役割に基づいて Exchange 2000 サーバーのセキュリティを強化する
公開日: 2004年6月2日
トピック
モジュールの内容
このモジュールでは、悪意を持った攻撃や好ましくない攻撃を防止するために Microsoft Exchange 2000 環境をロックダウンする方法について説明します。ロックダウンは Exchange サーバーの役割に基づき、グループ ポリシーを使用して行われます。Exchange バックエンド メールボックスおよびパブリック フォルダ サーバーが通常使用しないサービスを無効にすることができます。Outlook Web Access (OWA) フロントエンド サーバーでは、別のサービスを無効にし、使用されていないデータベースを削除することもできます。このモジュールでは、アクセス制御リスト (ACL) を変更してセキュリティを向上させる方法について説明します。セキュリティ テンプレートは、これらの目標を達成するために提供され、推奨組織単位 (OU) 設計は、サーバー ポリシーを展開するために提供されています。Exchange 2000 環境での IIS (Internet Information Services) Lockdown や URLScan などのセキュリティ強化ツールの使用についても説明します。
目的
このモジュールの目的は次のとおりです。
| • | Exchange 2000 フロントエンドおよびバックエンド サーバーのセキュリティを強化する。 |
| • | 提供されているセキュリティ テンプレートおよびグループ ポリシーを使用して、Exchange 2000 フロントエンドおよびバックエンド サーバーのセキュリティを強化する。 |
| • | グループ ポリシーを簡単に適用できるように OU 構造を編成する。 |
| • | Exchange 2000 サーバーをロックダウンするグループ ポリシーのセキュリティ テンプレートをインポートして適用する。 |
| • | Exchange バックエンド サーバー ポリシーの影響を受けるサービスおよび ACL の決定および変更を行う。 |
| • | OWA フロントエンド サーバー ポリシーの影響を受けるサービスおよび ACL の決定および変更を行う。 |
| • | ロックダウンされた環境で Exchange 2000 のインストールおよびアップデートを行う。 |
| • | IIS Lockdown ツールを使用し、URLScan をインストールする。 |
| • | OWA フロントエンド サーバー用に IIS Lockdown および URLScan の設定を変更する。 |
| • | OWA フロントエンド サーバーのメールボックスおよびパブリック フォルダ データベースを削除する。 |
| • | 特定のバージョンが表示されないようにバナー応答を変更して SMTP サーバーを保護する。 |
| • | Exchange Domain Servers グループのメンバが EDSLock を実行してすべてのメールボックスにアクセスすることを禁止する。 |
適用対象
このモジュールは、次の製品および技術に適用されます。
| • | Microsoft Exchange 2000 Server |
| • | Microsoft Windows 2000 オペレーティング システム Active Directory ディレクトリ サービス |
モジュールの使用方法
このモジュールは、『Microsoft Windows 2000 Server セキュリティ運用ガイド』(日経 BP ソフトプレス発行、ISBN: 4-89100-334-0) の補足として利用できるように構成されています。このモジュールを読む前に、このガイドの内容を理解しておくことをお勧めします。このモジュールの各セクションは、『Microsoft Windows 2000 Server セキュリティ運用ガイド』に対応しています (該当する場合は、本文中にそのように明記されます)。また、『Microsoft Exchange 2000 Server Operations』(Microsoft Press、ISBN: 0-7356-1831-3、英語) の内容も理解しておくこともお勧めします。この本には、Exchange 2000 の全般的な運用に関する詳細情報が記載されています。
このモジュールの目的は、Exchange のコア機能に影響を与えずに、Exchange 2000 環境のセキュリティを最大にすることです。このモジュールでは、Exchange 2000 を実行している一群のサーバーにおいてセキュリティで保護された環境の作成および保守に必要な操作について重点的に説明します。このガイドは、セキュリティで保護された環境の作成および保守のすべてを網羅する完全なリファレンスとしてではなく、Exchange の全体的なセキュリティ計画の一部として使用してください。
このモジュールは、モジュール「Exchange 環境のセキュリティを確保する」およびモジュール「Exchange の通信セキュリティを強化する」と共に使用してください。
このモジュールでは、グループ ポリシー テンプレートを使用して Exchange フロントエンドおよびバックエンド サーバーのセキュリティを強化するための詳細な方法について説明します。項目ごとにポリシー設定の実装方法の手順を説明します。これらの手順は、新規または既存の Exchange 環境に適用できます。すべての Exchange サーバーは、(フロントエンド サーバーに切り替えない限り) OWA 機能を備えたバックエンド サーバーなので、通常、バックエンド サーバーのポリシー設定は、すべての Exchange 組織に適用できます。
Exchange 2000 グループ ポリシー テンプレートのダウンロード (英語)
IIS Lockdown ツールのダウンロード (英語)
はじめに
「Exchange 環境のセキュリティを確保する」モジュールでは、Exchange 2000 環境のセキュリティを強化するための全般的な推奨事項をいくつか説明しています。このモジュールでは、実際の IT 環境内で Exchange 2000 サーバーに割り当てられる役割に基づいて、Exchange 2000 サーバーのセキュリティを強化することに焦点を絞って推奨事項について説明します。
Exchange 2000 は Windows 2000 環境で実行するアプリケーションなので、Exchange 2000 のセキュリティを向上するには、Windows 2000 のセキュリティを確立することが大前提となります。サーバーの役割ごとのセキュリティに関する推奨事項は『Microsoft Windows 2000 セキュリティ運用ガイド』に記載されていますが、このモジュールでは、それらの推奨事項を拡張して Exchange 2000 に関する推奨事項について説明します。特に、OWA (Outlook Web Access) フロントエンド サーバーと Exchange バックエンド サーバーの役割について詳しく説明します。
テスト環境
運用環境に変更を加える前に、IT システムのセキュリティに対する変更をテスト環境内で徹底的に評価する必要があります。運用環境にできるだけ近いテスト環境を構築してください。最低限でも、複数のドメイン コントローラをテスト環境に含めると共に、運用環境で使用するメンバ サーバーの役割をすべて含めておきます。
このテストでは、変更の適用が環境に悪影響を及ぼさないことを確認すると同時に、セキュリティのレベルが意図したとおりに向上するかどうかを確認します。テスト環境で、すべての変更の妥当性を徹底的に検証し、セキュリティ上の脆弱性がないかどうかを評価します。
注: 脆弱性の評価は、事前に書面で許可を得た人だけが実施できるようにする必要があります。
OWA フロントエンドおよびバックエンド サーバーを使用する
既定では、すべての Exchange 2000 サーバーに OWA 機能があり、ユーザーは HTTP (Hypertext Transfer Protocol) 経由で Exchange サーバーに接続できます。これは、OWA ソリューションを構成するコンポーネントが Exchange サーバーの既定のインストールでインストールされるからです。しかし、中規模以上のほとんどの環境では、OWA へのアクセス用にフロントエンド/バックエンド ソリューションを実装することをお勧めします。この場合、ユーザーはフロントエンド サーバーに接続します。フロントエンド サーバーは、要求を受け付け、Active Directory 内のユーザー資格情報を確認した後、適切なバックエンド Exchange サーバーに要求を転送します。バックエンド サーバーは、メールボックスおよびパブリック フォルダへのアクセスを提供します。このバックエンド/フロントエンド サーバーの使用には、以下の利点があります。
