重要なアカウントおよびサービス アカウントをセキュリティ保護する
公開日: 2006年12月25日
ダウンロード
『重要なアカウントおよびサービス アカウントをセキュリティ保護する』(英語) をダウンロードする
トピック
はじめに
中規模ビジネス ネットワークをセキュリティ保護するための第 1 歩は、攻撃者が利用する可能性が高い脆弱性が何かを理解することです。 ネットワークに侵入した攻撃者の主な作業は特権の昇格を開始することであり、これにより攻撃者は侵入場所を足掛かりに、さらに多くのアクセス権を取得しようとします。 特権の昇格が成功してしまうと、攻撃してきた侵入者を食い止める手段はほとんどありません。 特権の昇格を行うために攻撃者が利用するメカニズムは多数存在しますが、主要な方法は既存のアカウント、特に管理者特権に相当するアカウントに攻撃を仕掛けることです。
中規模ビジネス ネットワークでは、標準のユーザー アカウントに何らかのセキュリティ管理の手段を採用することがよくありますが、サービス アカウントを十分に管理しない場合が多いため、このようなアカウントは脆弱性の影響を受け、攻撃者の標的となります。 攻撃者がネットワークを攻撃して、高い特権を持つ重要なアカウントがセキュリティ侵害されると、ネットワーク全体を最初から完全に再構築しない限り、完全に信頼することはできなくなります。 このため、あらゆる種類のアカウントに対するセキュリティのレベルは、どのようなネットワーク セキュリティ イニシアチブでも非常に重要な側面となっています。
中規模ビジネス ネットワークに対して外部の脅威がもたらすリスクに加えて、内部の脅威も大きな被害の原因となる場合があります。 内部の脅威には、悪意のあるユーザーだけでなく、意図せずに被害をもたらすユーザーも含まれます。 リソースにアクセスしようとするユーザーがセキュリティ対策を回避しようとする、一見無害な試みも 1 つの例です。 利便性を理由に、ユーザーやサービスに必要以上の特権に対するアクセス権を認めてしまうことがよくあります。 このアプローチでは、確かにユーザーは業務に必要なリソースにアクセスできますが、ネットワークへの攻撃が成功するリスクも増加します。
要点
導入の章で述べたとおり、ネットワークですべての種類のアカウントに対してセキュリティを管理する問題は、中規模ビジネス ネットワークでリスクを管理する上で非常に重要です。 まず、内部および外部の脅威を考慮する必要があり、さらにこれらの脅威に対処する、セキュリティと組織のネットワーク リソース使用の利便性のバランスの取れたソリューションが中規模ビジネスには必要とされます。
この文書は、中規模ビジネスの従業員が、管理者、サービス、アプリケーション関係および既定の各アカウントに関連するリスクが理解できるようにサポートします。 次に、こうしたリスクを軽減するために中規模ビジネスで採用できる工程を開発し、導入する基盤となる背景を説明します。 そのためには、これらのアカウントの性質、識別方法、機能するために求められる適切なアクセス許可の決定方法、および昇格したサービス アカウントや管理者レベル アカウントに内在するリスクを軽減する方法を検討する必要があります。
マイクロソフトの「信頼できるコンピューティング」イニシアチブの一環として、Microsoft® Windows Server™ 2003 では、既定の設定で多数のさまざまな脅威に対して、Active Directory® ディレクトリ サービスをセキュリティ保護するように設計されていますが、中規模ビジネス ネットワーク環境では、セキュリティのレベルを高めるために、管理者アカウントの設定をさらに強化することができます。 また、他のアプリケーションにインストールされた Windows Server 2003 オペレーティング システムで提供されないサービスも同様にセキュリティ保護する必要があります。 この文書では、管理者特権の導入と管理の方法を制御するためのベスト プラクティスに加え、こうしたアカウントおよびサービスをセキュリティ保護する方法についても説明します。
概要
この文書は主に 4 つのセクションで構成されています。それぞれのセクションは、中規模ビジネス環境で管理者アカウントおよびサービス アカウントをセキュリティ保護することに関する情報を提供しています。 最初のセクションは、現在お読みになっている「はじめに」です。 後の 3 つのセクションは、次のように構成されています。
定義。 このセクションでは、この文書で使用されている専門用語の背景情報と詳細について説明します。
課題。 このセクションでは、アカウントをセキュリティ保護する必要がある理由、および管理者アカウントおよびサービス アカウントのセキュリティ保護に関連する問題を決定する際に、中規模ビジネスが直面する可能性がある共通の問題について説明します。
ソリューション。 このセクションは、3 つのサブセクションに分かれており、中規模ビジネスで重要なアカウントおよびサービス アカウントをセキュリティ保護するためのアプローチの各段階を説明しています。 サブセクションには、次のようなものがあります。
評価。 このサブセクションでは、重要なアカウントおよびサービス アカウントをセキュリティ保護することについての基本的な考え方を説明し、ソリューションの計画を立てるための基礎を据えます。
開発。 このサブセクションでは、「評価」サブセクションで検討した情報に基づいて、重要なアカウントおよびサービス アカウントのセキュリティを強化する計画の立案をサポートするソリューションを説明します。
展開と管理。 このサブセクションでは、中規模のビジネス環境でセキュリティ保護された管理者アカウントおよびサービス アカウントを実装するための推奨方法を説明します。
対象読者
この技術文書は、Microsoft ネットワーク上のサービス、アプリケーション、および管理者レベルの各アカウントのセキュリティについて懸念を抱いている技術の専門家および技術管理者をサポートすることを目的としています。 専門知識を持たない読者の方でも、この文書を読むことで、セキュリティの高いアカウント管理の原則について理解を深めることができますが、この文書で説明する題材について完全に理解し、応用するためには、Microsoft Windows® および Active Directory アカウント管理の概念および手順を理解している必要があります。
定義
このセクションでは、この文書で使用する多数の用語のうち、説明が必要と思われるものの定義を示します。
サービス。 サービスとは、起動時に動作する実行可能ファイル、またはその他のイベントやスケジュールされたインスタンスにより開始される実行可能ファイルです。 サービスは通常、ユーザーへの確認やユーザー入力がほとんど必要とされず、バックグラウンドで動作します。
サービス アカウント。 簡単に言うと、サービス アカウントは、通常、実在のユーザーに対応しない任意のアカウントと表されます。 アクティビティを実行するために必要なリソースにアクセスするためにサービスが使用するビルトイン アカウントである場合もあります。 ただし、サービスには、特定の機能を実行するために実在のユーザー アカウントが必要なものもあり、多くのビジネスでは、サービスを実行するためにドメイン アカウントを使用する習慣が続いています。
管理者アカウント。 新しくインストールした Microsoft Windows や Active Directory ドメインには、既定で作成された Administrator アカウントがありますが、管理者アカウントという用語は、管理者レベルの特権を許可された任意のアカウントを表すために一般的な意味で使用される場合もあります。 この文書では、混乱を避けるため、両者を区別します。
管理グループ。 これらのグループは、インストールされているサービスにより異なりますが、Builtin コンテナと Users コンテナで自動的に作成されたグループが含まれます。 こうしたグループには、作成されて管理者特権を許可されたグループも含まれます。
重要なアカウント。 この文書では、高いレベルの特権があるため、または広範囲に使用されるために、高いリスクの原因となると考えられる既定のアカウントを表すために、「重要なアカウント」という用語を使用します。
制限付きアカウント。 制限付きアカウントとは、管理グループのメンバではなく、ローカルまたはドメインの管理者アカウントに相当する、昇格された特権を持たないアカウントです。 通常、制限付きアカウントは、Domain Users グループまたはローカルの Users グループのメンバです。
