本稿 ほんこう ではWindowsのセキュリティ機能 きのう (ウィンドウズのセキュリティきのう)について記述 きじゅつ する。本稿 ほんこう ではMicrosoft Windows 本体 ほんたい のみならず、Active Directory やWSUS などWindowsと連携 れんけい するサーバソフト等 とう が提供 ていきょう するセキュリティ機能 きのう も説明 せつめい するものとする。
Windowsには以下 いか の種類 しゅるい のアカウントがある:
名称 めいしょう
概要 がいよう
ユーザアカウント
ユーザのアカウント
コンピュータアカウント
ドメインに参加 さんか している各 かく マシンのアカウント
サービスアカウント
サービスを起動 きどう するのに用 もち いられるOSにビルトインされたアカウント[ 1] 。「SYSTEM」(Administratorsと同 おな じレベルの権限 けんげん )、「LOCAL SERVICE」(一般 いっぱん ユーザと同 おな じレベルの権限 けんげん )「NETWORK SERVICE」(一般 いっぱん ユーザと同 おな じレベルの権限 けんげん )など[ 1] 。
グループアカウント
複数 ふくすう のユーザアカウントを束 たば ねたグループに対 たい するアカウント。グループアカウントを別 べつ のグループアカウントのメンバーにする事 こと も可能 かのう [ 2] 。
これらのアカウントの情報 じょうほう の表示 ひょうじ や設定 せってい は以下 いか のコマンドで実行 じっこう 可能 かのう である:
コマンド
概要 がいよう
net user
ユーザーアカウントの情報 じょうほう の表示 ひょうじ ・設定 せってい [ 3]
net accounts
ユーザーアカウントのサインインやパスワードの要件 ようけん の表示 ひょうじ ・設定 せってい [ 3]
net group
グループアカウンの情報 じょうほう の表示 ひょうじ ・設定 せってい [ 3]
net localgroup
グループアカウンの情報 じょうほう の表示 ひょうじ ・設定 せってい (ローカルアカウント(後述 こうじゅつ )のみ)[ 3]
Windowsの全 すべ てのユーザアカウント、コンピュータアカウント、グループアカウントのように認証 にんしょう やアクセス制御 せいぎょ の対象 たいしょう となる主体 しゅたい の事 こと をセキュリティプリンシパル といい、WindowsのセキュリティプリンシパルにはSID (Security Identifier、セキュリティ識別子 しきべつし ) 、GUID (Globally Unique Identifier、グローバル一意 いちい 識別子 しきべつし ) という2つの固有 こゆう 識別子 しきべつし が割 わ り振 ふ られている[ 4] 。
SID、GUIDはいずれもユーザアカウントを識別 しきべつ するためのものだが、以下 いか のような特徴 とくちょう と違 ちが いがある。まずSIDはActive Directoryドメイン(後述 こうじゅつ )で一意 いちい な識別子 しきべつし でアクセス制御 せいぎょ などに使 つか われる[ 5] 。SIDはユーザ名 めい やコンピュータ名 めい を変更 へんこう してもSIDは変更 へんこう されない。また異 こと なる2つのマシンで同一 どういつ のユーザ名 めい のアカウントを登録 とうろく した場合 ばあい 、それら2つのマシンのアカウントのSIDは互 たが いに異 こと なる。
しかしユーザの所属 しょぞく するドメインが変更 へんこう になった場合 ばあい はSIDも変更 へんこう になる[ 5] 。そこでドメインが変更 へんこう になってもアカウントを一意 いちい に識別 しきべつ できるように作 つく られたのがGUIDである[ 5] 。
各 かく ユーザアカウントには、ユーザアカウントのSID、ユーザが属 ぞく しているグループ(達 いたる )のSID、アクセス制御 せいぎょ 情報 じょうほう 等 とう を記述 きじゅつ したアクセストークン が割 わ り振 ふ られている[ 6] 。
ネットワーク経由 けいゆ でアクセスしてくるユーザーに対 たい しては、アクセス トークンの代 か わりにUID (User IDentifier、ユーザー識別子 しきべつし )が用 もち いられる。アクセストークンの全 ぜん 情報 じょうほう をネットワークに流 なが すのはセキュリティ上 じょう 危険 きけん なので、アクセストークンから必要 ひつよう 情報 じょうほう のみを抜 ぬ き出 だ したUIDを用 もち いるのである。
ユーザアカウントはそのアカウントが持 も つ権限 けんげん により、以下 いか の2つに分類 ぶんるい される:
User :標準 ひょうじゅん ユーザ
Administrator :特権 とっけん ユーザ
User、AdministratorはそれぞれUsersグループ、Administratorsグループに属 ぞく している。なおWindows XPにはこの他 ほか にPower Userという区分 くぶん が存在 そんざい したが、Windows 7以降 いこう は廃止 はいし された[ 7] 。
またマシンを他 た のユーザに貸 か したりするときのためのGuestアカウント があるが[ 8] 、Guestアカウントはセキュリティ上 じょう 危険 きけん な事 こと もあり、Windows 7以降 いこう はデフォルトでGuestアカウントはオフになっている[ 8] 。
Active Directory(後述 こうじゅつ )ではこれらの他 ほか に
Domain Administrator :ドメイン管理 かんり 者 しゃ
Enterprise Adiminstator :フォレスト管理 かんり 者 しゃ
がある。
Windows 10ではユーザアカウントに家族 かぞく という概念 がいねん が導入 どうにゅう されており、家族 かぞく のアカウントには、保護 ほご 者 しゃ やお子様 こさま がある[ 9] 。保護 ほご 者 しゃ アカウントはお子様 こさま アカウントのPC 使用 しよう 時間 じかん の制限 せいげん 、閲覧 えつらん ウェブページの制限 せいげん 、アプリやゲームの年齢 ねんれい 制限 せいげん の設定 せってい 、利用 りよう 履歴 りれき の確認 かくにん といったペアレンタルコントロール を行 おこな う事 こと ができる[ 10] 。
以下 いか のように分類 ぶんるい できる:
名称 めいしょう
概要 がいよう
アカウント情報 じょうほう の保管 ほかん 場所 ばしょ
ローカルアカウント
個々 ここ のマシンで管理 かんり しているアカウント[ 2]
個々 ここ のマシンのSecurity Accounts Manager(SAM)データベース[ 2]
ドメインアカウント
Active Directoryのドメインで管理 かんり しているアカウント[ 2]
Active DirectoryのActive Directoryデータベース[ 2]
Windows 10以降 いこう は、マイクロソフトのシングルサインオン ウェブサービスであるMicrosoft アカウント を使 つか って自分 じぶん が所有 しょゆう するマシンにサインインする事 こと が可能 かのう になった[ 11] 。
マシンをまたがるアカウント管理 かんり ・ファイル共有 きょうゆう [ 編集 へんしゅう ]
小規模 しょうきぼ なネットワークではワークグループの機能 きのう を使 つか う事 こと により、マシンをまたがるアカウント管理 かんり ・ファイル共有 きょうゆう を行 おこな う事 こと ができる。大 だい 規模 きぼ なネットワークであればディレクトリサービスActive Directory で一括 いっかつ 管理 かんり する必要 ひつよう がある。
ユーザ名 めい を用 もち いてアカウント管理 かんり を行 おこな う仕組 しく みである。すなわち、あるマシンから別 べつ のマシンのリソースにアクセスする(例 れい :エクスプローラー にパス名 めい を打 う ち込 こ んでファイルやフォルダにアクセスする)場合 ばあい 、アクセス元 もと のマシンとアクセス先 さき のマシンで同一 どういつ のユーザ名 めい が登録 とうろく されており、しかもアクセス先 さき に登録 とうろく されているパスワードを打 う ち込 こ めばアクセスが許可 きょか される[ 12] 。
クライアントWindowsではワークグループはユーザ数 すう が20以下 いか (Windows 7)ないし10以下 いか (それ以前 いぜん )の場合 ばあい しか利用 りよう できない[ 12] 。WindowsサーバやNASを使 つか えばこの制限 せいげん はない[ 12] 。
ワークグループはTCP/IPベースのNetBIOSにより通信 つうしん を行 おこな っている[ 12] 。古 ふる いバージョンのWindowsではNetBEUI ベースのNetBIOSでも通信 つうしん できた[ 12] 。
Windows 10の場合 ばあい 、ワークグループの機能 きのう を使 つか うには、「システムのプロパティ」でワークグループ名 めい を事前 じぜん に設定 せってい しておく必要 ひつよう がある[ 13] [ 14] 。複数 ふくすう のマシンを同一 どういつ のワークグループに置 お くには各 かく マシンで同一 どういつ のワークグループ名 めい を登録 とうろく する必要 ひつよう がある[ 13] 。同一 どういつ のワークグループに属 ぞく している場合 ばあい のみファイル共有 きょうゆう が可能 かのう である。なお同一 どういつ のワークグループ内 ない にあるマシンのコンピューター名 めい は互 たが いに異 こと なっている必要 ひつよう がある[ 13] 。
さらに「ネットワークと共有 きょうゆう センター」の「共有 きょうゆう オプション」で「ネットワーク探索 たんさく を有効 ゆうこう にする」をチェックし、必要 ひつよう に応 おう じ「ファイルとプリンターの共有 きょうゆう を有効 ゆうこう にする」もチェックする[ 13] 。
リソース公開 こうかい 側 がわ のマシンがゲストアカウント を許可 きょか していれば、ユーザ名 めい がなくともパスワードだけ知 し っていればアクセスできる[ 12] 。特 とく にパスワードを空 そら に設定 せってい すれば誰 だれ でもアクセスできるようになるが、セキュリティ上 じょう 危険 きけん である[ 12] 。
Windows 7で導入 どうにゅう された新 あたら しい形態 けいたい のワークグループネットワークであるが[ 15] 、Windows 10 (Version 1803) 以降 いこう では削除 さくじょ されている[ 16] 。
参考 さんこう :Windows NTドメインネットワーク[ 編集 へんしゅう ]
NTドメイン という単位 たんい でマシンやアカウントなどを管理 かんり する仕組 しく み[ 17] 。ユーザアカウント、グループアカウント、システムポリシーが利用 りよう 可能 かのう [ 15] 。「ドメインコントローラー(DC) 」と呼 よ ばれるサーバーでユーザアカウントやグループアカウントを一括 いっかつ 管理 かんり しており[ 15] 、DCに(ユーザないしグループ)アカウントがNTドメイン内 ない でどのような権限 けんげん (書 か き込 こ み権限 けんげん 、読 よ み込 こ み権限 けんげん など)を持 も つかを一度 いちど 登録 とうろく すればNTドメイン内 ない の全 すべ てのマシンでこの登録 とうろく 情報 じょうほう が共有 きょうゆう される[ 15] 。このためワークグループと違 ちが い、個々 ここ のマシンにユーザ登録 とうろく する必要 ひつよう はない。
ただし、NTドメインやアカウント管理 かんり に階層 かいそう 構造 こうぞう がない事 こと やアカウント数 すう に上限 じょうげん があるといった欠点 けってん がある[ 15] 。
Active Directoryが登場 とうじょう したこともあり、Windows 2000以降 いこう は新規 しんき にNTドメインが利用 りよう される事 こと はほとんどなくなった[ 17] 。
Active Directory (以下 いか 、AD )はユーザ、グループ、およびコンピュータアカウントを管理 かんり するディレクトリサービスである。マイクロソフトはソフトウェアとしてADを提供 ていきょう しているのみならず、Azure Active Directory(Azure AD) としてクラウド提供 ていきょう もしている[ 18] 。
ADはこれらのアカウントをActive Directoryドメイン (略 りゃく してADドメイン 、あるいは単 たん にドメイン )としてまとめられる[ 19] 。さらに複数 ふくすう のドメインをツリー型 がた の階層 かいそう 構造 こうぞう を持 も つドメインツリー としてまとめられ[ 19] 、ドメイン・ツリー同士 どうし を結 むす び合 あ わせたフォレスト を作 つく る事 こと ができる[ 19] 。Windows Server 2003以降 いこう ではフォレスト間 あいだ の信頼 しんらい 関係 かんけい (クロスフォレスト信頼 しんらい )も設定 せってい 可能 かのう である[ 19] 。
