ポリシー CSP - LocalPoliciesSecurityOptions

Windows Insider のロゴ。

重要

この CSP には、開発中であり、Windows Insider Preview ビルド にのみ適用される一部の設定が含まれています。 これらの設定は変更する可能性があり、プレビューで他の機能やサービスに依存する場合があります。

データ形式 (およびその他のポリシー関連の詳細) を見つけるには、「 ポリシー DDF ファイル」を参照してください。

Accounts_BlockMicrosoftAccounts

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts

このポリシー設定により、ユーザーはこのコンピューターに新しい Microsoft アカウントを追加できなくなります。 [ユーザーは Microsoft アカウントを追加できません] オプションを選択した場合、ユーザーはこのコンピューターで新しい Microsoft アカウントを作成したり、ローカル アカウントを Microsoft アカウントに切り替えたり、ドメイン アカウントを Microsoft アカウントに接続したりすることはできません。 これは、企業での Microsoft アカウントの使用を制限する必要がある場合に推奨されるオプションです。 [ユーザーは Microsoft アカウントで追加またはログオンできません] オプションを選択した場合、既存の Microsoft アカウント ユーザーは Windows にログオンできません。 このオプションを選択すると、このコンピューター上の既存の管理者がログオンしてシステムを管理できなくなる可能性があります。 このポリシーを無効にするか、構成しなかった場合 (推奨)、ユーザーは Windows で Microsoft アカウントを使用できるようになります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) 無効 (ユーザーは Windows で Microsoft アカウントを使用できます)。
1 有効 (ユーザーは Microsoft アカウントを追加できません)。
3 ユーザーは Microsoft アカウントで追加またはログオンできません。

グループ ポリシー マッピング:

名前
名前 アカウント:Microsoft アカウントをブロックする
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

Accounts_EnableAdministratorAccountStatus

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus

このセキュリティ設定は、ローカル管理者アカウントが有効か無効かを決定します。

無効にした後で管理者アカウントを再度有効にしようとすると、現在の管理者パスワードがパスワード要件を満たしていない場合は、アカウントを再び有効にすることはできません。 この場合、Administrators グループの別のメンバーが管理者アカウントのパスワードをリセットする必要があります。 パスワードをリセットする方法については、「パスワードをリセットするには」を参照してください。 管理者アカウントを無効にすると、特定の状況でメンテナンスの問題になる可能性があります。 セーフ モードブートでは、無効になっている管理者アカウントは、マシンが非ドメイン参加で、他のローカルアクティブな管理者アカウントがない場合にのみ有効になります。 コンピューターがドメインに参加している場合、無効になっている管理者は有効になりません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
1 有効にする。
0 (既定値) 無効にする。

グループ ポリシー マッピング:

名前
名前 アカウント: Administrator アカウントの状態
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

Accounts_EnableGuestAccountStatus

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus

このセキュリティ設定は、ゲスト アカウントが有効か無効かを決定します。 注: ゲスト アカウントが無効になっており、セキュリティ オプション [ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル] が [ゲストのみ] に設定されている場合、ネットワーク ログオン (Microsoft ネットワーク サーバー (SMB サービス) によって実行されるログオンなど) は失敗します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
1 有効にする。
0 (既定値) 無効にする。

グループ ポリシー マッピング:

名前
名前 アカウント: Guest アカウントの状態
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

アカウント: 空のパスワードのローカル アカウント使用をコンソール ログオンのみに制限する このセキュリティ設定は、パスワード保護されていないローカル アカウントを使用して、物理コンピューター コンソール以外の場所からログオンできるかどうかを決定します。 有効にすると、パスワードで保護されていないローカル アカウントは、コンピューターのキーボードでのみログオンできます。 警告: 物理的にセキュリティで保護されていないコンピューターでは、常にすべてのローカル ユーザー アカウントに強力なパスワード ポリシーを適用する必要があります。 それ以外の場合、コンピューターに物理的にアクセスできるユーザーは、パスワードのないユーザー アカウントを使用してログオンできます。 これは、ポータブル コンピューターでは特に重要です。 このセキュリティ ポリシーを Everyone グループに適用した場合、リモート デスクトップ サービスを介してログオンすることはできません。

この設定は、ドメイン アカウントを使用するログオンには影響しません。 リモート対話型ログオンを使用するアプリケーションでは、この設定をバイパスできます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
0 無効。
1 (既定値) 有効。

グループ ポリシー マッピング:

名前
名前 アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

Accounts_RenameAdministratorAccount

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

アカウント: 管理者アカウントの名前変更 このセキュリティ設定は、別のアカウント名がアカウント管理者のセキュリティ識別子 (SID) に関連付けられているかどうかを決定します。 既知の管理者アカウントの名前を変更すると、権限のないユーザーがこの特権ユーザー名とパスワードの組み合わせを推測するのが少し難しくなります。 既定値: 管理者。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
既定値 管理者

グループ ポリシー マッピング:

名前
名前 アカウント: Administrator アカウント名の変更
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

Accounts_RenameGuestAccount

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount

アカウント: ゲスト アカウントの名前を変更する このセキュリティ設定は、別のアカウント名がアカウント "ゲスト" のセキュリティ識別子 (SID) に関連付けられているかどうかを決定します。 既知のゲスト アカウントの名前を変更すると、承認されていないユーザーがこのユーザー名とパスワードの組み合わせを推測するのが少し難しくなります。 既定値: ゲスト。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
既定値 ゲスト

グループ ポリシー マッピング:

名前
名前 アカウント: Guest アカウント名の変更
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

Audit_AuditTheUseOfBackupAndRestoreprivilege

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege

監査: バックアップと復元の特権の使用を監査する このセキュリティ設定は、監査特権の使用ポリシーが有効な場合に、バックアップと復元を含むすべてのユーザー特権の使用を監査するかどうかを決定します。 監査特権の使用ポリシーも有効になっている場合にこのオプションを有効にすると、バックアップまたは復元されたすべてのファイルの監査イベントが生成されます。 このポリシーを無効にした場合、監査特権の使用が有効になっている場合でも、バックアップまたは復元権限の使用は監査されません。

Windows Vista でこのセキュリティ設定を構成する前の Windows バージョンでは、Windows を再起動するまで変更は有効になりません。 この設定を有効にすると、バックアップ操作中に多数のイベント (1 秒あたり数百件) が発生する可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 b64
アクセスの種類 追加、削除、取得、置換
既定値 AA==

指定可能な値

説明
AQ== 有効にする。
AA== (既定値) 無効にする。

グループ ポリシー マッピング:

名前
名前 監査: バックアップと復元の特権の使用を監査する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings

監査: 監査ポリシー のサブカテゴリ設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリ設定を上書きする Windows Vista 以降のバージョンの Windows では、監査ポリシー サブカテゴリを使用して監査ポリシーをより正確な方法で管理できます。 カテゴリ レベルで監査ポリシーを設定すると、新しいサブカテゴリ監査ポリシー機能がオーバーライドされます。 グループ ポリシーでは、監査ポリシーをカテゴリ レベルでのみ設定でき、既存のグループ ポリシーは、ドメインに参加している場合や Windows Vista 以降のバージョンにアップグレードするときに、新しいマシンのサブカテゴリ設定をオーバーライドできます。 グループ ポリシーの変更を必要とせずにサブカテゴリを使用して監査ポリシーを管理できるようにするには、Windows Vista 以降のバージョンの SCENoApplyLegacyAuditPolicy に新しいレジストリ値があります。これにより、カテゴリ レベルの監査ポリシーの適用がグループ ポリシーされず、ローカル セキュリティ ポリシー管理ツールから適用できなくなります。 ここで設定されているカテゴリ レベルの監査ポリシーが、現在生成されているイベントと一致しない場合、このレジストリ キーが設定されていることが原因である可能性があります。 既定値: 有効です。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 1

Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits

監査: セキュリティ監査をログに記録できない場合は、システムを直ちにシャットダウンします。このセキュリティ設定は、セキュリティ イベントをログに記録できない場合にシステムがシャットダウンするかどうかを決定します。 このセキュリティ設定を有効にすると、何らかの理由でセキュリティ監査をログに記録できない場合にシステムが停止します。 通常、セキュリティ監査ログがいっぱいで、セキュリティ ログに指定されている保持方法が [イベントを上書きしない] または [日数でイベントを上書きする] のいずれかである場合、イベントはログに記録されません。 セキュリティ ログがいっぱいで、既存のエントリを上書きできない場合、このセキュリティ オプションを有効にすると、STOP: C0000244 {Audit Failed} セキュリティ監査の生成が失敗しました。 回復するには、管理者がログオンし、ログをアーカイブし (省略可能)、ログをクリアし、必要に応じてこのオプションをリセットする必要があります。 このセキュリティ設定がリセットされるまで、セキュリティ ログがいっぱいでなくても、Administrators グループのメンバー以外のユーザーはシステムにログオンできません。

Windows Vista でこのセキュリティ設定を構成する前の Windows バージョンでは、Windows を再起動するまで変更は有効になりません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 0

Devices_AllowedToFormatAndEjectRemovableMedia

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia

デバイス: リムーバブル メディアのフォーマットと取り出しを許可このセキュリティ設定は、リムーバブル NTFS メディアのフォーマットと取り出しを許可するユーザーを決定します。 この機能は、[管理者管理者] と [対話型ユーザーの既定値] に指定できます。このポリシーは定義されておらず、管理者のみがこの機能を持ちます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
既定値 0

グループ ポリシー マッピング:

名前
名前 デバイス: リムーバブル メディアを取り出すのを許可する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

Devices_AllowUndockWithoutHavingToLogon

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon

デバイス: ログオンせずにドッキング解除を許可このセキュリティ設定は、ログオンしなくても移植可能なコンピューターをドッキング解除できるかどうかを決定します。

  • このポリシーが有効になっている場合、ログオンは必要なく、外部ハードウェア取り出しボタンを使用してコンピューターのドッキングを解除できます。

  • 無効にした場合、ユーザーはログオンし、ドッキング ステーションからコンピューターを削除する権限を持ってコンピューターのドッキングを解除する必要があります。

注意

このポリシーを無効にすると、外部ハードウェア取り出しボタン以外の方法を使用して、ドッキング ステーションからノート PC を物理的に削除しようとする可能性があります。 これによりハードウェアが破損する可能性があるため、この設定は一般に、物理的にセキュリティ保護可能なラップトップ構成でのみ無効にする必要があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
1 (既定値) 適用可能です。
0 ブロック:

グループ ポリシー マッピング:

名前
名前 デバイス: ログオンなしの装着解除を許可する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

デバイス: 共有プリンターに接続するときにユーザーがプリンター ドライバーをインストールできないようにする 共有プリンターに印刷するコンピューターの場合、その共有プリンターのドライバーをローカル コンピューターにインストールする必要があります。 このセキュリティ設定は、共有プリンターへの接続の一環としてプリンター ドライバーをインストールできるユーザーを決定します。

  • この設定が有効になっている場合、共有プリンターへの接続の一部としてプリンター ドライバーをインストールできるのは管理者のみです。

  • この設定を無効にすると、共有プリンターへの接続の一部としてプリンター ドライバーをインストールできます。 サーバーの既定値: 有効です。 ワークステーションの既定値: 無効なメモ この設定は、ローカル プリンターを追加する機能には影響しません。 この設定は管理者には影響しません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
1 有効にする。
0 (既定値) 無効にする。

グループ ポリシー マッピング:

名前
名前 デバイス: ユーザーがプリンター ドライバーをインストールできないようにする
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

デバイス: CD-ROM アクセスをローカル ログオン ユーザーのみに制限します。このセキュリティ設定は、CD-ROM にローカル ユーザーとリモート ユーザーの両方が同時にアクセスできるかどうかを決定します。