必要最小限の特権の原則。 米国国防総省の『Trusted Computer System Evaluation Criteria (DOD-5200.28-STD)』または『オレンジブック』は、コンピュータ セキュリティで標準として認められています。 この出版物では、最小限の特権の原則を、「システム内の各人に、承認済みタスクの実行に必要な一連の特権を最大限に制限 (または最小限に認可) して許可することとする原則。 この原則を適用することにより、事故、過失、または承認されない使用による損害を制限します」と定義しています。
課題
前のセクションで説明したとおり、セキュリティ保護されていない管理者レベル アカウントおよびサービス アカウントは、中規模ビジネス ネットワークのセキュリティに重大なリスクをもたらします。 ネットワーク環境の複雑さと多くのビジネス ネットワークが経験している急速な成長のため、重大な脆弱性を持つアカウント管理の習慣を目にするのは珍しいことではありません。 これらの要素が、ネットワークで実行されている重要なアカウントやサービスのセキュリティ保護が膨大なタスクになってしまっている原因になっています。
こうしたセキュリティ上の懸念に対応する方法を検討してみると、中規模ビジネスが直面する共通の問題には次のようなものがあることがわかります。
アカウント管理および手順を回避しようとする従業員に関連した内外の脅威からどのようにネットワークを保護するか。
ネットワークおよびローカル コンピュータで使用されているすべてのサービスおよびアプリケーション アカウントをどのように識別するか。
機密性の高いサービス、管理者、およびアプリケーションに関係したアカウントをどのようにセキュリティ保護するか。
サービスおよびアプリケーションと関連付けられたアカウントをどのように特定するか。
サービス アカウントをユーザー アカウントのパスワード ポリシーからどのように分離するか。
ソリューション
この文書に記載されたソリューションは、サービス アカウント、管理者アカウント、および重要なアカウントを管理するための最小特権の原則および特権が最も低いユーザー アカウント (LUA) のアプローチに従っています。
必要最小限の特権の原則は、ほとんどのセキュリティ関連のトレーニングや文書で触れられています。 この原則は比較的容易に理解できるうえ、実施すれば、どのような形態のビジネスにも、大幅なビジネスのセキュリティ プロファイルの向上をもたらします。 簡単に言うと、この原則の内容は、すべてのアカウントには、現在のタスクの完了に必要な特権以外には何もない最小限の特権のみを付与する、というものです。 この原則は、ユーザーだけでなく、コンピュータやコンピュータ上で実行されるサービスにも適用されます。
このような原則に従うことは、悪意のある攻撃者やマルウェアに対する保護になるだけでなく、技術専門家がユーザー、コンピュータ、およびアプリケーションに必要なアクセス特権を特定するための広範な調査を行うことにより、セキュリティ侵害のセキュリティ プロファイルを向上することにもなります。 この情報を理解することで、セキュリティ保護されておらず、さらに保護が必要なプロセスや設定はどれかを知ることができるため、セキュリティ イニシアティブを成功させるための重要な工程となります。
たとえば、必要最小限の特権の原則に従えば、ドメイン管理者の役割を持つユーザーは、タスクの実行に必要な場合のみドメイン管理者レベルの特権でアクセスすることになります。 それ以外の場合で、高いレベルの特権を必要とするタスクを実行しないときには、管理者も通常のアクセス権があるアカウントを使用する必要があります。 こうした習慣は、人為的な過失に基づくセキュリティの脅威を削減し、万一管理ワークステーションがマルウェアに感染しても被害を抑えることができます。
評価
重要なアカウントおよびサービス アカウントをセキュリティ保護するには、これらのアカウントが何かを識別すると共に、関連した脅威を識別することも必要です。 ただし、これらのアカウントを変更することに伴う結果が理解されるようにして、ビジネスへの影響が許容範囲にとどまるようにすることも重要です。
管理者アカウントおよび重要なアカウント管理
管理者アカウントおよび重要なアカウント、または関連グループをセキュリティ保護するには、この基準に適合するアカウントおよびグループを知る必要があります。 また、管理者レベル特権の範囲、および、特にドメイン コントローラを管理する場合、どのシステムに影響するかを理解することも重要です。
このため、この文書を読む際には、管理対象となるすべてのドメイン コントローラとアカウントの知識と共に、環境内の管理者レベル アカウントについて詳細に理解していることが重要です。
管理者アカウントおよびグループ
Active Directory ネットワークの管理者レベル アカウントには、次のものがあります。
既定の Administrator アカウント。Active Directory をドメイン内の 1 台目のドメイン コントローラにインストールしたときに作成されます。 このアカウントはドメインで最も強力なアカウントで、作成時にはパスワードの設定が必要です。
後から作成されたアカウントで、管理者特権を直接許可されたもの、または管理グループに配置されたことにより管理者特権を付与されたもの。
Active Directory ドメイン内に作成される管理者グループは、ドメイン内にインストールしたサービスによって異なります。 基本的な Active Directory ドメインには、次のものがあります。
Builtin コンテナ内に自動的に作成される管理者グループ。
Users コンテナ内に自動的に作成される管理者グループ。
後から作成されたグループで、管理者特権があるグループに配置されたもの、または割り当てられた管理者特権を持つもの。
サービス管理者とデータ管理者
Windows Server 2003 Active Directory 環境には、 サービス管理者とデータ管理者の 2 つの種類の管理者特権があります。
サービス管理者アカウントは、ディレクトリ サービスのメンテナンスおよび配信を管理します。これには、ドメイン コントローラおよび Active Directory の管理が含まれます。
データ管理者アカウントは、ディレクトリ サービスに格納されたデータ、ドメインのメンバ サーバーおよびドメインのワークステーション上のデータを管理します。
任意の環境で個人が両方の役割を担当する場合もありますが、ここで対象としているサービス管理者である既定のアカウントおよびグループを理解することが重要です。 サービス管理者アカウントはネットワーク環境で非常に大きな特権を持つため、最も厳重な管理を必要とします。 これらのアカウントは、ディレクトリごとの設定、ソフトウェアのインストールとメンテナンス、オペレーティング システムのサービス パックの適用、ドメイン コントローラ上での更新などの作業を担当します。
表 1. 既定のサービス管理者グループ/アカウント
| 名前 | コンテナ | 説明 |
|---|---|---|
| Administrators | Builtin | このグループは、すべてのドメイン コントローラおよびドメインに含まれるすべてのディレクトリ コンテンツにフル アクセスできます。 このグループは最も強力なサービス管理者グループであり、他のすべての管理者グループのメンバシップを変更できます。 |
| Enterprise Admins | Users | このグループは、すべてのドメインの Administrators グループに自動的に追加され、すべてのドメイン コントローラ構成に対するアクセス権があります。 |
| Domain Admins | Users | このグループは、フォレスト内の各ドメインの Administrators グループに自動的に追加されます。 このため、Domain Admins は、すべてのドメイン コントローラとドメインのディレクトリに含まれるデータに対する特権があり、どの管理グループのメンバシップでも変更できます。 |
| Schema Admins | Users | このグループは、Active Directory スキーマに対して完全な管理者特権を保持します。 |
| Account Operators | Builtin | このグループは、ドメイン内のアカウントおよびグループを作成および管理する特権はありますが、サービス管理者アカウントを管理する特権はありません。 このグループには、既定ではメンバがないため、管理委任には使用しないことがベスト プラクティスです。 |
| Backup Operators | Builtin | このグループは、ドメイン コントローラ上でバックアップおよび復元操作を実行する特権を許可し、既定ではメンバがありません。 |
| Server Operators | Builtin | このグループは、ドメイン コントローラ上で保守タスクを実行でき、既定ではメンバがありません。 |
