ISA Server 2004 セキュリティ強化ガイド
トピック
 | はじめに |
| ISA Server コンピュータをセキュリティ保護する |
| 構成をセキュリティ保護する |
| 展開をセキュリティ保護する |
| 関連情報 |
はじめに
このガイドでは、Microsoft Internet Security and Acceleration (ISA) Server 2004 Standard Edition を実行しているコンピュータのセキュリティ強化方法に関する重要な情報を提供します。 実際の特定の推奨構成に加えて、ISA Server の展開戦略についても説明します。
Microsoft Windows Server 2003 を実行しているコンピュータの場合は、このガイドを「Windows Server 2003 セキュリティ ガイド」 (http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/W2003HG/SGCH00.mspx) と共に使用してください。 特に、このガイドの多くの手順は、「Windows Server 2003 セキュリティ ガイド」で紹介されているセキュリティ推奨事項と直接関連しています。 このため、このガイドに記載されている手順を実行する前に、「Windows Server 2003 セキュリティ ガイド」をお読みになることをお勧めします。
Windows® 2000 Server を実行しているコンピュータに ISA Server をインストールした場合は、「Windows 2000 セキュリティ強化ガイド」 (http://www.microsoft.com/japan/technet/security/prodtech/windows2000/win2khg/01intro.mspx) を参照してください。
このガイドの対象範囲
このガイドでは、セキュリティで保護された ISA Server 2004 環境の作成および保守に必要な操作について特に重点的に説明します。 このガイドは、セキュリティで保護された環境の作成および保守のための完全なリファレンスとしてではなく、ISA Server 2004 の全体的なセキュリティ計画の一部として使用してください。
このガイドでは、特に次の点について詳細に説明します。
| • | ISA Server コンピュータをセキュリティ保護するための推奨手順。 |
| • | ISA Server 構成に適用する必要があるセキュリティに関する考慮事項。 |
| • | セキュリティで保護された ISA Server 2004 の展開を準備する際に役立つガイダンス。 |
ISA Server コンピュータをセキュリティ保護する
ISA Server をセキュリティ保護する重要な手順として、ISA Server コンピュータが物理的に安全であり、次のような基本的なセキュリティ構成の推奨事項が適用されていることを確認します。
| • | 更新を管理する |
| • | コンピュータを物理的にセキュリティ保護する |
| • | ドメイン メンバシップを確認する |
| • | Windows インフラストラクチャを強化する |
| • | ロールとアクセス許可を管理する |
| • | 攻撃対象になる可能性のある領域を削減する |
以下のセクションでは、これらの推奨事項の実装方法について説明します。 また、セキュリティの脅威が見つかったときに ISA Server をロック ダウンする方法についても説明します。
更新を管理する
最高のセキュリティ保護手段として、オペレーティング システム、ISA Server、および ISA Server によってインストールされるその他のコンポーネント (Microsoft SQL Server™ 2000 Desktop Engine (MSDE) および Office Web Components 2002 (OWC)) に常に最新の更新をインストールすることを強くお勧めします。 次のことを実行してください。
| • | オペレーティング システムの更新を入手します。 Windows Update サイトで更新を確認してください。 |
| • | ISA Server の更新を入手します。 ISA Server 2004 ダウンロード (http://www.microsoft.com/japan/isaserver/downloads/2004.mspx) で最新の更新情報を確認してください。 |
| • | マイクロソフト セキュリティ情報一覧 (http://go.microsoft.com/fwlink/?LinkId=28687) で Microsoft SQL Server 2000 Desktop Engine (MSDE) と Office Web Components 2002 (OWC) の最新の更新を検索してください。 |
また、Microsoft Baseline Security Analyzer (MBSA) を使用して、システムのセキュリティを定期的に分析することをお勧めします。 MBSA は、MBSA Web サイト (http://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx) からダウンロードできます。
物理的なアクセス
ISA Server コンピュータが物理的に安全な場所に保管されていることを確認します。 サーバーへの物理的なアクセスは、セキュリティ リスクの高いものです。 侵入者がサーバーに物理的にアクセスできると、不正なアクセスや変更を行ったり、セキュリティ回避用のハードウェアの取り付けまたはソフトウェアのインストールを行ったりされるおそれがあります。 セキュリティで保護された環境を維持するには、ISA Server コンピュータへの物理的なアクセスを制限する必要があります。
ドメイン メンバシップを確認する
ISA Server コンピュータをドメインのメンバとして設定することが必要になる場合があります。 たとえば、ドメインのユーザー認証に依存するポリシーを作成する場合、ISA Server はドメインに属している必要があります。
ISA Server コンピュータがネットワークのエッジを保護している場合は、ISA Server を企業ネットワークの内部フォレスト以外のフォレストにインストールすることをお勧めします。 これにより、ISA Server コンピュータのフォレストが攻撃されても、内部フォレストが危害を受けるのを防ぐことができます。 ドメイン メンバとしての ISA Server の管理およびセキュリティ上の利点を得るには、企業フォレストへの一方向の信頼を持つ別のフォレストに ISA Server コンピュータを展開することをお勧めします (一方向の信頼は、Windows Server 2003 ドメインでのみサポートされています)。
ISA Server をドメイン メンバとしてインストールした場合は、ISA Server コンピュータをロック ダウンするには、ローカル ポリシーを構成するのではなく、グループ ポリシーを使用します。
ISA Server コンピュータにドメインまたは Active Directory® ディレクトリ サービス機能を必要としない場合は、セキュリティ上の理由から、ISA Server コンピュータをワークグループにインストールすることを検討してください。 たとえば、ISA Server がネットワークのエッジを保護している場合は、コンピュータをワークグループにインストールすることを検討します。
Windows インフラストラクチャを強化する
前述のとおり、このガイドは「Windows Server 2003 セキュリティ ガイド」で推奨された構成を適用していることを前提としています。 特に、Microsoft Baseline Security Policy セキュリティ テンプレートを適用する必要があります。 ただし、インターネット プロトコル セキュリティ (IPSec) フィルタやサーバー ロール ポリシーは実装しないでください。
また、ISA Server 機能を検討し、これに応じてオペレーティング システムを強化する必要があります。