企業 きぎょう を例 れい に取 と ると、例 たと えば以下 いか のように上記 じょうき 分類 ぶんるい を利用 りよう できる[ 19] :
ドメイン:部署 ぶしょ
ドメインツリー:関西 かんさい 支社 ししゃ といった拠点 きょてん
フォレスト:企業 きぎょう 全体 ぜんたい
各 かく ドメインはドメインコントローラー というサーバで管理 かんり できる[ 20] 。ドメインコントローラーの主 おも な役割 やくわり は、ユーザアカウントを管理 かんり し、ユーザが自身 じしん の端末 たんまつ にログオンする際 さい ADが管理 かんり しているユーザアカウント情報 じょうほう と照 て らし合 あ わせてログオン認証 にんしょう することと[ 20] 、アカウントに特権 とっけん ・権利 けんり を認可 にんか する事 こと である。
各 かく ドメイン内 ない のアカウントはOU (Organizational Unit、組織 そしき 単位 たんい )という単位 たんい でまとめる事 こと ができ、さらにOU内 ない にOUをいれるなど階層 かいそう 的 てき な管理 かんり も可能 かのう である[ 19] [ 21] 。なお、OU毎 ごと に別 べつ の管理 かんり 者 しゃ を割 わ り当 あ て管理 かんり 委任 いにん する事 こと も可能 かのう である[ 19] 。
1つのドメインに複数 ふくすう のドメインコントローラーを設置 せっち してレプリケーション を行 おこな う事 こと でドメインコントローラーの可用性 かようせい や信頼 しんらい 性 せい を向上 こうじょう する事 こと ができる。なお、レプリケーションはマルチマスタである。
ドメイン内 ない のアカウントの信頼 しんらい 関係 かんけい はドメインコントローラーが制御 せいぎょ する。
同 どう 一 いち ドメイン・ツリー内 ない の各 かく ドメイン間 あいだ には双方向 そうほうこう かつ推移 すいい 的 てき な信頼 しんらい 関係 かんけい が結 むす ばれる[ 22] 。よってドメイン・ツリー内 ない の他 ほか ののドメインのリソースへもアクセス可能 かのう になる[ 22] 。
同 どう 一 いち フォレスト内 ない の各 かく フォレストツリーも双方向 そうほうこう かつ推移 すいい 的 てき な信頼 しんらい 関係 かんけい が結 むす ばれている[ 22] 。
フォレスト間 あいだ の信頼 しんらい (クロスフォレスト信頼 しんらい )は、一方向 いちほうこう の信頼 しんらい 関係 かんけい も双方向 そうほうこう の信頼 しんらい 関係 かんけい も築 きづ ける[ 23] 。また信頼 しんらい 関係 かんけい は推移 すいい 的 てき にも非 ひ 推移 すいい 的 てき にもできる[ 23] 。なおデフォルトは双方向 そうほうこう かつ推移 すいい 的 てき な信頼 しんらい である[ 23] 。ただし、ドメインコントローラーのレプリケーションがフォレストをまたいで行 おこな われる事 こと はない。
Windowsではファイルシステム、ファイル共有 きょうゆう 、プリンター、レジストリ、グループポリシー、サービス、WMIなど[ 24] 様々 さまざま な箇所 かしょ にアクセス制御 せいぎょ を導入 どうにゅう している。
Windowsの標準 ひょうじゅん ファイルシステムの一 ひと つである[ 25] NTFS ではDACL (Discretionary Access Control List、随意 ずいい アクセス制御 せいぎょ [ 注 ちゅう 1] )というアクセス制御 せいぎょ 機構 きこう を導入 どうにゅう している[ 24] 。これはTCSECC2レベルセキュリティ(=コモンクライテリア・ISO/IEC15408 のEAL3に対応 たいおう )を実現 じつげん するために導入 どうにゅう されたものである[ 24] 。
NTFS DACLはリソースの所有 しょゆう 者 しゃ が任意 にんい にアクセス権 けん を規定 きてい できる アクセス制御 せいぎょ 方式 ほうしき (任意 にんい アクセス制御 せいぎょ 方式 ほうしき )で、具体 ぐたい 的 てき にはファイルやフォルダの「プロパティ」から「セキュリティ」を選択 せんたく する事 こと でアクセス制御 せいぎょ を設定 せってい できる[ 24] 。
アクセス制御 せいぎょ は複数 ふくすう のACE (Access Control Entry)からなっており[ 24] 、各 かく ACEは以下 いか の4つの項目 こうもく の組 く み合 あ わせとして記述 きじゅつ される[ 27] :
項目 こうもく
概要 がいよう
プリンシパル
どのアカウントをアクセス制御 せいぎょ するか
制御 せいぎょ 内容 ないよう
どんな行為 こうい をアクセス制御 せいぎょ するか
種類 しゅるい
「許可 きょか 」するのか「拒否 きょひ 」するのか
適用 てきよう 先 さき
どのリソースにアクセス制御 せいぎょ を適用 てきよう する
「制御 せいぎょ 内容 ないよう 」として選択 せんたく 可能 かのう なのは以下 いか の14種類 しゅるい である:「フォルダーのスキャンとファイルの実行 じっこう 」、「フォルダーの一覧 いちらん /データの読 よ み取 と り」、「属性 ぞくせい の読 よ み取 と り」、「拡張 かくちょう 属性 ぞくせい の読 よ み取 と り」、「ファイルの作成 さくせい /データの書 か き込 こ み」、「フォルダーの作成 さくせい /データの追加 ついか 」、「属性 ぞくせい の書 か き込 こ み」、「拡張 かくちょう 属性 ぞくせい の書 か き込 こ み」、「サブフォルダーとファイルの削除 さくじょ 」、「削除 さくじょ 」、「アクセス許可 きょか の読 よ み取 と り」、「アクセス許可 きょか の変更 へんこう 」、「所有 しょゆう 権 けん の取得 しゅとく 」、「同期 どうき 」[ 27] 。
なお、アクセス制御 せいぎょ 設定 せってい 画面 がめん の「簡易 かんい 表示 ひょうじ 」では制御 せいぎょ 内容 ないよう として「フルコントロール」、「変更 へんこう 」、「読 よ み取 と りと実行 じっこう 」、「フォルダーの内容 ないよう の一覧 いちらん 表示 ひょうじ 」、「読 よ み取 と り」、「書 か き込 こ み」があるが、これらは前述 ぜんじゅつ した14項目 こうもく の組 く み合 あ わせとして定義 ていぎ される[ 27] 。例 たと えば「読 よ み取 と り」は「フォルダーの一覧 いちらん /データの読 よ み取 と り」、「属性 ぞくせい の読 よ み取 と り」、「拡張 かくちょう 属性 ぞくせい の読 よ み取 と り」、「アクセス許可 きょか の読 よ み取 と り」、「同期 どうき 」の5項目 こうもく を全 すべ て「許可 きょか 」にし、それ以外 いがい の9項目 こうもく を全 すべ て「拒否 きょひ 」にするという設定 せってい である[ 27] 。
「適用 てきよう 先 さき 」に関 かん しては、ACEを定義 ていぎ するのがファイルの場合 ばあい はそのファイル自身 じしん が選択肢 せんたくし としてあるだけだが、ACLを定義 ていぎ するのがフォルダである場合 ばあい は、そのフォルダに属 ぞく するファイルやサブフォルダにACEの制御 せいぎょ が継承 けいしょう されるか否 ひ かを決 き める必要 ひつよう がある。
ACEの継承 けいしょう 関係 かんけい は以下 いか の3つのフラグ でより規定 きてい される[ 27] :
略称 りゃくしょう
名称 めいしょう (英語 えいご )
名称 めいしょう (日本語 にほんご )
意味 いみ
OI
Object Inherit
オブジェクト継承 けいしょう
ACEを定義 ていぎ したフォルダに属 ぞく するファイルにACEが継承 けいしょう される
CI
Container Inherit
コンテナ継承 けいしょう
ACEを定義 ていぎ したフォルダに属 ぞく するサブフォルダにACEが継承 けいしょう される
IO
Inherit Only
継承 けいしょう のみ
ACEを定義 ていぎ したフォルダ自身 じしん にはACEは適用 てきよう されないが、そこに属 ぞく するファイルやサブフォルダにはACEが継承 けいしょう される
フラグが3つあるので、組 く み合 あ わせは8通 とお りあるが、フラグIOのみ立 た っているのは無意味 むいみ なので、実際 じっさい はこれを除 のぞ いた7通 とお りが選択肢 せんたくし となる。フォルダの「プロパティ」>「セキュリティ」で表示 ひょうじ されるGUIベースのAECの設定 せってい では、この7通 とお りの選択肢 せんたくし が以下 いか のように表示 ひょうじ される[ 27] :
適用 てきよう 先 さき 表記 ひょうき
フラグでの表記 ひょうき
このフォルダー、サブフォルダーおよびファイル
(OI)(CI)
サブフォルダーとファイルのみ
(OI)(CI)(IO)
このフォルダーとサブフォルダー
(CI)
サブフォルダーのみ
(CI)(IO)
このフォルダーとファイル
(OI)
このフォルダーのみ
(無 な し)
ファイルのみ
(OI)(IO)
なお、アクセス権 けん を全 すべ て拒否 きょひ したとしても、そのリソースの所有 しょゆう 者 しゃ とCREATE OWNERグループのメンバーはそのリソースのアクセス権 けん を変更 へんこう できる。
cacls 、icacls、Get-ACLのようなCUI ベースのコマンドの場合 ばあい は、前述 ぜんじゅつ したOI、CI、IO以外 いがい にさらに2つのフラグが表示 ひょうじ される[ 27] :
略称 りゃくしょう
名称 めいしょう (英語 えいご )
名称 めいしょう (日本語 にほんご )
意味 いみ
NP
No Propagate Inherit
継承 けいしょう 伝搬 でんぱん の禁止 きんし
NPが立 た っているとCIが立 た っていても孫 まご フォルダに継承 けいしょう は伝搬 でんぱん しない
I
Inhereted
継承 けいしょう されたアクセス権 けん
上位 じょうい フォルダから継承 けいしょう されたアクセス権 けん に対 たい して表示 ひょうじ されるフラグ
共有 きょうゆう フォルダ(SMB・CIFS によるファイル共有 きょうゆう )ではNTFS DACLとは別 べつ のACL により共有 きょうゆう アクセスのアクセス権 けん を制御 せいぎょ しており[ 28] 、このACLで付与 ふよ されたアクセス権 けん を共有 きょうゆう アクセス権 けん という[ 28] 。共有 きょうゆう アクセス権 けん は「共有 きょうゆう フォルダのプロパティ>共有 きょうゆう >詳細 しょうさい な共有 きょうゆう 」で設定 せってい 可能 かのう [ 29] 。共有 きょうゆう アクセス権 けん とNTFS DACLのアクセス権 けん が競合 きょうごう している場合 ばあい は両者 りょうしゃ とも許可 きょか の場合 ばあい のみアクセスが許可 きょか される[ 28] 。
Windows Server 8では任意 にんい アクセス制御 せいぎょ であるDACLの他 ほか に強制 きょうせい アクセス制御 せいぎょ であるCentral Access Policy (集約 しゅうやく 型 がた アクセス ポリシー)が実装 じっそう されている[ 30] 。
AzureではAzure RBACというロールベースアクセス制御 せいぎょ が導入 どうにゅう されている[ 31] 。
WebDAV (Web-based Distributed Authoring and Versioning、ウェブダブ)はマイクロソフトが開発 かいはつ したHTTP 拡張 かくちょう で、「ファイル システムなどの格納 かくのう 媒体 ばいたい を HTTP 接続 せつぞく で使用 しよう 可能 かのう にする、HTTP 1.1 規格 きかく の拡張 かくちょう 機能 きのう 」[ 32] で、Webサーバ のIIS などに実装 じっそう されている[ 32] 。WebDEVでは以下 いか のアクセス権 けん を設定 せってい できる:
ディレクトリおよびファイルとそのプロパティの検索 けんさく [ 32]
ディレクトリおよびファイルとそのプロパティの作成 さくせい 、変更 へんこう 、削除 さくじょ 、および参照 さんしょう [ 32]
ファイルおよびディレクトリのカスタム プロパティの保存 ほぞん および検索 けんさく [ 32]
共同 きょうどう 作業 さぎょう 環境 かんきょう でのファイルのロック[ 32]
AD環境 かんきょう ではグループアカウントを利用 りよう してアクセス制御 せいぎょ を行 おこな うので、まずグループアカウントの種別 しゅべつ について述 の べた後 のち 、AD環境 かんきょう のアクセス制御 せいぎょ の基本 きほん 方針 ほうしん である「AGUDLP」について述 の べる。
