GUI形式では利用できない特定の機能やオプションを有効または無効にしたい場合、グループポリシーエディターが最適な方法です。セキュリティ、パーソナライズ、カスタマイズなど、どのような目的であっても。そのため、Windows 11/10コンピューターでセキュリティ侵害を防ぐための最も重要なグループポリシー設定をいくつかまとめました。
完全なリストに進む前に、何を説明する必要があるかを知っておく必要があります。家族のために安全なホームコンピューターを作成する場合、カバーする必要がある特定の領域があります。それらは次のとおりです。
- ソフトウェアのインストール
- パスワードの制限
- ネットワークアクセス
- ログ
- USBサポート
- コマンドラインスクリプトの実行
- コンピューターのシャットダウンと再起動
- Windowsセキュリティ
一部の設定はオンにする必要がありますが、一部の設定は正反対にする必要があります。
セキュリティ侵害を防ぐために最も重要なグループポリシー設定
セキュリティ侵害を防ぐために最も重要なグループポリシー設定は次のとおりです。
- Windowsインストーラーをオフにする
- 再起動マネージャーの使用を禁止する
- 常に昇格された権限でインストールする
- 指定されたWindowsアプリケーションのみを実行する
- パスワードは複雑さの要件を満たす必要がある
- アカウントロックアウトのしきい値と期間
- ネットワークセキュリティ:次のパスワード変更時にLANマネージャーハッシュ値を保存しない
- ネットワークアクセス:SAMアカウントと共有の匿名列挙を許可しない
- ネットワークセキュリティ:NTLMを制限する:このドメインでNTLM認証を監査する
- NTLMをブロックする
- システムイベントを監査する
- すべてのリムーバブルストレージクラス:すべてのアクセスを拒否する
- すべてのリムーバブルストレージ:リモートセッションで直接アクセスを許可する
- スクリプトの実行をオンにする
- レジストリエディットツールへのアクセスを禁止する
- コマンドプロンプトへのアクセスを禁止する
- スクリプトスキャンをオンにする
- Windows Defenderファイアウォール:例外を許可しない
これらの設定の詳細については、読み進めてください。
1] Windowsインストーラーをオフにする
コンピューターの構成>管理用テンプレート>Windowsコンポーネント>Windowsインストーラー
プログラムやプログラムのソースが合法かどうかを確認する方法を知らない子供や誰かにコンピューターを引き渡すときは、最初に確認する必要があるセキュリティ設定です。コンピューター上のあらゆる種類のソフトウェアのインストールを即座にブロックします。ドロップダウンリストから有効と常にオプションを選択する必要があります。
2] 再起動マネージャーの使用を禁止する
コンピューターの構成>管理用テンプレート>Windowsコンポーネント>Windowsインストーラー
一部のプログラムでは、コンピューター上で完全に動作を開始したり、インストールプロセスを完了したりするには再起動が必要です。サードパーティによってコンピューター上で許可されていないプログラムが使用されるのを防ぐには、この設定を使用してWindowsインストーラーの再起動マネージャーを無効にすることができます。ドロップダウンメニューから再起動マネージャーをオフにするオプションを選択する必要があります。
3] 常に昇格された権限でインストールする
コンピューターの構成>管理用テンプレート>Windowsコンポーネント>Windowsインストーラー
ユーザーの構成>管理用テンプレート>Windowsコンポーネント>Windowsインストーラー
一部の実行可能ファイルはインストールに管理者の許可が必要ですが、他のファイルは必要ありません。攻撃者は、このようなプログラムを使用して、コンピューターにリモートでアプリを密かにインストールすることがよくあります。そのため、この設定をオンにする必要があります。コンピューターの構成とユーザーの構成の両方からこの設定を有効にする必要があることに注意することが重要です。
4] 指定されたWindowsアプリケーションのみを実行する
ユーザーの構成>管理用テンプレート>システム
