文書番号: 823659 - 最終更新日: 2011年5月16日 - リビジョン: 20.0

セキュリティ設定およびユーザー権利の割り当てを変更すると、クライアント、サービス、およびプログラムの互換性がなくなる

対象製品
お知らせお使いのオペレーティング システムには適用しない情報が含まれている場合があります。

目次

すべて展開する | すべて折りたたむ

概要

この資料では、Windows NT 4.0 ドメイン、Windows 2000 ドメイン、および Windows Server 2003 ドメインで特定のセキュリティ設定およびユーザー権利の割り当てを変更した場合に、Microsoft Windows 95、Microsoft Windows 98、Microsoft Windows NT 4.0、Microsoft Windows 2000、Microsoft Windows XP Professional、または Microsoft Windows Server 2003 を実行しているクライアント コンピューター上で発生することがある互換性の問題について説明します。

ローカル ポリシーおよびグループ ポリシーで、セキュリティ設定およびユーザー権利の割り当てを構成することにより、ドメイン コントローラーおよびメンバー コンピューターのセキュリティを強化できます。セキュリティ強化のマイナス面は、クライアント、サービス、およびプログラムの互換性が損なわれることです。

セキュリティ設定を誤って構成した場合にわかりやすいように、セキュリティ設定を変更するにはグループ ポリシー オブジェクト エディター ツールを使用します。グループ ポリシー オブジェクト エディターを使用した場合、以下のオペレーティング システムではユーザー権利の割り当て機能が強化されています。
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows Server 2003 Service Pack 1 (SP1)
この機能強化により、セキュリティ設定またはユーザー権利の割り当てを、互換性が低く、制限が厳しい設定に変更すると、この資料へのリンクを含むダイアログ ボックスが表示されます。同じセキュリティ設定またはユーザー権利の割り当てを、レジストリまたはセキュリティ テンプレートを使用して直接編集した場合の設定の効果は、グループ ポリシー オブジェクト エディターで設定を変更した場合と同じですが、この資料へのリンクを含むダイアログ ボックスは表示されません。

この資料には、特定のセキュリティ設定またはユーザー権利の割り当ての影響を受けるクライアント、プログラム、および操作の例が記載されています。ただし、これらの例は、マイクロソフト オペレーティング システム、サードパーティ製オペレーティング システム、または影響を受けるプログラム バージョンのすべてに当てはまるものではありません。セキュリティ設定およびユーザー権利の割り当てには、この資料に記載されていないものもあります。

実稼働環境にセキュリティ関連の設定変更を導入する前に、テスト用のフォレストで互換性を検証することを推奨します。テスト用のフォレストは、以下の点について、実稼働環境と同じにする必要があります。
  • クライアントおよびサーバーのオペレーティング システムのバージョン、クライアントおよびサーバーのプログラム、Service Pack のバージョン、修正プログラム、スキーマの変更、セキュリティ グループ、グループ メンバーシップ、ファイル システム内のオブジェクトへのアクセス許可、共有フォルダー、レジストリ、Active Directory ディレクトリ サービス、ローカルおよびグループ ポリシー設定、オブジェクトの数、種類および場所
  • 実行する管理タスク、使用する管理ツール、管理タスクの実行に使用するオペレーティング システム
  • 実行する操作 (コンピューターおよびユーザー ログオンの認証。ユーザー、コンピューター、および管理者によるパスワードの再設定。参照。すべてのクライアント オペレーティング システム、すべてのアカウントまたはリソース ドメインにおける、すべてのクライアント オペレーティング システムおよびすべてのアカウントまたはリソース ドメインからの、ファイル システムのアクセス許可、共有フォルダーのアクセス許可、レジストリのアクセス許可、および Active Directory リソースに対して ACL エディターを使用して行うアクセス許可の設定。管理者および管理者以外のアカウントからの印刷。)
先頭へ戻る

Windows Server 2003 SP1

Gpedit.msc で生成される警告

ネットワーク上で悪影響を及ぼす可能性があるユーザー権利やセキュリティ オプションを、ユーザーが変更しようとしていることを認識しやすくするために、2 つの警告メカニズムが gpedit.msc に追加されています。管理者がエンタープライズ全体に悪影響を及ぼすユーザー権利を変更すると、徐行を表す標識に似た、新しいアイコンが表示されます。「サポート技術情報」 (Microsoft Knowledge Base) の資料 823659 へのリンクを含む警告メッセージも表示されます。このメッセージのテキストは、次のとおりです。
この設定を変更すると、クライアント、サービス、およびアプリケーションとの互換性に影響を及ぼす可能性があります。詳細な情報については <user right or security option being modified> を参照してください。(Q823659)
GPEDIT.MSC のリンクをクリックしてこの「サポート技術情報」が表示された場合は、説明をよく読んで、この設定を変更した場合に受ける可能性のある影響を理解してください。新しい警告テキストが表示されるユーザー権利を以下に示します。
  • ネットワーク経由でコンピューターへアクセス
  • ローカル ログオンを許可する
  • 走査チェックのバイパス
  • コンピューターとユーザー アカウントに委任時の信頼を付与
警告およびポップアップが表示されるセキュリティ オプションを以下に示します。
  • ドメイン メンバー:常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する
  • ドメイン メンバー:強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする
  • ドメイン コントローラー:LDAP サーバー署名必須
  • Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う
  • ネットワーク アクセス:匿名の SID と名前の変換を許可する
  • ネットワーク アクセス:SAM アカウントおよび共有の匿名の列挙を許可しない
  • ネットワーク セキュリティ:LAN Manager 認証レベル
  • 監査:セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする
  • ネットワーク アクセス:必須の署名をしている LDAP クライアント
先頭へ戻る

詳細

ここでは、Windows NT 4.0 ドメイン、Windows 2000 ドメイン、および Windows Server 2003 ドメインにおいて特定の設定を変更した場合に発生する可能性のある互換性の問題について説明します。
先頭へ戻る

ユーザー権利

  1. ネットワーク経由でコンピューターへアクセス
    1. 背景

      リモートの Windows コンピューターとの対話的処理を行うには、"ネットワーク経由でコンピューターへアクセス" ユーザー権利が必要です。そのようなネットワーク操作の例には、共通ドメインまたはフォレスト内のドメイン コントローラー間での Active Directory のレプリケーション、ユーザーおよびコンピューターからのドメイン コントローラーに対する認証要求、ネットワーク上のリモート コンピューターに配置された共有フォルダー、プリンター、および他のシステム サービスへのアクセスがあります。

      ユーザー、コンピューター、およびサービス アカウントを、このユーザー権利が付与されたセキュリティ グループに明示的または暗黙的に追加または削除することにより、"ネットワーク経由でコンピューターへアクセス" ユーザー権利を付与または削除することができます。たとえば、ユーザー アカウントまたはコンピューター アカウントは、管理者によりカスタムまたはビルトインのセキュリティ グループに明示的に追加されるか、オペレーティング システムにより Domain Users、Authenticated Users、Enterprise Domain Controllers など、計算されたセキュリティ グループに暗黙的に追加される場合があります。

      既定では、Everyone または Authenticated Users (推奨)、およびドメイン コントローラーの Enterprise Domain Controllers グループなど、計算されたグループが既定のドメイン コントローラー グループ ポリシー オブジェクト (GPO) に定義されている場合、ユーザー アカウントおよびコンピューター アカウントに "ネットワーク経由でコンピューターへアクセス" ユーザー権利が付与されます。
    2. 危険な設定

      次の設定は、有害な設定です。
      • このユーザー権利から、Enterprise Domain Controllers セキュリティ グループを削除する。
      • Authenticated Users グループを削除するか、ユーザー、コンピューター、およびサービス アカウントにネットワーク経由でのコンピューターへの接続を許可する明示的なグループを削除する。
      • このユーザー権利から、すべてのユーザーおよびコンピューターを削除する。
    3. このユーザー権利を付与する理由
      • Enterprise Domain Controllers グループに "ネットワーク経由でコンピューターへアクセス" ユーザー権利を付与すると、同じフォレスト内のドメイン コントローラー間でレプリケーションを行うために Active Directory レプリケーションで必要になる認証要件が満たされます。
      • このユーザー権利により、ユーザーおよびコンピューターは Active Directory を含む、共有ファイル、プリンター、およびシステム サービスにアクセスできるようになります。
      • ユーザーが以前のバージョンの Microsoft Outlook Web Access (OWA) を使用してメールにアクセスするには、このユーザー権利が必要です。
    4. このユーザー権利を削除する理由
      • コンピューターをネットワークに接続することが可能なユーザーは、アクセス許可を持つリモート コンピューターのリソースにアクセスできます。たとえば、このユーザー権利は、ユーザーが共有プリンターおよび共有フォルダーにアクセスするために必要です。このユーザー権利が Everyone グループに付与され、かつ同じグループが読み取りのアクセス許可を持つように、いくつかの共有フォルダーに共有アクセス許可と NTFS ファイル システムのアクセス許可の両方が設定されている場合、すべてのユーザーがそれら共有フォルダーのファイルを参照できます。ただし、Windows Server 2003 では、既定の共有アクセス許可と NTFS アクセス許可に Everyone グループが含まれていないため、新規インストールの Windows Server 2003 でこの状況が発生することはほとんどありません。Microsoft Windows NT 4.0 または Windows 2000 からアップグレードしたシステムでは、それらのオペレーティング システムにおける既定の共有アクセス許可とファイル システム アクセス許可が、Windows Server 2003 での既定のアクセス許可のようには制限されていないため、この脆弱性による危険性が高くなっています。
      • このユーザー権利から Enterprise Domain Controllers セキュリティ グループを削除する正当な理由はありません。
      • 通常、Authenticated Users グループを優先し、Everyone グループを削除します。Everyone グループを削除した場合は、Authenticated Users グループにこのユーザー権利を付与する必要があります。
      • Windows NT 4.0 ドメインを Windows 2000 にアップグレードした場合、"ネットワーク経由でコンピューターへアクセス" ユーザー権利は、Everyone グループ、Authenticated Users グループ、および Enterprise Domain Controllers グループに明示的には付与されません。そのため、Windows NT 4.0 ドメイン ポリシーから Everyone グループを削除した場合、Windows 2000 へのアップグレード後に Active Directory レプリケーションを実行すると、"アクセス拒否" のエラー メッセージが出力されて失敗します。Windows Server 2003 の Winnt32.exe は、Windows NT 4.0 プライマリ ドメイン コントローラー (PDC) をアップグレードするときに、Enterprise Domain Controllers グループにこのユーザー権利を付与することにより、この誤った設定を回避します。グループ ポリシー オブジェクト エディターでこのユーザー権利が表示されない場合は、Enterprise Domain Controllers グループにこのユーザー権利を付与してください。
    5. 互換性の問題の例
      • Windows 2000 および Windows Server 2003:Active Directory スキーマ、構成、ドメイン、グローバル カタログ、アプリケーション パーティションのレプリケーションが "アクセス拒否" のエラーで失敗し、REPADMIN および REPLMON などの監視ツールまたはイベント ログのレプリケーション イベントで報告されます。
      • すべてのマイクロソフト ネットワーク オペレーティング システム:ユーザー、またはユーザーが所属するセキュリティ グループにこのユーザー権利が付与されていない場合は、リモート ネットワークのクライアント コンピューターからのユーザー アカウント認証は失敗します。
      • すべてのマイクロソフト ネットワーク オペレーティング システム:アカウント、またはアカウントが所属するセキュリティ グループにこのユーザー権利が付与されていない場合は、リモート ネットワーク クライアントからのアカウント認証は失敗します。これは、ユーザー アカウント、コンピューター アカウント、およびサービス アカウントに当てはまります。
      • すべてのマイクロソフト ネットワーク オペレーティング システム:このユーザー権利からすべてのアカウントを削除すると、どのアカウントを使用してもドメインへのログオンやネットワーク リソースへのアクセスができなくなります。Enterprise Domain Controllers、Everyone、または Authenticated Users など、計算されたグループが削除された場合、ネットワーク経由でリモート コンピューターにアクセスするには、このユーザー権利をアカウント、またはアカウントが所属するセキュリティ グループに明示的に付与する必要があります。これは、すべてのユーザー アカウント、すべてのコンピューター アカウント、およびすべてのサービス アカウントに当てはまります。
      • すべてのマイクロソフト ネットワーク オペレーティング システム:ローカルの管理者アカウントで "空白" のパスワードが使用されています。ドメイン環境では、管理者アカウントで空白のパスワードを使用してネットワークに接続することは許可されません。この構成では、"アクセス拒否" のエラー メッセージが表示されることがあります。
  2. ローカル ログオンを許可する
    1. 背景