グループアカウントには個々 ここ のマシンで管理 かんり するローカルグループ と、Active Directoryで管理 かんり されるセキュリティグループ とがあり、これらに加 くわ えて配布 はいふ グループ というメールアプリケーションでメールの配布 はいふ 先 さき を指定 してい したりする為 ため のグループの種類 しゅるい がある[ 33] 。なおドメイングループと配布 はいふ グループはActive Directoryに関 かん するグループの種類 しゅるい であるので、ドメインアカウントしかグループメンバーに出来 でき ない[ 33] 。
セキュリティグループと配布 はいふ グループはその有効 ゆうこう 範囲 はんい によってドメインローカルグループ 、グローバルグループ 、ユニバーサルグループ に分 わ かれる[ 33] 。ドメインローカルグループはドメイン内 ない でのみ参照 さんしょう 可能 かのう である。これに対 たい しグローバルグループとユニバーサルグループはいずれも他 た のドメイン、ドメインツリー、フォレスト全体 ぜんたい から参照 さんしょう 可能 かのう であるが、グローバルグループはメンバー追加 ついか に制限 せいげん があり、追加 ついか できるのは同 どう 一 いち ドメインのアカウントやグローバルグループのみである[ 33] 。ユニバーサルグループにはそのような制限 せいげん はない[ 33] 。
AGUDLP はAD環境 かんきょう においてロールベースアクセス制御 せいぎょ を行 おこな うためのマイクロソフト推奨 すいしょう の方針 ほうしん である。ここでAGUDLPはAccount(アカウント)、Grobal group(グローバルグループ)、Universal group(ユニバーサルグループ)、Domain Local group(ドメインローカルグループ)、Permission(パーミッション)の頭文字 かしらもじ を集 あつ めたもので、これらを以下 いか のように用 もち いるとよいと推奨 すいしょう している[ 34] [ 35] :
頭文字 かしらもじ
分類 ぶんるい
使 つか い方 かた
A
アカウント
各 かく ユーザにアカウントを割 わ り振 ふ る
G
グローバルグループ
「開発 かいはつ 部門 ぶもん 管理 かんり 職 しょく 」のように企業 きぎょう の実 じつ 組織 そしき の構造 こうぞう に従 したが ったグローバルグループを作 つく り、そこにユーザのアカウントを所属 しょぞく させる
U
ユニバーサルグループ
グローバルグループは、そのグローバルグループを作成 さくせい したドメインからしかメンバーを追加 ついか できないので、それ以外 いがい のドメインからもメンバーを追加 ついか したい場合 ばあい は1つ以上 いじょう のグローバルグループを含 ふく むユニバーサルグループを作成 さくせい する
DL
ドメインローカルグループ
「ソースコードフォルダへの書 か き込 こ み権限 けんげん 保持 ほじ 者 しゃ グループ」のように、権限 けんげん 毎 ごと にドメインローカルグループを作 つく り、そのドメインローカルグループにグローバルグループやユニバーサルグループを所属 しょぞく させる
P
パーミッション
各 かく ドメインローカルグループに書 か き込 こ み権限 けんげん や読 よ み込 こ み権限 けんげん などのパーミッションを与 あた える。
規模 きぼ がより小 ちい さい企業 きぎょう では上述 じょうじゅつ したA、G、U、DL、Pを全 すべ て用意 ようい する必要 ひつよう はなく、AUP、AGLP、AGDLPなどにする[ 36] 。
Windowsではユーザやプロセスの振 ふ る舞 ま いを監査 かんさ するため、監視 かんし 者 しゃ が予 あらかじ め指定 してい した行為 こうい をユーザが行 おこな った場合 ばあい には監査 かんさ ログ に記述 きじゅつ する事 こと ができる[ 37] 。
何 なに を監査 かんさ ログに書 か き込 こ むのかは管理 かんり 者 しゃ が監査 かんさ ポリシー として事前 じぜん にしてする必要 ひつよう がある。監査 かんさ ポリシーは
コンピュータの構成 こうせい \Windows の設定 せってい \セキュリティの設定 せってい \ローカル ポリシー \監査 かんさ ポリシー
で閲覧 えつらん ・設定 せってい が可能 かのう である[ 38] 。監査 かんさ ポリシーに記述 きじゅつ 可能 かのう なイベントとしては
Active Directoryでは監査 かんさ ポリシーはSACL (システムアクセス制御 せいぎょ リスト)として記述 きじゅつ される[ 38] 。
Window 10には以下 いか の4通 とお りのサインイン方法 ほうほう がある[ 39] :
方法 ほうほう
概要 がいよう
パスワード入力 にゅうりょく
通常 つうじょう のパスワード認証 にんしょう
PIN
暗証 あんしょう 番号 ばんごう (4 桁 けた ~64 桁 けた )の入力 にゅうりょく により認証 にんしょう
ピクチャ パスワード
パスワード用 よう に指定 してい した画像 がぞう の上 うえ で、パスワードとして指定 してい したジェスチャ(ドラッグやタップ)を行 おこな う事 こと で認証 にんしょう
Windows Hello
端末 たんまつ 搭載 とうさい の顔 かお 認証 にんしょう 用 よう のカメラや指紋 しもん 認証 にんしょう リーダーと連携 れんけい した生体 せいたい 認証 にんしょう
上記 じょうき 4種類 しゅるい のサインインのうち、PINは個々 ここ の端末 たんまつ にしか保管 ほかん されない為 ため 、PINが漏洩 ろうえい しても攻撃 こうげき 者 しゃ がユーザになりすまして他 た のPCからMicrosoft アカウントにサインインする事 こと はできない[ 39] 。
またサインインの際 さい 、事前 じぜん に指定 してい した携帯 けいたい 電話 でんわ やメール アドレスに送信 そうしん されるセキュリティコードを入力 にゅうりょく する2段階 だんかい 認証 にんしょう もできる[ 39] 。
Active Directoryにおける認証 にんしょう [ 編集 へんしゅう ]
Active Directoryはユーザ認証 にんしょう としてケルベロス認証 にんしょう [ 注 ちゅう 2] とNTLM認証 にんしょう が利用 りよう 可能 かのう である[ 42] 。ただし、NTLMは(バージョン1、2双方 そうほう とも)認証 にんしょう プロトコルそれ自身 じしん がセキュリティ上 じょう 脆弱 ぜいじゃく である事 こと が知 し られているので、その利用 りよう は推奨 すいしょう されない[ 43] 。クライアント端 はし 末 まつ がWindows 7以降 いこう であればケルベロス認証 にんしょう に対応 たいおう しているのでNTLM認証 にんしょう を停止 ていし 可能 かのう である。
Azure ADは多 た 要素 ようそ 認証 にんしょう にも対応 たいおう している[ 18] 。
Active Directoryによるシングルサインオン[ 編集 へんしゅう ]
Active Directoryはケルベロス認証 にんしょう により、ドメイン内 ない のシングルサインオン を実現 じつげん する。ドメイン連携 れんけい の仕組 しく みやADFS (Active Directoryフェデレーションサービス)というを使 つか えば、ドメインの垣根 かきね を超 こ えてシングルサインオンが可能 かのう になる[ 44] 。
Azure ADの場合 ばあい はSAML やOpenID Connect などでシングルサインオンを実現 じつげん している[ 45] 。
Azure ADはシングルサインオン機能 きのう のよりマイクロソフトを含 ふく む各社 かくしゃ のクラウドアプリケーションと連携 れんけい 可能 かのう で、Azure AD経由 けいゆ でアクセス可能 かのう なクラウドアプリケーションは2000種類 しゅるい 以上 いじょう ある(2016年 ねん 現在 げんざい )[ 18] 。
またWindow 10では事前 じぜん にAzure ADにアカウントを登録 とうろく しておくと、ユーザが端末 たんまつ にサインインしたときに透過 とうか 的 てき にAzure ADからも認証 にんしょう され、Azure ADの連携 れんけい サービスにシングルサインオンできる[ 46] 。
Microsoft アカウントによるシングルサインオン[ 編集 へんしゅう ]
Microsoft アカウント (マイクロソフトアカウント、以前 いぜん は Microsoft Wallet [ 47] 、Microsoft Passport [ 48] 、.NET Passport 、Microsoft Passport Network 、Windows Live ID )は、
にログインするためのシングルサインオン Webサービスである。OpenID 、FIDO2 をサポートしている。
Microsoft Identity Manager(MIM)[ 編集 へんしゅう ]
AD環境 かんきょう のAGUDLPではグループ管理 かんり が煩雑 はんざつ になる事 こと を踏 ふ まえて作 つく られたユーザープロビジョニングサービス[ 49] 。「ID統合 とうごう 」を行 おこな うためのサービスで[ 50] 、特 とく に「「IDのライフサイクル管理 かんり を行 おこな う」ことで、管理 かんり 者 しゃ の作業 さぎょう ・監査 かんさ における省力 しょうりょく 化 か を目的 もくてき 」[ 50] としている。下記 かき のように、何 なん 度 ど か名称 めいしょう が変更 へんこう されている[ 50] :
略称 りゃくしょう
正式 せいしき 名称 めいしょう
年 とし
MIIS
Microsoft Identity Integration Server
2003
ILM
Identity Lifecycle Manager
2007
FIM
Forefront Identity Manager
2010
MIM
Microsoft Identity Manager
2016
Windowsにおけるユーザ権限 けんげん は、シャットダウンやバックアップなどマシン全体 ぜんたい に関 かか わる権限 けんげん である特権 とっけん とローカルログインなど個々 ここ のユーザに関 かん する権限 けんげん である権利 けんり に分 わ かれる。
ユーザの特権 とっけん ・権利 けんり はsecpol.msc (ローカル セキュリティ ポリシー)の「ユーザー権利 けんり の割 わ り当 あ て」から確認 かくにん でき、グループポリシー(後述 こうじゅつ )はgpmc.msc (グループポリシーの管理 かんり )の「ユーザー権利 けんり の割 わ り当 あ て」から確認 かくにん できる[ 11] 。
各 かく マシンローカルなセキュリティ設定 せってい はローカルセキュリティポリシー と呼 よ ばれ、secpol.mscツールを使 つか えばアカウントに対 たい してどのような特権 とっけん ・権利 けんり が与 あた えられているかを確認 かくにん できる[ 2] [ 51] 。
ADではグループポリシー という機能 きのう を用 もち いて各 かく ユーザアカウントの各 かく 端末 たんまつ における特権 とっけん ・権利 けんり を一括 いっかつ で設定 せってい できる[ 21] 。グループポリシーの管理 かんり はgpmc.mscツールを用 もち いて管理 かんり できる[ 2] 。
各 かく グループポリシーはGPO (グループポリシーオブジェクト)とリンク からなる[ 21] 。GPOにはユーザアカウントや端末 たんまつ に認可 にんか (ないし禁止 きんし )したい特権 とっけん ・権利 けんり を指定 してい し、リンクはGPOを適用 てきよう するOUを指定 してい する[ 21] 。ユーザアカウントからなるOUやコンピュータアカウントからなるOUをリンクに指定 してい する事 こと で、ユーザや端末 たんまつ の特権 とっけん ・権利 けんり を一括 いっかつ で設定 せってい できる。
GPOとしては例 たと えば以下 いか のものが設定 せってい 可能 かのう である[ 52] :
設定 せってい
概要 がいよう
セキュリティ周 まわ りの設定 せってい
後述 こうじゅつ
ソフトウェアの配布 はいふ
Windowsインストーラを利用 りよう したソフトウェアの自動的 じどうてき にかつ一律 いちりつ なインストールなど[ 52]
スタートアップなどのスクリプト
コンピュータの起動 きどう 時 じ 、終了 しゅうりょう 時 じ などのスクリプト実行 じっこう [ 52]
Internet Explorerの設定 せってい