次の表は、ISA Server および ISA Server コンピュータを正しく動作させるために有効にする必要のある主なサービスの一覧です。
| サービス名 | 説明 | スタートアップ モード |
COM+ Event System | コア オペレーティング システム | 手動 |
Cryptographic Services | コア オペレーティング システム (セキュリティ) | 自動 |
Event Log | コア オペレーティング システム | 自動 |
IPSec Services | コア オペレーティング システム (セキュリティ) | 自動 |
Logical Disk Manager | コア オペレーティング システム (ディスク管理) | 自動 |
Logical Disk Manager Administrative Service | コア オペレーティング システム (ディスク管理) | 手動 |
Microsoft Firewall | ISA Server の通常動作に必要 | 自動 |
Microsoft ISA Server Control | ISA Server の通常動作に必要 | 自動 |
Microsoft ISA Server Job Scheduler | ISA Server の通常動作に必要 | 自動 |
Microsoft ISA Server Storage | ISA Server の通常動作に必要 | 自動 |
MSSQL$MSFW | ISA Server で MSDE ロギングを使用するときに必要 | 自動 |
Network Connections | コア オペレーティング システム (ネットワーク インフラストラクチャ) | 手動 |
NTLM Security Support Provider | コア オペレーティング システム (セキュリティ) | 手動 |
Plug and Play | コア オペレーティング システム | 自動 |
Protected Storage | コア オペレーティング システム (セキュリティ) | 自動 |
Remote Access Connection Manager | ISA Server の通常動作に必要 | 手動 |
Remote Procedure Call (RPC) | コア オペレーティング システム | 自動 |
Secondary Logon | コア オペレーティング システム (セキュリティ) | 自動 |
Security Accounts Manager | コア オペレーティング システム | 自動 |
Server | ISA Server ファイアウォール クライアント共有に必要 | 自動 |
Smart Card | コア オペレーティング システム (セキュリティ) | 手動 |
SQLAgent$MSFW | ISA Server で MSDE ロギングを使用するときに必要 | 手動 |
System Event Notification | コア オペレーティング システム | 自動 |
Telephony | ISA Server の通常動作に必要 | 手動 |
Virtual Disk Service (VDS) | コア オペレーティング システム (ディスク管理) | 手動 |
Windows Management Instrumentation (WMI) | コア オペレーティング システム (WMI) | 自動 |
WMI Performance Adapter | コア オペレーティング システム (WMI) | 手動 |
ISA Server のサーバー ロール
ISA Server コンピュータは、使用方法によって、別の機能 (ロール) で動作します。 次の表は、使用可能なサーバー ロールの一覧です。ロールがいつ必要になるかを説明し、そのロールを有効にするときにアクティブにする必要のあるサービスを示します。
| サーバー ロール | 使用シナリオ | 必要なサービス | スタートアップ モード |
ルーティングとリモート アクセス サーバー | このロールを割り当てられたユーザーおよびグループは、ISA Server コンピュータとネットワーク活動を監視できますが、特定の監視機能を構成できません。 | Routing and Remote Access | 手動 |
ルーティングとリモート アクセス サーバー | このロールを割り当てられたユーザーおよびグループは、ISA Server コンピュータとネットワーク活動を監視できますが、特定の監視機能を構成できません。 | Remote Access Connection Manager | 手動 |
ルーティングとリモート アクセス サーバー | このロールを割り当てられたユーザーおよびグループは、ISA Server コンピュータとネットワーク活動を監視できますが、特定の監視機能を構成できません。 | Telephony | 手動 |
ルーティングとリモート アクセス サーバー | このロールを割り当てられたユーザーおよびグループは、ISA Server コンピュータとネットワーク活動を監視できますが、特定の監視機能を構成できません。 | Workstation | 自動 |
ルーティングとリモート アクセス サーバー | このロールを割り当てられたユーザーおよびグループは、ISA Server コンピュータとネットワーク活動を監視できますが、特定の監視機能を構成できません。 | Server | 自動 |
リモート デスクトップ管理用ターミナル サーバー | ISA Server コンピュータのリモート管理を有効にするには、このロールを選択します。 | Server | 自動 |
リモート デスクトップ管理用ターミナル サーバー | ISA Server コンピュータのリモート管理を有効にするには、このロールを選択します。 | Terminal Services | 手動 |
注
Server サービスのスタートアップ モードは、次の場合には自動にする必要があります。
| • | ISA Server 2004: クライアント インストール共有をインストールする。 |
| • | 仮想プライベート ネットワーク (VPN) を構成するために、ISA Server の管理ではなく、ルーティングとリモート アクセス管理を使用する。 |
| • | 上の表に示した他のタスクまたはロールがこのサービスを必要とする。 Routing and Remote Access サービスのスタートアップ モードは手動です。 ISA Server は、VPN が有効になっている場合にのみサービスを開始します。 |
Server サービスは、VPN の構成に ISA Server の管理ではなくルーティングとリモート アクセス管理を使用する場合にのみ必要になります。
ISA Server のサーバー タスク
サーバー タスクは、サーバー ロールに似ており、関連していることもよくありますが、サーバー ロールには含まれません。 必要なタスクをサーバーで実行するには、選択したロールに基づいて、特定のサービスを有効にする必要があります。 不要なサービスは無効にしてください。 次の表は、使用可能な ISA Server のサーバー タスクの一覧です。タスクがいつ必要になるかを説明し、そのタスクを有効にするときにアクティブにする必要のあるサービスを示します。
| サーバー タスク | 使用シナリオ | 必要なサービス | スタートアップ モード |
Windows インストーラを使用した、ローカルでのアプリケーションのインストール | Microsoft インストーラ サービスを使用してアプリケーションをインストール、アンインストール、または修復するために必要です。 | Windows Installer | 手動 |
バックアップ | ISA Server コンピュータで NTBackup やその他のバックアップ プログラムを使用するときに必要です。 | Microsoft Software Shadow Copy Provider | 手動 |
