・L1 Windows コンポーネント
Last-modified: 2022-06-14 (火) 16:39:02
Top/・L1 Windows コンポーネント
・レベル1セキュリティ構成(Windows 10)
・Windows Server 2016 Domain Controller
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント] †
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[BitLocker ドライブ暗号化] †
| [ポリシー設定] | [ポリシー値] | [説明] |
| このコンピューターがロックされているときに新しいDMA デバイスを無効にする | [有効] | ユーザーがWindowsにログインするまで、すべてのThunderboltホットプラグ可能なPCIダウンストリームポートのダイレクトメモリアクセス(DMA)をブロックできます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[BitLocker ドライブ暗号化]>[オペレーティングシステムのドライブ] †
| ポリシー設定 | 値 | 説明 |
| スタートアップの拡張 PIN を許可する | [有効] | BitLocker で拡張スタートアップ PIN を使用するかどうかを構成できます。 拡張スタートアップ PIN では、大文字と小文字、記号、数字、空白などの文字を使用できます。このポリシー設定は、BitLocker を有効にすると適用されます。 このポリシー設定を有効にした場合、すべての新しい BitLocker スタートアップ PIN のセットが拡張 PIN になります。 注意: コンピューターによっては、プリブート環境で拡張 PIN がサポートされていない場合もあります。BitLocker セットアップでシステム チェックを実行することを強くお勧めします。 |
[Windows コンポーネント]>[Internet Explorer] †
・L1 Windows コンポーネントーInternet Explorer にあります。
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Edge] †
| ポリシー設定 | 値 | 説明 |
| Cookie の構成 | 有効 オプション=すべての Cookie をブロックする | この設定を有効にした場合は、次のいずれかを選択する必要があります。 -すべての Cookie を許可する (既定値): すべての Web サイトからのすべての Cookie を許可します。 -すべての Cookie をブロックする: すべての Web サイトからのすべての Cookie をブロックします。 -サード パーティの Cookie のみをブロックする: サード パーティの Web サイトからの Cookie のみをブロックします。 この設定を無効にした場合または構成しなかった場合は、すべての Web サイトからのすべての Cookie が許可されます。 注意: 本設定は運用に影響があるため、設定値はリスク受容も含めて検討してください。 |
| WebRTC での Localhost IP アドレス使用の回避 | 有効 | この設定を有効にした場合、WebRTC プロトコルを使用して電話をかける際に LocalHost IP アドレスは表示されません。 この設定を無効にした場合または構成しなかった場合、WebRTC プロトコルを使用して電話をかける際に LocalHost IP アドレスが表示されます。 |
| Windows Defender SmartScreen を構成します | 有効 | この設定を有効にした場合は、Windows Defender SmartScreen が有効になり、従業員が無効にすることはできません。 この設定を無効にした場合は、Windows Defender SmartScreen が無効になり、従業員が有効にすることはできません。 この設定を構成しなかった場合は、Windows Defender SmartScreen フィルターを使用するかどうかを従業員が選択できます。 |
| サイトに関する Windows Defender SmartScreen プロンプトをバイパスしない | 有効 | この設定を有効にした場合、従業員は Windows Defender SmartScreen の警告を無視できず、サイトへの移動がブロックされます。 この設定を無効にした場合または構成しなかった場合、従業員は Windows Defender SmartScreen の警告を無視して、サイトに移動することができます。 |
| サイトをスタートにピン止めする際にライブ タイル情報の収集を Microsoft Edge に許可しない | 有効 | この設定を有効にした場合、Microsoft Edge ではライブ タイルのメタデータが収集されず、ユーザーがライブ タイルをスタート メニューにピン留めする際に提供されるエクスペリエンスは最小限になります。 この設定を無効にした場合、または構成しなかった場合、Microsoft Edge ではライブ タイルのメタデータが収集され、ユーザーがライブ タイルをスタート メニューにピン留めする際に、より完全なエクスペリエンスが提供されます。 |