セキュリティ・ゾーンとドメインのマッピングの定義 ていぎ 、「お気 き に入 い り」へのリンクの追加 ついか ・削除 さくじょ など[ 52]
フォルダのリダイレクト
各 かく コンピュータのローカルなフォルダをファイル・サーバ上 じょう のフォルダへリダイレクト[ 52]
セキュリティ周 まわ りでは例 たと えば以下 いか のものが設定 せってい 可能 かのう である:
ファイルやレジストリのアクセス権 けん などの設定 せってい [ 52]
パスワードポリシーの設定 せってい [ 53]
ローカルへのパスワード保存 ほぞん やパスワードキャッシュ保存 ほぞん の禁止 きんし [ 53] [ 54]
アカウントロックポリシーの設定 せってい [ 53]
管理 かんり 者 しゃ グループメンバーの制限 せいげん [ 53]
ファイヤーウォールの受信 じゅしん ポート制御 せいぎょ [ 54]
シャットダウン時 じ のページファイルの削除 さくじょ [ 54]
サインイン時 じ の利用 りよう 規約 きやく の表示 ひょうじ [ 54]
グループポリシーはGPMCというツールで管理 かんり する事 こと ができる[ 55] 。
なお、Windows Serverにはセキュリティポリシーテンプレート というGPOの雛形 ひながた が
%SystemRoot%\Security\Templates
に複数 ふくすう 置 お いてあるので、必要 ひつよう に応 おう じてテンプレートの中身 なかみ を書 か き換 か えて自 じ 組織 そしき の環境 かんきょう 用 よう にカスタマイズした上 うえ でテンプレートをGPOに読 よ み込 こ む事 こと で容易 ようい にポリシーを設定 せってい できる[ 56] [ 57] 。
AppLockerはアプリケーションの実行 じっこう の許可 きょか ・不 ふ 許可 きょか を設定 せってい できるツールである。具体 ぐたい 的 てき には、「「実行 じっこう 可能 かのう ファイル(EXE)」「Windowsインストーラ・ファイル」「スクリプト」「DLL」の各 かく カテゴリに対 たい して、それぞれ「ファイルのパス」「ハッシュ値 ち 」「発行 はっこう 元 もと (デジタル署名 しょめい )」を設定 せってい し、これに「許可 きょか 」「拒否 きょひ 」「例外 れいがい 」という3種類 しゅるい のルールが適用 てきよう できる」[ 58] 。「AppLockerによるプログラムの実行 じっこう 制御 せいぎょ は、ローカル・セキュリティ・ポリシーかグループ・ポリシーを使 つか って行 おこな う」[ 58] 。
またApplockerでは「規則 きそく の実施 じっし 」か「監査 かんさ のみ」を選 えら ぶことができ、前者 ぜんしゃ を選 えら ぶと実行 じっこう の許可 きょか ・不 ふ 許可 きょか がAppLockerにより制御 せいぎょ されるが、後者 こうしゃ を選 えら んだ場合 ばあい には、AppLockerは実行 じっこう を制御 せいぎょ せず、実行 じっこう 結果 けっか がログに記載 きさい されるのみである[ 59] 。
Security Compliance Toolkit はマイクロソフト内外 ないがい の専門 せんもん 家 か のフィードバックに基 もと づいてベストプラクティスをまとめたセキュリティベースラインで[ 60] 、マイクロソフトが過去 かこ に公開 こうかい していたベストプラクティス集 しゅう Security Compliance Managerを置 お き換 か えるものである[ 61] 。各 かく セキュリティ分野 ぶんや 別 べつ の推奨 すいしょう 設定 せってい がスプレッドシート形式 けいしき で記載 きさい されており[ 60] 、分析 ぶんせき テスト機能 きのう を使 つか うと必要 ひつよう なGPO、テンプレート、クライアントインストールスクリプトが入手 にゅうしゅ できる[ 60] 。
またSecurity Compliance Toolkitのページから、マイクロソフトのポリシーアナライザツールや、ローカルWindowsポリシーを管理 かんり する「Local Group Policy Object Utility」もダウンロードできる」[ 60] 。
BitLocker はディスク全体 ぜんたい を暗号 あんごう 化 か することができるセキュリティ 機能 きのう 。他 た のPCにディスクを接続 せつぞく されても、中身 なかみ を読 よ むことはできない。コンピューターにTrusted Platform Module (TPM)が搭載 とうさい されていれば、それを使用 しよう して暗号 あんごう 化 か を行 おこな う。BitLocker To Go はUSBメモリなどのリムーバブル・ディスクの暗号 あんごう 化 か を行 おこな える。
Encrypting File System(EFS) はNTFS バージョン3.0で追加 ついか された機能 きのう で[ 62] 、ファイルシステム レベルでの暗号 あんごう 化 か を提供 ていきょう する。この技術 ぎじゅつ はコンピューターに物理 ぶつり 的 てき にアクセスする攻撃 こうげき 者 しゃ から機密 きみつ データを保護 ほご するために、ファイルの透過 とうか 的 てき 暗号 あんごう 化 か を実現 じつげん する。
この
節 ふし の
加筆 かひつ が
望 のぞ まれています。
(2019年 ねん 1月 がつ )
この
節 ふし の
加筆 かひつ が
望 のぞ まれています。
(2019年 ねん 1月 がつ )
Security Support Provider Interface [ 編集 へんしゅう ]
この
節 ふし の
加筆 かひつ が
望 のぞ まれています。
(2019年 ねん 1月 がつ )
この
節 ふし の
加筆 かひつ が
望 のぞ まれています。
(2019年 ねん 1月 がつ )
Window 10では下記 かき の仕組 しく みによりブートキットやその他 た ルートキットに感染 かんせん するのを防 ふせ いでいる:
名称 めいしょう
概要 がいよう
セキュアブート
マシンがファームウェア を読 よ み込 こ む際 さい 、ファームウェアに付 つ いている署名 しょめい を検証 けんしょう し、ファームウェアがブートローダー を読 よ み込 こ む際 さい 、ブートローダーに付 つ いている署名 しょめい を検証 けんしょう する事 こと で、ブートキット の感染 かんせん を検出 けんしゅつ する仕組 しく み[ 63] 。UEFI とTPM を利用 りよう [ 63] 。
トラストブート
セキュアブート終了 しゅうりょう 後 ご [ 64] [ 注 ちゅう 3] 、windows 10 カーネルのデジタル署名 しょめい を検証 けんしょう し[ 63] 、Windows 10 カーネルがブート ドライバー、スタートアップ ファイル、ELAM (後述 こうじゅつ )を含 ふく むWindows スタートアッププロセスの他 ほか の全 すべ てのコンポーネントを検証 けんしょう する仕組 しく み[ 63] 。
起動 きどう 時 じ マルウェア対策 たいさく (ELAM)
「Early Launch Anti-Malware」の略 りゃく [ 64] 。マイクロソフト以外 いがい のブートドライバーとアプリケーションを読 よ み込 こ む前 まえ に(マイクロソフトの、もしくはそれ以外 いがい の)マルウェア対策 たいさく ドライバーを読 よ み込 こ み[ 63] 、ブートドライバーが事前 じぜん に登録 とうろく されたリストにあるか否 ひ かをチェックする[ 63] 。
メジャーブート
ファームウェア、ブートローダー、ブート ドライバー等 とう マルウェア対策 たいさく アプリの前 まえ に読 よ み込 こ まれるもの全 すべ てのハッシュ値 ち をUEFI ファームウェアがTPMに格納 かくのう [ 63] 。構成 こうせい 証明 しょうめい サーバーから送 おく られてきた署名 しょめい 鍵 かぎ を用 もち いてTPMがUEFIのログに署名 しょめい した上 うえ で[ 63] ログやハッシュ値 ち をサーバに送 おく る[ 63] 。これらを利用 りよう してサーバ側 がわ でPC の正常 せいじょう 性 せい を客観 きゃっかん 的 てき に評価 ひょうか [ 63] 。
Microsoft Defender はその内容 ないよう が時 とき とともに変化 へんか したが、2018年 ねん 現在 げんざい はマイクロソフトがWindows向 む けに提供 ていきょう するセキュリティ機能 きのう のシリーズ名 めい で[ 65] 、下記 かき のものを含 ふく んでいる[ 65] :
名称 めいしょう
概要 がいよう
Windows Defender Security Center
セキュリティ関連 かんれん のクライアントインターフェース[ 66]
Windows Defender ウィルス対策 たいさく
マルウェア対策 たいさく ソフト
Windows Defender Offline
ブータブルCD /DVD 、またはUSBフラッシュドライブ にマルウェア駆除 くじょ 用 よう のシステムをインストールし、Windows起動 きどう 中 ちゅう に検出 けんしゅつ や削除 さくじょ ができないマルウェアに対処 たいしょ するために提供 ていきょう されている。
Windows Defender Smart Screen
既 すんで 報告 ほうこく 済 ずみ の悪意 あくい のある可能 かのう 性 せい のあるサイトにアクセスしようとしたり悪意 あくい のある可能 かのう 性 せい のあるファイルをダウンロードしようとしたりすると警告 けいこく する[ 67] 。
Windows Defender Firewall
パーソナルファイアウォール
Windows Defender Exploit Guard[ 68]
Exploit Protection
データ実行 じっこう 防止 ぼうし (DEP) 、ASLR 、SEHOP(Structured Exception Handling Overwrite Protection、構造 こうぞう 化 か 例外 れいがい 処理 しょり の上書 うわが き保護 ほご )[ 69] 。EMET の後続 こうぞく [ 69] 。
ASR(Attack Surface Reduction、攻撃 こうげき 表面 ひょうめん の縮小 しゅくしょう )
「Office ベースやスクリプトベース、電子 でんし メールベースの脅威 きょうい をブロックし、マシンにマルウェアが侵入 しんにゅう することを」防 ふせ ぐ[ 70]
ネットワーク保護 ほご
「Windows Defender SmartScreenを使 つか って、デバイスから信頼 しんらい されていないホストやIPへのアウトバウンドプロセスをブロック」[ 70]
フォルダー アクセスの制御 せいぎょ
「信頼 しんらい されていないプロセスによる、保護 ほご されたフォルダーへのアクセスをブロック」[ 70] する事 こと によるランサムウェア 対策 たいさく [ 70] 。
Windows Defender Device Guard
後述 こうじゅつ
Windows Defender Application Control
「ユーザーの実行 じっこう が許可 きょか されるアプリケーションと、システム コア (カーネル) で実行 じっこう されるコードを制限 せいげん することによって」[ 71] 、「ファイルベースのマルウェア (.exe、.dll など) 」[ 71] の脅威 きょうい を軽減 けいげん
Windows Defender Credential Guard
後述 こうじゅつ
Windows Defender Application Guard
「Microsoft Edge または Internet Explorer のいずれかから非 ひ 信頼 しんらい サイトを表示 ひょうじ すると、Microsoft Edge では分離 ぶんり された Hyper-V 対応 たいおう コンテナーに含 ふく まれるサイトが」開 ひら く[ 72]
Windows Defender Advanced Threat Protection
EDR(Endpoint Detection and Response)[ 73]
Microsoft Security Essentials [ 編集 へんしゅう ]
2009年 ねん 9月 がつ 29日 にち ~2020年 ねん 1月 がつ 14日 にち にWindows XP, Vista, 7向 む けに提供 ていきょう していたアンチウイルスソフトウェア。
VBS(Virtualization-Based Security)[ 編集 へんしゅう ]
