ウィンドウズビスタのコンピュータセキュリティ

ハーデンとコンピュータセキュリティを向上させるためのオペレーティングシステムに対する攻撃は、ウィンドウズビスタの多くの地域を変更し、ローカルコンピュータのセキュリティ設定されます。いくつかの変更が最も広範囲でのセキュリティ設定を行うためのローカルポリシーは、アクティブディレクトリを介して管理することができ、グループポリシーまたはローカルグループポリシーをご覧ください。 active directoryを管理し、グループポリシーを使用すると、グループポリシーオブジェクトエディタまたはグループポリシー管理コンソールします。グループポリシーを管理する地元のローカルコンピュータ上に、セキュリティ設定にアクセスできます。セキュリティの構成管理コンソールを使用しています。以下のセクションでは話し合うの変更を監査ポリシーでは、ユーザー権利の割り当て、およびセキュリティオプションがあります。

監査政策の変更をナビゲート

監査ポリシーを使用すると、リソースに関する情報を収集する権限を使用します。監査ポリシーを有効に、設定することができセキュリティの重要なセキュリティイベントログを追跡するなどして、そのユーザーがログオンしたときに、コンピュータやユーザーアカウントの設定を変更します。

次の手順を実行することができへのアクセスの監査ポリシーをローカルセキュリティ設定コンソール：

スタートをクリックし、すべてのプログラム]をポイントして、アクセサリをクリックして実行されます。
オープンタイプsecpol.mscのテキストボックスに入力し、 okをクリックします。
ローカルポリシーを展開してノードには、左側のペインをクリックして、監査方針ノード。

以下の表にp rovidesの概要については、デフォルトの監査ポリシーの設定に使用されウィンドウズビスタwindows xpとします。表に示しとして、 windows xpで、監査ではありません、デフォルトで有効になっています。ウィンドウズビスタで、しかし、ログオンの成功のためには、あらゆる種類のアカウントを追跡します。

監査方針と比較すると、 windows xpウィンドウズビスタ
ポリシー	windows xpのデフォルトのセキュリティ設定	デフォルトのセキュリティ設定でウィンドウズビスタ
監査アカウントのログオンイベント	監査ません	成功
アカウント管理の監査	監査ません	監査ません
ディレクトリサービスへのアクセスの監査	監査ません	監査ません
監査ログオンイベント	監査ません	成功
オブジェクトアクセスの監査	監査ません	監査ません
監査ポリシーの変更	監査ません	監査ません
監査特権を使用する	監査ません	監査ません
監査のプロセスのトラッキング	監査ません	監査ません
監査システムイベント	監査ません	監査ません

ナビゲートユーザー権利の割り当てを変更

ユーザー権利の割り当てをユーザーがどのような政策を決定しているコンピュータまたはグループで行うことができます。次の手順にアクセスするユーザー権利の割り当てポリシーは、ローカルセキュリティ設定コンソール：

スタートをクリックし、すべてのプログラム]をポイントして、アクセサリをクリックして実行されます。
オープンタイプsecpol.mscのテキストボックスに入力し、 okをクリックします。
ローカルポリシーを展開してノードには、左側のペインをクリックして、ユーザー権利の割り当てノード。

以下の表に示すように、デフォルトのユーザー権利が変更さウィンドウズビスタwindows xpとの間に大幅にします。主要な理由は、これらの変更を行うには、ユーザーアカウントを管理します。ユーザーアカウント制御を提供するための新しい層の保護されたコンピュータが真実であることを確認し、ユーザーおよび管理者アカウントの分離します。ユーザーアカウントの管理のために、そこには多くのユーザー権利の割り当てを変更してウィンドウズビスタます。