| DS Restore Mode Administrator | Active Directory 内には格納されない | このアカウントは Active Directory のインストール プロセスの間に作成されます。 このアカウントは、ドメイン コントローラをディレクトリ サービス復元モードで開始するときに使用します。Administrator アカウントとは異なりますが、ドメイン コントローラがディレクトリ サービス復元モードになっている場合は、フル アクセスできます。 |
| シナリオ | 説明 | リスク レベル |
|---|---|---|
| 1 | アカウント A は、サーバー 1 のサービスが利用しています。サーバー 1 がセキュリティ侵害されると、アカウント A の認証情報が知られてしまいます。 この情報が知られると、攻撃者は DC1 ドメイン コントローラにアクセスでき、そこからドメインにあるリソースと含まれる情報のすべてが脆弱性の影響を受けることになります。 この状況は、重大なリスクのシナリオをもたらします。 ドメインまたはドメイン コントローラに対して管理者相当の特権を持つドメイン アカウントは、メンバ サーバーでサービスを実行するために使用しないようにする必要があります。 | 緊急 |
| 2 | アカウント B は、サーバー 2 のサービスが利用しています。アカウント B は、アカウント A がサービスを実行しているサーバー 1 にも特権があります。 サーバー 2 でアカウント B がセキュリティ侵害されると、攻撃者はシナリオ 1 で説明したものと同じアクセス権を取得するため、ドメイン コントローラとドメイン全体が危険にさらされます。 アカウント C では、サーバー 3 に仕掛けた攻撃からサーバー 2 をセキュリティ侵害することができるため、ネットワークを同じレベルのリスクにさらすことになり、アカウント A も知られてしまうため、ドメイン全体が危険にさらされることになります。 これらは高リスクなシナリオとなっていますが、シナリオ 1 で示されている潜在的な脅威に対応することで解決できます。 | 高 |
| 3 | アカウント D は、サーバー 4 およびサーバー 5 で実行されているサービスが利用しています。アカウント D がセキュリティ侵害されると、攻撃者はアカウント D が特権を持つすべてのサーバーへのアクセス権を取得します。 これらのサーバーに、高い特権や多くの特権があるアカウントを使用するサービスが含まれていなければ、このシナリオにはシナリオ 2 に存在する推移する脆弱性がないため、優先度「中」のリスクになります。 | 中 |
| 4 | アカウント E は、単一のサーバーであるサーバー 5 のサービスが利用しており、他の特権やサービスの関連付けは何もありません。 このシナリオでは、単一のサーバー以上に特権の昇格ができないため、リスクは低くなっています。 | 注意 |
| サービス | ログオン方法 |
|---|---|
| Alerter | ローカル サービス |
| Application Layer Gateway Service | ローカル サービス |
| Remote Registry | ローカル サービス |
| Smart Card | ローカル サービス |
| TCP/IP NetBIOS Helper | ローカル サービス |
| Telnet | ローカル サービス |
| Uninterruptible Power Supply | ローカル サービス |
| WebClient | ローカル サービス |
| Windows Image Acquisition | ローカル サービス |
| Windows Time | ローカル サービス |
| WinHTTP Web Proxy Auto-Discovery Service | ローカル サービス |
| DHCP Client | ネットワーク サービス |
| Distributed Transaction Coordinator | ネットワーク サービス |
| DNS Client | ネットワーク サービス |
| License Logging | ネットワーク サービス |
| Performance Logging | ネットワーク サービス |
| Remote Procedure Call (RPC) Locator | ネットワーク サービス |
[プログラムの追加と削除] をダブルクリックします。
[Windows コンポーネントの追加と削除] をクリックします。
[Windows コンポーネント] 画面の [コンポーネント] の下にある [セキュリティの構成ウィザード] チェック ボックスをオンにします。
[次へ] をクリックします。
インストールが完了したら [完了] をクリックします。
SCW を使用すると、SP 1 のインストールされた Windows Server 2003 を実行しているコンピュータから攻撃される可能性のある箇所を減らすことができます。管理者は SCW の指示に従って、指定されたサーバーの役割に基づいてセキュリティ ポリシーを作成する手順を簡単に実施できます。 サーバーの役割という語は、コンピュータがネットワーク内で実行する主な機能を定義します。必要なサービス、受信側ポート、および設定は、サーバーが実行する役割によって異なります。 ポリシーを作成したら、そのポリシーの設定に基づいてサーバーに適用できます。
サービスにドメイン管理者アカウントを使用することを避ける
サーバーの監査が終了すると、サービスの認証に使用されるドメイン管理者アカウントのすべての可能なインスタンスを識別し、削除するための十分な情報が入手でき、環境が整います。 サービスは、できるだけ Local Service、Network Service、または Local System アカウントを使用して再展開してください。
サービスによって管理者と同等のアカウントの使用が修正されようとしている場合、特に次の状況に注意する必要があります。
管理者と同等の特権を持つユーザー アカウントがサービスとしてログオンする場合。
ビルトイン管理者アカウントがサービスとしてログオンする場合。
ドメイン管理者アカウントが、セキュリティの低いコンピュータでサービスとしてログオンする場合。
サービスの展開で最小特権階層を使用する
上で説明したとおり、サービスでは、そのサービスを実行するために必要な最小特権アカウントを常に使用する必要があります。 必要以上の特権を持つあらゆるサービスは、それよりも低い特権のアカウントを使用して再展開する必要があります。
最小特権階層では、サービスが使用するアカウントについて、優先順位の高い順に示すと次のようになります。
ローカル サービス
ネットワーク サービス
固有のローカル ユーザー アカウント
固有のドメイン ユーザー アカウント
ローカル システム
ローカル管理者アカウント
ドメイン管理者アカウント
例外に対する高セキュリティのサーバー グループを作成する
高セキュリティ サーバーは、基本的に、業務で必要とされるリソースの保持やサービスの提供を行うサーバー、または高いセキュリティ リスクをもたらすサーバーのことです。 通常、このような条件を満たすサーバーは、次のとおりです。
ドメイン コントローラ。
実行するためにドメイン管理者アカウントの認証が必要なサービスを使用するサーバー。
フォレストで委任に対して信頼されているサーバー。
機密性の高い業務上のグループで使用されるサーバー、または重要な業務データを保持するサーバー (給与情報などを保持する人事サーバーなど)。
Windows Server 2003 の制限付き委任を使用して、フォレスト内で委任に対して信頼されたサービスを実行するサーバー。
高セキュリティのサーバー グループを作成するには、一般に次の手順を実行します。
高セキュリティ サーバーとして指定するサーバーを識別します。
各フォレストで High Security Servers ユニバーサル セキュリティ グループを作成します。
作成したユニバーサル グループに、指定したサーバーのコンピュータ アカウントを配置します。
各ドメインで Domain Admin Accounts ローカル グループを作成します。
作成したローカル グループに、ドメイン管理者と同等のユーザー アカウントすべてを配置します。
すべてのコンピュータ上のサービスに対してドメインレベルの管理者アカウントの使用を制限している各ドメインで、グループ ポリシー オブジェクトを作成します。作成した Domain Admin Accounts ドメイン ローカル グループに対して、[サービスとしてログオンを拒否する] および [バッチ ジョブとしてログオンを拒否する] の各ユーザー特権を割り当て、GPO で、作成された Domain Admins アカウント ドメイン ローカル グループに [Allow-Read] と [Allow-Apply] の特権を与えます。