| トラッキング拒否の構成 | 有効 | この設定を有効にした場合は、トラッキング情報が要求される Web サイトにはトラッキング拒否要求が常に送信されます。 この設定を無効にした場合は、トラッキング情報が要求される Web サイトにトラッキング拒否要求が送信されません。 この設定を構成しなかった場合は、トラッキング情報が要求される Web サイトにトラッキング拒否要求を送信するかどうかを従業員が選択できます。 |
| パスワードマネージャの構成 | 無効 | この設定を有効にした場合は、パスワード マネージャーを使用して従業員が自分のパスワードをローカル コンピューター上に保存できます。 この設定を無効にした場合は、パスワード マネージャーを使用して従業員が自分のパスワードをローカル コンピューター上に保存することはできません。 この設定を構成しなかった場合は、パスワード マネージャーを使用して自分のパスワードをローカル コンピューター上に保存するかどうかを従業員が選択できます。 |
| ファイルに関する Windows Defender SmartScreen プロンプトをバイパスしない | 有効 | この設定を有効にした場合、従業員は Windows Defender SmartScreen の警告を無視できず、確認されていないファイルのダウンロードがブロックされます。 この設定を無効にした場合または構成しなかった場合、従業員は Windows Defender SmartScreen の警告を無視して、ダウンロード プロセスを続行することができます。 |
| 証明書エラーのオーバーライドを禁止する | 有効 | Web セキュリティ証明書は、ユーザーの移動先サイトが正当であることを確認するために使用され、状況によってはデータが暗号化されます。このポリシーを使用すると、SSL エラーがあるサイトに対するセキュリティ警告をユーザーがバイパスすることを禁止するかどうかを指定できます。 有効にすると、証明書エラーのオーバーライドは許可されません。 無効または未構成の場合は、証明書エラーのオーバーライドが許可されます。 |
| 書籍ライブラリの構成の更新を許可する | 無効 | この設定を有効にするか (既定値)、構成しなかった場合は、Microsoft Edge は自動的に書籍ライブラリの構成データを更新します。 この設定を無効にすると、Microsoft Edge は書籍ライブラリの更新された構成データを自動的にダウンロードしません。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[RSSフィード] †
| ポリシー設定 | 値 | 説明 |
| 添付ファイルのダウンロードを禁止する | 有効 | このポリシー設定は、ユーザーがフィードからユーザーのコンピューターに添付ファイルをダウンロードできないようにします。このポリシー設定を有効にすると、ユーザーはフィードのプロパティページから添付ファイルをダウンロードするようにフィード同期エンジンを設定できません。開発者は、Feed APIを使用してダウンロード設定を変更することはできません。このポリシー設定を無効にするか、未構成にした場合、ユーザーは、フィードのプロパティページから添付ファイルをダウンロードするようにフィード同期エンジンを設定できます。開発者は、Feed APIを使用してダウンロード設定を変更できます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Defender SmartScreen]>[Microsoft Edge] †
| ポリシー設定 | 値 | 説明 |
| Windows Defender SmartScreen を構成します | 有効 | Windows Defender SmartScreenをオンまたはオフにします。 SmartScreenは、インターネットからダウンロードされた潜在的に悪意のあるプログラムを実行する前にユーザーに警告することにより、PCを保護します。この警告は、インターネットからダウンロードされたアプリを実行する前に表示されるインタースティシャルダイアログとして表示され、認識されないか、悪意があることがわかっています。疑わしいと思われないアプリのダイアログは表示されません。この機能が有効になっているPCで実行されるファイルおよびプログラムに関する情報がマイクロソフトに送信されます。このポリシーを有効にすると、すべてのユーザーに対してSmartScreenが有効になります。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Defender SmartScreen]>[エクスプローラー] †
| ポリシー設定 | 値 | 説明 |