  • このポリシーが有効になっている場合、対話形式でログオンしたユーザーのみがリムーバブル CD-ROM メディアにアクセスできます。

  • このポリシーが有効になっていて、誰も対話形式でログオンしていない場合は、CD-ROM にネットワーク経由でアクセスできます。 既定値: このポリシーは定義されておらず、CD-ROM アクセスはローカルにログオンしているユーザーに限定されません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
既定値 0

グループ ポリシー マッピング:

名前
名前 デバイス: CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly

デバイス: ローカルログオン ユーザーのみにフロッピー アクセスを制限する このセキュリティ設定は、リムーバブル フロッピー メディアにローカル ユーザーとリモート ユーザーの両方が同時にアクセスできるかどうかを決定します。

  • このポリシーが有効になっている場合は、対話形式でログオンしたユーザーのみがリムーバブル フロッピー メディアにアクセスできます。

  • このポリシーが有効になっていて、誰も対話形式でログオンしていない場合は、ネットワーク経由でフロッピーにアクセスできます。 既定値: このポリシーは定義されておらず、フロッピー ディスク ドライブへのアクセスはローカルにログオンしているユーザーに限定されません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
既定値 0

グループ ポリシー マッピング:

名前
名前 デバイス: フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways

ドメイン メンバー: セキュリティで保護されたチャネル データをデジタル暗号化または署名する (常に) このセキュリティ設定は、ドメイン メンバーによって開始されたすべてのセキュリティで保護されたチャネル トラフィックを署名または暗号化する必要があるかどうかを決定します。 コンピューターがドメインに参加すると、コンピューター アカウントが作成されます。 その後、システムが起動すると、コンピューター アカウントのパスワードを使用して、そのドメインのドメイン コントローラーを使用してセキュリティで保護されたチャネルを作成します。 このセキュリティで保護されたチャネルは、NTLM パススルー認証、LSA SID/名前参照などの操作を実行するために使用されます。この設定は、ドメイン メンバーによって開始されたすべてのセキュリティで保護されたチャネル トラフィックが最小セキュリティ要件を満たしているかどうかを決定します。 具体的には、ドメイン メンバーによって開始されたすべてのセキュリティで保護されたチャネル トラフィックを署名または暗号化する必要があるかどうかを判断します。

  • このポリシーが有効になっている場合、すべてのセキュリティで保護されたチャネル トラフィックの署名または暗号化がネゴシエートされない限り、セキュリティで保護されたチャネルは確立されません。

  • このポリシーが無効になっている場合、すべてのセキュリティで保護されたチャネル トラフィックの暗号化と署名がドメイン コントローラーとネゴシエートされます。その場合、署名と暗号化のレベルは、ドメイン コントローラーのバージョンと次の 2 つのポリシーの設定によって異なります:ドメイン メンバー: セキュリティで保護されたチャネル データをデジタル暗号化する (可能な場合) ドメイン メンバー: セキュリティで保護されたチャネル データにデジタル署名する (可能な場合) 注: このポリシーが有効になっている場合、ポリシー ドメイン メンバー: セキュリティで保護されたチャネル データにデジタル署名 (可能な場合) は、現在の設定に関係なく有効になっていると見なされます。 これにより、ドメイン メンバーは少なくともセキュリティで保護されたチャネル トラフィックの署名をネゴシエートしようとします。 セキュリティで保護されたチャネル経由で送信されるログオン情報は、他のすべてのセキュリティで保護されたチャネル トラフィックの暗号化がネゴシエートされるかどうかにかかわらず、常に暗号化されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 1

グループ ポリシー マッピング:

名前
名前 ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

DomainMember_DigitallyEncryptSecureChannelDataWhenPossible

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible

ドメイン メンバー: セキュリティで保護されたチャネル データをデジタル暗号化する (可能な場合) このセキュリティ設定は、ドメイン メンバーが開始するすべてのセキュリティで保護されたチャネル トラフィックに対して暗号化のネゴシエートを試みるかどうかを決定します。 コンピューターがドメインに参加すると、コンピューター アカウントが作成されます。 その後、システムが起動すると、コンピューター アカウントのパスワードを使用して、そのドメインのドメイン コントローラーを使用してセキュリティで保護されたチャネルを作成します。 このセキュリティで保護されたチャネルは、NTLM パススルー認証、LSA SID/名前参照などの操作を実行するために使用されます。この設定は、ドメイン メンバーが、開始するすべてのセキュリティで保護されたチャネル トラフィックに対して暗号化のネゴシエートを試みるかどうかを決定します。 有効にすると、ドメイン メンバーはすべてのセキュリティで保護されたチャネル トラフィックの暗号化を要求します。 ドメイン コントローラーがすべてのセキュリティで保護されたチャネル トラフィックの暗号化をサポートしている場合、すべてのセキュリティで保護されたチャネル トラフィックが暗号化されます。 それ以外の場合は、セキュリティで保護されたチャネル経由で送信されたログオン情報のみが暗号化されます。 この設定が無効になっている場合、ドメイン メンバーはセキュリティで保護されたチャネル暗号化のネゴシエートを試行しません。 重要 この設定を無効にする理由は不明です。 セキュリティで保護されたチャネルの潜在的な機密性レベルを不必要に削減するだけでなく、セキュリティで保護されたチャネルを使用する同時 API 呼び出しは、セキュリティで保護されたチャネルが署名または暗号化されている場合にのみ可能であるため、この設定を無効にすると、セキュリティで保護されたチャネルのスループットが不必要に低下する可能性があります。

ドメイン コントローラーもドメイン メンバーであり、同じドメイン内の他のドメイン コントローラーと信頼されたドメイン内のドメイン コントローラーとのセキュリティで保護されたチャネルを確立します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 1

グループ ポリシー マッピング:

名前
名前 ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

DomainMember_DigitallySignSecureChannelDataWhenPossible

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible

ドメイン メンバー: セキュリティで保護されたチャネル データにデジタル署名する (可能な場合) このセキュリティ設定は、ドメイン メンバーが開始するすべてのセキュリティで保護されたチャネル トラフィックに対して署名のネゴシエートを試みるかどうかを決定します。 コンピューターがドメインに参加すると、コンピューター アカウントが作成されます。 その後、システムが起動すると、コンピューター アカウントのパスワードを使用して、そのドメインのドメイン コントローラーを使用してセキュリティで保護されたチャネルを作成します。 このセキュリティで保護されたチャネルは、NTLM パススルー認証、LSA SID/名前参照などの操作を実行するために使用されます。この設定は、ドメイン メンバーが開始するすべてのセキュリティで保護されたチャネル トラフィックに対して署名のネゴシエートを試みるかどうかを決定します。 有効にすると、ドメイン メンバーはすべてのセキュリティで保護されたチャネル トラフィックの署名を要求します。 ドメイン コントローラーがすべてのセキュリティで保護されたチャネル トラフィックの署名をサポートしている場合、すべてのセキュリティで保護されたチャネル トラフィックが署名され、転送中に改ざんされないようにします。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 1

グループ ポリシー マッピング:

名前
名前 ドメイン メンバー: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

DomainMember_DisableMachineAccountPasswordChanges

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges

ドメイン メンバー: コンピューター アカウントのパスワードの変更を無効にする ドメイン メンバーがコンピューター アカウントのパスワードを定期的に変更するかどうかを指定します。

  • この設定が有効になっている場合、ドメイン メンバーはコンピューター アカウントのパスワードの変更を試みません。

  • この設定が無効になっている場合、ドメイン メンバーは、[ドメイン メンバー: マシン アカウント パスワードの最長有効期間] の設定で指定されたとおりに、コンピューター アカウントのパスワードの変更を試みます。既定では 30 日ごとです。 注 このセキュリティ設定は有効にしないでください。 コンピューター アカウント パスワードは、メンバーとドメイン コントローラー間、およびドメイン コントローラー自体間のセキュリティで保護されたチャネル通信を確立するために使用されます。 確立されると、セキュリティで保護されたチャネルを使用して、認証と承認の決定を行うために必要な機密情報を送信します。 この設定は、同じコンピューター アカウントを使用するデュアルブート シナリオをサポートする際には使用しないでください。 同じドメインに参加している 2 つのインストールをデュアルブートする場合は、2 つのインストールに異なるコンピューター名を指定します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 0

グループ ポリシー マッピング:

名前
名前 ドメイン メンバー: コンピューター アカウント パスワード: 定期的な変更を無効にする
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

DomainMember_MaximumMachineAccountPasswordAge

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge

ドメイン メンバー: 最大コンピューター アカウント パスワードの有効期間 このセキュリティ設定は、ドメイン メンバーがコンピューター アカウントのパスワードの変更を試みる頻度を決定します。 既定値: 30 日。

重要

この設定は Windows 2000 コンピューターに適用されますが、これらのコンピューターのセキュリティ Configuration Manager ツールでは使用できません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-999]
既定値 30

グループ ポリシー マッピング:

名前
名前 ドメイン メンバー: 最大コンピューター アカウントのパスワードの有効期間
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

DomainMember_RequireStrongSessionKey

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey

ドメイン メンバー: 強力な (Windows 2000 以降) セッション キーが必要このセキュリティ設定は、暗号化されたセキュリティで保護されたチャネル データに 128 ビットのキー強度が必要かどうかを判断します。 コンピューターがドメインに参加すると、コンピューター アカウントが作成されます。 その後、システムが起動すると、コンピューター アカウントのパスワードを使用して、ドメイン内のドメイン コントローラーを使用してセキュリティで保護されたチャネルを作成します。 このセキュリティで保護されたチャネルは、NTLM パススルー認証、LSA SID/名前参照などの操作を実行するために使用されます。 ドメイン メンバーが通信しているドメイン コントローラーで実行されている Windows のバージョンとパラメーターの設定に応じて、ドメイン メンバー: セキュリティで保護されたチャネル データ (常に) ドメイン メンバーをデジタル暗号化または署名する: セキュリティで保護されたチャネル データ (可能な場合) セキュリティで保護されたチャネル経由で送信される情報の一部またはすべてを暗号化します。 このポリシー設定は、暗号化されたセキュリティで保護されたチャネル情報に 128 ビットのキー強度が必要かどうかを決定します。

  • この設定が有効になっている場合、128 ビット暗号化を実行できない限り、セキュリティで保護されたチャネルは確立されません。

  • この設定が無効になっている場合、キー強度はドメイン コントローラーとネゴシエートされます。 重要 メンバー のワークステーションとサーバーでこのポリシーを利用するには、メンバーのドメインを構成するすべてのドメイン コントローラーが Windows 2000 以降を実行している必要があります。 ドメイン コントローラーでこのポリシーを利用するには、同じドメイン内のすべてのドメイン コントローラーとすべての信頼されたドメインで、Windows 2000 以降を実行する必要があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 1

グループ ポリシー マッピング:

名前
名前 ドメイン メンバー: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

対話型ログオン:セッションがロックされているときにユーザー情報を表示する ユーザー表示名、ドメイン名、ユーザー名 (1) ユーザー表示名のみ (2) ユーザー情報を表示しない (3) ドメイン名とユーザー名のみ (4)

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
1 (既定値) ユーザー表示名、ドメイン名、ユーザー名。
2 ユーザーの表示名のみ。
3 ユーザー情報を表示しません。
4 ドメイン名とユーザー名のみ。

グループ ポリシー マッピング:

名前
名前 対話型ログオン: セッションがロックされているときにユーザーの情報を表示する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

InteractiveLogon_DoNotDisplayLastSignedIn

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn

対話型ログオン: 最後にサインインしたユーザーを表示しない このセキュリティ設定は、Windows サインイン画面に、この PC で最後にサインインしたユーザーのユーザー名を表示するかどうかを決定します。