VBS (Virtualization-Based Security、仮想 かそう 化 か ベースのセキュリティ)は仮想 かそう 化 か 基盤 きばん Hyper-V を利用 りよう したハイパーバイザー ベースのセキュリティ技術 ぎじゅつ で[ 74] 、Windows Defender System Guardともいう[ 75] 。ハイパーバイザーが通常 つうじょう のWindows OS自身 じしん を1つの仮想 かそう マシンとして実行 じっこう し、それとは別 べつ にもう一 ひと つの仮想 かそう マシンVSM(Virtual Secure Mode)を実行 じっこう する。Windows OSとVSMはハイパーバイザーレベルで分離 ぶんり されている為 ため 、Windows OS側 がわ の特権 とっけん が攻撃 こうげき 者 しゃ に乗 の っ取 と られても、VSM側 がわ は乗 の っ取 と られない[ 74] 。
そこでVBSではVSMにWindows OS自身 じしん よりも高 たか い特権 とっけん レベルを要求 ようきゅう する操作 そうさ を割 わ り振 ふ っており、Windows OS、VSMの特権 とっけん レベルをそれぞれVTL 0、VTL 1という(VTLはVirtual Trust Levelの略 りゃく )[ 76] 。(リングプロテクションと違 ちが い、数字 すうじ が大 おお きいほど特権 とっけん レベルが高 たか い事 こと に注意 ちゅうい [ 76] )。
VTL 0、VTL 1はリングプロテクション のRing 0、Ring 3とは独立 どくりつ した特権 とっけん レベル概念 がいねん であり、VTLが0か1か、リングプロテクションレベルが0か3かの組 く み合 あ わせで計 けい 4つの特権 とっけん レベルがある事 こと になる[ 76] [ 77] 。
WindowsではVBSを使 つか うことで以下 いか の3つのセキュリティ機能 きのう を実現 じつげん している[ 74] [ 76] [ 78] :
名称 めいしょう
概要 がいよう
Credential Guard
Active Directoryの資格 しかく 情報 じょうほう を管理 かんり するセキュリティ認証 にんしょう サブシステム (Local Security Authority Subsystem Service : LSASS)をVSM側 がわ で実行 じっこう し、さらに暗号 あんごう 化 か 鍵 かぎ をTPM(ない場合 ばあい はUEFI)で保護 ほご する事 こと で、Windowsの特権 とっけん が攻撃 こうげき 者 しゃ に取 と られても、Pass-the-Hash攻撃 こうげき などで資格 しかく 情報 じょうほう が窃取 せっしゅ されないようにする[ 74] [ 79] 。
Device Guard
アプリケーションやデバイスドライバのホワイトリスト機能 きのう [ 79] 。アプリケーションやデバイスドライバに正当 せいとう な署名 しょめい が付 つ いている事 こと を確認 かくにん した上 うえ でこれらを実行 じっこう する[ 80] 。「グループポリシーの「コードの整合 せいごう 性 せい ポリシーを展開 てんかい する」を使 つか って、あらかじめ指定 してい したアプリケーションだけしか動作 どうさ しないように設定 せってい 」する事 こと も可能 かのう [ 80] 。カーネルモードで動 うご くバイナリをチェックする「カーネルモードのコードの整合 せいごう 性 せい (Kernel Mode Code Integrity:KMCI)」とユーザーモードで動 うご くバイナリをチェックする「ユーザーモードのコードの整合 せいごう 性 せい (User Mode Code Integrity:UMCI)」からなっている[ 79] 。 Windows Storeで配布 はいふ されているアプリケーションは配布 はいふ 段階 だんかい で署名 しょめい が必須 ひっす である[ 80] 。またPKI を用意 ようい して既存 きそん のアプリケーションに署名 しょめい を行 おこな ってもよい[ 80] 。
仮想 かそう TPM
仮想 かそう マシンでTPMを利用 りよう するための技術 ぎじゅつ で[ 74] 、ソフトウェアベースでTPMを実現 じつげん するためTPM対応 たいおう プロセッサを必要 ひつよう としない[ 81]
Windows 10 Fall Creators Update(バージョン1709)ではDevice Guardに代 か わる機能 きのう としてWindows Defender Application Guard(WDAG) が導入 どうにゅう されている[ 75] [ 82] 。WDAGと並 なら び、AppLocker もWindowsが持 も つもう一 ひと つのアプリケーションホワイトリスト機能 きのう であるが、両者 りょうしゃ はいわば補完 ほかん 関係 かんけい にある[ 83] 。WDAGは自 じ 組織 そしき にとって可能 かのう な制限 せいげん レベルに対 たい してのみ強制 きょうせい すべきで、それより低 ひく いレベルに関 かん してはAppLockerによる保護 ほご で補完 ほかん する[ 83] 。
マイクロソフトでは、自社 じしゃ が提供 ていきょう するWindows 、Microsoft Office などのソフトウェア の更新 こうしん プログラム(パッチ) 、およびデバイスドライバ のダウンロード と更新 こうしん を行 おこな うためサービスであるWindows Update を提供 ていきょう している。
個人 こじん 用 よう の端末 たんまつ の場合 ばあい には、マイクロソフトが提供 ていきょう するWindows Updateのサイトから直接 ちょくせつ 更新 こうしん プログラムを入手 にゅうしゅ するが、企業 きぎょう などではWSUS という中間 ちゅうかん サーバを社内 しゃない に立 た て、WSUSが代表 だいひょう してマイクロソフトから更新 こうしん プログラムを取 と り寄 よ せ、各 かく 社員 しゃいん の端末 たんまつ はWSUSから更新 こうしん プログラムを取 と り寄 よ せる構成 こうせい にするケースも多 おお い。このような構成 こうせい を取 と る目的 もくてき は、企業 きぎょう の側 がわ が社員 しゃいん のPCにおける更新 こうしん プログラムの適用 てきよう 状 じょう 況 きょう を把握 はあく したり、マイクロソフトからの更新 こうしん プログラムのダウンロードによる通信 つうしん 帯域 たいいき の圧迫 あっぱく を避 さ けたりする事 こと にある。
Window UpdateやWSUSはバックグラウンドでBITS (Background Intelligent Transfer Service、バックグラウンド インテリジェント転送 てんそう サービス)という仕組 しく みを用 もち いている。これはアイドル中 ちゅう のネットワーク回線 かいせん の帯域 たいいき 幅 はば を使用 しよう し、非同期 ひどうき にマシン間 あいだ のファイル転送 てんそう を行 おこな う事 こと を可能 かのう にする。
WSUS (読 よ みはダブルサス。Windows Server Update Services、ウィンドウズサーバーアップデートサービス)は、更新 こうしん プログラム やデバイスドライバなどの適用 てきよう 制御 せいぎょ 用 よう のサーバ ・アプリケーション である。
クライアントPCは、グループポリシー またはレジストリによって指定 してい されたWSUSサーバに対 たい して、指定 してい された時間 じかん 間隔 かんかく (既定 きてい 値 ち は約 やく 22時 じ 間 あいだ 間隔 かんかく )でアクセスしてローカルにダウンロードし、「自動 じどう 更新 こうしん 」コンポーネントに表示 ひょうじ する。なおダウンロードのタイミングは指定 してい できない。
またユーザがクライアントPCにログインしていなくても更新 こうしん プログラムのダウンロードや適用 てきよう を行 おこな うよう設定 せってい 可能 かのう である。
更新 こうしん プログラムの適用 てきよう が完了 かんりょう すると、クライアントPCは適用 てきよう ステータスをWSUSサーバ(グループポリシー設定 せってい での名称 めいしょう は「イントラネット統計 とうけい サーバ」)に報告 ほうこく する。WSUSサーバでは、このステータス報告 ほうこく をもとに更新 こうしん プログラムやクライアントPCごとのレポートを作成 さくせい する。
更新 こうしん プログラムのダウンロードはBackground Intelligent Transfer Service (BITS) が実行 じっこう しており、利用 りよう 可能 かのう なネットワーク帯域 たいいき に応 おう じて回線 かいせん がパンクしないように、また更新 こうしん データの配布 はいふ によって回線 かいせん を独占 どくせん し、ネットワークが使用 しよう 不可 ふか になるような状況 じょうきょう にならないように、通信 つうしん 量 りょう が自動的 じどうてき に調整 ちょうせい される。
WSUS管理 かんり 者 しゃ は、管理 かんり コンソール上 じょう で更新 こうしん プログラムをどのように配布 はいふ するか制御 せいぎょ する事 こと ができる。配布 はいふ を許可 きょか する場合 ばあい 、更新 こうしん プログラムに対 たい して「承認 しょうにん 」の作業 さぎょう を行 おこな う事 こと が必要 ひつよう になる。WSUS 2.0 (SP1) においては、承認 しょうにん には以下 いか の4つの状態 じょうたい がある。
名称 めいしょう
概要 がいよう
インストール
更新 こうしん プログラムをクライアントPCがインストールする事 こと を許可 きょか する承認 しょうにん 状態 じょうたい である。
検出 けんしゅつ のみ
更新 こうしん プログラムの存在 そんざい は公開 こうかい するが、更新 こうしん プログラムのダウンロードや適用 てきよう は許可 きょか しない承認 しょうにん 状態 じょうたい
削除 さくじょ
更新 こうしん プログラムの削除 さくじょ (アンインストール)を強制 きょうせい する承認 しょうにん 状態 じょうたい
拒否 きょひ
検出 けんしゅつ を拒否 きょひ する承認 しょうにん 状態 じょうたい 。「拒否 きょひ 」にした更新 こうしん プログラムはWSUSの管理 かんり コンソールにおいても通常 つうじょう は表示 ひょうじ されなくなる。
WSUSでは、クライアントPCを「コンピュータ・グループ」という任意 にんい の管理 かんり グループに分類 ぶんるい して、グループ毎 ごと に更新 こうしん プログラムの承認 しょうにん を行 おこな う事 こと が可能 かのう である。コンピュータ・グループの登録 とうろく とグループ分 わ けは、管理 かんり 画面 がめん で管理 かんり 者 しゃ が手動 しゅどう で行 おこな うか、グループポリシーまたはレジストリによってクライアントPCに対 たい して設定 せってい することで行 おこな う。
コンピュータ・グループによって、きめ細 こま かな更新 こうしん プログラムの適用 てきよう 管理 かんり が可能 かのう になる。例 たと えば、更新 こうしん プログラムをまず適用 てきよう 試験 しけん 用 よう のPCに適用 てきよう して評価 ひょうか を行 おこな い、安全 あんぜん を確認 かくにん した後 のち に一般 いっぱん のクライアントPCに対 たい して配布 はいふ する、といった適用 てきよう 制御 せいぎょ が容易 ようい に可能 かのう になる。
クライアントPCから報告 ほうこく されるステータス情報 じょうほう やWSUSサーバ自身 じしん のステータス情報 じょうほう を元 もと に、WSUS 3.0 (SP1) では、以下 いか のレポートを作成 さくせい できる:
名称 めいしょう
概要 がいよう
更新 こうしん レポート
更新 こうしん プログラム毎 ごと に、クライアントPCの適用 てきよう 状 じょう 況 きょう を表示 ひょうじ 。更新 こうしん の状態 じょうたい の概要 がいよう 、更新 こうしん の詳細 しょうさい な状態 じょうたい 、更新 こうしん の状態 じょうたい (表 おもて 形式 けいしき )が含 ふく まれる
コンピュータレポート
クライアントPC毎 ごと に、更新 こうしん プログラムの適用 てきよう 状 じょう 況 きょう を表示 ひょうじ 。コンピュータの状態 じょうたい の概要 がいよう 、コンピュータの詳細 しょうさい な状態 じょうたい 、コンピュータの状態 じょうたい (表 おもて 形式 けいしき )が含 ふく まれる
同期 どうき レポート
WSUS 3.0サーバの、過去 かこ のMicrosoft Updateとの同期 どうき 結果 けっか についてレポート
以下 いか の種類 しゅるい の更新 こうしん プログラムを配布 はいふ する事 こと ができる(2008年 ねん 7月 がつ 末日 まつじつ 現在 げんざい )。
Feature Packs : 新 あたら しく公開 こうかい された機能 きのう 。通常 つうじょう は時期 じき リリース製品 せいひん に含 ふく まれる。
Service Packs