| • | ユーザーは、自分がアクセスするサーバーの名前を知らなくても、ローカル Exchange サーバーにアクセスできます。 |
| • | メールボックスが格納されているサーバーの名前は表示されません。 |
| • | 複数のフロントエンド サーバーの間で負荷を分散することができます。 |
| • | SSL (Secure Sockets Layer) のオーバーヘッドをフロントエンド サーバーに振り分けることができます。 |
| • | バックエンド サーバーの手前のファイアウォールを増設することで、バックエンド サーバーのセキュリティをさらに強化できます。 |
注: フロントエンド サーバーは、POP3 および IMAP4 経由での接続にも使用できますが、このガイドでは、HTTP および MAPI 接続だけを有効にする場合を想定しています。
注: Exchange における OWA フロントエンド/バックエンド サーバー環境の詳細については、このモジュールの最後にある「関連情報」セクションを参照してください。
Exchange 2000 環境で使用するサーバーの役割ごとにセキュリティを強化する
このガイドには、Exchange 2000 サーバーの役割に対するセキュリティを変更するためのセキュリティ テンプレートが用意されています。これらのセキュリティ テンプレートを Exchange に適用するには、セキュリティ テンプレートをダウンロードして、グループ ポリシーの設定にインポートする必要があります。
表 1 にサーバーの役割とそれらのセキュリティ強化に使用するテンプレートを示します。
表 1: Exchange 2000 サーバーの役割
OWA サーバー | Outlook Web Access 専用の OWA フロントエンド サーバー | Baseline.inf および OWA front-end Incremental.inf |
Exchange 2000 バックエンド サーバー | メールボックスとパブリック フォルダへのアクセスおよびルーティング用のサーバー | Baseline.inf および Exchange back-end Incremental.inf |
上記のテンプレートの他に、ドメイン コントローラ用の基準グループ ポリシーに追加のセキュリティ テンプレートを適用する必要があります。『Microsoft Windows 2000 Server セキュリティ運用ガイド』に記載されている設定では、Exchange が環境に含まれていることを想定していないため、Exchange 2000 に対応するための変更が必要になります。
Exchange の処理をサポートできるようにドメイン コントローラの設定を変更するためのテンプレートとして、Exchange DC Incremental.inf が用意されています。このテンプレートは、ドメイン コントローラ組織単位 (OU) のグループ ポリシー オブジェクト (GPO) にインポートしてください。表 2 に示すように、実際に変更されるセキュリティ オプションは 1 つだけです。
表 2: Exchange 2000 をサポートするドメインコントローラ上のセキュリティオプション
匿名接続の追加を制限する | 明示的な匿名アクセス権がない場合はアクセスを許可しない | なし (既定のアクセス権に依存) |
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする | 有効 | 無効 |
アカウント ログオン イベントの監査 | 成功と失敗 | 失敗 |
ログオン イベントの監査 | 成功と失敗 | 失敗 |
Microsoft Outlook 2000 クライアントおよび Outlook 2002 クライアントはグローバル カタログに匿名でアクセスして情報を照会するので、匿名接続の制限の設定を変更する必要があります。『Microsoft Windows 2000 Server セキュリティ運用ガイド』の設定では、Outlook ユーザーが内部メールを送信できず、外部アドレスを使用しなければならなくなります。
注: この問題の詳細については、マイクロソフト サポート技術情報の 309622「[XADM] Q299687 Windows 2000 セキュリティ修正プログラムを適用後にクライアントがグローバルアドレス一覧を参照できない」を参照してください。
その他の設定は、Exchange 2000 によって多数の成功ログオン イベントが生成されることに対応するために変更されます。ログオン イベントに対して成功の監査を有効にすると、セキュリティ ログが短時間で満杯になります。
注: この問題の詳細については、マイクロソフト サポート技術情報の 316685「Active Directory-Integrated Domain Name Is Not Displayed in DNS Snap-in with Event ID 4000 and 4013 Messages」(英語情報) を参照してください。
Exchange 2000 サーバーの役割をサポートするための Active Directory 構造
『Microsoft Windows 2000 Server セキュリティ運用ガイド』では、用意されているセキュリティ テンプレートの適用を容易にする組織単位 (OU) 構造が推奨されています。この組織単位構造は、簡単な変更を加えるだけで、ここで定義する 2 つのサーバーの役割が組み込まれるように拡張できます。Exchange 2000 はアプリケーションなので、[Application Servers] OU の下位に [Exchange Server] OU を作成し、[Exchange Server] OU の下位に各サーバーの役割に対応する組織単位を追加します。
2 つの新しいサーバーの役割を組み込んだ推奨組織単位構造を図 1 に示します。
図 1 Exchange Server OU およびアプリケーションサーバー OU を追加した OU 構造
注: このガイドで示している推奨事項に対応する OU 構造を作成する際は、『Windows 2000 Server セキュリティ運用ガイド』に示されている組織単位の詳細な作成手順を参照してください。
セキュリティ テンプレートをインポートする
このセクションで説明するセキュリティ テンプレートは、このガイドに付属している ExSecurityOps.exe ファイルに含まれています。セキュリティ テンプレートをインポートするには、最初にこのファイルを展開する必要があります。Windows 2000 Service Pack 2 を使用している場合は、以下のマイクロソフト サポート技術情報の文書で解説されている修正プログラムを適用してください。
| • | 295444「SCE がサービスのレジストリ キーにあるサービスの SACL エントリを変更できない」 |
| • | 272560「競合条件の発生によってグループ ポリシーの変更が失われることがある」 |
注: これらのマイクロソフト サポート技術情報の文書で説明されている修正プログラムを入手するには、マイクロソフト製品サポート サービス (PSS) に連絡する必要があります。PSS への連絡に関する詳細については、http://support.microsoft.com を参照してください。
警告: このガイドのセキュリティ テンプレートは、環境内のセキュリティを強化することを目的に設計されています。これらのテンプレートをインストールすると、環境内の機能が失われる可能性があり、基幹業務アプリケーションに障害が生じないとも限りません。したがって、これらのテンプレートを本稼動環境に展開する前に、徹底したテストを実施することが不可欠です。さらに、環境を適切に変更しておくことも重要です。新しいセキュリティ設定を適用する前に、各ドメイン コントローラとサーバーをバックアップしておきます。バックアップには、必ずシステム状態データを含めてください。システム状態データには、レジストリ データが含まれるほか、ドメイン コントローラ上では、Active Directory 内のすべてのオブジェクトが含まれます。
注: 『Windows 2000 Server セキュリティ運用ガイド』に記載されているドメイン コントローラ ベースライン ポリシーとメンバ サーバー ベースライン ポリシーでは、LAN Manager 認証レベルが NTLMv2 のみに設定されます。Outlook クライアントが Exchange サーバーおよびドメイン コントローラと正常に通信するには、それらのクライアントも NTLMv2 だけを使用するように構成する必要があります。