  • このポリシーが有効になっている場合、ユーザー名は表示されません。

  • このポリシーが無効になっている場合、ユーザー名が表示されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) 無効 (ユーザー名が表示されます)。
1 有効 (ユーザー名は表示されません)。

グループ ポリシー マッピング:

名前
名前 対話型ログオン: 最後のサインインを表示しない
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

InteractiveLogon_DoNotDisplayUsernameAtSignIn

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn

対話型ログオン: サインイン時にユーザー名を表示しない このセキュリティ設定は、資格情報を入力した後、PC デスクトップを表示する前に、この PC にサインインするユーザーのユーザー名が Windows サインインに表示されるかどうかを決定します。

  • このポリシーが有効になっている場合、ユーザー名は表示されません。

  • このポリシーが無効になっている場合、ユーザー名が表示されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
0 無効 (ユーザー名が表示されます)。
1 (既定値) 有効 (ユーザー名は表示されません)。

グループ ポリシー マッピング:

名前
名前 対話型ログオン: サインイン時にユーザー名を表示しない
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

InteractiveLogon_DoNotRequireCTRLALTDEL

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL

対話型ログオン: Ctrl + Alt + DEL を必要としないこのセキュリティ設定では、ユーザーがログオンする前に Ctrl + Alt + DEL キーを押す必要があるかどうかを決定します。

  • コンピューターでこのポリシーが有効になっている場合、ユーザーは Ctrl キーを押しながら Alt キーを押しながら DEL キーを押してログオンする必要はありません。 Ctrl キーを押しながら Alt キーを押しながら DEL キーを押す必要がないと、ユーザーのパスワードを傍受しようとする攻撃を受けやすくなります。 ユーザーがログオンする前に Ctrl + ALT + DEL を要求すると、パスワードを入力するときに、信頼されたパスを使用してユーザーが通信できるようになります。

  • このポリシーが無効になっている場合は、Windows にログオンする前に Ctrl キーを押しながら Alt キーを押しながら DEL キーを押す必要があります。 ドメイン コンピューターの既定値: 有効: 少なくとも Windows 8/無効: Windows 7 以前。 スタンドアロン コンピューターの既定値: 有効です。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
0 無効。
1 (既定値) 有効 (ユーザーは Ctrl + Alt + DEL キーを押してログオンする必要はありません)。

グループ ポリシー マッピング:

名前
名前 対話型ログオン: Ctrl + Alt + DEL は必要ありません
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

InteractiveLogon_MachineAccountLockoutThreshold

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineAccountLockoutThreshold

対話型ログオン: マシン アカウントのしきい値。 マシン ロックアウト ポリシーは、OS ボリュームを保護するために BitLocker が有効になっているコンピューターにのみ適用されます。 適切な回復パスワード バックアップ ポリシーが有効になっていることを確認してください。 このセキュリティ設定は、マシンがロックアウトされる原因となる失敗したログオン試行の数を決定します。ロックアウトされたマシンは、コンソールで回復キーを提供することによってのみ回復できます。 ログオン試行に失敗した 1 から 999 までの値を設定できます。 値を 0 に設定した場合、マシンはロックアウトされません。1 から 3 の値は 4 として解釈されます。 Ctrl + Alt + DELETE またはパスワードで保護されたスクリーン セーバーを使用してロックされているワークステーションまたはメンバー サーバーに対するパスワード試行の失敗は、ログオン試行の失敗とカウントされます。 マシン ロックアウト ポリシーは、OS ボリュームを保護するために BitLocker が有効になっているコンピューターにのみ適用されます。 適切な回復パスワード バックアップ ポリシーが有効になっていることを確認してください。 既定値: 0。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-999]
既定値 0

グループ ポリシー マッピング:

名前
名前 対話型ログオン: コンピューター アカウントのロックアウトのしきい値
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

InteractiveLogon_MachineInactivityLimit

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit

対話型ログオン: コンピューターの非アクティブな制限。 Windows はログオン セッションの非アクティブ状態に気付き、非アクティブ時間が非アクティブ時間の制限を超えた場合、スクリーン セーバーが実行され、セッションがロックされます。 既定値: 適用されません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-599940]
既定値 0

グループ ポリシー マッピング:

名前
名前 対話型ログオン: コンピューターの非アクティブ状態の上限
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

検証:

有効な値: 0 から 599940 まで。この値は、セッションがロックされるまでの非アクティブ時間 (秒単位) です。 0 (0) に設定されている場合、設定は無効になります。

InteractiveLogon_MessageTextForUsersAttemptingToLogOn

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn

対話型ログオン: ログオンしようとしているユーザーのメッセージ テキスト このセキュリティ設定は、ログオン時にユーザーに表示されるテキスト メッセージを指定します。 このテキストは、多くの場合、会社の情報の誤用の影響についてユーザーに警告したり、アクションが監査される可能性があることを警告したりするために、法的な理由で使用されます。 既定値: メッセージなし。

重要

このポリシー設定が有効になっている場合、Windows Autopilot の事前プロビジョニングは機能しません。 詳細については、「 Windows Autopilot のトラブルシューティングに関する FAQ」を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 対話型ログオン: ログオン時のユーザーへのメッセージのテキスト
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

対話型ログオン: ログオンしようとしているユーザー向けのメッセージ タイトル このセキュリティ設定を使用すると、対話型ログオンを含むウィンドウのタイトル バーにタイトルの指定を表示できます。ログオンを試みるユーザーのメッセージ テキスト。 既定値: メッセージなし。

重要

このポリシー設定が有効になっている場合、Windows Autopilot の事前プロビジョニングは機能しません。 詳細については、「 Windows Autopilot のトラブルシューティングに関する FAQ」を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

グループ ポリシー マッピング:

名前
名前 対話型ログオン: ログオン時のユーザーへのメッセージのタイトル
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

InteractiveLogon_NumberOfPreviousLogonsToCache

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_NumberOfPreviousLogonsToCache

対話型ログオン: キャッシュする以前のログオンの数 (ドメイン コントローラーが使用できない場合) 各一意のユーザーのログオン情報がローカルにキャッシュされるため、後続のログオン試行中にドメイン コントローラーが使用できない場合は、ログオンできます。 キャッシュされたログオン情報は、前のログオン セッションから格納されます。 ドメイン コントローラーが使用できず、ユーザーのログオン情報がキャッシュされていない場合、ユーザーは次のメッセージを表示します。現在、ログオン要求に対応できるログオン サーバーはありません。 このポリシー設定では、値 0 を指定するとログオン キャッシュが無効になります。 50 を超える値では、50 回のログオン試行のみがキャッシュされます。 Windows では最大 50 個のキャッシュ エントリがサポートされており、ユーザーごとに使用されるエントリの数は資格情報によって異なります。 たとえば、Windows システムでは最大 50 個の一意のパスワード ユーザー アカウントをキャッシュできますが、パスワード情報とスマート カード情報の両方が格納されているため、キャッシュできるスマート カード ユーザー アカウントは 25 個のみです。 キャッシュされたログオン情報を持つユーザーが再度ログオンすると、ユーザーの個々のキャッシュされた情報が置き換えられます。 既定値: Windows Server 2008: 25 その他のすべてのバージョン: 10。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
既定値 10

InteractiveLogon_PromptUserToChangePasswordBeforeExpiration

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration

対話型ログオン: 有効期限が切れる前にパスワードの変更をユーザーに求めるメッセージ パスワードの有効期限が近づいていることを事前に (日数で) ユーザーに警告する方法を指定します。 この事前警告により、ユーザーは十分に強力なパスワードを作成する時間があります。 既定値: 5 日。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-999]
既定値 5

InteractiveLogon_SmartCardRemovalBehavior

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior

対話型ログオン: スマート カードの削除動作 このセキュリティ設定は、ログオンしているユーザーのスマート カードがスマート カード リーダーから削除された場合の動作を決定します。 オプションは次のとおりです。リモート デスクトップ サービス セッションの場合は、アクション ロック ワークステーションの強制的なログオフ切断 このポリシーの [プロパティ] ダイアログ ボックスで [ワークステーションのロック] をクリックすると、スマート カードが削除されるとワークステーションがロックされ、ユーザーは領域を離れ、スマート カードを使用して保護されたセッションを維持できます。 このポリシーの [プロパティ] ダイアログ ボックスで [強制的にログオフ] をクリックすると、スマート カードが削除されると、ユーザーは自動的にログオフされます。 リモート デスクトップ サービス セッションの場合は [切断] をクリックすると、スマート カードを削除すると、ユーザーがログオフせずにセッションが切断されます。 これにより、ユーザーはスマート カードを挿入し、後でセッションを再開したり、もう一度ログオンすることなく、別のスマート カードリーダー搭載コンピューターでセッションを再開したりできます。 セッションがローカルの場合、このポリシーは Lock Workstation と同じように機能します。

リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。 既定値: このポリシーは定義されていません。つまり、システムはそれを No アクションとして扱います。 Windows Vista 以降: この設定を機能させるには、スマート カード削除ポリシー サービスを開始する必要があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) アクションなし。
1 ワークステーションをロックします。
2 強制的にログオフします。
3 リモート デスクトップ サービス セッションの場合は切断します。

グループ ポリシー マッピング:

名前
名前 対話型ログオン: スマート カード取り出し時の動作
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

MicrosoftNetworkClient_DigitallySignCommunicationsAlways

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 Version 1809 [10.0.17763] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Microsoft ネットワーク クライアント: 通信にデジタル署名する (常に) このセキュリティ設定は、SMB クライアント コンポーネントでパケット署名が必要かどうかを決定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルと印刷の共有と、リモート Windows 管理などの他の多くのネットワーク操作の基礎を提供します。 転送中の SMB パケットを変更する中間者攻撃を防ぐために、SMB プロトコルは SMB パケットのデジタル署名をサポートします。 このポリシー設定は、SMB サーバーとの通信をさらに許可する前に、SMB パケット署名をネゴシエートする必要があるかどうかを決定します。

  • この設定を有効にすると、そのサーバーが SMB パケット署名を実行することに同意しない限り、Microsoft ネットワーク クライアントは Microsoft ネットワーク サーバーと通信しません。

  • このポリシーが無効になっている場合、SMB パケット署名はクライアントとサーバーの間でネゴシエートされます。 重要 このポリシーを Windows 2000 を実行しているコンピューターで有効にするには、クライアント側のパケット署名も有効にする必要があります。 クライアント側の SMB パケット署名を有効にするには、Microsoft ネットワーク クライアント: デジタル署名通信 (サーバーが同意する場合) を設定します。

すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートします。 Windows 2000 以降のオペレーティング システムでは、クライアント側およびサーバー側 SMB コンポーネントのパケット署名を有効または必須にする方法は、次の 4 つのポリシー設定によって制御されます。Microsoft ネットワーク クライアント: デジタル署名通信 (常に) - クライアント側 SMB コンポーネントでパケット署名が必要かどうかを制御します。 Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意する場合) - クライアント側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。 Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に) - サーバー側の SMB コンポーネントでパケット署名が必要かどうかを制御します。 Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合) - サーバー側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。 SMB パケット署名は、方言のバージョン、OS のバージョン、ファイル サイズ、プロセッサ オフロード機能、アプリケーション IO の動作に応じて、SMB のパフォーマンスを大幅に低下させる可能性があります。 詳細については、「reference:<https://go.microsoft.com/fwlink/?LinkID=787136>」を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
1 有効にする。
0 (既定値) 無効にする。

グループ ポリシー マッピング:

名前
名前 Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意した場合) このセキュリティ設定は、SMB クライアントが SMB パケット署名のネゴシエートを試みるかどうかを決定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルと印刷の共有と、リモート Windows 管理などの他の多くのネットワーク操作の基礎を提供します。 転送中の SMB パケットを変更する中間者攻撃を防ぐために、SMB プロトコルは SMB パケットのデジタル署名をサポートします。 このポリシー設定は、SMB クライアント コンポーネントが SMB サーバーに接続するときに SMB パケット署名のネゴシエートを試みるかどうかを決定します。

