ローカルアカウントのネットワーク越しの操作制限、ログオン防止
Last-modified: 2020-10-29 (木) 17:28:33
Top/ローカルアカウントのネットワーク越しの操作制限、ログオン防止
目的 †
ローカルアカウントやGuest、Anonymous がネットワーク越しに端末やサーバーを操作するのを防止します。グループポリシーで設定を実施します。
設定内容 †
利用可能 OS †
Windows 7 以降、Windows Serer 2008 R2 以降
AD要件 †
なし
機能 †
ローカルアカウントに対する新しい Well-Known SID の割り当てを利用しローカルアカウントへの制限を実施します。
- S-1-5-113 ローカル アカウント
- S-1-5-114 ローカル アカウントと Administrators グループのメンバー
効果 †
グループポリシーを利用することで、ローカルアカウントへの制限が容易になります。
注意事項 †
LSASS メモリ以外に保存されている資格情報は機能の対象外です。
ポリシー †
①ネットワーク経由のアクセスを拒否 †
- [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ユーザー権利の割り当て]>[ネットワーク経由のアクセスを拒否] をクリックし、[これらのポリシーの設定を定義する] にチェックボックスを入れます。
- [ユーザーまたはグループの追加] をクリックします。
- [参照]をクリックします。
- [場所]をクリックします。
- ドメイン名ではなくローカルサーバーをクリックし、[OK] をクリックます。
- "ローカル" と入力し、[名前の確認] をクリックします。
- "ローカル アカウント" と "ローカル アカウントと Administrators グループのメンバー" を指定し、[OK] をクリックします。
- "Guests” と入力し、[名前の確認] をクリックします。
- "ANONYMOUS LOGON" と入力し、[名前の確認] をクリックします。
- [OK] をクリックします。
- [OK] をクリックします。
②リモート デスクトップ サービスを使ったログオンを拒否 †
- [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ユーザー権利の割り当て]>[リモートデスクトップサービスを使ったログオン拒否] をクリックし、 [これらのポリシーの設定を定義する] にチェックボックスを入れます。
- [ユーザーまたはグループの追加] をクリックします。
- [参照]をクリックします。
- [場所]をクリックします。
- ドメイン名ではなくローカルサーバーをクリックし、[OK] をクリックます。
- "ローカル" と入力し、[名前の確認] をクリックします。
- "ローカル アカウント" と "ローカル アカウントと Administrators グループのメンバー" を指定し、[OK] をクリックします。
- "Guests” と入力し、[名前の確認] をクリックします。
- [OK] をクリックします。
- [OK] をクリックします。
関連情報 †
セキュリティ識別子の技術概要: https://technet.microsoft.com/ja-jp/library/dn743661(v=ws.11).aspx