IT 管理者であっても、Windows PC のセキュリティを強化したいと考えている一般ユーザーであっても、グループ ポリシー エディターのこれらの変更により、PC のセキュリティが強化されます。
気づいた: グループ ポリシー エディターは Windows Home バージョンでは使用できません。 Windows Pro または Enterprise を使用する必要があります。
グループ ポリシー エディターを開くには、次の手順を実行します。
- キーを押してくださいWindows + R開く実行する。
- コマンドを入力しますgpedit.mscそして押しますメインディッシュ。
安全なユーザー アカウント制御 (UAC)
UAC は、PC への不正な変更を防止する Windows セキュリティ機能です。グループ ポリシー エディターには、UAC の動作を制御するための多くの設定が用意されています。
- グループ ポリシー エディターで、次の場所に移動します。
Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
セキュリティを向上させるために、下にスクロールして、以下に示すように各オプションのポリシー設定を調整します。
- ユーザーアカウント制御: ビルトイン管理者アカウントの管理者承認モード: 有効
- ユーザー アカウント制御: 安全なデスクトップを使用せずに UIAccess アプリケーションが昇格を要求できるようにする: 無効
- ユーザー アカウント制御: 承認モードの管理者に対する昇格プロンプトの動作 管理者: 同意リクエスト
- ユーザー アカウント制御: 標準ユーザーの昇格プロンプトの動作: 資格情報の要求
- ユーザー アカウント制御: アプリのインストールを検出し、昇格を要求: 有効
- ユーザー アカウント制御: 署名および検証された実行可能ファイルのみを昇格: 有効
- ユーザー アカウント制御: インストールされている UIAccess アプリのみを安全な場所に昇格: 有効
- ユーザー アカウント制御: 管理者承認モードで管理者アカウントを実行: 有効
- ユーザー アカウント制御: 昇格を要求するときに安全なデスクトップに切り替える: 有効
- ユーザー アカウント制御: ユーザー定義の場所へのファイルとレジストリの書き込みエラーを仮想化: 有効
上記の変更を適用した後は、UAC プロンプトをより頻繁に承認し、場合によっては資格情報を提供する必要がありますが、これによりコンピューター全体のセキュリティが向上します。
安全なパスワード
デフォルトでは、Windows のユーザー アカウントのパスワード要件はかなり緩和されています。ローカル グループ ポリシー エディターを使用すると、パスワードのセキュリティを確保するルールを適用できます。
次の場所に移動します:
Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies de compte -> Stratégie de mot de passe
次のルールを次のように調整します。
- パスワード履歴の保持: 8 件以上
- パスワードの最大有効期間: 30 ~ 60 日
- パスワードの最小長: 12 以上
- パスワードは複雑さの要件を満たす必要があります: 有効
ゲストアカウントを無効にする
Windows ゲスト アカウントはデフォルトで無効になっていますが、誰かが別の方法を使用してゲスト アカウントを有効にし、機密データにアクセスする可能性があります。ゲスト アカウントを使用すると、誰でもあなたの PC に自由にアクセスできます。アクセスは制限されていますが、マルウェアによって悪用されたり、誤ってEveryone グループとデータを共有したりする可能性があります。グループ エディター ポリシーで完全に無効にすることをお勧めします。
次の場所に移動します:
Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
- アカウント: ゲストアカウントのステータス: 無効
アカウント監査ポリシーを有効にする
グループ ポリシー エディターでアカウント監査を有効にして、ファイルの変更、セキュリティ設定の変更、ログイン試行などの重要なセキュリティ情報を記録します。この情報を使用して、コンピュータへの変更を追跡し、ユーザー以外による不正なアクセスや構成がないことを確認できます。
グループ ポリシー エディターで、次の場所に移動します。
Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Stratégie d'audit
- これらすべてのオプションで、合格および不合格の監査を有効にします。
生成されたログは Windows イベント ビューアで表示できます。
- タイプ "イベントビューア» Windows 検索でクリックします。イベントビューア。
- に行くWindows ログ -> セキュリティログを表示します。
コンピュータのシャットダウン時に仮想メモリをクリアする
pagefile.sys ファイル (仮想メモリ) は、PC が適切に機能するために必要です。ただし、データの断片的な記録が保持されるため、適切なアクセス権とツールを持つ誰かによって盗まれる可能性があります。リスクを負いたくない場合は、コンピュータの電源を切るときに自動的に削除してください。
次の場所に移動します:
Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
- シャットダウン: 仮想メモリのクリア ページ ページ ファイル: 有効
このポリシーを有効にすると、コンピュータのシャットダウン プロセスが多少遅れることに注意してください。
アカウントロック設定を管理する
不正なアクセス試行を防ぐために、Windows には、複数回不正なログイン試行が行われた後にアカウントをロックするアカウント ロックアウト ポリシーがあります。ただし、このポリシーは少し緩いので、セキュリティのニーズに合わせてグループ ポリシー エディターでポリシーを調整することをお勧めします。
ロック ポリシーにアクセスするには、次の場所に移動します。
Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies de compte -> Stratégie de verrouillage du compte
変更するロック ポリシーが 4 つあります。必要に応じて編集してください。以下の推奨値は、強力な保護とスムーズなユーザー エクスペリエンスのバランスをとることを目的としています。
- アカウントのロックアウト期間: 30 分
- アカウント ロックアウトのしきい値: 3 回の無効なログイン試行
- 管理者アカウントのロックを許可する: 有効
- アカウント ロックアウト タイマーのリセット時間: 30 分
結論
これらすべてのグループ ポリシー設定により、いくつかの追加の確認 (タスク マネージャーを開くための UAC プロンプトなど) が発生する可能性がありますが、セキュリティの向上は多少の不便さを上回ります。変更に満足できない場合は、グループ ポリシー エディターをリセットできます。