ここでは、このガイドに用意されているセキュリティ テンプレートをこのモジュールで示した組織単位 (OU) 構造にインポートする手順を示します。
| • | ドメインコントローラのグループポリシーオブジェクトを作成してセキュリティテンプレートをインポートするには 1. | "Active Directory ユーザーとコンピュータ" MMC コンソールで、[Domain Controllers] を右クリックし、[プロパティ] を選択します。 | 2. | [グループ ポリシー] タブで、[新規] をクリックし、新しいグループ ポリシー オブジェクトを追加します。 | 3. | 「Exchange Domain Controllers Incremental Policy」と入力し、Enter キーを押します。 | 4. | [上へ] を繰り返しクリックし、[Exchange Domain Controllers Incremental Policy] を一覧の先頭に移動します。 | 5. | [編集] をクリックします。 | 6. | [Windows の設定] を展開して、[セキュリティの設定] を右クリックし、[ポリシーのインポート] をクリックします。 注: メニューに [ポリシーのインポート] が表示されない場合は、[グループ ポリシー] ウィンドウを閉じた後、手順 4 および 5 を繰り返してください。 | 7. | [ポリシーのインポート] ダイアログ ボックスで、C:\SecurityOps\Templates に移動し、Exchange DC Incremental.inf をダブルクリックします。 | 8. | グループ ポリシーを閉じ、[OK] をクリックします。 | 9. | すべてのドメイン コントローラにポリシーが複製されるように、ドメイン コントローラ間の複製を強制実行します。 | 10. | イベント ログを開き、ポリシーが正しくダウンロードされていて、サーバーがドメイン内の他のドメイン コントローラと通信できていることを確認します。 | 11. | ドメイン コントローラを 1 つずつ再起動し、各ドメイン コントローラが正常に再起動したことを確認します。 |
|
| • | Exchange サーバーのグループポリシーオブジェクトを作成してセキュリティテンプレートをインポートするには 1. | "Active Directory ユーザーとコンピュータ" MMC コンソールで、[Member Servers]、[Application Servers]、[Exchange Servers] を順に展開し、[OWA Servers] を右クリックし、[プロパティ] をクリックします。 | 2. | [グループ ポリシー] タブで、[新規] をクリックし、新しいグループ ポリシー オブジェクトを追加します。 | 3. | 「OWA Front-end Incremental Policy」と入力し、Enter キーを押します。 | 4. | [編集] をクリックします。 | 5. | [Windows の設定] を展開して、[セキュリティの設定] を右クリックし、[ポリシーのインポート] をクリックします。 注: メニューに [ポリシーのインポート] が表示されない場合は、[グループ ポリシー] ウィンドウを閉じた後、手順 4 および 5 を繰り返してください。 | 6. | [ポリシーのインポート] ダイアログ ボックスで、C:\SecurityOps\Templates に移動し、OWA Front-end Incremental.inf をダブルクリックします。 | 7. | グループ ポリシーを閉じ、[OK] をクリックします。 | 8. | [Back-end Servers] 組織単位に対しても、手順 1 〜 7 を実行します。ただし、テンプレートは、Exchange Back-end Incremental.inf を適用する必要があります。 | 9. | すべてのドメイン コントローラにポリシーが複製されるように、ドメイン コントローラ間の複製を強制実行します。 | 10. | 各役割に対応するサーバーを適切な組織単位の中に移動します。 | 11. | サーバー上で secedit /refreshpolicy machine_policy /enforce コマンドを実行し、ポリシーをダウンロードします。 | 12. | イベント ログを開き、ポリシーが正しくダウンロードされていて、サーバーがドメイン コントローラおよびドメイン内の他のサーバーと通信できていることを確認します。OU 内のサーバーの 1 つをテストした結果、問題がなければ、OU 内の残りのサーバーに移動し、セキュリティを適用します。 注: グループ ポリシーのダウンロードが成功したかどうかを確認する方法の詳細については、『Microsoft Windows 2000 Server セキュリティ運用ガイド』の「Windows 2000 グループ ポリシーを使ったセキュリティ管理」を参照してください。 | 13. | 各サーバーを再起動し、各サーバーが正常に再起動したことを確認します。 |
|
Exchange サーバー ポリシー
Windows 2000 では、監査、セキュリティオプション、レジストリ設定値、ファイルへのアクセス許可、サービスなど、さまざまなセキュリティ設定値を定義することができます。『Microsoft Windows 2000 Server セキュリティ運用ガイド』には、これらの設定の多くに関して推奨値が示されていますが、Exchange 2000 を運用する場合も、基本的には同じ推奨値を使用できます。特に変更が必要となるのは、各種サービスに関する設定です。また、ファイルへのアクセス許可についても若干の変更が必要になります。
Exchange サーバーの OU は [Member Servers] OU の下層にあるので、メンバ サーバー ベースライン ポリシーで定義されている設定値が Exchange サーバーに継承されます。Exchange ポリシーでは、継承した設定値に対し 2 とおりの変更を加えます。まず、Windows 2000 の基本機能に不要なサービスのうち、Exchange 2000 の運用には必要なサービスを有効にします。次に、Exchange 2000 に用意されている付加的なサービスのうち、それぞれの役割の Exchange サーバーでは不要となるサービスを無効にします。
注: Exchange 増分ポリシーでは明示的に言及していませんが、NNTP (Network News Transfer Protocol) は Windows 2000 メンバ サーバー ベースライン ポリシーによって無効化されます。このサービスは Exchange のインストールには必須ですが、Exchange の運用中は、ニュースグループ機能を使用しない限り不要です。
Exchange バックエンド サーバー ポリシー
Exchange バックエンド サーバー ポリシーでは、サービスに関する設定とファイル アクセス制御リストの設定を定義します。
Exchange バックエンド サーバーのサービス ポリシー
Exchange 2000 バックエンド ポリシーでは、表 3 に示すサービスを構成します。
表 3: Exchange バックエンドサーバー基準ポリシーによるサービスの構成
Microsoft Exchange IMAP4 | 無効 | サーバーで IMAP4 をサポートしないので不要 |
Microsoft Exchange Information Store | 自動 | メールボックス ストアとパブリック フォルダ ストアへのアクセスに必要 |
Microsoft Exchange POP3 | 無効 | サーバーで POP3 をサポートしないので不要 |
Microsoft Search | 無効 | コア機能には不要 |
Microsoft Exchange Event Service | 無効 | 下位互換性を確保する以外の目的では不要 |
Microsoft Exchange Site Replication Service | 無効 | 下位互換性を確保する以外の目的では不要 |
Microsoft Exchange Management | 自動 | メッセージ追跡に必要 |
Windows Management Instrumentation | 自動 | Microsoft Exchange の管理に必要 |
Microsoft Exchange MTA Stacks | 無効 | 下位互換性または X.400 コネクタとの互換性を確保する以外の目的では不要 |
