Windows XP セキュリティ ガイド付録 A:検討が必要な重要な設定最終更新日: 2006年8月17日 このガイドでは数多くのセキュリティ対策およびセキュリティ設定について説明してきましたが、その中の一部が特に重要です。この付録では、これらの重要な設定を一覧に示します。各設定の説明およびその設定がなぜ重要であるのかについては、関連する章を参照してください。 この一覧に含める設定については、賛否両論があるはずです。この問題については、Microsoft 内のセキュリティ専門家のグループも詳細に議論しました。一覧に必要な設定がない、または必要のない設定が一覧に記載されていると感じることがあるかもしれません。組織によって環境やビジネス要件が異なるので、セキュリティの問題に関してさまざまな意見があるのは当然です。この一覧は、Microsoft® Windows® を実行しているコンピュータのセキュリティ強化に関連するタスクに優先順位を付ける際の参考情報として活用してください。 トピック重要な対策セキュリティ設定に関係がない重要な対策を次に示します。 | • | テストおよび展開用の自動化ツールを使用して、コンピュータに常に最新のサービス パックと修正プログラムがインストールされるようにします。 | | • | 分散型ファイアウォール ソフトウェアまたは組織規模の IPsec ポリシーをインストールして構成します。 | | • | ウイルス対策ソフトウェアを展開して維持します。 | | • | スパイウェア対策ソフトウェアを展開して維持します。 | | • | 日常的なタスクに権限のないアカウントを使用します。管理者権限のあるアカウントを使用する必要があるのは、上位権限が必要なタスクを実行するときだけです。 |
重要なセキュリティ設定Microsoft Windows で使用できる重要なセキュリティ設定を次に示します。 | • | パスワード ポリシーの設定 (「第 2 章 Active Directory ドメイン インフラストラクチャを構成する」を参照) | • | パスワードの履歴を記録する | | • | パスワードの有効期間 | | • | 最小パスワード長 | | • | パスワードは要求する複雑さを満たす | | • | 暗号化を元に戻せる状態でドメインのすべてのユーザーのパスワードを保存する |
| | • | ユーザー権利の割り当ての設定 (「第 3 章 Windows XP クライアントのセキュリティ設定」を参照) | • | ネットワーク経由でコンピュータへアクセス | | • | オペレーティング システムの一部として機能 | | • | ローカル ログオンを許可する | | • | ターミナル サービスを通したログオンを許可する |
| | • | セキュリティ オプションの設定 (「第 3 章 Windows XP クライアントのセキュリティ設定」を参照) | • | アカウント:ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する | | • | ドメイン メンバ:常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する | | • | ドメイン メンバ:可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する | | • | ドメイン メンバ:可能な場合、セキュリティ チャネルのデータをデジタル的に署名する | | • | ドメイン メンバ:強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする | | • | ネットワーク アクセス:匿名の SID と名前の変換を許可する | | • | ネットワーク アクセス:SAM アカウントの匿名の列挙を許可しない | | • | ネットワーク アクセス:SAM アカウントおよび共有の匿名の列挙を許可しない | | • | ネットワーク アクセス:Everyone のアクセス許可を匿名ユーザーに適用する | | • | ネットワーク アクセス:リモートからアクセスできるレジストリのパス | | • | ネットワーク アクセス:名前付きパイプと共有への匿名のアクセスを制限する | | • | ネットワーク アクセス:匿名でアクセスできる共有 | | • | ネットワーク アクセス:ローカル アカウントの共有とセキュリティ モデル | | • | ネットワーク セキュリティ:次のパスワードの変更で LAN マネージャのハッシュの値を保存しない | | • | ネットワーク セキュリティ:LAN Manager 認証レベル |
| | • | 追加のレジストリ設定 (「第 3 章 Windows XP クライアントのセキュリティ設定」を参照) |
| |
|
|