  • この設定が有効になっている場合、Microsoft ネットワーク クライアントは、セッションのセットアップ時に SMB パケット署名を実行するようにサーバーに要求します。 サーバーでパケット署名が有効になっている場合は、パケット署名がネゴシエートされます。

  • このポリシーが無効になっている場合、SMB クライアントは SMB パケット署名をネゴシエートしません。 注 すべての Windows オペレーティング システムでは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方がサポートされています。 Windows 2000 以降では、クライアントとサーバー側の SMB コンポーネントのパケット署名を有効または必須にする方法は、次の 4 つのポリシー設定によって制御されます。Microsoft ネットワーク クライアント: デジタル署名通信 (常に) - クライアント側 SMB コンポーネントでパケット署名が必要かどうかを制御します。 Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意する場合) - クライアント側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。 Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に) - サーバー側の SMB コンポーネントでパケット署名が必要かどうかを制御します。 Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合) - サーバー側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。 クライアント側とサーバー側の両方の SMB 署名が有効になっていて、クライアントがサーバーへの SMB 1.0 接続を確立した場合、SMB 署名が試行されます。 SMB パケット署名は、方言のバージョン、OS のバージョン、ファイル サイズ、プロセッサ オフロード機能、アプリケーション IO の動作に応じて、SMB のパフォーマンスを大幅に低下させる可能性があります。 この設定は SMB 1.0 接続にのみ適用されます。 詳細については、「reference:<https://go.microsoft.com/fwlink/?LinkID=787136>」を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
1 (既定値) 有効にする。
0 無効にする。

グループ ポリシー マッピング:

名前
名前 Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Microsoft ネットワーク クライアント: 暗号化されていないパスワードを送信してサード パーティの SMB サーバーに接続する このセキュリティ設定が有効になっている場合、サーバー メッセージ ブロック (SMB) リダイレクターは、認証中にパスワード暗号化をサポートしていない Microsoft SMB 以外のサーバーにプレーンテキスト パスワードを送信できます。 暗号化されていないパスワードの送信はセキュリティ 上のリスクです。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
1 有効にする。
0 (既定値) 無効にする。

グループ ポリシー マッピング:

名前
名前 Microsoft ネットワーク クライアント: サード パーティ製の SMB サーバーへのパスワードを、暗号化しないで送信する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Microsoft ネットワーク サーバー: セッションを中断するまでに必要なアイドル時間このセキュリティ設定は、非アクティブのためセッションが中断される前にサーバー メッセージ ブロック (SMB) セッションで渡す必要がある連続アイドル時間を決定します。 管理者は、このポリシーを使用して、コンピューターが非アクティブな SMB セッションを中断するタイミングを制御できます。 クライアント アクティビティが再開されると、セッションは自動的に再確立されます。 このポリシー設定の場合、値 0 は、可能な限り迅速にアイドル セッションを切断することを意味します。 最大値は 99999 で、208 日です。実際には、この値はポリシーを無効にします。 既定値: このポリシーは定義されていません。つまり、システムはそれをサーバーの場合は 15 分、ワークステーションでは未定義として扱います。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-99999]
既定値 99999

グループ ポリシー マッピング:

名前
名前 Microsoft ネットワーク サーバー: セッションを中断するまでに必要とするアイドル時間
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

MicrosoftNetworkServer_DigitallySignCommunicationsAlways

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に) このセキュリティ設定は、SMB サーバー コンポーネントでパケット署名が必要かどうかを決定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルと印刷の共有と、リモート Windows 管理などの他の多くのネットワーク操作の基礎を提供します。 転送中の SMB パケットを変更する中間者攻撃を防ぐために、SMB プロトコルは SMB パケットのデジタル署名をサポートします。 このポリシー設定は、SMB クライアントとのさらに通信を許可する前に、SMB パケット署名をネゴシエートする必要があるかどうかを決定します。

  • この設定を有効にすると、そのクライアントが SMB パケット署名を実行することに同意しない限り、Microsoft ネットワーク サーバーは Microsoft ネットワーク クライアントと通信しません。

  • この設定を無効にすると、クライアントとサーバーの間で SMB パケット署名がネゴシエートされます。 既定値: メンバー サーバーでは無効です。 ドメイン コントローラーに対して有効です。

すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートします。 Windows 2000 以降では、クライアントとサーバー側の SMB コンポーネントのパケット署名を有効または必須にする方法は、次の 4 つのポリシー設定によって制御されます。Microsoft ネットワーク クライアント: デジタル署名通信 (常に) - クライアント側 SMB コンポーネントでパケット署名が必要かどうかを制御します。 Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意する場合) - クライアント側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。 Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に) - サーバー側の SMB コンポーネントでパケット署名が必要かどうかを制御します。 Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合) - サーバー側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。 同様に、クライアント側の SMB 署名が必要な場合、そのクライアントは、パケット署名が有効になっていないサーバーとのセッションを確立できません。 既定では、サーバー側の SMB 署名はドメイン コントローラーでのみ有効になります。 サーバー側の SMB 署名が有効になっている場合、SMB パケット署名は、クライアント側の SMB 署名が有効になっているクライアントとネゴシエートされます。 SMB パケット署名は、方言のバージョン、OS のバージョン、ファイル サイズ、プロセッサ オフロード機能、アプリケーション IO の動作に応じて、SMB のパフォーマンスを大幅に低下させる可能性があります。

重要

このポリシーを Windows 2000 を実行しているコンピューターで有効にするには、サーバー側のパケット署名も有効にする必要があります。 サーバー側の SMB パケット署名を有効にするには、 次のポリシーを設定します: Microsoft ネットワーク サーバー: 通信にデジタル署名 (サーバーが同意する場合) Windows 2000 サーバーが Windows NT 4.0 クライアントと署名をネゴシエートするには、Windows 2000 サーバーで次のレジストリ値を 1 に設定する必要があります。 HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature 詳細については、リファレンス:<https://go.microsoft.com/fwlink/?LinkID=787136>

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
1 有効にする。
0 (既定値) 無効にする。

グループ ポリシー マッピング:

名前
名前 Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合) このセキュリティ設定は、SMB サーバーが SMB パケット署名を要求するクライアントとネゴシエートするかどうかを決定します。 サーバー メッセージ ブロック (SMB) プロトコルは、Microsoft のファイルと印刷の共有と、リモート Windows 管理などの他の多くのネットワーク操作の基礎を提供します。 転送中の SMB パケットを変更する中間者攻撃を防ぐために、SMB プロトコルは SMB パケットのデジタル署名をサポートします。 このポリシー設定は、SMB クライアントが要求したときに SMB サーバーが SMB パケット署名をネゴシエートするかどうかを決定します。

  • この設定が有効になっている場合、Microsoft ネットワーク サーバーは、クライアントから要求された SMB パケット署名をネゴシエートします。 つまり、クライアントでパケット署名が有効になっている場合、パケット署名はネゴシエートされます。

  • このポリシーが無効になっている場合、SMB クライアントは SMB パケット署名をネゴシエートしません。 ドメイン コントローラーでのみ。

重要

Windows 2000 サーバーが Windows NT 4.0 クライアントと署名をネゴシエートするには、Windows 2000 を実行しているサーバーで次のレジストリ値を 1 に設定する必要があります。HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes すべての Windows オペレーティング システムは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方をサポートしています。 Windows 2000 以降では、クライアントとサーバー側の SMB コンポーネントのパケット署名を有効または必須にする方法は、次の 4 つのポリシー設定によって制御されます。Microsoft ネットワーク クライアント: デジタル署名通信 (常に) - クライアント側 SMB コンポーネントでパケット署名が必要かどうかを制御します。 Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意する場合) - クライアント側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。 Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に) - サーバー側の SMB コンポーネントでパケット署名が必要かどうかを制御します。 Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合) - サーバー側 SMB コンポーネントでパケット署名が有効になっているかどうかを制御します。 クライアント側とサーバー側の両方の SMB 署名が有効になっていて、クライアントがサーバーへの SMB 1.0 接続を確立した場合、SMB 署名が試行されます。 SMB パケット署名は、方言のバージョン、OS のバージョン、ファイル サイズ、プロセッサ オフロード機能、アプリケーション IO の動作に応じて、SMB のパフォーマンスを大幅に低下させる可能性があります。 この設定は SMB 1.0 接続にのみ適用されます。 詳細については、「reference:<https://go.microsoft.com/fwlink/?LinkID=787136>」を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
1 有効にする。
0 (既定値) 無効にする。

グループ ポリシー マッピング:

名前
名前 Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire

Microsoft ネットワーク サーバー: ログオン時間の有効期限が切れたときにクライアントを切断する このセキュリティ設定は、ユーザー アカウントの有効なログオン時間外にローカル コンピューターに接続されているユーザーを切断するかどうかを決定します。 この設定は、サーバー メッセージ ブロック (SMB) コンポーネントに影響します。 このポリシーを有効にすると、クライアントのログオン時間の有効期限が切れると、SMB サービスとのクライアント セッションが強制的に切断されます。

  • このポリシーが無効になっている場合は、クライアントのログオン時間が経過した後に、確立されたクライアント セッションを維持できます。 Windows Vista 以降の既定値: 有効です。 Windows XP の既定値: 無効。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 1

MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel

Microsoft ネットワーク サーバー: サーバー SPN ターゲット名の検証レベル このポリシー設定は、サーバー メッセージ ブロック (SMB) プロトコルを使用してセッションを確立するときにクライアント コンピューターによって提供されるサービス プリンシパル名 (SPN) に対して共有フォルダーまたはプリンター (サーバー) が実行するコンピューターの検証レベルを制御します。 サーバー メッセージ ブロック (SMB) プロトコルは、ファイルと印刷の共有、およびリモート Windows 管理などの他のネットワーク操作の基礎を提供します。 SMB プロトコルは、SMB リレー攻撃と呼ばれる SMB サーバーに対する攻撃のクラスを防ぐために、SMB クライアントによって提供される認証 BLOB 内の SMB サーバー サービス プリンシパル名 (SPN) の検証をサポートします。 この設定は、SMB1 と SMB2 の両方に影響します。 このセキュリティ設定は、SMB サーバーへのセッションを確立しようとしたときに SMB クライアントによって提供されるサービス プリンシパル名 (SPN) に対して SMB サーバーが実行する検証のレベルを決定します。 オプションは[オフ] です。SPN は SMB クライアントから SMB サーバーによって必須または検証されません。 クライアントが指定した場合は受け入れる - SMB サーバーは SMB クライアントによって提供された SPN を受け入れて検証し、SMB サーバーの SPN の一覧に一致する場合はセッションの確立を許可します。 SPN が一致しない場合、その SMB クライアントのセッション要求は拒否されます。 クライアントから必須 - SMB クライアントはセッションセットアップで SPN 名を送信する必要があり、指定された SPN 名は接続を確立するために要求されている SMB サーバーと一致する必要があります。 クライアントによって SPN が指定されていない場合、または指定された SPN が一致しない場合、セッションは拒否されます。 既定値: オフすべての Windows オペレーティング システムでは、クライアント側 SMB コンポーネントとサーバー側 SMB コンポーネントの両方がサポートされます。 この設定はサーバー SMB の動作に影響を与え、ファイルおよび印刷サービス機能の中断を防ぐために、実装を慎重に評価してテストする必要があります。 これを実装して SMB サーバーをセキュリティで保護する方法の詳細については、Microsoft Web サイト (https://go.microsoft.com/fwlink/?LinkId=144505) を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-2]
既定値 0