ユーザー権利の割り当てを比較すると、 windows xpのウィンドウズビスタ
ポリシー	windows xpのデフォルトのセキュリティ設定	セキュリティ設定をウィンドウズビスタ
アクセスマネージャを信頼済み証明書の発信	適用されない	デフォルトの設定ありません
このコンピュータのネットワークからのアクセス	みんな、管理者、ユーザー、パワーユーザー、バックアップの演算子	みんな、管理者、ユーザー、バックアップの演算子
法の一環として、オペレーティングシステム	デフォルトの設定ありません	デフォルトの設定ありません
ワークステーションのドメインを追加	デフォルトの設定ありません	デフォルトの設定ありません
メモリ割当量を調整するためのプロセス	ローカルサービス、ネットワークサービス、管理者	ローカルサービス、ネットワークサービス、管理者
ローカルにログオンできるように	適用されない	ユーザー、管理者、ユーザー、バックアップの演算子
ターミナルサービスを介してログオンを許可	管理者は、ユーザーがリモートデスクトップ	管理者は、ユーザーがリモートデスクトップ
バックアップするファイルとディレクトリ	管理者は、バックアップの演算子	管理者は、バックアップの演算子
バイパストラバースチェック	みんな、管理者、ユーザー、パワーユーザー、バックアップの演算子	みんな、管理者、ユーザー、バックアップの演算子
システム時間を変更する	管理者、パワーユーザー	ローカルサービス、管理者
タイムゾーンを変更する	適用されない	ローカルサービスは、システム管理者は、ユーザー
を作成するにpagefile	管理者	管理者
トークンオブジェクトを作成する	デフォルトの設定ありません	デフォルトの設定ありません
グローバルなオブジェクトを作成する	管理者は、インタラクティブ、サービス	管理者は、サービス
永続的な共有オブジェクトを作成する	デフォルトの設定ありません	デフォルトの設定ありません
シンボリックリンクを作成する	デフォルトの設定ありません	管理者
プログラムのデバッグ	管理者	管理者
このコンピュータを否定する、ネットワークからアクセスできるように	サポート、ユーザー	ユーザー
バッチジョブとしてログオンを拒否する	デフォルトの設定ありません	デフォルトの設定ありません
否定するサービスとしてログオン	デフォルトの設定ありません	デフォルトの設定ありません
ローカルでログオンを否定する	サポート、ユーザー	ユーザー
ターミナルサービスを介してログオンを否定する	デフォルトの設定ありません	デフォルトの設定ありません
コンピュータとユーザーアカウントを有効に信頼されるために代表団	デフォルトの設定ありません	デフォルトの設定ありません
リモートシステムからの強制シャットダウン	管理者	管理者
セキュリティ監査を生成する	ローカルサービス、ネットワークサービス	ローカルサービス、ネットワークサービス
認証後にクライアント偽装	管理者は、サービス	管理者は、サービス
増加するプロセスワーキングセット	デフォルトの設定ありません	ユーザー
スケジューリングの優先度を高める	管理者	管理者
デバイスドライバのロードおよびアンロード	管理者	管理者
メモリ内のページのロック	デフォルトの設定ありません	デフォルトの設定ありません
バッチジョブとしてログオン	サポート、管理者	管理者は、バックアップの演算子
サービスとしてログオンを	ネットワークサービス
ローカルにログオン	ユーザー、管理者、ユーザー、パワーユーザー、バックアップの演算子	適用されない
監査ログの管理とセキュリティ	管理者	管理者
ラベルのオブジェクトを修正する	適用されない	デフォルトの設定ありません
ファームウェアの環境設定値を変更する	管理者	管理者
ボリュームの保守タスクを実行する	管理者	管理者
プロファイルの1つのプロセス	管理者、パワーユーザー	管理者
システムのパフォーマンスのプロファイル	管理者	管理者
ドッキングステーションからコンピュータを削除	管理者は、ユーザー、パワーユーザー	管理者は、ユーザー
プロセスレベルトークンを交換する	ローカルサービス、ネットワークサービス	ローカルサービス、ネットワークサービス
ファイルやディレクトリを復元	管理者は、バックアップの演算子	管理者は、バックアップの演算子
システムをシャットダウン	管理者は、ユーザー、パワーユーザー、バックアップの演算子	管理者は、ユーザー、バックアップの演算子
ディレクトリサービスのデータを同期させる	デフォルトの設定ありません	デフォルトの設定ありません
ファイルまたは他のオブジェクトの所有権	管理者	管理者

比較したときに、ユーザーに割り当てられた権利者に割り当てられたウィンドウズビスタwindows xpでは、多くの変更が表示されます。ウィンドウズビスタ段階的に廃止して今すぐパワーユーザーグループと下位互換性を維持するためにだけこのグループのレガシーアプリケーションです。その結果、パワーユーザーグループではありませんウィンドウズビスタでユーザーの権利を付与します。

