800種類から8項目を厳選--Windows Vistaで追加されたグループポリシー設定 - (page 3)

文:Deb Shinder 翻訳校正:吉井美有

2007-06-05 08:00

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

ビデオとディスプレイの設定

 「ビデオとディスプレイの設定」フォルダに含まれているポリシーは4つある(実際には、コンピュータが商用電源に接続されている場合と、バッテリ稼働している場合それぞれのポリシーに2つの設定が用意されている)。これらのポリシーは以下の通りである。

  • ディスプレイの電源がオフになるまでの時間の調節:この設定によって、コンピュータが非アクティブ状態になってからディスプレイの電源がオフになるまでの時間が制御されるようになる。Windowsは、ユーザーによる入力機器の操作に基づいて設定を自動的に調節する
  • ディスプレイの電源をオフにする:このポリシーを有効にする場合、コンピュータが非アクティブ状態になってからディスプレイの電源がオフになるまでの時間を秒単位で指定する

User Account Controlの設定

 Vistaにおける最も重要なセキュリティ強化策の1つとしてUser Account Control(UAC)がある。「セキュリティオプション」フォルダには、この機能の動作を変更するために使用できるポリシーが9つある。これらのポリシーの設定を変更するには、グループポリシーオブジェクトエディタ(GPOE)の左ペインにある「コンピュータの構成」ノードの下にある「Windowsの設定」を展開した後、「セキュリティの設定」、そして「ローカルポリシー」を展開する。その後、「セキュリティオプション」をクリックする(図F)。

画像の説明
【図F:グループポリシーを通じてUACの動作におけるさまざまな側面を制御することができる】

 Vistaにおいて設定できるUAC関連のポリシーは以下の通りである。

  • ビルトインAdministratorアカウントのための管理者承認モード:このポリシーを有効にすると、ビルトインAdministratorアカウントは管理者承認モードでログオンすることになり、権限の昇格時に同意を求めるプロンプトが表示される。このポリシーはデフォルトで無効になっているため、ビルトインAdministratorアカウント(Vistaにおける他の管理アカウントとは異なる)はXP互換モードでログオンすることなる。つまり、デフォルトではすべてのアプリケーションが完全な管理者権限で実行できるようになっている。このポリシーを無効にしておくことでセキュリティが強化される
  • 管理者承認モードでの管理者に対する昇格時のプロンプトの動作:デフォルトでは、すべての管理者(ビルトインAdministratorアカウントを除く)に対して、権限の昇格時に同意を求めるプロンプトが表示される。このポリシーを有効にすると、管理者に対して権限の昇格時に資格情報を要求することでセキュリティを強化するか、資格情報や同意を求めるプロンプトを表示させることなく昇格を許すかを選択することができる。これらの選択を図Gに示している
画像の説明
【図G:管理者に対する昇格プロンプトの動作によって、セキュリティレベルを向上させることも、低下させることもできる】
  • 標準ユーザーに対する昇格時のプロンプトの動作:デフォルトでは、標準ユーザーアカウントでログオンするユーザーに対して、権限の昇格を行うために管理者の資格情報を入力するよう求めるプロンプトが表示される。このポリシーを有効にすると、標準ユーザーが権限の昇格を必要とする操作を行おうとした場合に「アクセス拒否」メッセージを返すことでセキュリティ施策を強化できるようになる
  • アプリケーションのインストールを検出し、昇格をプロンプトする:このポリシーを有効にすると、権限の昇格を要求するアプリケーションインストールパッケージが発見的アルゴリズムを用いて検出され、設定に基づいた権限の昇格プロンプトが表示される
  • 署名・検証された実行ファイルのみを昇格する:このポリシーを用いることで、権限の昇格を要求するインタラクティブなアプリケーションに対してPKI証明書のチェックを強制することにより、セキュリティを強化することができる。デフォルトでは、PKI証明書チェインの検証は強制されない
  • 安全な場所にインストールされているUIAccessアプリケーションの昇格のみ:このポリシーを有効にすると、安全な場所にインストールされているUIAccessアプリケーションしか起動されなくなる。安全な場所には、Program FilesディレクトリやWindows\System32\r-_\Program Files(x86)ディレクトリが含まれる。このポリシーはデフォルトで有効であるが、UIAccessアプリケーションを他の場所にインストールして実行できるようにしたい場合には無効にすることもできる
  • 管理者承認モードですべての管理者を実行する:このポリシーはデフォルトで有効であり、VistaのUAC保護の核となるものである。このポリシーを無効にすると、すべてのUACポリシーが無効となり、セキュリティレベルが低下することになる。このポリシーの変更を適用するにはコンピュータを再起動する必要がある
  • 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える:このポリシーはデフォルトで有効であり、権限の昇格が要求されるとデスクトップがロックダウンされ、アプリケーションはデスクトップと対話できなくなる。このポリシーを無効にすることで、権限の昇格要求が通常のインタラクティブなデスクトップ上に表示されるようにすることも可能だが、その場合にはセキュリティレベルが低下することになる

追加されたその他数多くの設定

 以上、Vistaで新たに提供された800のグループポリシー設定のほんの一部を解説した。これら以外にも、Vistaのセキュリティが強化されたファイアウォールの制御や、物理的な場所に基づいたプリンタの割り当て、DVDビデオディスクのオーサリングのカスタマイズ、QoS(Quality of Service)を確保するためのネットワークトラフィックの集中管理、NAP(Network Access Protection)の管理、シェルアプリケーションへのアクセスの管理、ターミナルサービスおよびリモートデスクトップの新しいセキュリティ機能の設定などを行うための新たな設定が提供されている。また、Internet Explorer 7向けの新たなポリシーも提供されている。

原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

「特集:シンダー先生のシステム管理ゼミナール」 バックナンバー

関連キーワード
Microsoft
運用管理

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

投票する

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]