NetworkAccess_AllowAnonymousSIDOrNameTranslation

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation

ネットワーク アクセス: 匿名 SID/名前変換を許可する このポリシー設定は、匿名ユーザーが別のユーザーのセキュリティ識別子 (SID) 属性を要求できるかどうかを決定します。

  • このポリシーが有効になっている場合、匿名ユーザーは別のユーザーの SID 属性を要求できます。 管理者の SID に関する知識を持つ匿名ユーザーは、このポリシーが有効になっているコンピューターに連絡し、SID を使用して管理者の名前を取得できます。 この設定は、SID から名前への変換と、名前から SID への変換の両方に影響します。

  • このポリシー設定が無効になっている場合、匿名ユーザーは別のユーザーの SID 属性を要求できません。 ワークステーションとメンバー サーバーの既定値: 無効。 Windows Server 2008 以降を実行しているドメイン コントローラーの既定値: 無効。 Windows Server 2003 R2 以前を実行しているドメイン コントローラーの既定値: 有効。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
1 有効にする。
0 (既定値) 無効にする。

グループ ポリシー マッピング:

名前
名前 ネットワーク アクセス: 匿名 SID/名前変換を許可する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

ネットワーク アクセス: SAM アカウントの匿名列挙を許可しない このセキュリティ設定は、コンピューターへの匿名接続に対して付与される追加のアクセス許可を決定します。 Windows では、匿名ユーザーがドメイン アカウントやネットワーク共有の名前を列挙するなど、特定のアクティビティを実行できます。 これは、たとえば、管理者が相互信頼を維持しない信頼されたドメイン内のユーザーにアクセス権を付与する場合に便利です。 このセキュリティ オプションを使用すると、匿名接続に追加の制限を適用できます。有効: SAM アカウントの列挙を許可しません。 このオプションは、リソースのセキュリティ アクセス許可で Everyone を認証済みユーザーに置き換えます。 無効: 追加の制限はありません。 既定のアクセス許可に依存します。 ワークステーションの既定値: 有効。 サーバーの既定値:有効。

重要

このポリシーは、ドメイン コントローラーには影響しません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
1 (既定値) 有効。
0 無効。

グループ ポリシー マッピング:

名前
名前 ネットワーク アクセス: SAM アカウントの匿名列挙を許可しない
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

ネットワーク アクセス: SAM アカウントと共有の匿名列挙を許可しない このセキュリティ設定は、SAM アカウントと共有の匿名列挙を許可するかどうかを決定します。 Windows では、匿名ユーザーがドメイン アカウントやネットワーク共有の名前を列挙するなど、特定のアクティビティを実行できます。 これは、たとえば、管理者が相互信頼を維持しない信頼されたドメイン内のユーザーにアクセス権を付与する場合に便利です。 SAM アカウントと共有の匿名列挙を許可しない場合は、このポリシーを有効にします。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
1 有効。
0 (既定値) 無効。

グループ ポリシー マッピング:

名前
名前 ネットワーク アクセス: SAM アカウントと共有の匿名列挙を許可しない
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication

ネットワーク アクセス: ネットワーク認証用のパスワードと資格情報の保存を許可しない このセキュリティ設定は、資格情報マネージャーがドメイン認証を取得するときに後で使用するためにパスワードと資格情報を保存するかどうかを決定します。

  • この設定を有効にすると、資格情報マネージャーはコンピューターにパスワードと資格情報を格納しません。

  • このポリシー設定を無効にした場合、または構成しなかった場合、Credential Manager はこのコンピューターにパスワードと資格情報を格納し、後でドメイン認証に使用します。

このセキュリティ設定を構成する場合、Windows を再起動するまで変更は有効になりません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 0

NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers

ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用させる このセキュリティ設定は、コンピューターへの匿名接続に対して付与される追加のアクセス許可を決定します。 Windows では、匿名ユーザーがドメイン アカウントやネットワーク共有の名前を列挙するなど、特定のアクティビティを実行できます。 これは、たとえば、管理者が相互信頼を維持しない信頼されたドメイン内のユーザーにアクセス権を付与する場合に便利です。 既定では、匿名接続用に作成されたトークンから Everyone セキュリティ識別子 (SID) が削除されます。 そのため、Everyone グループに付与されるアクセス許可は匿名ユーザーには適用されません。 このオプションが設定されている場合、匿名ユーザーは、匿名ユーザーに明示的にアクセス許可が付与されているリソースにのみアクセスできます。

  • このポリシーを有効にすると、匿名接続用に作成されたトークンに Everyone SID が追加されます。 この場合、匿名ユーザーは、Everyone グループにアクセス許可が付与されている任意のリソースにアクセスできます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 0

グループ ポリシー マッピング:

名前
名前 ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkAccess_NamedPipesThatCanBeAccessedAnonymously

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_NamedPipesThatCanBeAccessedAnonymously

ネットワーク アクセス: 匿名でアクセスできる名前付きパイプ このセキュリティ設定は、匿名アクセスを許可する属性とアクセス許可を持つ通信セッション (パイプ) を決定します。 既定値: なし。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: ,)

NetworkAccess_RemotelyAccessibleRegistryPaths

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths

ネットワーク アクセス: リモートからアクセスできるレジストリ パス このセキュリティ設定は、winreg レジストリ キーのアクセス制御リスト (ACL) に一覧表示されているユーザーまたはグループに関係なく、ネットワーク経由でアクセスできるレジストリ キーを決定します。 既定値: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion 注意 レジストリを誤って編集すると、システムが著しく損傷する可能性があります。 レジストリに変更を加える前に、コンピューター上の価値のあるデータをバックアップする必要があります。

このセキュリティ設定は、以前のバージョンの Windows では使用できません。 Windows XP を実行しているコンピューターに表示されるセキュリティ設定である "ネットワーク アクセス: リモートからアクセス可能なレジストリ パス" は、Windows Server 2003 ファミリのメンバーの "ネットワーク アクセス: リモートでアクセス可能なレジストリ パスとサブパス" セキュリティ オプションに対応しています。 詳細については、「ネットワーク アクセス: リモートでアクセス可能なレジストリ パスとサブパス」を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: ,)

NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths

ネットワーク アクセス: リモートからアクセスできるレジストリ パスとサブパス このセキュリティ設定は、winreg レジストリ キーのアクセス制御リスト (ACL) に一覧表示されているユーザーまたはグループに関係なく、ネットワーク経由でアクセスできるレジストリ パスとサブパスを決定します。 既定値: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins レジストリを誤って編集すると、システムが著しく損傷する可能性があります。 レジストリに変更を加える前に、コンピューター上の価値のあるデータをバックアップする必要があります。

Windows XP では、このセキュリティ設定は "ネットワーク アクセス: リモートからアクセス可能なレジストリ パス" と呼ばれます。 ドメインに参加している Windows Server 2003 ファミリのメンバーでこの設定を構成した場合、この設定は Windows XP を実行しているコンピューターによって継承されますが、[ネットワーク アクセス: リモートからアクセスできるレジストリ パス] セキュリティ オプションとして表示されます。 詳細については、「ネットワーク アクセス: リモートでアクセス可能なレジストリ パスとサブパス」を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: ,)

NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

ネットワーク アクセス: 名前付きパイプと共有への匿名アクセスを制限する このセキュリティ設定を有効にすると、ネットワーク アクセス: 匿名でアクセスできる名前付きパイプ: 匿名でアクセスできる名前付きパイプ: 匿名でアクセスできる共有に対する共有とパイプへの匿名アクセスが制限されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
1 (既定値) 有効にする。
0 無効にする。

グループ ポリシー マッピング:

名前
名前 ネットワーク アクセス: 名前付きパイプと共有への匿名のアクセスを制限する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限する このポリシー設定を使用すると、SAM へのリモート rpc 接続を制限できます。 選択されていない場合は、既定のセキュリティ記述子が使用されます。 このポリシーは、少なくともWindows Server 2016でサポートされています。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

グループ ポリシー マッピング:

名前
名前 ネットワーク アクセス: SAM へのリモートの呼び出しを許可するクライアントを制限する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkAccess_SharesThatCanBeAccessedAnonymously

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously

ネットワーク アクセス: 匿名でアクセスできる共有このセキュリティ設定は、匿名ユーザーがアクセスできるネットワーク共有を決定します。 既定値: 指定なし。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: ,)

NetworkAccess_SharingAndSecurityModelForLocalAccounts

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts

ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル このセキュリティ設定は、ローカル アカウントを使用するネットワーク ログオンの認証方法を決定します。 この設定が [クラシック] に設定されている場合、ローカル アカウント資格情報を使用するネットワーク ログオンは、それらの資格情報を使用して認証されます。 クラシック モデルを使用すると、リソースへのアクセスを細かく制御できます。 クラシック モデルを使用すると、同じリソースに対してさまざまな種類のアクセス権を異なるユーザーに付与できます。 この設定が [ゲストのみ] に設定されている場合、ローカル アカウントを使用するネットワーク ログオンはゲスト アカウントに自動的にマップされます。 ゲスト モデルを使用すると、すべてのユーザーを均等に扱うことができます。 すべてのユーザーがゲストとして認証され、すべてのユーザーが特定のリソースに対して同じレベルのアクセス権を受け取ります。これは、読み取り専用または変更のいずれかです。 ドメイン コンピューターの既定値: クラシック。 スタンドアロン コンピューターの既定値: ゲストのみ重要 ゲストのみのモデルでは、ネットワーク経由でコンピューターにアクセスできるユーザー (匿名インターネット ユーザーを含む) は、共有リソースにアクセスできます。 Windows ファイアウォールまたは他の同様のデバイスを使用して、未承認のアクセスからコンピューターを保護する必要があります。 同様に、クラシック モデルでは、ローカル アカウントをパスワードで保護する必要があります。そうしないと、それらのユーザー アカウントを誰でも使用して共有システム リソースにアクセスできます。

この設定は、Telnet やリモート デスクトップ サービスなどのサービスを使用してリモートで実行される対話型ログオンには影響しません。 リモート デスクトップ サービスは、以前のバージョンの Windows Server でターミナル サービスと呼ばれていました。 このポリシーは、Windows 2000 を実行しているコンピューターには影響しません。 コンピューターがドメインに参加していない場合、この設定では、エクスプローラーの [共有] タブと [セキュリティ] タブも、使用されている共有とセキュリティ モデルに対応するように変更されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 0

NetworkSecurity_AllowLocalSystemNULLSessionFallback

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback

ネットワーク セキュリティ: LocalSystem NULL セッション フォールバックを許可 LocalSystem で使用した場合に NTLM が NULL セッションにフォールバックすることを許可します。 既定値は Windows Vista まで TRUE、Windows 7 では FALSE です。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 1

NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 Version 1809 [10.0.17763] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

ネットワーク セキュリティ: ローカル システムで NTLM のコンピューター ID を使用できるようにする このポリシー設定では、ネゴシエートを使用するローカル システム サービスが NTLM 認証に戻るときにコンピューター ID を使用できます。

  • このポリシー設定を有効にした場合、ネゴシエートを使用するローカル システムとして実行されているサービスは、コンピューター ID を使用します。 これにより、Windows オペレーティング システム間の認証要求の一部が失敗し、エラーがログに記録される可能性があります。

  • このポリシー設定を無効にした場合、NTLM 認証に戻すときにネゴシエートを使用するローカル システムとして実行されているサービスは匿名で認証されます。 既定では、このポリシーは Windows 7 以降で有効になっています。 既定では、このポリシーは Windows Vista では無効になっています。 このポリシーは、少なくとも Windows Vista または Windows Server 2008 でサポートされています。

