セキュリティ設定およびユーザー権利の割り当てを変更する場合は、クライアント、サービス、およびプログラムの問題が発生することができます。

概要

ローカル ポリシーとグループ ポリシーがドメイン コント ローラーとメンバー コンピューターのセキュリティを強化を支援するには、セキュリティ設定およびユーザー権利の割り当てを変更できます。ただし、セキュリティ強化のマイナス面は、クライアント、サービス、およびプログラムとの互換性の問題の概要です。

実行している Windows XP、または windows の以前のバージョン固有のセキュリティ設定と、Windows Server 2003 ドメインまたは、以前の Windows でユーザー権利の割り当てを変更すると、クライアント コンピューターで発生する可能性がある互換性の問題を説明します。サーバー ドメインです。

Windows 7 用のグループ ポリシー、Windows Server 2008 R2、および Windows Server 2008 の詳細については、以下の資料を参照してください。

  • Windows 7 では、 を参照してください。

  • Windows 7 と Windows Server 2008 R2 では、を参照してください。

  • Windows Server 2008では、 を参照してください。

注: この資料の残りのコンテンツは、Windows XP、Windows Server 2003、および Windows の以前のバージョンに固有です。

Windows XP の場合

設定の構成が正しくないセキュリティの意識を上げるためには、セキュリティ設定を変更するのにグループ ポリシー オブジェクト エディター ツールを使用します。グループ ポリシー オブジェクト エディターを使用する場合、ユーザー権利の割り当ては次のオペレーティング システムで拡張されています。

  • Windows XP サービス パック 2 (SP2)

  • Windows Server 2003 Service Pack 1 (SP1)

拡張機能は、この資料へのリンクが含まれているダイアログ ボックスです。ダイアログ ボックスには、セキュリティの設定を変更した場合や、ユーザー権利の割り当てには、互換性が低くより制限の厳しい設定が表示されます。レジストリを使用して、またはセキュリティ テンプレートを使用して直接、同じセキュリティ設定またはユーザー権利の割り当てを変更するグループ ポリシー オブジェクト エディターの設定を変更する場合と同じ効果が。ただし、この資料へのリンクを含むダイアログ ボックスは表示されません。

この資料では、クライアント、プログラム、および特定のセキュリティ設定またはユーザー権利の割り当ての影響を受ける操作の例を示します。ただし、例は、権限のあるすべての Microsoft オペレーティング システム、すべてのサード ・ パーティ製のオペレーティング システム、または影響を受けるすべてのプログラムのバージョンではありません。この資料では、すべてのセキュリティ設定およびユーザー権利の割り当てが含まれます。

運用環境に導入する前に、テスト用のフォレスト内のすべてのセキュリティ関連の構成変更との互換性を検証することをお勧めします。テスト フォレストでは、次のように実稼動のフォレストをミラー化する必要があります。

  • クライアントおよびサーバーのオペレーティング システム バージョン、クライアントおよびサーバー プログラム、service pack のバージョン、修正プログラム、スキーマの変更、セキュリティ グループ、グループ メンバーシップ、ファイル システム、共有フォルダー、レジストリ、Active Directory ディレクトリ内のオブジェクトに対するアクセス許可サービス、ローカルおよびグループ ポリシー設定、およびオブジェクト カウントの種類と場所

  • 実行される管理タスク、管理ツールを使用すると、および管理タスクを実行するために使用するオペレーティング ・ システム

  • 次のように、実行される操作。

    • コンピューターとユーザーのログオン認証

    • ユーザー、コンピューター、および管理者のパスワードのリセット

    • 参照

    • ファイル システムのアクセス許可を設定するには、共有フォルダー、レジストリ、および Active Directory のリソースのすべてのアカウントまたはリソースからのすべてのクライアント オペレーティング システムからのすべてのアカウントまたはリソース ドメイン内のすべてのクライアント オペレーティング システムの ACL エディターを使用してドメイン

    • 管理者および管理者以外のアカウントからの印刷

Windows Server 2003 SP1

Gpedit.msc での警告

ユーザー権利を編集すること、または悪影響を及ぼす可能性があるセキュリティ オプション、ネットワークに影響を与えることを顧客に役立つ、2 つの警告メカニズムが gpedit.msc に追加されました。管理者は、組織全体に影響を与える悪影響を及ぼすユーザー権利を編集すると、徐行を表す標識に似た新しいアイコンが表示されます。マイクロソフト サポート技術情報のとおりにリンクしている警告メッセージが表示されます。このメッセージのテキストは次のとおりです。

この設定を変更するクライアント、サービス、およびアプリケーションとの互換性に影響を与える可能性があります。詳細については、[< ユーザー権利やセキュリティ オプションを変更する > を参照してください (Q823659) Gpedit.msc 内のリンクをこの資料に表示された、読み取りし、記載されている説明し、この設定を変更する可能性のある影響を理解することを確認します。警告テキストが含まれているユーザー権利を次に示します。

  • ネットワークからこのコンピューターへのアクセスします。

  • ローカル ログオンします。

  • 走査チェックをバイパスします。

  • コンピューターとユーザーに委任時の信頼を有効にします。

警告ポップアップ メッセージを持つセキュリティ オプションを次に示します。

  • ドメイン メンバー: デジタル暗号化または署名常にセキュリティで保護されたチャネルのデータ

  • : ドメインのメンバーが厳密な必要な理由は、(Windows 2000 またはそれ以降のバージョン) セッション キー

  • ドメイン コント ローラー: LDAP サーバーの署名の要件

  • Microsoft ネットワーク サーバー: 常に) の通信にデジタル署名

  • ネットワーク アクセス: により、匿名の Sid と名前の変換

  • ネットワーク アクセス: できないように匿名の列挙 SAM のアカウントと共有

  • ネットワーク セキュリティ: LAN Manager 認証レベル

  • 監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャット ダウンします。

  • 署名 LDAP クライアントのネットワーク アクセス:

詳細

次のセクションでは、Windows NT 4.0 ドメイン、Windows 2000 ドメイン、および Windows Server 2003 ドメイン内の特定の設定を変更する場合に発生する互換性の問題について説明します。

ユーザーの権利

次の一覧のユーザー権利の説明、問題の原因となる構成設定を識別する理由、ユーザー権利を適用する必要があり、ユーザーの権利を削除することが理由との互換性の問題が発生した例を示しますの説明とユーザー権限を構成します。

  1. ネットワークからこのコンピューターへのアクセスします。

    1. バック グラウンド

      リモートの Windows ベースのコンピューターと対話する機能では、ネットワークからこのコンピューターへアクセス] ユーザー権利が必要です。このようなネットワーク操作の例を以下に示します。

      • 共通のドメインまたはフォレスト内のドメイン コント ローラー間の Active Directory のレプリケーション

      • 認証要求をドメイン コント ローラーのユーザーとコンピューターから

      • 共有フォルダー、プリンター、およびネットワーク上のリモート コンピューター上にある他のシステム サービスへのアクセス



      ユーザー、コンピューター、およびサービス アカウントを取得または、明示的または暗黙的に追加または、このユーザー権利が与えられているセキュリティ グループから削除されたことで、ネットワークからこのコンピューターへアクセス] ユーザー権利が失われます。たとえば、ユーザー アカウントまたはコンピューター アカウントが明示的に追加するカスタム セキュリティ グループまたはビルトイン セキュリティ グループに、管理者によって、またはオペレーティング システムによってドメイン ユーザーなどの計算済みのセキュリティ グループに暗黙的に追加されます認証ユーザー、またはエンタープライズ ドメイン コント ローラーです。

      ユーザー アカウントとコンピューター アカウントは、既定グループのすべてのユーザー、または、可能であれば、認証済みユーザーとして、ドメイン コント ローラー、エンタープライズ ドメイン コント ローラー グループのようなネットワークからコンピューターへアクセス] ユーザー権利を計算するとき、既定のドメイン コント ローラー グループ ポリシー オブジェクト (GPO) で定義されています。

    2. 危険な設定

      有害な構成設定は、次のように。

      • このユーザー権利から、エンタープライズ ドメイン コント ローラー セキュリティ グループを削除します。

      • Authenticated Users グループまたはユーザー、コンピューター、およびサービス アカウント、ネットワーク経由でコンピューターに接続するユーザー権利を許可する明示的なグループを削除します。

      • このユーザー権利からすべてのユーザーとコンピューターを削除します。

    3. このユーザー権利を付与する理由

      • 同じドメイン コント ローラー間で発生するレプリケーションのための Active Directory のレプリケーションに必要な認証要件を満たすエンタープライズ ドメイン コント ローラーのグループに、ネットワークからこのコンピューターへアクセスユーザーの権利を付与します。フォレストです。

      • このユーザー権利には、共有ファイル、プリンター、および Active Directory を含む、システム サービスにアクセスするには、ユーザーとコンピューターができます。

      • このユーザー権利は、ユーザーが以前のバージョンの Microsoft Outlook Web Access (OWA) を使用してメールにアクセスする必要があります。

    4. このユーザー権利を削除する理由

      • 自分のコンピューターをネットワークに接続できるユーザーは、アクセス許可のあるリモート コンピューター上のリソースにアクセスできます。たとえば、このユーザー権利は、ユーザーとフォルダーを共有プリンターに接続する必要があります。Everyone にこのユーザー権利が付与されている場合グループ、それら共有フォルダーのファイルを表示すべてのユーザーにはいくつかの共有フォルダーには、共有と同じグループが読み取りアクセス権を持っているように構成されている NTFS ファイル システムのアクセス許可の両方があるとします。ただし、Windows Server 2003 のクリーン インストールのほとんどの状況は、既定の共有および Windows Server 2003 で NTFS アクセス許可が Everyone グループに含まれないのでこれは。Microsoft Windows NT 4.0 または Windows 2000 からアップグレードしたシステムでは、この脆弱性があります高レベル リスクの既定の共有とこれらのオペレーティング システムのファイル システムのアクセス許可が制限の既定のアクセス許可としてではないためWindows Server 2003 です。

      • エンタープライズ ドメイン コント ローラーのグループを削除して、このユーザー権利からの正当な理由はありません。

      • Everyone グループ、Authenticated Users グループに一般に削除されます。Everyone グループを削除する場合 Authenticated Users グループがこのユーザー権利を付与する必要があります。

      • Windows 2000 にアップグレードした Windows NT 4.0 ドメインが、Everyone グループ、Authenticated Users グループ、またはエンタープライズのドメイン コント ローラー グループの権利をネットワークからこのコンピューターへアクセスユーザーを明示的に許可していない操作を行います。したがって、Windows NT 4.0 ドメインのポリシーから Everyone グループを削除するときは、Windows 2000 にアップグレードした後、"アクセスが拒否されました"というエラー メッセージが Active Directory のレプリケーションが失敗します。Winnt32.exe Windows Server 2003 では、エンタープライズ ドメイン コント ローラーは、Windows NT 4.0 プライマリ ドメイン コント ローラー (Pdc) をアップグレードするときにこのユーザー権利をグループ化を与えることでこの構成の誤りを回避できます。エンタープライズ ドメイン コント ローラー グループにこのユーザーがグループ ポリシー オブジェクト エディター内に存在しない場合に権利を与えます。

    5. 互換性の問題の例

      • Windows 2000 および Windows Server 2003:次のパーティションのレプリケーションは、REPLMON および REPADMIN またはレプリケーションのイベント ログにイベントなどのツールを監視することによって報告された「アクセスが拒否されました」エラーで失敗します。

        • Active Directory スキーマ パーティション

        • 構成パーティション

        • ドメイン パーティション

        • グローバル カタログ パーティション

        • アプリケーション パーティション

      • すべてのマイクロソフト ネットワーク オペレーティング システム:ユーザーまたはセキュリティ グループのメンバーであるユーザーがこのユーザー権利を与えられてはいない限り、リモート ネットワーク クライアント コンピューターからユーザー アカウントの認証は失敗します。