      (ログオン用の Ctrl + Alt + Del キーの組み合わせを使用して) Microsoft Windows ベースのコンピューター コンソールにログオンするユーザー、およびサービスを起動するアカウントには、ホストしているコンピューター上のローカル ログオン権限が必要です。ローカル ログオン操作の例としては、メンバー コンピューターまたは組織全体のドメイン コントローラーのコンソールにログオンする管理者、メンバー コンピューターにログオンし、特権が付与されていないアカウントを使用してデスクトップにアクセスするドメイン ユーザーなどがあります。リモート デスクトップ接続またはターミナル サービスを使用するユーザーには、Windows 2000 または Windows XP を実行している接続先コンピューター上の "ローカル ログオンを許可する" (または "ローカル ログオン") ユーザー権利が必要です。これは、ホストしている側のコンピューターではこれらのログオン モードはローカルと見なされるためです。ターミナル サーバーが有効になっているサーバーにログオンするユーザーがこのユーザー権利を持っていない場合でも、"ターミナル サービスを使ったログオンを許可する" ユーザー権利があれば Windows Server 2003 ドメインでリモート対話型セッションを開始できます。
    2. 危険な設定

      次の設定は、有害な設定です。
      • Account Operators、Backup Operators、Print Operators、Server Operators、ビルトインの Administrators グループなどの管理セキュリティ グループを既定のドメイン コントローラー ポリシーから削除する。
      • ドメイン内のメンバー コンピューター上およびドメイン コントローラー上で、コンポーネントやプログラムにより使用されるサービス アカウントを、既定のドメイン コントローラー ポリシーから削除する。
      • ドメイン内のメンバー コンピューターのコンソールにログオンするユーザーまたはセキュリティ グループを削除する。
      • メンバー コンピューターまたはワークグループ コンピューターのローカル セキュリティ アカウント マネージャー (SAM) データベース内に定義されているサービス アカウントを削除する。
      • ドメイン コントローラー上で実行されているターミナル サービスで認証を行う、ビルトインでない管理者アカウントを削除する。
      • Everyone グループを使用して、ドメイン内のすべてのユーザー アカウントに "ローカルでログオンを拒否する" ログオン権利を明示的または暗黙的に追加する。この設定を行うと、ユーザーはドメイン内のすべてのメンバー コンピューターおよびドメイン コントローラーにログオンできなくなります。
    3. このユーザー権利を付与する理由
      • ユーザーが、ワークグループ コンピューター、メンバー コンピューター、ドメイン コントローラーのコンソールまたはデスクトップにアクセスするには、"ローカル ログオンを許可する" (または "ローカル ログオン") ユーザー権利が必要です。
      • ユーザーが、Windows 2000 または Windows Server 2003 ベースのメンバー コンピューターまたはドメイン コントローラー上で実行されているターミナル サービス セッション経由でログオンするには、このユーザー権利が必要です。
    4. このユーザー権利を削除する理由
      • コンソール アクセスを正規のユーザー アカウントに限定できないと、許可されていないユーザーが悪質なコードをダウンロードして実行し、ユーザー権利を変更する可能性があります。
      • "ローカル ログオンを許可する" (または "ローカル ログオン") ユーザー権利を削除することにより、ドメイン コントローラーやアプリケーション サーバーなどのコンピューターのコンソールに対して、許可されていないログオンが実行されることを防止できます。
      • このログオン権利を削除すると、ドメイン アカウントではないアカウントを使用してドメイン内のメンバー コンピューターのコンソールにログオンすることはできなくなります。
    5. 互換性の問題の例
      • Windows 2000 ターミナル サーバー:ユーザーが Windows 2000 ターミナル サーバーにログオンするには、"ローカル ログオン" ユーザー権利が必要です。
      • Windows NT 4.0、Windows 2000、Windows XP、または Windows Server 2003:Windows NT 4.0、Windows 2000、Windows XP、または Windows Server 2003 を実行しているコンピューターのコンソールにログオンするには、ユーザー アカウントにこのユーザー権利を付与する必要があります。
      • Windows NT 4.0 およびそれ以降:Windows NT 4.0 およびそれ以降を実行しているコンピューターで、"ローカル ログオンを許可する" (または "ローカル ログオン") ユーザー権利を追加し、さらに、"ローカルでログオンを拒否する" ログオン権利も明示的または暗黙的に付与した場合、そのアカウントではドメイン コントローラーのコンソールにログオンできません。
  3. 走査チェックのバイパス
    1. 背景

      "走査チェックのバイパス" ユーザー権利が付与されると、特別なアクセス許可 "フォルダーのスキャン" が付与されていなくても、NTFS ファイル システムまたはレジストリ内のフォルダーを参照できます。"走査チェックのバイパス" ユーザー権利では、フォルダーの内容の一覧を表示できません。ユーザーには、そのフォルダーのスキャンのみが許可されます。
    2. 危険な設定

      次の設定は、有害な設定です。
      • ファイル システム内のファイルおよびフォルダーにアクセスするためのアクセス許可がなく、Windows 2000 ベースまたは Windows Server 2003 ベースのターミナル サービス コンピューターにログオンする、管理者でないアカウントを削除する。
      • 既定でこのユーザー権利が付与されているセキュリティ プリンシパルの一覧から Everyone グループを削除する。Windows オペレーティング システム、および多くのプログラムは、正規にコンピューターにアクセス可能なすべてのユーザーに "走査チェックのバイパス" ユーザー権利が付与されていることを前提に設計されています。そのため、既定でこのユーザー権利が付与されているセキュリティ プリンシパルの一覧から Everyone グループを削除すると、オペレーティング システムが不安定になったり、プログラムでエラーが発生したりすることがあります。この設定は、既定のまま使用することをお勧めします。
    3. このユーザー権利を付与する理由

      "走査チェックのバイパス" ユーザー権利に対する既定の設定では、すべてのユーザーが走査チェックをバイパスできます。経験豊富な Windows システム管理者にとって、これは正常な動作であり、システム管理者はこの動作を前提としてファイル システム アクセス制御リスト (SACL) を設定します。既定の設定により予想外の問題が発生する唯一の状況は、アクセス許可を設定する管理者がこの動作を理解しておらず、親フォルダーにアクセスできないユーザーはすべての子フォルダーの内容にアクセスできないと誤って考えている場合です。
    4. このユーザー権利を削除する理由

      セキュリティを非常に重要視している組織では、"走査チェックのバイパス" ユーザー権利を持つグループの一覧から Everyone グループを (場合によっては Users グループも) 削除して、ファイル システム内のファイルまたはフォルダーへのアクセスを防止する場合があります。
    5. 互換性の問題の例
      • Windows 2000、Windows Server 2003:Windows 2000 または Windows Server 2003 を実行しているコンピューターで、"走査チェックのバイパス" ユーザー権利が削除されたか誤って設定されている場合、SYSVOL フォルダー内のグループ ポリシー設定がドメイン内のドメイン コントローラー間でレプリケートされません。
      • Windows 2000、Windows XP Professional、Windows Server 2003:Windows 2000、Windows XP Professional、または Windows Server 2003 を実行しているコンピューターで、"走査チェックのバイパス" ユーザー権利が削除されたか誤って設定され、必要なファイル システムのアクセス許可が SYSVOL ツリーから削除された場合、イベント 1000 および 1202 が記録され、コンピューター ポリシーおよびユーザー ポリシーが適用できなくなります。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        290647? (http://support.microsoft.com/kb/290647/ ) イベント ID 1000 および 1001 が 5 分おきにアプリケーション イベント ログに出力される
      • Windows 2000、Windows Server 2003:Windows 2000 または Windows Server 2003 を実行しているコンピューターのエクスプローラーでボリュームのプロパティを表示すると、[クォータ] タブが表示されません。
      • Windows 2000: 管理者でないユーザーが Windows 2000 ターミナル サーバーにログオンすると、次のエラー メッセージが表示されることがあります。
        Userinit.exe アプリケーション エラー。アプリケーションを正しく初期化できませんでした (0xc0000142)。[OK] をクリックしてアプリケーションを終了してください。
        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        272142? (http://support.microsoft.com/kb/272142/ ) ターミナル サービスにログオンしようとすると自動的にログオフされる
      • Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003:Windows NT 4.0、Windows 2000、Windows XP、または Windows Server 2003 を実行しているコンピューターのユーザーに "走査チェックのバイパス" ユーザー権利が付与されていない場合、共有フォルダー、または共有フォルダーのファイルにアクセスできないことや、"アクセス拒否" のエラー メッセージが表示されることがあります。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        277644? (http://support.microsoft.com/kb/277644/ ) ユーザーが共有フォルダにアクセスすると "アクセス拒否" のエラー メッセージが表示される
      • Windows NT 4.0:Windows NT 4.0 ベースのコンピューターで、"走査チェックのバイパス" ユーザー権利を削除すると、ファイルのコピー時にファイル ストリームが脱落します。このユーザー権利を削除した場合、Windows クライアントまたは Macintosh クライアントから Services for Macintosh を実行している Windows NT 4.0 ドメイン コントローラーにファイルをコピーするときに、コピー先のファイル ストリームが失われ、ファイルはテキストのみのファイルのように見えます。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        172930? (http://support.microsoft.com/kb/172930/ ) [走査チェックのバイパス] を削除すると、ファイルのコピーでストリームが失われる
      • Microsoft Windows 95, Microsoft Windows 98:Authenticated Users グループに "走査チェックのバイパス" ユーザー権利が付与されていない場合、Windows 95 または Windows 98 を実行しているクライアント コンピューターで net use * /home コマンドを実行すると、"アクセス拒否" のエラー メッセージが出力され、処理が失敗します。
      • Outlook Web Access:管理者でないユーザーに "走査チェックのバイパス" ユーザー権利が付与されていない場合、そのユーザーは Microsoft Outlook Web Access にアクセスできず、"アクセス拒否" のエラー メッセージが表示されます。
セキュリティの設定
  1. 監査:セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする
    1. 背景
      • "監査:セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" 設定では、セキュリティ イベントのログを記録できない場合に、システムをシャットダウンするかどうかを指定します。この設定は、Trusted Computer Security Evaluation Criteria (TCSEC) プログラムの C2 評価および Common Criteria for Information Technology Security Evaluation で、監査システムが監査可能なイベントのログを記録できない場合にそれらのイベントを回避するために必要です。監査システムで障害が発生した場合、システムはシャットダウンされ、Stop エラー メッセージが表示されます。
      • コンピューターでセキュリティ ログにイベントを記録できない場合、セキュリティ上の問題を調査する際に、重大な証拠や重要なトラブルシューティング情報が参照できなくなります。
    2. 危険な設定

      次の設定は、有害な設定です。"監査:セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" が有効で、かつセキュリティ イベント ログのサイズがイベント ビューアーの [イベントを上書きしない (手動でログを消去)] オプション、[必要に応じてイベントを上書きする] オプション、または [イベントを上書きする number 日経過後] オプションにより制限されている。Windows 2000 の最初のバージョン、Windows 2000 Service Pack 1 (SP1)、Windows 2000 SP2、または Windows 2000 SP3 を実行しているコンピューターにおける具体的なリスクについては、「互換性の問題の例」を参照してください。
    3. この設定を有効にする理由

      コンピューターでセキュリティ ログにイベントを記録できない場合、セキュリティ上の問題を調査する際に、重大な証拠や重要なトラブルシューティング情報が参照できなくなります。
    4. この設定を無効にする理由
      • "監査:セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" 設定を有効にすると、なんらかの理由でセキュリティ監査のログを記録できない場合にシステムが停止します。通常、セキュリティ監査ログがいっぱいで、かつ指定されたログの保持方法が [イベントを上書きしない (手動でログを消去)] オプションまたは [イベントを上書きする number 日経過後] オプションの場合、イベントのログは記録されません。
      • "監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" 設定を有効にすると、特にセキュリティ ログの [イベントを上書きしない (手動でログを消去)] オプションも有効にした場合に、管理の負担が非常に大きくなる可能性があります。この設定を有効にする場合、管理者が個々の操作に対して責任を持つことが前提となります。たとえば、管理者が、ビルトインの Administrator アカウントまたは他の共有アカウントを使用して、監査が有効になっている組織単位 (OU) 内のすべてのユーザー、コンピューター、およびグループに対するアクセス許可をリセットした後、そのようにアクセス許可をリセットしたことを否定する可能性があるためです。しかし、この設定を有効にすると、セキュリティ ログに多くのログオン イベントや他のセキュリティ イベントが書き込まれ、サーバーが強制的にシャットダウンされる可能性があるため、システムの堅牢性が低下します。さらに、正常なシャットダウンではないため、オペレーティング システム、プログラム、またはデータに修復不可能な破損が発生する可能性があります。NTFS では、正常でないシステム シャットダウン時にファイル システムの整合性が保持されますが、システムの再起動時にすべてのプログラムのすべてのデータ ファイルが引き続き使用可能であることは保証されません。
    5. シンボリック名:

      CrashOnAuditFail
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. 互換性の問題の例
      • Windows 2000:Windows 2000 の最初のバージョン、Windows 2000 SP1、Windows 2000 SP2、または Windows 2000 SP3 を実行しているコンピューターでは、これらのバージョンに含まれている問題が原因で、セキュリティ イベント ログが [最大ログ サイズ] オプションで指定されたサイズに達する前に、イベント ログの記録が停止することがあります。この問題は、Windows 2000 Service Pack 4 (SP4) で修正されます。この設定を有効にする前に、Windows 2000 ドメイン コントローラーに Windows 2000 Service Pack 4 がインストールされていることを確認してください。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        312571? (http://support.microsoft.com/kb/312571/ ) イベント ログが最大ログ サイズに達する前に、イベントの出力が停止する
      • Windows 2000、Windows Server 2003:Windows 2000 または Windows Server 2003 を実行しているコンピューターが応答を停止し、突然自動的に再起動されることがあります。"監査:セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" が有効で、かつセキュリティ ログがいっぱいになり、既存のイベント ログ エントリを上書きできない場合です。コンピューターの再起動時に、次の Stop エラー メッセージが表示されます。
        STOP:C0000244 {Audit Failed}
        An attempt to generate a security audit failed.
        回復するには、管理者としてログオンし、セキュリティ ログをアーカイブし (この作業は任意です)、セキュリティ ログを消去する必要があります。さらに、このオプションを再設定します (この作業は必要に応じて任意に実施します)。
      • Microsoft Network Client for MS-DOS、Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003:管理者でないユーザーがドメインにログオンしようとすると、次のエラー メッセージが表示されます。
        このコンピューターにはログオンできません。別のコンピューターにログオンしてください。
        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        160783? (http://support.microsoft.com/kb/160783/ ) ワークステーションにログオンできない
      • Windows 2000:Windows 2000 ベースのコンピューターで、管理者でないユーザーがリモート アクセス サーバーにログオンできず、次のようなエラー メッセージが表示されます。
        ユーザー名を認識できないか、またはパスワードが間違っています
        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        285665? (http://support.microsoft.com/kb/285665/ ) エラー メッセージ:アカウントは、このコンピューターを使用できないように構成されています
      • Windows 2000:Windows 2000 ドメイン コントローラーで、サイト間メッセージング サービス (Ismserv.exe) が停止し、再起動できません。DCDIAG により、"failed test services ISMserv" というエラーが報告され、イベント ID 1083 がイベント ログに記録されます。
      • Windows 2000:Windows 2000 ドメイン コントローラーでセキュリティ イベント ログがいっぱいの場合、Active Directory レプリケーションが失敗し、"アクセス拒否" のメッセージが表示されます。
      • Microsoft Exchange 2000:Exchange 2000 を実行しているサーバーが、インフォメーション ストア データベースをマウントできず、イベント 2102 がイベント ログに記録されます。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        314294? (http://support.microsoft.com/kb/314294/ ) [XADM] SeSecurityPrivilege 権利および Policytest の問題によって Exchange 2000 エラー メッセージが生成される (英語)
      • Outlook、Outlook Web Access:管理者でないユーザーは、Microsoft Outlook または Microsoft Outlook Web Access を使用してメールにアクセスできず、503 エラーが発生します。
  2. ドメイン コントローラー:LDAP サーバー署名必須
    1. 背景

      "ドメイン コントローラー:LDAP サーバー署名必須" セキュリティ設定では、LDAP (Lightweight Directory Access Protocol) サーバーが、LDAP クライアントにデータ署名のネゴシエートを要求するかどうかを指定します。このポリシーに設定可能な値は次のとおりです。
      • なし:サーバーとのバインドに署名を要求しません。クライアントがデータ署名を要求する場合は、サーバーでサポートされます。
      • 署名必須:TLS/SSL (Transport Layer Security/Secure Socket Layer) が使用されていない場合は、LDAP データ署名オプションをネゴシエートする必要があります。
      • 未定義:この設定は、有効にされていないか、無効になっています。
    2. 危険な設定

      次の設定は、有害な設定です。
      • クライアントが LDAP 署名をサポートしていないか、クライアント側の LDAP 署名がクライアント上で有効でない環境において、署名必須を有効にする。
      • クライアントが LDAP 署名をサポートしていないか、クライアント側の LDAP 署名が有効でない環境において、Windows 2000 または Windows Server 2003 の Hisecdc.inf セキュリティ テンプレートを適用する。
      • クライアントが LDAP 署名をサポートしていないか、クライアント側の LDAP 署名が有効でない環境において、Windows 2000 または Windows Server 2003 の Hisecws.inf セキュリティ テンプレートを適用する。
    3. この設定を有効にする理由

      署名されていないネットワーク トラフィックは、侵入者がクライアントとサーバーの間のパケットを盗聴して、パケットを改ざんした後、サーバーに転送する man-in-the-middle 攻撃に悪用される危険性があります。この攻撃が LDAP サーバーに対して行われた場合、攻撃者によってサーバーが LDAP クライアントからの偽のクエリに基づく判断を行う可能性があります。ネットワーク インフラストラクチャの保護に役立つ強力な物理的セキュリティ対策を実施することにより、企業ネットワークでこのリスクを減らすことができます。IPSec (Internet Protocol security) の認証ヘッダー モードにより、man-in-the-middle 攻撃をきわめて困難にすることが可能です。認証ヘッダー モードでは、IP トラフィックに対する相互認証およびパケットの整合性確認が実行されます。
    4. この設定を無効にする理由
      • NTLM 認証がネゴシエートされ、かつ Windows 2000 ドメイン コントローラーに適切な Service Pack がインストールされていない場合、LDAP 署名をサポートしないクライアントが、ドメイン コントローラーおよびグローバル カタログに対して LDAP クエリを送信することはできません。
      • クライアントとサーバーの間の LDAP トラフィックのネットワーク トレースが暗号化され、LDAP の通信内容の調査が困難になります。
      • Windows 2000 SP4、Windows XP または Windows Server 2003 を実行しているクライアント コンピューターで実行される LDAP 署名をサポートするプログラムで、Windows 2000 ベースのサーバーが管理されている場合、そのサーバーには Windows 2000 Service Pack 3 (SP3) 以降がインストールされている必要があります。 関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        325465? (http://support.microsoft.com/kb/325465/ ) Windows Server 2003 管理ツールを使用する場合、Windows 2000 ドメイン コントローラは SP3 またはそれ以降の Service Pack が必要
    5. シンボリック名:

      LDAPServerIntegrity
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. 互換性の問題の例
      • 簡易結合が失敗し、次のエラー メッセージが表示されます。
        Ldap_simple_bind_s() failed:強力な認証が必要です。
      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003:Windows 2000 SP4、Windows XP、または Windows Server 2003 を実行しているクライアントで、NTLM 認証がネゴシエートされる場合に、一部の Active Directory 管理ツールが、SP3 より前のバージョンの Windows 2000 を実行しているドメイン コントローラーに対して正常に機能しません。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        325465? (http://support.microsoft.com/kb/325465/ ) Windows Server 2003 管理ツールを使用する場合、Windows 2000 ドメイン コントローラは SP3 またはそれ以降の Service Pack が必要
      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003:Windows 2000 SP4、Windows XP、または Windows Server 2003 を実行しているクライアントで、SP3 より前のバージョンの Windows 2000 を実行しているドメイン コントローラーを対象とする一部の Active Directory 管理ツールで IP アドレス ("dsa.msc /server=x.x.x.x" など。x.x.x.x は IP アドレスです) を使用すると、そのツールが正常に機能しません。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        325465? (http://support.microsoft.com/kb/325465/ ) Windows Server 2003 管理ツールを使用する場合、Windows 2000 ドメイン コントローラは SP3 またはそれ以降の Service Pack が必要
      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003:Windows 2000 SP4、Windows XP、または Windows Server 2003 を実行しているクライアントで、SP3 より前のバージョンの Windows 2000 を実行しているドメイン コントローラーを対象とする一部の Active Directory 管理ツールが正常に機能しません。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        325465? (http://support.microsoft.com/kb/325465/ ) Windows Server 2003 管理ツールを使用する場合、Windows 2000 ドメイン コントローラは SP3 またはそれ以降の Service Pack が必要
  3. ドメイン メンバー:強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする
    1. 背景
      • "ドメイン メンバー:強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする" 設定では、セキュリティで保護されたチャネルのトラフィックを強力な 128 ビット セッション キーで暗号化できないドメイン コントローラーとの間に、セキュリティで保護されたチャネルを確立できるかどうかを指定します。この設定を有効にすると、セキュリティで保護されたチャネルのデータを強力なキーで暗号化できないすべてのドメイン コントローラーとの間には、セキュリティで保護されたチャネルが確立されません。この設定を無効にすると、64 ビット セッション キーを使用できます。
      • メンバー ワークステーションまたはサーバーでこの設定を有効にするには、メンバーが所属するドメイン内のすべてのドメイン コントローラーで、強力な 128 ビット キーで保護されたチャネルのデータの暗号化が可能である必要があります。つまり、それらのすべてのドメイン コントローラーで、Windows 2000 またはそれ以降が実行されている必要があります。
    2. 危険な設定

      "ドメイン メンバー:強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする" を有効にするのは、有害な設定です。
    3. この設定を有効にする理由
      • Windows 2000 で、メンバー コンピューターとドメイン コントローラーの間でセキュリティで保護されたチャネルの通信を確立するのに使用されるセッション キーは、以前のバージョンのマイクロソフト オペレーティング システムで使用されるセッション キーより、はるかに強力です。
      • 可能な場合は必ず、強力なセッション キーを活用して、セキュリティで保護されたチャネルの通信を盗聴およびセッション ハイジャック ネットワーク攻撃から防御するために役立ててください。盗聴は、通信中にネットワーク データの読み取りや改ざんを行う悪質な攻撃方法です。データを変更して、送信者の隠蔽や変更を行ったり、リダイレクトしたりする場合があります。
      重要 Windows Server 2008 R2 または Windows 7 を実行しているコンピューターは、セキュリティで保護されたチャネルが使用されるとき、強力なキーのみをサポートします。この制限により、Windows NT 4.0 ベースのドメインと Windows Server 2008 R2 ベースのドメインの間に信頼関係を作成できません。さらに、この制限により、Windows 7 または Windows Server 2008 R2 を実行しているコンピューターの Windows NT 4.0 ベースのドメイン メンバーシップがブロックされ、逆も同様です。
    4. この設定を無効にする理由

      Windows 2000、Windows XP、または Windows Server 2003 以外のオペレーティング システムを実行しているメンバー コンピューターがドメイン内に存在します。
    5. シンボリック名:

      StrongKey
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. 互換性の問題の例

      Windows NT 4.0:Windows NT 4.0 ベースのコンピューターでは、Windows NT 4.0 と Windows 2000 ドメイン間の信頼関係のセキュリティで保護されたチャネルを NLTEST でリセットする処理が失敗し、次の "アクセス拒否" エラー メッセージが表示されます。
      プライマリ ドメインと信頼される側のドメインとの信頼関係に失敗しました。
  4. ドメイン メンバー:常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する
    1. 背景
      • "ドメイン メンバー:常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する" を有効にすると、セキュリティで保護されたチャネルのデータすべてを暗号化または署名できないドメイン コントローラーとの間には、セキュリティで保護されたチャネルを確立できなくなります。認証トラフィックを man-in-the-middle 攻撃、リプレイ攻撃、および他の種類のネットワーク攻撃から防御するため、Windows ベースのコンピューターは Net Logon サービスを介して "セキュリティで保護されたチャネル" として知られる通信チャネルを作成して、コンピューター アカウントを認証します。セキュリティで保護されたチャネルは、あるドメインのユーザーがリモート ドメイン内のネットワーク リソースに接続する際にも使用されます。この複数ドメイン認証 (パススルー認証) により、ドメインに参加した Windows ベースのコンピューターは、そのドメイン内および信頼される側のドメイン内のユーザー アカウント データベースにアクセスできるようになります。
      • "ドメイン メンバー:常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する" 設定をメンバー コンピューターで有効にするには、メンバーが所属するドメイン内のすべてのドメイン コントローラーが、セキュリティで保護されたチャネルのデータをすべて暗号化または署名できる必要があります。つまり、それらすべてのドメイン コントローラーで、Windows NT 4.0 Service Pack 6a (SP6a) 以降が実行されている必要があります。
      • "ドメイン メンバー:常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する" 設定を有効にすると、"ドメイン メンバー:可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する" 設定が自動的に有効になります。
    2. 危険な設定

      "ドメイン メンバー:常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する" 設定をセキュリティで保護されたチャネルのデータを暗号化または署名できないドメイン コントローラーが存在するドメインで有効にするのは、有害な設定です。
    3. この設定を有効にする理由