Windows Vista または Windows Server 2008 では、この設定はグループ ポリシーで公開されません。

  • サービスがデバイス ID に接続すると、データ保護を提供するために署名と暗号化がサポートされます。
  • サービスが匿名で接続すると、システム生成のセッション キーが作成され、保護は提供されませんが、アプリケーションはエラーなしでデータに署名および暗号化できます。 匿名認証では、NULL セッションが使用されます。これは、ユーザー認証が実行されないサーバーとのセッションです。そのため、匿名アクセスが許可されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
1 (既定値) 適用可能です。
0 ブロック:

グループ ポリシー マッピング:

名前
名前 ネットワーク セキュリティ: NTLM で Local System によるコンピューター ID の使用を許可する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkSecurity_AllowPKU2UAuthenticationRequests

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests

ネットワーク セキュリティ: このコンピューターに対する PKU2U 認証要求でオンライン ID を使用できるようにします。 ドメインに参加しているマシンでは、このポリシーは既定でオフになります。 これにより、オンライン ID がドメインに参加しているマシンに対して認証できなくなります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
0 ブロック:
1 (既定値) 適用可能です。

グループ ポリシー マッピング:

名前
名前 ネットワーク セキュリティ: このコンピューターに対する PKU2U 認証要求でオンライン ID を使用できるようにします。
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

このポリシーは非推奨であり、今後のリリースで削除される可能性があります。

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

ネットワーク セキュリティ: 次回のパスワード変更に LAN Manager ハッシュ値を格納しないでください。このセキュリティ設定は、次回のパスワード変更時に、新しいパスワードの LAN Manager (LM) ハッシュ値が格納されるかどうかを決定します。 LM ハッシュは、暗号的に強力なWindows NT ハッシュと比較して、比較的弱く、攻撃を受けやすいです。 LM ハッシュはセキュリティ データベースのローカル コンピューターに格納されるため、セキュリティ データベースが攻撃された場合にパスワードが侵害される可能性があります。 Windows Vista 以降の既定値: Windows XP で既定値が有効: 無効。

重要

Windows 2000 Service Pack 2 (SP2) 以降では、Microsoft Windows NT 4.0 などの以前のバージョンの Windows への認証との互換性が提供されます。 この設定は、Windows 2000 Server、Windows 2000 Professional、Windows XP、および Windows Server 2003 ファミリを実行しているコンピューターが Windows 95 および Windows 98 を実行しているコンピューターと通信する機能に影響する可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
1 (既定値) 有効にする。
0 無効にする。

グループ ポリシー マッピング:

名前
名前 ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager ハッシュ値を格納しない
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkSecurity_ForceLogoffWhenLogonHoursExpire

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire

ネットワーク セキュリティ: ログオン時間の有効期限が切れたときに強制的にログオフします。このセキュリティ設定は、ユーザー アカウントの有効なログオン時間外にローカル コンピューターに接続されているユーザーを切断するかどうかを決定します。 この設定は、サーバー メッセージ ブロック (SMB) コンポーネントに影響します。 このポリシーを有効にすると、クライアントのログオン時間の有効期限が切れると、SMB サーバーとのクライアント セッションが強制的に切断されます。

  • このポリシーが無効になっている場合は、クライアントのログオン時間が経過した後に、確立されたクライアント セッションを維持できます。 注: このセキュリティ設定は、アカウント ポリシーとして動作します。 ドメイン アカウントの場合、アカウント ポリシーは 1 つだけです。 アカウント ポリシーは既定のドメイン ポリシーで定義する必要があり、ドメインを構成するドメイン コントローラーによって適用されます。 ドメイン コントローラーは、ドメイン コントローラーを含む組織単位に別のアカウント ポリシーが適用されている場合でも、常に既定のドメイン ポリシー グループ ポリシー オブジェクト (GPO) からアカウント ポリシーをプルします。 既定では、ドメインに参加しているワークステーションとサーバー (メンバー コンピューターなど) も、ローカル アカウントに対して同じアカウント ポリシーを受け取ります。 ただし、メンバー コンピューターのローカル アカウント ポリシーは、メンバー コンピューターを含む組織単位のアカウント ポリシーを定義することで、ドメイン アカウント ポリシーとは異なる場合があります。 Kerberos 設定はメンバー コンピューターには適用されません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
1 (既定値) 有効にする。
0 無効にする。

グループ ポリシー マッピング:

名前
名前 ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkSecurity_LANManagerAuthenticationLevel

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel

ネットワーク セキュリティ LAN マネージャー認証レベル このセキュリティ設定は、ネットワーク ログオンに使用されるチャレンジ/応答認証プロトコルを決定します。 この選択は、クライアントが使用する認証プロトコルのレベル、ネゴシエートされたセッション セキュリティのレベル、サーバーが受け入れる認証のレベルに影響します。LM 応答と NTLM 応答の送信: クライアントは LM 認証と NTLM 認証を使用し、NTLMv2 セッション セキュリティを使用しません。ドメイン コントローラーは LM、NTLM、NTLMv2 認証を受け入れます。 LM と NTLM の送信 - ネゴシエートされている場合は NTLMv2 セッション セキュリティを使用します。クライアントは LM 認証と NTLM 認証を使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、NTLMv2 認証を受け入れます。 NTLM 応答のみを送信する: クライアントは NTLM 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、NTLMv2 認証を受け入れます。 NTLMv2 応答のみを送信する: クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、NTLMv2 認証を受け入れます。 NTLMv2 応答のみを送信する\拒否 LM: クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM を拒否します (NTLM と NTLMv2 認証のみを受け入れます)。 NTLMv2 応答のみ\refuse LM と NTLM を送信する: クライアントは NTLMv2 認証のみを使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラーは LM と NTLM を拒否します (NTLMv2 認証のみを受け入れます)。

重要

この設定は、Windows 2000 Server、Windows 2000 Professional、Windows XP Professional、および Windows Server 2003 ファミリを実行しているコンピューターが、ネットワーク経由で 4.0 以前Windows NT実行されているコンピューターと通信する機能に影響する可能性があります。 たとえば、この書き込みの時点では、4.0 SP4 以前Windows NT実行されているコンピューターでは NTLMv2 がサポートされていませんでした。 Windows 95 と Windows 98 を実行しているコンピューターは NTLM をサポートしていません。 既定値: Windows 2000 および Windows XP: LM 応答と NTLM 応答の送信 Windows Server 2003: Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2: NTLMv2 応答のみを送信します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 3

指定可能な値

説明
0 LM 応答と NTLM 応答を送信します。
1 ネゴシエートされた場合は、LM と NTLM 使用の NTLMv2 セッション セキュリティを送信します。
2 LM 応答と NTLM 応答のみを送信します。
3 (既定値) LM 応答と NTLMv2 応答のみを送信します。
4 LM 応答と NTLMv2 応答のみを送信します。 LM を拒否します。
5 LM 応答と NTLMv2 応答のみを送信します。 LM と NTLM を拒否します。

グループ ポリシー マッピング:

名前
名前 ネットワーク セキュリティ: LAN Manager 認証レベル
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkSecurity_LDAPClientSigningRequirements

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements

ネットワーク セキュリティ: LDAP クライアント署名の要件 このセキュリティ設定は、LDAP BIND 要求を発行するクライアントに代わって要求されるデータ署名のレベルを次のように決定します。None: LDAP BIND 要求は、呼び出し元によって指定されたオプションで発行されます。 ネゴシエート署名: トランスポート層のセキュリティ/セキュリティソケット層 (TLS\SSL) が開始されていない場合、LDAP BIND 要求は、呼び出し元によって指定されたオプションに加えて、LDAP データ署名オプションセットで開始されます。 TLS\SSL が開始されている場合、LDAP BIND 要求は、呼び出し元によって指定されたオプションで開始されます。 署名が必要: これはネゴシエート署名と同じです。 ただし、LDAP サーバーの中間 saslBindInProgresss 応答で LDAP トラフィック署名が必要であることが示されない場合、呼び出し元は LDAP BIND コマンド要求が失敗したと通知されます。

注意

サーバーを [署名が必要] に設定した場合は、クライアントも設定する必要があります。 クライアントを設定しないと、サーバーとの接続が失われます。

この設定は、ldap_simple_bindやldap_simple_bind_sには影響しません。 Windows XP Professional に付属する Microsoft LDAP クライアントは、ドメイン コントローラーと通信するためにldap_simple_bindまたはldap_simple_bind_sを使用しません。 既定値: 署名をネゴシエートします。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-2]
既定値 1

NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 Version 1809 [10.0.17763] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

ネットワーク セキュリティ: NTLM SSP ベース (セキュリティで保護された RPC を含む) クライアントの最小セッション セキュリティこのセキュリティ設定により、クライアントは 128 ビット暗号化と NTLMv2 セッション セキュリティのネゴシエーションを要求できます。 これらの値は、LAN Manager 認証レベルのセキュリティ設定値に依存します。 オプションは、NTLMv2 セッション セキュリティが必要です。NTLMv2 プロトコルがネゴシエートされていない場合、接続は失敗します。 128 ビット暗号化が必要: 強力な暗号化 (128 ビット) がネゴシエートされていない場合、接続は失敗します。 既定値: Windows XP、Windows Vista、Windows 2000 Server、Windows Server 2003、Windows Server 2008: 要件なし。 Windows 7 および Windows Server 2008 R2: 128 ビット暗号化が必要です。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 536870912

指定可能な値

説明
0 なし。
524288 NTLMv2 セッション セキュリティが必要です。
536870912 (既定値) 128 ビット暗号化が必要です。
537395200 NTLM と 128 ビット暗号化が必要です。

グループ ポリシー マッピング:

名前
名前 ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のクライアント向け最小セッション セキュリティ
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

ネットワーク セキュリティ: NTLM SSP ベース (セキュリティで保護された RPC を含む) サーバーの最小セッション セキュリティ このセキュリティ設定により、サーバーは 128 ビット暗号化または NTLMv2 セッション セキュリティのネゴシエーションを要求できます。 これらの値は、LAN Manager 認証レベルのセキュリティ設定値に依存します。 オプションは、NTLMv2 セッション セキュリティが必要です。メッセージの整合性がネゴシエートされていない場合、接続は失敗します。 128 ビット暗号化が必要です。 強力な暗号化 (128 ビット) がネゴシエートされていない場合、接続は失敗します。 既定値: Windows XP、Windows Vista、Windows 2000 Server、Windows Server 2003、Windows Server 2008: 要件なし。 Windows 7 および Windows Server 2008 R2: 128 ビット暗号化が必要です。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 536870912

指定可能な値

説明
0 なし。
524288 NTLMv2 セッション セキュリティが必要です。
536870912 (既定値) 128 ビット暗号化が必要です。
537395200 NTLM と 128 ビット暗号化が必要です。

グループ ポリシー マッピング:

名前
名前 ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のサーバー向け最小セッション セキュリティ
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

ネットワーク セキュリティ: NTLM を制限する: NTLM 認証にリモート サーバーの例外を追加する このポリシー設定を使用すると、"ネットワーク セキュリティ: NTLM を制限する: NTLM トラフィックをリモート サーバーに送信する" ポリシー設定が構成されている場合に、クライアントが NTLM 認証を使用できるリモート サーバーの例外リストを作成できます。

  • このポリシー設定を構成する場合は、クライアントが NTLM 認証を使用できるリモート サーバーの一覧を定義できます。

  • このポリシー設定を構成しない場合、例外は適用されません。 この例外リストのサーバーの名前付け形式は、アプリケーションで使用される完全修飾ドメイン名 (FQDN) または NetBIOS サーバー名で、1 行に 1 つずつ表示されます。 例外をすべてのアプリケーションで使用される名前を一覧に含める必要があり、例外が正確であることを確認するには、サーバー名を両方の名前付け形式で一覧表示する必要があります。 単一のアスタリスク (*) は、文字列内の任意の場所でワイルドカード文字として使用できます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

