降を実行しているコンピュータで、"ローカル ログオンを許可する" (または "ローカル ログオン") ユーザー権利を追加し、さらに、"ローカルでログオンを拒否する" ログオン権利も明示的または暗黙的に付与した場合、そのアカウントではドメイン コントローラのコンソールにログオンできません。 |
|
|
| 3. | 走査チェックのバイパス| a. | 背景
"走査チェックのバイパス" ユーザー権利が付与されると、特別なアクセス許可 "フォルダのスキャン" が付与されていなくとも、NTFS ファイル システムまたはレジストリ内のフォルダを参照できます。"走査チェックのバイパス" ユーザー権利では、フォルダの内容の一覧を表示できません。ユーザーには、そのフォルダのスキャンのみが許可されます。 | | b. | 危険な設定
次の設定は、危険な設定です。
| ? | ファイル システム内のファイルおよびフォルダにアクセスするためのアクセス許可がなく、Windows 2000 ベースまたは Windows Server 2003 ベースのターミナル サービス コンピュータにログオンする、管理者でないアカウントを削除する。 | | ? | 既定でこのユーザー権利が付与されているセキュリティ プリンシパルの一覧から Everyone グループを削除する。Windows オペレーティング システム、および多くのプログラムは、正規にコンピュータにアクセス可能なすべてのユーザーに "走査チェックのバイパス" ユーザー権利が付与されていることを前提に設計されています。そのため、既定でこのユーザー権利が付与されているセキュリティ プリンシパルの一覧から Everyone グループを削除すると、オペレーティング システムが不安定になったり、プログラムでエラーが発生したりすることがあります。この設定は、既定のまま使用することをお勧めします。 |
| | c. | このユーザー権利を付与する理由
"走査チェックのバイパス" ユーザー権利に対する既定の設定では、すべてのユーザーが走査チェックをバイパスできます。経験豊富な Windows システム管理者にとって、これは正常な動作であり、システム管理者はこの動作を前提としてファイル システム アクセス制御リスト (SACL) を設定します。既定の設定により予想外の問題が発生する唯一の状況は、アクセス許可を設定する管理者がこの動作を理解しておらず、親フォルダにアクセスできないユーザーはすべての子フォルダの内容にアクセスできないと誤って考えている場合です。 | | d. | このユーザー権利を削除する理由
セキュリティを非常に重要視している組織では、"走査チェックのバイパス" ユーザー権利を持つグループの一覧から Everyone グループを (場合によっては Users グループも) 削除して、ファイル システム内のファイルまたはフォルダへのアクセスを防止する場合があります。 | | e. | 互換性の問題の例| ? | Windows 2000、Windows Server 2003 : Windows 2000 または Windows Server 2003 を実行しているコンピュータで、"走査チェックのバイパス" ユーザー権利が削除されたか誤って設定されている場合、SYSVOL フォルダ内のグループ ポリシー設定がドメイン内のドメイン コントローラ間でレプリケートされません。 | | ? | Windows 2000、Windows XP Professional、Windows Server 2003 : Windows 2000、Windows XP Professional、または Windows Server 2003 を実行しているコンピュータで、"走査チェックのバイパス" ユーザー権利が削除されたか誤って設定され、必要なファイル システムのアクセス許可が SYSVOL ツリーから削除された場合、イベント 1000 および 1202 が記録され、コンピュータ ポリシーおよびユーザー ポリシーが適用できなくなります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
290647 (http://support.microsoft.com/kb/290647/)
イベント ID 1000 および 1001 が 5 分おきにアプリケーション イベント ログに出力される
| | ? | Windows 2000、Windows Server 2003 : Windows 2000 または Windows Server 2003 を実行しているコンピュータで、エクスプローラを使用してボリュームのプロパティを表示すると、[クォータ] タブが表示されません。 | | ? | Windows 2000 : 管理者でないユーザーが Windows 2000 ターミナル サーバーにログオンすると、次のエラー メッセージが表示されることがあります。 Userinit.exe アプリケーション エラーアプリケーションを正しく初期化できませんでした (0xc0000142)。[OK] をクリックしてアプリケーションを終了してください。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
272142 (http://support.microsoft.com/kb/272142/)
ターミナル サービスにログオンしようとすると自動的にログオフされる (英語) | | ? | Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003 : Windows NT 4.0、Windows 2000、Windows XP、または Windows Server 2003 を実行しているコンピュータのユーザーに "走査チェックのバイパス" ユーザー権利が付与されていない場合、共有フォルダ、または共有フォルダのファイルにアクセスできないことや、アクセス拒否のエラー メッセージが表示されることがあります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
277644 (http://support.microsoft.com/kb/277644/)
ユーザーが共有フォルダにアクセスすると "アクセス拒否" のエラー メッセージが表示される
| | ? | Windows NT 4.0 : Windows NT 4.0 ベースのコンピュータで、"走査チェックのバイパス" ユーザー権利を削除すると、ファイルのコピー時にファイル ストリームが脱落します。このユーザー権利を削除した場合、Windows クライアントまたは Macintosh クライアントから Services for Macintosh を実行している Windows NT 4.0 ドメイン コントローラにファイルをコピーする際に、コピー先のファイル ストリームが失われ、ファイルはテキストのみのファイルのように見えます。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
172930 (http://support.microsoft.com/kb/172930/)
[走査チェックのバイパス] を削除すると、ファイルのコピーでストリームが失われる
| | ? | Microsoft Windows 95、Microsoft Windows 98 : Authenticated Users グループに "走査チェックのバイパス" ユーザー権利が付与されていない場合、Windows 95 または Windows 98 を実行しているクライアント コンピュータで net use * /home コマンドを実行すると、アクセス拒否のエラー メッセージが出力され、処理が失敗します。 | | ? | Outlook Web Access : 管理者でないユーザーに "走査チェックのバイパス" ユーザー権利が付与されていない場合、そのユーザーは Microsoft Outlook Web Access にアクセスできず、アクセス拒否のエラー メッセージが表示されます。 |
|
|
セキュリティの設定| 1. | 監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする| a. | 背景| ? | "監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" 設定では、セキュリティ イベントのログを記録できない場合に、システムをシャットダウンするかどうかを指定します。この設定は、Trusted Computer Security Evaluation Criteria (TCSEC) プログラムの C2 評価および Common Criteria for Information Technology Security Evaluation で、監査システムが監査可能なイベントのログを記録できない場合にそれらのイベントを回避するために必要です。監査システムで障害が発生した場合、システムはシャットダウンされ、Stop エラー メッセージが表示されます。 | | ? | コンピュータでセキュリティ ログにイベントを記録できない場合、セキュリティ上の問題を調査する際に、重大な証拠や重要なトラブルシューティング情報が参照できなくなります。 |
| | b. | 危険な設定
次の設定は、危険な設定です。"監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" が有効で、かつセキュリティ イベント ログのサイズがイベント ビューアの [イベントを上書きしない (手動でログを消去)] オプション、[必要に応じてイベントを上書きする] オプション、または [イベントを上書きする number 日経過後] オプションにより制限されている。Windows 2000 の最初のバージョン、Windows 2000 Service Pack 1 (SP1)、Windows 2000 SP2、または Windows 2000 SP3 を実行しているコンピュータにおける具体的なリスクについては、「互換性の問題の例」を参照してください。 | | c. | この設定を有効にする理由
コンピュータでセキュリティ ログにイベントを記録できない場合、セキュリティ上の問題を調査する際に、重大な証拠や重要なトラブルシューティング情報が参照できなくなります。 | | d. | この設定を無効にする理由| ? | "監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" 設定を有効にすると、なんらかの理由でセキュリティ監査のログを記録できない場合にシステムが停止します。通常、セキュリティ監査ログがいっぱいで、かつ指定されたログの保持方法が [イベントを上書きしない (手動でログを消去)] オプションまたは [イベントを上書きする number 日経過後] オプションの場合、イベントのログは記録されません。 | | ? | "監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" 設定を有効にすると、特にセキュリティ ログの [イベントを上書きしない(手動でログを消去)] オプションも有効にした場合に、管理の負担が非常に大きくなる可能性があります。この設定を有効にする場合、管理者が個々の操作に対して責任を持つことが前提となります。たとえば、管理者が、ビルトインの Administrator アカウントまたは他の共有アカウントを使用して、監査が有効になっている組織単位 (OU) 内のすべてのユーザー、コンピュータ、およびグループに対するアクセス許可をリセットした後、そのようにアクセス許可をリセットしたことを否定する可能性があるためです。しかし、この設定を有効にすると、セキュリティ ログに多くのログオン イベントや他のセキュリティ イベントが書き込まれ、サーバーが強制的にシャットダウンされる可能性があるため、システムの堅牢性が低下します。さらに、正常なシャットダウンではないため、オペレーティング システム、プログラム、またはデータに修復不可能な破損が発生する可能性があります。NTFS では、正常でないシステム シャットダウン時にファイル システムの整合性が保持されますが、システムの再起動時にすべてのプログラムのすべてのデータ ファイルが引き続き使用可能であることは保証されません。 |
| | e. | シンボリック名 :
CrashOnAuditFail | | f. | レジストリ パス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD) | | g. | 互換性の問題の例| ? | Windows 2000 : Windows 2000 の最初のバージョン、Windows 2000 SP1、Windows 2000 SP2、または Windows 2000 SP3 を実行しているコンピュータでは、これらのバージョンに含まれている問題が原因で、セキュリティ イベント ログが [最大ログ サイズ] オプションで指定されたサイズに達する前に、イベント ログの記録が停止することがあります。この問題は、Windows 2000 Service Pack 4 (SP4) で修正されます。この設定を有効にする前に、Windows 2000 ドメイン コントローラに Windows 2000 Service Pack 4 がインストールされていることを確認してください。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
312571 (http://support.microsoft.com/kb/312571/)
イベント ログが最大ログ サイズに達する前に、イベントの出力が停止する
| | ? | Windows 2000、Windows Server 2003 : "監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" が有効で、かつセキュリティ ログがいっぱいになり、既存のイベント ログ エントリを上書きできない場合、Windows 2000 または Windows Server 2003 を実行しているコンピュータが応答を停止し、突然自動的に再起動されることがあります。コンピュータの再起動時に、次の Stop エラー メッセージが表示されます。 STOP: C0000244 {Audit Failed}
An attempt to generate a security audit failed.
