79. ③ RDP 接続の認証情報保護 (Restricted Admin mode)
利用可能 OS Windows 7 以降, Windows Serer 2008 R2 以降 (マイクロソフト セキュリティ アドバイ
ザリ 2871997)
Remote Desktop service (RDP Session Host) : Windows 8.1, Windows Server 2012
R2 以降
AD 要件 なし
機能 RDP 接続において、資格情報を接続先(RDP Session Host) へ渡さないようにする
効果 侵害にあっている端末へ接続をしてくるユーザーの資格情報を盗まれないようにする
注意事項 NTLM 認証、Kerberos 認証における資格情報保護
接続先の端末で管理者権限を保持している必要がある
設定方法 2973351 および 297562を適用
HKLM¥System¥CurrentControlSet¥Control¥Lsa
DisableRestrictedAdmin
DisableRestrictedAdminOutboundCreds
関連情報 マイクロソフト セキュリティ アドバイザリ 2871997
https://technet.microsoft.com/ja-jp/library/security/2871997.aspx
サポート技術情報 2871997 https://support.microsoft.com/kb/2871997
79
80. ③ Protected Users グループ
利用可能 OS Windows 7 以降, Windows Serer 2008 R2 以降
AD 要件 Windows Server 2012 R2 ドメイン機能レベル (すべてのDCがWindows Server
2012R2)
機能 Protected Users セキュリティグループが利用可能
(Kerberos 認証のみ、キャッシュログオン、DES, RC4 の禁止, Delegation 禁止、チケッ
ト有効期限 4 時間)
効果 より強力なセキュリティポリシーを設定するグループを設定することで、管理を容易にし高
いセキュリティを保つことができる
注意事項 常にKerberos 認証を必要とする (NTLM, キャッシュログオン不可)
すでに侵害されている端末に対するログオンに対してはほかの機能を併用し保護する必要が
ある
設定方法 Protected Users グローバル セキュリティ グループに管理者アカウントを追加する
関連情報 Protected Users セキュリティ グループ
https://technet.microsoft.com/ja-jp/library/dn466518(v=ws.11).aspx
80
81. 利用可能 OS Windows 8.1 / Windows Server 2012 R2 以降
AD 要件 Windows Server 2012 R2 ドメイン機能レベル (すべてのDCがWindows Server
2012R2)
機能 より強力なKerberos 認証ポリシーを行う
効果 より強力なセキュリティポリシー適用することで高い管理者権限を持つユーザーを保護し管
理しやすくする
注意事項 Kerberos 認証を必要とする (NTLMは対象外)
ドメイン全体の認証に影響するためDC へのポリシー適用を避ける必要がある
設定方法 ポリシーを定義し、対象のユーザー、コンピューター、サービスアカウントへ適用する
関連情報 認証ポリシーと認証ポリシー サイロ
https://technet.microsoft.com/ja-jp/library/dn486813(v=ws.11).aspx
81