| Windows Defender SmartScreen を構成します | 有効 オプション:警告してバイパスを回避 | Windows Defender SmartScreen をオンまたはオフにします。SmartScreen は、インターネットからダウンロードされた潜在的に悪意のあるプログラムを実行する前にユーザーに警告することにより、PCを保護します。この警告は、インターネットからダウンロードされたアプリを実行する前に表示されるインタースティシャルダイアログとして表示され、認識されないか、悪意があることがわかっています。疑わしいと思われないアプリのダイアログは表示されません。この機能が有効になっているPCで実行されるファイルおよびプログラムに関する情報がマイクロソフトに送信されます。このポリシーを有効にすると、すべてのユーザーに対してSmartScreen が有効になります。その動作は、次のオプションで制御できます。 -警告してバイパスを防ぐ -警告 「警告とバイパス回避」オプションを使用してこのポリシーを有効にすると、SmartScreen のダイアログでは、警告を無視してアプリを実行するオプションがユーザーに表示されません。SmartScreen は、アプリを次に実行しようとすると警告を表示し続けます。「警告」オプションを使用してこのポリシーを有効にすると、SmartScreen のダイアログは、アプリが疑わしいとユーザーに警告しますが、ユーザーは警告を無視してアプリを実行できます。ユーザーが SmartScreen にアプリを実行するように指示した場合、SmartScreen はそのアプリについてユーザーに再度警告しません。このポリシーを無効にすると、SmartScreen はすべてのユーザーに対して無効になります。インターネットから疑わしいアプリを実行しようとしても、ユーザーに警告は表示されません。このポリシーを構成しない場合、SmartScreen はデフォルトで有効になりますが、ユーザーは設定を変更できます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Defender ウイルス対策] †
| ポリシー設定 | 値 | 説明 |
| Windows Defender Antivirusをオフにする | 無効 | Windows Defender Antivirusをオフにします |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Defender ウイルス対策]>[MAPS] †
| ポリシー設定 | 値 | 説明 |
| Microsoft MAPSに参加する | 高度なマップ | Microsoft MAPSに参加できます。Microsoft MAPSは、潜在的な脅威への対応方法の選択を支援するオンラインコミュニティです。コミュニティは、新しい悪意のあるソフトウェアの感染拡大を阻止するのにも役立ちます。 注意: 本設定は組織、個人の情報が意図せず送信される可能性があるとされています。組織によっては、本設定の便益と情報保護の観点から有効・無効を検討してください |
| 詳細な分析が必要な場合はファイルのサンプルを送信する | 有効:安全なサンプルを送信 | MAPSテレメトリのオプトインが設定されている場合のサンプル送信の動作を構成します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Defender ウイルス対策]>[Windows Defender Expoit Guard]>[ネットワーク保護] †
| ポリシー設定 | 値 | 説明 |
| ユーザーとアプリが危険な Web サイトにアクセスするのを防ぎます | 有効 オプション=ブロック | Windows Defender Exploit Guard ネットワーク保護を有効または無効にすることで、従業員がアプリケーションを使用して、フィッシング詐欺、不正利用ホスト サイト、およびインターネット上の他の悪意のあるコンテンツをホストする可能性のある危険なドメインにアクセスしないようにします。 有効: [オプション] セクションでモードを指定します。 -ブロック: ユーザーとアプリケーションは危険なドメインにアクセスできません -監査モード: ユーザーとアプリケーションは危険なドメインに接続できますが、ブロック設定ならアクセスをブロックされるようなドメインに接続した場合には、イベント ログにそのイベントの記録が書き込まれます。 無効: ユーザーとアプリケーションは危険なドメインへの接続をブロックされません。 未構成: 無効と同じです。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Defender ウイルス対策]>[スキャン] †
| ポリシー設定 | 値 | 説明 |
| 1日にクイックスキャンを実行する間隔を指定する | 24 | クイックスキャンを実行する間隔を指定できます。時間値は、クイックスキャン間の時間数として表されます。有効な値の範囲は、1(1時間ごと)から24(1日1回)です。 |
| リムーバブル ドライブをスキャンする | 有効 | フルスキャンの実行時に、USBフラッシュドライブなどのリムーバブルドライブのコンテンツで悪意のあるソフトウェアや不要なソフトウェアをスキャンするかどうかを管理できます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Defender ウイルス対策]>[リアルタイム保護] †
| ポリシー設定 | 値 | 説明 |
| リアルタイム保護を無効にする | 無効 | 既知のマルウェア検出のリアルタイム保護プロンプトをオフにします |
| 動作の監視を有効にする | 有効 | 動作監視を設定できます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Inkワークスペース] †
