・レベル1セキュリティ構成(Windows 10)
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
詳細設定対策に必要な措置
・Windows Server 2016 Domain Controller
Windows 10 のセキュリティ構成 †
このセキュリティ構成は、Microsoft が定めた The Security Configuration Framework の Level 1 Enterprise Basic Security をベースとし、Office 2016/2019、Acrobat Reader のポリシーを追加し、Office 文書や PDF を悪用した悪意あるプログラムの初期侵入や実行を防止するために策定されたものです。
Windows 堅牢化のためのセキュリティ構成フレームワーク (Security Configuration Framework: SecCon) †
設定による影響 †
- 脆弱性のある危険なプロトコル (SMBv1) を禁止している関係で、古い互換性のないNASに接続できない可能性があります。
- リモート接続や共有へのアクセスの厳格化や防御設定によって、一部、アプリケーションが動作しないなどの影響が考えられます。事前に、テスト用の OU を作成し、設定を検証してください。
- Office 2016/2019/365 ではマクロの実行に影響が出ます。
- Office マクロの影響 を参考にしてください。
- Acrobat、Chrome、Edgeなどの動作には影響があったとの報告は受けていません。
設定によって影響が出た場合 †
- 影響が発生した端末、サーバー、ドメインコントローラーの、それぞれのOSのバージョン、ビルド番号、ドメインの機能レベル、現象の詳細をご一報ください。
前提となるハードウェア構成 †
- トラステッドプラットフォームモジュール(TPM)2.0
- Bitlockerドライブ暗号化
- UEFIセキュアブート
- Windows Updateを通じて配布されるドライバーとファームウェア
グループポリシーの管理用テンプレートの設定 †
ドメインコントローラーには、すべての管理用テンプレートはインストールされていません。以下のリンクを参照して、グループポリシー管理用テンプレートのセントラルストアを作成してください。
なお、Windows 10 の半期リリースごとの機能の更改に伴い、管理用テンプレートも追加、廃止されますので、ご注意ください。
Windows でグループ ポリシー管理用テンプレート用のセントラル ストアを作成および管理する方法~ †
適用するポリシー †
・L1 アカウントポリシー
・L1 ローカルポリシー ユーザー権利の割り当て
・L1 ローカルポリシー セキュリティ オプション
・L1 監査ポリシーの詳細な構成
・L1 セキュリティが強化されたWindowsファイアウォール
・L1 MS Security Guide
・L1 MSS
・L1 ネットワーク
・L1 システム
・L1 Windows コンポーネント
・L1 Windows コンポーネントーInternet Explorer
・L1 コントロール
・L1 OFFICE2016の共通設定
・L1 Excel 2016
・L1 Word 2016
・L1 Outlook 2016
・L1 OneDrive 2016
・L1 Google Chrome