バックアップ | ISA Server コンピュータで NTBackup やその他のバックアップ プログラムを使用するときに必要です。 | Volume Shadow Copy | 手動 |
バックアップ | ISA Server コンピュータで NTBackup やその他のバックアップ プログラムを使用するときに必要です。 | Removable Storage | 手動 |
エラー報告 | エラー報告を有効にし、重大な障害を分析のために Microsoft に報告することによって Windowsの信頼性を向上させるために使用します。 | Error Reporting Service | 自動 |
ヘルプとサポート | Microsoft 製品サポート サービスにインシデントをエスカレーションするために、コンピュータの履歴データを収集できるようにします。 | Help and Support | 自動 |
ISA Server 2004: クライアント インストール共有 | ISA Server コンピュータ上のファイアウォール クライアント共有に各コンピュータを接続して、そこからインストールできるようにするために必要です。 | Server | 自動 |
ISA Server 2004: MSDE ロギング | MSDE データベースを使用するロギングを可能にするために必要です。 適用できるサービスを有効にしない場合は、SQL データベースまたはファイルにログを記録できます。 ただし、ログ ビューアをオフライン モードで使用することはできません。 | SQLAgent$MSFW | 手動 |
ISA Server 2004: MSDE ロギング | MSDE データベースを使用するロギングを可能にするために必要です。 適用できるサービスを有効にしない場合は、SQL データベースまたはファイルにログを記録できます。 ただし、ログ ビューアをオフライン モードで使用することはできません。 | MSSQL$MSFW | 自動 |
パフォーマンス モニタ - バックグラウンド収集 | ISA Server コンピュータのパフォーマンス データをバックグラウンドで収集できるようにします。 | Performance Logs and Alerts | 自動 |
リモート コンピュータへの出力 | ISA Server コンピュータからの印刷を可能にします。 | Print Spooler | 自動 |
リモート コンピュータへの出力 | ISA Server コンピュータからの印刷を可能にします。 | TCP/IP NetBIOS Helper | 自動 |
リモート コンピュータへの出力 | ISA Server コンピュータからの印刷を可能にします。 | Workstation | 自動 |
リモート Windows 管理 | Windows サーバーのリモート管理を可能にします (ISA Server のリモート管理には不要です)。 | Server | 自動 |
リモート Windows 管理 | Windows サーバーのリモート管理を可能にします (ISA Server のリモート管理には不要です)。 | Remote Registry | 自動 |
時間の同期 | ISA Server コンピュータが NTP サーバーと通信して、コンピュータの時計を同期できるようにします。 セキュリティ上の観点から、正確な時計はイベントの監視やその他のセキュリティ プロトコルにとって重要です。 | Windows Time | 自動 |
リモート アシスタント | このコンピュータでリモート アシスタンス機能を使用できるようにします。 | Help and Support | 自動 |
リモート アシスタント | このコンピュータでリモート アシスタンス機能を使用できるようにします。 | Remote Desktop Help Session Manager | 手動 |
リモート アシスタント | このコンピュータでリモート アシスタンス機能を使用できるようにします。 | Terminal Services | 手動 |
注
Time クライアント アプリケーションが正しく機能するには、Wireless または Server サービスが動作している必要があります。
ISA Server のクライアント ロール
サーバーは他のサーバーのクライアントにすることができます。 クライアント ロールは、有効にするロール固有のサービスによって変わります。 次の表は、使用可能な ISA Server のクライアント ロールの一覧です。ロールがいつ必要になるかを説明し、そのロールを有効にするときにアクティブにする必要のあるサービスを示します。
| クライアント ロール | 使用シナリオ | 必要なサービス | スタートアップ モード |
自動更新クライアント | このロールを選択すると、Microsoft Windows Update から更新を自動的に検出して実行できます。 | Automatic Updates | 自動 |
自動更新クライアント | このロールを選択すると、Microsoft Windows Update から更新を自動的に検出して実行できます。 | Background Intelligent Transfer Service | 手動 |
DHCP クライアント | ISA Server コンピュータが IP アドレスを DHCP サーバーから自動的に受け取る場合は、このロールを選択します。 | DHCP Client | 自動 |
DNS クライアント | ISA Server コンピュータが名前解決情報を他のサーバーから受け取る必要がある場合は、このロールを選択します。 | DNS Client | 自動 |
ドメイン メンバ | ISA Server コンピュータがドメインに所属する場合は、このロールを選択します。 | Network Location Awareness (NLA) | 手動 |
ドメイン メンバ | ISA Server コンピュータがドメインに所属する場合は、このロールを選択します。 | Net Logon | 自動 |
ドメイン メンバ | ISA Server コンピュータがドメインに所属する場合は、このロールを選択します。 | Windows Time | 自動 |
動的 DNS 登録 | このロールを選択すると、ISA Server コンピュータの名前およびアドレス情報を DNS サーバーに自動的に登録できます。 | DHCP Client | 自動 |
Microsoft ネットワーク クライアント | ISA Server コンピュータを他の Windows クライアントに接続する必要がある場合は、このロールを選択します。 このロールを選択しないと、ISA Server コンピュータは、レポートを公開する場合などに、リモート コンピュータ上の共有にアクセスできません。 | TCP/IP NetBIOS Helper | 自動 |
Microsoft ネットワーク クライアント | ISA Server コンピュータを他の Windows クライアントに接続する必要がある場合は、このロールを選択します。 このロールを選択しないと、ISA Server コンピュータは、レポートを公開する場合などに、リモート コンピュータ上の共有にアクセスできません。 | Workstation | 自動 |
WINS クライアント | ISA Server コンピュータが WINS ベースの名前解決を使用する場合は、このロールを選択します。 | TCP/IP NetBIOS Helper | 自動 |
セキュリティ テンプレートを作成する
Microsoft 管理コンソール (MMC) の [セキュリティ テンプレート] スナップインを使用して、テンプレートを作成できます。 このテンプレートには、どのサービスを有効にするかという情報やそれらのスタートアップ モードに関する情報が含まれています。 セキュリティ テンプレートを使用することにより、簡単にセキュリティ ポリシーを構成し、各 ISA Server コンピュータに適用することができます。
セキュリティ テンプレートを作成するには、次の手順を実行します。