回復するには、管理者としてログオンし、セキュリティ ログをアーカイブし (この作業は任意です)、セキュリティ ログを消去する必要があります。さらに、このオプションを再設定します (この作業は必要に応じて任意に実施します)。
| | ? | Microsoft Network Client for MS-DOS、Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003 : 管理者でないユーザーがドメインにログオンしようとすると、次のエラー メッセージが表示されます。 このコンピュータにはログオンできません。別のコンピュータにログオンしてください。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
160783 (http://support.microsoft.com/kb/160783/)
ワークステーションにログオンできない
| | ? | Windows 2000 : Windows 2000 ベースのコンピュータで、管理者でないユーザーがリモート アクセス サーバーにログオンできず、次のようなエラー メッセージが表示されます。 ユーザー名を認識できないか、またはパスワードが間違っています
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
285665 (http://support.microsoft.com/kb/285665/)
エラー メッセージ : このコンピュータにはログオンできません (英語) | | ? | Windows 2000 : Windows 2000 ドメイン コントローラで、サイト間メッセージング サービス (Ismserv.exe) が停止し、再起動できません。DCDIAG により、"failed test services ISMserv" というエラーが報告され、イベント ID 1083 がイベント ログに記録されます。 | | ? | Windows 2000 : Windows 2000 ドメイン コントローラでセキュリティ イベント ログがいっぱいの場合、Active Directory レプリケーションが失敗し、アクセス拒否のメッセージが表示されます。 | | ? | Microsoft Exchange 2000 : Exchange 2000 を実行しているサーバーが、インフォメーション ストア データベースをマウントできず、イベント 2102 がイベント ログに記録されます。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
314294 (http://support.microsoft.com/kb/314294/)
[XADM] SeSecurityPrivilege 権利および Policytest の問題によって Exchange 2000 エラー メッセージが生成される
| | ? | Outlook、Outlook Web Access : 管理者でないユーザーは、Microsoft Outlook または Microsoft Outlook Web Access を使用してメールにアクセスできず、503 エラーが発生します。 |
|
|
| 2. | ドメイン コントローラ: LDAP サーバー署名必須| a. | 背景
"ドメイン コントローラ: LDAP サーバー署名必須" セキュリティ設定では、LDAP (Lightweight Directory Access Protocol) サーバーが、LDAP クライアントにデータ署名のネゴシエートを要求するかどうかを指定します。このポリシーに設定可能な値は次のとおりです。
| ? | なし : サーバーとのバインドに署名を要求しません。クライアントがデータ署名を要求する場合は、サーバーでサポートされます。 | | ? | 署名必須 : TLS/SSL (Transport Layer Security/Secure Socket Layer) が使用されていない場合は、LDAP データ署名オプションをネゴシエートする必要があります。 | | ? | 未定義 : この設定は、有効にされていないか、無効になっています。 |
| | b. | 危険な設定
次の設定は、危険な設定です。
| ? | クライアントが LDAP 署名をサポートしていないか、クライアント側の LDAP 署名がクライアント上で有効でない環境において、署名必須を有効にする。 | | ? | クライアントが LDAP 署名をサポートしていないか、クライアント側の LDAP 署名が有効でない環境において、Windows 2000 または Windows Server 2003 の Hisecdc.inf セキュリティ テンプレートを適用する。 | | ? | クライアントが LDAP 署名をサポートしていないか、クライアント側の LDAP 署名が有効でない環境において、Windows 2000 または Windows Server 2003 の Hisecws.inf セキュリティ テンプレートを適用する。 |
| | c. | この設定を有効にする理由
署名されていないネットワーク トラフィックは、侵入者がクライアントとサーバーの間のパケットを盗聴して、パケットを改ざんした後、サーバーに転送する man-in-the-middle 攻撃に悪用される危険性があります。この攻撃が LDAP サーバーに対して行われた場合、攻撃者によってサーバーが LDAP クライアントからの偽のクエリに基づく判断を行う可能性があります。ネットワーク インフラストラクチャの保護に役立つ強力で物理的なセキュリティ対策を実施することにより、企業ネットワークでのこのリスクを減らすことができます。IPSec (Internet Protocol security) の認証ヘッダー モードにより、man-in-the-middle 攻撃をきわめて困難にすることが可能です。認証ヘッダー モードでは、IP トラフィックに対する相互認証およびパケットの整合性確認が実行されます。 | | d. | この設定を無効にする理由| ? | NTLM 認証がネゴシエートされ、かつ Windows 2000 ドメイン コントローラに適切な Service Pack がインストールされていない場合、LDAP 署名をサポートしないクライアントが、ドメイン コントローラおよびグローバル カタログに対して LDAP クエリを送信することはできません。 | | ? | クライアントとサーバーの間の LDAP トラフィックのネットワーク トレースが暗号化され、LDAP の通信内容の調査が困難になります。 | | ? | Windows 2000 SP4、Windows XP または Windows Server 2003 を実行しているクライアント コンピュータで実行される LDAP 署名をサポートするプログラムで、Windows 2000 ベースのサーバーが管理されている場合、そのサーバーには Windows 2000 Service Pack 3 (SP3) 以降がインストールされている必要があります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
325465 (http://support.microsoft.com/kb/325465/)
Windows Server 2003 管理ツールを使用する場合、Windows 2000 ドメイン コントローラは SP3 またはそれ以降の Service Pack が必要 |
| | e. | シンボリック名 :
LDAPServerIntegrity | | f. | レジストリ パス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD) | | g. | 互換性の問題の例| ? | 簡易結合が失敗し、次のエラー メッセージが表示されます。 Ldap_simple_bind_s() failed: 強力な認証が必要です。 | | ? | Windows 2000 Service Pack 4、Windows XP、Windows Server 2003 : Windows 2000 SP4、Windows XP、または Windows Server 2003 を実行しているクライアントで、NTLM 認証がネゴシエートされる場合に、一部の Active Directory 管理ツールが、SP3 より前のバージョンの Windows 2000 を実行しているドメイン コントローラに対して正常に機能しません。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
325465 (http://support.microsoft.com/kb/325465/)
Windows Server 2003 管理ツールを使用する場合、Windows 2000 ドメイン コントローラは SP3 またはそれ以降の Service Pack が必要 | | ? | Windows 2000 Service Pack 4、Windows XP、Windows Server 2003 : Windows 2000 SP4、Windows XP、または Windows Server 2003 を実行しているクライアントで、SP3 より前のバージョンの Windows 2000 を実行しているドメイン コントローラを対象とする一部の Active Directory 管理ツールで IP アドレス ("dsa.msc /server=x.x.x.x" など。x.x.x.x は IP アドレスです) を使用すると、そのツールが正常に機能しません。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
325465 (http://support.microsoft.com/kb/325465/)
Windows Server 2003 管理ツールを使用する場合、Windows 2000 ドメイン コントローラは SP3 またはそれ以降の Service Pack が必要 | | ? | Windows 2000 Service Pack 4、Windows XP、Windows Server 2003 : Windows 2000 SP4、Windows XP、または Windows Server 2003 を実行するクライアントで、SP3 より前のバージョンの Windows 2000 を実行しているドメイン コントローラを対象とする一部の Active Directory 管理ツールが正常に機能しません。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
325465 (http://support.microsoft.com/kb/325465/)
Windows Server 2003 管理ツールを使用する場合、Windows 2000 ドメイン コントローラは SP3 またはそれ以降の Service Pack が必要 |
|
|
| 3. | ドメイン メンバ : 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする| a. | 背景| ? | "ドメイン メンバ: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする" 設定では、セキュリティで保護されたチャネルのトラフィックを強力な 128 ビット セッション キーで暗号化できないドメイン コントローラとの間に、セキュリティで保護されたチャネルを確立できるかどうかを指定します。この設定を有効にすると、セキュリティで保護されたチャネルのデータを強力なキーで暗号化できないすべてのドメイン コントローラとの間には、セキュリティで保護されたチャネルが確立されません。この設定を無効にすると、64 ビット セッション キーを使用できます。
| | ? | メンバ ワークステーションまたはサーバーでこの設定を有効にするには、メンバが所属するドメイン内のすべてのドメイン コントローラで、強力な 128 ビット キーで保護されたチャネルのデータの暗号化が可能である必要があります。つまり、それらのすべてのドメイン コントローラで、Windows 2000 またはそれ以降が実行されている必要があります。 |
| | b. | 危険な設定
