◇ セキュリティ対策1:管理者権限とユーザー権限の設定
これはまだ初歩です。まずはユーザー権限と管理者権限を分離します。可能であれば、データのバックアップ(Google Driveや外付けHDDでも構いませんので)をしてクリーンインストールを推奨します。
新規のPC名の設定時にはユニークな名前を付与しましょう。例えば「JND-2941-C-310」などは、コンピューター名の隠匿に非常に有効です。次に”捨てる前提”の管理者アカウントをマイクロソフトアカウントに紐づけて設定します。
その後、初期設定が完了したら、コンピューターの設定から管理者用アカウント(例えば”PrivilegedUser”など)を作成します。この際、マイクロソフトアカウントとの連携は不要です。作成が完了した後も、後述する作業をそのまま連携中のアカウントで進めていきます。
◇ 一般ユーザーの厳格化
後述するAppLockerの設定の前に、一般ユーザーをすべて制限を適用するグループへ追加します。命名規則は特にありませんが、私の場合は”nobody”というグループを作成し、追加しました。
コマンドプロンプトを管理者権限で起動し、「compmgmt」と入力するとコンピューターの管理が立ち上がります。「ローカルユーザーとグループ」―「グループ」と辿り、新しいグループを作成します。グループを作成したら、管理者権限を持たせないアカウントをすべて入れます。私の場合は「011」が普段の作業用アカウント。「guest」がもし他人にPCを触らせる際に使用させるアカウントだったため、RDP(リモートデスクトップ接続)などで使われるGuestも含めて3アカウントをnobody下に置きました。
◇ ユーザーアカウント制御の厳格化
ユーザーアカウント制御の厳格化は次のように行います。管理者権限で実行したコマンドプロンプトで、”regedit”と入力して実行します。
レジストリエディタで「[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]」へアクセスし、次の値を有効にしてください。
“ConsentPromptBehaviorAdmin”=dword:00000001
“ConsentPromptBehaviorUser”=dword:00000001
“EnableLUA”=dword:00000001
“PromptOnSecureDesktop”=dword:00000001
| ポリシー名 | 推奨設定 |
|---|---|
| 管理者承認モードでの管理者の昇格のプロンプトの動作 | 常に確認する(プロンプト) |
| 標準ユーザーの昇格のプロンプトの動作 | ユーザー名とパスワードの入力 |
| 管理者承認モードをすべての管理者に適用する | 有効 |
| ユーザーアカウント制御: 管理者承認モードでの昇格時にセキュリティで保護されたデスクトップを切り替える | 有効(推奨) |
これにより
- 一般ユーザーに考える時間を与える(パスワード入力が必須になる)
- 管理者であってもパスワード入力が必須になる(「はい」癖の脱却)
- UACのセキュア化(仮想デスクトップ保護)
が期待されます。しかしながら、まだWindowsPowerShellの穴は残ったままなので、これを潰す必要があります。
◇ AppLockerの設定
AppLockerは元々、Windows Serverなど限られたエディションでしか使えなかったアプリケーションの制御機能です。元々は企業向けのシステム制限機能でしたが、Windows11以降からはHOMEを除くエディションで使用可能です。先に挙げたように、一般ユーザーには特定のコマンドを実行させない、使用させないなどの制限を実施することで、システムの破壊やマルウェアの感染を事前に防ぐことができます。
タスクマネージャーでAppidsvcが有効になっていれば使用可能です。もし停止中になっている場合は、管理者権限でWindowsPowerShellを立ち上げ、「sc.exe config appidsvc start=auto」と実行することで有効化できます。
設定項目は多岐に及ぶため、ここで防いでおくべきコマンドとその理由を書いておきます。