Microsoft Exchange System Attendant | 自動 | Exchange の保守やその他のタスクに必要 |
Microsoft Exchange Routing Engine | 自動 | Exchange サーバー間におけるメッセージ転送の調整に必要 |
IPSEC Policy Agent | 自動 | サーバー上に IPSec ポリシーを実装するために必要 |
RPC Locator | 自動 | ドメイン コントローラおよびクライアントとの通信に必要 |
IIS Admin Service | 自動 | Exchange Routing Engine に必要 |
NT LM Security Support Provider | 自動 | System Attendant に必要 |
SMTP | 自動 | Exchange トランスポートに必要 |
World Wide Web Publishing サービス | 自動 | OWA フロントエンド サーバーとのクライアント通信に必要 |
注: Exchange System Attendant を起動する前に、以下のサービスを開始しておく必要があります。
| • | Event Log |
| • | NT LM Security Support Provider |
| • | Remote Procedure Call (RPC) |
| • | RPC Locator |
| • | Server |
| • | Workstation |
無効化されるサービス
このガイドでは、Exchange 2000 のコア機能に不必要なサービスをすべて無効にしています。実際の環境では、ここで無効化したサービスを有効に戻さなければ、必要な機能を使用できないことがあります。ここでは、バックエンド サーバーの増分ポリシーによって無効化されるサービスについて説明します。
Event Service
Exchange Server 5.5 (英語) で採用された Exchange Server Event Service は、パブリック フォルダまたは各ユーザーのメールボックスでフォルダ イベントが発生したときにトリガされるサーバー側スクリプトをサポートするサービスです。Exchange 2000 にも、Exchange 5.5 イベント スクリプトとの下位互換性を確保することを目的として Exchange Event Service が用意されています。MSDN から入手できる「Exchange 2000 ソフトウェア開発キット (SDK)」に記載されているように、Exchange 2000 用に新規作成するアプリケーションでは、Exchange Event Service ではなくネイティブな Web Storage System イベントを使用してください。詳細については、このモジュールの最後の「関連情報」を参照してください。
Microsoft Search
インフォメーション ストア プロセスでは、ストア内の文書の参照と検索を高速化するために、共通キーフィールドを使用します。Outlook ユーザーは、インデックスを通じて文書をより簡単に検索することができます。フルテキスト インデックスを使用すると、クライアントが検索を行う前にインデックスが構築されるので、高速な検索が可能になります。フルテキスト インデックスには、添付データも含めることができます。
これらのインデックスを提供するのが Microsoft Search サービスです。インデックスを作成、更新、または削除するには、インフォメーション ストア サービスと Search サービスの両方が稼動している必要があります。
Microsoft Exchange Site Replication Service
これは、既存の Exchange 5.5 サイトに Exchange 2000 サーバーを追加する場合に、Exchange 5.x サイトおよび構成情報を Active Directory のパーティション (名前付けコンテキスト) に複製できるようにするサービスです。
Microsoft Exchange MTA Stacks
これは、Exchange 2000 サーバーを外部システムに接続するための追加コンポーネントです。外部環境に対しては、メッセージ転送エージェント (MTA) によって X.400 コネクタおよびゲートウェイ コネクタを経由したメッセージ ルーティングが行われます。このサービスでは、\Program Files\Exchsrvr\Mtadata ディレクトリにある Information Store サービスの外部に専用のメッセージキューが維持されます。
Exchange バックエンド サーバーのファイル アクセス制御リスト ポリシー
Exchange バックエンド サーバー ポリシーでは、いくつかのディレクトリに対するアクセス制御リスト (ACL) を変更します。変更前と変更後の設定を表 4 に示します。
表 4: Exchange バックエンドサーバーポリシーによって構成されるファイルアクセス制御リスト
%systremdrive%\Inetpub\mailroot | Everyone: フル アクセス | Domain Admins: フル アクセス
Local System: フル アクセス | 適用する |
%systremdrive%\Inetpub\nntpfile\ | Everyone: フル アクセス | Domain Admins: フル アクセス
Local System: フル アクセス | 適用する |
%systremdrive%\Inetpub\nntpfile\root | Everyone: フル アクセス | Everyone: フル アクセス | 適用する |
注: サーバー上で NNTP を使用しないので、nntpfile ディレクトリおよびその下位のサブディレクトリに対する設定は、厳密にいうと定義する必要がありません。しかし、ファイル システムへの制限を強化すると共に、将来において NNTP を使用する場合にも対応できるように、ここでは、これらのディレクトリとサブディレクトリに対しても設定を定義しています。
OWA フロントエンド サーバー ポリシー
OWA フロントエンド ポリシーでは、サービスに関する設定とファイル アクセス制御リストの設定を定義します。
OWA フロントエンド サーバーのサービス ポリシー
このサーバーの役割は、Web ベースの電子メールのサポートだけに限られているので、既定の構成でインストールされる Exchange サービスの多くを無効化できます。OWA フロントエンド サーバー ポリシーでは、表 5 に示すサービスを構成します。
表 5: OWA フロントエンドサーバーポリシーによるサービスの構成
Microsoft Exchange IMAP4 | 無効 | OWA サーバーで IMAP4 をサポートしないので不要 |
Microsoft Exchange Information Store | 無効 | メールボックス ストアおよびパブリック フォルダ ストアがないため不要 |
Microsoft Exchange POP3 | 無効 | OWA サーバーで POP3 をサポートしないので不要 |
Microsoft Search | 無効 | 検索するストアがないので不要 |
Microsoft Exchange Event | 無効 | 下位互換性を確保する以外の目的では不要 |
Microsoft Exchange Site Replication Service | 無効 | 下位互換性を確保する以外の目的では不要 |
Microsoft Exchange Management | 無効 | メッセージの追跡に必要 |
Microsoft Exchange MTA | 無効 | 下位互換性または X.400 コネクタとの互換性を確保する以外の目的では不要 |
Microsoft Exchange Routing Engine | 自動 | Exchange のルーティング機能に必要 |
IPSEC Policy Agent | 自動 | OWA サーバー上に IPSec フィルタを実装するために必要 |
RPC Locator | 自動 | ドメイン コントローラとの通信および System Attendant の起動に必要 |
IIS Admin Service | 自動 | MSExchange Routing Engine に必要 |
World Wide Web Publishing サービス | 自動 | OWA フロントエンド サーバーとのクライアント通信に必要 |
OWA フロントエンド サーバー ポリシーによって無効化されるサービス