"ドメイン メンバ: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする" を有効にするのは、危険な設定です。 | | c. | この設定を有効にする理由| ? | Windows 2000 で、メンバ コンピュータとドメイン コントローラの間でセキュリティで保護されたチャネルの通信を確立するのに使用されるセッション キーは、以前のバージョンのマイクロソフト オペレーティング システムで使用されるセッション キーより、はるかに強力です。 | | ? | 可能な場合は必ず、強力なセッション キーを活用して、セキュリティで保護されたチャネルの通信を盗聴およびセッション ハイジャック ネットワーク攻撃から防御するために役立ててください。盗聴は、通信中にネットワーク データの読み取りや改ざんを行う悪質な攻撃方法です。データを変更して、送信者の隠蔽や変更を行ったり、リダイレクトしたりする場合があります。 |
| | d. | この設定を無効にする理由
Windows 2000、Windows XP、または Windows Server 2003 以外のオペレーティング システムを実行しているメンバ コンピュータがドメイン内に存在します。 | | e. | シンボリック名 :
StrongKey | | f. | レジストリ パス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD) | | g. | 互換性の問題の例
Windows NT 4.0 : Windows NT 4.0 ベースのコンピュータでは、Windows NT 4.0 と Windows 2000 ドメイン間の信頼関係のセキュリティで保護されたチャネルを NLTEST でリセットする処理が失敗し、次の "アクセス拒否" エラー メッセージが表示されます。プライマリ ドメインと信頼される側のドメインとの信頼関係に失敗しました。 |
|
| 4. | ドメイン メンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する| a. | 背景| ? | "ドメイン メンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する" を有効にすると、セキュリティで保護されたチャネルのデータすべてを暗号化または署名できないドメイン コントローラとの間には、セキュリティで保護されたチャネルを確立できなくなります。認証トラフィックを man-in-the-middle 攻撃、リプレイ攻撃、および他の種類のネットワーク攻撃から防御するため、Windows ベースのコンピュータは Net Logon サービスを介して "セキュリティで保護されたチャネル" として知られる通信チャネルを作成して、コンピュータ アカウントを認証します。セキュリティで保護されたチャネルは、あるドメインのユーザーがリモート ドメイン内のネットワーク リソースに接続する際にも使用されます。この複数ドメイン認証 (パススルー認証) により、ドメインに参加した Windows ベースのコンピュータは、そのドメイン内および信頼される側のドメイン内のユーザー アカウント データベースにアクセスできるようになります。
| | ? | メンバ コンピュータで "ドメイン メンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する" 設定を有効にするには、メンバが所属するドメイン内のすべてのドメイン コントローラが、セキュリティで保護されたチャネルのデータをすべて暗号化または署名できる必要があります。つまり、それらすべてのドメイン コントローラで、Windows NT 4.0 Service Pack 6a (SP6a) 以降が実行されている必要があります。 | | ? | "ドメイン メンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する" 設定を有効にすると、"ドメイン メンバ: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する" 設定が自動的に有効になります。 |
| | b. | 危険な設定
セキュリティで保護されたチャネルのデータを暗号化または署名できないドメイン コントローラが存在するドメインで、"ドメイン メンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する" 設定を有効にするのは、危険な設定です。 | | c. | この設定を有効にする理由
署名されていないネットワーク トラフィックは、侵入者がサーバーとクライアントの間のパケットを盗聴して、それらをクライアントに転送する前にパケットを改ざんする man-in-the-middle 攻撃に悪用される危険性があります。この攻撃が LDAP (Lightweight Directory Access Protocol) サーバーに対して行われた場合、侵入者によってクライアントが LDAP ディレクトリからの偽のレコードに基づく判断を行う可能性があります。ネットワーク インフラストラクチャの保護に役立つ強力で物理的なセキュリティ対策を実施することにより、企業ネットワークでのこのリスクを減らすことができます。IPSec の認証ヘッダー モードにより、man-in-the-middle 攻撃をきわめて困難にすることが可能です。認証ヘッダー モードでは、IP トラフィックに対する相互認証およびパケットの整合性確認が実行されます。 | | d. | この設定を無効にする理由| ? | ローカルまたは外部ドメイン内のコンピュータが、暗号化されセキュリティで保護されたチャネルをサポートしていません。 | | ? | 暗号化されセキュリティで保護されたチャネルをサポートする、適切なリビジョン レベルの Service Pack がインストールされていないドメイン コントローラが、ドメイン内に存在します。 |
| | e. | シンボリック名 :
StrongKey | | f. | レジストリ パス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD) | | g. | 互換性の問題の例| ? | Windows NT 4.0 : Windows 2000 ベースのメンバ コンピュータが、Windows NT 4.0 ドメインに参加できず、次のエラー メッセージが表示されます。
そのアカウントは、このワークステーションからのログインを許可されていません。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
281648 (http://support.microsoft.com/kb/281648/)
エラー メッセージ : そのアカウントは、このワークステーションからのログインを許可されていません (英語) | | ? | Windows NT 4.0 : Windows NT 4.0 ドメインが、Windows 2000 ドメインとダウンレベルの信頼関係を確立できず、次のエラー メッセージが表示されます。
そのアカウントは、このワークステーションからのログインを許可されていません。 既存のダウンレベルの信頼関係で、信頼される側のドメインのユーザーが認証されない場合もあります。一部のユーザーがドメインにログオンするときに問題が発生し、クライアントがドメインを検出できないことを示すエラー メッセージが表示されることがあります。 | | ? | Windows XP : Windows NT 4.0 ドメインに参加している Windows XP クライアントがログオンするときに認証されず、次のエラー メッセージが表示されるか、次のイベントがイベント ログに記録されることがあります。
ドメインに接続できません。ドメイン コントローラがダウンしているか利用できない状態になっている、またはコンピュータ アカウントが見つからなかったことが原因として考えられます。 イベント 5723 : コンピュータ ComputerName からのセッション設定を認証できませんでした。セキュリティ データベースで参照されたアカウント名は ComputerName です。次のエラーが発生しました: アクセスが拒否されました。 イベント 3227 : ドメイン Domain Name の Windows NT または Windows 2000 のドメイン コントローラ Server Name のセットアップのセッションは失敗しました。Server Name はネットログオン セッションの署名、封印をサポートしていないためです。ドメイン コントローラをアップグレードするか、このコンピュータの RequireSignOrSeal のレジストリのエントリを 0 に設定してください。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
318266 (http://support.microsoft.com/kb/318266/)
Windows XP クライアントで Windows NT 4.0 ドメインにログオンできない
| | ? | Microsoft Network : Microsoft ネットワーク クライアントで、次のエラー メッセージのいずれかが表示されます。 ログオン失敗: ユーザー名を認識できないか、またはパスワードが間違っています。 指定されたログオン セッションに対して、ユーザー セッション キーがありません。 |
|
|
| 5. | Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う| a. | 背景
サーバー メッセージ ブロック (SMB) は、マイクロソフトのオペレーティング システムの多くでサポートされているリソース共有プロトコルで、ネットワーク基本入出力システム (NetBIOS) およびその他多くのプロトコルの基盤となっています。SMB 署名では、データをホストするサーバーとユーザーの両方が認証されます。どちらか一方で認証処理が失敗すると、データ転送は行われません。
SMB 署名を有効にする処理は、SMB プロトコル ネゴシエーション中に開始されます。SMB 署名ポリシーにより、コンピュータでクライアント通信を常にデジタル署名するかどうかが決定されます。
Windows 2000 の SMB 認証プロトコルは、相互認証をサポートしています。相互認証により、man-in-the-middle 攻撃を防止できます。Windows 2000 の SMB 認証プロトコルは、メッセージ認証もサポートしています。メッセージ認証は、アクティブ メッセージ攻撃の防止に役立ちます。SMB 署名では、それぞれの SMB にデジタル署名を設定することにより、この認証機能が提供されます。デジタル署名は、クライアントとサーバーのそれぞれで検証されます。
SMB 署名を使用するには、SMB 署名を有効にするか、SMB クライアントと SMB サーバーの両方で SMB 署名を必須にする必要があります。サーバーで SMB 署名が有効になっている場合、同じく SMB 署名が有効になっているクライアントは、以後のすべてのセッションでパケット署名プロトコルを使用します。サーバーで SMB 署名が必須になっている場合、クライアントで SMB 署名を有効または必須にするまで、クライアントはセッションを確立できません。
高度なセキュリティのネットワークにおいてデジタル署名を有効にすると、クライアントおよびサーバーの偽装防止に役立ちます。この種の偽装は、"セッション ハイジャック" と呼ばれます。クライアントまたはサーバーと同じネットワークにアクセス可能な攻撃者は、セッション ハイジャック ツールを使用して、通信が行われているセッションを中断または終了したり、盗聴したりします。攻撃者は、署名されていない SMB パケットを傍受して改ざんし、サーバーで望ましくない動作が実行されるようにトラフィックに変更を加えた後、転送する可能性があります。あるいは、正規の認証が完了したサーバーまたはクライアントを攻撃者が偽装して、無断でデータにアクセスする可能性があります。
Windows 2000 Server、Windows 2000 Professional、Windows XP Professional、または Windows Server 2003 を実行しているコンピュータで、ファイル共有およびプリンタ共有に使用される SMB プロトコルでは、相互認証がサポートされます。相互認証は、セッション ハイジャック攻撃を防止し、メッセージ認証をサポートします。そのため、man-in-the-middle 攻撃を防止できます。SMB 署名では、各 SMB にデジタル署名を設定することにより、この認証機能が提供されます。その署名はクライアントとサーバーの両方で検証されます。