セキュリティ問題 もんだい の修正 しゅうせい プログラム : 製品 せいひん のセキュリティホールを修正 しゅうせい する更新 こうしん プログラム。
ツール : ユーティリティ類 るい
ドライバ : デバイスドライバ
更新 こうしん : 重要 じゅうよう 性 せい が低 ひく く、セキュリティに関連 かんれん しない不具合 ふぐあい を修正 しゅうせい するための更新 こうしん プログラム。
修正 しゅうせい プログラム集 しゅう : 複数 ふくすう のホットフィックス やセキュリティ修正 しゅうせい プログラムなどを集約 しゅうやく した更新 こうしん プログラム。
重要 じゅうよう な更新 こうしん : 重要 じゅうよう 性 せい が高 たか く、セキュリティに関連 かんれん しない不具合 ふぐあい を修正 しゅうせい するための更新 こうしん プログラム。
定義 ていぎ 自動 じどう 更新 こうしん プログラム : Windows Defender やForefront Client Securityなどの定義 ていぎ ファイル。
Windowsにはバックアップを取 と る方法 ほうほう がいくつかある。
Windowsにはデフォルトでファイルのバックアップの機能 きのう が備 そな わっている。例 たと えばWindow 10では「更新 こうしん とセキュリティ」の「バックアップ」を選択 せんたく する事 こと でバックアップが可能 かのう になる。この際 さい バックアップしたいフォルダ全 すべ てを一覧 いちらん から選択 せんたく し、バックアップ先 さき のドライブを選択 せんたく する。
こうしたファイルごとのバックアップとは別 べつ にシステムイメージ を作成 さくせい する機能 きのう も備 そな わっているが、Windows 10 バージョン1709 Fall Creators Updateからは非 ひ 推奨 すいしょう の機能 きのう になった[ 84] 。
Windows Server 2008以降 いこう にはWindows Server Backupというバックアップ機能 きのう が標準 ひょうじゅん で装備 そうび されており、そのコマンドラインインターフェースとしてwbadmin.exeが提供 ていきょう されている。(wbadmin.exeはクライアントWindowsにもデフォルトで入 はい っている為 ため 、一部 いちぶ 制限 せいげん があるもののクライアントでもwbadmin.exeを使 つか ったバックアップが可能 かのう )。
Azureを契約 けいやく していれば、Azure Backupの機能 きのう を使 つか う事 こと でMicrosoft Cloudのデータ [ 85] 、およびオンプレミス のWindows ServerやWindows Clientのデータ[ 86] をバックアップできる。
Windowsには「システムの復元 ふくげん 」という機能 きのう が備 そな わっており、システムに不具合 ふぐあい が生 しょう じたとき、過去 かこ に作成 さくせい した復元 ふくげん ポイントまでシステムの状態 じょうたい を巻 ま き戻 もど す事 こと ができる。「システムの復元 ふくげん 」で復元 ふくげん されるのは具体 ぐたい 的 てき には、OSの重要 じゅうよう ファイル、レジストリ、設定 せってい 、アプリケーションやデバイスドライバの追加 ついか ・変更 へんこう などである[ 87] 。
またWindows 10の「更新 こうしん とセキュリティ」には「このPCを初期 しょき 状態 じょうたい に戻 もど す」という機能 きのう がついており、初期 しょき 状態 じょうたい にリセットできる。
IRMは、デジタル著作 ちょさく 権 けん 管理 かんり (DRM)の一種 いっしゅ であり、機密 きみつ 情報 じょうほう を不正 ふせい アクセスから保護 ほご する技術 ぎじゅつ である。情報 じょうほう の暗号 あんごう 化 か や選択 せんたく 的 てき 機能 きのう 拒否 きょひ 機能 きのう を使 つか うことができ、企業 きぎょう の電子 でんし メール 、 Microsoft Word 文書 ぶんしょ 、 ウェブページ などの文書 ぶんしょ へのアクセスを制限 せいげん し、許可 きょか されたユーザーのみが閲覧 えつらん 、編集 へんしゅう することができるようにする。Microsoft Office などの対応 たいおう ソフトウェアを使 つか うことで、情報 じょうほう を作成 さくせい 、表示 ひょうじ 、編集 へんしゅう 、配布 はいふ できる権限 けんげん を情報 じょうほう 毎 ごと に個別 こべつ に設定 せってい することができる技術 ぎじゅつ である。
Active Directory Rights Management Services [ 編集 へんしゅう ]
Windows Server の機能 きのう であるInformation Rights Management (IRM)を利用 りよう するためのサーバソフトウェア。AD RMS と省略 しょうりゃく する。AD RMSはWindows Server 2003 で新規 しんき に実装 じっそう された。
この
節 ふし の
加筆 かひつ が
望 のぞ まれています。
(2019年 ねん 1月 がつ )
この
節 ふし の
加筆 かひつ が
望 のぞ まれています。
(2019年 ねん 1月 がつ )
この
節 ふし の
加筆 かひつ が
望 のぞ まれています。
(2019年 ねん 1月 がつ )
この
節 ふし の
加筆 かひつ が
望 のぞ まれています。
(2019年 ねん 1月 がつ )
CFI(Control-Flow integrity) 技術 ぎじゅつ の一 ひと つ[ 88] [ 89] [ 90] 。インストラクション ポインタの制御 せいぎょ を奪 うば う攻撃 こうげき に対策 たいさく するため、「コンパイル時 じ にIndirect Call(call eaxなど)を精査 せいさ して、正当 せいとう な呼 よ び出 だ しだけを「ホワイトリスト化 か 」したうえで、呼 よ び出 だ し先 さき アドレスにチェックするための関数 かんすう を挿入 そうにゅう する」[ 91] 。
ユーザが所有 しょゆう しているスマートフォンとBluetoothをあらかじめペアリングしておくと、Bluetoothの電波 でんぱ 強度 きょうど を測 はか り、ユーザ(が持 も っているスマートフォン)がPCから離 はな れるとおよそ1分 ふん 後 ご に、自動 じどう で画面 がめん ロックがかかる[ 92] 。
^ Discretionary Access Controlは「任意 にんい アクセス制御 せいぎょ 」と訳 やく される事 こと が多 おお いが、WindowsのDACLは「随意 ずいい アクセス制御 せいぎょ 」と訳 やく される[ 26] 。本稿 ほんこう では、NTFSの機能 きのう の場合 ばあい は「随意 ずいい アクセス制御 せいぎょ 」、一般 いっぱん 名詞 めいし の場合 ばあい は「任意 にんい アクセス制御 せいぎょ 」と用語 ようご を使 つか い分 わ けるものとする。
^ Active Directoryのドメインがケルベロスのレルムと一致 いっち しており[ 40] 、Active Directoryのドメインコントローラーがケルベロス認証 にんしょう におけるAS、TGS双方 そうほう の役目 やくめ を担 にな う[ 41]
^ Microsoftによる解説 かいせつ の日本 にっぽん 訳 やく [ 63] には「セキュア ブートがオフになっている場合 ばあい は、」とあるが原文 げんぶん [ 64] には「Trusted Boot takes over where Secure Boot leaves off」とあるのでMicrosoftの日本 にっぽん 訳 やく が誤訳 ごやく であると判断 はんだん し「セキュアブート終了 しゅうりょう 後 ご 」とした。
^ a b “Windowsのサービスで使用 しよう される「System」「Local Service」「Network Service」アカウントとは? ”. @IT . Tech TIPS (2009年 ねん 5月 がつ 8日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c d e f g “第 だい 1回 かい ユーザーとグループアカウント (1/2) ”. @IT . Windows OS入門 にゅうもん (2014年 ねん 6月 がつ 5日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c d “Windowsのnetコマンドの使 つか い方 かた ”. @IT . Tech TIPS (2002年 ねん 11月23日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “セキュリティプリンシパル(Security Principal) ”. セコムトラストシステムズのBCP(事業 じぎょう 継続 けいぞく 計画 けいかく )用語 ようご 辞典 じてん . 2005年 ねん 12月12日 にち 時点 じてん のオリジナル よりアーカイブ。2019年 ねん 1月 がつ 4日 にち 閲覧 えつらん 。
^ a b c “SIDs versus GUIDs ”. TechTarget . GET STARTED . 2019年 ねん 1月 がつ 4日 にち 閲覧 えつらん 。
^ “Access Tokens ”. マイクロソフト (2018年 ねん 5月 がつ 31日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “Power Users グループについて Power Users グループはなくなったのですか? ”. マイクロソフト. 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b “Windows 10にはGuestアカウントがない? 有効 ゆうこう にする設定 せってい 方法 ほうほう と注意 ちゅうい 点 てん は ”. livedoor news . 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “Windows 10の“子供 こども 用 よう ”ユーザーアカウントとは? ”. ITmedia PC USER . Windows 10のツボ(24) (2015年 ねん 9月 がつ 9日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “子供 こども にも安心 あんしん ! Windows 10 でインターネット安全 あんぜん 対策 たいさく ”. マイクロソフト. 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b “Windows 10のMicrosoftアカウント・ローカルアカウントの違 ちが いと特徴 とくちょう | 便利 べんり なのはどっち? ”. ボクシルマガジン . 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c d e f g “第 だい 1回 かい ワークグループ・ネットワークの基礎 きそ (1/2) ”. @IT . Windows 7時代 じだい のワークグループ・ネットワーク (2010年 ねん 10月 がつ 28日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c d “[Windows 10] ネットワーク上 じょう のユーザーとファイルやフォルダーを共有 きょうゆう する方法 ほうほう ”. VAIO . 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “[Windows 10 コンピューター名 めい やワークグループの設定 せってい 方法 ほうほう ]”. VAIO . 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c d e “第 だい 1回 かい Windowsネットワークとは (2/2) ”. Windowsネットワークの基礎 きそ (2014年 ねん 5月 がつ 8日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “ホームグループは Windows 10 (Version 1803) から削除 さくじょ されました ”. マイクロソフト. 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b “NTドメイン(2018/10/3更新 こうしん 版 ばん ) ”. IT用語 ようご 辞典 じてん e-Words . 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c “Active DirectoryとAzure Active Directoryは何 なに が違 ちが うのか? (1/2) ”. @IT . 