1. | セキュリティ テンプレートを開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「mmc」と入力し、[OK] をクリックします。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. | [ファイル] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3. | [セキュリティ テンプレート] をクリックし、[追加]、[閉じる]、[OK] の順にクリックします。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4. | コンソール ツリーで [セキュリティ テンプレート] ノードをクリックし、新しいテンプレートを保存するフォルダを右クリックして、[新しいテンプレート] をクリックします。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5. | [テンプレート名] に、新しいセキュリティ テンプレートの名前を入力します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6. | [説明] に、新しいセキュリティ テンプレートの説明を入力し、[OK] をクリックします。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
7. | 新しいテンプレートを展開し、[システム サービス] をクリックします。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
8. | 詳細ペインで [COM+ Event System] を右クリックし、[プロパティ] をクリックします。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
9. | [このポリシーの設定をテンプレートで定義する] チェック ボックスをオンにし、スタートアップ モードをクリックします (COM+ Event System の場合、スタートアップ モードは [自動] です)。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
10. | 次の表に示す各サービスについて、手順 8 ~ 9 を繰り返します。
|
注
Server サービスのスタートアップ モードは、次の場合には自動にする必要があります。
| • | ISA Server 2004: クライアント インストール共有をインストールする。 |
| • | VPN を構成するために、ISA Server の管理ではなく、ルーティングとリモート アクセス管理を使用する。 |
| • | 上の表に示した他のタスクまたはロールがこのサービスを必要とする。 Routing and Remote Access サービスのスタートアップ モードは手動です。 ISA Server は、VPN が有効になっている場合にのみサービスを開始します。 |
新しいテンプレートを ISA Server コンピュータに適用するには、次の手順を実行します。
1. | セキュリティ テンプレートを開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「mmc」と入力し、[OK] をクリックします。 |
2. | [ファイル] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。 |
3. | [セキュリティの構成と分析] をクリックし、[追加]、[閉じる]、[OK] の順にクリックします。
|
4. | コンソール ツリーで [セキュリティの構成と分析] をクリックします。 |
5. | [セキュリティの構成と分析] を右クリックし、[データベースを開く] をクリックします。 |
6. | 新しいデータベース名を入力し、[開く] をクリックします。 |
7. | インポートするセキュリティ テンプレートを選択し、[開く] をクリックします。 以前に作成したセキュリティ テンプレートを選択します。
|
8. | [セキュリティの構成と分析] を右クリックし、[コンピュータの構成] をクリックします。 |
アクセス許可とロールを管理する
ISA Server はネットワークへのアクセスを制御するため、ISA Server コンピュータと関連コンポーネントへのアクセス許可の割り当てには特に注意を払う必要があります。 ISA Server コンピュータへのアクセス権を誰が持つかを慎重に決めます。 それに応じて、ログオン権利を構成します。
ISA Server では、ユーザーとグループに管理ロールを適用できます。 ISA Server のポリシーと監視情報を構成または表示する許可をどのグループに与えるかを決めたら、それに従ってロールを割り当てることができます。
以下のセクションでは、アクセス許可と管理ロールを割り当てるときの考慮事項を詳細に説明します。
管理ロール
環境内でどのようなアプリケーションを使用する場合でも、ISA Server のアクセス許可を定義する際は、ISA Server 管理者にどのようなロールを与えるかを検討し、必要なアクセス許可だけを割り当てる必要があります。 このプロセスを簡略化するために、ISA Server では管理ロールを使用します。 ロールベースの管理を使用して、ISA Server 管理者を、独自のタスク セットを持つ事前定義された別々のロールに組織することができます。 ユーザーにロールを割り当てると、基本的にそのユーザーに特定のタスクを実行するアクセス許可を与えることになります。 ISA Server 管理者 (完全) などのロールを持つユーザーは、ISA Server の基本監視機能などの別のロールを持つユーザーが実行できないタスクを実行できます。 ロールベースの管理には、Windows のユーザーおよびグループが含まれます。 これらのセキュリティ アクセス許可、グループ メンバシップ、およびユーザー権利を使用して、各ユーザーのロールを識別します。 次の表で、ISA Server のロールについて説明します。
| ロール | 説明 |
ISA Server の基本監視機能 | このロールを割り当てられたユーザーおよびグループは、ISA Server コンピュータとネットワーク活動を監視できますが、特定の監視機能を構成できません。 |
ISA Server の拡張監視機能 | このロールを割り当てられたユーザーおよびグループは、ログの構成、警告定義の構成、および ISA Server の基本監視機能ロールで使用できるすべての監視機能を実行できます。 |
ISA Server 管理者 (完全) | このロールを割り当てられたユーザーおよびグループは、ルールの構成、ネットワーク テンプレートの適用、監視など、すべての ISA Server タスクを実行できます。 |
どの Windows ユーザーでも、これらの ISA Server 管理グループのメンバになることができます。 特別な権限や Windows のアクセス許可は不要です。 唯一の例外は、perfmon または ISA Server ダッシュボードを使用して ISA Server のパフォーマンス カウンタを表示する場合です。この場合、ユーザーは Windows Server 2003 Performance Monitors User ユーザー グループのメンバである必要があります。
ISA Server の拡張監視機能アクセス許可を持つ管理者は、シークレット構成情報を含むすべての構成情報をエクスポートおよびインポートできます。 つまり、これらの管理者はシークレット情報を解読することができます。
管理ロールを割り当てるには、次の手順を実行します。
1. | [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。 |
2. | ISA Server の管理のコンソール ツリーで、[Microsoft ISA Server 2004] をクリックし、サーバー名をクリックします。 |
3. | [タスク] タブで、[管理ロールの定義] をクリックします。 |