注| ? | すべてのネットワーク トラフィックの保護に役立つ別の対策として、IPSec でデジタル署名を有効にする方法もあります。IPSec 暗号化と署名用のハードウェアベースのアクセラレータを使用すると、サーバーの CPU におけるパフォーマンス上の影響を最小限に抑えることができます。SMB 署名に関しては、そのようなアクセラレータはありません。
詳細については、マイクロソフトの MSDN Web サイトで「Digitally sign server communications」を参照してください。SMB 署名の構成はグループ ポリシー オブジェクト エディタを使用して行ってください。これは、優先されるドメイン ポリシーがある場合、ローカルのレジストリ値を変更しても効果がないためです。 | | ? | Windows 95、Windows 98、および Windows 98 Second Edition で、ディレクトリ サービス クライアントは、Windows Server 2003 サーバーとの間で NTLM 認証を使用して認証を行う際に、SMB 署名を使用します。しかし、NTLMv2 認証を使用する場合には、SMB 署名を使用しません。また、Windows 2000 サーバーは、これらのクライアントからの SMB 署名要求には応答しません。「10. ネットワーク セキュリティ: LAN Manager 認証レベル」を参照してください。 |
| | b. | 危険な設定
"Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う" 設定および "Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う" 設定の両方を "未定義" のままにしたり、無効にしたりすることは、危険な設定です。これらの設定では、認証中にリダイレクタがテキスト形式のパスワードを、パスワード暗号化をサポートしないマイクロソフト以外の SMB サーバーに送信する可能性があります。 | | c. | この設定を有効にする理由
"Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う" を有効にすると、SMB 署名を要求しないサーバーと通信する際にも、クライアントによる SMB トラフィックへの署名が必要になるため、クライアントのセッション ハイジャック攻撃に対する脆弱性が低減されます。 | | d. | この設定を無効にする理由| ? | "Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う" を有効にすると、クライアントは SMB 署名をサポートしていないサーバーとは通信できなくなります。 | | ? | 署名されていない SMB 通信をすべて無視するようにコンピュータを設定すると、古いプログラムおよびオペレーティング システムと接続できなくなります。 |
| | e. | シンボリック名 :
RequireSMBSignRdr | | f. | レジストリ パス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature | | g. | 互換性の問題の例| ? | Windows NT 4.0 : Windows Server 2003 ドメインと Windows NT 4.0 ドメインの間における信頼関係のセキュリティ保護されたチャネルを、NLTEST または NETDOM を使用してリセットできず、アクセス拒否のエラー メッセージが表示されます。
| | ? | Windows XP : Windows XP クライアントから、Windows 2000 ベースのサーバーおよび Windows Server 2003 ベースのサーバーへのファイルのコピーに長時間かかる場合があります。
| | ? | この設定が有効なクライアントからネットワーク ドライブを割り当てることができず、次のエラー メッセージが表示されます。 そのアカウントは、このワークステーションからのログインを許可されていません。 |
| | h. | 再起動の必要性
コンピュータを再起動します。または、ワークステーション サービスを再起動します。これを行うには、コマンド プロンプトで次のコマンドを入力します。コマンドごとに Enter キーを押します。net stop workstation
net start workstation |
|
| 6. | Microsoft ネットワーク サーバー : 常に通信にデジタル署名を行う| a. | 背景| ? | サーバー メッセージ ブロック (SMB) は、マイクロソフトのオペレーティング システムの多くでサポートされているリソース共有プロトコルで、ネットワーク基本入出力システム (NetBIOS) およびその他多くのプロトコルの基盤となっています。SMB 署名では、データをホストするサーバーとユーザーの両方が認証されます。どちらか一方で認証処理が失敗すると、データ転送は行われません。
SMB 署名を有効にする処理は、SMB プロトコル ネゴシエーション中に開始されます。SMB 署名ポリシーにより、コンピュータでクライアント通信を常にデジタル署名するかどうかが決定されます。
Windows 2000 の SMB 認証プロトコルは、相互認証をサポートしています。相互認証により、man-in-the-middle 攻撃を防止できます。Windows 2000 の SMB 認証プロトコルは、メッセージ認証もサポートしています。メッセージ認証は、アクティブ メッセージ攻撃の防止に役立ちます。SMB 署名では、それぞれの SMB にデジタル署名を設定することにより、この認証機能が提供されます。デジタル署名は、クライアントとサーバーのそれぞれで検証されます。
SMB 署名を使用するには、SMB 署名を有効にするか、SMB クライアントと SMB サーバーの両方で SMB 署名を必須にする必要があります。サーバーで SMB 署名が有効になっている場合、同じく SMB 署名が有効になっているクライアントは、以後のすべてのセッションでパケット署名プロトコルを使用します。サーバーで SMB 署名が必須になっている場合、クライアントで SMB 署名を有効または必須にするまで、クライアントはセッションを確立できません。
高度なセキュリティのネットワークにおいてデジタル署名を有効にすると、クライアントおよびサーバーの偽装防止に役立ちます。この種の偽装は、"セッション ハイジャック" と呼ばれます。クライアントまたはサーバーと同じネットワークにアクセス可能な攻撃者は、セッション ハイジャック ツールを使用して、通信が行われているセッションを中断または終了したり、盗聴したりします。攻撃者は、署名されていない Subnet Bandwidth Manager (SBM) パケットを傍受して改ざんし、サーバーで望ましくない動作が実行されるようにトラフィックに変更を加えた後、転送する可能性があります。あるいは、正規の認証が完了したサーバーまたはクライアントを攻撃者が偽装して、無断でデータにアクセスする可能性があります。
Windows 2000 Server、Windows 2000 Professional、Windows XP Professional、または Windows Server 2003 を実行しているコンピュータで、ファイル共有およびプリンタ共有に使用される SMB プロトコルでは、相互認証がサポートされます。相互認証は、セッション ハイジャック攻撃を防止し、メッセージ認証をサポートします。そのため、man-in-the-middle 攻撃を防止できます。SMB 署名では、各 SMB にデジタル署名を設定することにより、この認証機能が提供されます。その署名はクライアントとサーバーの両方で検証されます。 | | ? | すべてのネットワーク トラフィックの保護に役立つ別の対策として、IPSec でデジタル署名を有効にする方法もあります。IPSec 暗号化と署名用のハードウェアベースのアクセラレータを使用すると、サーバーの CPU におけるパフォーマンス上の影響を最小限に抑えることができます。SMB 署名に関しては、そのようなアクセラレータはありません。 | | ? | Windows 95、Windows 98、および Windows 98 Second Edition で、ディレクトリ サービス クライアントは、Windows Server 2003 サーバーとの間で NTLM 認証を使用して認証を行う際に、SMB 署名を使用します。しかし、NTLMv2 認証を使用する場合には、SMB 署名を使用しません。また、Windows 2000 サーバーは、これらのクライアントからの SMB 署名要求には応答しません。「10. ネットワーク セキュリティ: LAN Manager 認証レベル」を参照してください。 |
| | b. | 危険な設定
ローカル ドメイン内または外部ドメイン内の互換性のない Windows ベースおよびサードパーティ製オペレーティング システム ベースのクライアント コンピュータからアクセスされる、サーバーおよびドメイン コントローラ上で "Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う" 設定を有効にするのは、危険な設定です。 | | c. | この設定を有効にする理由| ? | この設定をレジストリで直接有効にしているか、グループ ポリシー設定で有効にしているすべてのクライアント コンピュータで、SMB 署名がサポートされます。つまり、この設定が有効なすべてのクライアント コンピュータでは、Windows 95 (DS クライアントをインストール済み)、Windows 98、Windows NT 4.0、Windows 2000、Windows XP Professional、または Windows Server 2003 のいずれかが実行されています。 | | ? | "Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う" が無効の場合、SMB 署名は完全に無効になります。すべての SMB 署名を完全に無効にすると、コンピュータのセッション ハイジャック攻撃に対する脆弱性が高くなります。 |
| | d. | この設定を無効にする理由| ? | この設定を有効にすると、クライアント コンピュータ上で、ファイル コピーの速度やネットワーク パフォーマンスが低下することがあります。 | | ? | この設定を有効にすると、SMB 署名をネゴシエートできないクライアントが、サーバーおよびドメイン コントローラと通信できなくなります。これが原因で、ドメインへの参加、ユーザーおよびコンピュータの認証、プログラムによるネットワーク アクセスなどの操作が失敗します。 |
| | e. | シンボリック名 :
RequireSMBSignServer | | f. | レジストリ パス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD) | | g. | 互換性の問題の例| ? | Windows 95 : ディレクトリ サービス (DS) クライアントがインストールされていない Windows 95 クライアントが、ログオン認証に失敗し、次のエラー メッセージが表示されます。 入力されたドメイン パスワードが正しくないか、またはログオン サーバーへのアクセスが拒否されました。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
811497 (http://support.microsoft.com/kb/811497/)
Windows 95 または Windows NT 4.0 クライアントで Windows Server 2003 ドメインにログオンするとエラー メッセージが表示される
| | ? | Windows NT 4.0 : Service Pack 3 (SP3) より前のバージョンの Windows NT 4.0 を実行しているクライアント コンピュータが、ログオン認証に失敗し、次のエラー メッセージが表示されます。 ログオンできません。ユーザー名とログオン先を確認して、もう一度パスワードを入力してください。 マイクロソフト以外の一部の SMB サーバーは、認証中に暗号化されていないパスワード交換 ("プレーン テキスト" 交換) のみをサポートしています。Windows NT 4.0 SP3 以降、特定のレジストリ エントリを追加しない限り、SMB リダイレクタは認証中に暗号化されていないパスワードを送信しません。