| ポリシー設定 | 値 | 説明 |
| Windows Inkワークスペースを許可します | 有効 オプション:オン(ただしロックより上のアクセスは許可しない) | Windows Inkワークスペースを許可する |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windows PowerShell] †
| ポリシー設定 | 値 | 説明 |
| PowerShell スクリプトブロックのログを有効にする | 有効 | このポリシー設定により、Microsoft-Windows-PowerShell / Operationalイベントログへのすべての PowerShell スクリプト入力のログが有効になります。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windowsインストーラー] †
| ポリシー設定 | 値 | 説明 |
| ユーザーによるインストール制御を有効にする | 無効 | 通常はシステム管理者のみが利用できるインストールオプションをユーザーが変更できるようにします。 |
| 常にシステム特権でインストールする | 無効 | システムにプログラムをインストールするときに、昇格されたアクセス許可を使用するようにWindowsインストーラーに指示します |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windowsリモート管理(WinRM)]>[WinRMクライアント] †
| ポリシー設定 | 値 | 説明 |
| ダイジェスト認証を許可しない | 有効 | このポリシー設定を使用すると、Windowsリモート管理(WinRM)クライアントがダイジェスト認証を使用するかどうかを管理できます。 |
| 暗号化されていないトラフィックを許可する | 無効 | Windowsリモート管理(WinRM)クライアントがネットワーク上で暗号化されていないメッセージを送受信するかどうかを管理します |
| 基本認証を許可する | 無効 | このポリシー設定を使用すると、Windowsリモート管理(WinRM)クライアントが基本認証を使用するかどうかを管理できます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windowsリモート管理(WinRM)]>[WinRMサービス] †
| ポリシー設定 | 値 | 説明 |
| WinRMがRunAs資格情報を保存することを許可しない | 有効 | このポリシー設定を使用すると、Windowsリモート管理(WinRM)サービスでプラグインのRunAs資格情報を保存できないようにするかどうかを管理できます。 |
| 暗号化されていないトラフィックを許可する | 無効 | Windowsリモート管理(WinRM)サービスが暗号化されていないメッセージをネットワーク経由で送受信するかどうかを管理します。 |
| 基本認証を許可する | 無効 | このポリシー設定を使用すると、Windowsリモート管理(WinRM)サービスがリモートクライアントからの基本認証を受け入れるかどうかを管理できます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[Windowsログオンオプション] †
| ポリシー設定 | 値 | 説明 |
| 再起動後に自動的に前回の対話ユーザーでサインインしてロックする | 無効 | Windows Updateがシステムを再起動した後、デバイスが最後の対話ユーザーに自動的にサインインするかどうかを制御します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[アプリ実行時] †
| ポリシー設定 | 値 | 説明 |
| Microsoftアカウントをオプションにする | [有効] | サインインにアカウントを必要とするWindowsストアアプリでMicrosoftアカウントがオプションかどうかを制御できます。このポリシーは、それをサポートするWindowsストアアプリにのみ影響します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[イベント ログ サービス]>[アプリケーション] †
| ポリシー設定 | 値 | 説明 |
| ログファイルの最大サイズ(KB)を指定する | [有効]:32768 | ログファイルの最大サイズをキロバイト単位で指定します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[イベント ログ サービス]>[システム] †
| ポリシー設定 | 値 | 説明 |
| ログファイルの最大サイズ(KB)を指定する | [有効]:32768 | ログファイルの最大サイズをキロバイト単位で指定します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[イベント ログ サービス]>[セキュリティ] †
| ポリシー設定 | 値 | 説明 |
| ログファイルの最大サイズ(KB)を指定する | [有効]:196608 | ログファイルの最大サイズをキロバイト単位で指定します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[エクスプローラー] †
