・Windows Server 2016 Domain Controller

情報システム開発契約のセキュリティ仕様作成のためのガイドライン
詳細設定対策に必要な措置
・レベル1セキュリティ構成（Windows 10）

Windows Server 2016 Domain Controller のセキュリティ構成 †

このセキュリティ構成は、米国防総省の Security Technical Implementation Guides をベースとし、悪意あるプログラムの初期侵入や実行を防止するために策定されたものです。

設定による影響 †

• 脆弱性のある危険なプロトコル (SMBv1) を禁止している関係で、古い互換性のないNASに接続できない可能性があります。
• リモート接続や共有へのアクセスの厳格化や防御設定によって、一部、アプリケーションが動作しないなどの影響が考えられます。事前に、テスト用の OU を作成し、設定を検証してください。
• Office 2019 やAcrobat、Chrome、Edgeなどの動作には影響があったとの報告は受けていません。

設定によって影響が出た場合 †

• 影響が発生した端末、サーバー、ドメインコントローラーの、それぞれのOSのバージョン、ビルド番号、ドメインの機能レベル、現象の詳細をご一報ください。

前提となるハードウェア構成 † †

• トラステッドプラットフォームモジュール（TPM）2.0
• Bitlockerドライブ暗号化
• UEFIセキュアブート
• Windows Updateを通じて配布されるドライバーとファームウェア

適用するポリシー †

・DC アカウントポリシー
・DC ローカルポリシー ユーザー権利の割り当て
・DC ローカルポリシー セキュリティ オプション
・DC 監査ポリシーの詳細な構成
・DC 管理用テンプレート

攻撃ベクトルの研究
OWASP ASVS 4.0
最低限検討すべきデフォルト緩和策 端末編
最低限検討すべきデフォルト緩和策 セキュリティ仕様・Webアプリケーション編
詳細設定対策に必要な措置
MITRE ATT＆CKに基づく詳細設定対策