トピック概要この章では、このガイドで定義している 3 種類の各環境で、Microsoft Windows Server 2003 SP1 を実行するインフラストラクチャ サーバーをセキュリティ保護する方法について説明します。このガイドでは、インフラストラクチャ サーバーとは、DHCP サービスまたは Microsoft WINS 機能を提供するサーバーのことです。 この章で説明しているほとんどの設定は、グループ ポリシーを使用して構成および適用されています。サーバーのセキュリティをさらに向上させるために、メンバ サーバー ベースライン ポリシー (MSBP) を補うグループ ポリシー オブジェクト (GPO) を、インフラストラクチャ サーバーを含む適切な組織単位 (OU) にリンクすることができます。この章では、MSBP とは異なるポリシー設定についてのみ説明します。 これらのポリシー設定は、インフラストラクチャ サーバー OU に適用される付加的なグループ ポリシー オブジェクトに、可能な限りまとめられています。この章で説明している設定の一部は、グループ ポリシーを使用して構成することができません。このような設定を手動で構成する方法についても、詳しく説明します。 次の表は、このガイドで定義している 3 種類の環境ごとにインフラストラクチャ サーバー セキュリティ テンプレートの名前を示しています。これらのテンプレートには、付加的なインフラストラクチャ サーバー テンプレートのポリシー設定が用意されています。このテンプレートは、適切な環境でインフラストラクチャ サーバー OU にリンクする GPO を新しく作成するのに使用します。OU とグループ ポリシーを作成し、適切なセキュリティ テンプレートを各 GPO にインポートする手順の詳細については、「第 2 章 Windows Server 2003 のセキュリティ強化メカニズム」を参照してください。 表 6.1 インフラストラクチャ サーバーのセキュリティ テンプレートおよびポリシー LC-Infrastructure Server.inf | EC-Infrastructure Server.inf | SSLF-Infrastructure Server.inf |
MSBP のポリシー設定の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。すべての既定のポリシー設定の詳細については、http://go.microsoft.com/fwlink/?LinkId=15159 の関連ガイド『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』を参照してください。 監査ポリシーの設定このガイドで定義している 3 種類の環境におけるインフラストラクチャ サーバーの監査ポリシーの設定は、MSBP を使用して構成されています。MSBP の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。MSBP の設定により、インフラストラクチャ サーバーに関連するセキュリティ監査情報がログに記録されます。 ユーザー権利の割り当ての設定このガイドで定義している 3 種類の環境におけるインフラストラクチャ サーバーのユーザー権利の割り当ては、MSBP を使用して構成されています。MSBP の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。MSBP の設定により、すべてのインフラストラクチャ サーバーで、ユーザー権利の割り当ては同一に構成されます。 セキュリティ オプションこのガイドで定義している 3 種類の環境におけるインフラストラクチャ サーバーのセキュリティ オプションの設定は、MSBP を使用して構成されています。MSBP の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。MSBP の設定により、すべてのインフラストラクチャ サーバーに関連するセキュリティ オプション設定が同一に構成されます。 イベント ログの設定このガイドで定義している 3 種類の環境におけるインフラストラクチャ サーバーのイベント ログの設定は、MSBP を使用して構成されています。MSBP の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。 追加のセキュリティ設定MSBP によって適用されるセキュリティ設定により、インフラストラクチャ サーバーのセキュリティは大幅に強化されます。ここでは、検討が必要な追加設定の一部について説明します。ここで説明する設定をグループ ポリシーを使用して構成することはできません。すべてのインフラストラクチャ サーバーにおいて、手動で構成する必要があります。 DHCP ログを構成する既定では、DHCP サービスは、起動イベントとシャットダウン イベントのみをイベント ログに記録します。DHCP サーバーで詳細なログを記録するには、次の手順を実行します。 1. | DHCP 管理ツールの DHCP サーバーを右クリックします。 | 2. | [プロパティ] をクリックします。 | 3. | [プロパティ] ダイアログ ボックスの [全般] タブで、[DHCP 監査ログを記録する] をクリックします。 |
