トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

ローカルアカウントのネットワーク越しの操作制限、ログオン防止

Last-modified: 2020-10-29 (木) 17:28:33
Top/ローカルアカウントのネットワーク越しの操作制限、ログオン防止

・Pass the Hash

目的

ローカルアカウントやGuest、Anonymous がネットワーク越しに端末やサーバーを操作するのを防止します。グループポリシーで設定を実施します。

設定内容

利用可能 OS

Windows 7 以降、Windows Serer 2008 R2 以降

AD要件

なし

機能

ローカルアカウントに対する新しい Well-Known SID の割り当てを利用しローカルアカウントへの制限を実施します。

  • S-1-5-113 ローカル アカウント
  • S-1-5-114 ローカル アカウントと Administrators グループのメンバー

効果

グループポリシーを利用することで、ローカルアカウントへの制限が容易になります。

注意事項

LSASS メモリ以外に保存されている資格情報は機能の対象外です。

ポリシー

①ネットワーク経由のアクセスを拒否

  1. [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ユーザー権利の割り当て]>[ネットワーク経由のアクセスを拒否] をクリックし、[これらのポリシーの設定を定義する] にチェックボックスを入れます。
  2. [ユーザーまたはグループの追加] をクリックします。
  3. [参照]をクリックします。
  4. [場所]をクリックします。
  5. ドメイン名ではなくローカルサーバーをクリックし、[OK] をクリックます。
  6. "ローカル" と入力し、[名前の確認] をクリックします。
  7. "ローカル アカウント" と "ローカル アカウントと Administrators グループのメンバー" を指定し、[OK] をクリックします。
  8. "Guests” と入力し、[名前の確認] をクリックします。
  9. "ANONYMOUS LOGON" と入力し、[名前の確認] をクリックします。
  10. [OK] をクリックします。
  11. [OK] をクリックします。

②リモート デスクトップ サービスを使ったログオンを拒否

  1. [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ユーザー権利の割り当て]>[リモートデスクトップサービスを使ったログオン拒否] をクリックし、 [これらのポリシーの設定を定義する] にチェックボックスを入れます。
  2. [ユーザーまたはグループの追加] をクリックします。
  3. [参照]をクリックします。
  4. [場所]をクリックします。
  5. ドメイン名ではなくローカルサーバーをクリックし、[OK] をクリックます。
  6. "ローカル" と入力し、[名前の確認] をクリックします。
  7. "ローカル アカウント" と "ローカル アカウントと Administrators グループのメンバー" を指定し、[OK] をクリックします。
  8. "Guests” と入力し、[名前の確認] をクリックします。
  9. [OK] をクリックします。
  10. [OK] をクリックします。

関連情報

セキュリティ識別子の技術概要: https://technet.microsoft.com/ja-jp/library/dn743661(v=ws.11).aspx