Windows NT 4.0 SP3 以降の SMB クライアントで暗号化されないパスワードを有効にするには、次のようにレジストリを変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
値の名前 : EnablePlainTextPassword
値の種類 : REG_DWORD
値のデータ : 1
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
224287 (http://support.microsoft.com/kb/224287/) エラー: ワークステーションからのログインを許可されていません 166730 (http://support.microsoft.com/kb/166730/) 非暗号化パスワードで SP3 が SMB サーバーに接続失敗
| | ? | Windows Server 2003 : 既定で、Windows Server 2003 を実行するドメイン コントローラ上のセキュリティ設定は、悪意のあるユーザーによるドメイン コントローラの通信の傍受や改ざんを防止するように構成されています。Windows Server 2003 を実行するドメイン コントローラとユーザーが正常に通信するには、クライアント コンピュータで SMB 署名と SMB 暗号化の両方、またはセキュリティ保護されたチャネルのトラフィックの署名を使用している必要があります。既定では、Service Pack 2 (SP2) 以前がインストールされている Windows NT 4.0 を実行するクライアント、および Windows 95 を実行するクライアントでは、SMB パケットの署名が有効になっていません。このため、これらのクライアントは Windows Server 2003 ベースのドメイン コントローラで認証されない場合があります。
| | ? | Windows 2000 および Windows Server 2003 のポリシー設定 : 使用しているインストール環境における要件や構成に応じて、グループ ポリシー エディタ Microsoft 管理コンソール (MMC) スナップインの階層で、次のポリシー設定に、必要な範囲の中で最も低い項目を設定することをお勧めします。| ? | コンピュータの構成\Windows の設定\セキュリティの設定\セキュリティ オプション | | ? | サードパーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する (Windows 2000 の設定) | | ? | Microsoft ネットワーク クライアント:サードパーティ製の SMB サーバーへのパスワードを、暗号化しないで送信する (Windows Server 2003 の設定) |
注 : 古いバージョンの Samba など、一部のサードパーティ CIFS サーバーでは、暗号化されたパスワードを使用できません。 | | ? | 次のクライアントは、"Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う" 設定との互換性がありません。
| ? | Apple Computer, Inc. の Mac OS X クライアント | | ? | Microsoft MS-DOS ネットワーク クライアント (Microsoft LAN Manager など) | | ? | Microsoft Windows for Workgroups クライアント | | ? | DS クライアントがインストールされていない Microsoft Windows 95 クライアント | | ? | SP3 以降がインストールされていない Microsoft Windows NT 4.0 ベースのコンピュータ | | ? | Novell Netware 6 CIFS クライアント | | ? | SMB 署名をサポートしていない SAMBA SMB クライアント |
|
| | h. | 再起動の必要性
コンピュータを再起動します。または、サーバー サービスを再起動します。これを行うには、コマンド プロンプトで次のコマンドを入力します。コマンドごとに Enter キーを押します。net stop server
net start server |
|
| 7. | ネットワーク アクセス: 匿名の SID と名前の変換を許可する| a. | 背景
"ネットワーク アクセス: 匿名の SID と名前の変換を許可する" セキュリティ設定では、匿名ユーザーが他のユーザーのセキュリティ識別番号 (SID) 属性を要求できるかどうかを指定します。 | | b. | 危険な設定
"ネットワーク アクセス: 匿名の SID と名前の変換を許可する" 設定を有効にするのは、危険な設定です。 | | c. | この設定を有効にする理由
"ネットワーク アクセス: 匿名の SID と名前の変換を許可する" 設定が無効な場合、以前のオペレーティング システムまたはアプリケーションが、Windows Server 2003 ドメインと通信できない場合があります。たとえば、次のオペレーティング システム、サービス、またはアプリケーションが機能しない可能性があります。
| ? | Windows NT 4.0 ベースのリモート アクセス サービス サーバー | | ? | Windows NT 3.x ベースまたは Windows NT 4.0 ベースのコンピュータ上で実行されている Microsoft SQL Server | | ? | Windows NT 3.x ドメインまたは Windows NT 4.0 ドメイン内の Windows 2000 ベースのコンピュータで実行されているリモート アクセス サービス | | ? | Windows NT 3.x ドメインまたは Windows NT 4.0 ドメイン内の Windows 2000 ベースのコンピュータで実行されている SQL Server | | ? | Windows Server 2003 ドメイン コントローラを含むアカウント ドメインのユーザー アカウントに対して、Windows NT 4.0 リソース ドメイン内のユーザーが、ファイル、共有フォルダ、およびレジストリ オブジェクトへのアクセス許可を付与する |
| | d. | この設定を無効にする理由
この設定が有効な場合、ビルトインの Administrator アカウントの名前が変更されている場合でも、悪意のあるユーザーが既知の Administrators SID を使用して、Administrator アカウントの実際の名前を取得する可能性があります。その後、取得したアカウント名を使用してパスワード推測攻撃を開始する可能性があります。 | | e. | シンボリック名 : 該当なし | | f. | レジストリ パス : なし。パスは UI のコードで指定されます。 | | g. | 互換性の問題の例
Windows NT 4.0 : 共有フォルダ、共有ファイル、およびレジストリ オブジェクトなどのリソースが、Windows Server 2003 ドメイン コントローラを含むアカウント ドメイン内に存在するセキュリティ プリンシパルで保護されている場合、Windows NT 4.0 リソース ドメイン内のコンピュータで、ACL エディタに "不明なアカウント" エラー メッセージが表示されます。 |
|
| 8. | ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない| a. | 背景| ? | "ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない" 設定では、コンピュータへの匿名接続に付与する追加のアクセス許可を指定します。Windows の匿名ユーザーは、ドメイン セキュリティ アカウント マネージャ (SAM) アカウントおよびネットワーク共有の名前の列挙など、特定の操作が許可されます。これは、たとえば管理者が、相互信頼関係のない信頼される側のドメイン内のユーザーにアクセス許可を付与するのに便利です。既定では、匿名ユーザーは、特定のリソースについて、Everyone グループに付与されるのと同じアクセス許可を持っています。通常、以前のバージョン (下位) のクライアントでは SMB セッションのセットアップ中に匿名接続が要求されます。この場合、SMB のプロセス ID (PID) がクライアント リダイレクタ (Windows 2000 では 0xFEFF、Windows NT では 0xCAFE) であることがネットワーク トレースに表示されます。また、RPC も匿名接続を作成することがあります。 | | ? | この設定は、ドメイン コントローラには影響を与えません。 | | ? | Windows 2000 では、同様の設定である "匿名接続の追加を制限する" により、レジストリ値 RestrictAnonymous を管理します。この値の場所は次のとおりです。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
レジストリ値 RestrictAnonymous の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
246261 (http://support.microsoft.com/kb/246261/)
Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法
143474 (http://support.microsoft.com/kb/143474/) 匿名ログオン ユーザーがアクセスできる情報の制限
|
| | b. | 危険な設定
"ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない" 設定を有効にすることは、互換性の観点から見て危険です。また、この設定を無効にすることは、セキュリティの観点から見て危険です。 | | c. | この設定を有効にする理由
認証されていないユーザーが、匿名アクセスを使用してアカウント名の一覧を表示し、その情報を使用してパスワードを推測したり、ソーシャル エンジニアリング攻撃を実行したりする可能性があります。ソーシャル エンジニアリングとは、ユーザーを騙して、パスワードやなんらかのセキュリティ情報を聞き出すことを意味する専門用語です。 | | d. | この設定を無効にする理由
この設定が有効な場合、Windows NT 4.0 ドメインとの信頼関係を確立することはできません。また、この設定が原因で、Windows NT 3.51 クライアントや Windows 95 クライアントなど、サーバー上のリソースを使用する下位クライアントとの問題も発生します。 | | e. | シンボリック名 : RestrictAnonymousSAM | | f. | レジストリ パス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD) | | g. | 互換性の問題の例 |
| ? | SMS のネットワーク探索で、オペレーティング システムの情報を取得できず、"オペレーティング システム名とバージョン" プロパティに "不明" が書き込まれます。 | | ? | Windows 95、Windows 98 : Windows 95 クライアントおよび Windows 98 クライアントから、パスワードを変更できなくなります。 | | ? | Windows NT 4.0 : Windows NT 4.0 ベースのメンバ コンピュータが認証されなくなります。 | | ? | Windows 95、Windows 98 : Windows 95 ベースおよび Windows 98 ベースのコンピュータが、マイクロソフトのドメイン コントローラにより認証されなくなります。 | | ? | Windows 95、Windows 98 : Windows 95 ベースおよび Windows 98 ベースのコンピュータのユーザーが、自分自身のユーザー アカウントのパスワードを変更できなくなります。 |
|