      • すべてのマイクロソフト ネットワーク オペレーティング システム:アカウントまたはセキュリティ グループのメンバーであるアカウントがこのユーザー権利を与えられてはいない限り、リモート ネットワーク クライアントからのアカウント認証は失敗します。このシナリオでは、ユーザー アカウント、コンピューター アカウント、およびサービス アカウントに適用されます。

      • すべてのマイクロソフト ネットワーク オペレーティング システム:このユーザー権利からすべてのアカウントを削除する場合は、ドメインにログオンまたはネットワーク リソースにアクセスする任意のアカウントができなくなります。エンタープライズ ドメイン コント ローラーなどのグループを計算するには、すべてのユーザー、または認証されたユーザーを削除すると、する必要があります明示的に与えるアカウントや、ネットワーク経由でリモート コンピューターにアクセスするのにはのメンバーであるアカウントをセキュリティ グループにこのユーザーの権利。このシナリオでは、すべてのユーザー アカウントに、すべてのコンピューター アカウント、およびすべてのサービス アカウントに適用されます。

      • すべてのマイクロソフト ネットワーク オペレーティング システム:ローカル管理者アカウントは、空白のパスワードを使用します。ドメイン環境で管理者アカウントのパスワードが空白のネットワーク接続は許可されていません。この構成では、"アクセスが拒否されました"というエラー メッセージを受信することができます。

  2. ローカル ログオンを許可します。

    1. バック グラウンド

      (CTRL + ALT + DEL キーのキーボード ショートカットを使用して) によって、Windows ベースのコンピューターのコンソールにログオンしようとしているユーザーは、アカウント サービスを開始しようとしているに、ホスト コンピューター上のローカル ログオン権限が必要です。ローカル ログオン操作の例を使用して自分のデスクトップにアクセスするメンバー コンピューターにログオンしている、メンバーのコンピューター、または、ユーザー、およびエンタープライズ全体でドメイン コント ローラーのコンソールにログオンした管理者権限のないアカウントです。リモート デスクトップ接続またはターミナル サービスを使用するユーザーには、これらのログオン モードは、ホスト コンピューターにローカルと見なされるために、Windows 2000 または Windows XP 実行されているセットアップ先のコンピューターでローカルでログオンを許可するユーザーが必要です。[ユーザーがサーバーにログオン、ターミナル サーバーが有効になっていると、このユーザー権利を持たないままセッションを開始できますリモート対話型 Windows Server 2003 ドメインでターミナル サービスを通したログオンを許可する] ユーザー権利がある場合。

    2. 危険な設定

      有害な構成設定は、次のように。

      • 管理セキュリティ グループを含む、Account Operators、Backup Operators、Print Operators またはサーバー オペレーター、および組み込みの Administrators グループを既定のドメイン コント ローラーのポリシーから削除しています。

      • コンポーネントやプログラムのメンバー コンピューター上およびデフォルトのドメイン コント ローラーのポリシーからドメイン内のドメイン コント ローラーによって使用されるサービス アカウントを削除しています。

      • ユーザーまたはドメインのメンバー コンピューターのコンソールにログオンしているセキュリティ グループを削除しています。

      • メンバー コンピューターまたはワークグループのコンピューターのローカル セキュリティ アカウント マネージャー (SAM) データベースで定義されているサービス アカウントを削除しています。

      • 非組み込みの管理アカウントを削除するドメイン コント ローラーで実行されているターミナル サービスで認証を行う。

      • 明示的または暗黙的に、ドメイン内のすべてのユーザー アカウントを追加する、すべてのユーザーをグループにローカルでログオンを拒否する] ログオン権利をします。この構成、ユーザー ログのすべてのメンバー コンピューターにログオンまたはドメイン内の任意のドメイン コント ローラーになります。

    3. このユーザー権利を付与する理由

      • ユーザーには、コンソールまたはワークグループ コンピューター、メンバー コンピューターまたはドメイン コント ローラーのデスクトップにアクセスするユーザーのローカル ログオンを許可する権利が必要です。

      • ユーザーには、Window 2000 ベースのメンバー コンピューターまたはドメイン コント ローラーで実行されているターミナル サービス セッション経由でログオンするには、このユーザー権利が必要です。

    4. このユーザー権利を削除する理由

      • 正規のユーザー アカウントへのコンソールへのアクセスを制限するには、障害が発生すると、権限のないユーザーがダウンロードし、悪意のあるコードを実行して、ユーザーの権限を変更するのには可能性があります。

      • ローカル ログオンを許可する] ユーザー権利の削除には、ドメイン コント ローラーやアプリケーション サーバーなどのコンピューターのコンソールにログオンを許可されていないができなくなります。

      • このログオン権利を削除すると、非ドメイン アカウントがドメイン内のメンバー コンピューターのコンソールにログオンできなくなります。

    5. 互換性の問題の例

      • Windows 2000 ターミナル サーバー:ローカル ログオンを許可する] ユーザー権利は、ユーザーが Windows 2000 ターミナル サーバーにログオンする必要があります。

      • Windows NT 4.0、Windows 2000、Windows XP、または Windows Server 2003:ユーザー アカウントには、Windows NT 4.0、Windows 2000、Windows XP または Windows Server 2003 を実行しているコンピューターのコンソールにログオンするには、このユーザー権利を付与する必要があります。

      • 4.0 およびそれ以降の Windows NT:Windows NT 4.0 を実行しているし、後で、暗黙的または明示的にするのですが、ローカルでログオンを許可する権限をユーザーを追加する場合も権利を与える、ローカルでログオンを拒否するログオンしているコンピューターで、アカウントことはできませんログオンするドメインのコンソールにログオンコント ローラーです。

  3. 走査チェックをバイパスします。

    1. バック グラウンド

      走査チェックのバイパス] ユーザー権利では、ユーザーが NTFS ファイル システムまたはレジストリで、フォルダーのスキャンの特殊なアクセス許可のチェックを行わないフォルダーを参照することができます。走査チェックのバイパス] ユーザー権利では、フォルダーの内容の一覧を表示をできません。そのフォルダーのみをスキャンすることは、できます。

    2. 危険な設定

      有害な構成設定は、次のように。

      • ターミナル サービスを Windows 2000 ベースのコンピューターまたはファイル ・ システムでファイルとフォルダーにアクセスする権限を持っていない Windows Server 2003 ベースのターミナル サービス コンピューターにログオンする管理者以外のアカウントを削除しています。

      • 既定の権限でこのユーザーに付与されているセキュリティ プリンシパルの一覧から Everyone グループを削除しています。Windows オペレーティング ・ システム、および多くのプログラムは、コンピューターを正規にアクセスできるユーザーが走査チェックのバイパス] ユーザー権利を持つことを前提として設計されています。したがって、Everyone を削除する既定でこのユーザー権利を持つセキュリティ プリンシパルの一覧からグループする可能性がありますオペレーティング システムが不安定になるプログラムの障害が発生します。お勧めこの設定を既定のままにすることです。

    3. このユーザー権利を付与する理由

      走査チェックをバイパスできるようにするのには、 [走査チェックのバイパス] ユーザー権利を既定の設定です。経験豊富な Windows システム管理者では、これは、予想される動作では、およびファイル システム アクセス制御リスト (Sacl) を適切に構成します。予想外に既定の構成があります、唯一の状況は、アクセス許可を設定する管理者が動作を理解していないと、その親フォルダーにアクセスできないユーザーにことができなく、子のコンテンツにアクセスする必要かどうかフォルダーです。

    4. このユーザー権利を削除する理由

      ファイル ・ システムでファイルまたはフォルダーへのアクセスを防止するには、組織のセキュリティについて非常に懸念している可能性がありますたくなる走査チェックのバイパスを与えられているグループの一覧から、ユーザー グループまたは Everyone グループを削除ユーザー権利です。

    5. 互換性の問題の例

      • Windows 2000、Windows Server 2003:走査チェックのバイパス] ユーザー権利が削除されたり、Windows 2000 または Windows Server 2003 を実行しているコンピューターで正しく構成されていないが場合、SYVOL フォルダー内のグループ ポリシー設定はドメイン内のドメイン コント ローラー間でレプリケートされません。

      • Windows 2000、Windows XP Professional では、Windows Server 2003:Windows 2000、Windows XP Professional、または Windows Server 2003 を実行しているコンピューターは、1000 および 1202 イベントがログに記録し、場合、SYSVOL ツリーから必要なファイル システムのアクセス許可が削除されたときに、コンピューター ポリシーとユーザー ポリシーを適用することはできません、バイパス"走査チェックのユーザー権利"は、削除されたり、構成が間違っています。

        詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

        イベント ID 1000、1001 が 5 分おきにアプリケーション イベント ログが記録されます。
         

      • Windows 2000、Windows Server 2003:Windows 2000 または Windows Server 2003 を実行しているコンピューターで、ボリュームのプロパティを表示すると、Windows エクスプ ローラーで [クォータ] タブは表示されません。

      • Windows 2000:非管理者のユーザーが Windows 2000 ターミナル サーバーにログオンする次のエラー メッセージが表示されます。

        Userinit.exe アプリケーション エラーが発生。できませんでした 0xc0000142 を初期化できませんでした、アプリケーションは、アプリケーションを終了するには、[ok] をクリックします。

      • Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003:スキャンをバイパスするユーザーのコンピューターが Windows NT 4.0、Windows 2000、Windows XP または Windows Server 2003 を実行している可能性があります。、共有フォルダーの共有フォルダーやファイルにアクセスできず、を許可されていない場合に"アクセスが拒否されました"というエラー メッセージが表示ことがあります。チェックユーザー権利です。


        詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

        "アクセスが拒否されました"というエラー メッセージと、ユーザーが、共有フォルダーにアクセスしようとしています。
         

      • Windows NT 4.0:Windows NT 4.0 ベースのコンピューターでは、走査チェックのバイパス] ユーザー権利の削除にはファイル ・ ストリームを削除するファイルのコピーが発生します。このユーザーの権利を削除するは、場合、Windows クライアントからファイルをコピーまたは Services for Macintosh を実行している Windows NT 4.0 ドメイン コント ローラーに、Macintosh クライアントからコピー先のファイル ストリームは失われ、ファイルはテキストのみのファイルとして表示されます。 場合、

      • Microsoft Windows 95、Microsoft Windows 98:Windows 95 または Windows 98 を実行しているクライアント コンピューター上のnet * ホームコマンドは、Authenticated Users グループは、[走査チェックのバイパス] ユーザー権利を付与していない場合"アクセスが拒否されました"というエラー メッセージで失敗します。

      • Outlook Web アクセス:管理者以外が Microsoft Outlook Web Access にログオンすることはできませんし、[走査チェックのバイパス] ユーザー権利を許可されていない場合に"アクセスが拒否されました"というエラー メッセージが表示されます。

セキュリティの設定

次の一覧がセキュリティの設定を識別し、入れ子になったリストのセキュリティの設定に関する説明、問題が発生する可能性があります、理由、セキュリティ設定を適用する必要があると、なぜ理由を説明する構成設定を識別セキュリティの設定を削除する場合があります。入れ子になったリストは、セキュリティの設定とセキュリティの設定のレジストリ パスのシンボリック名を提供します。最後に、セキュリティの設定が構成されている場合に発生する互換性の問題の例が用意されています。

  1. 監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャット ダウンします。

    1. バック グラウンド

      • 監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャット ダウン設定は、セキュリティ イベント ログに記録できない場合にシステムをシャット ダウンするかどうかを決定します。この設定は、信頼されたコンピューターのセキュリティ評価基準 (TCSEC) プログラムの C2 評価と監査システムがそのイベントを記録できない場合は、監査可能なイベントを防ぐために情報技術セキュリティの評価のための共通の基準は、必要があります。監査システムが失敗した場合、システムをシャット ダウンし、Stop エラー メッセージが表示されます。