バックエンド構成の場合と同様に、実際の環境では、ここで無効化したサービスを有効に戻さなければ、必要な機能を使用できないことがあります。ここでは、OWA フロントエンド サーバーの増分ポリシーによって無効化されるサービスについて説明します。
Microsoft Exchange POP3 および Microsoft Exchange IMAP4
「Exchange 環境のセキュリティを確保する」モジュールで説明したように、実際の環境で Exchange の完全な機能が必要かどうかを判断する必要があります。多くの場合、POP3 クライアントや IMAP4 クライアントは存在しないので、これらのサービスはグループ ポリシーで無効化することができます。ただし、サービスを無効化する前に、それらのサービスを必要とするカスタム プログラムを環境内で使用していないことを確認してください。
System Attendant
フロントエンド サーバーで System Attendant が必要となるのは、サーバーに対して構成変更を行う場合だけなので、このガイドに用意されているテンプレートでは、System Attendant を無効化しています。このため、特定のサーバーを OWA フロントエンド サーバーにするときや、OWA フロントエンド サーバー ポリシーが既に適用されているサーバーに対して変更を実施するときは、最初に、System Attendant を関連サービスと共に一時的に開始しておく必要があります。
| • | OWA フロントエンドサーバー用のグループポリシーが適用されているサーバーの構成を変更するには 1. | [サービス] 管理ツールを起動します。 | 2. | [NT LM Security Support Provider] を右クリックし、[プロパティ] をクリックします。 | 3. | [スタートアップの種類] ボックスの一覧の [自動] をクリックします。 | 4. | [適用] をクリックします。 | 5. | [開始] をクリックします。 | 6. | [OK] をクリックします。 | 7. | System Attendant に対しても、手順 2 〜 6 を繰り返します。 | 8. | 構成を必要に応じて変更します。 | 9. | [サービス] 管理ツールを起動します。 | 10. | [System Attendant] を右クリックし、[プロパティ] をクリックします。 | 11. | [スタートアップの種類] ボックスの一覧の [無効] をクリックします。 | 12. | [適用] をクリックします。 | 13. | [停止] をクリックします。 | 14. | [OK] をクリックします。 | 15. | NT LM Security Support Provider に対しても、手順 2 〜 6 を繰り返します。 |
|
Information Store
このサーバーにはメールが配信されないので、このサービスは不要です。通常の Exchange 2000 サーバーには、ドライブ文字 M: がマップされたドライブがありますが、Information Store サービスをインストールしていないサーバーにはドライブ M がありません。これは、Exchange Installable File System によってマップされるドライブが存在しないためです。
Microsoft Exchange Management
このサービスは、Exchange 2000 Server Service Pack 2 に含まれています。このサービスを使用すると、Exchange 2000 からディレクトリにアクセスするときに使用するドメイン コントローラまたはグローバル カタログ サーバーをインターフェイスを介して指定できます。また、メッセージの追跡にも、このサービスが必要になります。このサービスを無効化しても、Exchange のコア機能は影響を受けません。通常、Exchange の機能を監査するときはメッセージの追跡が必要になりますが、OWA フロントエンド サーバーはメールのルーティングではなくメールへのアクセスに使用されるので、Microsoft Exchange Management Service を OWA フロントエンド サーバー上で実行する必要はありません。
SMTP サービス
OWA フロントエンド サーバーは、OWA サーバーとしてしか機能しないので、SMTP を必要としません。フロントエンド サーバーをゲートウェイとしても使用するか、IMAP4 または POP3 用のフロントエンド サーバーとしても使用する場合は、フロントエンド サーバーが SMTP メールを受信できるように SMTP サービスを有効化する必要があります。フロントエンド サーバーを SMTP ゲートウェイとしても使用する場合は、さらに、Information Store サービスと System Attendant サービスも有効化する必要があります。
OWA フロントエンド サーバーのファイル アクセス制御リスト ポリシー
このポリシーによるファイル アクセス制御リストの定義は、バックエンド サーバー ポリシーによる定義とまったく同じです。詳細については、このモジュールの「Exchange バックエンド サーバーのファイル アクセス制御リスト ポリシー」を参照してください。
セキュリティ強化環境における Exchange のインストールと更新を行う
このモジュールでは、これまで、既存の Exchange サーバーを適切な組織単位に移動して環境内のセキュリティ レベルを向上する手順について説明しましたが、ここでは、新しい Exchange サーバーの扱いについて説明します。セキュリティを最大限に高めるには、新しいサーバーを適切な組織単位に追加したうえで、Exchange のインストールを開始する必要があります。しかし、この環境では Exchange のコア サービスだけが有効化されていて、サーバーがロックダウンされているため、既定の設定のままでは Exchange をインストールすることや Exchange を今後のサービス パックにアップグレードすることはできません。ロックダウンされたサーバーに Exchange または Exchange Service Pack をインストールするには、以下の手順を実行します。
注: 既にセキュリティで保護されているサーバーに Exchange 2000 をインストールするときには、"デジタル署名未検出" のエラーメッセージが表示されますが、これはサーバーのセキュリティが強化されていることを意味するものであり、無視してインストールを続行できます。
| • | ロックダウンされているサーバーに Exchange または Exchange Service Pack をインストールするには 1. | [サービス] 管理ツールを起動します。 | 2. | [Distributed Transaction Coordinator] を右クリックし、[プロパティ] をクリックします。 | 3. | [スタートアップの種類] ボックスの一覧の [自動] をクリックします。 | 4. | [適用] をクリックします。 | 5. | [開始] をクリックします。 | 6. | [OK] をクリックします。 | 7. | NNTP (Network News Transport Protocol) と Windows Installer についても、手順 2 〜 6 を繰り返します。 注: OWA フロントエンド サーバーの組織単位に含まれているサーバーに対して上記の手順を実施する場合は、Windows Management Instrumentation に対しても、手順 2 〜 6 を繰り返してください。 | 8. | Exchange 2000 または最新の Exchange 2000 Service Pack をインストールします。 注: Exchange 2000 のインストールが終了するときに、Microsoft Search サービスが開始されなかったことを示すダイアログ ボックスが表示されることがありますが、これは、インストール先のサーバーが既にセキュリティで保護されていたためであり、致命的なエラーではないので無視してかまいません。 | 9. | [サービス] 管理ツールを起動します。 | 10. | [Distributed Transaction Coordinator] を右クリックし、[プロパティ] をクリックします。 | 11. | [スタートアップの種類] ボックスの一覧の [無効] をクリックします。 | 12. | [適用] をクリックします。 | 13. | [停止] をクリックします。 | 14. | [OK] をクリックします。 | 15. | NNTP (Network News Transport Protocol) と Windows Installer についても、手順 2 〜 6 を繰り返します。 注: OWA フロントエンド サーバーの組織単位に含まれているサーバーに対して上記の手順を実施する場合は、Windows Management Instrumentation に対しても、手順 9 〜 14 を繰り返してください。 |
