Windowsを制御するために微調整する必要がある最適なグループポリシー設定

セキュリティをより細かく制御したり、Microsoftが投げかけるいくつかの機能を無効にしたりして、Windowsの動作を変更したい場合は、グループポリシー設定を微調整することで変更できます。はい、レジストリエディタからも同じことができますが、レジストリとは異なり、グループポリシーには、Windowsの更新後にグループポリシーが変更されないなど、いくつかの利点があります。最も重要なことは、システムでローカルにグループポリシーを構成するか、ドメイン内の複数のシステムに適用するようにActiveDirectoryを作成することです。したがって、これはWindowsコンピューターを実行しているオフィスや学校で特に役立ちます。

最適なグループポリシー設定

始める前に、グループポリシーは、ネイティブOS設定、カーネル設定などを編集できるグラフィカルツールであることを理解しましょう。ただし、グループポリシーを間違った方法で調整すると、OSが誤動作する可能性もあります。したがって、変更を加える場合は、変更を加える前に必ずリストをエクスポートしてください。

グループポリシーにアクセスする方法

グループポリシーの最大の注意点の1つは、Windows Professional、Education、またはEnterpriseバージョンを実行しているコンピューターでのみ使用できることです。Windows Homeを実行している場合でも、グループポリシーにアクセスできますが、回避策はほとんどありません。これについては、以下で説明します。

グループポリシーにアクセスするには、複数の方法があります。最も簡単な方法の1つは、コマンドプロンプトを開き、「gpedit.msc」と入力してEnterキーを押すことです。 

グループポリシーはWindowsHomeエディションの一部ではありませんが、それにアクセスする方法はまだあります。このバッチファイルをダウンロードして、サードパーティのグループポリシーエディターをインストールするだけです。管理者として開くと、コマンドプロンプトでインストールが開始されます。インストールには約2〜3分かかります。プロセスが完了したら、コマンドプロンプトを再度開き、gpedit.mscと入力してアクセスします。

1.ソフトウェアのインストールを無効にします

ユーザーがさまざまなソフトウェアをインストールできないようにすることで、マルウェアの潜在的な理由の1つでもあるため、何か悪いものがインストールされたときに必要なメンテナンスとクリーニングの量を減らすことができます。これは、生徒が必要なものだけにアクセスできるようにする学校で特に役立ちます。

ユーザーによるプログラムのインストールまたは実行を制限する場合は、[グループポリシー]> [コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [Windowsインストーラー]を開き、[ Windowsインストーラーをオフにする]オプションをダブルクリックして設定できます。設定を有効に変更し、オプションに「管理対象外のアプリケーションのみ」と表示されていることを確認して、管理者が許可するすべてのアプリをインストールできるようにします。次に、[適用]をクリックしてコンピューターを再起動し、変更を加えます。

特定のアプリケーションを実行するためのブロック 

インストールするすべてのアプリをブロックすることは、多くの状況でやり過ぎです。必要なのがほんの数個のアプリをブロックすることだけである場合は、グループポリシーにこれらの変更を加えることができます。

[グループポリシー]> [ユーザーの構成]> [管理用テンプレート]> [システム]を開き、[指定したWindowsアプリケーションを実行しない ]オプションをダブルクリック します。設定を有効に変更し、表示ボタンをクリックします。これで、ユーザーに対してブロックするアプリのリストを入力して、[OK]をクリックできます。次に、[適用]をクリックし、システムを再起動して設定を適用します。

2.コントロールパネルへのアクセスをブロックします

コントロールパネルはシステム全体を制御できるため、主にビジネス環境でコントロールパネルに制限を設定することが重要です。アクセス全体をブロックするか、アクセスを制限することができます。

アクセスをブロックするには、[グループポリシー]> [ユーザーの構成]> [管理用テンプレート]> [コントロールパネル  ]を開き、[コントロールパネルとPCの設定へのアクセスを禁止する]をダブルクリックし 、[有効にして適用]をクリックします。そして、変更はすぐに適用されます。

特定のコントロールパネルの項目のみを表示する 

上記のプロセスは、コントロールパネル全体へのアクセスをブロックします。ただし、使用を制限したい場合。これを行うには、[グループポリシー]> [ユーザーの構成]> [管理用テンプレート]> [コントロールパネル  ]を開き、[指定したコントロールパネルの項目のみを表示する ]をダブルクリックして、[有効にする]をクリックします。次に、[表示]オプションをクリックして、表示する各コントロールパネルオプションを指定します。このリストにない場合、ユーザーには表示されません。

つまり、含める各コントロールパネルアイテムを慎重に選択して入力する必要があります。すべてのコントロールパネルアイテムの名前は 、MicrosoftのWebサイトにあります。

3.コマンドプロンプトを無効にする

コマンドプロンプトは間違いなく非常に便利であり、同時に、ユーザーが意図しないコマンドやプログラムを実行する機会を与えるという悪夢でもあります。また、経験の浅い人にとっては危険なツールになる可能性もあります。コマンドプロンプトを無効にする理由はたくさんあります。家族のコンピューターを共有している子供がいる場合や、ゲストが一緒にいるときにコンピューターを使用できるようにしている場合があります。または、ビジネスコンピュータを実行している場合は、それをロックする必要があります。

無効にするには、[グループポリシー]> [ユーザーの構成]> [管理用テンプレート]> [システム]を開き、[コマンドプロンプトへのアクセスを禁止する]オプションをダブルクリックします。ポリシーを変更して有効にし、適用します。ここで、変更を適用するために再起動する必要があります。