基礎 きそ から分 わ かるActive Directory再 さい 入門 にゅうもん (11:特別 とくべつ 編 へん ) (2016年 ねん 7月 がつ 22日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c d e f g “第 だい 1回 かい Active Directoryとは何 なに か? (2/3) ”. @IT . 改訂 かいてい 管理 かんり 者 しゃ のためのActive Directory入門 にゅうもん (Windows Server 2003対応 たいおう 改訂 かいてい 版 ばん ) (2006年 ねん 1月 がつ 19日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b “第 だい 1回 かい Active Directoryとは何 なに か? (3/3) ”. @IT . 改訂 かいてい 管理 かんり 者 しゃ のためのActive Directory入門 にゅうもん (Windows Server 2003対応 たいおう 改訂 かいてい 版 ばん ) (2006年 ねん 1月 がつ 19日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c d “グループポリシーの仕組 しく み、理解 りかい できていますか? ”. @IT . 基礎 きそ から分 わ かるグループポリシー再 さい 入門 にゅうもん (1) (2015年 ねん 1月 がつ 30日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c “第 だい 3回 かい Active Directory関連 かんれん 用語 ようご 集 しゅう (前編 ぜんぺん ) (1/2) ”. @IT . 管理 かんり 者 しゃ のためのActive Directory入門 にゅうもん (2002年 ねん 11月13日 にち ). 2021年 ねん 9月 がつ 21日 にち 時点 じてん のオリジナル よりアーカイブ。2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c “第 だい 5章 しょう ACTIVE DIRECTORY および IDENTITY MANAGEMENT によるフォレスト間 あいだ の信頼 しんらい 作成 さくせい ”. Windows 統合 とうごう ガイド . Redhat. 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c d e “第 だい 2回 かい アクセス制御 せいぎょ リストACL (1/2) ”. @IT . Windows OS入門 にゅうもん (2014年 ねん 7月 がつ 17日 にち ). 2019年 ねん 1月 がつ 7日 にち 閲覧 えつらん 。
^ “NTFS ”. IT用語 ようご 辞典 じてん e-Words . 2019年 ねん 1月 がつ 7日 にち 閲覧 えつらん 。
^ “サービスの随意 ずいい アクセス制御 せいぎょ リストを作成 さくせい する場合 ばあい の推奨 すいしょう 事項 じこう およびガイド ”. Microsoftサポート . 2019年 ねん 1月 がつ 7日 にち 閲覧 えつらん 。 [リンク切 き れ ]
^ a b c d e f g “第 だい 2回 かい アクセス制御 せいぎょ リストACL (2/2) ”. @IT . Windows OS入門 にゅうもん (2014年 ねん 7月 がつ 17日 にち ). 2019年 ねん 1月 がつ 7日 にち 閲覧 えつらん 。
^ a b c “【第 だい 10回 かい 】ファイルの共有 きょうゆう (共有 きょうゆう アクセス権 けん のあれこれ) ”. IT Search+ . 【連載 れんさい 】にわか管理 かんり 者 しゃ のためのWindowsサーバ入門 にゅうもん . マイナビニュース (2010年 ねん 10月 がつ 12日 にち ). 2019年 ねん 1月 がつ 7日 にち 閲覧 えつらん 。
^ “【第 だい 9回 かい 】ファイルの共有 きょうゆう (共有 きょうゆう の操作 そうさ ) ”. IT Search+ . 【連載 れんさい 】にわか管理 かんり 者 しゃ のためのWindowsサーバ入門 にゅうもん . マイナビニュース (2010年 ねん 9月 がつ 27日 にち ). 2019年 ねん 1月 がつ 7日 にち 閲覧 えつらん 。
^ “新 あら たに追加 ついか された強制 きょうせい アクセス制御 せいぎょ 「Central Access Policy」 ACLから20年 ねん !Windows Server 8で追加 ついか の新 しん アクセス制御 せいぎょ とは? ”. ASCII.jp×TECH . 使 つか って理解 りかい しよう!Windows Server 8の姿 すがた ― 第 だい 3回 かい (2012年 ねん 4月 がつ 12日 にち ). 2019年 ねん 1月 がつ 7日 にち 閲覧 えつらん 。
^ “ロールベースのアクセス制御 せいぎょ (RBAC) とは ”. マイクロソフト (2018年 ねん 11月30日 にち ). 2019年 ねん 1月 がつ 7日 にち 閲覧 えつらん 。
^ a b c d e f “アクセス制御 せいぎょ について ”. マイクロソフト. 2019年 ねん 1月 がつ 7日 にち 閲覧 えつらん 。
^ a b c d e “第 だい 1回 かい ユーザーとグループアカウント (2/2) ”. @IT . Windows OS入門 にゅうもん (2014年 ねん 6月 がつ 5日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “ユーザーアカウントやグループ、グループ戦略 せんりゃく 「AGLP、AGDLP、AUP、AGUDLP」を知 し ろう Active Directoryのアカウントとグループとは? ”. ASCII.jp×TECH . Windows Serverで学 まな ぶサーバOS入門 にゅうもん ― 第 だい 7回 かい . p. 3 (2010年 ねん 3月 がつ 9日 にち ). 2019年 ねん 1月 がつ 4日 にち 閲覧 えつらん 。
^ “ユーザーアカウントやグループ、グループ戦略 せんりゃく 「AGLP、AGDLP、AUP、AGUDLP」を知 し ろう Active Directoryのアカウントとグループとは? ”. ASCII.jp×TECH . Windows Serverで学 まな ぶサーバOS入門 にゅうもん ― 第 だい 7回 かい . p. 4 (2010年 ねん 3月 がつ 9日 にち ). 2019年 ねん 1月 がつ 4日 にち 閲覧 えつらん 。
^ “小規模 しょうきぼ 向 む けのAUPと大 だい 規模 きぼ 環境 かんきょう 向 む けのAGUDLPについても学 まな ぼう 「機能 きのう レベル」でActive Directoryの互換 ごかん 性 せい を確保 かくほ しよう ”. ASCII.jp×TECH . Windows Serverで学 まな ぶサーバOS入門 にゅうもん ― 第 だい 8回 かい . p. 1 (2010年 ねん 3月 がつ 16日 にち ). 2019年 ねん 1月 がつ 4日 にち 閲覧 えつらん 。
^ “監査 かんさ について ”. マイクロソフト. 2019年 ねん 1月 がつ 7日 にち 閲覧 えつらん 。
^ a b c d e f g h i “脅威 きょうい とその対策 たいさく ”. マイクロソフト (2006年 ねん 8月 がつ 14日 にち ). 2019年 ねん 1月 がつ 7日 にち 閲覧 えつらん 。
^ a b c “パスワードだけじゃない! サインイン方法 ほうほう を変更 へんこう して Windows 10 をより安全 あんぜん に! ”. マイクロソフト. 2019年 ねん 1月 がつ 8日 にち 閲覧 えつらん 。
^ “初歩 しょほ から理解 りかい するActive Directory (第 だい 3回 かい ) ”. 日経 にっけい XTECH . Windows Active Directory(3) . 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “ドメインコントローラーの役割 やくわり とは ”. @IT . 基礎 きそ から分 わ かるActive Directory再 さい 入門 にゅうもん (3) . 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “Security Configuration” , Microsoft Windows 2000 Security Hardening Guide , TechNet (マイクロソフト), http://technet.microsoft.com/en-us/library/dd277307.aspx 2014年 ねん 10月 がつ 5日 にち 閲覧 えつらん 。
^ “Security Considerations for Implementers” , NT LAN Manager (NTLM) Authentication Protocol Specification (マイクロソフト), http://msdn.microsoft.com/en-us/library/cc236715(v=PROT.10).aspx 2014年 ねん 10月 がつ 5日 にち 閲覧 えつらん 。
^ “Active Directoryはなぜ必要 ひつよう なのか ”. @IT . 基礎 きそ から分 わ かるActive Directory再 さい 入門 にゅうもん (1) (2014年 ねん 4月 がつ 11日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “Active DirectoryとAzure Active Directoryは何 なに が違 ちが うのか? (2/2) ”. @IT . 基礎 きそ から分 わ かるActive Directory再 さい 入門 にゅうもん (11:特別 とくべつ 編 へん ) (2016年 ねん 7月 がつ 22日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “Azure Active Directory(Azure AD) ”. @IT . Tech Basics/Keyword (2016年 ねん 1月 がつ 21日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “Wallet インターフェイスが Internet Explorer で表示 ひょうじ されない ”. Support.microsoft.com (2011年 ねん 2月 がつ 3日 にち ). 2013年 ねん 6月 がつ 15日 にち 閲覧 えつらん 。
^ Microsoft Passport: Streamlining Commerce and Communication on the Web
^ “【IAM】 DAC その1 ~ グループベース RBAC の破 は たん? ”. マイクロソフト (2013年 ねん 3月 がつ 29日 にち ). 2019年 ねん 1月 がつ 4日 にち 閲覧 えつらん 。
^ a b c “ID連携 れんけい の花形 はながた !MIM 2016やってみる?(1) - IDaaS と MIMの関係 かんけい ”. NTTデータ先端 せんたん 技術 ぎじゅつ 研究所 けんきゅうじょ . 2019年 ねん 1月 がつ 7日 にち 閲覧 えつらん 。
^ “ローカルセキュリティポリシー ”. デジタル用語 ようご 辞典 じてん . 2019年 ねん 1月 がつ 9日 にち 閲覧 えつらん 。
^ a b c d e f “第 だい 2回 かい グループ・ポリシーとは何 なに か (1/5) ”. @IT . グループ・ポリシーのしくみ (2006年 ねん 2月 がつ 23日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c d “クライアントのセキュリティを強化 きょうか するグループポリシー設定 せってい ”. @IT . 基礎 きそ から分 わ かるグループポリシー再 さい 入門 にゅうもん (7) (2015年 ねん 6月 がつ 19日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ a b c d “セキュリティの強化 きょうか に役立 やくだ つグループポリシー設定 せってい ”. @IT . 基礎 きそ から分 わ かるグループポリシー再 さい 入門 にゅうもん (5) (2015年 ねん 5月 がつ 18日 にち ). 2019年 ねん 1月 がつ 3日 にち 閲覧 えつらん 。
