トピック概要Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) を実行するファイル サーバー コンピュータのセキュリティを強化することは簡単ではありません。それは、このようなファイル サーバーが提供するほとんどの重要なサービスに、サーバー メッセージ ブロック (SMB) プロトコルおよび共通インターネット ファイル システム (CIFS) プロトコルが必要になるからです。これらのプロトコルは承認されていないユーザーに豊富な情報を与える可能性があるため、高セキュリティ Windows 環境ではしばしば無効にされます。しかし、これらのプロトコルが無効の場合、ユーザーにとっても管理者にとっても、ファイル サーバーへのアクセスが難しくなります。 この章で説明しているほとんどのポリシー設定は、グループ ポリシーを使用して構成および適用されます。ファイル サーバーの役割に必要なセキュリティ設定を提供するには、メンバ サーバー ベースライン ポリシー (MSBP) を補うグループ ポリシー オブジェクト (GPO) を、ファイル サーバーを含む適切な組織単位 (OU) にリンクします。この章では、MSBP とは異なるポリシー設定についてのみ説明します。 これらのポリシー設定は、ファイル サーバー OU に適用される付加的なグループ ポリシー オブジェクトに、可能な限りまとめられています。この章で説明しているポリシー設定の一部は、グループ ポリシーでは構成できません。このようなポリシー設定を手動で構成する方法についても、詳しく説明します。 次の表は、このガイドで定義している 3 種類の環境ごとにファイル サーバー セキュリティ テンプレートの名前を示しています。これらのテンプレートには、付加的なファイル サーバー テンプレートの設定が用意されています。このテンプレートは、適切な環境でファイル サーバー OU にリンクする GPO を新しく作成するのに使用します。OU とグループ ポリシーを作成し、適切なセキュリティ テンプレートを各 GPO にインポートする手順の詳細については、「第 2 章 Windows Server 2003 のセキュリティ強化メカニズム」を参照してください。 表 7.1 ファイル サーバー セキュリティ テンプレート LC-File Server.inf | EC-File Server.inf | SSLF-File Server.inf |
MSBP のポリシー設定の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。すべての既定のポリシー設定の詳細については、http://go.microsoft.com/fwlink/?LinkId=15159 の関連ガイド『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』を参照してください。 監査ポリシーの設定このガイドで定義している 3 種類の環境におけるファイル サーバーの監査ポリシーの設定は、MSBP を使用して構成されます。MSBP の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。MSBP の設定により、すべてのファイル サーバーに関するセキュリティ監査情報の記録が有効になります。 ユーザー権利の割り当てこのガイドで定義している 3 種類の環境におけるファイル サーバーのユーザー権利の割り当て設定は、MSBP を使用して構成されます。MSBP の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。MSBP の設定により、すべての適切なユーザー権利の割り当てが、すべてのファイル サーバーに同一に構成されます。 セキュリティ オプションこのガイドで定義している 3 種類の環境におけるファイル サーバーのセキュリティ オプションの設定は、MSBP を使用して構成されています。MSBP の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。MSBP の設定により、すべての関連セキュリティ オプション設定が、すべてのファイル サーバーに同一に構成されます。 イベント ログの設定このガイドで定義している 3 種類の環境におけるファイル サーバーのエラー ログの設定は、MSBP を使用して構成されます。MSBP の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。 追加のセキュリティ設定MSBP によって適用されるセキュリティ設定により、ファイル サーバーのセキュリティは大幅に強化されますが、ここではその他の一部の考慮事項について説明します。ただし、ここで説明する設定はグループ ポリシーでは実装できないので、すべてのファイル サーバーにおいて手動で構成する必要があります。 既知のアカウントを保護するWindows Server 2003 SP1 には、削除できず、名前だけ変更できるビルトイン ユーザー アカウントがいくつかあります。Windows Server 2003 の最もよく知られているビルトイン アカウントは、Guest と Administrator です。 既定では、Guest アカウントはメンバ サーバーとドメイン コントローラでは無効になっています。この設定は変更しないでください。悪意のあるコードの多くは、サーバーへの侵入で最初の試みとしてビルトイン Administrator アカウントを使用します。この理由から、ビルトイン Administrator アカウントの名前と説明を変更して、攻撃者がよく知られているアカウントを使用してリモート サーバーへ侵入することを防止してください。 ビルトイン Administrator アカウントのセキュリティ識別子 (SID) を指定し、その本当の名前を調べてサーバーに侵入しようとする攻撃ツールが出現して以来、この構成変更の価値はここ数年間で減少しています。