      署名されていないネットワーク トラフィックは、侵入者がサーバーとクライアントの間のパケットを盗聴して、パケットを改ざんした後、サーバーに転送する man-in-the-middle 攻撃に悪用される危険性があります。この攻撃が LDAP (Lightweight Directory Access Protocol) サーバーに対して行われた場合、侵入者によってクライアントが LDAP ディレクトリからの偽のレコードに基づく判断を行う可能性があります。ネットワーク インフラストラクチャの保護に役立つ強力な物理的セキュリティ対策を実施することにより、企業ネットワークでのこのリスクを減らすことができます。IPSec (Internet Protocol Security) の認証ヘッダー モードにより、man-in-the-middle 攻撃をきわめて困難にすることが可能です。認証ヘッダー モードでは、IP トラフィックに対する相互認証およびパケットの整合性確認が実行されます。
    4. この設定を無効にする理由
      • ローカルまたは外部ドメイン内のコンピューターが、暗号化されセキュリティで保護されたチャネルをサポートしていません。
      • 暗号化されセキュリティで保護されたチャネルをサポートする、適切なリビジョン レベルの Service Pack がインストールされていないドメイン コントローラーが、ドメイン内に存在します。
    5. シンボリック名:

      StrongKey
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. 互換性の問題の例
      • Windows NT 4.0:Windows 2000 ベースのメンバー コンピューターが、Windows NT 4.0 ドメインに参加できず、次のエラー メッセージが表示されます。
        そのアカウントは、このワークステーションからのログインを許可されていません。
        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        281648? (http://support.microsoft.com/kb/281648/ ) エラー メッセージ:そのアカウントは、このワークステーションからのログインを許可されていません
      • Windows NT 4.0:Windows NT 4.0 ドメインが、Windows 2000 ドメインとダウンレベルの信頼関係を確立できず、次のエラー メッセージが表示されます。
        そのアカウントは、このワークステーションからのログインを許可されていません。
        既存のダウンレベルの信頼関係で、信頼される側のドメインのユーザーが認証されない場合もあります。一部のユーザーがドメインにログオンするときに問題が発生し、クライアントがドメインを検出できないことを示すエラー メッセージが表示されることがあります。
      • Windows XP:Windows NT 4.0 ドメインに参加している Windows XP クライアントがログオンするときに認証されず、次のエラー メッセージが表示されるか、次のイベントがイベント ログに記録されることがあります。
        ドメインに接続できません。ドメイン コントローラーがダウンしているか利用できない状態になっている、またはコンピューター アカウントが見つからなかったことが原因として考えられます。

        イベント 5723:コンピューター ComputerName からのセッション設定を認証できませんでした。セキュリティ データベースで参照されたアカウント名は ComputerName です。次のエラーが発生しました。アクセスが拒否されました。

        イベント 3227:ドメイン Domain Name の Windows NT または Windows 2000 のドメイン コントローラー Server Name のセットアップのセッションは失敗しました。Server Name はネットログオン セッションの署名、封印をサポートしていないためです。ドメイン コントローラーをアップグレードするか、このコンピューターの RequireSignOrSeal のレジストリのエントリを 0 に設定してください。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        318266? (http://support.microsoft.com/kb/318266/ ) Windows XP クライアントで Windows NT 4.0 ドメインにログオンできない
      • Microsoft ネットワーク:Microsoft ネットワーク クライアントで、次のエラー メッセージのいずれかが表示されます。
        ログオン失敗:ユーザー名を認識できないか、またはパスワードが間違っています。
        指定されたログオン セッションに対して、ユーザー セッション キーがありません。
  5. Microsoft ネットワーク クライアント:常に通信にデジタル署名を行う
    1. 背景

      サーバー メッセージ ブロック (SMB) は、マイクロソフト オペレーティング システムの多くでサポートされているリソース共有プロトコルで、ネットワーク基本入出力システム (NetBIOS) およびその他多くのプロトコルの基盤となっています。SMB 署名では、データをホストするサーバーとユーザーの両方が認証されます。どちらか一方で認証処理が失敗すると、データ転送は行われません。

      SMB 署名を有効にする処理は、SMB プロトコル ネゴシエーション中に開始されます。SMB 署名ポリシーにより、コンピューターでクライアント通信を常にデジタル署名するかどうかが決定されます。

      Windows 2000 の SMB 認証プロトコルは、相互認証をサポートしています。相互認証により、"man-in-the-middle" 攻撃を防止できます。Windows 2000 の SMB 認証プロトコルは、メッセージ認証もサポートしています。メッセージ認証は、アクティブ メッセージ攻撃の防止に役立ちます。SMB 署名では、それぞれの SMB にデジタル署名を設定することにより、この認証機能が提供されます。デジタル署名は、クライアントとサーバーのそれぞれで検証されます。

      SMB 署名を使用するには、SMB 署名を有効にするか、SMB クライアントと SMB サーバーの両方で SMB 署名を必須にする必要があります。サーバーで SMB 署名が有効になっている場合、同じく SMB 署名が有効になっているクライアントは、以後のすべてのセッションでパケット署名プロトコルを使用します。サーバーで SMB 署名が必須になっている場合、クライアントで SMB 署名を有効または必須にするまで、クライアントはセッションを確立できません。

      高度なセキュリティのネットワークにおいてデジタル署名を有効にすると、クライアントおよびサーバーの偽装防止に役立ちます。この種の偽装は、"セッション ハイジャック" と呼ばれます。クライアントまたはサーバーと同じネットワークにアクセス可能な攻撃者は、セッション ハイジャック ツールを使用して、通信が行われているセッションを中断または終了したり、盗聴したりします。攻撃者は、署名されていない SBM パケットを傍受して改ざんし、サーバーで望ましくない動作が実行されるようにトラフィックに変更を加えた後、転送する可能性があります。あるいは、正規の認証が完了したサーバーまたはクライアントを攻撃者が偽装して、無断でデータにアクセスする可能性があります。

      Windows 2000 Server、Windows 2000 Professional、Windows XP Professional、または Windows Server 2003 を実行しているコンピューターで、ファイル共有およびプリンター共有に使用される SMB プロトコルでは、相互認証がサポートされます。相互認証は、セッション ハイジャック攻撃を防止し、メッセージ認証をサポートします。そのため、man-in-the-middle 攻撃を防止できます。SMB 署名では、各 SMB にデジタル署名を設定することにより、この認証機能を利用できます。その署名はクライアントとサーバーの両方で検証されます。

      • すべてのネットワーク トラフィックの保護に役立つ別の対策として、IPSec でデジタル署名を有効にする方法もあります。IPSec 暗号化と署名用のハードウェアベースのアクセラレータを使用すると、サーバーの CPU におけるパフォーマンス上の影響を最小限に抑えることができます。SMB 署名に関しては、そのようなアクセラレータはありません。

        詳細については、マイクロソフトの MSDN Web サイトで「Digitally sign server communications」を参照してください。
        http://msdn.microsoft.com/ja-jp/library/ms814149.aspx (http://msdn.microsoft.com/ja-jp/library/ms814149.aspx)
        SMB 署名の構成はグループ ポリシー オブジェクト エディターを使用して行ってください。これは、優先されるドメイン ポリシーがある場合、ローカルのレジストリ値を変更しても効果がないためです。
      • Windows 95、Windows 98、および Windows 98 Second Edition で、ディレクトリ サービス クライアントは、Windows Server 2003 サーバーとの間で NTLM 認証を使用して認証を行う際に、SMB 署名を使用します。ただし、NTLMv2 認証を使用する場合には、SMB 署名を使用しません。また、Windows 2000 サーバーは、これらのクライアントからの SMB 署名要求には応答しません。「10.ネットワーク セキュリティ:LAN Manager 認証レベル」を参照してください。
    2. 危険な設定

      次の設定は、有害な設定です。"Microsoft ネットワーク クライアント:常に通信にデジタル署名を行う" 設定および "Microsoft ネットワーク クライアント:サーバーが同意すれば、通信にデジタル署名を行う" 設定の両方を "未定義" のままにしたり、無効にしたりする。これらの設定では、認証中にリダイレクターがテキスト形式のパスワードを、パスワード暗号化をサポートしないマイクロソフト以外の SMB サーバーに送信する可能性があります。
    3. この設定を有効にする理由

      "Microsoft ネットワーク クライアント:常に通信にデジタル署名を行う" を有効にすると、SMB 署名を要求しないサーバーと通信する際にも、クライアントによる SMB トラフィックへの署名が必要になるため、クライアントのセッション ハイジャック攻撃に対する脆弱性が低減されます。
    4. この設定を無効にする理由
      • "Microsoft ネットワーク クライアント:常に通信にデジタル署名を行う" を有効にすると、クライアントは SMB 署名をサポートしていないサーバーとは通信できなくなります。
      • 署名されていない SMB 通信をすべて無視するようにコンピューターを設定すると、古いプログラムおよびオペレーティング システムと接続できなくなります。
    5. シンボリック名:

      RequireSMBSignRdr
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. 互換性の問題の例
      • Windows NT 4.0:Windows Server 2003 ドメインと Windows NT 4.0 ドメインの間の信頼関係のセキュリティで保護されたチャネルを、NLTEST または NETDOM を使用してリセットできず、"アクセス拒否"のエラー メッセージが表示されます。
      • Windows XP:Windows XP クライアントから、Windows 2000 ベースのサーバーおよび Windows Server 2003 ベースのサーバーへのファイルのコピーに長時間かかる場合があります。
      • この設定が有効なクライアントからネットワーク ドライブを割り当てることができず、次のエラー メッセージが表示されます。
        そのアカウントは、このワークステーションからのログインを許可されていません。
    8. 再起動の必要性

      コンピューターを再起動します。または、ワークステーション サービスを再起動します。この操作を行うには、コマンド プロンプトで次のコマンドを入力します。1 つのコマンドを入力するたびに Enter キーを押します。
      net stop workstation
      net start workstation
  6. Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う
    1. 背景
      • サーバー メッセージ ブロック (SMB) は、マイクロソフト オペレーティング システムの多くでサポートされているリソース共有プロトコルで、ネットワーク基本入出力システム (NetBIOS) およびその他多くのプロトコルの基盤となっています。SMB 署名では、データをホストするサーバーとユーザーの両方が認証されます。どちらか一方で認証処理が失敗すると、データ転送は行われません。

        SMB 署名を有効にする処理は、SMB プロトコル ネゴシエーション中に開始されます。SMB 署名ポリシーにより、コンピューターでクライアント通信を常にデジタル署名するかどうかが決定されます。

        Windows 2000 の SMB 認証プロトコルは、相互認証をサポートしています。相互認証により、"man-in-the-middle" 攻撃を防止できます。Windows 2000 の SMB 認証プロトコルは、メッセージ認証もサポートしています。メッセージ認証は、アクティブ メッセージ攻撃の防止に役立ちます。SMB 署名では、それぞれの SMB にデジタル署名を設定することにより、この認証機能が提供されます。デジタル署名は、クライアントとサーバーのそれぞれで検証されます。

        SMB 署名を使用するには、SMB 署名を有効にするか、SMB クライアントと SMB サーバーの両方で SMB 署名を必須にする必要があります。サーバーで SMB 署名が有効になっている場合、同じく SMB 署名が有効になっているクライアントは、以後のすべてのセッションでパケット署名プロトコルを使用します。サーバーで SMB 署名が必須になっている場合、クライアントで SMB 署名を有効または必須にするまで、クライアントはセッションを確立できません。

        高度なセキュリティのネットワークにおいてデジタル署名を有効にすると、クライアントおよびサーバーの偽装防止に役立ちます。この種の偽装は、"セッション ハイジャック" と呼ばれます。クライアントまたはサーバーと同じネットワークにアクセス可能な攻撃者は、セッション ハイジャック ツールを使用して、通信が行われているセッションを中断または終了したり、盗聴したりします。攻撃者は、署名されていない SBM (Subnet Bandwidth Manager) パケットを傍受して改ざんし、サーバーで望ましくない動作が実行されるようにトラフィックに変更を加えた後、転送する可能性があります。あるいは、正規の認証が完了したサーバーまたはクライアントを攻撃者が偽装して、無断でデータにアクセスする可能性があります。

        Windows 2000 Server、Windows 2000 Professional、Windows XP Professional、または Windows Server 2003 を実行しているコンピューターで、ファイル共有およびプリンター共有に使用される SMB プロトコルでは、相互認証がサポートされます。相互認証は、セッション ハイジャック攻撃を防止し、メッセージ認証をサポートします。そのため、man-in-the-middle 攻撃を防止できます。SMB 署名では、各 SMB にデジタル署名を設定することにより、この認証機能を利用できます。その署名はクライアントとサーバーの両方で検証されます。
      • すべてのネットワーク トラフィックの保護に役立つ別の対策として、IPSec でデジタル署名を有効にする方法もあります。IPSec 暗号化と署名用のハードウェアベースのアクセラレータを使用すると、サーバーの CPU におけるパフォーマンス上の影響を最小限に抑えることができます。SMB 署名に関しては、そのようなアクセラレータはありません。
      • Windows 95、Windows 98、および Windows 98 Second Edition で、ディレクトリ サービス クライアントは、Windows Server 2003 サーバーとの間で NTLM 認証を使用して認証を行う際に、SMB 署名を使用します。ただし、NTLMv2 認証を使用する場合には、SMB 署名を使用しません。また、Windows 2000 サーバーは、これらのクライアントからの SMB 署名要求には応答しません。「10.ネットワーク セキュリティ:LAN Manager 認証レベル」を参照してください。
    2. 危険な設定