各 GPO で High Security Servers グループに対してグループ ポリシーのフィルタを使用して、そのグループのメンバがサービスに対してドメイン管理者を使用し続けることができるようにします。 この機能を実行するには、GPO で High Security Servers グループに対して [Allow-Read] および [Deny-Apply] 特権を適用します。
High Security Servers グループのメンバシップ管理では、グループへの追加要求を評価する内部ワークフロー プロセスを使用する必要があります。 このプロセスには、要求を確認し、サーバーがグループに追加される場合に関連するセキュリティ リスクを評価する手順を含めるようにしてください。 このプロセスの基盤は、指定アカウントに対して電子メールで要求を送るような単純なものから、ゼロタッチ プロビジョニング (ZTP) のようにプロビジョニング ツールをいくつも使用した高度な自動化プロセスまで、さまざまなものがあります。
ZTP は、大規模エンタープライズ環境を対象としたツールであるため、この文書では取り扱いません。 ZTP および同様のツールの詳細については、「デスクトップ展開」を参照してください。
サービス アカウントのパスワード変更を管理する
サービスにアカウントを割り当てるときは、サービス コントロール マネージャ (SCM) でそのアカウントに適切なパスワードを指定してから、割り当てる必要があります。 間違ったパスワードを指定すると、SCM が割り当てを拒否します。 Local System、Local Service、または Network Service アカウントを使用するようにサービスを設定する場合は、アカウントのパスワードを管理する必要はなくなり、オペレーティング システムによって代わりに管理されます。
その他のサービス アカウントの場合は、SCM はアカウントのパスワードをサービス データベースに格納します。 パスワードが割り当てられた後は、SCM はデータベースに格納されたこのパスワードを検証せず、Active Directory でユーザー アカウントに割り当てられたパスワードが引き続き一致します。 このため、次のような状況では、問題が発生する可能性があります。
特定のユーザー アカウントを使用するようにサービスを設定します。
そのアカウントと現在のパスワードを使用してサービスを開始します。
サービスが実行されているときに、そのユーザー アカウントのパスワードを変更します。
サービスは停止されるまで実行し続けます。 停止後、SCM は今までどおり古いパスワードを使用しようとするため、サービスを再起動できません。 Active Directory でパスワードを変更しても、サービス データベースに格納されたパスワードとは同期されません。
標準のドメインまたはローカル ユーザー アカウントのパスワードを変更するたびに、そのアカウントを使用するすべてのサービスを新しい認証情報で更新する必要があります。 サービスおよびサービスで使用されるアカウントが適切に文書化されていない場合は、この処理に多大な時間がかかることがあります。
もちろん、すべてのサーバーで使用されるすべてのサービスのアカウント情報を格納したドキュメントが存在する場合は、固有のセキュリティ リスクが存在します。そのため、そのようなドキュメントをセキュリティ保護する手順を実施する必要があります。 大規模な組織では、オフライン化され安全な場所に格納された暗号化ファイルにこの情報を記録することもできるでしょう。 しかし、小規模な組織では、このような情報を紙に記録してバインダにとじ、金庫などの安全な場所に鍵をかけて保管するだけの場合もあります。
Exchange Server や SQL Server™ などのアプリケーションではサービス アカウントのパスワードを使用することもあるため、そのような場合にアプリケーションのインターフェイスで関連するパスワードを変更する際は注意してください。
サービス アカウントのパスワードの変更処理を自動化するツールを作成する方法については、「Changing the Password on a Service’s User Account」(英語) を参照してください。
強力なパスワードの使用を強制する
管理者アカウントに関するセクションで説明したとおり、管理者と同等のアカウントとサービス アカウントのすべてに対して、強力なパスワード ポリシーの使用を厳密に強制する必要があります。 この規則を強制するために、グループ ポリシーを使用して、パスワードの有効期限や最低文字数の制限などの強力なパスワードの規則を適用することができます。
強力なパスワード ポリシーの詳細については、ホワイト ペーパー「Account Passwords and Policies」(英語) を参照してください。
強力なパスワードの使用を強制する方法の詳細については、「Windows Server 2003 セキュリティ ガイド」を参照してください。
弱いパスワードはネットワークで最も一般的な脆弱性の 1 つであり、管理者と同等のアカウントで弱いパスワードを使用すると、攻撃者はネットワーク リソースへのアクセスを簡単に取得できます。 ネットワークのセキュリティと管理に責任を持つ担当者は、自動的なテスト ツールを使用して、弱いパスワードを使用している管理者と同等のアカウントを検出するタスクを定期的に行うようにスケジュールを組む必要があります。
Microsoft Baseline Security Analyzer (MBSA) は、ネットワーク上のすべてのコンピュータをスキャンして弱いパスワードを検索し、このタスクを実行します。 MBSA はすべてのユーザー アカウントを列挙して、次のようなパスワードの脆弱性をチェックすることができます。
空のパスワード
ユーザー アカウント名と一致するパスワード
コンピュータ名と一致するパスワード
「password」、「admin」、または「administrator」の語句を使用するパスワード
MBSA は、上のすべての弱いパスワードを使用してアカウントのパスワードの変更を試みます。 そして弱いパスワードが検出されると、パスワードは変更されませんが、そのパスワードにセキュリティ リスクがあることが報告されます。 MBSA は、無効になっているアカウントやロックアウトされたアカウントも報告します。
MBSA では、不適切なパスワードによくある特徴が検出されますが、完全な機能を備えたパスワード監査は提供されません。 完全な機能を備えたパスワード監査が必要な場合、市販されているサードパーティ製のオフライン スキャン用ツールおよびアプリケーションを使用することもできます。
MBSA の詳細およびダウンロードについては、「https://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx」 を参照してください。
注 MBSA によるスキャン処理中、ドメイン コントローラとして指定されたコンピュータで検出されたアカウント ロックアウト ポリシーは、リセットされます。 また、MBSA は、ドメイン コントローラとして指定されたコンピュータのパスワード スキャンを実行できません。
概要
中規模ビジネス ネットワークにおいて、重要なアカウントやサービス アカウントのセキュリティを強化するためには、多くの手順を踏む必要があることが明らかです。 しかし、基本的には、これらのすべてのアプローチは、最小特権の原則に従って詳細に文書化されたプロセスと導入プラクティスの確立など、わずかな主要概念に基づいています。 そのため、これらの少ない主要概念を理解してアカウント管理の基盤として使用することで、あらゆるネットワークのセキュリティを大幅に強化できます。
この文書で説明したこれらのベスト プラクティス テクニックは、業務要件に適していると見なすことができれば、いくつでも中規模ビジネス環境で採用できます。 これらのプラクティスをすべて組み合わせれば、どのようなネットワークのセキュリティも間違いなく向上しますが、それぞれのプラクティスがビジネス ネットワークに与える潜在的な影響を分析して、最も問題の少ないアプローチの組み合わせを判断することをお勧めします。
付録 A : 共通サービス
Windows Server 2003 および Windows XP で共通するサービスについて、次の表にアルファベット順で示します。 このリストには既定のサービスとコンピュータに追加できるサービスの両方が含まれていますが、コンピュータにインストールできるすべてのサービスを網羅したリストではありません。サードパーティ製ソフトウェア パッケージによってインストールされる可能性のあるサービスは含まれていません。
