Windows Vista セキュリティ ガイド
概要
『Windows Vista セキュリティガイド』へようこそ。このガイドでは、Active Directory® ディレクトリ サービスを使用したドメイン内の、Windows Vista® を実行しているデスクトップおよびラップトップ コンピュータのセキュリティを強化する手順と推奨設定について説明します。 『Windows Vista セキュリティガイド』には、ここで説明するソリューション以外にも、展開プロセスを大幅に合理化できるツール、段階的な手順、推奨、プロセスが記載されています。このガイドは、効果的なセキュリティ設定のガイダンスとなるだけでなく、テスト環境と運用環境の両方にガイダンスの内容を適用する際の実践的なマニュアルともなります。 『Windows Vista セキュリティガイド』で使用する重要なツールが、GPOAccelerator.wsf スクリプトです。このツールを使用すると、このセキュリティ ガイダンスを適用する必要のあるすべてのグループ ポリシー オブジェクト (GPO) を自動的に作成するスクリプトを実行できます。このガイドに付属する Windows Vista Security Guide Settings.xls ファイルにも、設定値を比較できる別のリソースが含まれています。 この規範的なガイダンスは、次に示す基準を満たすため、マイクロソフトの技術チーム、コンサルタント、サポート エンジニア、パートナー、およびユーザーにより評価され、承認されています。
何人ものコンサルタントとシステム エンジニアの取り組みにより、Windows Vista、Microsoft® Windows® XP Professional、Windows Server® 2003、および Windows 2000 をさまざまな環境で実装するためのベスト プラクティスが提供されています。現在の環境に適した Windows Vista を評価する場合、Windows Vista Readiness Assessment (VRA) を利用すると、中間市場の規模の組織は自社のコンピュータで Windows Vista オペレーティング システムを実行する準備が整っているかどうかを判断できます。VRA を使用した場合、コンピュータのインベントリがすばやく作成され、対応可能な Windows Vista エクスペリエンスが特定され、必要に応じて特定のハードウェアをアップグレードすることが推奨されます。 マイクロソフトでは、Windows XP Service Pack 1 (SP1) と Windows XP SP2 の両方に対してガイドを発行しました。今回のガイドは、Windows Vista の大幅なセキュリティ強化の内容を参照するためのものです。このガイドの内容は、Active Directory ドメインに参加している Windows Vista コンピュータ、およびスタンドアロンのコンピュータを使用して作成され、テストされました。 注 : 特に断りのない限り、このガイドで言及される Windows XP はすべて Windows XP SP2 のことを指します。 トピック
要点どのような環境でも、セキュリティは真剣に考える必要のある問題です。多くの組織が情報テクノロジ (IT) の価値を過小評価しています。環境内のサーバーに深刻な攻撃が行われた場合、組織全体に甚大な被害が及びます。たとえば、マルウェアがネットワーク上のクライアント コンピュータに感染すると、組織は所有しているデータを失い、コンピュータを安全な状態に戻すために多額のコストを強いられる可能性があります。Web サイトを使用不能にする攻撃を受けた場合にも、収益を失ったり顧客の信頼を大きく損なう可能性があります。 セキュリティの脆弱性、リスク、露出性に関する分析を実行すれば、ネットワーク環境のすべてのコンピュータ システムが、セキュリティと機能性のバランスによって左右されることがわかります。このガイドでは、Windows Vista で利用できる主要なセキュリティ対策と、それによって解決される脆弱性について説明します。対策を実行すると悪影響が生じる (またはその可能性がある) 場合は、それについても説明します。 このガイドは、Windows XP SP2 コンピュータのセキュリティを強化するための推奨設定について記載された『Windows XP セキュリティガイド』に基づいています。『Windows XP セキュリティガイド』では、次の 2 つの環境に応じたセキュリティ ベースラインを使用するコンピュータを強化するための推奨設定について説明します。
このガイドの構成は、読者が必要な情報を簡単に参照できるようになっています。このガイドと関連ツールを利用すると、次のことを行うことができます。
このガイドは企業ユーザー向けに作成されていますが、内容の大部分はさまざまな規模の組織に適用できます。このガイドを最大限に活用するには、すべての内容に目を通す必要があります。ただし、特定の目的を達成するために一部分だけを参照することも可能です。この概要の「章の要約」セクションでは、このガイドに記載された情報を簡単に紹介します。Windows XP に関連するセキュリティ トピックと設定の詳細については、『Windows XP セキュリティガイド』およびその関連ガイドである『脅威とその対策』を参照してください。 対象読者『WindowsVista セキュリティガイド』の主な対象読者は、エンタープライズ環境内のデスクトップおよびラップトップ クライアント コンピュータを対象にしたアプリケーション開発計画、インフラストラクチャ開発計画、Windows Vista の展開計画などを担当する、IT ゼネラリスト、セキュリティ専門家、ネットワーク設計者などの IT 専門家およびコンサルタントです。このガイドでは、ホーム ユーザーは対象読者として想定されていません。このガイドは、次のような役職のユーザーを対象としています。