| 9. | ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない| a. | 背景| ? | "ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない" 設定 (RestrictAnonymous) では、セキュリティ アカウント マネージャ (SAM) アカウントおよび共有の匿名での列挙を許可するかどうかを指定します。Windows の匿名ユーザーは、ドメイン アカウント (ユーザー、コンピュータ、およびグループ) やネットワーク共有の名前の列挙など、特定の操作が許可されます。これは、たとえば管理者が、相互信頼関係のない信頼される側のドメイン内のユーザーにアクセス許可を付与するのに便利です。SAM アカウントおよび共有の匿名での列挙を許可しない場合は、この設定を有効にします。
| | ? | Windows 2000 では、同様の設定である "匿名接続の追加を制限する" により、レジストリ値 RestrictAnonymous を管理します。この値の場所は次のとおりです。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA |
| | b. | 危険な設定
"ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない" 設定を有効にするのは、危険な設定です。 | | c. | この設定を有効にする理由| ? | "ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない" 設定を有効にすると、匿名アカウントを使用しているユーザーおよびコンピュータから、SAM アカウントおよび共有の列挙を禁止できます。 |
| | d. | この設定を無効にする理由| ? | この設定が有効な場合、認証されていないユーザーが、アカウント名の一覧を匿名で表示し、その情報を使用してパスワードを推測したり、ソーシャル エンジニアリング攻撃を実行したりする可能性があります。ソーシャル エンジニアリングとは、ユーザーを騙して、パスワードやなんらかのセキュリティ情報を聞き出すことを意味する専門用語です。 | | ? | この設定が有効な場合、Windows NT 4.0 ドメインとの信頼関係を確立することはできません。また、この設定が原因で、Windows NT 3.51 クライアントや Windows 95 クライアントなど、サーバー上のリソースを使用する下位クライアントとの問題も発生します。 | | ? | 信頼する側のドメイン内の管理者が、他のドメイン内のアカウントの一覧を列挙できなくなるため、リソース ドメインのユーザーにアクセス許可を付与することができなくなります。ファイルおよびプリント サーバーに匿名でアクセスするユーザーは、それらのサーバー上の共有ネットワーク リソースの一覧を表示できなくなります。ユーザーが共有フォルダおよびプリンタの一覧を表示するには、認証が必要になります。 |
| | e. | シンボリック名 :
RestrictAnonymous | | f. | レジストリ パス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous | | g. | 互換性の問題の例| ? | Windows NT 4.0 : RestrictAnonymous がユーザーのドメインのドメイン コントローラで有効な場合、ユーザーは Windows NT 4.0 ワークステーションからパスワードを変更できなくなります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
198941 (http://support.microsoft.com/kb/198941/)
ユーザーがログオン時にパスワードを変更できない
| | ? | Windows NT 4.0 : ユーザー マネージャで、信頼される側の Windows 2000 ドメインのユーザーまたはグローバル グループを Windows NT 4.0 ローカル グループに追加できず、次のエラー メッセージが表示されます。 現在ログオン要求をサービスするログオン サーバーがありません。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
296405 (http://support.microsoft.com/kb/296405/)
レジストリ値 RestrictAnonymous により、Windows 2000 ドメインへの信頼関係が解除されることがある (英語) | | ? | Windows NT 4.0 : Windows NT 4.0 ベースのコンピュータが、セットアップ時、またはドメイン参加ユーザー インターフェイスを使用して、ドメインに参加できなくなります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
184538 (http://support.microsoft.com/kb/184538/)
エラー メッセージ : このドメインのコントローラが見つかりません
| | ? | Windows NT 4.0 : 信頼される側のドメインで RestrictAnonymous が有効な場合、Windows NT 4.0 リソース ドメインとダウンレベルの信頼を確立できず、次のエラー メッセージが表示されます。 このドメインに対するドメイン コントローラが見つかりませんでした。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
178640 (http://support.microsoft.com/kb/178640/)
[NT] ドメインの信頼関係を確立できない
| | ? | Windows NT 4.0 : Windows NT 4.0 ベースのターミナル サーバー コンピュータにログオンするユーザーに、ドメインのユーザー マネージャで定義されているホーム ディレクトリではなく、既定のホーム ディレクトリが割り当てられます。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
236185 (http://support.microsoft.com/kb/236185/)
Windows NT 4.0 TSE のユーザー プロファイルおよびホーム ディレクトリ パスが変更される
| | ? | Windows NT 4.0 : Windows NT 4.0 バックアップ ドメイン コントローラ (BDC) が、Net Logon サービスを開始できず、バックアップ ブラウザの一覧の取得や、同じドメインの Windows 2000 または Windows Server 2003 ドメイン コントローラからの SAM データベースの同期を行えません。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
293127 (http://support.microsoft.com/kb/293127/)
Windows NT 4.0 BDC の Net Logon サービスが Windows 2000 ドメインで機能しない (英語) | | ? | Windows 2000 : "明示的な匿名アクセス権がない場合アクセスを許可しない" 設定が、クライアント コンピュータのローカル セキュリティ ポリシーで有効な場合、Windows NT 4.0 ドメイン内の Windows 2000 ベースのメンバ コンピュータが外部ドメインのプリンタを参照できなくなります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
280329 (http://support.microsoft.com/kb/280329/)
ユーザーがプリンタのプロパティの管理および参照を行うことができない (英語) | | ? | Windows 2000 : Windows 2000 ドメイン ユーザーが Active Directory からネットワーク プリンタを追加できなくなります。ただし、ツリー ビューからプリンタを選択すると追加できます。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
318866 (http://support.microsoft.com/kb/318866/)
グローバル カタログ サーバーにセキュリティ ロールアップ パッケージ 1 (SRP1) をインストールすると、Outlook クライアントでグローバル アドレス一覧を表示できなくなる
| | ? | Windows 2000 : Windows 2000 ベースのコンピュータで、ACL エディタを使用して、信頼される側の Windows NT 4.0 ドメインのユーザーまたはグローバル グループを追加できなくなります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
296403 (http://support.microsoft.com/kb/296403/)
RestrictAnonymous 値により、混在ドメイン環境で信頼関係が解除される (英語) | | ? | ADMT version 2 : Active Directory 移行ツール (ADMT) version 2 の使用時に、フォレスト間で移行するユーザー アカウントのパスワード移行が失敗します。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322981 (http://support.microsoft.com/kb/322981/)
ADMTv2 を使用してフォレスト間のパスワード移行のトラブルシューティングを行う方法
| | ? | Outlook クライアント : Microsoft Exchange の Outlook クライアントで、グローバル アドレス一覧に何も表示されません。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
318866 (http://support.microsoft.com/kb/318866/)
グローバル カタログ サーバーにセキュリティ ロールアップ パッケージ 1 (SRP1) をインストールすると、Outlook クライアントでグローバル アドレス一覧を表示できなくなる
321169 (http://support.microsoft.com/kb/321169/) Windows XP から Windows 2000 のドメイン コントローラにファイルをコピーするときに SMB のパフォーマンスが低下する
| | ? | SMS : Microsoft Systems Management Server (SMS) のネットワーク探索で、オペレーティング システムの情報を取得できなくなります。このため、探索データ レコード (DDR) の SMS DDR プロパティの "オペレーティング システム名とバージョン" プロパティに "不明" が書き込まれます。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
229769 (http://support.microsoft.com/kb/229769/) [SMS] データ探索マネージャがクライアント構成要求(CCR)を生成する条件 | | ? | SMS : SMS 管理のユーザー ウィザードを使用してユーザーおよびグループを参照する際に、ユーザーもグループも表示されません。また、アドバンスト クライアントが管理ポイントと通信できません。管理ポイントでは、匿名アクセスが必要です。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
302413 (http://support.microsoft.com/kb/302413/)
SMS 管理のユーザー ウィザードにユーザーもグループも表示されない (英語) | | ? | SMS : SMS 2.0 のネットワーク探索機能を使用し、リモート クライアント インストールでネットワーク探索オプション [トポロジ、クライアント、およびクライアントのオペレーティング システム] を有効にしている場合、コンピュータの探索は行われますが、コンピュータのインストールが行われないことがあります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
311257 (http://support.microsoft.com/kb/311257/)
匿名接続が無効な場合にリソースが探索されない (英語) |
|
|
| 10. | ネットワーク セキュリティ: LAN Manager 認証レベル| a. | 背景