      次の設定は、有害な設定です。"Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う" 設定をローカル ドメイン内または外部ドメイン内の互換性のない Windows ベースおよびサードパーティ製オペレーティング システム ベースのクライアント コンピューターからアクセスされる、サーバーおよびドメイン コントローラー上で有効にする。
    3. この設定を有効にする理由
      • この設定をレジストリで直接有効にしているか、グループ ポリシー設定で有効にしているすべてのクライアント コンピューターで、SMB 署名がサポートされます。つまり、この設定が有効なすべてのクライアント コンピューターでは、Windows 95 (DS クライアントをインストール済み)、Windows 98、Windows NT 4.0、Windows 2000、Windows XP Professional、または Windows Server 2003 のいずれかが実行されています。
      • "Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う" が無効の場合、SMB 署名は完全に無効になります。すべての SMB 署名を完全に無効にすると、コンピューターのセッション ハイジャック攻撃に対する脆弱性が高くなります。
    4. この設定を無効にする理由
      • この設定を有効にすると、クライアント コンピューター上で、ファイル コピーの速度やネットワーク パフォーマンスが低下することがあります。
      • この設定を有効にすると、SMB 署名をネゴシエートできないクライアントが、サーバーおよびドメイン コントローラーと通信できなくなります。これが原因で、ドメインへの参加、ユーザーおよびコンピューターの認証、プログラムによるネットワーク アクセスなどの操作が失敗します。
    5. シンボリック名:

      RequireSMBSignServer
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. 互換性の問題の例
      • Windows 95:ディレクトリ サービス (DS) クライアントがインストールされていない Windows 95 クライアントが、ログオン認証に失敗し、次のエラー メッセージが表示されます。
        入力されたドメイン パスワードが正しくないか、またはログオン サーバーへのアクセスが拒否されました。
        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        811497? (http://support.microsoft.com/kb/811497/ ) Windows 95 または Windows NT 4.0 クライアントで Windows Server 2003 ドメインにログオンするとエラー メッセージが表示される
      • Windows NT 4.0:Service Pack 3 (SP3) より前のバージョンの Windows NT 4.0 を実行しているクライアント コンピューターが、ログオン認証に失敗し、次のエラー メッセージが表示されます。
        ログオンできませんでした。ユーザー名とドメイン名を確認して、再度パスワードを入力してください。
        マイクロソフト以外の一部の SMB サーバーは、認証中に暗号化されていないパスワード交換のみをサポートしています。(この交換は、"プレーン テキスト" 交換ともいいます。)Windows NT 4.0 SP3 以降、特定のレジストリ エントリを追加しない限り、SMB リダイレクターは認証中に暗号化されていないパスワードを送信しません。
        Windows NT 4.0 SP3 以降の SMB クライアントで暗号化されないパスワードを有効にするには、次のようにレジストリを変更します。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        値の名前: EnablePlainTextPassword
        データ型: REG_DWORD
        値のデータ: 1 1

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        224287? (http://support.microsoft.com/kb/224287/ ) エラー: ワークステーションからのログインを許可されていません
        166730? (http://support.microsoft.com/kb/166730/ ) 非暗号化パスワードで SP3 が SMB サーバーに接続失敗
      • Windows Server 2003:既定で、Windows Server 2003 を実行するドメイン コントローラー上のセキュリティ設定は、悪意のあるユーザーによるドメイン コントローラーの通信の傍受や改ざんを防止するように構成されています。Windows Server 2003 を実行するドメイン コントローラーとユーザーが正常に通信するには、クライアント コンピューターで SMB 署名と SMB 暗号化の両方、またはセキュリティ保護されたチャネルのトラフィックの署名を使用している必要があります。既定では、Service Pack 2 (SP2) 以前がインストールされている Windows NT 4.0 を実行するクライアント、および Windows 95 を実行するクライアントでは、SMB パケットの署名が有効になっていません。このため、これらのクライアントは Windows Server 2003 ベースのドメイン コントローラーで認証されない場合があります。
      • Windows 2000 および Windows Server 2003 のポリシー設定:使用しているインストール環境における要件や構成に応じて、Microsoft 管理コンソール (MMC) グループ ポリシー エディター スナップインの階層で、次のポリシー設定に、必要な範囲の中で最も低い項目を設定することをお勧めします。
        • コンピューターの構成\Windows の設定\セキュリティの設定\セキュリティ オプション
        • サードパーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する (Windows 2000 の設定)
        • Microsoft ネットワーク クライアント:サードパーティ製の SMB サーバーへのパスワードを、暗号化しないで送信する (Windows Server 2003 の設定)

        : 古いバージョンの Samba など、一部のサードパーティ CIFS サーバーでは、暗号化されたパスワードを使用できません。
      • 次のクライアントは、"Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う" 設定との互換性がありません。
        • Apple Computer, Inc. の Mac OS X クライアント
        • Microsoft MS-DOS ネットワーク クライアント (Microsoft LAN Manager など)
        • Microsoft Windows for Workgroups クライアント
        • DS クライアントがインストールされていない Microsoft Windows 95 クライアント
        • SP3 以降がインストールされていない Microsoft Windows NT 4.0 ベースのコンピューター
        • Novell Netware 6 CIFS クライアント
        • SMB 署名をサポートしていない SAMBA SMB クライアント
    8. 再起動の必要性

      コンピューターを再起動するか、サーバー サービスを再起動します。この操作を行うには、コマンド プロンプトで次のコマンドを入力します。1 つのコマンドを入力するたびに Enter キーを押します。
      net stop server
      net start server
  7. ネットワーク アクセス:匿名の SID と名前の変換を許可する
    1. 背景

      "ネットワーク アクセス:匿名の SID と名前の変換を許可する" セキュリティ設定では、匿名ユーザーが他のユーザーのセキュリティ識別番号 (SID) 属性を要求できるかどうかを指定します。
    2. 危険な設定

      "ネットワーク アクセス:匿名の SID と名前の変換を許可する" 設定を有効にするのは、有害な設定です。
    3. この設定を有効にする理由

      "ネットワーク アクセス:匿名の SID と名前の変換を許可する" 設定が無効な場合、以前のオペレーティング システムまたはアプリケーションが、Windows Server 2003 ドメインと通信できない場合があります。たとえば、次のオペレーティング システム、サービス、またはアプリケーションが機能しない可能性があります。
      • Windows NT 4.0 ベースのリモート アクセス サービス サーバー
      • Windows NT 3.x ベースまたは Windows NT 4.0 ベースのコンピューター上で実行されている Microsoft SQL Server
      • Windows NT 3.x ドメインまたは Windows NT 4.0 ドメイン内の Windows 2000 ベースのコンピューターで実行されているリモート アクセス サービス
      • Windows NT 3.x ドメインまたは Windows NT 4.0 ドメイン内の Windows 2000 ベースのコンピューターで実行されている SQL Server
      • Windows Server 2003 ドメイン コントローラーを含むアカウント ドメインのユーザー アカウントに対して、Windows NT 4.0 リソース ドメイン内のユーザーが、ファイル、共有フォルダー、およびレジストリ オブジェクトへのアクセス許可を付与する
    4. この設定を無効にする理由

      この設定が有効な場合、ビルトインの Administrator アカウントの名前が変更されている場合でも、悪意のあるユーザーが既知の Administrators SID を使用して、Administrator アカウントの実際の名前を取得する可能性があります。その後、取得したアカウント名を使用してパスワード推測攻撃を開始する可能性があります。
    5. シンボリック名:該当なし
    6. レジストリ パス:なし。パスは UI のコードで指定されます。
    7. 互換性の問題の例

      Windows NT 4.0:共有フォルダー、共有ファイル、およびレジストリ オブジェクトなどのリソースが、Windows Server 2003 ドメイン コントローラーを含むアカウント ドメイン内に存在するセキュリティ プリンシパルで保護されている場合、Windows NT 4.0 リソース ドメイン内のコンピューターで、ACL エディターに "不明なアカウント" エラー メッセージが表示されます。
  8. ネットワーク アクセス:SAM アカウントの匿名の列挙を許可しない
    1. 背景
      • "ネットワーク アクセス:SAM アカウントの匿名の列挙を許可しない" 設定では、コンピューターへの匿名接続に付与する追加のアクセス許可を指定します。Windows の匿名ユーザーは、ワークステーションおよびサーバーのセキュリティ アカウント マネージャー (SAM) アカウントの名前、およびネットワーク共有の名前の列挙など、特定の操作が許可されます。たとえば、管理者は、これを使用して相互信頼関係のない信頼される側のドメイン内のユーザーにアクセス許可を付与できます。一度セッションが生成されると、匿名ユーザーは Everyone グループと同じアクセス許可を持つことができます。この許可は "ネットワーク アクセス:Everyone のアクセス許可を匿名ユーザーに適用する" 設定、またはオブジェクトの随意アクセス制御リスト (DACL) の設定に基づいて Everyone グループに付与されます。

        通常、以前のバージョン (下位のクライアント) では SMB セッションのセットアップ中に匿名接続が要求されます。この場合、SMB のプロセス ID (PID) がクライアント リダイレクター (Windows 2000 では 0xFEFF、Windows NT では 0xCAFE) であることがネットワーク トレースに表示されます。RPC も匿名接続を作成することがあります。
      • 重要 この設定は、ドメイン コントローラーには影響を与えません。ドメイン コントローラーでは、この動作は "Pre-Windows 2000 compatible Access" に "NT AUTHORITY\ANONYMOUS LOGON" が存在するかどうかにより制御されます。
      • Windows 2000 では、同様の設定である "匿名接続の追加を制限する" により、レジストリ値
        RestrictAnonymous
        を管理します。この値の場所は次のとおりです。
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        レジストリ値 RestrictAnonymous の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        246261? (http://support.microsoft.com/kb/246261/ ) Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法
        143474? (http://support.microsoft.com/kb/143474/ ) 匿名ログオン ユーザーがアクセスできる情報の制限
    2. 危険な設定

      "ネットワーク アクセス:SAM アカウントの匿名の列挙を許可しない" 設定を有効にすることは、互換性の観点から見て有害です。また、この設定を無効にすることは、セキュリティの観点から見て有害です。
    3. この設定を有効にする理由

      認証されていないユーザーが、アカウント名の一覧を匿名で表示し、その情報を使用してパスワードを推測したり、ソーシャル エンジニアリング攻撃を実行したりする可能性があります。ソーシャル エンジニアリングとは、ユーザーを騙して、パスワードやなんらかのセキュリティ情報を聞き出すことを意味する専門用語です。
    4. この設定を無効にする理由

      この設定が有効な場合、Windows NT 4.0 ドメインとの信頼関係を確立することはできません。また、この設定が原因で、Windows NT 3.51 クライアントや Windows 95 クライアントなど、サーバー上のリソースを使用する下位クライアントとの問題も発生します。
    5. シンボリック名:RestrictAnonymousSAM
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. 互換性の問題の例
    • SMS のネットワーク探索で、オペレーティング システムの情報を取得できず、"オペレーティング システム名とバージョン" プロパティに "不明" が書き込まれます。
    • Windows 95、Windows 98:Windows 95 クライアントおよび Windows 98 クライアントでは、パスワードを変更できなくなります。
    • Windows NT 4.0:Windows NT 4.0 ベースのメンバー コンピューターが認証されなくなります。
    • Windows 95、Windows 98:Windows 95 ベースおよび Windows 98 ベースのコンピューターが、マイクロソフトのドメイン コントローラーにより認証されなくなります。
    • Windows 95、Windows 98:Windows 95 ベースおよび Windows 98 ベースのコンピューターのユーザーが、自分自身のユーザー アカウントのパスワードを変更できなくなります。
  9. ネットワーク アクセス:SAM アカウントおよび共有の匿名の列挙を許可しない
    1. 背景
      • "ネットワーク アクセス:SAM アカウントおよび共有の匿名の列挙を許可しない" 設定 (RestrictAnonymous) では、セキュリティ アカウント マネージャー (SAM) アカウントおよび共有の匿名での列挙を許可するかどうかを指定します。Windows の匿名ユーザーは、ドメイン アカウント (ユーザー、コンピューター、およびグループ) やネットワーク共有の名前の列挙など、特定の操作が許可されます。これは、たとえば管理者が、相互信頼関係のない信頼される側のドメイン内のユーザーにアクセス許可を付与するのに便利です。SAM アカウントおよび共有の匿名での列挙を許可しない場合は、この設定を有効にします。
      • Windows 2000 では、同様の設定である "匿名接続の追加を制限する" により、レジストリ値
        RestrictAnonymous
        を管理します。この値の場所は次のとおりです。
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. 危険な設定