      • コンピューターがセキュリティ ログにイベントを記録できない場合は、重大な証拠や重要なトラブルシューティング情報できない場合があります確認のため、セキュリティ問題が発生しました。

    2. 危険な設定

      有害な構成設定は、次:監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャット ダウンで、設定が有効になっているし、セキュリティ イベント ログのサイズを制限する、 (手動でログを消去) イベントを上書きしません。オプション、必要に応じてイベントを上書きのオプション、またはイベント ビューアーでイベントの日数より古いを上書きのオプションです。Windows 2000、Windows 2000 Service Pack 1 (SP1)、Windows 2000 SP2、または Windows 2000 SP3 のオリジナル リリース版を実行しているコンピューターの特定のリスクについては、例の互換性の問題」を参照してください。

    3. この設定を有効にする理由

      コンピューターがセキュリティ ログにイベントを記録できない場合は、重大な証拠や重要なトラブルシューティング情報できない場合があります確認のため、セキュリティ問題が発生しました。

    4. この設定を無効にする理由

      • 有効にする、の監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャット ダウンの設定は、何らかの理由でセキュリティ監査を記録できない場合にシステムを停止します。通常、フル ・ バックアップと、指定した保存方法が(手動でログを消去) イベントを上書きしないオプションまたは日経過後にイベントを上書きのオプションのいずれかの場合は、セキュリティの監査ログとイベントが記録されることはできません。

      • 有効にする管理者の負担、監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャット ダウン設定を [セキュリティ ログの [ (手動でログを消去) イベントを上書きしない] オプションも有効にする場合は特に、非常に高いことができます。この設定は、オペレーターの操作の個々 の責任を提供します。などの管理者は、すべてのユーザー、コンピューター、および監査が有効になっているビルトインの管理者アカウントまたはその他の共有アカウントを使用して組織単位 (OU) 内のグループに対するアクセス許可をリセットし、このようなアクセス許可をリセットすることを拒否します。ただし、設定を有効にするは低下、システムの堅牢性、サーバーによってログオン イベントおよび他のセキュリティ イベントをセキュリティ ログに書き込まれると、シャット ダウンする必要があります。さらに、シャット ダウンが正常でないため、オペレーティング システム、プログラム、またはデータに修復できない損傷が開く場合があります。NTFS により、手荒なシステムのシャット ダウン時にファイルシステムの整合性が維持されている、すべてのプログラムのすべてのデータ ファイルもに含まれる使用可能な形式のシステムの再起動時に、保証できません。

    5. シンボリック名:

      CrashOnAuditFail

    6. レジストリ パス:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. 互換性の問題の例

      • Windows 2000:バグが発生したため Windows 2000、Windows 2000 SP1、Windows 2000 SP2、または Windows Server SP3 のオリジナル リリース版を実行しているコンピューターが応答を停止、セキュリティのログの最大サイズ] で指定したサイズの前にイベントのログ記録イベント ログに達しました。このバグは Windows 2000 Service Pack 4 (SP4) で修正します。Windows 2000 Service Pack 4 のこの設定を有効にすることを検討する前に、インストールを Windows 2000 ドメイン コント ローラーがあることを確認します。

        詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

        イベント ログをイベント ログの最大サイズに到達する前にログの記録停止します。
         

      • Windows 2000、Windows Server 2003:Windows 2000 または Windows Server 2003 を実行しているコンピューターが応答を停止し、再起動時に場合は、監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャット ダウンの設定をオンにして、セキュリティ ログが、既存のイベント ログ エントリを上書きできません。コンピューターが再起動したら、次の Stop エラー メッセージが表示されます。

        STOP: C0000244 {監査の失敗}
        セキュリティ監査の生成に失敗しました。

        リカバリするに管理者する必要がありますログオン (オプション) のセキュリティ ログをアーカイブする、セキュリティ ログを消去し、(オプションであり、必要に応じて)、このオプションをリセットし、します。

      • MS-DOS、Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003 の Microsoft ネットワーク クライアント:非-管理者のドメインにログオンしようとしています。 次のエラー メッセージが表示されます。

        このコンピューターを使用することを防止するため、アカウントを構成します。別のコンピューターを参照してください。

      • Windows 2000:Windows 2000 ベースのコンピューターでは、管理者以外は、リモート アクセス サーバーにログオンできないし、次のようなエラー メッセージを受け取ります。

        不明なユーザーまたはパスワードが間違っています

        詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

        のエラー メッセージ: このコンピューターを使用することを防止するため、アカウントが構成されています。
         

      • Windows 2000:Windows 2000 ドメイン コント ローラーで、サイト間メッセージング サービス (Ismserv.exe) が停止し、再起動することはできません。DCDIAG は」テスト サービス ISMserv、失敗しました」とエラーを報告し、イベント ログにイベント ID 1083 が登録されます。

      • Windows 2000:Windows 2000 のドメイン コント ローラーで、Active Directory のレプリケーションは失敗し、セキュリティ イベント ログがいっぱいの場合、"アクセスが拒否されました"というメッセージが表示されます。

      • Microsoft Exchange 2000:Exchange 2000 を実行しているサーバーが、インフォメーション ストア データベースをマウントすることはできませんし、2102 のイベントは、イベント ログに登録されます。

      • Outlook、Outlook Web のアクセス:非管理者は Microsoft Outlook または Outlook Web Access ではメールにアクセスできないし、503 エラーが表示されます。

  2. ドメイン コント ローラー: LDAP サーバー署名必須

    1. バック グラウンド

      のドメイン コント ローラー: LDAP サーバー署名必須セキュリティ設定では、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバーが LDAP クライアントがデータ署名のネゴシエートを必要とするかどうかを決定します。このポリシー設定の有効な値は次のとおりです。

      • なし:サーバーとのバインドにデータ署名を要求しません。クライアントは、データ署名を要求している場合、サーバーがサポートしています。

      • の署名を必要とする:トランスポート レイヤー セキュリティまたはセキュリティ保護されたソケット層 (SSL または TLS) を使用している場合を除き、LDAP データ署名オプションをネゴシエートする必要があります。

      • が定義されていません:この設定を有効または無効になっていません。

    2. 危険な設定

      有害な構成設定は、次のように。

      • または有効にする署名を必要とする環境で、クライアントは LDAP 署名をサポート、クライアント側の LDAP 署名が有効になっていないクライアント上

      • クライアントは LDAP 署名をサポートまたは、クライアント側の LDAP 署名が有効になっていない Windows 2000 または環境で Windows Server 2003 の Hisecdc.inf セキュリティ テンプレートを適用します。

      • クライアントは LDAP 署名をサポートまたは、クライアント側の LDAP 署名が有効になっていない Windows 2000 または環境で Windows Server 2003 Hisecws.inf セキュリティ テンプレートを適用します。

    3. この設定を有効にする理由

      署名されていないネットワーク トラフィックは、影響を受けやすい攻撃に悪用される仲介で侵入者がクライアントとサーバー間でパケットをキャプチャ、パケットを改ざんし、サーバーに転送します。LDAP サーバーにこの現象が発生する、攻撃者によってサーバーが LDAP クライアントからの間違ったクエリに基づいて意思決定を行う可能性があります。ネットワーク インフラストラクチャを保護するための強力な物理的セキュリティ対策を実装することにより企業ネットワークにおけるこのリスクを減らすことができます。インターネット プロトコル セキュリティ (IPSec) の認証ヘッダー モードでは、マニュアル、仲介者攻撃を防ぐのに役立ちます。認証ヘッダー モードでは、IP トラフィックに対する相互認証とパケットの完全性を実行します。

    4. この設定を無効にする理由

      • LDAP 署名をサポートしていないクライアントは NTLM 認証がネゴシエートされた場合、および Windows 2000 ドメイン コント ローラーに適切な service pack がインストールされていない場合は、ドメイン コント ローラーおよびグローバル カタログに対して LDAP のクエリを実行できません。

      • クライアントとサーバー間の LDAP トラフィックのネットワーク トレースが暗号化されます。LDAP の通信内容を調べるが困難になります。

      • Windows 2000 ベースのサーバーは、Windows 2000 Service Pack 3 (SP3) を持つ必要があります。 または署名 LDAP のサポートが Windows 2000 SP4、Windows XP、または Windows Server 2003 を実行しているクライアント コンピューターから実行されるプログラムで管理されているときにインストールします。の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします:

        Windows 2000 ドメイン コント ローラーに Service Pack 3 または Windows Server 2003 管理ツールを使用する場合は、以降が必要とします。
         

    5. シンボリック名:

      LDAPServerIntegrity

    6. レジストリ パス:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. 互換性の問題の例

      • 簡易結合が失敗し、次のエラー メッセージが表示されます。

        Ldap_simple_bind_s() が失敗しました: 強力な認証が必要です。

      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003:クライアントでは Windows 2000 SP4、Windows XP、または Windows Server 2003 を実行している、いくつかの Active Directory 管理ツールは Windows 2000 SP3 より前のバージョンを実行しているドメイン コント ローラーに対して正しく動作せず NTLM認証がネゴシエートされます。

        詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

        Windows 2000 ドメイン コント ローラーに Service Pack 3 または Windows Server 2003 管理ツールを使用する場合は、以降が必要とします。
         

      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003:実行している Windows 2000 SP4、Windows XP、または Windows Server 2003、Active Directory 管理ツールがいくつかを対象とするクライアントを実行しているバージョンの Windows 2000 をドメイン コント ローラーは以前である場合、SP3 は正常に動作しません。IP アドレスを使って (たとえば、「dsa.msc/serverx.x.x.x"、
        x.x.x.xは IP アドレス) です。


        詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

        Windows 2000 ドメイン コント ローラーに Service Pack 3 または Windows Server 2003 管理ツールを使用する場合は、以降が必要とします。
         

      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003:実行している Windows 2000 SP4、Windows XP、または Windows Server 2003、Active Directory 管理ツールがいくつかを対象とするクライアントを実行しているバージョンの Windows 2000 をドメイン コント ローラーは以前 SP3 は正常に動作しません。

        詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

        Windows 2000 ドメイン コント ローラーに Service Pack 3 または Windows Server 2003 管理ツールを使用する場合は、以降が必要とします。
         

  3. ドメイン メンバー: 強力な (Windows 2000 以降) セッション キーを必要とします。

    1. バック グラウンド

      • ドメイン メンバー: 強力な (Windows 2000 以降) セッション キーを必要とするの設定では、強力な 128 ビットのセッション キーを使用してセキュリティで保護されたチャネル トラフィックを暗号化できないドメイン コント ローラーで、セキュリティで保護されたチャネルを確立できるかどうかを決定します。この設定を有効にするには、強力なキーを使用してセキュリティで保護されたチャネルのデータを暗号化できないドメイン コント ローラーで、セキュリティで保護されたチャネルを確立することができなくなります。この設定を無効にすると、64 ビット セッション キーが使用できます。

      • メンバー ワークステーションまたはサーバーでは、この設定を有効にすることができます、前にメンバーが所属するドメイン内のすべてのドメイン コント ローラーは強力な 128 ビットのキーを使用してセキュリティで保護されたチャネルのデータを暗号化できる必要があります。これは、このようなすべてのドメイン コント ローラーする必要があります、実行されている Windows 2000 またはそれ以降を意味します。

    2. 危険な設定

      有効にすると、ドメイン メンバー: 強力な (Windows 2000 以降) セッション キーを必要とするは有害な構成設定です。

    3. この設定を有効にする理由

      • メンバー コンピューターとドメイン コント ローラーとの間の通信をセキュリティで保護されたチャネルを確立するために使用されるセッション キーは、さらに強力な Windows 2000 の Microsoft オペレーティング システムの以前のバージョンよりも。

