セキュリティ侵害を防ぐための重要なグループポリシー構成
主な注意事項
- グループ ポリシー エディターは、重要なセキュリティ設定を有効にするために不可欠です。
- 各セキュリティ設定は、Windows コンピューター上の特定の脆弱性に対処します。
- これらの設定を実装すると、セキュリティ リスクを大幅に軽減できます。
グループポリシー設定をマスターしてコンピュータのセキュリティを強化する
このガイドでは、Windows 10 および 11 のセキュリティを強化し、潜在的な侵害からデバイスを保護するために役立つ重要なグループ ポリシー設定について説明します。
セキュリティ強化のための重要なグループポリシー設定
ステップ1: Windowsインストーラーを無効にする
「コンピューターの構成」>「管理用テンプレート」>「Windowsコンポーネント」>「Windowsインストーラー」に移動します。ポリシーを「有効」に設定し、ドロップダウンリストから「常に」を選択して、不正なソフトウェアのインストールを防止します。
プロのヒント:ソフトウェア検証に詳しくない家族が使用するシステムを保護するのに効果的です。
ステップ2:再起動マネージャーの使用を制限する
「コンピューターの構成」>「管理用テンプレート」>「Windowsコンポーネント」>「Windowsインストーラー」に移動します。インストール後の不正な再起動を防ぐには、ドロップダウンから「再起動マネージャーをオフにする」を選択します。
ステップ3:インストール権限の昇格を適用する
「コンピューターの構成」>「管理用テンプレート」>「Windows コンポーネント」>「Windows インストーラー」および「ユーザーの構成」>「管理用テンプレート」>「Windows コンポーネント」>「Windows インストーラー」にアクセスします。この設定を有効にすると、すべてのインストールで管理者の承認が必要になります。
ステップ4:アプリケーションの実行を制限する
「ユーザーの構成」>「管理用テンプレート」>「システム」でポリシーを設定します。有効にすると、ユーザーが特定のアプリケーションのみを実行できるように制限され、ソフトウェアの使用に対する制御が強化されます。
ステップ5:パスワードの複雑さの要件を設定する
ログイン セキュリティを強化する強力で複雑なパスワードを適用するには、「コンピューターの構成」>「Windows の設定」>「セキュリティの設定」>「アカウント ポリシー」>「パスワード ポリシー」を見つけます。
ステップ6:アカウントロックアウトしきい値を設定する
「コンピューターの構成」>「Windows の設定」>「セキュリティの設定」>「アカウント ポリシー」>「アカウント ロックアウト ポリシー」で設定を構成し、一定回数の試行失敗後にアカウントをロックして、ブルート フォース攻撃に対するセキュリティを強化します。
ステップ7: LAN Managerハッシュの保存を防止する
「コンピューターの構成」>「Windowsの設定」>「セキュリティの設定」>「ローカルポリシー」>「セキュリティオプション」に移動します。この設定を有効にすると、LAN Managerが脆弱なパスワードハッシュを保存しないようにし、侵害リスクを最小限に抑えることができます。
ステップ8:匿名アカウントのアクセスを禁止する
コンピューターの構成 > Windows の設定 > セキュリティの設定 > ローカル ポリシー > セキュリティ オプションでこのオプションを有効にすると、権限のないユーザーがアカウントや共有にアクセスできなくなります。
ステップ9: NTLM認証を監査する
「コンピューターの構成」>「Windows の設定」>「セキュリティの設定」>「ローカル ポリシー」>「セキュリティ オプション」にアクセスします。NTLM 認証の監査を有効にして、ネットワーク アクセスを監視し、セキュリティ追跡を強化します。
ステップ10: NTLMの使用をブロックする
この設定は、「コンピューターの構成」>「管理用テンプレート」>「ネットワーク」>「Lanmanワークステーション」にあります。有効にすると、セキュリティを侵害する可能性のあるNTLMプロトコル攻撃を防止できます。
ステップ11:システムイベント監査を有効にする
「コンピューターの構成」>「Windowsの設定」>「セキュリティの設定」>「ローカルポリシー」>「監査ポリシー」に移動します。セキュリティ侵害の兆候となる可能性のある重要なシステムイベントを監査で検出できるようにします。
ステップ12:リムーバブルストレージへのアクセスを制限する
[コンピューターの構成] > [管理用テンプレート] > [システム] > [リムーバブル記憶域アクセス]で、このポリシーを有効にして USB およびリムーバブル デバイスへのアクセスを拒否し、不正なデータ転送から保護します。
ステップ13:リモートセッションでリムーバブルストレージを制御する
この設定は、「コンピューターの構成」>「管理用テンプレート」>「システム」>「リムーバブル記憶域アクセス」にあります。無効にすると、リモートセッション中にリムーバブル記憶域への不正アクセスを防止できます。
ステップ14:スクリプトの実行を有効にする
「コンピューターの構成」>「管理用テンプレート」>「Windows コンポーネント」>「Windows PowerShell」にアクセスします。悪意のあるスクリプトから保護するには、「署名されたスクリプトのみを許可する」を有効にして選択します。
ステップ15:レジストリ編集アクセスをブロックする
レジストリ エディターによるシステム設定の不正な操作を防ぐには、このポリシーを[ユーザーの構成] > [管理用テンプレート] > [システム]で設定します。
ステップ16:コマンドプロンプトへのアクセスを阻止する
「ユーザーの構成」>「管理用テンプレート」>「システム」に移動します。このポリシーを有効にすると、コマンドプロンプトが無効になり、潜在的に有害なスクリプトの実行を防ぐことができます。
ステップ17:スクリプトスキャンを有効にする
「コンピューターの構成」>「管理用テンプレート」>「Windowsコンポーネント」>「Microsoft Defenderウイルス対策」>「リアルタイム保護」に移動します。有効にすると、すべてのスクリプトがマルウェアスキャンされ、保護層が追加されます。
ステップ18:ファイアウォールの例外を無効にする
「コンピューターの構成」>「管理用テンプレート」>「ネットワーク」>「ネットワーク接続」>「Windows Defenderファイアウォール」に移動します。この設定を有効にすると、不要な受信または送信ネットワークトラフィックを防止できます。
まとめ
このガイドでは、Windows 10 および 11 のセキュリティを強化するためのグループ ポリシー設定の包括的なリストを示します。これらの設定を実装することで、ユーザーは、許可されていないソフトウェア、弱いパスワード、ネットワークの脆弱性に関連するリスクを大幅に軽減できます。
結論
グループポリシー設定を理解し、活用することは、コンピュータのセキュリティ維持に不可欠です。これらの設定を定期的に確認し、更新することで、潜在的な脅威に先手を打つことができ、個人使用と業務使用の両方においてより安全な環境を実現できます。
FAQ(よくある質問)
GPO を構成するための 3 つのベスト プラクティスは何ですか?
十分な理解なしに設定を調整することは避け、ファイアウォール設定をむやみに有効化または無効化しないでください。また、変更があった場合は必ず手動で強制的に更新してください。
どのグループ ポリシー設定を優先する必要がありますか?
パスワードの複雑さやアクセス制限など、セキュリティに直接影響する設定に重点を置き、不正な変更も定期的に監視します。