      "ネットワーク アクセス:SAM アカウントおよび共有の匿名の列挙を許可しない" 設定を有効にするのは、有害な設定です。
    3. この設定を有効にする理由
      • "ネットワーク アクセス:SAM アカウントおよび共有の匿名の列挙を許可しない" 設定を有効にすると、匿名アカウントを使用しているユーザーおよびコンピューターから、SAM アカウントおよび共有の列挙を禁止できます。
    4. この設定を無効にする理由
      • この設定が有効な場合、認証されていないユーザーが、アカウント名の一覧を匿名で表示し、その情報を使用してパスワードを推測したり、ソーシャル エンジニアリング攻撃を実行したりする可能性があります。ソーシャル エンジニアリングとは、ユーザーを騙して、パスワードやなんらかのセキュリティ情報を聞き出すことを意味する専門用語です。
      • この設定が有効な場合、Windows NT 4.0 ドメインとの信頼関係を確立することはできません。また、この設定が原因で、Windows NT 3.51 クライアントや Windows 95 クライアントなど、サーバー上のリソースを使用する下位クライアントとの問題も発生します。
      • 信頼する側のドメイン内の管理者が、他のドメイン内のアカウントの一覧を列挙できなくなるため、リソース ドメインのユーザーにアクセス許可を付与できなくなります。ファイルおよびプリント サーバーに匿名でアクセスするユーザーは、それらのサーバー上の共有ネットワーク リソースの一覧を表示できなくなります。ユーザーが共有フォルダーおよびプリンターの一覧を表示するには、認証が必要になります。
    5. シンボリック名:

      RestrictAnonymous
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. 互換性の問題の例
      • Windows NT 4.0:RestrictAnonymous がユーザーのドメインのドメイン コントローラーで有効な場合、ユーザーは Windows NT 4.0 ワークステーションからパスワードを変更できなくなります。 関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        198941? (http://support.microsoft.com/kb/198941/ ) ユーザーがログオン時にパスワードを変更できない
      • Windows NT 4.0:ユーザー マネージャーで、信頼される側の Windows 2000 ドメインのユーザーまたはグローバル グループを Windows NT 4.0 ローカル グループに追加できず、次のエラー メッセージが表示されます。
        現在ログオン要求をサービスするログオン サーバーがありません。
        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        296405? (http://support.microsoft.com/kb/296405/ ) レジストリ値 RestrictAnonymous により、Windows 2000 ドメインへの信頼関係が解除されることがある
      • Windows NT 4.0:Windows NT 4.0 ベースのコンピューターが、セットアップ時、またはドメイン参加ユーザー インターフェイスを使用して、ドメインに参加できなくなります。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        184538? (http://support.microsoft.com/kb/184538/ ) エラー メッセージ : このドメインのコントローラが見つかりません
      • Windows NT 4.0:Windows NT 4.0:信頼される側のドメインで RestrictAnonymous が有効な場合、Windows NT 4.0 リソース ドメインとダウンレベルの信頼を確立できず、次のエラー メッセージが表示されます。
        このドメインに対するドメイン コントローラーが見つかりませんでした。
        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        178640? (http://support.microsoft.com/kb/178640/ ) [NT] ドメインの信頼関係を確立できない
      • Windows NT 4.0:Windows NT 4.0 ベースのターミナル サーバー コンピューターにログオンするユーザーに、ドメインのユーザー マネージャーで定義されているホーム ディレクトリではなく、既定のホーム ディレクトリが割り当てられます。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        236185? (http://support.microsoft.com/kb/236185/ ) Windows NT 4.0 TSE のユーザー プロファイルおよびホーム ディレクトリ パスが変更される
      • Windows NT 4.0:Windows NT 4.0 バックアップ ドメイン コントローラー (BDC) が、Net Logon サービスを開始できず、バックアップ ブラウザーの一覧の取得や、同じドメインの Windows 2000 または Windows Server 2003 ドメイン コントローラーからの SAM データベースの同期を行えません。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        293127? (http://support.microsoft.com/kb/293127/ ) Windows NT 4.0 BDC の Net Logon サービスが Windows 2000 ドメインで機能しない
      • Windows 2000:"明示的な匿名アクセス権がない場合アクセスを許可しない" 設定が、クライアント コンピューターのローカル セキュリティ ポリシーで有効な場合、Windows NT 4.0 ドメイン内の Windows 2000 ベースのメンバー コンピューターが外部ドメインのプリンターを参照できなくなります。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        280329? (http://support.microsoft.com/kb/280329/ ) ユーザーがプリンターのプロパティの管理および参照を行うことができない
      • Windows 2000:Windows 2000 ドメイン ユーザーが Active Directory からネットワーク プリンターを追加できなくなります。ただし、ツリー ビューからプリンターを選択すると追加できます。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        318866? (http://support.microsoft.com/kb/318866/ ) グローバル カタログ サーバーにセキュリティ ロールアップ パッケージ 1 (SRP1) をインストールすると、Outlook クライアントでグローバル アドレス一覧を表示できなくなる
      • Windows 2000:Windows 2000 ベースのコンピューターで、ACL エディターを使用して、信頼される側の Windows NT 4.0 ドメインのユーザーまたはグローバル グループを追加できなくなります。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        296403? (http://support.microsoft.com/kb/296403/ ) RestrictAnonymous 値により、混在ドメイン環境で信頼関係が解除される
      • ADMT version 2:Active Directory 移行ツール (ADMT) version 2 の使用時に、フォレスト間で移行するユーザー アカウントのパスワード移行が失敗します。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        322981? (http://support.microsoft.com/kb/322981/ ) ADMTv2 を使用してフォレスト間のパスワード移行のトラブルシューティングを行う方法
      • Outlook クライアント:Microsoft Exchange の Outlook クライアントで、グローバル アドレス一覧に何も表示されません。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        318866? (http://support.microsoft.com/kb/318866/ ) グローバル カタログ サーバーにセキュリティ ロールアップ パッケージ 1 (SRP1) をインストールすると、Outlook クライアントでグローバル アドレス一覧を表示できなくなる
        321169? (http://support.microsoft.com/kb/321169/ ) Windows XP から Windows 2000 のドメイン コントローラにファイルをコピーするときに SMB のパフォーマンスが低下する
      • SMS:Microsoft Systems Management Server (SMS) のネットワーク探索で、オペレーティング システムの情報を取得できなくなります。このため、探索データ レコード (DDR) の SMS DDR プロパティの "オペレーティング システム名とバージョン" プロパティに "不明" が書き込まれます。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        229769? (http://support.microsoft.com/kb/229769/ ) [SMS] データ探索マネージャがクライアント構成要求(CCR)を生成する条件
      • SMS:SMS 管理のユーザー ウィザードを使用してユーザーおよびグループを参照する際に、ユーザーもグループも表示されません。また、アドバンスト クライアントが管理ポイントと通信できません。管理ポイントでは、匿名アクセスが必要です。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        302413? (http://support.microsoft.com/kb/302413/ ) SMS 管理のユーザー ウィザードにユーザーもグループも表示されない
      • SMS:SMS 2.0 のネットワーク探索機能を使用し、リモート クライアント インストールでネットワーク探索オプション [トポロジ、クライアント、およびクライアントのオペレーティング システム] を有効にしている場合、コンピューターの探索は行われますが、コンピューターのインストールが行われないことがあります。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        311257? (http://support.microsoft.com/kb/311257/ ) 匿名接続が無効な場合にリソースが探索されない
  10. ネットワーク セキュリティ:LAN Manager 認証レベル
    1. 背景

      LAN Manager (LM) 認証は、ドメイン参加、ネットワーク リソースへのアクセス、およびユーザーやコンピューターの認証など、ネットワーク操作に関する Windows クライアントの認証に使用されるプロトコルです。LM 認証レベルにより、クライアント コンピューターとサーバー コンピューター間でネゴシエートするチャレンジ/レスポンス認証プロトコルが決定されます。具体的には、LM 認証レベルにより、クライアントがネゴシエートし、サーバーが受け入れる認証プロトコルが決定されます。LmCompatibilityLevel に設定される値によって、ネットワーク ログオンに使用されるチャレンジ/レスポンス認証プロトコルが決定されます。この値は、以下の表のように、クライアントで使用する認証プロトコルのレベル、ネゴシエートされるセッション セキュリティのレベル、およびサーバーによって受け入れられる認証レベルに影響します。

      可能な設定としては次のようなものがあります。
      元に戻す全体を表示する
      設定説明
      0 LM と NTLM 応答を送信するクライアントは、LM および NTLM 認証を使用し、NTLMv2 セッション セキュリティを使用しません。ドメイン コントローラーは LM、NTLM、および NTLMv2 認証を受け入れます。
      1LM と NTLM を送信する - ネゴシエーションの場合、NTLMv2 セッション セキュリティを使うクライアントは、LM および NTLM 認証を使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、および NTLMv2 認証を受け入れます。
      2NTLM 応答のみ送信するクライアントは、NTLM 認証のみを使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、および NTLMv2 認証を受け入れます。
      3NTLMv2 応答のみ送信するクライアントは、NTLMv2 認証のみを使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、および NTLMv2 認証を受け入れます。
      4NTLMv2 応答のみ送信 (LM を拒否する)クライアントは、NTLMv2 認証のみを使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、および NTLMv2 認証を拒否します。
      5NTLMv2 応答のみ送信 (LM と NTLM を拒否する)クライアントは、NTLMv2 認証のみを使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM と NTLM を拒否します (NTLMv2 認証のみを受け入れます)。
      注: Windows 95、Windows 98、および Windows 98 Second Edition で、ディレクトリ サービス クライアントは、Windows Server 2003 サーバーとの間で NTLM 認証を使用して認証を行う際に、SMB 署名を使用します。ただし、NTLMv2 認証を使用する場合には、SMB 署名を使用しません。また、Windows 2000 サーバーは、これらのクライアントからの SMB 署名要求には応答しません。

      LM 認証レベルを確認する

      サーバーのポリシーを変更して NTLM を許可するか、クライアント コンピューターが NTLMv2 をサポートするように構成する必要があります。

      接続先のコンピューターでポリシーが、(5) [NTLMv2 応答のみ送信 (LM と NTLM を拒否する)] に設定されている場合、そのコンピューターの設定を低くするか、セキュリティを接続元のコンピューターと同じ設定にする必要があります。

      クライアントとサーバーを同じ LAN Manager 認証レベルに変更できる適切な値を見つけます。以前のバージョンの Windows を実行しているコンピューターに接続する場合、または以前のバージョンの Windows を実行しているコンピューターから接続する場合、LAN Manager 認証レベルを設定しているポリシーを確認した後に、値を少なくとも "1 (LM と NTLM を送信する - ネゴシエーションの場合、NTLMv2 セッション セキュリティを使う)" に下げます。互換性のない設定の影響を 1 つ挙げます。サーバーでは NTLMv2 (値 5) が要求されるにもかかわらず、クライアントが LM および NTLMv1 のみ (値 0 (ゼロ)) を使用するように構成されている場合、認証を受けようとするユーザーはログオンに失敗します。この失敗により、パスワードが無効であると判断され、無効なパスワードのカウントが増加します。アカウントのロックアウトが構成されていると、最終的にユーザーがロックアウトされる場合があります。

      たとえば、ドメイン コントローラー、またはドメイン コントローラーのポリシーを確認することが必要な場合があります。

      ドメイン コントローラーを確認する
      : 以下の手順をすべてのドメイン コントローラーで実行することが必要な場合があります。
      1. [スタート] ボタンをクリックし、[プログラム] をポイントし、[管理ツール] をポイントします。
      2. [ローカル セキュリティ設定] の [ローカル ポリシー] を展開します。
      3. [セキュリティ オプション] をクリックします。
      4. [ネットワーク セキュリティ:LAN Manager 認証レベル] をダブルクリックし、一覧で適切な値をクリックします。
      有効な設定とローカルの設定が同じである場合、ポリシーはこのレベルで変更されています。設定が異なる場合、そのドメイン コントローラーのポリシーを確認して、そこで "ネットワーク セキュリティ:LAN Manager 認証レベル" 設定が定義されているかどうかを確認します。そこで設定されていない場合、他のドメイン コントローラーのポリシーを確認します。

      ドメイン コントローラーのポリシーを確認する
      1. [スタート] ボタンをクリックし、[プログラム] をポイントし、[管理ツール] をポイントします。
      2. [ドメイン コントローラー セキュリティ ポリシー] で、[セキュリティの設定]、[ローカル ポリシー] を順に展開します。
      3. [セキュリティ オプション] をクリックします。
      4. [ネットワーク セキュリティ:LAN Manager 認証レベル] をダブルクリックし、一覧で適切な値をクリックします。
      • LAN Manager 認証レベルを構成する場所を決定するために、サイト レベル、ドメイン レベル、および組織単位 (OU) レベルでリンクされているポリシーを確認することが必要な場合もあります。
      • グループ ポリシーの設定を既定のドメイン ポリシーとして実装している場合、そのポリシーは、そのドメイン内のすべてのコンピューターに適用されます。
      • グループ ポリシーの設定を既定のドメイン コントローラーのポリシーとして実装している場合、そのポリシーは、そのドメイン コントローラーの OU 内のサーバーにのみ適用されます。
      • LAN Manager 認証レベルは、ポリシー アプリケーションの階層内で必要なスコープの最も低いエンティティで設定することをお勧めします。
      変更を行った後は、ポリシーを更新します。(変更がローカルのセキュリティ設定のレベルで行われた場合、変更は直ちに反映されます。ただし、テストの前に、クライアントを再起動する必要があります。)