LAN Manager (LM) 認証は、ドメイン参加、ネットワーク リソースへのアクセス、およびユーザーやコンピュータの認証など、ネットワーク操作に関する Windows クライアントの認証に使用されるプロトコルです。LM 認証レベルにより、クライアント コンピュータとサーバー コンピュータ間でネゴシエートするチャレンジ/レスポンス認証プロトコルが決定されます。具体的には、LM 認証レベルにより、クライアントがネゴシエートし、サーバーが受け入れる認証プロトコルが決定されます。LmCompatibilityLevel に設定される値によって、ネットワーク ログオンに使用されるチャレンジ/レスポンス認証プロトコルが決定されます。この値は、以下の表のように、クライアントで使用する認証プロトコルのレベル、ネゴシエートされるセッション セキュリティのレベル、およびサーバーによって受け入れられる認証レベルに影響します。
可能な設定としては次のようなものがあります。| 値 | 設定 | 説明 |
|---|
| 0 | Send LM & NTLM responses | クライアントは、LM および NTLM 認証を使用し、NTLMv2 セッション セキュリティを使用しません。ドメイン コントローラは LM、NTLM、および NTLMv2 認証を受け入れます。 | | 1 | LM と NTLM を送信する - ネゴシエーションの場合、NTLMv2 セッション セキュリティを使う | クライアントは NTLMv2 認証を使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。 | | 2 | NTLM 応答のみ送信 | クライアントは NTLM 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは LM、NTLM、NTLMv2 認証を許可します。 | | 3 | NTLMv2 応答のみ送信 | クライアントは、NTLMv2 認証のみを使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは LM、NTLM、および NTLMv2 認証を受け入れます。 | | 4 | NTLMv2 応答のみ送信 (LM を拒否する) | クライアントは、NTLMv2 認証のみを使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは LM を拒否します (NTLM および NTLMv2 認証のみを受け入れます)。 | | 5 | NTLMv2 応答のみ送信 (LM を拒否する) | クライアントは、NTLMv2 認証のみを使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは LM と NTLM を拒否します (NTLMv2 認証のみを受け入れます)。 |
注 : Windows 95、Windows 98、および Windows 98 Second Edition で、ディレクトリ サービス クライアントは、Windows Server 2003 サーバーとの間で NTLM 認証を使用して認証を行う際に、SMB 署名を使用します。しかし、NTLMv2 認証を使用する場合には、SMB 署名を使用しません。また、Windows 2000 サーバーは、これらのクライアントからの SMB 署名要求には応答しません。
LM 認証レベルを確認する
サーバーのポリシーを変更して NTLM を許可するか、クライアント コンピュータが NTLMv2 をサポートするように構成する必要があります。
接続先のコンピュータでポリシーが、(5) [NTLMv2 応答のみ送信 (LM と NTLM を拒否する)] に設定されている場合、そのコンピュータの設定を低くするか、セキュリティを接続元のコンピュータと同じ設定にする必要があります。
クライアントとサーバーを同じ LAN Manager 認証レベルに変更できる適切な値を見つけます。以前のバージョンの Windows を実行しているコンピュータに接続する場合、または以前のバージョンの Windows を実行しているコンピュータから接続を行う場合、LAN Manager 認証レベルを設定しているポリシーを確認した後に、値を少なくとも 1 (LM と NTLM を送信する - ネゴシエーションの場合、NTLMv2 セッション セキュリティを使う) に下げます。互換性のない設定の影響を 1 つ挙げます。サーバーでは NTLMv2 (値 5) が要求されるにもかかわらず、クライアントが LM および NTLMv1 のみ (値 0 (ゼロ)) を使用するように構成されている場合、認証を受けようとするユーザーはログオンに失敗します。この失敗により、パスワードが無効であると判断され、無効なパスワードのカウントが増加します。アカウントのロックアウトが構成されていると、最終的にユーザーがロックアウトされる場合があります。
たとえば、ドメイン コントローラ、またはドメイン コントローラのポリシーを確認することが必要な場合があります。
ドメイン コントローラを確認する
注 : 以下の手順をすべてのドメイン コントローラで実行することが必要な場合があります。| 1. | [スタート] ボタンをクリックし、[プログラム] をポイントし、[管理ツール] をポイントします。 | | 2. | [ローカル セキュリティ設定] の [ローカル ポリシー] を展開します。 | | 3. | [セキュリティ オプション] をクリックします。 | | 4. | [ネットワーク セキュリティ: LAN Manager 認証レベル] をダブルクリックし、一覧で適切な値をクリックします。 |
有効な設定とローカルの設定が同じである場合、ポリシーはこのレベルで変更されています。設定が異なる場合、そのドメイン コントローラのポリシーを確認して、そこで "ネットワーク セキュリティ: LAN Manager 認証レベル" 設定が定義されているかどうかを確認します。そこで設定されていない場合、他のドメイン コントローラのポリシーを確認します。
ドメイン コントローラのポリシーを確認する| 1. | [スタート] ボタンをクリックし、[プログラム] をポイントし、[管理ツール] をポイントします。 | | 2. | [ドメイン コントローラ セキュリティ ポリシー] で、[セキュリティの設定]、[ローカル ポリシー] を順に展開します。 | | 3. | [セキュリティ オプション] をクリックします。 | | 4. | [ネットワーク セキュリティ: LAN Manager 認証レベル] をダブルクリックし、一覧で適切な値をクリックします。 |
注| ? | LAN Manager 認証レベルを構成する場所を決定するために、サイト レベル、ドメイン レベル、および組織単位 (OU) レベルでリンクされているポリシーを確認することが必要な場合もあります。 | | ? | グループ ポリシーの設定を既定のドメイン ポリシーとして実装している場合、そのポリシーは、そのドメイン内のすべてのコンピュータに適用されます。 | | ? | グループ ポリシーの設定を既定のドメイン コントローラのポリシーとして実装している場合、そのポリシーは、そのドメイン コントローラの OU 内のサーバーにのみ適用されます。 | | ? | LAN Manager 認証レベルは、ポリシー アプリケーションの階層内で必要なスコープの最も低いエンティティで設定することをお勧めします。 |
変更を行った後は、ポリシーを更新します。変更がローカルのセキュリティ設定のレベルで行われた場合、変更は直ちに反映されます。ただし、テストの前に、クライアントを再起動する必要があります。
既定では、グループ ポリシーの設定は、ドメイン コントローラで 5 分ごとに更新されます。Windows 2000 以降で、ポリシー設定の更新を強制的に直ちに実行する場合、gpupdate コマンドを使用します。
gpupdate /force コマンドを実行すると、ローカル グループ ポリシー設定、およびセキュリティ設定など Active Directory ディレクトリ サービスに基づくグループ ポリシー設定が更新されます。gpupdate /force コマンドは、現在では使用されなくなった、secedit コマンドの /refreshpolicy オプションを置き換えるものです。
gpupdate コマンドでは、次の構文が使用されます。
gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot]
gpupdate コマンドを使用して新しいグループ ポリシー オブジェクト (GPO) を適用し、すべてのグループ ポリシーの設定を手動で再適用します。これを実行するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。GPUpdate /Force アプリケーション イベント ログを確認し、ポリシー設定が正常に適用されたことを確認します。
Windows XP および Windows Server 2003 では、ポリシーの結果セット スナップインを使用して、有効な設定を確認できます。これを行うには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、rsop.msc と入力し、[OK] をクリックします。
ポリシーに変更を加えた後も、引き続き問題が発生する場合は、Windows ベースのサーバーを再起動してから、問題が解決したかどうかを確認します。
注 : 複数の Windows 2000 ベースのドメイン コントローラ、Windows Server 2003 ベースのドメイン コントローラ、またはその両方を使用している場合、これらのドメイン コントローラで変更が直ちに更新されるように、Active Directory のレプリケートが必要な場合があります。
または、この設定が、ローカル セキュリティ ポリシーの最も低い設定に設定されているように見えることがあります。セキュリティ データベースで設定を適用できる場合、以下のレジストリ サブキーの LmCompatibilityLevel エントリをレジストリで変更することにより、LAN Manager 認証レベルをレジストリで設定することもできます。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa Windows Server 2003 には、NTLMv2 のみを使用する新しい既定の設定が用意されています。Windows Server 2003 および Windows 2000 Server SP3 ベースのドメイン コントローラでは、既定で、"Microsoft ネットワーク サーバー : 常に通信にデジタル署名を行う" ポリシーが有効になっています。この設定では、SMB パケット署名を実行するための SMB サーバーが必要です。
すべての組織内のドメイン コントローラ、ファイル サーバー、ネットワーク インフラストラクチャ サーバー、および Web サーバーでは、セキュリティを最大限にするために異なる設定が必要であるため、Windows Server 2003 では変更が加えられています。
ネットワークで NTLMv2 認証を実装する場合、ドメイン内のすべてのコンピュータが、この認証レベルを使用するように設定されていることを確認する必要があります。Windows 95 または Windows 98 および Windows NT 4.0 用の Active Directory クライアント エクステンションを適用する場合、NTLMv2 で使用できる強化された認証機能がクライアント エクステンションで使用されます。
次のいずれかのオペレーティング システムを実行しているクライアント コンピュータは、Windows 2000 グループ ポリシー オブジェクトが適用されないため、これらのコンピュータは手動で構成する必要があります。| ? | Microsoft Windows NT 4.0 | | ? | Microsoft Windows Millennium Edition (Me) | | ? | Microsoft Windows 98 | | ? | Microsoft Windows 95 |
注 : "ネットワーク セキュリティ : 次のパスワードの変更で LAN Manager のハッシュの値を保存しない" ポリシーを有効にするか、NoLMHash レジストリ キーを設定する場合、ディレクトリ サービス クライアントがインストールされていない Windows 95 ベースおよび Windows 98 ベースのクライアントは、パスワードの変更後、ドメインにログオンできなくなります。