^ “第 だい 7回 かい グループ・ポリシー管理 かんり コンソール(GPMC) (1/5) ”. @IT . グループ・ポリシーのしくみ (2006年 ねん 10月 がつ 6日 にち ). 2019年 ねん 1月 がつ 9日 にち 閲覧 えつらん 。
^ “【第 だい 71回 かい 】セキュリティポリシーテンプレートとは ”. IT Search+ . 【連載 れんさい 】にわか管理 かんり 者 しゃ のためのActive Directory入門 にゅうもん . マイナビニュース (2009年 ねん 12月14日 にち ). 2019年 ねん 1月 がつ 9日 にち 閲覧 えつらん 。
^ “グループ・ポリシーでクライアントを管理 かんり する10の方法 ほうほう ”. 日経 にっけい XTECH . Windows読者 どくしゃ 限定 げんてい . 2019年 ねん 1月 がつ 9日 にち 閲覧 えつらん 。
^ a b “Windows 7のAppLockerで特定 とくてい のプログラムを実行 じっこう 禁止 きんし にする ”. @IT . Tech TIPS (2010年 ねん 1月 がつ 8日 にち ). 2019年 ねん 1月 がつ 9日 にち 閲覧 えつらん 。
^ “グループポリシーでアプリケーションの実行 じっこう を制御 せいぎょ する ”. @IT . 基礎 きそ から分 わ かるグループポリシー再 さい 入門 にゅうもん (6) (2015年 ねん 6月 がつ 5日 にち ). 2019年 ねん 1月 がつ 9日 にち 閲覧 えつらん 。
^ a b c d “ベストプラクティスを集 あつ めた「Security Compliance Toolkit」Windows 10の“激 げき 推 お し”セキュリティ基準 きじゅん とは? Microsoft無料 むりょう ツール活用 かつよう 法 ほう ”. TechTarget Japan . 2019年 ねん 1月 がつ 9日 にち 閲覧 えつらん 。
^ “Microsoft Security Compliance Manager (SCM) ”. マイクロソフト. 2019年 ねん 1月 がつ 9日 にち 閲覧 えつらん 。
^ “File Encryption (Windows) ”. マイクロソフト. 2010年 ねん 1月 がつ 11日 にち 閲覧 えつらん 。
^ a b c d e f g h i j k “Windows 10 のブート プロセスのセキュリティ保護 ほご ”. マイクロソフト (2018年 ねん 11月16日 にち ). 2019年 ねん 1月 がつ 8日 にち 閲覧 えつらん 。
^ a b c “Secure the Windows 10 boot process ”. マイクロソフト (2018年 ねん 11月16日 にち ). 2019年 ねん 1月 がつ 8日 にち 閲覧 えつらん 。
^ a b “「他 た のセキュリティ対策 たいさく ソフトはもういらない」とアピールするWindows Defenderの現状 げんじょう (1/4) ”. ITmedia PC USER . 鈴木 すずき 淳也 あつや の「Windowsフロントライン」 (2018年 ねん 4月 がつ 10日 とおか ). 2019年 ねん 1月 がつ 10日 とおか 閲覧 えつらん 。
^ “Windows セキュリティ アプリ ”. マイクロソフト (2018年 ねん 10月 がつ 2日 にち ). 2019年 ねん 1月 がつ 10日 とおか 閲覧 えつらん 。
^ “Windows Defender SmartScreen ”. マイクロソフト. 2019年 ねん 1月 がつ 10日 とおか 閲覧 えつらん 。
^ “Windows Defender Exploit Guard ”. マイクロソフト (2018年 ねん 8月 がつ 9日 にち ). 2019年 ねん 1月 がつ 10日 とおか 閲覧 えつらん 。
^ a b “メモリベースの攻撃 こうげき を防 ふせ ぐ Windows 10のエクスプロイト対策 たいさく 、3つの重要 じゅうよう 機能 きのう とは ”. TechTarget Japan (2018年 ねん 7月 がつ 6日 にち ). 2019年 ねん 1月 がつ 10日 とおか 閲覧 えつらん 。
^ a b c d “第 だい 26回 かい エンドポイントセキュリティは「7つの階層 かいそう 」に分 わ けて考 かんが えよう (2/3) ”. ITmedia エンタープライズ . 変 か わるWindows、変 か わる情 じょう シス (2018年 ねん 4月 がつ 11日 にち ). 2019年 ねん 1月 がつ 10日 とおか 閲覧 えつらん 。
^ a b “Windows Defender アプリケーション制御 せいぎょ ”. マイクロソフト (2019年 ねん 1月 がつ 8日 にち ). 2019年 ねん 1月 がつ 10日 とおか 閲覧 えつらん 。
^ “Windows Defender Application Guard の概要 がいよう ”. マイクロソフト (2018年 ねん 11月27日 にち ). 2019年 ねん 1月 がつ 10日 とおか 閲覧 えつらん 。
^ “鈴木 すずき 淳也 あつや の「Windowsフロントライン」:「他 た のセキュリティ対策 たいさく ソフトはもういらない」とアピールするWindows Defenderの現状 げんじょう (3/4) ”. ITmedia PC USER (2018年 ねん 4月 がつ 10日 とおか ). 2019年 ねん 1月 がつ 10日 とおか 閲覧 えつらん 。
^ a b c d e “Windows起動 きどう 前後 ぜんこう にデバイスを守 まも る工夫 くふう 、ルートキットを防 ふせ ぐ (2/2) ”. @IT . Windows 10が備 そな えるセキュリティ機能 きのう (1) (2017年 ねん 7月 がつ 24日 にち ). 2019年 ねん 1月 がつ 8日 にち 閲覧 えつらん 。
^ a b “Windows Defender Application Guardで実現 じつげん するセキュアなブラウジング環境 かんきょう ――Windows 10の新 あたら しいセキュリティ機能 きのう (その2) (1/2) ”. @IT . 企業 きぎょう ユーザーに贈 おく るWindows 10への乗 の り換 か え案内 あんない (15) (2018年 ねん 1月 がつ 15日 にち ). 2019年 ねん 1月 がつ 8日 にち 閲覧 えつらん 。
^ a b c d “【第 だい 4回 かい 】仮想 かそう 化 か でWindowsをよりセキュアに - 新 しん 機能 きのう 「Virtualized Based Security」とは(前編 ぜんぺん ) ”. IT Search+ . 【連載 れんさい 】MS ゆりか先生 せんせい が教 おし えるWindows 10 セキュリティのアレコレ . マイナビニュース (2016年 ねん 6月 がつ 20日 はつか ). 2019年 ねん 1月 がつ 8日 にち 閲覧 えつらん 。
^ “Windows 10に組 く み込 こ まれた多層 たそう かつ高度 こうど なマルウェア対策 たいさく 機能 きのう (2/2) ”. @IT . 企業 きぎょう ユーザーに贈 おく るWindows 10への乗 の り換 か え案内 あんない (10) (2017年 ねん 11月1日 にち ). 2019年 ねん 1月 がつ 8日 にち 閲覧 えつらん 。
^ “仮想 かそう マシンのための「仮想 かそう TPM」――仮想 かそう 化 か ベースのセキュリティ(その2) ”. @IT . vNextに備 そな えよ! 次期 じき Windows Serverのココに注目 ちゅうもく (35) (2015年 ねん 12月1日 にち ). 2019年 ねん 1月 がつ 8日 にち 閲覧 えつらん 。
^ a b c “【第 だい 5回 かい 】仮想 かそう 化 か でWindowsをよりセキュアに - 新 しん 機能 きのう 「Virtualized Based Security」とは(後編 こうへん ) ”. IT Search+ . 【連載 れんさい 】MS ゆりか先生 せんせい が教 おし えるWindows 10 セキュリティのアレコレ . マイナビニュース (2016年 ねん 7月 がつ 5日 にち ). 2019年 ねん 1月 がつ 8日 にち 閲覧 えつらん 。
^ a b c d “OSレベルで脅威 きょうい を防 ふせ ぐWindows10のDevice Guardとは? (3/3) ”. ITmedia エンタープライズ (2015年 ねん 12月8日 にち ). 2019年 ねん 1月 がつ 8日 にち 閲覧 えつらん 。
^ “MCP教科書 きょうかしょ Windows Server 2016(試験 しけん 番号 ばんごう :70-740) ”. p. 185. 2019年 ねん 1月 がつ 9日 にち 閲覧 えつらん 。
^ “Windows Defender Application Control の紹介 しょうかい ”. マイクロソフト (2018年 ねん 2月 がつ 5日 にち ). 2019年 ねん 1月 がつ 8日 にち 閲覧 えつらん 。
^ a b “Windows Defender Device Guard with AppLocker ”. マイクロソフト (2018年 ねん 3月 がつ 5日 にち ). 2019年 ねん 1月 がつ 8日 にち 閲覧 えつらん 。
^ “Windows 10 Fall Creators Update で削除 さくじょ された機能 きのう または推奨 すいしょう されなくなった機能 きのう ”. マイクロソフト (2018年 ねん 10月 がつ 30日 にち ). 2019年 ねん 1月 がつ 4日 にち 閲覧 えつらん 。
^ “Azure Backup の各 かく 機能 きのう の概要 がいよう ”. マイクロソフト (2018年 ねん 8月 がつ 2日 にち ). 2019年 ねん 1月 がつ 4日 にち 閲覧 えつらん 。
^ “Resource Manager デプロイ モデルで Windows Server または Windows クライアントを Azure にバックアップする ”. マイクロソフト. 2018年 ねん 8月 がつ 5日 にち 閲覧 えつらん 。
^ “「システムの復元 ふくげん 」でWindows OSを以前 いぜん の正常 せいじょう な状態 じょうたい に戻 もど す ”. @IT . Tech TIPS (2014年 ねん 8月 がつ 21日 にち ). 2019年 ねん 1月 がつ 4日 にち 閲覧 えつらん 。
^ Pauli, Darren. “Microsoft's malware mitigator refreshed, but even Redmond says it's no longer needed ”. 2016年 ねん 6月 がつ 1日 にち 閲覧 えつらん 。
^ Smith, Ms.. “DerbyCon: Former BlueHat prize winner will bypass Control Flow Guard in Windows 10 ”. Network World . 2016年 ねん 6月 がつ 1日 にち 閲覧 えつらん 。
^ Mimoso, Michael (2015年 ねん 9月 がつ 22日 にち ). “Bypass Developed for Microsoft Memory Protection, Control Flow Guard ”. Threatpost | The first stop for security news . 2016年 ねん 6月 がつ 1日 にち 閲覧 えつらん 。
^ “【第 だい 8回 かい 】Windows 10とWindows 7、セキュリティ機能 きのう のココが違 ちが う! ”. ITSearch+ . 【連載 れんさい 】MS ゆりか先生 せんせい が教 おし えるWindows 10 セキュリティのアレコレ . マイナビニュース (2016年 ねん 8月 がつ 24日 にち ). 2019年 ねん 1月 がつ 11日 にち 閲覧 えつらん 。
^ “【第 だい 10回 かい 】「Creators Update」はセキュリティもすごい(2) ”. ITSearch+ . 【連載 れんさい 】MS ゆりか先生 せんせい が教 おし えるWindows 10 セキュリティのアレコレ . マイナビニュース (2017年 ねん 5月 がつ 17日 にち ). 2019年 ねん 1月 がつ 11日 にち 閲覧 えつらん 。
(括弧 かっこ 内 ない の番号 ばんごう は初版 しょはん がリリースされた年 とし ) Windows向 む け Windows Server 向 む けデジタル著作 ちょさく 権 けん 管理 かんり 暗号 あんごう 化 か 関連 かんれん 項目 こうもく 開発 かいはつ 終了 しゅうりょう