表 A.1 Windows XP および Windows Server 2003 のサービスの詳細
| サービス | サービス名 | ログオン方法 | 説明 |
|---|---|---|---|
| 6to4 | IP Version 6 Helper Service | ローカル システム | IPv4 ネットワークにおける IPv6 接続を有効にします。 |
| AELookupSvc | Application Experience Lookup Service | アプリケーションの起動時に、そのアプリケーションのアプリケーション互換性検索要求を処理します。 アプリケーション互換性のソフトウェアが更新されるには、このサービスがアクティブである必要があります。 | |
| Alerter | Alerter | ローカル サービス | 選択したユーザーおよびコンピュータに管理警告を通知します。送信は、クライアント コンピュータの Messenger サービスに依存します。 |
| ALG | Application Layer Gateway Service | ローカル サービス | ネットワーク プロトコルがファイアウォールを通過して ICS のバックグラウンドで稼働できるようにするためのプラグインをサポートします。 |
| AppMgmt | Application Management | ローカル システム | Assign、Publish、および Remove などのソフトウェア インストール サービスを提供します。 無効にすると、IntelliMirror® などの Active Directory サービスを使用してアプリケーションをインストールできません。 |
| AppMgr | Remote Server Manager | ローカル システム | リモート管理警告オブジェクトの WMI インスタンス プロバイダ、およびリモート管理タスクの WMI メソッド プロバイダの働きをします。 |
| aspnet_state | ASP.NET State Service | ネットワーク サービス | ASP.NET のプロセス外のセッション状態をサポートします。 |
| AudioSrv | Windows Audio | ローカル システム | Windows ベースのプログラム用のオーディオ デバイスを管理します。 |
| BINLSVC | Remote Installation | ローカル システム | リモート インストール サービス (RIS) の基本コンポーネントで、リモート ブート対応のコンピュータの PXE 要求に応答します。 |
| BITS | Background Intelligent Transfer Service | ネットワーク サービス | キュー マネージャのバックグラウンド ファイル転送メカニズムを提供します。 このサービスが停止すると、自動更新機能を使用できなくなります。 |
| Browser | Computer Browser | ローカル システム | ネットワーク上のコンピュータの最新の一覧を管理します。 |
| CertSvc | Certificate Services | ローカル システム | デジタル証明書の発行と管理を行う、オペレーティング システムの中核となる機能です。 |
| cisvc | Indexing Service | ローカル システム | ファイルの内容とプロパティのインデックスを作成し、クエリ言語を使用してファイルに高速にアクセスできるようにします。 |
| ClipSrv | ClipBook | ローカル システム | クリップブック ビューアが、リモート ユーザーが検討するデータのページを作成および共有できるようにします。 |
| ClusSvc | Cluster Services | ドメイン アカウント | サーバー クラスタ操作を制御し、クラスタ データベースを管理します。 |
| COMSysApp | COM+ System Application | ローカル システム | COM+ ベースのコンポーネントの構成と追跡を管理します。 このサービスが無効にされると、COM+ コンポーネントは正しく機能しません。 |
| CORRTSvc | .NET Framework Support Service | 指定されたプロセスが Client Runtime Service を初期化するときに購読側のクライアントに通知を出します。 | |
| CryptSvc | Cryptographic Services | ローカル システム | Windows ベースのコンピュータの暗号化キー管理サービスを行います。 |
| DcomLaunch | DCOM Server Process Launcher | ローカル システム | RPCSS サービスと組み合わせて使用する、Local System 特権を必要とする RPC サービスの 1 つです。 |
| Dfs | Distributed File System | ローカル システム | ネットワーク上に存在するさまざまなファイル共有を 1 つの論理名前空間に統合します。 SYSVOL 共有の提供に必要です。 |
| DFSR | Distributed File System Replication | 共通のレプリケーション グループに参加するコンピュータ間で、ファイルやフォルダに対する更新を自動的にコピーします (Windows Server 2003 R2 で追加)。 | |
| Dhcp | DHCP Client | ネットワーク サービス | IP アドレスを登録および更新することにより、DHCP ネットワーク構成情報を管理します。 |
| DHCPServer | DHCP Server | ローカル システム | DHCP を管理し、クライアント コンピュータに IP アドレスを割り当てます。 |
| dmadmin | Logical Disk Manager Administrative Service | ローカル システム | ディスク管理要求に対して管理サービスを実行し、ディスクとボリュームを構成します。 そのような構成プロセス中だけ実行されるサービスです。 |
| dmserver | Logical Disk Manager | ローカル システム | 新しいディスク ドライブの検出と監視を行い、dmadmin サービスにボリューム情報を送信します。 動的ディスクを使用している場合は、無効にしないでください。 |
| DNS | DNS Server | ローカル システム | DNS 名の照会要求および更新要求に回答することにより、DNS 名を解決します。 |
| Dnscache | DNS Client | ネットワーク サービス | DNS 名を解決してキャッシュします。DNS 名を解決するすべてのコンピュータで実行されている必要があります。 |
| ERSvc | Error Reporting Service | ローカル システム | 予期しないアプリケーションのエラーまたは終了について、その情報を収集、保存、および報告します。 |
| Eventlog | Event Log | ローカル システム | プログラム、サービス、およびオペレーティング システムから送信されたイベントをログ ファイルに書き込みます。 |
| EventSystem | COM+ Event System | ローカル システム | 登録された COM コンポーネントにイベントを自動的に通知します。 |
| FastUser Switching Compatibility | Fast User Switching Compatibility | ローカル システム | 複数ユーザー環境での支援を必要とするアプリケーションを管理します。 |
| Fax | Fax Service | ローカル システム | TAPI 準拠の FAX 機能を提供します。 |
| Groveler | Single Instance Storage Groveler | ローカル システム | Remote Installation Service (RIS) の必須コンポーネントで、複製ファイルを見つけると、Single Instance Storage に元のファイルをコピーします。 |
| helpsvc | Help and Support | ローカル システム | ヘルプとサポート センター アプリケーションのヘルプ トピックに関するメタデータと情報を含むストアおよびサービスを提供します。 |
