成マネージャ)につ
|
|
SCM(セキュリティ構成マネージャ)は、サービスパック4以降から提供されているツールです。SCM を利用するには事前に SCM をインストールしておく必要があります。
SCM のインストールを行うには、サービスパックの CD-ROM の MSSCE フォルダにある、各プラットホーム用のフォルダ(例 : I386) に含まれている MSSCE.EXE を実行します。
SCM を実際に利用するには、MMC(Microsoft 管理コンソール)を起動し、「コンソール」メニューから、「スナップインの追加と削除」を選択し、追加ボタンを押すことで表示される「スタンドアロン スナップインの追加」ウィンドウから「セキュリティ構成マネージャ」を選択し、OK を押します。これで、MMC セキュリティ構成のスナップインが追加され、ポリシーの設定ができるようになります。
SCM がインストールされると、WINNT\Security\Templates に以下の10個のファイルが作成されます。
構成ファイル |
セキュリティ レベル |
プラットフォーム |
| Basicwk.inf | 基本構成 | NT4 Workstation |
| Basicsv.inf | 基本構成 | NT4 Server |
| Basicdc.inf | 基本構成 | NT4 ドメイン コントローラ |
| Compws4.inf | 互換構成 | NT4 Workstation/Server |
| Compdc4.inf | 互換構成 | NT4 ドメイン コントローラ |
| Securws4.inf | セキュリティ構成 | NT4 Workstation/Server |
| Securdc4.inf | セキュリティ構成 | NT4 ドメイン コントローラ |
| Hisecws4.inf | より強力なセキュリティ構成 | NT4 Workstation/Server |
| Hisecdc4.inf | より強力なセキュリティ構成 | NT4 ドメイン コントローラ |
| Off97SR1.inf | 互換構成に追加して使用 | NT4 Workstation/Server |
これらのテンプレートを利用することで、目的に応じたセキュリティ設定を施すことが可能です。
これらのファイルのうち、securws4.inf では、以下のレジストリキーに Power Users(PU) に対して書き込みを許可しており、プロファイルのセキュリティ上危険があります。テンプレートから ProfileList の行を探し、Power Users の権限を削除する必要があります。
"MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList",2,"D:P(A;CI;GR;;;AU)(A;CI;GA;;;DA)(A;CI;GA;;;SY)(A;CI;GA;;;CO)(A;CI;GRGW;;;PU)"
上記ラインから、最後の "(A;CI;GRGW;;;PU)" を削除します。