以上の手順を実行すると、DHCP サーバーによって次の場所にログ ファイルが作成されます。 %systemroot%\system32\dhcp\ ほとんどのログに保存される情報は IP アドレスではなくコンピュータ名のみなので、ログ ファイルから DHCP クライアント情報を探すことが困難な場合があります。DHCP 監査ログは、内部攻撃または不正な操作の発生源を特定するための追加手段になります。 ただし、ホスト名やメディア アクセス制御 (MAC) アドレスはどちらも偽造またはなりすましが可能なので、これらのログの情報が必ずしも正しいとは限りません (偽装とは、実際に操作を行っているユーザーとは別のユーザーから転送が行われているかのように見せかけることです)。それでも、この情報によってもたらされる利点は、DHCP サーバーでログを記録する場合に必要なコストを上回ります。IP アドレスとコンピュータ名の情報があるだけでも、特定の IP アドレスがネットワークでどのように使用されたかを確認する上で大いに役立ちます。 既定では、DHCP ログ ファイルへの読み取りアクセスは、Server Operators グループと Authenticated Users グループに許可されています。DHCP サーバーによって記録されたログ情報の整合性を維持するため、これらのログへのアクセスをサーバー管理者に制限することをお勧めます。Server Operators グループと Authenticated Users グループは、%systemroot%\system32\dhcp\ フォルダのアクセス制御リスト (ACL) から削除する必要があります。 理論上は、DHCP 監査ログに情報を記録していくと、そのログを保存しているディスクの空き容量がなくなる可能性があります。ただし、[DHCP 監査ログを記録する] は既定で、サーバー上の空きディスク容量が 20 MB を下回るとログの記録が停止するよう設定されています。この設定は既定のままでほとんどの環境のサーバーに適していますが、サーバーの他のアプリケーションに十分な空きディスク容量を割り当てるために、この設定を変更することもできます。この設定の変更方法の詳細については、http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/f7802dce-3ff9-406a-b3e6-c0c6b3ed4941.mspx にある、Windows Server 2003 Tech Center の「DhcpLogMinSpaceOnDisk」ページ (英語情報) を参照してください。
DHCP サービス拒否攻撃から保護するDHCP サーバーはネットワークへのアクセスをクライアントに提供する重要なリソースなので、DoS 攻撃の主な標的になります。DHCP サーバーが攻撃され、DHCP 要求にサービスを提供できなくなると、DHCP クライアントは最終的にリースを取得できなくなります。そのようなクライアントは、既存の IP リースとネットワーク リソースにアクセスする能力とを失います。 DHCP サーバーで使用できるすべてのアドレスを要求する攻撃ツール スクリプトを作成することは、それほど難しくはありません。このようなスクリプトから攻撃を受けると、利用可能な IP アドレスが全部使われてしまい、後になって DHCP クライアントから正当な要求が来ても IP アドレスが付与されません。また、悪意のあるユーザーがコンピュータのネットワーク アダプタのすべての DHCP IP アドレスを構成することも考えられます。このようにされると、DHCP サーバーがスコープ内で IP アドレスの競合を検出し、DHCP リースの割り当てを拒否するようになります。 さらに、他のすべてのネットワーク サービスと同様に、たとえば、CPU に負荷攻撃をしかけたり、DHCP リスナのリクエスト バッファをいっぱいにしたりするなど、DHCP サーバーが正当なトラフィックに応答する能力を奪う DoS 攻撃を受けると、クライアントはリースの要求および更新ができなくなります。この種の問題は、DHCP サービスを適切に設計することによって回避できます。 DHCP サーバーをペアで構成し、ベスト プラクティス 80/20 ルール (DHCP サーバー スコープをサーバー間で分割し、アドレスの 80% を 1 台の DHCP サーバーに割り当て、残りの 20% をもう 1 台に割り当てる方法) に従うことで、この種の攻撃の影響を軽減できます。このように構成することで、サーバーに障害が発生しても、クライアントが引き続き IP アドレス構成を受け取ることができます。80/20 ルールと DHCP プロトコルの詳細については、http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/cnet/cncb_dhc_klom.asp にある、Windows 2000 Server Resource Kit の「DHCP」ページ (英語情報) を参照してください。
注 :Windows 2000 Server Resource Kit で説明している 80/20 ルールは、Windows Server 2003 SP1 の DHCP サービスにも当てはまります。 既知のアカウントを保護するWindows Server 2003 SP1 には、削除できず、名前だけ変更できるビルトイン ユーザー アカウントがいくつかあります。Windows Server 2003 の最もよく知られているビルトイン アカウントは、Guest と Administrator です。 既定では、Guest アカウントはメンバ サーバーとドメイン コントローラでは無効になっています。この設定は変更しないでください。悪意のあるコードの多くは、サーバーへの侵入で最初の試みとしてビルトイン Administrator アカウントを使用します。この理由から、ビルトイン Administrator アカウントの名前と説明を変更して、攻撃者がよく知られているアカウントを使用してリモート サーバーへ侵入することを防止してください。 ビルトイン Administrator アカウントのセキュリティ識別子 (SID) を指定し、その本当の名前を調べてサーバーに侵入しようとする攻撃ツールが出現して以来、この構成変更の価値はここ数年間で減少しています。