| HidServ | Human Interface Device Access | ローカル システム | キーボードやマウスなどの USB デバイスへの一般的な入力アクセスを有効にします。 |
| HTTPFilter | HTTP SSL | ローカル システム | IIS で SSL 機能を実行できるようにします。 |
| IAS | Internet Authentication Service | ローカル システム | ネットワークに接続しているユーザーの集中化認証、承認、監査、およびアカウンティングを実行します。 |
| IASJet | IAS Jet Database Access | ローカル システム | RADIUS プロトコルを使用した認証、承認、およびアカウンティング サービスを実行します。 |
| IISADMIN | IIS Admin Service | FTP や Web サービス拡張などの IIS コンポーネントを管理できます。 | |
| ImapiService | IMAPI CD-Burning COM Service | ローカル システム | IMAPI COM インターフェイスによる CD の作成を管理し、必要に応じて CD-R への書き込みを実行します。 |
| Irmon | Infrared Monitor | ローカル システム | 赤外線接続を使用したファイル共有が可能になります。 |
| IsmServ | Intersite Messaging | ローカル システム | Windows Server を実行するコンピュータ間でメッセージの交換が可能になります。 |
| Kdc | Kerberos Key Distribution Center | ローカル システム | Kerberos 認証プロトコルを使用してユーザーがログオンできるようにします。 このサービスが停止すると、クライアントはドメインにログオンできません。 |
| lanmanserver | Server | ローカル システム | RPC サポート、ファイル、印刷、および名前付きパイプの共有をネットワーク上に提供します。 |
| Lanman workstation | Workstation | ローカル システム | クライアント サービスのネットワーク接続と通信を提供します。 |
| LicenseService | License Logging | ネットワーク サービス | 本来は、Windows NT® Server 3.51 で導入された CAL を管理するためのものです。Microsoft Small Business Server のユーザーだけが有効にすることをお勧めします。 |
| LMHosts | TCP/IP NetBIOS Helper Service | ローカル サービス | NetBIOS over TCP/IP、およびクライアントの NetBIOS 名の解決をサポートします。 |
| LPDSVC | TCP/IP Print Server | ローカル システム | UNIX ベースのプラットフォームで実行している LPD ユーティリティからのドキュメントを受け取ったときに、LPD プロトコルを使用した TCP/IP ベースの印刷を可能にします。 |
| LSASS | Local Security Authority | ローカル システム | ローカル セキュリティ、ドメイン認証、Active Directory のプロセスを管理するインターフェイスです。 |
| MacFile | File Server for Macintosh | ローカル システム | Macintosh ユーザーが Windows Server 2003 上でファイルを保存したりアクセスしたりできるようにします。 |
| MacPrint | Print Server for Macintosh | ローカル システム | Macintosh ユーザーが Windows Server 2003 のプリント サービスを使用できるようにします。 |
| MDM | Machine Debug Manager | アプリケーションのローカルおよびリモート デバッグを管理します。 | |
| Messenger | Messenger | ローカル システム | Alerter サービスとのメッセージの送受信を実行します。 Windows Messenger とは異なります。無効にすると、net send および net name コマンドが使用できなくなります。 |
| mnmsrvc | NetMeeting Remote Desktop Sharing | ローカル システム | 認証されたユーザーは、他のコンピュータから Windows NetMeeting® サービスを使用して、Windows デスクトップにリモートでアクセスできます。 |
| mqds | Message Queuing Down Level Clients | ローカル システム | Message Queuing サービスを使用する古いバージョンの Windows が Active Directory にアクセスできるようにします。 |
| Mqtgsvc | Message Queuing Triggers | ローカル システム | Message Queuing サービスのキューに到着するメッセージをルールに基づいて監視し、メッセージ処理サービスを呼び出します。 |
| MSDTC | Distributed Transaction Coordinator | ネットワーク サービス | 複数のコンピュータ システム、データベース、ファイル システム、メッセージ キュー、およびその他のトランザクション保護のリソース マネージャに分散されたトランザクションを調整します。 |
| MSExchange MTA | Microsoft Exchange MTA Stacks | 複合モード環境で、下位互換のメッセージ転送サービスを提供します。 | |
| MSFTPSVC | FTP Publishing Service | ネットワーク サービス | IIS スナップインを使用して FTP の接続と管理を行います。 |
| MSIServer | Windows Installer | ローカル システム | インストール プロセス時に一元的に定義されたセットアップ ルールを適用して、アプリケーションのインストールと削除を管理します。 |
| msmq | Message Queuing | ローカル システム | Windows プログラム用の分散メッセージングを可能にするための、メッセージング インフラストラクチャおよび開発ツールです。 |
| MSSQL$UDDI | MSSQL$UDDI | ネットワーク サービス | SQL Server データベース エンジンに対して UDDI (Universal Description, Discovery, and Integration) サービスを提供します。 |
| MSSQL SERVER | MS SQL Server | 構成可能な MS SQL Server サービスを提供します。 | |
| MSSQLServer ADHelper | MS SQL Server AD Helper | ローカル システム | SQL Server および SQL Server Analysis Services が、Active Directory に情報を発行できるようにします。 |
| NetDDE | Network DDE | ローカル システム | 同一コンピュータ上または異なるコンピュータ上で実行されているプログラムに対して、DDE のネットワーク トランスポートとセキュリティを提供します。 |
| NetDDEdsdm | Network DDE DSDM | ローカル システム | DDE ネットワーク共有を管理します。 |
| Netlogon | Netlogon | ローカル システム | クライアント コンピュータとドメイン コントローラの間に、サービスとユーザーを認証するための保護されたチャネルを維持します。 |
| Netman | Network Connections | ローカル システム | [ネットワーク接続] フォルダのオブジェクトを管理します。 |
| Network Connections | Network Connections | ローカル システム | [ネットワークとダイヤルアップ接続] フォルダのオブジェクトを管理します。このフォルダから、ネットワークおよびリモート接続を表示できます。 |