|
注: OWA Front-end Increemental Policy および Exchange Back-end Incremental Policy では、セキュリティで保護されたドメイン コントローラと Exchange サーバーが通信できるように NTLMv2 が有効化されますが、Exchange のインストールを開始する前にサーバーを適切な組織単位に移動しておかないと、サーバーがドメイン コントローラに接続できなくなります。
付加的なセキュリティ対策
グループ ポリシー テンプレートによるセキュリティ強化のほかに、Exchange 2000 サーバー上に実装しておくべき付加的なセキュリティ対策がいくつかあります。ここでは、これらのセキュリティ対策について説明します。
IIS Lockdown ツール
Exchange 2000 サーバーにセキュリティ テンプレートを適用した後、特に OWA フロントエンド サーバーを対象として、IIS (Internet Information Services) 上で付加的なセキュリティ制御を適用する必要があります。IIS Lockdown ツールを使用すると、IIS に対する変更操作を大幅に自動化することができます。IIS Lockdown では IIS の強化に必要な設定を指定しますが、IIS を強化した後も、Exchange 2000 サーバーをバックエンド サーバーまたは OWA フロントエンド サーバーとして引き続き使用することができます。
注: IIS Lockdown ツールは、http://www.microsoft.com/japan/technet/security/tools/locktool.mspx から入手できます。
IIS Lockdown ツールには、ほとんどの基本的な Web サーバーに適したエクスプレス モードと、サーバー側でサポートする技術を管理者が選択できるアドバンスト モードの 2 つのモードがあります。最後に実行したロックダウンを取り消して、元に戻す機能も用意されています。
IIS Lockdown ツールには、IIS サーバーに対するすべての要求を監視し、特定のルールを満たす要求だけを通過させる URLScan も実装されています。有効な要求だけをサーバーに処理させることができるので、サーバーのセキュリティが大幅に向上します。URLScan では、長さや文字セットなどに基づいて要求をフィルタリングすることができます。既定のルールが用意されており、実際のサーバーのニーズに合わせてルールをカスタマイズできます。
| • | Exchange 2000 OWA フロントエンドサーバーをロックダウンするには 1. | サーバー上に IISLockd.exe をインストールし、このツールを起動します。 | 2. | [次へ] をクリックします。 | 3. | 使用許諾契約書の内容を確認し、[I Agree] をクリックして、[次へ] をクリックします。 | 4. | サーバー テンプレート [Exchange 2000 (OWA、PF Management、IM、SMTP、NNTP)] を選択し、[View template settings] チェック ボックスをオンにした後、[次へ] をクリックします。 | 5. | [Internet Services] ダイアログ ボックスに、"Web Service (HTTP)"、"FTP"、"SMTP"、および "NNTP" の 4 つのサービスが表示されます。チェックボックスが淡色表示されているサービスは、インストールされていないか、既に無効化されています。[Web Service (HTTP)] だけが有効化されていることを確認し、[次へ] をクリックします。 注: OWA フロントエンド セキュリティ テンプレートを適用した後で IIS Lockdown ツールを実行すると、[Web Service (HTTP)] だけが有効化され、その他のサービスは無効化されます。 | 6. | [Script Maps] ダイアログ ボックスでは、特定の ISAPI アプリケーションに関連付けられているスクリプト マップを削除して、そのアプリケーションのサポートを無効化することができます。Exchange 2000 テンプレート内に実装されている既定の設定値を表 6 に示します。Active Server Pages だけが有効化され、その他のすべてのスクリプト マッピングは無効化されます。[次へ] をクリックします。 表 6: IIS LockDown を Exchange 2000 テンプレートと共に使用した場合の既定のスクリプトマッピング設定 Active Server Pages | .asp | 有効 | Index Server の Web インターフェイス | .htw、.ide、.idq | 無効 | サーバーサイド インクルード | .stm、.shtm、.shtml | 無効 | インターネット データ コネクタ | .idc | 無効 | HTR スクリプト | .htr | 無効 | インターネット印刷 | .printer | 無効 |
注: .htr スクリプト マップのサポートを無効化すると、OWA のパスワード変更機能を使用できなくなります。IIS Lockdown では、OWA のパスワード変更機能が既定の設定で無効化されます。 | 7. | [Additional Security] ダイアログ ボックスには、既定の IIS インストールから作成された既定の仮想ディレクトリの削除、および特定のディレクトリとすべての System32 実行可能ファイルへのファイル ACL の適用を行うためのオプションがあります。[次へ] をクリックして作業を続けます。 削除されるディレクトリを表 7 に示します。 表 7: IIS Lockdown によって削除される仮想ディレクトリ IIS Samples | \IISSamples | c:\inetpub\iissamples | IISHelp | \IISHelp | c:\winnt\help\iishelp | MSADC | \MSADC | c:\winnt\help\iishelp | Scripts | \Scripts | c:\inetpub\scripts | IISAdmin | \IISAdmin | c:\winnt\system32\inetsrv\iisadmin |
IIS Lockdown は、ファイル システムへのアクセスを制限するために、Web Anonymous Users および Web Applications の 2 つの新しいグループを OWA サーバー上に作成します。この 2 つのグループには、それぞれ匿名ユーザーと匿名アプリケーション アカウントが格納されます。通常は、Web Anonymous Users グループに IUSR_<コンピュータ名> が格納され、Web Applications グループに IWAM_<コンピュータ名> が格納されます。次に、IIS Lockdown は、これらのグループに対し、以下のディレクトリへの書き込みアクセスを禁止します。 C:\inetpub\wwwroot C:\Program Files\Exchsrvr\ExchWeb さらに、c:\winnt\system32 フォルダの cmd.exe など、すべてのシステム ユーティリティへの実行アクセスを禁止します。ただし、基準テンプレートのグループ ポリシーでは、フル コントロールを持つ Administrators グループだけにアクセスを許可するアクセス制御エントリ (ACE) を System ディレクトリ内の実行ファイルに適用し、その他のユーザーやグループは定義しません。グループ ポリシーを再適用すると、これらの設定で IIS Lockdown ツールの設定が上書きされることに注意してください。 | 8. | URLScan をインストールするように促すメッセージが表示されます。既定では、URLScan がインストールされるように設定されています。[次へ] をクリックします。 | 9. | どのような処理が実行されるのかを確認し、[次へ] をクリックします。 | 10. | セキュリティが強化されているため [Installing Unknown Software Package] ダイアログ ボックスが表示されます。[はい] をクリックして続行します。 | 11. | 実際に行った変更の詳細を示すレポートが生成されます。このレポートには、エラーの有無も示されます。一部の NTFS ディレクトリに ACL を適用できなかったことを示すエラーがレポートに含まれていますが、これらのディレクトリは、OWA サーバーの構成中に削除したメールボックスとパブリック フォルダです。[次へ] をクリックします。 | 12. | [完了] をクリックします。 |