グループ ポリシー マッピング:

名前
名前 ネットワーク セキュリティ: NTLM を制限する: NTLM 認証に対するリモート サーバーの例外を追加する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

ネットワーク セキュリティ: NTLM を制限する: 受信 NTLM トラフィックの監査 このポリシー設定を使用すると、着信 NTLM トラフィックを監査できます。 [無効] を選択した場合、またはこのポリシー設定を構成しない場合、サーバーは受信 NTLM トラフィックのイベントをログに記録しません。 [ドメイン アカウントの監査を有効にする] を選択すると、"ネットワーク セキュリティ: NTLM の制限: 着信 NTLM トラフィック" ポリシー設定が [すべてのドメイン アカウントを拒否する] オプションに設定されている場合にブロックされる NTLM パススルー認証要求のイベントがサーバーによってログに記録されます。 [すべてのアカウントの監査を有効にする] を選択した場合、サーバーは、"ネットワーク セキュリティ: NTLM の制限: 着信 NTLM トラフィック" ポリシー設定が [すべてのアカウントを拒否する] オプションに設定されている場合にブロックされるすべての NTLM 認証要求のイベントをログに記録します。 このポリシーは、少なくとも Windows 7 または Windows Server 2008 R2 でサポートされています。

監査イベントは、アプリケーションとサービス ログ/Microsoft/Windows/NTLM の下にある "運用" ログに、このコンピューターに記録されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) 無効にする。
1 ドメイン アカウントの監査を有効にします。
2 すべてのアカウントの監査を有効にします。

グループ ポリシー マッピング:

名前
名前 ネットワーク セキュリティ: NTLM を制限する: 受信 NTLM トラフィックを監査する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

ネットワーク セキュリティ: NTLM を制限する: 受信 NTLM トラフィック このポリシー設定を使用すると、着信 NTLM トラフィックを拒否または許可できます。 [すべて許可] を選択した場合、またはこのポリシー設定を構成しない場合、サーバーはすべての NTLM 認証要求を許可します。 [すべてのドメイン アカウントを拒否する] を選択すると、サーバーはドメイン ログオンに対する NTLM 認証要求を拒否し、NTLM ブロックエラーを表示しますが、ローカル アカウントログオンを許可します。 [すべてのアカウントを拒否する] を選択すると、サーバーは受信トラフィックからの NTLM 認証要求を拒否し、NTLM ブロックエラーを表示します。 このポリシーは、少なくとも Windows 7 または Windows Server 2008 R2 でサポートされています。

ブロック イベントは、アプリケーションとサービス ログ/Microsoft/Windows/NTLM の下にある "運用" ログに、このコンピューターに記録されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) すべて許可します。
1 すべてのドメイン アカウントを拒否します。
2 すべてのアカウントを拒否します。

グループ ポリシー マッピング:

名前
名前 ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィック
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

ネットワーク セキュリティ: NTLM を制限する: リモート サーバーへの送信 NTLM トラフィック このポリシー設定を使用すると、この Windows 7 またはこの Windows Server 2008 R2 コンピューターから任意の Windows リモート サーバーへの送信 NTLM トラフィックを拒否または監査できます。 [すべて許可] を選択した場合、またはこのポリシー設定を構成しない場合、クライアント コンピューターは NTLM 認証を使用してリモート サーバーに対して ID を認証できます。 [すべて監査] を選択すると、クライアント コンピューターは、NTLM 認証要求ごとにイベントをリモート サーバーに記録します。 これにより、クライアント コンピューターから NTLM 認証要求を受信しているサーバーを識別できます。 [すべて拒否] を選択した場合、クライアント コンピューターは NTLM 認証を使用してリモート サーバーに対して ID を認証できません。 "ネットワーク セキュリティ: NTLM を制限する: NTLM 認証のリモート サーバー例外を追加する" ポリシー設定を使用して、クライアントが NTLM 認証を使用できるリモート サーバーの一覧を定義できます。 このポリシーは、少なくとも Windows 7 または Windows Server 2008 R2 でサポートされています。

監査イベントとブロック イベントは、アプリケーションとサービス ログ/Microsoft/Windows/NTLM の下にある "運用" ログに、このコンピューターに記録されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) すべて許可します。
1 すべてのドメイン アカウントを拒否します。
2 すべてのアカウントを拒否します。

グループ ポリシー マッピング:

名前
名前 ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

RecoveryConsole_AllowAutomaticAdministrativeLogon

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowAutomaticAdministrativeLogon

回復コンソール: 自動管理ログオンを許可する このセキュリティ設定は、システムへのアクセスが許可される前に管理者アカウントのパスワードを指定する必要があるかどうかを決定します。 このオプションが有効になっている場合、回復コンソールではパスワードを指定する必要はないので、システムに自動的にログオンします。 既定値: このポリシーは定義されておらず、自動管理ログオンは許可されません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 0

グループ ポリシー マッピング:

名前
名前 回復コンソール: 自動管理ログオンを許可する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders

回復コンソール: すべてのドライブとすべてのフォルダーへのフロッピー コピーとアクセスを許可する このセキュリティ オプションを有効にすると、回復コンソール SET コマンドを使用できるようになります。これにより、次の回復コンソール環境変数を設定できます。AllowWildCards: 一部のコマンド (DEL コマンドなど) のワイルドカード サポートを有効にします。 AllowAllPaths: コンピューター上のすべてのファイルとフォルダーへのアクセスを許可します。 AllowRemovableMedia: フロッピー ディスクなどのリムーバブル メディアにファイルをコピーできるようにします。 NoCopyPrompt: 既存のファイルを上書きするときにプロンプトを表示しません。 既定値: このポリシーは定義されておらず、回復コンソール SET コマンドは使用できません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 0

Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

シャットダウン: [ログオンせずにシステムをシャットダウンできるようにする] このセキュリティ設定は、Windows にログオンしなくてもコンピューターをシャットダウンできるかどうかを決定します。 このポリシーを有効にすると、Windows ログオン画面で [シャットダウン] コマンドを使用できます。 このポリシーを無効にすると、コンピューターをシャットダウンするオプションが Windows ログオン画面に表示されません。 この場合、ユーザーはコンピューターに正常にログオンでき、システム のシャットダウンを実行する直前にシステム ユーザーをシャットダウンする必要があります。 ワークステーションの既定値: 有効。 サーバーの既定値: 無効。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
0 無効。
1 (既定値) 有効 (ログオンせずにシステムをシャットダウンできるようにする)。

グループ ポリシー マッピング:

名前
名前 シャットダウン: システムのシャットダウンにログオンを必要としない
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

Shutdown_ClearVirtualMemoryPageFile

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile

シャットダウン: 仮想メモリ ページ ファイルのクリア このセキュリティ設定は、システムのシャットダウン時に仮想メモリ ページ ファイルをクリアするかどうかを決定します。 仮想メモリのサポートでは、システム ページ ファイルを使用して、メモリのページが使用されていないときにディスクにスワップします。 実行中のシステムでは、このページファイルはオペレーティング システムによってのみ開き、十分に保護されています。 ただし、他のオペレーティング システムへの起動を許可するように構成されているシステムでは、このシステムがシャットダウンしたときに、システム ページファイルがクリーンワイプされていることを確認する必要があります。 これにより、ページファイルに直接アクセスする権限のないユーザーが、ページファイルに入る可能性があるプロセス メモリからの機密情報を使用できなくなります。 このポリシーを有効にすると、シャットダウン時にシステム ページファイルクリーンクリアされます。 このセキュリティ オプションを有効にすると、休止状態が無効になっていると、休止状態ファイル (hiberfil.sys) もゼロになります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
1 有効にする。
0 (既定値) 無効にする。

グループ ポリシー マッピング:

名前
名前 シャットダウン: 仮想メモリのページ ファイルをクリアする
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

SystemCryptography_ForceStrongKeyProtection

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemCryptography_ForceStrongKeyProtection

システム暗号化: コンピューターに格納されているユーザー キーに対して強力なキー保護を強制します。このセキュリティ設定では、ユーザーの秘密キーにパスワードを使用する必要があるかどうかを判断します。 オプションは次のとおりです。新しいキーが格納され、使用されている場合、ユーザー入力は必要ありません。キーが最初に使用されたときにユーザーにプロンプトが表示されます。ユーザーは、キーを使用するたびにパスワードを入力する必要があります。詳細については、「公開キー インフラストラクチャ」を参照してください。 既定値: このポリシーは定義されていません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-2]
既定値 0

SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems

システム オブジェクト: Windows 以外のサブシステムに対して大文字と小文字の区別が必要このセキュリティ設定は、すべてのサブシステムに対して大文字と小文字の区別が適用されるかどうかを決定します。 Win32 サブシステムでは大文字と小文字が区別されません。 ただし、カーネルでは、POSIX などの他のサブシステムの大文字と小文字の区別がサポートされています。 この設定を有効にすると、ファイル オブジェクトを含むすべてのディレクトリ オブジェクト、シンボリック リンク、IO オブジェクトに対して case insensitivity が適用されます。 この設定を無効にしても、Win32 サブシステムでは大文字と小文字が区別されません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 1

グループ ポリシー マッピング:

名前
名前 システム オブジェクト: Windows システムではないサブシステムのための大文字と小文字の区別をしないことが必須
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11、バージョン 24H2 [10.0.26100] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects

システム オブジェクト: 内部システム オブジェクトの既定のアクセス許可 (シンボリック リンクなど) を強化します。このセキュリティ設定は、オブジェクトの既定の随意アクセス制御リスト (DACL) の強度を決定します。 Active Directory では、DOS デバイス名、ミューテックス、セマフォなどの共有システム リソースのグローバル リストが保持されます。 このようにして、オブジェクトを配置し、プロセス間で共有できます。 オブジェクトの各種類は、オブジェクトにアクセスできるユーザーと付与されるアクセス許可を指定する既定の DACL を使用して作成されます。

  • このポリシーが有効になっている場合、既定の DACL はより強力になり、管理者ではないユーザーは共有オブジェクトを読み取ることができ、これらのユーザーは作成しなかった共有オブジェクトを変更できません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-1]
既定値 1

UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

ユーザー アカウント制御: セキュリティで保護されたデスクトップを使用せずに、UIAccess アプリケーションが昇格を求めることを許可します。 このポリシー設定は、ユーザー インターフェイス アクセシビリティ (UIAccess または UIA) プログラムが、標準ユーザーが使用する昇格プロンプトのセキュリティで保護されたデスクトップを自動的に無効にできるかどうかを制御します。

  • 有効: Windows リモート アシスタンスを含む UIA プログラムは、昇格プロンプトのセキュリティで保護されたデスクトップを自動的に無効にします。 [ユーザー アカウント制御: 昇格を求めるときにセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にしない場合、プロンプトは、セキュリティで保護されたデスクトップではなく対話型ユーザーのデスクトップに表示されます。

  • 無効: (既定値) セキュリティで保護されたデスクトップは、対話型デスクトップのユーザーのみ、または "ユーザー アカウント制御: 昇格を求めるときにセキュリティで保護されたデスクトップに切り替える" ポリシー設定を無効にすることで無効にすることができます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) 無効。
1 有効 (セキュリティで保護されたデスクトップを使用せずに、UIAccess アプリケーションが昇格を求めることを許可します)。

グループ ポリシー マッピング:

名前
名前 ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection

ユーザー アカウント制御: 管理者保護を使用して実行されている管理者に対する昇格プロンプトの動作。 このポリシー設定は、管理者の昇格プロンプトの動作を制御します。 オプションは次のとおりです。

  • セキュリティで保護されたデスクトップで資格情報の入力を求める: 操作で特権の昇格が必要な場合、ユーザーはセキュリティで保護されたデスクトップで特権資格情報を入力するように求められます。 有効な資格情報を入力すると、そのユーザーが利用できる最も高い特権を使って操作が続行されます。