| ポリシー設定 | 値 | 説明 |
| Windows Defender SmartScreenを構成します | 有効 オプション: 警告してバイパスを防止 | Windows Defender SmartScreenを有効にして警告メッセージを提供するかどうかを構成し、潜在的なフィッシング詐欺や悪意のあるソフトウェアからユーザーを保護します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[リモートデスクトップサービス]>[リモートデスクトップ接続のクライアント] †
| ポリシー設定 | 値 | 説明 |
| パスワードの保存を許可しない | 有効 | リモートデスクトップ接続からこのコンピューターにパスワードを保存できるかどうかを制御します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[検索] †
| ポリシー設定 | 値 | 説明 |
| 暗号化されたファイルのインデックス作成を許可する | 無効 | このポリシー設定では、暗号化されたアイテムのインデックスを作成できます。このポリシー設定を有効にすると、インデックス作成はコンテンツの復号化とインデックス作成を試みます(アクセス制限は引き続き適用されます)。このポリシー設定を無効にすると、Search Serviceコンポーネント(Microsoft以外のコンポーネントを含む)は、暗号化されたアイテムまたは暗号化されたストアのインデックスを作成しないことが期待されます。このポリシー設定は、デフォルトでは構成されていません。このポリシー設定を構成しない場合、コントロールパネルで構成されたローカル設定が使用されます。デフォルトでは、コントロールパネルの設定は、暗号化されたコンテンツのインデックスを作成しないように設定されています。この設定を有効または無効にすると、インデックスは完全に再構築されます。暗号化されたファイルのセキュリティを維持するには、インデックスの場所にフルボリューム暗号化(BitLockerドライブ暗号化やマイクロソフト以外のソリューションなど)を使用する必要があります。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[リモートデスクトップサービス]>[リモートデスクトップセッションホスト]>[セキュリティ] †
| ポリシー設定 | 値 | 説明 |
| クライアント接続の暗号化レベルを設定する | 有効 オプション:高レベル | リモートデスクトッププロトコル(RDP)接続中にクライアントコンピューターとRDセッションホストサーバー間の通信をセキュリティで保護するために、特定の暗号化レベルの使用を要求するかどうかを指定します。このポリシーは、ネイティブ RDP 暗号化を使用している場合にのみ適用されます。ただし、ネイティブの RDP 暗号化( SSL 暗号化とは対照的に)は推奨されません。このポリシーは SSL 暗号化には適用されません。 |
| セキュリティで保護された RPC 通信を要求する | 有効 | リモートデスクトップセッションホストサーバーがすべてのクライアントとの安全なRPC通信を必要とするか、安全でない通信を許可するかを指定します。 |
| 接続するたびにパスワードを要求する | 有効 | このポリシー設定は、リモートデスクトップサービスが接続時にクライアントにパスワードの入力を常に要求するかどうかを指定します。この設定を使用して、リモートデスクトップ接続クライアントで既にパスワードを提供している場合でも、リモートデスクトップサービスにログオンしているユーザーにパスワードプロンプトを強制できます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[自動再生のポリシー] †
| ポリシー設定 | 値 | 説明 |
| ボリューム以外のデバイスの自動再生を許可しない | [有効] | カメラや電話などのMTPデバイスの自動再生を禁止します。 |
| 自動再生機能をオフにする | [有効] オプション:すべてのドライブ | 自動再生機能をオフにできます。 |
| 自動実行の規程の動作を設定する | [有効] オプション:自動実行のコマンドを実行しない | 自動実行コマンドのデフォルトの動作を設定します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用テンプレート]>[Windows コンポーネント]>[生体認証]>[顔特徴] †
| ポリシー設定 | 値 | 説明 |
| 拡張スプーフィング対策を構成する | [有効] | この設定を有効にした場合、またはこの設定を構成しない場合は、管理対象デバイスのすべてのユーザーに、Windows Hello 顔認証に対する拡張スプーフィング対策の使用が要求されます。これにより、拡張スプーフィング対策をサポートしていないデバイスでは Windows Hello 顔認証が無効になります。 |
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。 その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。