ウィンドウズビスタが含まれ、いくつかの新しいユーザー権利を含む：

アクセスマネージャの証明書の発信者としての信頼を使うと、ユーザーやグループの信頼を確立するための接続を証明書マネージャです。ウィンドウズビスタでは、証明書の管理職は、ユーザーの認証情報を管理するために使用されます。 証明書には、協会のために必要なすべての情報をログをオンにすると認証され、特定のサーバーまたは特定のサイトなどのユーザー名とパスワードまたは証明書です。身分証明書や資格証明書身分証明書を提供します。資格情報の例としては、ユーザー名とパスワード、スマートカード、および証明書です。
ログオンを許可するユーザーまたはグループを使用すると、 ローカルにログオンし、キーボードでました。このユーザーの権利は、もともとの名前でログインし、ローカルの名前を変更してきましたので、現在、ウィンドウズビスタの両方を許可すると、ローカルでログインし、ローカルログオンユーザーの権利を否定します。
タイムゾーンを変更するユーザーまたはグループを使用すると、タイムゾーンを変更します。この権利として、ユーザーがデフォルトでは、ユーザーができるように変更したタイムゾーンを使用せずに、コンピュータの管理者権限が必要です。

ウィンドウズビスタで、ユーザーまたは具体的には、プロセスを開始したのはユーザーの作業を増加させるために設定できるようになり、処理します。この変更は重要なアプリケーションを実行するための標準的なユーザーの認証情報を使用します。なぜですか？作業のプロセスを設定している物理メモリの容量が割り当てられていることによって、オペレーティングシステムのプロセスです。ウィンドウズビスタを制限してタスクを実行することができ、システムの分野でのアプリケーションを書くことができます。もしユーザの権限を増加させるために使用できませんでしたワーキングセットの過程で、標準的なアプリケーションをユーザーモードで実行されているメモリが実行します。

ナビゲートのセキュリティオプションを変更

セキュリティオプションを有効または無効にするためのコンピュータのセキュリティ設定します。次の手順では、セキュリティオプションにアクセスするローカルセキュリティ設定コンソール：

スタートをクリックし、すべてのプログラム]をポイントして、アクセサリをクリックして実行されます。
オープンタイプsecpol.mscのテキストボックスに入力し、 okをクリックします。
ローカルポリシーを展開してノードには、左側のペインをクリックして、セキュリティオプションをノード。

として、次の表に示すように、デフォルトのセキュリティオプションが変更さウィンドウズビスタwindows xpとの間に大幅にします。ユーザー権利の割り当てと同様に、多くの変更のためには、ユーザーアカウント制御