|
注: Exchange 2000 バックエンド サーバー上で IIS Lockdown ツールを実行する手順は、基本的に上記の手順と同じですが、手順 5 では HTTP と SMTP が有効化されていることを確認してください。
OWA フロントエンド サーバーに対する IIS Lockdown と URLScan の設定を変更する
IIS Lockdown と URLScan の既定の設定は、実際の環境に応じて変更できます。URLScan の設定は、<WinDir>\System32\Inetsrv\Urlscan にある URLScan.ini ファイルに格納されています。OWA と URLScan を有効化した状態で問題が発生した場合は、<WinDir>\System32\Inetsrv\Urlscan にある Urlscan.log ファイルをチェックし、拒否された要求のリストを確認してください。
注: IIS Lockdown と URLScan のトラブルシューティングおよび構成の詳細については、マイクロソフト サポート技術情報の 309677「[XADM] IIS Lockdown Wizard を Exchange 2000 環境で使用する場合の問題および調整方法」を参照してください。
OWA のパスワード変更サポート
IIS Lockdown の既定の設定では、.htr ファイルが無効化されます。.htr ファイルが無効化されていると、OWA のパスワード変更機能を使用できません。.htr ファイルが無効化されている場合は、ユーザーの混乱やヘルプ デスクへの問い合わせ増加が発生しないように、[パスワードの変更] ボタンを非表示にしてください。
注: OWAの [パスワードの変更] ボタンを無効化する方法については、マイクロソフト サポート技術情報の 297121「[XWEB] Outlook Web Access の [オプション] ページにある [パスワードの変更] ボタンを非表示にする方法」を参照してください。
電子メールのブロック
URLScan.ini ファイルの [DenyUrlSequences] セクションには、明示的にブロックされる文字のリストが含まれていますが、これが OWA へのアクセスに影響を及ぼす可能性があります。以下の文字シーケンスが含まれている電子メールの題名またはメール フォルダ名は、ブロックされます。
注: URLScan.ini ファイルの ".." は、題名の末尾がピリオドになっている電子メール メッセージをブロックします。
メールボックス ストアとパブリック フォルダ ストアをマウント解除および削除する
OWA フロントエンド サーバーの役割はバックエンド サーバーに要求を転送することだけに限られているので、OWA フロントエンド サーバー上に Exchange Server メールボックスおよびパブリック フォルダを置く必要はありません。これらは、バックエンド Exchange サーバーによって管理されます。したがって、これらのストアは、マウント解除して削除することができます。
| • | メールボックスデータベースとパブリックフォルダデータベースをマウント解除および削除するには 1. | [サービス] 管理ツールを起動します。 | 2. | [NT LM Security Support Provider] を右クリックし、[プロパティ] をクリックします。 | 3. | [スタートアップの種類] ボックスの一覧の [自動] をクリックします。 | 4. | [適用] をクリックします。 | 5. | [開始] をクリックします。 | 6. | [OK] をクリックします。 | 7. | System Attendant に対しても、手順 2 〜 6 を繰り返します。 | 8. | OWA フロントエンド サーバー上で Exchange システム マネージャを起動します。 | 9. | [サーバー]、[OWA フロントエンド サーバー]、[最初のストレージ グループ] を順に展開します。 | 10. | メールボックス ストアが現在マウントされている場合は、[メールボックス ストア] を右クリックし、[ストアのディスマウント] をクリックします。次に、[はい] をクリックし、メールボックス ストアをマウント解除します。 | 11. | [メールボックス ストア] を右クリックし、[プロパティ] をクリックします。 | 12. | [データベース] タブをクリックし、[起動時にこのストアをマウントしない] チェック ボックスをオンにして、[OK] をクリックします。 | 13. | パブリック フォルダ ストアが現在マウントされている場合は、[パブリック フォルダ ストア] を右クリックし、[ストアのディスマウント] をクリックします。次に、[はい] をクリックし、パブリック フォルダ ストアをマウント解除します。 | 14. | [パブリック フォルダ ストア] を右クリックし、[削除] をクリックします。 | 15. | [はい] をクリックして [OK] をクリックし、バックエンド サーバーを選択して [OK] をクリックします。 | 16. | [はい] をクリックしてパブリック フォルダ ストアを削除し、[OK] をクリックしてダイアログ ボックスを閉じます。 | 17. | OWA サーバーを再起動します。 |
|
注: NT LM Security Support Provider と System Attendant を再度無効化する必要はありません。これらは、サーバーの再起動時に自動的に無効化されます。
注: フロントエンド サーバー上で SMTP を使用する場合は、メールボックス ストアをマウントする必要があります。
注: 通常の Exchange 2000 サーバーには、ドライブ文字 M: がマップされたドライブがありますが、メールボックス ストアとパブリック フォルダ ストアをマウント解除すると、ドライブ M が削除されます。これは、Exchange Installable File System によってマップされるドライブが存在しないためです。
特定の仮想ディレクトリへのパスが無効であることを示すイベント エラー (イベント ID 101) がシステム ログに記録されます。また、インターネット サービス マネージャ コンソール上では、Public、Exchange、Exadmin の各仮想ディレクトリの状態が [停止] と表示されます。これらのエラーは、IIS サーバー上に Exchange Server をインストールしてサーバーを再起動した後で発生します。再起動後、まず IIS (W3SVC) サービスが開始し、続いて Exchange インフォメーション ストア サービスが開始します。インフォメーション ストア サービスは、上記の 3 つの仮想ドライブの割り当て先であるマップされた仮想ドライブ (M:) を管理しますが、マップされたドライブがまだ作成されていないため、IIS がエラー メッセージを返します。グループ ポリシーを通じてセキュリティを適用するとインフォメーション ストア サービスが無効化されるので、マップされた仮想ドライブがマウントされることはなく、その後も、これらのエラーがイベント ログに書き込まれますが、無視しても問題はありません。
注: イベント ログ ID 101 の詳細については、マイクロソフト サポート技術情報の 259373「[XADM] W3SVC が イベント ID 101 をシステム イベント ログに出力する」を参照してください。
SMTP バナーを変更する
外部にさらす情報が少ないほど、システムが攻撃を受けにくくなります。ハッカーが Exchange のバージョン情報を取得する手口の 1 つとして、Telnet 経由で SMTP サービスに接続する方法があります。既定の設定では、Exchange サーバー上の SMTP サービスに接続したときに、次のバナーが表示されるようになっています。
220 <ホスト名> . <ドメイン> .com Microsoft ESMTP MAIL Service, Version: 5.0.2195.1600 ready at <現在の日付> and <時間>.