4.Windowsレジストリエディタを無効にします

コマンドプロンプトと同じように、レジストリエディタは問題を解決し、いくつかのグループポリシーの制限を回避することもできます。したがって、ポリシーを保護するには、[グループポリシー]> [ユーザー構成]> [管理用テンプレート]> [システム]を開き、[レジストリ編集ツールへのアクセスを禁止する]をダブルクリックして有効にします。次に、[適用]をクリックし、PCを再起動して変更を適用します。

5.リムーバブルメディアドライバーをブロックする

USBまたは他の形式のリムーバブルメディアデバイスは、PCにとって危険な場合があります。誰かが誤ってまたは故意にウイルスに感染したストレージデバイスに接続すると、PCまたはドメインにさえ影響を与える可能性があります。多くのコンピューターを実行している場合、メディアドライバーを許可すると、ストレージの管理が困難になります。リムーバブルメディアドライバーのブロックは、多くの学校や大学で一般的に使用されています。

メディアドライバーをブロックするには、[グループポリシー]> [ユーザーの構成]> [管理用テンプレート]> [システム]> [リムーバブルストレージアクセス]を開き、[リムーバブルディスク：読み取りアクセスを拒否する]をダブルクリックします。次に、有効化オプションをクリックし、適用してPCを停止して外部ドライバーを読み取ります。

書き込みオプションのブロック 

上記のオプションは、PCが外部デバイスのファイルを読み取らないようにするだけです。ただし、ファイルを外部デバイスにコピーすることはできます。ファイルを保護したい場合は、書き込みオプションもブロックする必要があります。これは通常、ビジネス環境で実装されます。

書き込みオプションをブロックするには、[グループポリシー]> [ユーザー構成]> [管理用テンプレート]> [システム]> [リムーバブルストレージアクセス]を開き、[リムーバブルディスク：書き込みアクセスを拒否する]をダブルクリックします。次に、オプションを有効にし、[適用]を選択して変更を適用します。

または、すべてのリムーバブルストレージクラスを使用することもできます。すべてのアクセスを拒否して、読み取りオプションと書き込みオプションの両方を同時にブロックします。

6.コンピュータからパーティションドライブを非表示にします

システムに機密情報がある場合は、特定のユーザーから情報を隠してアクセスすることをお勧めします。これは、グループポリシー設定から実行できます。ただし、この設定ではファイルエクスプローラーや他のいくつかのアプリからのみ非表示になりますが、ユーザーはコマンドプロンプトからアクセスできます。

とにかく、[グループポリシー]> [ユーザーの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [Windowsエクスプローラー]を開き、[マイコンピューターでこれらの指定したドライブを非表示にする]をダブルクリックして、有効化オプションを選択すると、非表示にできます。有効にしたら、[オプション]パネルのドロップダウンメニューをクリックして、非表示にするドライブを選択します。[OK]をクリックすると、ドライブが非表示になります。

7.パスワードの最小長を増やします

デフォルトのWindowsパスワードの長さは8であり、少なくとも1つの大文字、小文字、数字または特殊文字を使用する必要があります。それは実際には十分に保護されています。ただし、パスワードの長さを増やすことでセキュリティを向上させることができます。大文字、小文字、数字または特殊文字を使用して、14まで設定できます。

これを変更するには、[グループポリシー]> [コンピューターの構成]> [Windowsの設定]> [セキュリティの設定]> [アカウントポリシー]> [パスワードポリシー]を開き、[パスワードの最小の長さのポリシー]をダブルクリックし、長さの値を指定して、をクリックして適用します。

8.アカウントのログインを追跡する

グループポリシーを使用すると、WindowsにPCへのすべての成功および失敗したログインを追跡させることができます。特定のコンピューターまたは特定のユーザーに設定できます。とにかく、これはログインしようとしている許可されていない人を追跡するのに役立ちます。これを有効にするには、[グループポリシー]> [コンピューターの構成]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [監査ポリシー]を開き、[ログオンイベントの監査 ]をダブルタップします。

ここで、 「成功」 および 「失敗」オプションの横にあるチェックボックスをオンにし ます。[OK]をクリックすると、WindowsはPCへのログインの記録の保持を開始します。

これらのログインを表示するには、[実行]を開き、 eventvwrと入力してWindowsイベントビューアを開きます。次に、 Windowsログを展開し、 [セキュリティ]オプションを選択し ます。中央のパネルでは、すべてのログイン試行を確認できます。ログインしようとしたアカウント、日付、および時刻を確認できます。しかし、成功と失敗の試みはコードでの言及です。

9.OneDriveを無効にします

OneDriveが好きかもしれませんし、まったく嫌いかもしれません。あなたまたはあなたの組織がOneDriveを使用していない場合、または単にPCから削除したい場合は、グループポリシーを使用できます。[グループポリシー]> [コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [OneDrive ]を開き、[ファイルストレージにOneDriveが使用されないようにする]をダブルクリックします。次に、それを有効にして、[適用]をクリックします。変更のためにPCを再起動する必要があります。

10.グループポリシーの変更を管理する

とにかく、これらの変更は、同じ方法でグループポリシーを使用することで通常に戻すことができますが、無効に戻すように設定します。グループポリシーオブジェクト監査を使用して、グループポリシーを引き続き管理できます。グループポリシーオブジェクトで行われた変更を継続的に追跡するには、  Lepide ChangeReporterを試してください。

まとめ

グループポリシー設定の調整が完了したら、ドメイン内のすべてのPCのディレクトリを設定できるActiveDirectoryのコンピューターグループに設定を移動 する必要があります。個々のユーザーまたはコンピューターに対してのみ特定のグループポリシーを設定 することもできます。これで、ActiveDirectoryからグループポリシーをダウンロードして適用するだけです。Active Directoryへの変更は、個々のシステムに自動的に適用されます。