セキュリティオプションと比較すると、 windows xpウィンドウズビスタ
ポリシー	windows xpのデフォルトのセキュリティ設定	セキュリティ設定をウィンドウズビスタ
アカウント：管理者アカウントのステータス	適用されない	有効
アカウント：ユーザーアカウントのステータス	適用されない	無効
アカウント：ローカルアカウントの使用を制限する空白のパスワードをコンソールログオンのみ	有効	有効
アカウント：管理者アカウントの名前を変更する	管理者	管理者
アカウント：ユーザーアカウントの名前を変更する	ユーザー	ユーザー
監査：グローバルシステムオブジェクトへのアクセスを監査	無効	無効
監査：監査を使用するバックアップと復元の特権	無効	無効
監査：システムをシャットダウンしてすぐにログインできない場合、セキュリティ監査	無効	無効
dcomの：マシンへのアクセス制限のセキュリティ記述定義言語（ sddl ）構文	定義しません。	定義しません。
dcomの：マシンを起動し、セキュリティ制限を記述定義言語（ sddl ）構文	定義しません。	定義しません。
デバイス：ログオンできるようにロックを解除せずに	有効	有効
デバイス：許可され、リムーバブルメディアのフォーマットおよび取り出し	管理者	定義しません。
デバイス：防ぐユーザーからのプリンタドライバをインストールする	無効	無効
デバイス： cd - romのアクセスを制限するローカルにログオンしたユーザーのみ	無効	定義しません。
デバイス：フロッピーへのアクセスを制限するローカルでログオンしたユーザーのみ	無効	定義しません。
デバイス：署名行動ドライバのインストール	しかし、インストールできるように警告	サイレント成功
ドメインコントローラ：演算子を許可するサーバのタスクスケジュール	定義しません。	定義しません。
ドメインコントローラ： ldapサーバー署名要件	定義しません。	定義しません。
ドメインコントローラ：コンピュータアカウントのパスワードの変更を拒否	定義しません。	定義しません。
ドメインのメンバー：暗号化やデジタル署名を確保するチャネルのデータ（常に）	有効	有効
ドメインのメンバー：デジタルを確保するチャネルのデータを暗号化する（できれば）	有効	有効
ドメインのメンバー：デジタル署名を確保するチャネルのデータ（できれば）	有効	有効
ドメインのメンバー：マシンを無効にアカウントのパスワードを変更	無効	無効
ドメインのメンバー：マシンのアカウントのパスワードを最大の年齢	30日以内	30日以内
ドメインのメンバー：必要強い（ windows 2000以降）セッションキー	無効	無効
対話型ログオン：最後のユーザー名が表示されません	無効	無効
対話型ログオン：するctrl + alt +は必要ありませんデル	定義しません。	定義しません。
対話型ログオン：メッセージのテキストをしようとするユーザーのログオン
対話型ログオン：メッセージのタイトルをしようとするユーザーのログオン	定義しません。	定義しません。
対話型ログオン：ログオン数の前にキャッシュ（ドメインコントローラの場合は使用できません）	10ログオン	10ログオン
対話型ログオン：プロンプトで、パスワードを変更する前にユーザーの有効期限	14日	14日
対話型ログオン：ドメインコントローラの認証を必要とワークステーションのロックを解除する	無効	無効
対話型ログオン：スマートカードが必要	定義しません。	無効
対話型ログオン：スマートカードの除去挙動	アクションなし	アクションなし
マイクロソフトネットワーククライアント：デジタル署名通信（常時）	無効	無効
マイクロソフトネットワーククライアント：デジタル署名通信（サーバーに同意した場合）	有効	有効
マイクロソフトネットワーククライアント：暗号化パスワードを送信するサードパーティ製のサーバーのsmb	無効	無効
マイクロソフトネットワークサーバー：アイドル時間に必要な量のセッションを停止する前に	15分	15分
マイクロソフトネットワークサーバー：デジタル署名通信（常時）	無効	無効
マイクロソフトネットワークサーバー：デジタル署名通信（クライアントに同意した場合）	無効	無効
マイクロソフトネットワークサーバー：クライアントの接続を切断するときにログオン時間の有効期限	有効	有効
ネットワークアクセス：匿名sidを許可/名前を翻訳	適用されない	無効
ネットワークアクセス：匿名の列挙を許可しないアカウントのサム	有効	有効
ネットワークアクセス：匿名の列挙を許可しないのアカウントとサム株	無効	無効
ネットワークアクセス：ストレージの認証を許可しません。ネットでのネットワーク認証パスポート	無効	無効
ネットワークアクセス：匿名ユーザーに適用されましょう誰も許可	無効	無効
ネットワークアクセス：匿名でアクセスすることができる名前付きパイプ	comnap 、 comnode 、のsql \クエリ、 spoolss 、 llsrpc 、ブラウザ	のsql \クエリ、 spoolss 、 netlogon 、 lsarpc 、 samr 、ブラウザ
ネットワークアクセス：リモートからアクセスできるレジストリのパス	（複数のパスとして定義されアクセス可能）	定義しません。
ネットワークアクセス：リモートからアクセスできるレジストリのパスおよびサブパス	適用されない	定義しません。
ネットワークアクセス：匿名のアクセスを制限する株式や名前付きパイプ	適用されない	有効
ネットワークアクセス：匿名でアクセスすることができる株	comcfg 、ドルのdfs
ネットワークアクセス：ローカルアカウントの共有とセキュリティモデル	ユーザーのみ-ローカルユーザーとしてユーザー認証	クラシック-ローカルユーザーとして認証自体
ネットワークセキュリティ： lanマネージャのハッシュ値を保存しないで次のパスワードの変更	無効	有効
ネットワークセキュリティ：ログオン時間の有効期限を強制ログオフ時	無効	無効
ネットワークセキュリティ： lanマネージャ認証レベル	回答のlm ＆ ntlmを送る	送信ntlmv2応答のみ
ネットワークセキュリティ： ldapクライアントの署名の要件	交渉調印	交渉調印
ネットワークセキュリティ：セキュリティのための最小セッションベースの認証エスエス製薬（セキュア含むrpc ）のクライアント	最低ありません	最低ありません
ネットワークセキュリティ：セキュリティのための最小セッションベースの認証エスエス製薬（ rpcの確保を含む）サーバー	最低ありません	最低ありません
回復コンソール：自動管理ログオンを許可	無効	無効
回復コンソール：すべてのアクセスを許可するフロッピーにコピーして、すべてのドライブやフォルダ	無効	無効
シャットダウン：システムをシャットダウンして許可せずにログオン	有効	有効
シャットダウン：クリア仮想メモリpagefile	無効	無効
システム暗号化：鍵の保護のための強い力をユーザーのコンピュータ上に保存されるキー	適用されない	定義しません。
システム暗号化： fips準拠したアルゴリズムを使用するための暗号化、ハッシュ、および署名	無効	無効
システムオブジェクト：デフォルトの所有者のオブジェクトを作成したメンバーの管理者グループ	オブジェクトの創造	オブジェクトの創造
システムオブジェクト：必要な場合には無神経非windowsサブシステム	有効	有効
システムオブジェクト：内部のシステムオブジェクトの既定のアクセス許可を強化する（たとえば、シンボリックリンク）	有効	有効
システム設定：オプションサブシステム	適用されない	posixに
システムの設定：証明書を使用するためのルールをwindows実行ファイルはソフトウェアの制限ポリシー	適用されない	無効
ユーザーアカウントの管理：管理者のための迅速な行動は、高度に管理者の承認モード	適用されない	プロンプトを承諾
ユーザーアカウントの管理：行動を促すための標準的なユーザーには、高度	適用されない	プロンプトを認証
ユーザーアカウントの管理：アプリケーションのインストールを検出するための高度かつ迅速な	適用されない	有効
ユーザーアカウント制御：実行ファイルのみを高めることが署名と検証	適用されない	無効
ユーザーアカウント制御：実行するすべての管理者が管理者モードで承認	適用されない	有効
ユーザーアカウントの管理：スイッチを確保する際にデスクトップを促すための高度	適用されない	有効
ユーザーアカウントの管理：ファイルとレジストリの仮想化の失敗を各ユーザーに拠点を書く	適用されない	有効