      既定では、グループ ポリシーの設定は、ドメイン コントローラーで 5 分ごとに更新されます。Windows 2000 以降で、ポリシー設定の更新を強制的に直ちに実行する場合、gpupdate コマンドを使用します。

      gpupdate /force コマンドを実行すると、ローカル グループ ポリシー設定、およびセキュリティ設定など Active Directory ディレクトリ サービスに基づくグループ ポリシー設定が更新されます。このコマンドは、現在では使用されなくなった、secedit コマンドの /refreshpolicy オプションを置き換えるものです

      gpupdate コマンドでは、次の構文が使用されます。
      gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot]

      gpupdate コマンドを使用して新しいグループ ポリシー オブジェクト (GPO) を適用し、すべてのグループ ポリシーの設定を手動で再適用します。これを実行するには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
      GPUpdate /Force
      アプリケーション イベント ログを確認し、ポリシー設定が正常に適用されたことを確認します。

      Windows XP および Windows Server 2003 では、ポリシーの結果セット スナップインを使用して、有効な設定を確認できます。これを行うには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「rsop.msc」と入力し、[OK] をクリックします。

      ポリシーに変更を加えた後も、引き続き問題が発生する場合は、Windows ベースのサーバーを再起動してから、問題が解決したかどうかを確認します。

      : 複数の Windows 2000 ベースのドメイン コントローラー、Windows Server 2003 ベースのドメイン コントローラー、またはその両方を使用している場合、これらのドメイン コントローラーで変更が直ちに更新されるように、Active Directory のレプリケートが必要な場合があります。

      または、この設定が、ローカル セキュリティ ポリシーの最も低い設定に設定されているように見えることがあります。セキュリティ データベースで設定を適用できる場合、以下のレジストリ サブキーの LmCompatibilityLevel エントリをレジストリで変更することにより、LAN Manager 認証レベルをレジストリで設定することもできます。
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
      Windows Server 2003 には、NTLMv2 のみを使用する新しい既定の設定が用意されています。Windows Server 2003 および Windows 2000 Server SP3 ベースのドメイン コントローラーでは、既定で、"Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う" ポリシーが有効になっています。この設定では、SMB パケット署名を実行するための SMB サーバーが必要です。 すべての組織内のドメイン コントローラー、ファイル サーバー、ネットワーク インフラストラクチャ サーバー、および Web サーバーでは、セキュリティを最大限にするために異なる設定が必要であるため、Windows Server 2003 では変更が加えられています。

      ネットワークで NTLMv2 認証を実装する場合、ドメイン内のすべてのコンピューターが、この認証レベルを使用するように設定されていることを確認する必要があります。Windows 95 または Windows 98 および Windows NT 4.0 用の Active Directory クライアント エクステンションを適用する場合、NTLMv2 で使用できる強化された認証機能がクライアント エクステンションで使用されます。 次のいずれかのオペレーティング システムを実行しているクライアント コンピューターは、Windows 2000 グループ ポリシー オブジェクトが適用されないため、これらのコンピューターは手動で構成する必要があります。
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition (Me)
      • Microsoft Windows 98
      • Microsoft Windows 95
      注: "ネットワーク セキュリティ:次のパスワードの変更で LAN Manager のハッシュの値を保存しない" ポリシーを有効にするか、NoLMHash レジストリ キーを設定する場合、ディレクトリ サービス クライアントがインストールされていない Windows 95 ベースおよび Windows 98 ベースのクライアントは、パスワードの変更後、ドメインにログオンできなくなります。

      Novell Netware 6 など、多くのサードパーティ製の CIFS サーバーでは、NTLMv2 に対応しておらず、NTLM のみが使用されます。そのため、2 より上のレベルでは、接続が許可されません。

      LAN Manager 認証レベルを手動で構成する方法の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
      147706? (http://support.microsoft.com/kb/147706/ ) Windows NT 上の LM 認証を無効にする方法
      175641? (http://support.microsoft.com/kb/175641/ ) LMCompatibilityLevel とその効果
      299656? (http://support.microsoft.com/kb/299656/ ) Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法
      312630? (http://support.microsoft.com/kb/312630/ ) Outlook がログオン資格情報の入力を求め続ける
      LM 認証レベルの関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
      239869? (http://support.microsoft.com/kb/239869/ ) NTLM 2 認証を有効にする方法
    2. 危険な設定

      次の設定は、有害な設定です。
      • パスワードをクリア テキストで送信し、NTLMv2 ネゴシエーションを拒否する、制限のない設定。
      • 互換性のないクライアントまたはドメイン コントローラーが共通の認証プロトコルでネゴシエートできない、制限のある設定。
      • Service Pack 4 (SP4) より前のバージョンの Windows NT 4.0 を実行しているメンバー コンピューター上およびドメイン コントローラー上の NTLMv2 認証を必須とする設定。
      • Windows ディレクトリ サービス クライアントがインストールされていない Windows 95 クライアントまたは Windows 98 クライアントで NTLMv2 認証を必須とする設定。
      • Windows Server 2003 または Windows 2000 Service Pack 3 ベースのコンピューターで、Microsoft 管理コンソールのグループ ポリシー エディター スナップインで、[NTLMv2 セッション セキュリティが必要] チェック ボックスをオンにし、LAN Manager 認証レベルを 0 (ゼロ) に下げると、2 つの設定が競合状態になり、Secpol.msc ファイルまたは GPEdit.msc ファイルに、次のエラー メッセージが出力されることがあります。
        ローカル ポリシー データベースを開けません。データベースを開こうとしたときに不明なエラーが発生しました。
        セキュリティの構成と分析ツールの詳細については、Windows 2000 または Windows Server 2003 ヘルプ ファイルを参照してください。

        Windows 2000 および Windows Server 2003 でセキュリティ レベルを分析する方法の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        313203? (http://support.microsoft.com/kb/313203/ ) Windows 2000 でシステム セキュリティを分析する方法
        816580? (http://support.microsoft.com/kb/816580/ ) Windows Server 2003 でシステム セキュリティを分析する方法
    3. この設定を変更する理由
      • 組織内のクライアントおよびドメイン コントローラーによりサポートされる共通の認証プロトコルの最低レベルを上げることができます。
      • 業務上、セキュリティで保護された認証が必要な場合、LM および NTLM プロトコルのネゴシエーションを禁止できます。
    4. この設定を無効にする理由

      クライアント、サーバー、またはそれらの両方の認証要件が、共通のプロトコルを使用して認証できないレベルまで引き上げられています。
    5. シンボリック名:

      LmCompatibilityLevel
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. 互換性の問題の例
      • Windows Server 2003:既定では、Windows Server 2003 の [LM と NTLM 応答を送信する] 設定が有効になっています。そのため、最初のインストール後、Windows NT 4.0 ベースのクラスター、または OS/2 Lanserver などの、LanManager V2.1 ベースのサーバーに接続するときに、Windows Server 2003 で "アクセス拒否" のエラー メッセージが表示されることがあります。この問題は、以前のバージョンのクライアントから Windows Server 2003 ベースのサーバーに接続する場合にも発生します。
      • Windows 2000 用のセキュリティ ロールアップ パッケージ 1 (SRP1) をインストールする場合。SRP1 では、NTLM version 2 (NTLMv2) が強制的に使用されます。このロールアップ パッケージは、Windows 2000 Service Pack 2 (SP2) のリリース後にリリースされました。SRP1 の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。

        311401 ? (http://support.microsoft.com/kb/311401/ ) Windows 2000 用のセキュリティ ロールアップ パッケージ 1 (SRP1), 2002 年 1月
      • Microsoft Outlook クライアントがドメインに既にログオンしている場合でも、資格情報を要求される場合があります。ユーザーが資格情報を入力すると、次のエラー メッセージが表示されます。
        指定したログオン情報が正しくありません。ユーザー名とドメイン名を確認して、再度パスワードを入力してください。
        ログオン ネットワーク セキュリティ設定が、Passthrough または Password Authentication に設定されていても、Outlook を起動するときに資格情報を要求されることがあります。適切な資格情報を入力後、次のエラー メッセージが表示されることがあります。
        指定したログオン情報が正しくありません。
        ネットワーク モニター トレースを確認すると、グローバル カタログから、状態が 0x5 のリモート プロシージャ コール (RPC) 違反が発行されている場合があります。状態 0x5 は、"アクセス拒否" を示します。
      • Windows 2000:ネットワーク モニターでキャプチャすると、NetBIOS over TCP/IP (NetBT) のサーバー メッセージ ブロック (SMB) セッションで、次のエラーが発生している場合があります。
        SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier
      • Windows 2000:NTLMv2 レベル 2 以上を使用する Windows 2000 ドメインが Windows NT 4.0 ドメインによって信頼されている場合、リソース ドメインにある Windows 2000 ベースのメンバー コンピューターで認証エラーが発生することがあります。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        305379? (http://support.microsoft.com/kb/305379/ ) Windows NT 4.0 のドメインで NTLM 2 のレベル 2 より上を使用する Windows 2000 の認証問題
      • Windows 2000 および Windows XP:Windows 2000 および Windows XP では既定で、LAN Manager 認証レベルのローカル セキュリティ ポリシー オプションが 0 (ゼロ) に設定されます。0 という設定は、"LM と NTLM 応答を送信する" を意味します。

        : Windows NT 4.0 ベースのクラスターでは、管理に LM を使用する必要があります。
      • Windows 2000:Windows 2000 クラスターの両方のノードが Windows NT 4.0 Service Pack 6a (SP6a) ドメインに含まれている場合、参加しているノードが認証されません。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        305379? (http://support.microsoft.com/kb/305379/ ) Windows NT 4.0 のドメインで NTLM 2 のレベル 2 より上を使用する Windows 2000 の認証問題
      • IIS Lockdown ツール (HiSecWeb) を実行すると、LMCompatibilityLevel 値が 5 に、RestrictAnonymous 値が 2 に設定されます。
      • Services for Macintosh

        User Authentication Module (UAM):Microsoft UAM (User Authentication Module) は、Windows AFP (AppleTalk Filing Protocol) サーバーにログオンする際に使用するパスワードを暗号化する手段を提供します。Apple UAM では、最低限の暗号化のみが提供されるか、暗号化はまったく提供されません。そのため、LAN またはインターネットでパスワードが簡単に読み取られる可能性があります。UAM は必須ではありませんが、UAM を使用すると、Services For Macintosh を実行する Windows 2000 Server での認証が暗号化されます。このバージョンには、NTLMv2 128 ビット暗号化認証のサポートおよび MacOS X 10.1 対応のリリースが含まれています。

        Windows Server 2003 Services for Macintosh サーバーで許可されるのは、既定では、Microsoft 認証のみです。

        関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
        834498? (http://support.microsoft.com/kb/834498/ ) Macintosh クライアントから Windows Server 2003 上の Services for Mac に接続できない
        838331? (http://support.microsoft.com/kb/838331/ ) Mac OS X ユーザーが Windows Server 2003 ベースのサーバー上の Macintosh 共有フォルダーを開くことができない
      • Windows Server 2008、Windows Server 2003、Windows XP、および Windows 2000:LMCompatibilityLevel 値を 0 または 1 に構成し、NoLMHash 値を 1 に構成すると、アプリケーションとコンポーネントが NTLM でのアクセスを拒否される場合があります。この問題が発生するのは、LM を有効にするが、LM で保存されるパスワードを使用しないように、コンピューターが構成されているためです。

        NoLMHash 値を 1 に構成する場合は、LMCompatibilityLevel 値を 2 以上に構成する必要があります。
  11. ネットワーク セキュリティ:必須の署名をしている LDAP クライアント
    1. 背景

      "ネットワーク セキュリティ:必須の署名をしている LDAP クライアント" 設定では、LDAP (Lightweight Directory Access Protocol) BIND 要求を発行するクライアントに代わって要求するデータ署名のレベルを指定します。
      • なし:LDAP BIND 要求は、呼び出し元が指定したオプションを使用して発行されます。
      • ネゴシエーション署名:SSL/TLS (Secure Sockets Layer/Transport Layer Security) が開始されていない場合、LDAP BIND 要求は呼び出し元が指定したオプションに加えて LDAP データ署名オプションを使用して初期化されます。SSL/TLS が開始されている場合、LDAP BIND 要求は、呼び出し元が指定したオプションを使用して初期化されます。
      • 署名必須:これは、"ネゴシエーション署名" と同じです。ただし、LDAP サーバーの中間 saslBindInProgress 応答で、LDAP トラフィック署名が必須であると指定されていない場合、呼び出し元に LDAP BIND コマンド要求の失敗が通知されます。
    2. 危険な設定