4. | [ISA Server 管理委任ウィザードの開始] ページで、[次へ] をクリックします。 |
5. | [追加] をクリックします。 |
6. | [グループ (推奨) またはユーザー] で、特定の管理アクセス許可を割り当てるグループまたはユーザーの名前を入力します。 |
7. | [ロール] で、適用できる管理ロールをクリックします。 |
ロールとアクティビティ
ISA Server の各ロールには、関連する ISA Server タスクがあります。 次の表は、一部の ISA Server 管理タスクおよび実行されるロールの一覧です。
| アクティビティ | 基本監視機能アクセス許可 | 拡張監視機能アクセス許可 | 管理者 (完全) アクセス許可 |
ダッシュボード、警告、接続、セッション、サービスの表示 | X | X | X |
警告の受信確認 | X | X | X |
ログ情報の表示 |
| X | X |
警告定義の作成 |
| X | X |
レポートの作成 |
| X | X |
セッションおよびサービスの停止と開始 |
| X | X |
ファイアウォール ポリシーの表示 |
| X | X |
ファイアウォール ポリシーの構成 |
|
| X |
キャッシュの構成 |
|
| X |
VPN の構成 |
|
| X |
アクセス許可
ISA Server 管理者のアクセス許可を構成する場合は、次のセクションで説明するように、権限を必要最小限にするという原則を適用します。 誰が ISA Server コンピュータへのログオンを許可されているかを慎重に判断して、重要でない人がサーバーの機能にアクセスしないようにします。
必要最小限の権限
必要最小限の権限の原則を適用すると、ユーザーには特定のタスクを実行するための最小限の権限しか与えられません。 これは、ユーザー アカウントが危害を受けた場合に、そのユーザーが持つ権限が制限されていることにより、影響を最小限に抑えることができます。
Administrators グループとその他のユーザー グループをできるだけ小さくします。 ISA Server コンピュータの Administrators グループに属するユーザーは、ISA Server コンピュータでどんなタスクでも実行できます。
Administrators グループのユーザーには ISA Server 管理者 (完全) ロールが自動的に割り当てられます。これは、ISA Server の構成および監視を行うための完全な権限も持つことになるので注意してください。 ロールの詳細については、「管理ロール」を参照してください。
ログオンおよび構成
ISA Server コンピュータにログオンする際は、タスクを実行するために必要な最小限の権限でログオンします。 たとえば、ルールを構成するには、ISA Server 管理者としてログオンする必要があります。 しかし、レポートを参照するだけなら、それよりも低い権限でログオンします。
通常、管理タスク以外の日常的なタスクを実行する場合はアクセス許可を制限されたアカウントを使用し、特定の管理タスクを実行する場合にだけより広いアクセス許可のアカウントを使用します。
Guest アカウント
ISA Server コンピュータでは Guest アカウントを有効にしないことをお勧めします。
ユーザーが ISA Server コンピュータにログオンすると、オペレーティング システムは資格情報が既知のユーザーと一致するかどうかをチェックします。 資格情報が既知のユーザーと一致しない場合、ユーザーは Guest としてログインし、Guest アカウントに許可されているのと同じ権限を持ちます。
ISA Server では、Guest アカウントを既定のユーザー セット [認証されたすべてのユーザー] として認識します。
随意アクセス制御リスト
新規のインストール時に、ISA Server の随意アクセス制御リスト (DACL) は適切に構成されています。 さらに、管理ロール (詳細については、「管理ロール」を参照してください) を変更した場合や、ISA Server Control サービス (isactrl) が再開された場合には、ISA Server は DACL を適切に再構成します。
警告
Because ISA Server は定期的に DACL を再構成するため、セキュリティの構成と分析ツールを使用して ISA Server オブジェクト上でファイルごとに DACL を構成しないでください。 この方法で構成すると、グループ ポリシーによって設定される DACL と ISA Server が構成しようとする DACL の間で競合が生じる場合があります。
ISA Server によって設定される DACL を変更しないでください。 ISA Server では、次に挙げるオブジェクトの DACL は設定されません。 これらのオブジェクトの DACL は慎重に設定し、信頼される特定のユーザーにだけアクセス許可を与える必要があります。
| • | レポート用のフォルダ (レポートの公開を選択した場合)。 |
| • | 構成をエクスポートまたはバックアップするときに作成される構成ファイル。 |
| • | 別の場所にバックアップされるログ ファイル。 |
DACL は慎重に設定し、信頼されるユーザーおよびグループにだけアクセス許可を与えてください。 また、ISA Server によって間接的に使用されるオブジェクトには厳密な DACL を作成してください。 たとえば、ISA Server によって使用される ODBC 接続を作成する場合、データ ソース名 (DSN) を安全に保つようにしてください。
ISA Server コンピュータで実行されるすべてのアプリケーションに対して、厳密な DACL を構成します。 ファイル システムおよびレジストリ内の関連データに厳密な DACL を構成してください。
ヒント
重要なデータ (実行ファイルやログ ファイル) を FAT32 パーティションに保存しないことをお勧めします。 DACL は FAT32 パーティション用に構成できないからです。
攻撃対象領域を削減する
ISA Server コンピュータのセキュリティをさらに強化するために、攻撃対象領域を削減するという原則を適用します。 広範な攻撃対象領域を削減するには、次のガイドラインに従ってください。
| • | ISA Server コンピュータで不要なアプリケーションやサービスを実行しない。 「Windows インフラストラクチャを強化する」で説明したように、現在のタスクに重要でないサービスと機能を無効にする。 |
| • | 使用しない ISA Server 機能を無効にする。 たとえば、キャッシュ機能が不要な場合は、キャッシュ機能を無効にします。 ISA Server の VPN 機能が不要な場合は、VPN クライアント アクセスを無効にします。 |
| • | ネットワークの管理方法に重要でないサービスとタスクを特定し、関連するシステム ポリシー ルールを無効にする。 |
| • | システム ポリシー ルールの適用を、必要なネットワーク エンティティだけに制限する。 たとえば、既定で有効になる Active Directory システム ポリシー構成グループは、内部ネットワーク上のすべてのコンピュータに適用されます。 これを内部ネットワーク上の特定の Active Directory グループにだけ適用されるように制限できます。 |
以下のセクションでは、ISA Server コンピュータの攻撃対象領域を削減する方法を説明します。
ISA Server の機能を無効にする
ネットワークのニーズによっては、ISA Server に含まれる広範な機能が必要ない場合があります。 特定のニーズを慎重に検討して、次のものが必要かどうかを決める必要があります。
| • | VPN クライアント アクセス |
| • | キャッシュ機能 |
| • | アドイン |
特定の機能が不要な場合は、その機能を無効にします。
VPN クライアント アクセス