| NLA | Network Location Awareness | ローカル システム | ネットワーク構成情報や位置変更情報を収集、保存します。 |
| NntpSvc | Network News Transfer Protocol | ローカル システム | コンピュータを NNTP ニュース サーバーとして動作させることができます。 |
| NtFrs | File Replication | ローカル システム | 共通の FRS レプリカ セットに参加するコンピュータ間で、ファイルやフォルダに対する更新を自動的にコピーします。 |
| NtLmSsp | NTLM Security Support Provider | ローカル システム | ローカル セキュリティ ポリシー オブジェクトの認証と管理を行います。 |
| NWC Workstation | Client Service for NetWare | ローカル サービス | NetWare のファイルおよび印刷リソースへのアクセスを提供します。 |
| nwsapagent | SAP Agent | ローカル システム | IPX SAP プロトコルを使用して IPX ネットワーク上のネットワーク サービスを通知します。 |
| point | Microsoft Operations Manager 2000 Agent | Microsoft Operations Manager (MOM) 2000 エージェントです。 | |
| PlugPlay | Plug and Play | ローカル システム | ユーザーの入力なしで、ハードウェアの変更を認識できるようになります。 |
| PolicyAgent | IPsec Service | ローカル システム | IPSec ポリシーを管理し、IKE を起動して、IP セキュリティ ドライバの IPSec ポリシー設定を調整します。 |
| POP3SVC | Microsoft POP3 Service | ローカル サービス | 電子メールの転送と取得サービスを提供します。 |
| Protected Storage | Protected Storage | ローカル システム | 機密性の高いデータ用に保護されたストレージを提供します。 |
| RasAuto | Remote Access Auto Connection Manager | ローカル システム | プログラムがリモートの DNS 名やアドレス、または NetBIOS 名やアドレスを参照するときに、リモート コンピュータへの接続を作成します。 |
| RasMan | Remote Access Connection Manager | ローカル システム | リモート ネットワークへのダイヤルアップ接続や VPN 接続を管理します。 |
| RDSessMgr | Remote Desktop Help Session Manager | ローカル システム | ヘルプとサポート センター アプリケーション内のリモート アシスタンス機能を管理および制御します。 |
| Remote_ Storage_Server | Remote Storage Server | ローカル システム | セカンダリ記憶域メディアからファイルとの間でファイルを移動または取得します。 |
| Remote_ Storage_User_ Link | Remote Storage Notification | Remote_Storage_User_Link サービスは、セカンダリ メディア ソースだけから利用可能なファイルをユーザーが読み書きしようとしたときに通知します。 | |
| RemoteAccess | Routing and Remote Access | ローカル システム | マルチプロトコルのルーティング サービスを提供し、ダイヤルアップと VPN のリモート アクセス サービスを実現します。 |
| RemoteRegistry | Remote Registry Service | ローカル サービス | リモート ユーザーが適切な特権でレジストリ設定を変更できるようにします。 |
| RpcLocator | Remote Procedure Call Locator | ネットワーク サービス | RPC クライアントが RPC サーバーを探せるように、RPC ネーム サービス データベースを管理します。 既定では無効になっています。 |
| RpcSs | Remote Procedure Call | ローカル システム | RPC エンドポイント マッパーおよび Component Object Model (COM) Service として実行されます。 |
| RSoPProv | Resultant Set of Policy Provider | ローカル システム | Windows ドメイン コントローラに接続し、WMI データベースにアクセスして、グループ ポリシー設定用の RSoP をシミュレートできます。 |
| RSVP | QoS RSVP | ローカル システム | アプリケーションからの Generic Quality of Service API 要求の使用を管理します。 |
| Sacsvr | Special Administration Console Helper | ローカル システム | Stop エラー メッセージが検出されたために Windows Server ファミリ オペレーティング システムが停止した場合に、リモート管理タスクを実行します。 |
| SamSs | Security Accounts Manager | ローカル システム | ユーザーとグループのアカウント情報を管理します。 |
| SCardSvr | Smart Card | ローカル サービス | コンピュータに接続されているスマート カード リーダーに挿入されたスマート カードへのアクセスを管理および制御します。 |
| Schedule | Task Scheduler | ローカル システム | 自動化されたタスクを実行できます。 |
| seclogon | Secondary Logon | ローカル システム | 異なるセキュリティ プリンシパルのコンテキストの中でプロセスを作成できます。 |
| SENS | System Event Notification | ローカル システム | システム イベントおよび電源イベントを追跡し、これらのイベントを COM+ イベント システム サブスクライバに通知します。 |
| SharedAccess | Windows Connection Firewall/Internet Connection Sharing | ローカル システム | インターネット接続共有が有効な場合に、ネットワーク上のすべてのコンピュータに対して、NAT、アドレス割り当て、および名前解決のサービスを提供します。 |
| ShellHW detection | Shell Hardware Detection | ローカル システム | AutoPlay ハードウェア イベントを通知します。 |
| SimpTcp | Simple TCP/IP Services | ネットワーク サービス | Echo、Discard、Daytime、Character Generator、Quote of the Day などの簡易 TCP/IP サービスを提供します。 |
| SMTPSVC | Simple Mail Transport Protocol | ローカル システム | SMTP の送信とリレーを行うエージェントとして機能し、リモート宛先向けの電子メールを受け入れてキューに入れます。 |
| SNMP | SNMP Service | ローカル システム | 受信した SNMP 要求をローカル コンピュータで処理できます。 |
| SNMPTRAP | SNMP Trap Service | ローカル サービス | ローカルまたはリモートの SNMP エージェントが生成した SNMP トラップ メッセージを受信し、SNMP 管理サーバーに転送します。 |
| Spooler | Print Spooler | ローカル システム | ローカルおよびネットワークのすべての印刷キューを管理し、すべてのプリント ジョブを制御します。 |
| SQLAgent$ WEBDB | SQL Agent$ UDDI または WebDB | ||
| SrvcSurg | Remote Administration Service | ローカル システム | サーバーの起動時にリモート管理タスクを実行します。サーバー起動カウントを増加させ、サーバーに日時が設定されていない場合は警告します。 |