すべてのバックエンド Exchange サーバーに対して、このバナーからバージョン情報を削除することを検討してください。また、SMTP サービスの無断使用を禁止する旨の文言をバナーに含めることも有効と考えられます。
| • | Windows 2000 の SMTP バナーを変更するには 1. | MetaEdit などのメタベース編集ツールを使って、次の行を探します。
Lm\Smtpsvc\ <仮想サーバー番号> | 2. | [Edit] をクリックし、[New] をクリックします。次に [String] をクリックします。 | 3. | [ID] ボックスのエントリが Other になっていることを確認し、[ID] ボックスの右側に 10 進数で「36907」と入力します。 | 4. | [Data] ボックスに、新しいバナーを入力します。 | 5. | SMTP 仮想サーバーまたは SMTP サービスを一度停止してから再開します。 |
|
バナーが正しく変更されているかどうかを確認するには、仮想サーバーのポート 25 (既定の設定) に Telnet で接続します。"ESMTP MAIL Service, Version: 5.0.2195.1600" バナーが表示されなくなったことを確認します。ただし、SMTP サービス プロパティを通じて入力した完全修飾ドメイン名と日時は、従来どおり表示されます。
Exchange Domain Servers グループのロックダウン
既定のインストールでは、フォレスト内のドメインごとに、Exchange Domain Servers グループが 1 つ作成されます。このグループには、ドメイン内の各 Exchange サーバーに対応するコンピュータ アカウントが格納されます。Exchange Domain Servers グループには、フォルダ内のすべての Exchange パブリック フォルダ ストアおよびメールボックス ストアへのアクセスが既定の設定で許可されます。EDSLock スクリプトを実行すると、ストアを提供しているローカル サーバーだけがメールボックス ストアにアクセスできるように、アクセスを制限することができます。
注: EDSLock スクリプトの詳細については、マイクロソフト サポート技術情報の 313807「[XADM] Exchange ドメイン サーバー グループに対する Exchange 2000 のセキュリティを強化する」を参照してください。
Exchange クラスタに関する考慮事項
このガイドでは、クラスタ環境内の Exchange 2000 については特に説明していません。しかし、Exchange 2000 をクラスタ環境で使用するには、以下のような変更をセキュリティ設定に加える必要があります。
| • | Windows 2000 クラスタでは NTLMv2 がサポートされていないので、クラスタ サーバーおよびドメイン コントローラ上で NTLM を有効にします。詳細については、マイクロソフト サポート技術情報の 272129「Windows 2000 クラスタの "参加" ノードでクラスタ サービスが起動しない」を参照してください。 |
| • | Exchange バックエンド サーバーのセキュリティ テンプレート内で NT LM Security Support Provider (NTLMSSP) の設定を変更します。NTLMSSP を 0 に設定する必要があります。 MACHINE\System\CurrentControlSet\Control\LSA\MSV1_0\NtlmMinServerSec=4,0 |
| • | Exchange バックエンド サーバーのセキュリティ テンプレート内でクラスタ サービスを有効化します。 |
| • | クラスタでは IPSec がサポートされていないので、OWA フロントエンド/バックエンド通信に IPSec を使用しないように設定します。詳細については、マイクロソフト サポート技術情報の 306677「IPSec はフェールオーバー用に設計されていない」を参照してください。 |
要約
エンタープライズのセキュリティを確保するには、Exchange サーバーのセキュリティを強化することが欠かせません。このモジュールおよび参照されているセキュリティ ガイドで説明されている推奨事項に従えば、Windows 2000 環境のセキュリティを強化して、Exchange 環境への攻撃のリスクを大幅に低減できます。
関連情報
「Windows 2000 Server セキュリティ運用ガイド」
http://www.microsoft.com/japan/technet/security/prodtech/windows2000/staysecure/default.mspx
Windows 2000 セキュリティ修正プログラムがグローバル カタログ サーバーに対して及ぼす影響の詳細
http://support.microsoft.com/default.aspx?scid=kb;ja;309622
セキュリティ ログに書き込まれるログオン イベントに対して成功の監査を有効化する方法の詳細 (英語)
http://support.microsoft.com/default.aspx?scid=kb;en-us;316685
IIS Lockdown ツールのダウンロード
http://www.microsoft.com/japan/technet/security/tools/locktool.mspx
IIS Lockdown ツールと URLScan のトラブルシューティングおよび構成の詳細
http://support.microsoft.com/default.aspx?scid=kb;ja;309677
OWAの [パスワードの変更] ボタンを無効化する方法の詳細
http://support.microsoft.com/default.aspx?scid=kb;ja;297121
イベント ログ ID 101 の詳細
http://support.microsoft.com/default.aspx?scid=kb;ja;259373
EDSLock スクリプトの詳細
http://support.microsoft.com/default.aspx?scid=kb;ja;313807
Windows 2000 クラスタで NTLMv2 がサポートされていないことに関する詳細
http://support.microsoft.com/default.aspx?scid=kb;ja;272129
OWA フロントエンド/バックエンド通信に IPSec を使用しない方法に関する詳細
http://support.microsoft.com/default.aspx?scid=kb;ja;306677