  • セキュリティで保護されたデスクトップで同意を求める: 操作で特権の昇格が必要な場合は、セキュリティで保護されたデスクトップで [変更を許可する] または [許可しない] を選択するように求められます。 ユーザーが [変更の許可] を選択した場合、操作はユーザーの最高の使用可能な特権で続行されます。

管理者保護が有効になっている場合、このポリシーは ポリシー UserAccountControl_BehaviorOfTheElevationPromptForAdministrators オーバーライドされます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
1 (既定値) セキュリティで保護されたデスクトップで資格情報を要求する。
2 セキュリティで保護されたデスクトップで同意を要求する。

グループ ポリシー マッピング:

名前
名前 ユーザー アカウント制御: 管理者保護を使用して実行されている管理者の昇格プロンプトの動作
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

ユーザー アカウント制御: 管理承認モードでの管理者の昇格プロンプトの動作 このポリシー設定は、管理者の昇格プロンプトの動作を制御します。 オプションは次のとおりです。

  • プロンプトなしで昇格する: 特権アカウントが、同意または資格情報を必要とせずに昇格を必要とする操作を実行できるようにします。

    このオプションは、最も制約のある環境でのみ使用します。

  • セキュリティで保護されたデスクトップで資格情報の入力を求める: 操作で特権の昇格が必要な場合は、セキュリティで保護されたデスクトップで特権ユーザー名とパスワードを入力するように求められます。 有効な資格情報を入力すると、そのユーザーが利用できる最も高い特権を使って操作が続行されます。

  • セキュリティで保護されたデスクトップで同意を求める: 操作で特権の昇格が必要な場合、ユーザーはセキュリティで保護されたデスクトップで [許可] または [拒否] を選択するように求められます。 [許可]を選択すると、そのユーザーが利用できる最も高い特権で操作が続行されます。

  • 資格情報の入力を求める: 操作で特権の昇格が必要な場合は、管理者ユーザー名とパスワードの入力を求められます。 有効な資格情報を入力すると、適用できる特権を使って操作が続行されます。

  • 同意を求める: 操作で特権の昇格が必要な場合、ユーザーは [許可] または [拒否] を選択するように求められます。 [許可]を選択すると、そのユーザーが利用できる最も高い特権で操作が続行されます。

  • Windows 以外のバイナリの同意を求める: (既定値) Microsoft 以外のアプリケーションの操作で特権の昇格が必要な場合、ユーザーはセキュリティで保護されたデスクトップで [許可] または [拒否] を選択するように求められます。 [許可]を選択すると、そのユーザーが利用できる最も高い特権で操作が続行されます。

管理者保護が有効になっている場合、このポリシーの動作は UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection ポリシーによってオーバーライドされます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 5

指定可能な値

説明
0 確認を要求しないで昇格する。
1 セキュリティで保護されたデスクトップで資格情報を要求する。
2 セキュリティで保護されたデスクトップで同意を要求する。
3 資格情報を要求する。
4 同意を要求する。
5 (既定値) Windows 以外のバイナリに対する同意を要求する。

グループ ポリシー マッピング:

名前
名前 ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

ユーザー アカウント制御: 標準ユーザーの昇格プロンプトの動作 このポリシー設定は、標準ユーザーの昇格プロンプトの動作を制御します。 オプションは次のとおりです。

  • 資格情報の入力を求める: (既定値) 操作で特権の昇格が必要な場合、ユーザーは管理ユーザー名とパスワードの入力を求められます。 有効な資格情報を入力すると、適用できる特権を使って操作が続行されます。

  • 昇格要求を自動的に拒否する: 操作で特権の昇格が必要な場合は、構成可能なアクセス拒否エラー メッセージが表示されます。 標準ユーザーとしてデスクトップを実行している企業は、ヘルプ デスクの呼び出しを減らすためにこの設定を選択できます。

  • セキュリティで保護されたデスクトップで資格情報の入力を求める: 操作で特権の昇格が必要な場合は、セキュリティで保護されたデスクトップで別のユーザー名とパスワードを入力するように求められます。 有効な資格情報を入力すると、適用できる特権を使って操作が続行されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 3

指定可能な値

説明
0 昇格の要求を自動的に拒否する。
1 セキュリティで保護されたデスクトップで資格情報を要求する。
3 (既定値) 資格情報を要求する。

グループ ポリシー マッピング:

名前
名前 ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格を求めるメッセージこのポリシー設定は、コンピューターのアプリケーション インストール検出の動作を制御します。 オプションは次のとおりです。 (既定値) 特権の昇格を必要とするアプリケーション インストール パッケージが検出されると、ユーザーは管理ユーザー名とパスワードの入力を求められます。 有効な資格情報を入力すると、適用できる特権を使って操作が続行されます。 無効: アプリケーション インストール パッケージは検出されず、昇格を求められます。 標準ユーザーとしてデスクトップを実行し、グループ ポリシー、グループ ポリシー ソフトウェア インストールまたは Systems Management Server (SMS) などのインストール委任テクノロジを使っているエンタープライズについては、このポリシー設定を無効にする必要があります。 この場合は、インストーラーの検出は必要ありません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
1 (既定値) 有効にする。
0 無効にする。

グループ ポリシー マッピング:

名前
名前 ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

ユーザー アカウント制御: 署名され検証された実行可能ファイルのみを昇格するこのポリシー設定では、特権の昇格を要求するすべての対話型アプリケーションに対して公開キー インフラストラクチャ (PKI) 署名チェックが適用されます。 エンタープライズ管理者がどのアプリケーションの実行を許可するかを制御するには、ローカル コンピューターの信頼された発行元の証明書ストアに証明書を追加します。 オプションは次のとおりです。

  • 有効: 実行が許可される前に、特定の実行可能ファイルに対して PKI 認定パスの検証を適用します。

  • 無効: (既定値) 特定の実行可能ファイルの実行が許可される前に、PKI 認定パスの検証を適用しません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) 無効: 検証を適用しません。
1 有効: 検証を適用します。

グループ ポリシー マッピング:

名前
名前 ユーザー アカウント制御: 署名され検証された実行ファイルのみを昇格する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

ユーザー アカウント制御: セキュリティで保護された場所にインストールされている UIAccess アプリケーションのみを昇格するこのポリシー設定は、ユーザー インターフェイス アクセシビリティ (UIAccess) 整合性レベルで実行を要求するアプリケーションがファイル システムの安全な場所に存在する必要があるかどうかを制御します。 セキュリティで保護された場所は、 - に制限されます。\Program Files(サブフォルダーを含む ) - ..\Windows\system32\ - ..\Program Files (x86) (64 ビット バージョンの Windows ノートのサブフォルダーを含む): Windows では、このセキュリティ設定の状態に関係なく、UIAccess 整合性レベルで実行するように要求する対話型アプリケーションに公開キー インフラストラクチャ (PKI) 署名チェックが適用されます。 オプションは次のとおりです。

  • 有効: (既定値) ファイル システム内のセキュリティで保護された場所にアプリケーションが存在する場合は、UIAccess の整合性でのみ実行されます。

  • 無効: アプリケーションは、ファイル システム内の安全な場所に存在しない場合でも、UIAccess の整合性で実行されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
0 無効: セキュリティで保護された場所に存在しない場合でも、UIAccess の整合性でアプリケーションが実行されます。
1 (既定値) 有効: アプリケーションは、セキュリティで保護された場所に存在する場合にのみ、UIAccess の整合性で実行されます。

グループ ポリシー マッピング:

名前
名前 ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

UserAccountControl_RunAllAdministratorsInAdminApprovalMode

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode

ユーザー アカウント制御: 管理承認モードを有効にする このポリシー設定は、コンピューターのすべてのユーザー アカウント制御 (UAC) ポリシー設定の動作を制御します。 このポリシー設定を変更する場合は、コンピューターを再起動する必要があります。 オプションは次のとおりです。

  • 有効: (既定値) 管理承認モードが有効になっています。 組み込み管理者アカウントと、管理者グループのメンバーである他のすべてのユーザーを、管理者承認モードで実行できるようにするには、このポリシーを有効にして、関連する UAC ポリシー設定も適切に設定する必要があります。

  • 無効: 承認モード管理し、関連するすべての UAC ポリシー設定が無効になっています。

このポリシー設定が無効になっている場合、オペレーティング システムの全体的なセキュリティが低下したことが Security Center から通知されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
0 無効。
1 (既定値) 有効。

グループ ポリシー マッピング:

名前
名前 ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

ユーザー アカウント制御: 昇格を求めるプロンプトを表示するときにセキュリティで保護されたデスクトップに切り替える このポリシー設定は、昇格要求プロンプトを対話型ユーザーのデスクトップまたはセキュリティで保護されたデスクトップに表示するかどうかを制御します。 オプションは次のとおりです。

  • 有効: (既定値) 管理者と標準ユーザーのプロンプト動作ポリシー設定に関係なく、すべての昇格要求がセキュリティで保護されたデスクトップに送信されます。

  • 無効: すべての昇格要求が対話型ユーザーのデスクトップに移動します。 管理者および標準ユーザーのプロンプト動作ポリシー設定が使用されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
0 無効。
1 (既定値) 有効。

グループ ポリシー マッピング:

名前
名前 ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

UserAccountControl_TypeOfAdminApprovalMode

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_TypeOfAdminApprovalMode

ユーザー アカウント制御: 承認モードの種類管理構成します。 このポリシー設定は、管理者の保護を管理者の承認モードの昇格に適用するかどうかを制御します。 このポリシー設定を変更する場合は、コンピューターを再起動する必要があります。 このポリシーは、サーバーではなく Windows デスクトップでのみサポートされます。 オプションは次のとおりです。 - 管理承認モードはレガシ モード (既定値) で実行されています。 - 管理承認モードが管理者保護で実行されています。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
1 (既定値) レガシ 管理承認モード。
2 管理者保護を使用して承認モードを管理します。

グループ ポリシー マッピング:

名前
名前 ユーザー アカウント制御: 承認モードの種類管理構成する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

UserAccountControl_UseAdminApprovalMode

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode

ユーザー アカウント制御: 組み込みの管理者アカウント管理承認モードを使用する このポリシー設定は、組み込みの管理者アカウントの承認モード管理動作を制御します。 オプションは次のとおりです。

  • 有効: 組み込みの管理者アカウントは、承認モード管理使用します。 既定値では、特権の昇格を必要とするすべての操作について、ユーザーの承認が求められます。

  • 無効: (既定値) 組み込みの管理者アカウントは、完全な管理者権限を持つすべてのアプリケーションを実行します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
1 有効にする。
0 (既定値) 無効にする。

グループ ポリシー マッピング:

名前
名前 ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モード
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

ユーザー アカウント制御: ファイルとレジストリの書き込みエラーをユーザーごとの場所に仮想化する このポリシー設定は、アプリケーションの書き込みエラーを定義されたレジストリとファイル システムの場所にリダイレクトするかどうかを制御します。 このポリシー設定は、管理者として実行され、ランタイム アプリケーション データを %ProgramFiles%、%Windir%、%Windir%\system32、または HKLM\Software に書き込むアプリケーションを軽減します。 オプションは次のとおりです。

  • 有効: (既定) アプリケーションの書き込みエラーは、実行時にファイル システムとレジストリの両方の定義されたユーザーの場所にリダイレクトされます。

  • 無効: 保護された場所にデータを書き込むアプリケーションは失敗します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
0 無効。
1 (既定値) 有効。

グループ ポリシー マッピング:

名前
名前 ユーザー アカウント制御: ファイルおよびレジストリの書き込みエラーを各ユーザーの場所に仮想化する
パス [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > セキュリティ オプション

ポリシー構成サービス プロバイダー