管理のためのヒント
.gif "重要 :") 重要 |
|---|
.NET Framework Version 4 では、共通言語ランタイム (CLR: Common Language Runtime) がコンピューターにセキュリティ ポリシーを提供しなくなります。Microsoft では、CLR のセキュリティ ポリシーの代替として、Windows のソフトウェアの制限のポリシーを使用することをお勧めしています。このトピックの情報は、.NET Framework Version 3.5 以前に適用され、Version 4 以降には適用されません。この変更およびその他の変更の詳細については、「.NET Framework 4 におけるセキュリティの変更点」を参照してください。 |
ここで説明する方法は、セキュリティ ポリシーの管理において、あらゆる場面に適用できます。 セキュリティ ポリシーを設定および管理する場合は、ここで説明する内容を考慮するようにしてください。
ポリシー管理の長期的な方針
ポリシーを管理するために使用できる、信頼レベルを表す適切なカテゴリを定義してください。 管理環境下で実行される可能性のあるコードを区別するためのコード グループをいくつか定義し、各コード グループに適用するアクセス許可を定義します。 これらに従ってポリシーを慎重に作成して配置します。 さまざまなアプリケーションを実行する必要が生じるたびにポリシーを部分的に設定していくのではなく、環境の初期設定時に全体的なポリシーを定義しておく必要があります。
管理レベル
管理対象とするポリシー レベルは、ポリシーをどの程度まで適用するかに応じて決まります。 影響を受けるユーザーができるだけ少なく、それでいて管理上の要件を満たせるレベルのうち、一番低いポリシー レベルのセキュリティ ポリシーを管理するようにしてください。 次に例を示します。
エンタープライズ内のすべてのワークステーションとユーザーに影響するポリシーを管理する場合は、エンタープライズ レベルにポリシーを追加します。 エンタープライズ内のすべてのコンピューターに適用する必要がない、特定のコンピューターに関するポリシーはエンタープライズ レベルには追加しないでください。
特定のコンピューター上のすべてのユーザーに影響するポリシーを管理する場合は、マシン レベルでポリシーを追加します。
特定のユーザーまたはユーザー グループに関するポリシーを管理する場合は、ユーザー レベルでポリシーを追加します。
ファイル システム
セキュリティ ポリシー ファイルを保存できる場合は、必ず NTFS ファイル システムを使用します。 NTFS では、ユーザーおよびユーザー グループに基づいてファイルを保護でき、特定レベルの管理権限を持つユーザーだけがセキュリティ構成ファイルを編集できます。 NTFS ファイル システムを使用しないシステムでは、承認されていないユーザーもセキュリティ ポリシーを変更できてしまい、セキュリティの脆弱性が生まれてしまいます。