      • 可能ですが、ときに、盗聴およびセッション ハイジャック ネットワーク攻撃からセキュリティで保護されたチャネル通信を保護するためにこれらの強力なセッション キーを活用することをお勧めします。盗聴は、ネットワークのデータが読み取られるか、送信中に変更が、悪意のある攻撃です。非表示にするのには、送信者を変更するのにはまたはそれをリダイレクトするのには、データを変更することができます。

      重要 Windows Server 2008 R2 または Windows 7 を実行しているコンピューターは、セキュリティで保護されたチャネルを使用すると、強力なキーのみをサポートしています。この制限には、任意の Windows NT 4.0 ベースのドメインと Windows Server 2008 R2 ベースの任意のドメイン間に信頼関係ができないようにします。さらに、この制限は、Windows 7 または Windows Server 2008 R2 を実行しているコンピューターの Windows NT 4.0 ベースのドメイン メンバーシップをブロックし、その逆です。

    4. この設定を無効にする理由

      ドメインには、Windows 2000、Windows XP、または Windows Server 2003 以外のオペレーティング システムを実行しているメンバー コンピューターが含まれています。

    5. シンボリック名:

      StrongKey

    6. レジストリ パス:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. 互換性の問題の例

      Windows NT 4.0:Windows NT 4.0 ベースのコンピューターで Windows NT 4.0 および NLTEST を Windows 2000 ドメイン間の信頼関係のセキュリティで保護されたチャネルのリセットが失敗します。"アクセスが拒否されました"というエラー メッセージが表示されます。

      プライマリ ドメインと信頼されるドメイン間の信頼関係に失敗しました。

      Windows 7 とサーバー 2008 R2:Windows 7 およびそれ以降のバージョンおよび Windows Server 2008 R2 以降のバージョン、この設定ができなくなった場合に受け付けられません。 と厳密なキーは、常に使用します。このため、Windows NT 4.0 ドメインとの信頼関係ができなくなった場合動作しません。

  4. ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名します。

    1. バック グラウンド

      • 有効にするドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名するすべてのセキュリティで保護されたチャネルのデータを暗号化または署名できないドメイン コント ローラーのセキュリティで保護されたチャネルを確立できなくなります。中間一致攻撃、リプレイ攻撃、およびその他のネットワーク攻撃から認証トラフィックを保護するため、Windows ベースのコンピューターは Net Logon サービスをセキュリティで保護されたチャネルと呼ばれる通信チャネルを作成します。コンピューター アカウントを認証します。セキュリティで保護されたチャネルは、1 つのドメイン内のユーザーがリモート ドメインでネットワーク リソースに接続するときにも使用されます。このマルチ ドメインの認証、またはパススルー認証により、Windows ベースのコンピューター、ドメイン内および信頼されたドメイン ユーザー アカウント データベースへのアクセスにドメインに参加しています。

      • 有効にするのには、ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名するメンバーのコンピューターに設定すると、メンバーが所属するドメイン内のすべてのドメイン コント ローラーする必要があります署名するか、すべてのセキュリティで保護されたチャネル データを暗号化すること。つまり、このようなすべてのドメイン コント ローラーする必要があることで実行される Windows NT 4.0 Service Pack 6a (SP6a) またはそれ以降です。

      • 有効にする、ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名するに自動的に設定により、ドメイン メンバー: 可能な場合)、セキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する設定。

    2. 危険な設定

      有効にすると、ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名するドメインですべてのドメイン コント ローラーが署名または暗号化をセキュリティで保護されたチャネルのデータには、有害な構成設定です。

    3. この設定を有効にする理由

      署名されていないネットワーク トラフィックは、マニュアル、仲介者攻撃は、侵入者がサーバーとクライアント間のパケットをキャプチャし、それらをクライアントに転送する前に変更を受けやすくなります。ライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバーでは、この現象が発生すると、侵入者には、クライアントは LDAP ディレクトリからの間違ったレコードに基づいて意思決定を行う可能性があります。ネットワーク インフラストラクチャを保護するための強力な物理的セキュリティ対策を実装することによってこのような社内ネットワークに対する攻撃のリスクを減らすことができます。さらに、インターネット プロトコル セキュリティ (IPSec) を実装する認証ヘッダー モード攻撃を防ぐに仲介します。このモードは、IP トラフィックに対する相互認証とパケットの完全性を実行します。

    4. この設定を無効にする理由

      • ローカルまたは外部ドメイン内のコンピューターは、暗号化された安全な通信チャネルをサポートしています。

      • ドメイン内のすべてのドメイン コント ローラーには、暗号化された安全な通信チャネルをサポートするために適切なサービス パックのリビジョン レベルがあります。

    5. シンボリック名:

      StrongKey

    6. レジストリ パス:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. 互換性の問題の例

      • Windows NT 4.0:Windows 2000 ベースのメンバー コンピューターは、Windows NT 4.0 ドメインに参加することはできませんし、次のエラー メッセージが表示されます。

        アカウントはこのステーションからログインする権限がありません。

        詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

        エラー メッセージ: アカウントはこのステーションからログインする権限がありません
         

      • Windows NT 4.0:Windows NT 4.0 ドメインは、Windows 2000 ドメインのダウンレベルの信頼を確立することはできませんし、次のエラー メッセージが表示されます。

        アカウントはこのステーションからログインする権限がありません。

        既存のダウンレベルの信頼認証されない場合も、信頼されたドメインからのユーザーです。一部のユーザーは問題をドメインにログオンしている必要があり、クライアントがドメインを検出できないことを示すエラー メッセージが表示される場合があります。

      • Windows XP:Windows NT 4.0 ドメインに参加している Windows XP クライアントのログオンの試行を認証することはできませんし、次のエラー メッセージが表示される場合がありますか、次のイベントをイベント ログに登録することがあります。

        Windows がドメインに接続できないか、ドメイン コント ローラーがダウンしているまたはが使用できないため、コンピューター アカウントが見つかりませんでした。

      • Microsoft ネットワーク:Microsoft ネットワーク クライアントは、次のエラー メッセージのいずれかで表示されます。

        ログオン失敗: 不明なユーザー名またはパスワードが間違っています。

        指定されたログオン セッションのユーザー セッション キーがありません。

  5. Microsoft ネットワーク クライアント: 常に) の通信にデジタル署名

    1. バック グラウンド

      サーバー メッセージ ブロック (SMB) は、多くの Microsoft オペレーティング システムでサポートされているリソース共有プロトコルです。ネットワーク基本入出力システム (NetBIOS) および他の多くのプロトコルの基礎です。SMB 署名は、ユーザーとデータをホストするサーバーの両方を認証します。いずれかの側には、認証プロセスが失敗した場合、データ転送は発生しません。

      SMB SMB プロトコル ネゴシエーション中に開始の署名を有効にします。SMB 署名ポリシーは、コンピューターがクライアントとの通信を常にデジタル署名するかどうかを決定します。

      Windows 2000 SMB 認証プロトコルは、相互認証をサポートします。相互認証」の中間」の攻撃を終了します。Windows 2000 SMB 認証プロトコルには、メッセージの認証もサポートしています。メッセージの認証では、アクティブ メッセージ攻撃を防ぐのに役立ちます。この認証を与えると、SMB 署名では、デジタル署名各 SMB にします。クライアントとサーバーは、デジタル署名を検証します。

      SMB 署名を使用するには、するには、SMB 署名を有効にするか、SMB クライアントと SMB サーバーの両方で SMB 署名を必要とします。SMB 署名が有効な場合、サーバーで smb パケット署名プロトコルをすべての後続セッション中に使用を署名も有効にするクライアント。サーバーで SMB 署名が必要な場合、クライアントは、クライアントが有効になっている SMB 署名に必要な場合を除き、セッションを確立できません。


      高度なセキュリティ ネットワークでデジタル署名を有効にすることを防ぐクライアントおよびサーバーの偽装します。この種の偽装はセッション ハイジャックとして知られています。クライアントまたはサーバーと同じネットワークにアクセスできる攻撃者は、中断または終了したり、実行中のセッションにセッション ハイジャック ツールを使用します。攻撃者はインターセプトし未署名の SMB パケットを変更、トラフィックを変更し、サーバーは、不要な操作を実行するために転送します。または、攻撃者は正当な認証後に、サーバーまたはクライアントとしての問題し、し、データへの不正アクセスを取得します。

      ファイルの共有および Windows 2000 Server、Windows 2000 Professional、Windows XP Professional、または Windows Server 2003 を実行しているコンピューターでプリンターの共有のために使用される SMB プロトコルは、相互認証をサポートします。相互認証では、セッション ハイジャック攻撃を閉じ、メッセージの認証をサポートしています。したがって、マニュアル、仲介者攻撃を防ぎます。SMB 署名には、各 SMB にデジタル署名を配置することによってこの認証が用意されています。クライアントとサーバーは、署名を検証します。

      注:

      • 他の対抗策としては、すべてのネットワーク トラフィックを保護するために IPSec でデジタル署名を有効にできます。IPSec 暗号化と署名サーバーの CPU のパフォーマンスに与える影響を最小限に抑えるために使用できるハードウェア ベースのアクセラレータがあります。SMB 署名の使用可能なそのようなアクセラレータはありません。

        詳細については、マイクロソフトの MSDN web サイトのの章を参照してください。

        ローカルのレジストリ値への変更影響を及ぼしません、オーバーライドするドメイン ポリシーがある場合のための SMB 署名のグループ ポリシー オブジェクト エディターを構成します。

      • Windows 95、Windows 98 および Windows 98 Second Edition の場合は、[ディレクトリ サービス クライアントは NTLM 認証を使用して Windows Server 2003 サーバーで認証するときに SMB 署名を使用します。ただし、これらのクライアントには、SMB 署名の NTLMv2 認証を使用してこれらのサーバーで認証されるときは使えません。さらに、Windows 2000 サーバーは、SMB 署名これらのクライアントからの要求に応答しません。詳細については、10 の項目を参照してください:"ネットワーク セキュリティ: Lan Manager 認証レベルです」。

    2. 危険な設定

      有害な構成設定は、次: 両方のまま、 Microsoft ネットワーク クライアント: (常に通信にデジタル署名の設定とは、 Microsoft ネットワーク クライアント: (サーバーが同意すれば、通信にデジタル署名を行う] に設定」定義されていません"または無効にします。これらの設定は、認証時にパスワード暗号化をサポートしない Microsoft 以外の SMB サーバーにプレーン テキスト パスワードを送信するのにはリダイレクターを使用できます。

    3. この設定を有効にする理由

      有効にするMicrosoft ネットワーク クライアント: 常に) の通信にデジタル署名クライアントが SMB 署名を必要としないサーバーに接続するときは、SMB トラフィックを署名する必要があります。これにより、クライアントのセッション ハイジャック攻撃の脆弱性が減少します。

    4. この設定を無効にする理由

      • 有効にするMicrosoft ネットワーク クライアント: (常に通信にデジタル署名クライアントが SMB 署名をサポートしないサーバーと通信することを防止します。

      • すべての署名されていない SMB 通信を無視するようにコンピューターを構成する接続できなくなります以前のプログラムとオペレーティング ・ システムです。

    5. シンボリック名:

      RequireSMBSignRdr

    6. レジストリ パス:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. 互換性の問題の例

      • Windows NT 4.0:NLTEST または NETDOM を使用して、Windows Server 2003 ドメインと Windows NT 4.0 ドメインとの間の信頼のセキュリティで保護されたチャネルをリセットすることはできませんし、「アクセスが拒否されました」エラー メッセージが表示されます。

      • Windows XP:Windows XP のファイルをコピーと Windows Server 2003 ベースのサーバーに Windows 2000 ベースのサーバーにクライアントでは時間がかかる可能性があります。