VPN クライアント アクセスは既定で無効になっています。 これは、関連するシステム ポリシー ルール ([ISA Server への VPN クライアント トラフィックを許可する]) も無効になっていることを意味します。 VPN クライアント アクセスが無効になっていても、既定のネットワーク ルール ([VPN クライアントから内部ネットワーク]) は有効です。 VPN クライアント アクセスが有効になっていた場合は、不要なら無効にできます。
VPN クライアント アクセスが無効になっていることを確認するには、次の手順を実行します。
1. | [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。 |
2. | ISA Server の管理のコンソール ツリーで、[Microsoft ISA Server 2004] をクリックし、サーバー名をクリックします。次に、[仮想プライベート ネットワーク (VPN)] をクリックします。 |
3. | 詳細ペインで、[VPN クライアント] タブをクリックし、[VPN クライアント アクセスが有効になっていることを確認する] をクリックします。
|
4. | [全般] タブで、[VPN クライアント アクセスを有効にする] がオフになっていることを確認します。
|
キャッシュ機能
キャッシュ機能は既定で無効になっています。 これは、関連するキャッシュ機能 (予定されたコンテンツ ダウンロードなど) がすべて無効になっていることを意味します。 ISA Server のキャッシュ機能が有効になっていた場合は、無効できます。
キャッシュ機能が無効になっていることを確認するには、次の手順を実行します。
1. | [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。 |
2. | ISA Server の管理のコンソール ツリーで、[Microsoft ISA Server 2004] をクリックし、サーバー名をクリックします。次に、[構成] をクリックし、[キャッシュ] をクリックします。 |
3. | 詳細ペインで、[キャッシュ ドライブ] タブをクリックします。 |
4. | [タスク] タブで、[キャッシュの無効化] をクリックします。
|
アドイン
ISA Server をインストールすると、一連のアプリケーション フィルタと Web フィルタもインストールされます。 その後、サードパーティ ベンダが提供する追加のアドインをインストールできます。 次のセキュリティ ガイドラインに従ってください。
| • | 不要なアプリケーション フィルタや Web フィルタをインストールしない。 |
| • | 信頼されていないソースからフィルタをインストールしない。 |
| • | アドインに関連する DLL を、保護されたライブラリ (%ProgramFiles%\Microsoft ISA Server など) に保存する。 このライブラリには厳密な ACL を構成してください。 |
| • | 不要なアプリケーション フィルタと Web フィルタを無効にする。 |
アドインを無効にするには、次の手順を実行します。
1. | [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。 |
2. | ISA Server の管理のコンソール ツリーで、[Microsoft ISA Server 2004] をクリックし、サーバー名をクリックします。次に、[構成] をクリックし、[アドイン] をクリックします。 |
3. | 詳細ペインで、適用できるアドインをクリックします。 |
4. | [タスク] タブで、[選択したフィルタの無効化] をクリックします。 |
システム ポリシー
ISA Server には、既定のシステム ポリシーが含まれています。これにより、ネットワーク インフラストラクチャが適切に機能するために必要な共通のサービスを使用できます。
通常、セキュリティの観点から、ネットワークの管理に不要なサービスへのアクセスを許可しないシステム ポリシーを構成することを強くお勧めします。 インストール後に、システム ポリシー ルールを慎重に見直してください。 同様に、主要な管理タスクを実行した後に、システム ポリシー構成を見直してください。
以下のセクションでは、システム ポリシー ルールによって有効にされるサービスについて説明します。
ネットワーク サービス
ISA Server のインストール時は、基本ネットワーク サービスが有効になっています。 インストール後、ISA Server から内部ネットワーク上の名前解決サーバーと時間の同期サービスにアクセスできます。
別のネットワークのネットワーク サービスを利用できる場合は、適用可能な構成グループ ソースを変更して、特定のネットワークに適用する必要があります。 たとえば、DHCP サーバーが、内部ネットワーク上ではなく、境界ネットワーク上にあるとします。 DHCP 構成グループのソースを変更して、この境界ネットワークに適用します。
システム ポリシーを変更して、内部ネットワーク上の特定のコンピュータにだけアクセスできるようにすることができます。 また、サービスが他の場所にある場合は、ネットワークを追加することができます。
次の表に、ネットワーク サービスに適用されるシステム ポリシー ルールを示します。
| 構成グループ | ルール名 | ルールの説明 |
DHCP | ISA Server から内部ネットワークへの DHCP 要求を許可する DHCP サーバーから ISA Server への DHCP 応答を許可する | DHCP (返信) プロトコルおよび DHCP (要求) プロトコルを使用して、ISA Server コンピュータから内部ネットワークにアクセスできるようにします。 |
DNS | ISA Server から選択したサーバーまで、DNS を許可する | DNS プロトコルを使用して、ISA Server コンピュータからすべてのネットワークにアクセスできるようにします。 |
NTP | ISA Server から信頼された NTP サーバーへの NTP を許可する | NTP (UDP) プロトコルを使用して、ISA Server コンピュータから内部ネットワークにアクセスできるようにします。 |
DHCP サービス
DHCP サーバーが内部ネットワーク上にない場合は、システム ポリシー ルールを変更して、DHCP サーバーがあるネットワークに適用されるようにする必要があります。 たとえば、DHCP サーバーが外部ネットワーク上にある場合は、次の手順を実行します。
1. | [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。 |
2. | ISA Server の管理のコンソール ツリーで、[Microsoft ISA Server 2004] をクリックし、サーバー名をクリックします。次に、[ファイアウォール ポリシー] をクリックします。 |
3. | [タスク] タブで、[システム ポリシーの編集] をクリックします。 |
4. | システム ポリシー エディタの [構成グループ] ツリーで、[DHCP] をクリックします。 |
5. | [送信元] タブで、[追加] をクリックします。 |
6. | [ネットワーク エンティティの追加] で、ネットワーク オブジェクトをクリックします。
|
7. | [追加] をクリックし、[閉じる] をクリックします。 |
認証サービス
ISA Server の基本機能の 1 つに、特定のユーザーにファイアウォール ポリシーを適用する機能があります。 ただし、ユーザーを認証するには、ISA Server が認証サーバーと通信できる必要があります。 このため、ISA Server は既定で Active Directory サーバー (Windows 認証の場合) および内部ネットワーク上の RADIUS サーバーと通信できるようになっています。
次の表に、認証サービスに適用されるシステム ポリシー ルールを示します。
| 構成グループ | ルール名 | ルールの説明 |