SID は、各ユーザー、グループ、コンピュータ アカウント、およびネットワークのログオン セッションをそれぞれ識別する値です。このビルトイン アカウントの SID を変更することはできません。ただし、Administrator アカウント名を一意の名前に変更すると、運用グループが Administrator アカウントに対する攻撃を簡単に監視できるようになります。 ファイル サーバーのよく知られたアカウントをセキュリティで保護するには | • | すべてのドメインおよびサーバーで、Administrator アカウントと Guest アカウントの名前を変更し、パスワードを長く複雑な値に変更します。 | | • | 各サーバーで異なる名前とパスワードを使用します。すべてのドメインとサーバーで同じアカウント名とパスワードを使用する場合、攻撃者があるメンバ サーバーへのアクセスに成功した場合に、他のすべてのサーバーにもアクセスできるようになってしまいます。 | | • | アカウントを容易に識別できないように、アカウントの説明を既定以外に変更します。 | | • | 変更した内容を安全な場所に記録します。 注 :ビルトイン Administrator アカウントの名前は、グループ ポリシーを使用して変更できます。このアカウントには各組織が固有の名前を指定する必要があるので、このガイドに付属のセキュリティ テンプレートではこの設定は構成していません。ただし、このガイドで定義している 3 種類の環境すべてでは、[アカウント: Administrator アカウント名の変更] 設定を使用して、Administrator アカウント名を変更できます。このポリシー設定は、GPO のセキュリティ オプション設定に含まれています。 |
サービス アカウントをセキュリティ保護する避けられない場合を除いて、ドメイン アカウントのセキュリティ コンテキストでサービスを実行するようには構成しないでください。サーバーに物理的にアクセスされた場合、LSA シークレットをダンプすることで、ドメイン アカウントのパスワードが容易に取得されます。サービス アカウントのセキュリティを保護する方法の詳細については、http://www.microsoft.com/japan/technet/security/topics/serversecurity/serviceaccount/default.mspx の「サービスおよびサービス アカウントのセキュリティ計画ガイド」を参照してください。 SCW を使用してポリシーを作成する必要なセキュリティ設定を展開するには、セキュリティの構成ウィザード (SCW) と、このガイドのダウンロード バージョンに付属のセキュリティ テンプレートの両方を使用して、サーバー ポリシーを作成する必要があります。 独自のポリシーを作成する場合は、[レジストリ設定] セクションと [監査ポリシー] セクションをスキップします。これらの設定は、選択した環境のセキュリティ テンプレートで提供されます。この方法は、テンプレートのポリシー要素が SCW によって構成されるポリシー要素より優先されるようにするために必要です。 構成作業を始める際には、オペレーティング システムの新規インストールを使用することをお勧めします。こうすることにより、以前の構成の古い設定やソフトウェアが残っていないことが保証されます。可能であれば、展開に使用するものと同様のハードウェアにオペレーティング システムをインストールすることをお勧めします。これにより、互換性が向上します。このような新規インストールを参照コンピュータと呼びます。 ファイル サーバー ポリシーを作成するには 1. | Windows Server 2003 SP1 の新しいインストールを新しい参照コンピュータに作成します。 | 2. | [コントロール パネル]、[アプリケーションの追加と削除]、[Windows コンポーネントの追加と削除] の順に選択して、セキュリティの構成ウィザードのコンポーネントをコンピュータにインストールします。 | 3. | コンピュータをドメインに参加させます。これにより、親 OU からすべてのセキュリティ設定が適用されます。 | 4. | この役割を共有するすべてのサーバーに必要な必須アプリケーションのみをインストールし、構成します。たとえば、役割固有のサービス、ソフトウェア エージェント、管理エージェント、テープ バックアップ エージェント、ウイルス対策ユーティリティ、スパイウェア対策ユーティリティなどが該当します。 | 5. | SCW GUI を起動し、[新しいセキュリティ ポリシーの作成] を選択して、参照コンピュータを指定します。 | 6. | ファイル サーバーの役割など、検出されたサーバーの役割が環境に適していることを確認します。 | 7. | 検出されたクライアント機能が環境に適していることを確認します。 | 8. | 検出された管理オプションが環境に適していることを確認します。 | 9. | ベースラインに必要な追加サービス、たとえばバックアップ エージェントやウイルス対策ソフトウェアが検出されていることを確認します。 | 10. | 環境で指定されていないサービスの扱いを決定します。セキュリティをさらに向上させるため、このポリシー設定を [無効] にします。この設定は、運用ネットワークに展開する前にテストしてください。運用サーバーが、参照コンピュータに複製されていない追加サービスを実行する場合に、問題が発生することがあります。 | 11. | [ネットワーク セキュリティ] セクションで [このセクションをスキップする] チェック ボックスがオフであることを確認し、[次へ] をクリックします。前の手順で特定した適切なポートとアプリケーションが、Windows ファイアウォールの例外として構成されます。 | 12. | [レジストリの設定] セクションで、[このセクションをスキップする] チェック ボックスをオンにし、[次へ] をクリックします。これらのポリシー設定は、付属の INF ファイルからインポートされます。 | 13. | [監査ポリシー] セクションで、[このセクションをスキップする] チェック ボックスをオンにし、[次へ] をクリックします。これらのポリシー設定は、付属の INF ファイルからインポートされます。 | 14. | 適切なセキュリティ テンプレート (EC-File Server.inf など) を含めます。 | 15. | ポリシーを適切な名前 (File Server.xml など) で保存します。 |