      • この設定を有効にすると、クライアントからネットワーク ドライブをマップすることはできませんし、次のエラー メッセージが表示されます。

        アカウントはこのステーションからログインする権限がありません。

    8. 再起動の必要性

      コンピューターを再起動または、ワークステーション サービスを再起動します。これを行うには、コマンド プロンプトで、次のコマンドを入力します。各コマンドを入力した後、Enter キーを押します。

      net stop ワークステーション
      ネット スタートのワークステーション

  6. Microsoft ネットワーク サーバー: 常に) の通信にデジタル署名

    1. バック グラウンド

      • サーバー メッセンジャー ブロック (SMB) は、多くの Microsoft オペレーティング システムでサポートされているリソース共有プロトコルです。ネットワーク基本入出力システム (NetBIOS) および他の多くのプロトコルの基礎です。SMB 署名は、ユーザーとデータをホストするサーバーの両方を認証します。いずれかの側には、認証プロセスが失敗した場合、データ転送は発生しません。

        SMB SMB プロトコル ネゴシエーション中に開始の署名を有効にします。SMB 署名ポリシーは、コンピューターがクライアントとの通信を常にデジタル署名するかどうかを決定します。

        Windows 2000 SMB 認証プロトコルは、相互認証をサポートします。相互認証」の中間」の攻撃を終了します。Windows 2000 SMB 認証プロトコルには、メッセージの認証もサポートしています。メッセージの認証では、アクティブ メッセージ攻撃を防ぐのに役立ちます。この認証を与えると、SMB 署名では、デジタル署名各 SMB にします。クライアントとサーバーは、デジタル署名を検証します。

        SMB 署名を使用するには、するには、SMB 署名を有効にするか、SMB クライアントと SMB サーバーの両方で SMB 署名を必要とします。SMB 署名が有効な場合、サーバーで smb パケット署名プロトコルをすべての後続セッション中に使用を署名も有効にするクライアント。サーバーで SMB 署名が必要な場合、クライアントは、クライアントが有効になっている SMB 署名に必要な場合を除き、セッションを確立できません。


        高度なセキュリティ ネットワークでデジタル署名を有効にすることを防ぐクライアントおよびサーバーの偽装します。この種の偽装はセッション ハイジャックとして知られています。クライアントまたはサーバーと同じネットワークにアクセスできる攻撃者は、中断または終了したり、実行中のセッションにセッション ハイジャック ツールを使用します。攻撃者はインターセプトしサブネット帯域幅マネージャー (SBM) の符号なしのパケットを変更、トラフィックを変更し、サーバーは、不要な操作を実行するために転送します。または、攻撃者は正当な認証後に、サーバーまたはクライアントとしての問題し、し、データへの不正アクセスを取得します。

        ファイルの共有および Windows 2000 Server、Windows 2000 Professional、Windows XP Professional、または Windows Server 2003 を実行しているコンピューターでプリンターの共有のために使用される SMB プロトコルは、相互認証をサポートします。相互認証では、セッション ハイジャック攻撃を閉じ、メッセージの認証をサポートしています。したがって、マニュアル、仲介者攻撃を防ぎます。SMB 署名には、各 SMB にデジタル署名を配置することによってこの認証が用意されています。クライアントとサーバーは、署名を検証します。

      • 他の対抗策としては、すべてのネットワーク トラフィックを保護するために IPSec でデジタル署名を有効にできます。IPSec 暗号化と署名サーバーの CPU のパフォーマンスに与える影響を最小限に抑えるために使用できるハードウェア ベースのアクセラレータがあります。SMB 署名の使用可能なそのようなアクセラレータはありません。

      • Windows 95、Windows 98 および Windows 98 Second Edition の場合は、[ディレクトリ サービス クライアントは NTLM 認証を使用して Windows Server 2003 サーバーで認証するときに SMB 署名を使用します。ただし、これらのクライアントには、SMB 署名の NTLMv2 認証を使用してこれらのサーバーで認証されるときは使えません。さらに、Windows 2000 サーバーは、SMB 署名これらのクライアントからの要求に応答しません。詳細については、10 の項目を参照してください:"ネットワーク セキュリティ: Lan Manager 認証レベルです」。

    2. 危険な設定

      有害な構成設定は、次: 有効にすると、 Microsoft ネットワーク サーバー: (常に通信にデジタル署名サーバーと互換性のない Windows ベースのコンピューターおよびサード ・ パーティによってアクセスされているドメイン コント ローラーの設定ローカルまたは外部ドメイン内のオペレーティング システム ベースのクライアント コンピューターです。

    3. この設定を有効にする理由

      • レジストリで直接、またはグループ ポリシーの設定によっては、この設定を有効にするすべてのクライアント コンピューターは、SMB 署名をサポートします。つまり、この設定を有効にするすべてのクライアント コンピューターは、DS クライアントがインストールされている Windows 98、Windows NT 4.0、Windows 2000、Windows XP Professional、または Windows Server 2003 のいずれかの Windows 95 を実行します。

      • 場合Microsoft ネットワーク サーバー: 常に) の通信にデジタル署名は無効にすると、SMB 署名が完全に無効になっています。すべての SMB を完全に無効にする署名から離れたコンピューターのセッション ハイジャック攻撃を受けやすくなります。

    4. この設定を無効にする理由

      • この設定を有効にする可能性がありますパフォーマンスが低下するファイル コピーし、ネットワーク クライアントのコンピューター。

      • この設定を有効にすると、SMB サーバーとドメイン コント ローラーとの通信の署名をネゴシエートできないクライアントができなくなります。ドメインへの参加、ユーザーおよびコンピューターの認証、ネットワーク アクセスなどの操作が失敗するプログラムで発生します。

    5. シンボリック名:

      RequireSMBSignServer

    6. レジストリ パス:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. 互換性の問題の例

      • Windows 95:ディレクトリ サービス (DS) クライアントがインストールされていない windows 95 クライアントは、ログオンの認証は失敗し、次のエラー メッセージが表示されます。

        指定したドメイン パスワードが正しくないか、またはログオン サーバーへのアクセスが拒否されました。

        詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

        Windows 95 または Windows NT 4.0 のクライアントが Windows Server 2003 ドメインにログオンしたときに、 エラー メッセージ
         

      • Windows NT 4.0:クライアント コンピューターを実行している Windows NT 4.0 のバージョンを Service Pack 3 (SP3) は、ログオンの認証は失敗し、次のエラー メッセージが表示されますより前のとおりです。

        システム ログオンできませんでした。確認して、ユーザー名とドメイン、もう一度パスワードを入力してください。

        一部の Microsoft 以外の SMB サーバーは、認証中に暗号化されていないパスワード交換のみをサポートします。(これらの交換「プレーン テキスト」交換とも呼ばれます。)Windows NT 4.0 SP3 およびそれ以降のバージョンでは、SMB リダイレクター送信しません、暗号化されていないパスワードする SMB サーバーへの認証時に特定のレジストリ エントリを追加する場合を除き、します。
        Windows NT 4.0 SP 3 以降の SMB クライアントで暗号化されていないパスワードを有効にするには、レジストリを次のように変更: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        値の名前: EnablePlainTextPassword

        データ型: REG_DWORD

        データ: 1


        関連するトピックの詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

        エラー メッセージ: システム エラー 1240 が発生しました。アカウントはこのステーションからログインする権限がありません。

      • Windows Server 2003:既定では、Windows Server 2003 を実行するドメイン コント ローラー上のセキュリティ設定がドメイン コント ローラーの通信の傍受または悪意のあるユーザーによって改ざんを防止するために構成されています。ユーザーが Windows Server 2003 を実行しているドメイン コント ローラーと正常に通信する、クライアント コンピューターは両方の SMB 署名および暗号化やセキュリティで保護されたチャネル トラフィックの署名を使用する必要があります。既定では、Service Pack 2 (SP2) を Windows NT 4.0 を実行するか、以前のバージョンがインストールされているクライアントは、Windows 95 を実行しているクライアントはありません SMB パケット署名を有効にします。したがって、これらのクライアントできないことがあります、Windows Server 2003 ベースのドメイン コント ローラーへの認証をします。

      • Windows 2000 および Windows Server 2003 のポリシーの設定:特定のインストール要件と構成によって、次のポリシー設定は、Microsoft 管理コンソールのグループ ポリシー エディター スナップインの階層内で必要なスコープの一番低いエンティティで設定することお勧めします。

        • コンピューターのセキュリティの設定 \ セキュリティ オプション

        • サード ・ パーティ製の SMB サーバーへの接続に暗号化されていないパスワードを送信します。(この設定は、Windows 2000 用)

        • Microsoft ネットワーク クライアント: サード パーティ製の SMB サーバーへの暗号化されていないパスワードを送信(この設定は、Windows Server 2003 用)


      • Samba のバージョンは古いなど、いくつかのサードパーティの CIFS サーバでは、暗号化されたパスワードを使うことはできません。

      • 次のクライアントと互換性がない、 Microsoft ネットワーク サーバー: 常に) の通信にデジタル署名の設定。

        • アップル コンピューター, Inc. は、Mac OS X クライアント

        • Microsoft MS-DOS ネットワーク クライアント (たとえば、Microsoft LAN Manager)

        • ワークグループ クライアント用の Microsoft Windows

        • DS クライアントに Microsoft Windows 95 クライアントがインストールされています。

        • 4.0 ベースのコンピューターに SP3 以降がインストールされている Microsoft Windows NT

        • Novell Netware 6 CIFS クライアント

        • SAMBA SMB クライアントが SMB 署名をサポートする必要はありません。

    8. 再起動の必要性

      コンピューターを再起動またはサーバー サービスを再起動します。これを行うには、コマンド プロンプトで、次のコマンドを入力します。各コマンドを入力した後、Enter キーを押します。

      net stop server
      ネット スタート サーバー

  7. ネットワーク アクセス: 匿名の SID と名前の変換を許可します。

    1. バック グラウンド

      ネットワーク アクセス: 匿名の SID と名前の変換を許可するのセキュリティ設定は、匿名ユーザーが別のユーザーのセキュリティ識別番号 (SID) 属性を要求できるかどうかを決定します。

    2. 危険な設定

      有効にすると、ネットワーク アクセス: 匿名の SID と名前の変換を許可するは有害な構成設定です。

    3. この設定を有効にする理由

      場合は、ネットワーク アクセス: 匿名の SID と名前の変換を許可するの設定では無効になっている、以前のオペレーティング システムまたはアプリケーションは、Windows Server 2003 ドメインと通信できない場合があります。たとえば、次のオペレーティング ・ システム、サービス、またはアプリケーションが動作しない可能性があります。

      • Windows NT 4.0 ベースのリモート アクセス サービス サーバー

      • Windows NT 3.x ベースのコンピューターまたは Windows NT 4.0 ベースのコンピューターで実行されている Microsoft SQL Server

      • Windows NT 3.x ドメインまたは Windows NT 4.0 ドメインにある Windows 2000 ベースのコンピューターで実行されているリモート アクセス サービス

      • SQL Server は、Windows NT 3.x ドメインまたは Windows NT 4.0 ドメインにある Windows 2000 ベースのコンピューターで実行されています。

      • ファイル、共有フォルダー、およびレジストリ オブジェクトを Windows Server 2003 ドメイン コント ローラーを含むアカウント ドメインからユーザー アカウントにアクセスするアクセス許可を付与する必要がある Windows NT 4.0 リソース ドメイン内のユーザー

    4. この設定を無効にする理由

      場合はこの設定を有効にすると、悪意のあるユーザーは、アカウントの名前が変更された場合でも、ビルトインの Administrator アカウントの本当の名前を取得するのにはよく知られている管理者 SID を使用可能性があります。そのユーザーは、パスワード推測攻撃を開始するのにはアカウント名を使用できます。