Active Directory | 認証目的のディレクトリ サービスへのアクセスを許可する ISA Server から信頼されたサーバーへの RPC を許可する ISA Server から信頼されたサーバーへの Microsoft CIFS を許可する ISA Server から信頼されたサーバーへの Kerberos 認証を許可する | Active Directory ディレクトリ サービスを使用する各種 LDAP プロトコル、RPC (すべてのインターフェイス) プロトコル、各種 Microsoft CIFS プロトコル、および各種 Kerberos プロトコルを使用して、ISA Server コンピュータから内部ネットワークにアクセスできるようにします。 |
RSA SecurID | ISA Server から信頼されたサーバーへの SecurID 認証を許可する | RSA SecurID® プロトコルを使用して、ISA Server コンピュータから内部ネットワークにアクセスできるようにします。 |
RADIUS | ISA Server から信頼された RADIUS サーバーへの RADIUS 認証を許可する | 各種 RADIUS プロトコルを使用して、ISA Server コンピュータから内部ネットワークにアクセスできるようにします。 |
証明書失効リスト | CRL ダウンロードに、ISA Server からすべてのネットワークへの HTTP を許可する | 認証サービス: 更新された証明書失効リスト (CRL) をダウンロードするために、ISA Server から選択したネットワークへの HTTP を許可します。 |
DCOM
DCOM プロトコルを使用する必要がある場合 (たとえば、ISA Server コンピュータをリモート管理する場合など) は、[厳密な RPC 互換性を適用する] がオフになっていることを確認してください。
[厳密な RPC 互換性を適用する] がオフになっていることを確認するには、次の手順を実行します。
1. | [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。 |
2. | ISA Server の管理のコンソール ツリーで、[Microsoft ISA Server 2004] をクリックし、サーバー名をクリックします。次に、[ファイアウォール ポリシー] をクリックします。 |
3. | [タスク] タブで、[システム ポリシーの編集] をクリックします。 |
4. | システム ポリシー エディタの [構成グループ] ツリーで、[Active Directory] をクリックします。 |
5. | [厳密な RPC 互換性を適用する] がオフになっていることを確認します。
|
Windows および RADIUS 認証サービス
Windows 認証や RADIUS 認証を必要としない場合は、次の手順を実行して、適用可能なシステム ポリシー構成グループを無効にする必要があります。
1. | [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。 |
2. | ISA Server の管理のコンソール ツリーで、[Microsoft ISA Server 2004] をクリックし、サーバー名をクリックします。次に、[ファイアウォール ポリシー] をクリックします。 |
3. | [タスク] タブで、[システム ポリシーの編集] をクリックします。 |
4. | システム ポリシー エディタの [構成グループ] ツリーで、[Active Directory] をクリックします。 |
5. | [全般] タブで、[有効にする] がオフになっていることを確認します。
|
6. | RADIUS 構成グループについても、手順 4 ~ 5 を繰り返します。
|
RSA SecurID 認証サービス
RSA SecurID 認証サーバーとの通信は既定で無効になっています。 ファイアウォール ポリシーで RSA SecurID 認証が必要な場合は、この構成グループを有効にしてください。
CRL 認証サービス
既定では、証明書失効リスト (CRL) をダウンロードできません。 これは、CRL ダウンロード構成グループが既定で有効になっていないためです。
CRL ダウンロードを有効にするには、次の手順を実行します。
1. | [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。 |
2. | ISA Server の管理のコンソール ツリーで、[Microsoft ISA Server 2004] をクリックし、サーバー名をクリックします。次に、[ファイアウォール ポリシー] をクリックします。 |
3. | [タスク] タブで、[システム ポリシーの編集] をクリックします。 |
4. | システム ポリシー エディタの [構成グループ] ツリーで、[CRL ダウンロード] をクリックします。 |
5. | [全般] タブで、[有効にする] がオンになっていることを確認します。 |
6. | [宛先] タブで、証明書失効リストをダウンロードできるネットワーク エンティティをクリックします。 |
ローカル ホスト ネットワーク (ISA Server コンピュータ) から [宛先] タブに表示されたネットワーク エンティティへのすべての HTTP トラフィックが許可されます。
リモート管理
リモート コンピュータから ISA Server を管理することはよくあります。 どのリモート コンピュータが ISA Server の管理と監視を許可されているかを慎重に判断してください。 次の表に、構成する必要があるシステム ポリシー ルールを示します。
| 構成グループ | ルール名 | ルールの説明 |
Microsoft 管理コンソール | MMC を使用した、選択されたコンピュータからのリモート管理を許可する 選択したコンピュータに対する MS Firewall Control 通信を許可する | MS Firewall Control および RPC (すべてのインターフェイス) プロトコルを使用して、コンピュータ セット [リモート管理コンピュータ] 内のコンピュータから ISA Server コンピュータにアクセスできるようにします。 |
ターミナル サーバー | ターミナル サーバーを使用した、選択されたコンピュータからのリモート管理を許可する | RDP (ターミナル サービス) プロトコルを使用して、コンピュータ セット [リモート管理コンピュータ] 内のコンピュータから ISA Server コンピュータにアクセスできるようにします。 |
ICMP (Ping) | 選択されたコンピュータから ISA Server への ICMP(PING) 要求を許可する | Ping プロトコルを使用して、コンピュータ セット [リモート管理コンピュータ] 内のコンピュータから ISA Server コンピュータにアクセスできるようにします。 |
既定では、ISA Server のリモート管理を可能にするシステム ポリシー ルールが有効になっています。 ISA Server を管理するには、リモートで Microsoft 管理コンソール (MMC) スナップインを実行するか、ターミナル サービスを使用します。
既定では、これらのルールはビルトインのコンピュータ セット [リモート管理コンピュータ] に適用されます。 ISA Server のインストール時に、このコンピュータ セットが空で作成されます。 このコンピュータ セットに、ISA Server をリモート管理するすべてのコンピュータを追加します。 追加しないと、どのコンピュータからもリモート管理を実際に行うことはできません。
ヒント
リモート管理を特定のコンピュータのみに制限するには、システム ポリシー ルールを特定の IP アドレスにだけ適用するように構成します。
リモート管理を有効にするには、次の手順を実行します。
1. | [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。 |
2. | ISA Server の管理のコンソール ツリーで、[Microsoft ISA Server 2004] をクリックし、サーバー名をクリックします。次に、[ファイアウォール ポリシー] をクリックします。 |