| StiSvc | Windows Image Acquisition | ローカル サービス | スキャナやカメラ用の画像取得サービスを提供します。 |
| srservice | System Restore Service | ローカル システム | システムおよびアプリケーションのファイルに対する変更を監視し、容易に特定できる復元ポイントを作成します。 |
| SSDPSRV | SSDP Discovery Service | ローカル サービス | デバイス存在通知、キャッシュ更新、および SSDP 通知を管理します。 |
| StiSvc | Windows Image Acquisition (WIA) | ローカル サービス | アプリケーションとイメージ キャプチャ デバイス間に強固な通信を確立して、イメージをコンピュータに効率よく転送します。 |
| SwPrv | Microsoft Software Shadow Copy Provider | ローカル システム | VSS サービスによって作成された、ソフトウェアに基づいたシャドウ コピーを管理します。 |
| SysmonLog | Performance Logs and Alerts | ネットワーク サービス | パフォーマンスのログと警告の情報を収集します。パフォーマンス データの収集イベントが 1 つ以上スケジュールされている場合だけ実行されます。 |
| TapiSrv | Telephony | ローカル システム | テレフォニー デバイスや IP ベースの音声接続を制御するプログラムに対して、TAPI サポートを提供します。 |
| TermService | Terminal Services | ローカル システム | 複数のクライアントがサーバーで実行している仮想 Windows デスクトップ セッションにアクセスできます。 |
| TermServ Licensing | Terminal Services Licensing | 登録済みのクライアントがターミナル サービスに接続するときにライセンスを提供し、それらのライセンスを追跡します。 | |
| tftpd | Trivial FTP Daemon | TFTP 要求をリッスンして応答します。 | |
| Themes | Themes | ローカル システム | Windows XP グラフィカル ユーザー インターフェイス (GUI) のレンダリング サポートを提供します。 |
| TlntSvr | Telnet | ローカル システム | Windows ユーザーに Telnet サービスを提供し、ANSI、VT-100、VT52、および VTNT ターミナル セッションをサポートします。 |
| TrkSvr | Distributed Link Tracking Server | ローカル システム | ボリューム間で移動されたファイルがドメイン内の各ボリュームを追跡できるようにするための情報を保存します。 各ドメイン コントローラで実行されます。 |
| TrkWks | Distributed Link Tracking Client | ローカル システム | コンピュータ上またはネットワーク上の NTFS ファイル システムのファイル間でリンクを維持し、ターゲット ファイルを移動または名前変更した後も、ショートカットや OLE リンクが機能するようにします。 |
| Tssdis | Terminal Services Session Directory | ローカル システム | クラスタ上で切断されたセッションを追跡し、それらのセッションにユーザーを再接続できるようにします。 |
| Uploadmgr | Upload Manager | ローカル システム | ネットワーク上のクライアントとサーバー間の、同期および非同期のファイル転送を管理します。 |
| upnphost | Universal Plug and Play Device Host | ローカル システム | ホストされているデバイスのデバイス登録、制御、およびイベントへの対応に必要なすべてのコンポーネントを実装します。 |
| UPS | Uninterruptible Power Supply | ローカル サービス | シリアル ポートを介してコンピュータに接続された無停電電源装置 (UPS) を管理します。 |
| VDS | Virtual Disk Service | ローカル システム | ブロック記憶域の仮想化を管理するためのインターフェイスを 1 つ提供します。このインターフェイスは、OS ソフトウェア、RAID 記憶域、またはその他の仮想化エンジンのどれを使用する場合でも使用できます。 |
| VSS | Volume Shadow Copy | ローカル システム | バックアップ アプリケーションが使用する、ボリュームのスナップショットを管理します。 |
| W32Time | Windows Time | ローカル システム | 日時を NTP と同期に維持します。 |
| W3SVC | World Wide Web Publishing Service | ローカル システム | Web 公開サービスを提供するプロセスおよび構成のマネージャが含まれます。 |
| WebClient | WebClient | ローカル サービス | Win32 アプリケーションによってインターネット上のドキュメントにアクセスできます。 |
| WindowsSystem Resource Manager | Windows System Resource Manager | ローカル システム | オペレーティング システムの 1 つのインスタンスで実行されているプロセスの CPU とメモリ消費量をポリシーに基づいて管理します。 |
| WinHttpAutoSvc | WinHTTP Web Proxy Auto-Discovery Service | ローカル サービス | WinHttp クライアントのプロキシ構成検知を実装します。 |
| winmgmt | Windows Management Instrumentation | ローカル システム | 複数のインターフェイスでシステム管理情報を提供します。 |
| WINS | Windows Internet Name Service | ローカル システム | NetBIOS 名の解決および WINS 複製を有効にします。 |
| WmdmPmSN | Portable Media Serial Number | ローカル システム | WMDM でコンピュータに接続されたポータブル ミュージック デバイスからシリアル番号を取得できます。 |
| Wmi | Windows Management Instrumentation Driver Extensions | ローカル システム | WMI またはイベント トレース情報を公開するように設定されているすべてのドライバとイベント トレース プロバイダを監視します。 |
| WmiApSrv | WMI Performance Adapter | ローカル システム | WMI プロバイダから提供されるパフォーマンス カウンタを、リバース アダプタ パフォーマンス ライブラリを使用して PDH で利用できるカウンタに変換します。 |
| WMServer | Windows Media Service | ネットワーク サービス | Windows Media Service を有効にします。 |
| wscsvc | Security Center | ローカル システム | システム セキュリティの設定および構成を監視します。 |
| wuauserv | Automatic Updates | ローカル システム | Microsoft Windows Update Web サイトから更新をダウンロードできます。 |
| Wuser32 | SMS Remote Control Agent | ローカル システム | SMS 2003 に対してリモート コンピュータ管理サービス (リモート制御サービスやリモート ファイル転送サービスなど) を提供します。 |
| WZCSVC | Wireless Zero Configuration | ローカル システム | ワイヤレス通信用の IEEE 802.11 ワイヤレス アダプタを自動的に構成できます。 |
| xmlprov | Network Provisioning Service | ローカル システム | Microsoft Wireless Provisioning Service (WPS) などのネットワーク プロビジョニング サービスから XML 構成ファイルをダウンロードおよび管理できます。 |