    5. シンボリック名:該当なし

    6. のレジストリ パス:なし。UI コードのパスが指定されています。

    7. 互換性の問題の例

      Windows NT 4.0:リソース ドメインは、「不明なアカウント」エラー メッセージが表示 ACL エディターで内に存在するセキュリティ プリンシパルを持つ共有フォルダー、共有ファイル、およびレジストリ オブジェクトなどのリソースがセキュリティで保護されている場合、Windows NT 4.0 でコンピューターのアカウント ドメインWindows Server 2003 ドメイン コント ローラーが含まれてください。

  8. ネットワーク アクセス: 匿名の列挙 SAM のアカウントを許可しません。

    1. バック グラウンド

      • ネットワーク アクセス: 匿名の列挙 SAM のアカウントを許可しない追加のアクセス許可は、コンピューターへの匿名接続に付与するかを決定します。Windows では、匿名のユーザーのワークステーションとサーバーのセキュリティ アカウント マネージャー (SAM) アカウントおよびネットワーク共有の名前の列挙など、特定の操作を実行します。など、管理者ことができますを使用して、この相互の信頼を維持しない信頼されたドメイン内のユーザーにアクセスを許可します。セッションが確立されると、匿名ユーザーは Everyone に付与されるアクセスを必要があります [の設定に基づいて、グループ、ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用設定またはの随意アクセス制御リスト (DACL)オブジェクト。

        通常、匿名接続が SMB セッションのセットアップ中に以前のバージョンのクライアント (下位レベルのクライアント) が要求されます。これらの場合では、SMB のプロセス ID (PID) は、匿名接続を確立するなど、Windows 2000 で 0 xfeff または 0xCAFE です。 Windows NT の RPC のクライアント リダイレクターのも試してみましょう、ネットワーク トレースを示しています。

      • 重要: この設定には、ドメイン コント ローラー上の影響はありません。ドメイン コント ローラーでは、この現象は、"Pre-Windows 2000 互換性のある Access"の「NT AUTHORITY\ANONYMOUS ログオン」が存在することによって制御されます。

      • Windows 2000 では、匿名接続の追加の制限と呼ばれるような設定は、レジストリ値RestrictAnonymousを管理します。この値の場所

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA RestrictAnonymous レジストリ値の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

        Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法
         

        は、匿名ログオン ユーザーが利用可能な情報を制限します。
         

    2. 危険な設定

      有効にすると、ネットワーク アクセス: 匿名の列挙 SAM のアカウントを許可しないは互換性の観点からの有害な構成設定です。無効にすることは、セキュリティの観点から有害な構成設定です。

    3. この設定を有効にする理由

      権限のないユーザーは、匿名でアカウント名を一覧表示し、情報を使用してパスワードを推測またはソーシャル エンジニア リング攻撃を実行するでした。ソーシャル エンジニア リングは、ユーザーを騙して、パスワードや何らかのセキュリティ情報を聞き出すことを意味する専門用語です。

    4. この設定を無効にする理由

      この設定を有効にすると、Windows NT 4.0 ドメインとの信頼関係を確立することはできません。この設定には、サーバー上のリソースを使用しようとしているダウンレベル クライアント (Windows NT 3.51 クライアントや Windows 95 クライアント) などで問題が発生します。

    5. シンボリック名:


      RestrictAnonymousSAM

    6. レジストリ パス:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. 互換性の問題の例

    • SMS ネットワーク探索では、オペレーティング システム情報を取得することはできず、できずプロパティに「不明」が書き込まれます。

    • Windows 95、Windows 98:Windows 95 クライアントおよび Windows 98 ベースのクライアントは自分のパスワードを変更することができません。

    • Windows NT 4.0:Windows NT 4.0 ベースのメンバー コンピューターは認証を受けることができません。

    • Windows 95、Windows 98:Windows 95 および Windows 98 ベースのコンピューターはマイクロソフトのドメイン コント ローラーによって認証を受けることができません。

    • Windows 95、Windows 98:Windows 95 および Windows 98 ベースのコンピューター上のユーザーは、ユーザー アカウントのパスワードを変更することができません。

  9. ネットワーク アクセス: アカウントおよび共有は、SAM の匿名の列挙を許可しません。

    1. バック グラウンド

      • ネットワーク アクセス: アカウントおよび共有は、SAM の匿名の列挙を許可しないの設定 ( RestrictAnonymousとも呼ばれます) は、セキュリティ アカウント マネージャー (SAM) アカウントおよび共有の匿名の列挙を許可するかどうかを決定します。Windows では、匿名ユーザーがドメインのアカウント (ユーザー、コンピューター、およびグループ)、およびネットワーク共有の名前の列挙など、特定の操作を実行します。これは、相互の信頼を維持しない信頼されたドメイン内のユーザーにアクセスを許可するのには管理者が希望する場合、便利です。SAM アカウントおよび共有の匿名の列挙を許可したくない場合は、この設定を有効にします。

      • Windows 2000 では、匿名接続の追加の制限と呼ばれるような設定は、レジストリ値RestrictAnonymousを管理します。この値の場所は次の通りです。

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. 危険な設定

      有効にすると、ネットワーク アクセス: アカウントおよび共有は、SAM の匿名の列挙を許可しないは有害な構成設定です。

    3. この設定を有効にする理由

      • 有効にすると、ネットワーク アクセス: できないように匿名の列挙 SAM のアカウントと共有設定は、SAM アカウントおよびユーザーと匿名アカウントを使用しているコンピューターで共有の列挙を禁止します。

    4. この設定を無効にする理由

      • 場合はこの設定を有効にすると、権限のないユーザーでした匿名でアカウント名を一覧表示し、情報を使用してパスワードを推測またはソーシャル エンジニア リング攻撃を実行します。ソーシャル エンジニア リングは、ユーザーを騙して、パスワードや何らかのセキュリティ情報を聞き出すことを意味する専門用語です。

      • 場合この設定を有効にすると、ことがない Windows NT 4.0 ドメインとの信頼関係を確立することです。この設定では、サーバー上のリソースを使用しようとしているクライアントが Windows NT 3.51 や Windows 95 などのダウンレベルのクライアントで問題が発生もします。

      • 信頼する側のドメインの管理者は他のドメイン内のアカウントの一覧を列挙できないために、リソース ドメインのユーザーにアクセスを許可することはできません。ファイル サーバーおよびプリント サーバーに匿名でアクセスするユーザーはこれらのサーバー上の共有ネットワーク リソースの一覧を表示することができません。共有フォルダーおよびプリンターの一覧を表示する前に、ユーザーを認証する必要があります。

    5. シンボリック名:

      RestrictAnonymous

    6. レジストリ パス:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. 互換性の問題の例

      • Windows NT 4.0:ユーザーはRestrictAnonymousがユーザーのドメイン内のドメイン コント ローラー上で有効になっているときに、Windows NT 4.0 ワークステーションからパスワードを変更することができません。

      • Windows NT 4.0:ユーザー マネージャーで Windows NT 4.0 のローカル グループに信頼されている Windows 2000 ドメインからユーザーまたはグローバル グループを追加するが失敗し、次のエラー メッセージが表示されます。

        現在、ログオン要求を処理できるログオン サーバーはありません。

      • Windows NT 4.0:Windows NT 4.0 ベースのコンピューターはセットアップ中に、またはドメインの結合のユーザー インターフェイスを使用してドメインに参加できません。

      • Windows NT 4.0:Windows NT 4.0 リソース ドメインと下位レベルの信頼関係を確立することができなくなります。RestrictAnonymousが信頼される側のドメインで有効にすると、次のエラー メッセージが表示されます。

        このドメインのドメイン コント ローラーを検出できませんでした。

      • Windows NT 4.0:Windows NT 4.0 ベースのターミナル サーバー コンピューターにログオンするユーザーは、ドメイン ユーザー マネージャーが定義されているホーム ディレクトリではなく既定のホーム ディレクトリにマップされます。

      • Windows NT 4.0:Windows NT 4.0 バックアップ ドメイン コント ローラー (Bdc) は Net Logon サービスを開始、バックアップ ブラウザーのリストを取得または Windows 2000、または同じドメイン内の Windows Server 2003 ドメイン コント ローラーから SAM データベースを同期させることができません。

      • Windows 2000:Windows 2000 ベースのメンバーのコンピューターで Windows NT 4.0 のドメインは、クライアント コンピューターのローカル セキュリティ ポリシーで明示的に匿名のアクセス許可のないアクセス不可の設定が有効になっている場合、外部ドメインのプリンターを表示することはできません。

      • Windows 2000:Windows 2000 ドメインのユーザーを Active Directory からネットワーク プリンターを追加することにすることはできません。ただし、ツリー ビューから選択した後、プリンターを追加することがあります。

      • Windows 2000:Windows 2000 ベースのコンピューターでは、ACL エディターは信頼されている Windows NT 4.0 ドメインからユーザーまたはグローバル グループを追加することができません。

      • ADMT バージョン 2:アクティブなディレクトリ移行ツール (ADMT) バージョン 2 のフォレスト間で移行したユーザー アカウントのパスワードの移行は失敗します。

        詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

        ADMTv2 を使用してフォレスト間のパスワード移行のトラブルシューティングを行う方法

      • Outlook クライアント:グローバル アドレス一覧は、Microsoft Exchange の Outlook クライアントには、空で表示されます。

        詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

        低速の SMB のパフォーマンスと、Windows XP から Windows 2000 ドメイン コント ローラーにファイルをコピーします。

      • SMS:Microsoft Systems Management Server (SMS) のネットワーク探索は、オペレーティング システム情報を取得することができません。できずプロパティ、データ探索レコード (DDR) の SMS DDR プロパティの「不明」が作成されます。

      • SMS:ユーザーおよびグループを参照するのには、SMS 管理者のユーザー ウィザードを使用すると、ユーザーまたはグループは表示されません。さらに、アドバンスト クライアントは、管理ポイントと通信できません。管理ポイント上の匿名アクセスが必要です。

      • SMS:機能を使用してネットワーク探索とリモート クライアントのインストールで SMS 2.0 では、トポロジ、クライアント、およびクライアントのオペレーティング システムネットワーク探索オプションを有効、コンピューターが検出される場合がありますが、インストールされていない可能性があります。

  10. ネットワーク セキュリティ: Lan Manager 認証レベル

    1. バック グラウンド

      LAN Manager (LM) 認証は、ネットワーク リソース、およびユーザーまたはコンピューターの認証へのアクセス、ドメインへの参加を含む、ネットワーク操作に関する Windows クライアントの認証に使用されるプロトコルです。LM 認証レベルは、クライアント コンピューターとサーバー コンピューター間でネゴシエートするチャレンジ/レスポンス認証プロトコルを決定します。具体的には、LM 認証レベルは、クライアントがネゴシエートしようとするか、サーバーが受け入れる認証プロトコルを決定します。LmCompatibilityLevel に設定されている値では、ネットワーク ログオン時に使用するチャレンジ/レスポンス認証プロトコルを決定します。この値は、クライアントが使用する認証プロトコルのレベル、ネゴシエートされるセッション セキュリティのレベルおよびサーバーが受け付ける認証のレベルに影響します。

      使用可能な設定は次のとおりです。

      設定

      説明

      0

      LM と NTLM 応答を送信します。

      クライアントでは、LM および NTLM 認証を使用し、NTLMv2 セッション セキュリティを使用しません。ドメイン コント ローラーは、LM、NTLM、および NTLMv2 認証を受け入れます。

      1

      LM と NTLM を送信 - ネゴシエーションの場合、NTLMv2 セッション セキュリティを使用してください

      クライアントは LM および NTLM 認証を使用してし、サーバーでサポートされている場合、NTLMv2 セッション セキュリティを使用します。ドメイン コント ローラーは、LM、NTLM、および NTLMv2 認証を受け入れます。

      2

      NTLM 応答のみ送信します。

      クライアントは NTLM 認証のみを使用してし、サーバーでサポートされている場合、NTLMv2 セッション セキュリティを使用します。ドメイン コント ローラーは、LM、NTLM、および NTLMv2 認証を受け入れます。