いくつかの最も重要なセキュリティウィンドウズビスタの変更を行うには、次のデフォルトの設定では、ネットワークにアクセスし、ネットワークのセキュリティ：

リモートレジストリにアクセスすると、 windows xpの、複数のレジストリパスは、デフォルトでリモートアクセスします。ウィンドウズビスタでは、レジストリの地域ではありませんが、デフォルトでリモートアクセスします。このような変化のレジストリのセキュリティを向上させます。また、ウィンドウズビスタが含まれて新しいセキュリティオプションへのアクセスを管理するレジストリsubpathsます。
匿名アクセスを名前付きパイプを追加すると株式ウィンドウズビスタ匿名のアクセスを制限するセキュリティオプションを名前付きパイプと株だった。このような変化匿名アクセスをブロックと名前付きパイプ株だった。
ローカルアカウントの共有とセキュリティモデルを windows xpでは、デフォルトのローカルアカウントの共有とセキュリティモデルとしては、ローカルユーザーを認証しております。ウィンドウズビスタで、地元のユーザーが認証さています。この変更によってセキュリティを向上させていることを確認し適切な権限のユーザーにアクセスする必要があり、ファイルシステムのすべての分野をします。
lanマネージャハッシュ値を保存すると、 windows xp 、ときにユーザーのパスワードを変更すると、 lanマネージャのハッシュ値が使用され、その後の認証を助けることができて、コンピュータに保存されます。ウィンドウズビスタハッシュ値ではないことを確認し、これらのコンピュータに保存されます。このことによってセキュリティを向上させ、ユーザーが必要な新しいハッシュ値を取得するには、いつでもパスワードを変更しました。
windows xpの認証lanマネージャは、クライアントコンピュータのlmを使用すると、認証およびセキュリティを使用しないでntlmバージョン2のセッションです。ウィンドウズビスタで、クライアントコンピュータを使用しntlmバージョン2認証のみを使用することもできntlmバージョン2セッションの場合、サーバーのセキュリティをサポートしています。のでntlmバージョン2は、より安全な認証のlmと、このプロセスはより安全な認証

これは、記事を追加したピーターy.コケ