      "ネットワーク セキュリティ:必須の署名をしている LDAP クライアント" 設定を有効にするのは、有害な設定です。サーバーが LDAP 署名を要求するように設定した場合は、クライアントでも LDAP 署名を設定する必要があります。クライアントが LDAP 署名を使用するように設定されていない場合、サーバーとの通信ができず、ユーザー認証、グループ ポリシーの設定、ログオン スクリプト、および他の機能が正常に実行されません。
    3. この設定を変更する理由

      署名されていないネットワーク トラフィックは、侵入者がクライアントとサーバーの間のパケットを盗聴して、パケットを改ざんした後、サーバーに転送する man-in-the-middle 攻撃に悪用される危険性があります。この攻撃が LDAP サーバーに対して行われた場合、攻撃者によってサーバーが LDAP クライアントからの偽のクエリに基づく判断を行う可能性があります。ネットワーク インフラストラクチャの保護に役立つ強力な物理的セキュリティ対策を実施することにより、企業ネットワークでこのリスクを減らすことができます。さらに、IPSec 認証ヘッダーを使用してすべてのネットワーク パケットにデジタル署名を要求することにより、すべての種類の man-in-the-middle 攻撃をきわめて困難にすることが可能です。
    4. シンボリック名:

      LDAPClientIntegrity
    5. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. イベント ログ:セキュリティ ログの最大サイズ
    1. 背景

      "イベント ログ:セキュリティ ログの最大サイズ" セキュリティ設定では、セキュリティ イベント ログの最大サイズを指定します。このログの最大サイズは 4 GB です。この設定を見つけるには、[Windows の設定] を展開し、[セキュリティの設定] を展開します。
    2. 危険な設定

      次の設定は、有害な設定です。
      • "監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" 設定が有効な状態で、セキュリティ ログのサイズおよびセキュリティ ログの保存方法を制限する。詳細については、この資料の「監査:セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする」を参照してください。
      • セキュリティ ログのサイズを制限して、有用なセキュリティ イベントが上書きされるようにする。
    3. この設定の値を大きくする理由

      業務上およびセキュリティ上の要件により、セキュリティ ログを詳細にするため、セキュリティ ログのサイズを大きくしたり、セキュリティ ログをより長期間保存したりすることが必要な場合があります。
    4. この設定の値を小さくする理由

      イベント ビューアーのログは、メモリ マップ ファイルです。イベント ログの最大サイズは、ローカル コンピューターの物理メモリの容量とイベント ログ プロセスで使用可能な仮想メモリによる制約を受けます。イベント ビューアーで使用可能な仮想メモリ容量より大きいログ サイズを指定しても、保持されるログ エントリの数は増加しません。
    5. 互換性の問題の例

      Windows 2000:Service Pack 4 (SP4) より前のバージョンの Windows 2000 を実行しているコンピューターでは、[イベントを上書きしない (手動でログを消去)] オプションが有効な場合、イベント ビューアーの [最大ログ サイズ] 設定で指定されているサイズに達する前に、イベント ログへの記録が停止することがあります。

      関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
      312571? (http://support.microsoft.com/kb/312571/ ) イベント ログが最大ログ サイズに達する前に、イベントの出力が停止する
  13. イベント ログ:セキュリティ ログの保存方法
    1. 背景

      "イベント ログ:セキュリティ ログの保存方法" セキュリティ設定では、セキュリティ ログの "保存" 方法を指定します。この設定を見つけるには、[Windows の設定] を展開し、[セキュリティの設定] を展開します。
    2. 危険な設定

      次の設定は、有害な設定です。
      • 記録されたセキュリティ イベントの保存に失敗して、一部が上書きされる。
      • "セキュリティ ログの最大サイズ" 設定を非常に小さな値に設定して、セキュリティ イベントが上書きされるようにする。
      • "監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" 設定が有効な状態で、セキュリティ ログのサイズおよび保存方法を制限する
    3. この設定を有効にする理由

      この設定は、保存方法に [指定した日数を過ぎたら上書きする] を選択する場合にのみ有効にします。イベントをポーリングするイベント相関処理システムを使用する場合は、日数がポーリング周期の 3 倍以上になるようにしてください。それにより、ポーリング サイクルの障害に対応できます。
  14. ネットワーク アクセス:Everyone のアクセス許可を匿名ユーザーに適用する
    1. 背景

      既定では、"ネットワーク アクセス:Everyone のアクセス許可を匿名ユーザーに適用する" は、Windows Server 2003 では "無効" に設定されています。既定では、Windows Server 2003 では、匿名アクセス トークンは Everyone グループに含まれていません。
    2. 互換性の問題の例

      次の値を例に取って、説明します。
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      Windows Server 2003 ドメインがアカウント ドメインであり、Windows NT 4.0 ドメインがリソース ドメインの場合、[REG_DWORD]=0x0 を使用すると、Windows Server 2003 と Windows NT 4.0 の間で、信頼の作成が失敗します。これは、アカウント ドメインが Windows NT 4.0 では信頼される側であり、リソース ドメインが Windows Server 2003 では信頼する側であることを意味します。この現象は、最初の匿名接続の後に信頼を開始するプロセスが、Windows NT 4.0 の匿名 SID を含む Everyone トークンで、アクセス制御リストに追加されているために発生します。
    3. この設定を変更する理由

      信頼の作成を可能にするには、値を 0x1 に設定するか、ドメイン コントローラーの組織単位 (OU) の GPO を使用して、"ネットワーク アクセス:Everyone のアクセス許可を匿名ユーザーに適用する" を "有効" に設定する必要があります。

      注: ほとんどのセキュリティ設定では、セキュリティの状態が強化されるにつれ、値は 0x0 に下がるのではなく、上がります。セキュリティをさらに強化する必要がある場合は、すべてのドメイン コントローラー上ではなく、プライマリ ドメイン コントローラー エミュレーターでレジストリを変更します。プライマリ ドメイン コントローラー エミュレーターのロールをなんらかの理由により移動する場合、新しいサーバー上で、レジストリを更新する必要があります。

      この値を変更した後は、再起動が必要です。
    4. レジストリ パス
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2 認証

    セッション セキュリティ

    セッション セキュリティでは、クライアントとサーバー セッションの最低限のセキュリティ標準を指定します。Microsoft 管理コンソール (MMC) グループ ポリシー エディター スナップインで次のセキュリティ ポリシー設定を確認しておくことをお勧めします。
    • コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
    • ネットワーク セキュリティ:セキュア RPC を含むサーバー ベースの NTLM SSP 最小のセッション セキュリティ
    • ネットワーク セキュリティ:セキュア RPC を含むクライアント ベースの NTLM SSP 最小のセッション セキュリティ
    上記の設定で使用できるオプションは以下のとおりです。
    • メッセージの整合性が必要
    • メッセージの機密性が必要
    • NTLMv2 セッション セキュリティが必要
    • 128 ビット暗号化が必要
    既定の設定は、すべて無効です。

    上記のポリシーでは、サーバー上でのクライアントに対する、アプリケーション間の通信セッションに関する最小限のセキュリティ標準を指定します。

    これまで、Windows NT では、次の 2 種類のチャレンジ/レスポンス認証によるネットワーク ログオンをサポートしてきました。
    • LM チャレンジ/レスポンス
    • NTLM version 1 チャレンジ/レスポンス
    LM を使用すると、クライアントおよびサーバーの既存のインストールに対する相互運用性を維持することができます。NTLM を使用すると、クライアントとサーバーの接続におけるセキュリティが強化されます。

    対応するレジストリ キーを以下に示します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
先頭へ戻る

時刻の同期

時刻の同期に失敗しました。同期されなかったコンピューターでは、日時に 30 分以上の差異があります。クライアントのコンピューターの時計がドメイン コントローラーの時計と同期されていることを確認してください。
先頭へ戻る

SMB 署名の回避方法

Windows NT 4.0 の各クライアントには、Windows Server 2003 ベースのドメインと互換性のある Service Pack 6a (SP6a) をインストールすることを推奨します。Windows 98 Second Edition、Windows 98、および Windows 95 ベースの各クライアントで NTLMv2 認証を行うには、ディレクトリ サービス クライアントを実行する必要があります。Windows NT 4.0 ベースのクライアントに Windows NT 4.0 SP6 がインストールされていない場合、または Windows 95、Windows 98、または Windows 98 SE ベースのクライアントにディレクトリ サービス クライアントがインストールされていない場合は、ドメイン コントローラーの OU 上の既定のドメイン コントローラー ポリシーの設定で SMB 署名を無効にし、ドメイン コントローラーをホストしているすべての OU へのリンクをこのポリシーに作成できます。

Windows 98 Second Edition、Windows 98、および Windows 95 用ディレクトリ サービス クライアントは、NTLM 認証を実行する Windows Server 2003 のサーバーで SMB 署名を実行しますが、NTLMv2 認証を実行するサーバーでは SMB 署名を実行しません。また、Windows 2000 のサーバーは、これらのクライアントからの SMB 署名要求には応答しません。

ドメイン内にある、Windows Server 2003 を実行しているすべてのドメイン コントローラーで SMB 署名が要求されないようにすることもできます。ただし、マイクロソフトではこの構成を推奨していません。このセキュリティ設定を構成するには、以下の手順を実行します。
  1. 既定のドメイン コントローラーのポリシーを開きます。
  2. [コンピューターの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[セキュリティ オプション] を順に開きます。
  3. [Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う] ポリシー設定を見つけてダブルクリックし、[無効] をクリックします。
重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756? (http://support.microsoft.com/kb/322756/ ) Windows XP でレジストリをバックアップおよび復元する方法
または、レジストリを変更してサーバー上で SMB 署名を無効にします。これを実行するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に「regedit」と入力し、[OK] をクリックします。
  2. 次のサブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. [enablesecuritysignature] を右クリックします。
  4. [編集] メニューの [修正] をクリックします。
  5. [値のデータ] ボックスに「0」と入力し、[OK] をクリックします。
  6. レジストリ エディターを終了します。
  7. コンピューターを再起動するか、サーバー サービスをいったん停止して再度開始します。これを実行するには、コマンド プロンプトに以下のコマンドを入力し、1 行ごとに Enter キーを押します。
    net stop server
    net start server
: 対応するレジストリ キーは、クライアント コンピューター上の以下のレジストリ サブキーにあります。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
ここまでに説明したエラーについて、エラー コード番号と、対応する状態コードおよびエラー メッセージ テキストを以下に示します。
エラー 5
ERROR_ACCESS_DENIED
アクセスが拒否されました。
エラー 1326
ERROR_LOGON_FAILURE
ログオン失敗:ユーザー名を認識できないか、またはパスワードが間違っています。
エラー 1788
ERROR_TRUSTED_DOMAIN_FAILURE
プライマリ ドメインと信頼される側のドメインとの信頼関係に失敗しました。
エラー 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。
関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
324802? (http://support.microsoft.com/kb/324802/ ) Windows Server 2003 でグループ ポリシーを構成してシステム サービスのセキュリティを設定する方法
306771? (http://support.microsoft.com/kb/306771/ ) Windows Server 2003 クラスタを構成した後 "アクセスは拒否されました。" というエラー メッセージが表示される
101747? (http://support.microsoft.com/kb/101747/ ) Macintosh コンピューターに Microsoft 認証をインストールする方法
161372? (http://support.microsoft.com/kb/161372/ ) Windows NT で SMB 署名を有効にする方法
236414? (http://support.microsoft.com/kb/236414/ ) Windows NT 4.0 で LMCompatibilityLevel が NTLM 2 認証のとき共有にアクセスできない
241338? (http://support.microsoft.com/kb/241338/ ) Windows NT 4.0 で LAN Manager 3 によりほかのログオン機能が動作しなくなる
262890? (http://support.microsoft.com/kb/262890/ ) 混在環境でホーム ディレクトリ ドライブに接続できない
308580? (http://support.microsoft.com/kb/308580/ ) ログオン時に、ホーム フォルダがダウンレベル サーバーへマッピングされない
285901? (http://support.microsoft.com/kb/285901/ ) リモート アクセス、VPN および RIS クライアントで NTLM Version 2 の認証のみを受け付けるように構成されたサーバーとセッションを確立できない
816585? (http://support.microsoft.com/kb/816585/ ) Windows Server 2003 の定義済みのセキュリティ テンプレートを適用する方法
820281? (http://support.microsoft.com/kb/820281/ ) Outlook 2003 の RPC over HTTP 機能を利用して Exchange Server 2003 に接続するときに、Windows アカウントの資格情報の入力が求められる
先頭へ戻る
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows 95
先頭へ戻る
キーワード:?
kbinfo KB823659
先頭へ戻る
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"