      3

      NTLMv2 応答のみ送信します。

      クライアントは NTLMv2 認証のみを使用してし、サーバーでサポートされている場合、NTLMv2 セッション セキュリティを使用します。ドメイン コント ローラーは、LM、NTLM、および NTLMv2 認証を受け入れます。

      4

      NTLMv2 応答のみ送信すると、LM を拒否します。

      クライアントは NTLMv2 認証のみを使用してし、サーバーでサポートされている場合、NTLMv2 セッション セキュリティを使用します。ドメイン コント ローラーは、LM を拒否して、NTLM および NTLMv2 認証のみを受け入れます。

      5

      NTLMv2 応答のみ送信すると、LM と NTLM を拒否します。

      クライアントは NTLMv2 認証のみを使用してし、サーバーでサポートされている場合、NTLMv2 セッション セキュリティを使用します。ドメイン コント ローラーは、LM および NTLM を拒否して、NTLMv2 認証のみを受け入れます。

    2. Windows 95、Windows 98 および Windows 98 Second Edition の場合は、[ディレクトリ サービス クライアントは NTLM 認証を使用して Windows Server 2003 サーバーで認証するときに SMB 署名を使用します。ただし、これらのクライアントには、SMB 署名の NTLMv2 認証を使用してこれらのサーバーで認証されるときは使えません。さらに、Windows 2000 サーバーは、SMB 署名これらのクライアントからの要求に応答しません。

      LM 認証レベルを確認する:NTLM を許可するサーバー上のポリシーを変更する必要がありますか、NTLMv2 をサポートするためにクライアント コンピューターを構成する必要があります。

      ポリシーが設定されている場合(5) の NTLMv2 応答のみ LM と NTLM をに接続するターゲット コンピューターでそのコンピューター上の設定を下げるかを元のコンピューターに接続しているのと同じ設定にセキュリティを設定ecting。

      LAN マネージャーを変更することが適切な場所に、クライアントとサーバーを同じレベルに設定するのには認証レベルを検索します。以前のバージョンの Windows を実行しているコンピューターとの間を接続する場合は、LAN manager 認証レベルを設定しているポリシーを確認した後に値を下げるには、少なくとも(1) 送信 LM と NTLM を使用して、NTLM バージョン 2 セッション セキュリティ場合ネゴシエートされたです。互換性のない設定の 1 つの効果は、サーバーが NTLMv2 を必要とする場合 (値 5) の場合、クライアントは LM および NTLMv1 のみ (値 0) を使用するように構成されて、認証をしようとしたユーザー エクスペリエンスの無効なパスワードを持つ、不良をインクリメントして、ログオンに失敗したのですが、パスワードの数。アカウント ロックアウトを構成する場合、ユーザーが最終的にロックアウトされます。

      ドメイン コント ローラーで、検索する必要がありますなど、ドメイン コント ローラーのポリシーを確認する必要があります。

      ドメイン コント ローラー上に表示します。

    3. すべてのドメイン コント ローラーで次の手順を繰り返すことがあります。

      1. [スタート] ボタンし、プログラム] をポイントし、[管理ツール] をクリックします。

      2. [ローカル セキュリティの設定ローカル ポリシーを展開します。

      3. [セキュリティ オプション] をクリックします。

      4. ダブルクリックネットワーク セキュリティ: LAN manager 認証レベル、リスト内の値をクリックします。


      有効な設定とローカルの設定が同じ場合は、このレベルでポリシーを変更されています。設定が異なる場合は、決定する、ドメイン コント ローラーのポリシーをチェックする必要があるかどうか、ネットワーク セキュリティ: LAN manager 認証レベルの設定が定義されています。定義されていませんが場合、は、ドメイン コント ローラーのポリシーを確認します。

      調べるドメイン コント ローラーのポリシー

      1. [スタート] ボタンし、プログラム] をポイントし、[管理ツール] をクリックします。

      2. ドメイン コント ローラー セキュリティポリシーでセキュリティの設定] を展開し、し、[ローカル ポリシー] を展開します。

      3. [セキュリティ オプション] をクリックします。

      4. ダブルクリックネットワーク セキュリティ: LAN manager 認証レベル、リスト内の値をクリックします。


      Note

      • LAN manager 認証レベルを構成する必要がありますを決定する (OU) レベル、サイト レベル、ドメイン レベル、または組織単位にリンクされているポリシーを確認することもあります。

      • 既定のドメイン ポリシーとしてグループ ポリシー設定を実装する場合は、ドメイン内のすべてのコンピューターにポリシーが適用されます。

      • 既定のドメイン コント ローラーのポリシーとしてグループ ポリシー設定を実装する場合は、ドメイン コント ローラーの OU 内のサーバーにのみ、ポリシーが適用されます。

      • ポリシー アプリケーションの階層内で必要なスコープの一番低いエンティティで LAN manager 認証レベルを設定することをお勧めします。

      Windows Server 2003 には、ntlmv2 認証のみ使用する新しい既定の設定があります。既定では、Windows Server 2003 と Windows 2000 Server SP3 ベースのドメイン コント ローラーが有効に、"Microsoft ネットワーク サーバー: (常に通信にデジタル署名を行う"ポリシー。この設定は、SMB サーバーで SMB パケット署名を実行する必要があります。ドメイン コント ローラー、ファイル サーバー、ネットワーク インフラストラクチャ サーバー、および組織内の Web サーバーのセキュリティを最大化するためのさまざまな設定を必要とするため、Windows Server 2003 への変更が行われました。

      ネットワークで NTLMv2 認証を実装する場合は、この認証レベルを使用するドメイン内のすべてのコンピューターが設定されているを確認する必要があります。Active Directory クライアント拡張機能の Windows 95 または Windows 98 および Windows NT 4.0 を適用すると、クライアント拡張機能は、NTLMv2 で使用可能な強化された認証機能を使用します。次のオペレーティング システムのいずれかを実行しているクライアント コンピューターは、Windows 2000 グループ ポリシー オブジェクトの影響を受けません、これらのクライアントを手動で構成する必要があります。

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

    4. 有効にした場合、

    5. ポリシーまたは

    6. レジストリ キーのセットは、Windows 95 および Windows 98 ベースのクライアントがインストールされているディレクトリ サービス クライアントがないことはできませんパスワードの変更後、ドメインにログオンします。

      Novell Netware 6 など、多くのサード ・ パーティ製 CIFS サーバは、NTLMv2 を認識しないと NTLM を使用するだけです。したがって、レベル 2 以上では、接続が許可されません。拡張セッションのセキュリティを使用していないサード パーティ製の SMB クライアントもあります。これらの場合では、リソース サーバーの LmCompatiblityLevel が考慮されていません。サーバーは、この従来の要求をパックし、ユーザーのドメイン コント ローラーに送信します。ドメイン コント ローラーの設定は、要求を確認するのにはどのようなハッシュを使用して、ドメイン コント ローラーのセキュリティ要件を満たしているかどうかこれらを決定します。

      LAN manager 認証レベルを手動で構成する方法の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

      Windows NT 上の LM 認証を無効にする方法
       

      Windows Active Directory とローカルの SAM データベースのパスワードの LAN manager のハッシュを格納するを防ぐ方法
       

      Outlook は引き続きログオン資格情報を要求する
       

      監査イベントは、NTLMv2 ではなく NTLMv1 として認証パッケージを示しています。 LM 認証レベルの詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

      NTLM 2 認証を有効にする方法
       

    7. 危険な設定

      有害な構成設定は、次のように。

      • 制限のない設定がクリア テキストでパスワードを送信して、NTLMv2 ネゴシエーションを拒否します。

      • 互換性のないクライアントまたはドメイン コント ローラーが共通の認証プロトコルをネゴシエートできない、制限の厳しい設定

      • メンバー コンピューターとドメイン コント ローラーのバージョンの Windows NT 4.0 Service Pack 4 (SP4) より前のバージョンを実行している上で NTLMv2 認証を必要とします。

      • Windows 95 クライアントまたは Windows ディレクトリ サービス クライアントがインストールされていない Windows 98 クライアントで、NTLMv2 認証を必要とします。

      • Windows Server 2003 または Windows 2000 Service Pack 3 ベースのコンピューターで Microsoft 管理コンソールのグループ ポリシー エディター スナップインで、[ NTLMv2 セッション セキュリティ] チェック ボックスを選択する] をクリックして、LAN manager 認証レベルを低く場合0、2 つの設定の競合とする可能性があります次エラー メッセージが表示、Secpol.msc ファイルまたは GPEdit.msc ファイルで。

        Windows は、ローカル ポリシー データベースを開くことができません。データベースを開こうとすると、不明なエラーが発生しました。

        セキュリティの構成と分析ツールの詳細については、Windows 2000 または Windows Server 2003 のヘルプ ファイルを参照してください。

    8. この設定を変更する理由

      • クライアントと組織内のドメイン コント ローラーでサポートされている最下位の一般的な認証プロトコルを増やしたいとするとします。

      • ビジネス要件をセキュリティで保護された認証には、LM および NTLM プロトコルのネゴシエーションを禁止します。

    9. この設定を無効にする理由

      共通のプロトコルの認証を実行できない点には、クライアントまたはサーバーの認証の要件、またはその両方を増加しています。

    10. シンボリック名:

      LmCompatibilityLevel

    11. レジストリ パス:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    12. 互換性の問題の例

      • Windows Server 2003:既定では、Windows Server 2003 NTLMv2 送信する NTLM 応答の設定が有効になっています。したがって、Windows Server 2003 なども発生します、LanManager V2.1 ベースのサーバーまたは Windows NT 4.0 ベースのクラスターに接続しようとすると、最初のインストール後「アクセスが拒否されました」のエラー メッセージを受信します。この問題は、以前のバージョンのクライアントから Windows Server 2003 ベースのサーバーに接続しようとする場合にも発生します。

      • Windows 2000 セキュリティ ロールアップ パッケージ 1 (SRP1) をインストールするとします。SRP1 では、NTLM バージョン 2 (NTLMv2) を強制します。このプログラムのロールアップ パッケージは、Windows 2000 Service Pack 2 (SP2) のリリース後にリリースされました。SRP1 の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

        Windows 2000 セキュリティ ロールアップ パッケージ 1、2002 年 1 月
         

      • Windows 7 および Windows Server 2008 R2: Novell Netware 6 または Linux ベースの Samba サーバーなど、多くのサード ・ パーティ製 CIFS サーバは、NTLMv2 を認識しないと、NTLM のみを使用しています。したがって、レベル 2 以上では、接続が許可されません。今すぐこのバージョンのオペレーティング システムでは、LmCompatibilityLevel の既定値が「3」に変更されました。ように Windows をアップグレードするときにこれらのサード パーティ製のファイラ機能しなくなります。

      • Microsoft Outlook クライアントは、既にログオンしているドメインにも、資格情報を求められます。ユーザーが資格情報を入力すると次のエラー メッセージが表示されます: Windows 7 および Windows Server 2008 R2

        指定されたログオン資格情報が正しくなかった。ユーザー名とドメイン名、もう一度パスワードを入力することを確認してください。

        Outlook を起動すると、する必要があります、資格情報をログオン ネットワーク セキュリティ設定がパスワード認証をパススルーする場合でも。適切な資格情報を入力すると、次のエラー メッセージが表示される場合があります。

        指定されたログイン資格情報が正しくなかった。

        ネットワーク モニター トレースでは、グローバル カタログに、状態が 0x5 のリモート プロシージャ コール (RPC) 違反が発行されたことを表示する可能性があります。状態 0x5 は、「アクセスは拒否されました」です。

      • Windows 2000:ネットワーク モニターのキャプチャ表示することが次のエラー、NetBIOS サーバー メッセージ ブロック (SMB) セッションの TCP/IP (NetBT) を介して。