事前に許可を得ずにアプリをバックグラウンドで実行したくない場合は、この設定が適しています。コンピューターユーザーにコンピューター上で事前に定義されたアプリのみを実行させることができます。そのためには、この設定を有効にして表示ボタンをクリックして、実行するすべてのアプリを登録できます。
5] パスワードは複雑さの要件を満たす必要がある
コンピューターの構成>Windows設定>セキュリティ設定>アカウントポリシー>パスワードポリシー
強力なパスワードを使用することは、セキュリティ侵害からコンピューターを保護するために最初に使用する必要があります。デフォルトでは、Windows 11/10ユーザーはほぼ何でもパスワードとして使用できます。ただし、パスワードに特定の要件を有効にした場合は、この設定をオンにして適用できます。
6] アカウントロックアウトのしきい値と期間
コンピューターの構成>Windows設定>セキュリティ設定>アカウントポリシー>アカウントロックアウトポリシー
アカウントロックアウトのしきい値とアカウントロックアウトの期間という2つの設定を有効にする必要があります。最初の設定は、特定のログインの失敗後にコンピューターをロックダウンするのに役立ちます。2番目の設定は、ロックアウトがどれだけ続くかを決定するのに役立ちます。
7] ネットワークセキュリティ:次のパスワード変更時にLANマネージャーハッシュ値を保存しない
コンピューターの構成>Windows設定>セキュリティ設定>ローカルポリシー>セキュリティオプション
LANマネージャーまたはLMはセキュリティの観点から比較的手薄なため、コンピューターが新しいパスワードのハッシュ値を保存しないように、この設定を有効にする必要があります。Windows 11/10は通常、ハッシュ値をローカルコンピューターに保存するため、セキュリティ侵害のリスクが高まります。デフォルトではオンになっており、セキュリティを確保するため常に有効にする必要があります。
8] ネットワークアクセス:SAMアカウントと共有の匿名列挙を許可しない
コンピューターの構成>Windows設定>セキュリティ設定>ローカルポリシー>セキュリティオプション
デフォルトでは、Windows 11/10は未知のユーザーまたは匿名ユーザーにさまざまな操作を実行することを許可します。管理者としてコンピューター上で許可したくない場合は、有効を選択してこの設定をオンにすることができます。ただし、一部のクライアントやアプリに影響を与える可能性があることに注意してください。
9] ネットワークセキュリティ:NTLMを制限する:このドメインでNTLM認証を監査する
コンピューターの構成>Windows設定>セキュリティ設定>ローカルポリシー>セキュリティオプション
この設定により、NTLMによる認証の監査を有効、無効、カスタマイズできます。NTLMは共有ネットワークとリモートネットワークのユーザーの機密性を認識して保護するために必須であるため、この設定を変更する必要があります。無効にするには、無効オプションを選択します。ただし、経験上、ホームコンピューターを使用している場合は、ドメインアカウントに対して有効にするを選択する必要があります。
10] NTLMをブロックする
コンピューターの構成>管理用テンプレート>ネットワーク>Lanman Workstation
このセキュリティ設定により、現在非常に一般的なSMBまたはサーバーメッセージブロックを介したNTLM攻撃をブロックできます。PowerShellを使用して有効にすることはできますが、ローカルグループポリシーエディターにも同じ設定があります。作業を完了するには、有効オプションを選択する必要があります。
11] システムイベントを監査する
コンピューターの構成>Windows設定>セキュリティ設定>ローカルポリシー>監査ポリシー
デフォルトでは、コンピューターはシステム時刻の変更、シャットダウン/起動、システム監査ファイルの紛失やエラーなどのイベントを記録しません。それらをすべてログに保存するには、この設定を有効にする必要があります。これにより、サードパーティのプログラムにそれらのいずれかが含まれているかどうかを分析できます。
12] すべてのリムーバブルストレージクラス:すべてのアクセスを拒否する
コンピューターの構成>管理用テンプレート>システム>リムーバブルストレージアクセス
このグループポリシー設定により、すべてのUSBクラスとポートを一度に無効にすることができます。個人用コンピューターをオフィスなどに置きっぱなしにすることが多い場合は、この設定を確認して、他の人がUSBデバイスを使用して読み取りまたは書き込みアクセス権を取得できないようにする必要があります。
