|
|
Windows NTのデフォルトでは、ベースオブジェクトに対しては厳しいセキュリティ設定が行われていません。ベースオブジェクトの例の一つとしては、パフォーマンス向上などの理由から、仮想記憶上で共有しているシステム関連のDLLファイルへのポインタを示している「KnownDLLs リスト」のようなものがあります。(KnownDLLs リストはサービスパック 5 以降、セキュリティ設定が厳しく設定されるように変更されています)
ベースシステムオブジェクトに対して厳しいセキュリティを設定するには、以下の設定を行う必要があります。
*レジストリを編集する前には、必ずバックアップを行ってください。
「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。
| Key | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager |
| Name | ProtectionMode |
| Type | REG_DWORD |
| Value | 1 |
ベースシステムオブジェクトに厳しいセキュリティを設定するには、値に「1」を設定します。
「ローカルポリシー」の中の「セキュリティオプション」で、以下を「有効」に設定します。
COM1などの共有資源の管理を制限する
ベースシステムオブジェクトの保護(ProtectionMode = 1)は、Windows NTリソースキットに付属する C2config.exe において、「Drive Letters & Printers」をチェックすることでも可能です。