        SMB R の検索ディレクトリの Dos エラー、(5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) の無効なユーザー識別子

      • Windows 2000:NTLMv2 レベル 2 以降の Windows 2000 ドメインは、Windows NT 4.0 ドメインによって信頼されて、リソース ドメイン内の Windows 2000 ベースのメンバー コンピューターで認証エラーが発生する可能性があります。

      • Windows 2000 および Windows XP:既定では、Windows 2000 および Windows XP は 0 に、LAN Manager 認証レベル [ローカル セキュリティ ポリシー オプションを設定します。0 に設定と、送信 LM と NTLM 応答します]

      • Windows NT 4.0 ベースのクラスターでは、管理用 LM を使用する必要があります。

      • Windows 2000:Windows 2000 のクラスタ リングを認証しないノードが参加する両方のノードが Windows NT 4.0 Service Pack 6a の一部である場合 (SP6a) のドメインです。

      • IIS Lockdown ツール (HiSecWeb) では、LMCompatibilityLevel の値を 5 と 2 に RestrictAnonymous の値に設定します。

      • Macintosh 用のサービス

        ユーザー認証モジュール (UAM):Microsoft UAM (ユーザー認証モジュール) は、Windows の AFP (AppleTalk ファイリング プロトコル) サーバーへのログオンに使用するパスワードを暗号化する方法を提供します。Apple ユーザー認証モジュール (UAM) は、最小限、または暗号化なし。したがって、パスワードは、LAN 上またはインターネット上に簡単に傍受可能性があります。UAM は、必須ではありません、暗号化された認証が、Macintosh 用のサービスを実行している Windows 2000 サーバーにします。このバージョンには、NTLMv2 128 ビット暗号化された認証および MacOS X 10.1 対応のリリースのサポートが含まれています。

        既定では、Macintosh サーバーの Windows Server 2003 のサービスは、Microsoft 認証のみを許可します。


        詳細については、マイクロソフトサポート技術記事を表示する次の資料番号をクリックしてください。

        Macintosh クライアントは、Windows Server 2003 上で Mac 用のサービスに接続できません。

      • Windows Server 2008、Windows Server 2003、Windows XP および Windows 2000:0 または 1 であるし、1 NoLMHash 値を設定するには、LMCompatibilityLevel 値を構成すると、アプリケーションやコンポーネントがアクセスが拒否される NTLM を使用します。LM を有効にするのには、LM に格納されているパスワードを使用しないように、コンピューターが構成されているために、この問題が発生します。

        NoLMHash 値を 1 を構成する場合は、LMCompatibilityLevel の値が 2 以上にするを構成する必要があります。

  11. ネットワーク セキュリティ: LDAP クライアントの署名の要件

    1. バック グラウンド

      ネットワーク セキュリティ: LDAP クライアントの要件を署名設定では、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) のバインドを発行するクライアントに代わって要求されるデータ署名のレベルは次のように要求を決定します。

      • なし: LDAP BIND 要求は呼び出し元が指定したオプションを使用して発行します。

      • ネゴシエーション署名: LDAP BIND 要求が LDAP データ署名オプションがさらに、呼び出し元が指定したオプション設定を使用して開始して、Secure Sockets Layer とトランスポート層セキュリティ (SSL および TLS) が起動されていない場合。SSL や TLS を開始すると、LDAP BIND 要求は呼び出し元が指定したオプションを使用して開始されます。

      • 署名必須: これは、ネゴシエーション署名と同じです。ただし、LDAP サーバーの中間 saslBindInProgress 応答が LDAP トラフィックの署名が必要であるを示していない場合、呼び出し元指示、LDAP BIND コマンド要求が失敗しました。

    2. 危険な設定

      有効にすると、ネットワーク セキュリティ: LDAP クライアントの要件を署名は有害な構成設定です。LDAP 署名を要求するサーバーを設定する場合、クライアントでも LDAP 署名を構成する必要もあります。LDAP 署名を使用するクライアントを構成しないと、サーバーとの通信ができなくなります。これが原因でユーザーの認証、グループ ポリシーの設定、ログオン スクリプト、およびその他の機能が失敗します。

    3. この設定を変更する理由

      署名されていないネットワーク トラフィックは、影響を受けやすい攻撃に悪用される中間に侵入者がクライアントとサーバー間でパケットをキャプチャ、それらを変更後、サーバーに転送します。この問題が発生するは、LDAP サーバーに対して、攻撃者によってサーバーが LDAP クライアントから偽のクエリに応答する可能性があります。ネットワーク インフラストラクチャを保護するための強力な物理的セキュリティ対策を実装することにより企業ネットワークにおけるこのリスクを減らすことができます。さらに、IPSec 認証ヘッダーを使用してすべてのネットワーク パケットにデジタル署名を要求することによってすべての種類の中間で攻撃を防ぐのに役立ちます。

    4. シンボリック名:

      LDAPClientIntegrity

    5. レジストリ パス:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. イベント ログ: セキュリティ ログの最大サイズ

    1. バック グラウンド

      イベント ログ: セキュリティ ログの最大サイズセキュリティの設定がセキュリティ イベント ログの最大サイズを指定します。このログには、4 GB の最大サイズがあります。この設定を見つけるには、次のように展開します。
      Windows の設定セキュリティ設定を展開します。

    2. 危険な設定

      有害な構成設定は、次のように。

      • セキュリティ ログのサイズおよびセキュリティ ログの保存方法を制限する場合、監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャット ダウン設定を有効にします。参照してください、「監査: セキュリティ監査ログを記録できない場合は直ちにシステムをシャット ダウン」の詳細についてはこの資料のセクション。

      • 関心のあるセキュリティ イベントが上書きされるため、セキュリティ ログのサイズを制限します。

    3. この設定を大きく理由

      時間の長時間にわたってセキュリティ ログを保持するまたはその他のセキュリティ ログの詳細を処理するためには、セキュリティ ログのサイズを増加するビジネスおよびセキュリティ要件が定まることもあります。

    4. この設定を小さく理由

      イベント ビューアーのログは、メモリ マップ ファイルです。イベント ログの最大サイズは、ローカル コンピューターの物理メモリの容量とイベント ログの処理に使用可能な仮想メモリによって制限されます。イベント ビューアーを使用可能な仮想メモリの量を超えるログ サイズを大きくしても、保持されるログ エントリの数は増加しません。

    5. 互換性の問題の例

      Windows 2000:実行しているコンピューターの Windows 2000 のバージョンを以前の Service Pack 4 (SP4) がイベント ログにログの最大サイズイベントを上書きしない場合、イベント ビューアーの設定で指定されているサイズに達する前にイベントをログ出力を停止する可能性がありますよりも(手動でログを消去)オプションをオンにします。


      詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

      イベント ログをイベント ログの最大サイズに到達する前にログの記録停止します。
       

  13. イベント ログ: セキュリティ ログを保存します。

    1. バック グラウンド

      イベント ログ: セキュリティ ログの保存セキュリティ設定は、セキュリティ ログの「ラッピング」方法を決定します。この設定を見つけるには、 Windows の設定] を展開してセキュリティ設定を展開します。

    2. 危険な設定

      有害な構成設定は、次のように。

      • 保存に失敗してすべて記録されたセキュリティ イベントが上書きされます。

      • 小さすぎる設定するセキュリティ イベントが上書きされるため、セキュリティ ログの最大サイズを構成します。

      • セキュリティ ログ サイズおよび保存方法を制限する、監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャット ダウンセキュリティの設定が有効になっています。

    3. この設定を有効にする理由

      日数を過ぎたら上書き保存の方法を選択した場合のみ、この設定を有効にします。イベントをポーリングするイベント相関システムを使用する場合は、日数がポーリング周期の 3 倍以上であることを確認ください。失敗したポーリング ・ サイクルでは、この操作を行います。

  14. ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用

    1. バック グラウンド

      既定では、ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用に定義されていないWindows Server 2003 上に設定されています。既定では、Windows Server 2003 を含まない匿名のアクセス トークン内のすべてのユーザー グループです。

    2. 互換性の問題の例

      次の値

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] Windows Server 2003 ドメインは、アカウント ドメインとリソース ドメインを Windows NT 4.0 ドメインでは、Windows Server 2003 と Windows NT 4.0 との間の区切りの信頼の作成を 0x0 を = します。これは、Windows NT 4.0 アカウント ドメインを信頼されて、リソース ドメインは、Windows Server 2003 にある [信頼する側を意味します。ACL は、最初の匿名の接続後は、信頼関係を開始するプロセスは、すべてのユーザーと Windows NT 4.0 上の匿名の SID を含むトークンがあるために、この現象が発生します。

    3. この設定を変更する理由

      値を 0x1 に設定するかをドメイン コント ローラーの OU に GPO を使用して設定する必要があります:ネットワーク アクセス: Everyone のアクセス許可が有効になっている匿名ユーザーに適用、信頼の作成を可能にします。

    4. 他のほとんどのセキュリティ設定は、代わりに値を 0x0 の最もセキュリティで保護された状態の下で上へ移動します。安全な方法は、すべてのドメイン コント ローラーの代わりに、プライマリ ドメイン コント ローラー エミュレーターでレジストリを変更することです。何らかの理由でプライマリ ドメイン コント ローラー エミュレーターの役割を移動する場合は、新しいサーバー上でレジストリを更新しなければなりません。

      この値を設定した後、再起動する必要があります。

    5. レジストリ パス

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. NTLMv2 認証

    1. セッション セキュリティ

      セッション セキュリティは、クライアントおよびサーバー セッションの最低限のセキュリティ標準を決定します。Microsoft 管理コンソールのグループ ポリシー エディター スナップインで次のセキュリティ ポリシーの設定を確認することをお勧めします。

      • コンピューター構成の設定セキュリティの設定ローカル ポリシー セキュリティ オプション

      • ネットワーク セキュリティ: セキュア RPC を含む) NTLM SSP 最小のセッション セキュリティ ベースのサーバー

      • ネットワーク セキュリティ: セキュア RPC を含む) NTLM SSP 最小のセッション セキュリティ ベースのクライアント

      これらの設定のオプションは次のとおりです。

      • メッセージの整合性を必要とします。

      • メッセージの機密性を必要とします。

      • NTLM バージョン 2 を必要とするセッションのセキュリティ

      • 128 ビット暗号化を要求します。

      Windows 7 より前の既定の設定は、要件はありません。Windows 7 以降では、既定の変更を必要とする 128 ビットの暗号化にセキュリティ強化するため。このデフォルトでは、128 ビット暗号化をサポートしないレガシ デバイスは接続することができません。

      これらのポリシーは、サーバー上のアプリケーション間の通信セッションのクライアントの最小のセキュリティ標準を決定します。

      有効な設定として書かれて、ノート フラグは、メッセージの整合性と機密性を必要とする使われていないこと NTLM セッション セキュリティを決定するときに注意してください。

      従来、Windows NT には、ネットワーク ログオン時に次の 2 種類のチャレンジ/レスポンス認証がサポートされています。

      • LM チャレンジ/レスポンス

      • NTLM version 1 のチャレンジ/レスポンス

      LM は、インストール ベースのクライアントとサーバーとの相互運用を使用できます。NTLM は、クライアントとサーバー間の接続のセキュリティの向上を提供します。

      対応するレジストリ キーは次のとおりです。

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. 危険な設定

      この設定では、NTLM を使用してセキュリティで保護されたネットワーク セッションの処理方法を制御します。たとえば、NTLM では、認証された RPC ベースのセッションに影響します。次のようなリスクがあります。

      • 通信は、単純なハッシュ方法により攻撃を容易に NTLMv2 よりも以前の認証方法を使用します。

      • 128 ビットよりも下位の暗号化キーを使用すると、攻撃者がブルート フォース攻撃を使用して通信を中断するができます。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

フィードバックをお送りいただきありがとうございます!

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×