Novell Netware 6 など、多くのサードパーティ製の CIFS サーバーでは、NTLMv2 に対応しておらず、NTLM のみが使用されます。そのため、2 より上のレベルでは、接続が許可されません。
LAN Manager 認証レベルを手動で構成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
147706 (http://support.microsoft.com/kb/147706/)
Windows NT 上の LM 認証を無効にする方法
175641 (http://support.microsoft.com/kb/175641/) LMCompatibilityLevel とその効果 (英語) 299656 (http://support.microsoft.com/kb/299656/) Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法
312630 (http://support.microsoft.com/kb/312630/) Outlook がログオン資格情報の入力を求め続ける
LM 認証レベルの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
239869 (http://support.microsoft.com/kb/239869/)
NTLM 2 認証を有効にする方法
| | b. | 危険な設定
次の設定は、危険な設定です。
| ? | パスワードをクリア テキストで送信し、NTLMv2 ネゴシエーションを拒否する、制限のない設定。 | | ? | 互換性のないクライアントまたはドメイン コントローラが共通の認証プロトコルでネゴシエートできない、制限のある設定。
| | ? | Service Pack 4 (SP4) より前のバージョンの Windows NT 4.0 を実行しているメンバ コンピュータ上およびドメイン コントローラ上の NTLMv2 認証を必須とする設定。 | | ? | Windows ディレクトリ サービス クライアントがインストールされていない Windows 95 クライアントまたは Windows 98 クライアントで NTLMv2 認証を必須とする設定。 | | ? | Windows Server 2003 または Windows 2000 Service Pack 3 ベースのコンピュータで、Microsoft 管理コンソールのグループ ポリシー エディタ スナップインで、[NTLMv2 セッション セキュリティが必要] チェック ボックスをオンにし、LAN Manager 認証レベルを 0 (ゼロ) に下げると、2 つの設定が競合状態になり、Secpol.msc ファイルまたは GPEdit.msc ファイルに、次のエラー メッセージが出力されることがあります。 ローカル ポリシー データベースを開けません。データベースを開こうとしたときに不明なエラーが発生しました。 セキュリティの構成と分析ツールの詳細については、Windows 2000 または Windows Server 2003 ヘルプ ファイルを参照してください。
Windows 2000 および Windows Server 2003 でセキュリティ レベルを分析する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
313203 (http://support.microsoft.com/kb/313203/)
Windows 2000 でシステム セキュリティを分析する方法
816580 (http://support.microsoft.com/kb/816580/) Windows Server 2003 でシステム セキュリティを分析する方法
|
| | c. | この設定を変更する理由| ? | 組織内のクライアントおよびドメイン コントローラによりサポートされる共通の認証プロトコルの最低レベルを上げることができます。 | | ? | 業務上、セキュリティで保護された認証が必要な場合、LM および NTLM プロトコルのネゴシエーションを禁止できます。 |
| | d. | この設定を無効にする理由
クライアント、サーバー、またはそれらの両方の認証要件が、共通のプロトコルを使用して認証できないレベルまで引き上げられています。 | | e. | シンボリック名 :
LmCompatibilityLevel | | f. | レジストリ パス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel | | g. | 互換性の問題の例| ? | Windows Server 2003 : 既定では、Windows Server 2003 の [LM と NTLM 応答を送信する] 設定が有効になっています。そのため、最初のインストール後、Windows NT 4.0 ベースのクラスタ、または OS/2 Lanserver などの、LanManager V2.1 ベースのサーバーに接続するときに、Windows Server 2003 でアクセス拒否のエラー メッセージが表示されることがあります。この問題は、以前のバージョンのクライアントから Windows Server 2003 ベースのサーバーに接続する場合にも発生します。 | | ? | Windows 2000 用のセキュリティ ロールアップ パッケージ 1 (SRP1) をインストールする場合。SRP1 では、NTLM version 2 (NTLMv2) が強制的に使用されます。このロールアップ パッケージは、Windows 2000 Service Pack 2 (SP2) のリリース後にリリースされました。SRP1 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
311401 (http://support.microsoft.com/kb/311401/) Windows 2000 用のセキュリティ ロールアップ パッケージ 1 (SRP1), 2002 年 1月 | | ? | Microsoft Outlook クライアントがドメインに既にログオンしている場合でも、資格情報を要求される場合があります。ユーザーが資格情報を入力すると、次のエラー メッセージが表示されます。 指定したログオン情報が正しくありません。ユーザー名とドメイン名を確認して、再度パスワードを入力してください。 ログオン ネットワーク セキュリティ設定が、Passthrough または Password Authentication に設定されていても、Outlook を起動するときに資格情報を要求されることがあります。適切な資格情報を入力後、次のエラー メッセージが表示されることがあります。指定したログオン情報が正しくありません。 ネットワーク モニタ トレースを確認すると、グローバル カタログから、状態が 0x5 のリモート プロシージャ コール (RPC) 違反が発行されている場合があります。状態 0x5 は、"アクセス拒否" を示します。 | | ? | Windows 2000 : ネットワーク モニタでキャプチャすると、NetBIOS over TCP/IP (NetBT) のサーバー メッセージ ブロック (SMB) セッションで、次のエラーが発生している場合があります。 SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier | | ? | Windows 2000 : NTLMv2 レベル 2 以上を使用する Windows 2000 ドメインが Windows NT 4.0 ドメインによって信頼されている場合、リソース ドメインにある Windows 2000 ベースのメンバ コンピュータで認証エラーが発生することがあります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
305379 (http://support.microsoft.com/kb/305379/)
Windows NT 4.0 のドメインで NTLM 2 のレベル 2 より上を使用する Windows 2000 の認証問題
| | ? | Windows 2000 および Windows XP : Windows 2000 および Windows XP では既定で、LAN Manager 認証レベルのローカル セキュリティ ポリシー オプションが 0 (ゼロ) に設定されます。0 という設定は、"LM と NTLM 応答を送信する" を意味します。
注 : Windows NT 4.0 ベースのクラスタでは、管理に LM を使用する必要があります。 | | ? | Windows 2000 : Windows 2000 クラスタの両方のノードが Windows NT 4.0 Service Pack 6a (SP6a) ドメインに含まれている場合、参加しているノードが認証されません。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
305379 (http://support.microsoft.com/kb/305379/)
Windows NT 4.0 のドメインで NTLM 2 のレベル 2 より上を使用する Windows 2000 の認証問題
| | ? | IIS Lockdown ツール (HiSecWeb) を実行すると、LMCompatibilityLevel 値が 5 に、RestrictAnonymous 値が 2 に設定されます。 | | ? | Services for Macintosh
User Authentication Module (UAM) : Microsoft UAM (User Authentication Module) は、Windows AFP (AppleTalk Filing Protocol) サーバーにログオンする際に使用するパスワードを暗号化する手段を提供します。Apple UAM では、最低限の暗号化のみが提供されるか、暗号化はまったく提供されません。そのため、LAN またはインターネットでパスワードが簡単に読み取られる可能性があります。UAM は必須ではありませんが、UAM を使用すると、Services For Macintosh を実行する Windows 2000 Server での認証が暗号化されます。このバージョンには、NTLMv2 128 ビット暗号化認証のサポートおよび MacOS X 10.1 対応のリリースが含まれています。
Windows Server 2003 Services for Macintosh サーバーで許可されるのは、既定では、Microsoft 認証のみです。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
834498 (http://support.microsoft.com/kb/834498/)
Macintosh クライアントから Windows Server 2003 上の Services for Mac に接続できない (英語) 838331 (http://support.microsoft.com/kb/838331/) Mac OS X ユーザーが Windows Server 2003 ベースのサーバー上の Macintosh 共有フォルダを開くことができない (英語) | | ? | Windows Server 2008、Windows Server 2003、Windows XP、および Windows 2000 : LMCompatibilityLevel 値を 0 または 1 に構成し、NoLMHash 値を 1 に構成すると、アプリケーションとコンポーネントが NTLM でのアクセスを拒否される場合があります。この問題が発生するのは、LM を有効にするが、LM で保存されるパスワードを使用しないように、コンピュータが構成されているためです。
NoLMHash 値を 1 に構成する場合は、LMCompatibilityLevel 値を 2 以上に構成する必要があります。 |
|
|
| 11. | ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント| a. | 背景
"ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント" 設定では、LDAP (Lightweight Directory Ac |
|
Help and Support