SID は、各ユーザー、グループ、コンピュータ アカウント、およびネットワークのログオン セッションをそれぞれ識別する値です。このビルトイン アカウントの SID を変更することはできません。ただし、Administrator アカウント名を一意の名前に変更すると、運用グループが Administrator アカウントに対する攻撃を簡単に監視できるようになります。 インフラストラクチャ サーバーのよく知られたアカウントをセキュリティで保護するには | • | すべてのドメインやサーバーで、Administrator アカウントと Guest アカウントの名前を変更し、パスワードを長く複雑な値に変更します。 | | • | 各サーバーで異なる名前とパスワードを使用します。すべてのドメインおよびサーバーで同じアカウント名とパスワードを使用すると、1 台のメンバ サーバーへのアクセスに成功した攻撃者は、同じアカウント名とパスワードを使用して他のすべてのサーバーにもアクセスできるようになります。 | | • | アカウントを容易に識別できないように、アカウントの説明を既定以外に変更します。 | | • | 変更した内容を安全な場所に記録します。 注 :ビルトイン Administrator アカウントは、グループポリシーを使用して変更できます。このアカウントには各組織が固有の名前を指定する必要があるので、このガイドに付属のセキュリティ テンプレートではこのポリシー設定は構成していません。ただし、このガイドで定義している 3 種類の環境すべてでは、[アカウント: Administrator アカウント名の変更] 設定を使用して、Administrator アカウント名を変更できます。このポリシー設定は、GPO のセキュリティ オプション設定に含まれています。 |
サービス アカウントをセキュリティ保護する避けられない場合を除いて、ドメイン アカウントのセキュリティ コンテキストでサービスを実行するようには構成しないでください。サーバーに物理的にアクセスされた場合、LSA シークレットをダンプすることで、ドメイン アカウントのパスワードが容易に取得されます。サービス アカウントのセキュリティを保護する方法の詳細については、http://www.microsoft.com/japan/technet/security/topics/serversecurity/serviceaccount/default.mspx の「サービスおよびサービス アカウントのセキュリティ計画ガイド」を参照してください。 SCW を使用してポリシーを作成する必要なセキュリティ設定を展開するには、セキュリティの構成ウィザード (SCW) と、このガイドのダウンロード バージョンに付属のセキュリティ テンプレートの両方を使用して、サーバー ポリシーを作成する必要があります。 独自のポリシーを作成する場合は、[レジストリ設定] セクションと [監査ポリシー] セクションをスキップします。これらのポリシー設定は、選択された環境のセキュリティ テンプレートで提供されます。この方法は、テンプレートのポリシー要素が SCW によって構成されるポリシー要素より優先されるようにするために必要です。 構成作業を始める際には、オペレーティング システムの新規インストールを使用することをお勧めします。こうすることにより、以前の構成の古い設定やソフトウェアが残っていないことが保証されます。可能であれば、展開に使用するものと同様のハードウェアにオペレーティング システムをインストールすることをお勧めします。これにより、互換性が向上します。このような新規インストールを参照コンピュータと呼びます。 サーバー ポリシーの作成手順で、検出された役割の一覧からファイル サーバーの役割を削除することに注意してください。この役割は、それを必要としないサーバーに構成されていることが多く、セキュリティ リスクになる可能性があります。ファイル サーバーの役割が必要なサーバーでそれを有効にするには、このプロセスの後半で別のポリシーを適用します。 インフラストラクチャ サーバー ポリシーを作成するには 1. | Windows Server 2003 SP1 の新しいインストールを新しい参照コンピュータに作成します。 | 2. | [コントロール パネル]、[アプリケーションの追加と削除]、[Windows コンポーネントの追加と削除] の順に選択して、セキュリティの構成ウィザードのコンポーネントをコンピュータにインストールします。 | 3. | コンピュータをドメインに参加させます。これにより、親 OU からすべてのセキュリティ設定が適用されます。 | 4. | この役割を共有するすべてのサーバーに必要な必須アプリケーションのみをインストールし、構成します。たとえば、役割固有のサービス、ソフトウェア エージェント、管理エージェント、テープ バックアップ エージェント、ウイルス対策ユーティリティ、スパイウェア対策ユーティリティなどが該当します。 | 5. | SCW GUI を起動し、[新しいセキュリティ ポリシーの作成] を選択して、参照コンピュータを指定します。 | 6. | DHCP サーバーの役割、WINS サーバーの役割など、検出されたサーバーの役割が環境に適していることを確認します。 | 7. | 検出されたクライアント機能が環境に適していることを確認します。 | 8. | 検出された管理オプションが環境に適していることを確認します。 | 9. | ベースラインに必要な追加サービス、たとえばバックアップ エージェントやウイルス対策ソフトウェアが検出されていることを確認します。 | 10. | 環境で指定されていないサービスの扱いを決定します。セキュリティをさらに向上させるため、このポリシー設定を [無効] にします。この設定は、運用ネットワークに展開する前にテストしてください。運用サーバーが、参照コンピュータに複製されていない追加サービスを実行する場合に、問題が発生することがあります。 | 11. | [ネットワーク セキュリティ] セクションで [このセクションをスキップする] チェック ボックスがオフであることをオフであることを確認し、[次へ] をクリックします。前の手順で特定した適切なポートとアプリケーションが、Windows ファイアウォールの例外として構成されます。 | 12. | [レジストリの設定] セクションで、[このセクションをスキップする] チェック ボックスをオンにし、[次へ] をクリックします。これらのポリシー設定は、付属の INF ファイルからインポートされます。 | 13. | [監査ポリシー] セクションで、[このセクションをスキップする] チェック ボックスをオンにし、[次へ] をクリックします。これらのポリシー設定は、付属の INF ファイルからインポートされます。 | 14. | 適切なセキュリティ テンプレート (EC-Infrastructure Server.inf など) を含めます。 | 15. | ポリシーを適切な名前 (Infrastructure Server.xml など) で保存します。 |
SCW を使用してポリシーをテストするポリシーを作成して保存したら、テスト環境に展開することを強くお勧めします。テスト サーバーが運用サーバーと同じハードウェアおよびソフトウェア構成であることが理想的です。こうすることで、特定のハードウェア デバイスに予期しないサービスが必要になった場合などの、潜在的な問題を検出して解決できるようになります。 ポリシーのテストには、2 つの方法があります。SCW 独自の展開機能を使用する方法と、GPO を使用してポリシーを展開する方法です。 ポリシーの作成をこれから始める場合には、SCW 独自の展開機能を使用することを検討してください。SCW を使用して、ポリシーをサーバーごとにプッシュするか、Scwcmd を使用してポリシーをサーバーのグループにプッシュします。この展開方法を使用すると、SCW から展開したポリシーを簡単にロールバックできます。この機能は、テスト プロセスでポリシーの変更を複数行う場合に便利です。 ポリシーをテストする目的は、そのポリシーを対象サーバーに適用しても重要な機能に悪影響が及ばないことを確認することです。構成の変更を適用したら、コンピュータの主要な機能を検証する必要があります。たとえば、証明機関 (CA) として構成されているサーバーの場合は、クライアントが証明書を要求して取得できること、証明書失効リストをダウンロードできることなどを確認します。 ポリシーの構成に問題がないことを確認したら、次に示す手順に従って、Scwcmd を使用して、ポリシーを GPO に変換します。 SCW ポリシーのテスト方法の詳細については、http://technet2.microsoft.com/WindowsServer/ja/Library/5254f8cd-143e-4559-a299-9c723b3669461041.mspx?mfr=true の『セキュリティの構成ウィザードの展開ガイド』および http://go.microsoft.com/fwlink/?linkid=43450 の「Security Configuration Wizard Documentation」(英語情報) を参照してください。
ポリシーを変換して展開するポリシーを徹底的にテストした後、次の手順を実行して、ポリシーを GPO に変換して、展開します。 1. | コマンド プロンプトで、次のコマンドを入力します。 scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName> Enter キーを押します。次にその例を示します。 scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Infrastructure.xml" /g:"Infrastructure Policy" 注 :コマンド プロンプトに入力する情報が、表示の制限により複数行にわたって表示されることがあります。この情報は、すべて 1 行に入力してください。 | 2. | グループ ポリシー管理コンソールを使用して、新しく作成した GPO を適切な OU にリンクします。 |
SCW セキュリティ ポリシー ファイルに Windows ファイアウォールの設定が含まれている場合、この手順を正常に完了するには、ローカル コンピュータで Windows ファイアウォールが有効になっている必要があります。Windows ファイアウォールが有効であることを確認するには、[コントロール パネル] を開き、[Windows ファイアウォール] をダブルクリックします。 次に、最後のテストを実行して、GPO により意図したポリシー設定が適用されることを確認します。この手順を完了させるために、ポリシー設定が適切であること、機能がその影響を受けないことを確認します。 まとめこの章では、このガイドで定義している 3 種類の各環境で、Windows Server 2003 SP1 を実行する DHCP および WINS サーバーに使用できるポリシー設定について説明しました。これらの役割のほとんどの設定は、MSBP を使用して適用されます。DHCP および WINS サーバーのインフラストラクチャ ポリシー オブジェクトを作成する主な目的は、これらの役割に必要なサービスを完全に機能させ、十分にセキュリティ保護することです。 MSBP は高いセキュリティ レベルを提供しますが、この章ではインフラストラクチャ サーバーの役割に関するその他の考慮事項についても説明しました。主な考慮事項は、ログ ファイルの生成などです。 関連情報Windows Server 2003 SP1 を実行するインフラストラクチャ サーバーのセキュリティ強化に関する詳細情報は、以下のリンクから参照できます。
| 