SCW を使用してポリシーをテストするポリシーを作成して保存したら、テスト環境に展開することを強くお勧めします。テスト サーバーが運用サーバーと同じハードウェアおよびソフトウェア構成であることが理想的です。こうすることで、特定のハードウェア デバイスに予期しないサービスが必要になった場合などの、潜在的な問題を検出して解決できるようになります。 ポリシーのテストには、2 つの方法があります。SCW 独自の展開機能を使用する方法と、GPO を使用してポリシーを展開する方法です。 ポリシーの作成をこれから始める場合には、SCW 独自の展開機能を使用することを検討してください。SCW GUI を使用して、ポリシーをサーバーごとにプッシュするか、Scwcmd を使用してポリシーをサーバーのグループにプッシュします。この展開方法を使用すると、SCW から展開したポリシーを簡単にロールバックできます。この機能は、テスト プロセスでポリシーの変更を複数行う場合に便利です。 ポリシーをテストする目的は、そのポリシーを対象サーバーに適用しても重要な機能に悪影響が及ばないことを確認することです。構成の変更を適用したら、コンピュータの主要な機能を検証する必要があります。たとえば、証明機関 (CA) として構成されているサーバーの場合は、クライアントが証明書を要求して取得できること、証明書失効リストをダウンロードできることなどを確認します。 ポリシーの構成に問題がないことを確認したら、次に示す手順に従って、Scwcmd を使用して、ポリシーを GPO に変換します。 SCW ポリシーのテスト方法の詳細については、http://technet2.microsoft.com/WindowsServer/ja/Library/5254f8cd-143e-4559-a299-9c723b3669461041.mspx?mfr=true の『セキュリティの構成ウィザードの展開ガイド』および http://go.microsoft.com/fwlink/?linkid=43450 の「Security Configuration Wizard Documentation」(英語情報) を参照してください。
ポリシーを変換して展開するポリシーを徹底的にテストした後、次の手順を実行して、ポリシーを GPO に変換して、展開します。 1. | コマンド プロンプトで、次のコマンドを入力します。 scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName> Enter キーを押します。次にその例を示します。 scwcmd transform /p:"C:\Windows\Security\msscw\Policies\File Server.xml" /g:"File Server Policy" 注 :コマンド プロンプトに入力する情報が、表示の制限により複数行にわたって表示されることがあります。この情報は、すべて 1 行に入力してください。 | 2. | グループ ポリシー管理コンソールを使用して、新しく作成した GPO を適切な OU にリンクします。 |
SCW セキュリティ ポリシー ファイルに Windows ファイアウォールの設定が含まれている場合、この手順を正常に完了するには、ローカル コンピュータで Windows ファイアウォールが有効になっている必要があります。Windows ファイアウォールが有効であることを確認するには、[コントロール パネル] を開き、[Windows ファイアウォール] をダブルクリックします。 次に、最後のテストを実行して、GPO により意図した設定が適用されることを確認します。この手順を完了させるために、設定が適切であること、機能がその影響を受けないことを確認します。 まとめこの章では、このガイドで定義している 3 種類の各環境で、Windows Server 2003 SP1 を実行するファイル サーバーの構成に使用できるポリシー設定について説明しました。ほとんどのポリシー設定は、MSBP を補うよう設計されたグループ ポリシー オブジェクト (GPO) を通じて適用されます。GPO は、ファイル サーバーを含む適切な組織単位 (OU) にリンクして、セキュリティをさらに向上させることができます。 一部のポリシー設定は、グループ ポリシーでは適用できません。そのようなポリシー設定については、手動で構成する方法について詳しく説明しました。 関連情報Windows Server 2003 SP1 を実行するファイル サーバーのセキュリティ強化に関する詳細情報は、以下のリンクから参照できます。 | • | ファイル サーバーの詳細については、http://www.microsoft.com/japan/windowsserver2003/techinfo/overview/file.mspx の「ファイル サービスの技術概要」を参照してください。 | | • | DFS の詳細については、http://www.microsoft.com/japan/windows2000/techinfo/howitworks/fileandprint/dfsnew.mspx のホワイト ペーパー「分散ファイル システム」を参照してください。 | | • | FRS の詳細については、http://www.microsoft.com/windowsserversystem/storage/storservices.mspx#EGBAAA の「File Replication Service」トピック (英語情報) を参照してください。 |
| 