3. | [ツールボックス] タブで、[ネットワーク オブジェクト] をクリックします。
|
4. | [ネットワーク オブジェクト] の下のペインで、[コンピュータ セット] の [リモート管理コンピュータ] を右クリックし、[プロパティ] をクリックします。
|
5. | [追加] をクリックし、[コンピュータ] をクリックします。 |
6. | [名前] に、コンピュータの名前を入力します。 |
7. | [コンピュータの IP アドレス] に、ISA Server をリモート管理できるコンピュータの IP アドレスを入力します。 |
リモート監視とリモート ログ
既定では、リモート ログとリモート監視は無効になっています。 次の構成グループは、既定で無効になっています。
| • | リモート ログ (NetBIOS) |
| • | リモート ログ (SQL) |
| • | リモート パフォーマンス モニタ |
| • | Microsoft Operations Manager |
次の表で、構成グループについて説明します。
| 構成グループ | ルール名 | ルールの説明 |
リモート ログ (NetBIOS) | NetBios を使用した、信頼されたサーバーへのリモート ログを許可する | 各種 NetBIOS プロトコルを使用して、ISA Server コンピュータから内部ネットワークにアクセスできるようにします。 |
リモート ログ (SQL) | ISA Server から選択されたサーバーへのリモート SQL ログを許可する | Microsoft (SQL) プロトコルを使用して、ISA Server コンピュータから内部ネットワークにアクセスできるようにします。 |
リモート パフォーマンス モニタ | 信頼されたサーバーからの ISA Server へのリモート パフォーマンス監視を許可する | 各種 NetBIOS プロトコルを使用して、コンピュータ セット [リモート管理コンピュータ] 内のコンピュータから ISA Server コンピュータにアクセスできるようにします。 |
Microsoft Operations Manager | Microsoft Operations Manager (MOM) Agent を使用する、ISA Server から信頼されたサーバーへのリモート監視を許可する | Microsoft Operations Manager エージェントを使用して、ISA Server コンピュータから内部ネットワークにアクセスできるようにします。 |
リモート ログとリモート監視を有効にする
リモート監視とログを有効にするには、次の手順を実行します。
1. | [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。 | ||||||||
2. | ISA Server の管理のコンソール ツリーで、[Microsoft ISA Server 2004] をクリックし、サーバー名をクリックします。次に、[ファイアウォール ポリシー] をクリックします。 | ||||||||
3. | [タスク] タブで、[システム ポリシーの編集] をクリックします。 | ||||||||
4. | システム ポリシー エディタの [構成グループ] ツリーで、次の構成グループの 1 つまたは複数をクリックします。
| ||||||||
5. | [全般] タブで、[有効にする] がオンになっていることを確認します。 |
ファイアウォール クライアント共有
ファイアウォール クライアント共有コンポーネントをインストールしてある場合は、ISA Server をインストールすると、既定でファイアウォール クライアント インストール共有構成グループが有効になります。 内部ネットワーク上のすべてのコンピュータから共有フォルダにアクセスできます。 次の表に、有効になっているシステム ポリシー構成グループとそのルールを示します。
| 構成グループ | ルール名 | ルールの説明 |
ファイアウォール クライアント | 信頼されたコンピュータから ISA Server 上のファイアウォール クライアントのインストール共有へのアクセスを許可する | 各種 Microsoft CIFS および NetBIOS プロトコルを使用して、内部ネットワーク上のコンピュータから ISA Server コンピュータにアクセスできるようにします。 このルールを有効にすると、SMB を使用して特定のネットワークまたはコンピュータから ISA Server コンピュータにアクセスできます。 アクセスは、ファイアウォール クライアントのインストール共有フォルダに限定されません。 |
ファイアウォール クライアント共有コンポーネントをインストールしていない場合は、この構成グループは有効になりません。
診断サービス
既定では、診断サービスへのアクセスを許可するシステム ポリシー ルールは、次のアクセス許可で有効になっています。
| • | ICMP。 これはすべてのネットワークに許可されます。 このサービスは、他のコンピュータへの接続を識別するために重要です。 |
| • | Windows ネットワーク。 これにより、既定で内部ネットワーク上のコンピュータへの NetBIOS 通信が可能になります。 |
| • | Microsoft エラー レポート。 これにより、Microsoft エラー レポート サイトの URL セットへの HTTP アクセスが可能になり、エラー情報を報告できます。 既定では、この URL セットには特定の Microsoft サイトが含まれます。 |
| • | 接続検証方法。 これにより、ISA Server コンピュータで HTTP および HTTPS プロトコルを使用して、特定のコンピュータから応答があるかどうかをチェックできます。 |
次の表に、既定で有効になるシステム ポリシー構成グループを示します。
| 構成グループ | ルール名 | ルールの説明 |
ICMP | ISA Server から選択したサーバーまで、ICMP 要求を許可する | 各種 ICMP プロトコルと Ping プロトコルを使用して、ISA Server コンピュータからすべてのネットワークにアクセスできるようにします。 |
Windows ネットワーク | ISA Server から信頼されたサーバーへの NetBIOS を許可する | 各種 NetBIOS プロトコルを使用して、ISA Server コンピュータからすべてのネットワークにアクセスできるようにします。 |
Microsoft への通信 (Microsoft エラー レポート) | ISA Server から Microsoft エラー レポート サイトへの HTTP/HTTPS を許可する | HTTP または HTTPS プロトコルを使用して、ISA Server コンピュータから Microsoft エラー レポート サイトの URL セットのメンバにアクセスできるようにします。 |
接続検証方法
既定では、診断サービスの HTTP 接続検証方法は有効になっていません。
接続検証方法を作成すると、HTTP 接続検証方法構成グループが有効になり、ローカル ホスト ネットワークで HTTP または HTTPS を使用して他のネットワーク上のコンピュータにアクセスできます。 次の表で、HTTP 接続検証方法構成グループについて説明します。
| 構成グループ | ルール名 | ルールの説明 |
HTTP 接続検証方法 | HTTP 接続検証方法に、ファイアウォールからすべてのネットワークへの HTTP/HTTPS を許可する | ISA Server コンピュータで、特定のコンピュータに HTTP GET 要求を送信することによって、接続を確認します。 |
このアクセスは、接続を確認する必要がある特定のコンピュータに制限することをお勧めします。
このアクセスを制限するには、次の手順を実行します。
1. | [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。 |