13] すべてのリムーバブルストレージ:リモートセッションで直接アクセスを許可する
コンピューターの構成>管理用テンプレート>システム>リムーバブルストレージアクセス
リモートセッションは、知識がなく、コンピューターを未知の人物に接続するときには最も脆弱なものです。この設定により、すべてのリモートセッションでリムーバブルデバイスへの直接アクセスをすべて無効にすることができます。その場合、不正なアクセスを承認または拒否するオプションがあります。この設定は無効にする必要があります。
14] スクリプトの実行をオンにする
コンピューターの構成>管理用テンプレート>Windowsコンポーネント>Windows PowerShell
この設定を有効にすると、コンピューターはWindows PowerShellを介してスクリプトを実行できます。その場合、署名付きスクリプトのみを許可するオプションを選択する必要があります。ただし、スクリプトの実行を許可しないか、無効オプションを選択することをお勧めします。
15] レジストリエディットツールへのアクセスを禁止する
ユーザーの構成>管理用テンプレート>システム
レジストリエディターは、Windowsの設定やコントロールパネルにGUIオプションの痕跡がない場合でも、コンピューター上のほぼすべての設定を変更できるものです。攻撃者は、マルウェアを広めるためにレジストリファイルを変更することがよくあります。そのため、この設定を有効にして、ユーザーがレジストリエディターにアクセスできないようにする必要があります。
16] コマンドプロンプトへのアクセスを禁止する
ユーザーの構成>管理用テンプレート>システム
Windows PowerShellスクリプトと同様に、コマンドプロンプトを介してさまざまなスクリプトを実行することもできます。そのため、このグループポリシー設定をオンにする必要があります。有効オプションを選択した後、ドロップダウンメニューを展開してはいオプションを選択します。これにより、コマンドプロンプトのスクリプト処理も無効になります。
17] スクリプトスキャンをオンにする
コンピューターの構成>管理用テンプレート>Windowsコンポーネント>Microsoft Defender Antivirus>リアルタイム保護
デフォルトでは、Windowsセキュリティはマルウェアなどのあらゆる種類のスクリプトをスキャンしません。そのため、セキュリティシールドがコンピューターに保存されているすべてのスクリプトをスキャンできるように、この設定を有効にすることをお勧めします。スクリプトはコンピューターに悪意のあるコードを挿入するために使用できるため、この設定は常に重要です。
18] Windows Defenderファイアウォール:例外を許可しない
コンピューターの構成>管理用テンプレート>ネットワーク>ネットワーク接続>Windows Defenderファイアウォール>ドメインプロファイル
コンピューターの構成>管理用テンプレート>ネットワーク>ネットワーク接続>Windows Defenderファイアウォール>標準プロファイル
Windows Defenderファイアウォールは、ユーザーの要件に応じてさまざまな着信および発信トラフィックを許可することがよくあります。ただし、プログラムをよく理解していない限り、それを行うことはお勧めできません。発信または着信トラフィックについて100%確信がない場合は、この設定をオンにすることができます。
他の推奨事項がある場合はお知らせください。
GPOのベストプラクティス3つとは?
GPOのベストプラクティス3つは、まず、何をやっているかを理解していない限り、設定を微調整すべきではありません。2つ目は、許可されていないトラフィックを許可する可能性があるため、ファイアウォール設定を無効にしたり有効にしたりしないでください。3つ目は、適用されない場合は、常に手動で変更を強制的に更新する必要があります。
どのグループポリシー設定を構成する必要がありますか?
十分な知識と経験があれば、ローカルグループポリシーエディターの任意の設定を構成できます。そのような知識がない場合は、そのままにしておきます。ただし、コンピューターのセキュリティを強化したい場合は、これらは最も重要なグループポリシーセキュリティ設定の一部であるため、このガイドを参照してください。
コメントする