注 : このガイドの規範的なガイダンスを適用する場合、ユーザーは最低でも「第 1 章 : セキュリティ ベースラインの実装」の EC 環境を確立する手順を参照し、実際に手順を完了している必要があります。 前提となるスキルと知識このガイドの対象読者が社内で Windows Vista を実行しているクライアント コンピュータの構築、展開、およびセキュリティ保護を行う場合、前提として次の知識とスキルが必要です。
このガイドの目的このガイドの主な目的は次のとおりです。
このガイドでは、組織のセキュリティ要件に応じて関連する一部分のみを参照することもできます。ただし、このガイドを最大限に活用するためには、すべてのページに目を通すことをお勧めします。 このガイドの対象範囲このガイドでは、Windows Vista を実行しているデスクトップおよびラップトップ コンピュータのために安全な環境を構築、維持する方法が中心的な内容となっています。2 つの異なる環境をセキュリティで保護するためのさまざまな段階について、また、いずれかの環境で展開されるデスクトップおよびラップトップ コンピュータの各セキュリティ設定によってどのような問題が解決されるかについて説明します。このガイドでは、規範的な情報とセキュリティの推奨設定が示されています。 EC 環境のクライアント コンピュータの場合、Windows XP または Windows Vista のどちらでも実行できます。ただし、ネットワーク上にあるこのようなクライアント コンピュータを管理するコンピュータでは、Windows Server 2003 R2 または Windows Server 2003 SP1 を実行する必要があります。SSLF 環境のクライアント コンピュータの場合は、Windows Vista のみを実行できます。 このガイドで紹介するオペレーティング システムのセキュリティ設定は、推奨する設定に限られています。Windows Vista のすべてのセキュリティ設定を徹底的に検討する場合は、関連ガイドの『脅威とその対策』を参照してください。 各章の要約『WindowsVista セキュリティガイド』は 5 つの章で構成されており、これに設定に関する説明、注意事項、値を参照できる付録が加わっています。このガイドに付属する Windows Vista Security Guide Settings.xls ファイルには、設定値を比較できる別のリソースが含まれています。次の図で、規範的なガイダンスの最適な実装方法と展開方法がわかるこのガイドの構造を示します。 概要この概要では、このガイドの目的と取り扱い範囲について説明し、ガイドの対象読者を明らかにします。読者が目的の情報を見つけやすいように、ガイドの構成についても説明します。また、ガイドに付属するツールとテンプレート、およびガイダンスを適用する場合の必要条件についても説明します。ガイドの各章と付録の内容についても簡単に紹介します。 第 1 章 : セキュリティ ベースラインの実装この章では、セキュリティ ベースラインを作成して展開すると、組織にどのような利益があるのかを明らかにします。また、EC ベースライン設定とセキュリティ ガイダンスを実装する手順と過程について紹介します。 この目的のため、この章では、GPOAccelerator.wsf スクリプトと GPMC を使用して組織単位 (OU) および GPO を作成し、テストし、展開して、このような環境を構築する方法を順を追って説明します。このガイドには、Windows Vista Security Guide Settings.xls というファイルも付属しています。これは、設定値の比較に使用できるもう 1 つのリソースとなります。 第 2 章 : マルウェアからの保護この章では、ウイルス、ワーム、トロイの木馬などのマルウェアからクライアント コンピュータおよび企業の資産を保護するために、Windows Vista の新しいセキュリティ機能や既存の強化された機能を活用することを推奨しています。また、次のテクノロジを最も効果的に使用する方法についても説明しています。
さらにこの章では、Internet Explorer 7 の次のセキュリティ テクノロジについて詳しく説明します。
第 3 章 : 機密性の高いデータの保護この章では、Windows Vista の暗号化テクノロジおよびアクセス制御テクノロジを使用してデータを保護する場合の推奨事項とベスト プラクティスを紹介します。モバイル コンピューティング環境では、Windows Vista を実行しているデバイスを紛失したり盗まれたりする可能性が高くなります。上記のテクノロジは、特にこの環境での使用に適しています。 この章では、Windows Vista の次のテクノロジを最も効果的に使用する方法について詳しく説明します。
第 4 章 : アプリケーションの互換性この章では、現在の環境内にある既存のアプリケーションの機能を損なわずに Windows Vista の強化された新しいセキュリティ機能と設定を使用する方法について、推奨事項を紹介します。この章の内容は次のとおりです。
第 5 章 : セキュリティへの特化 - 機能性を制限この章では SSLF 環境について説明し、この環境と EC 環境とのさまざまな相違点について説明します。また、SSLF ベースライン設定とセキュリティ ガイダンスを実装する手順と過程について紹介します。この章では、GPMC で OU と GPO を作成、テスト、展開して SSLF 環境を構築する場合に、スクリプトを使用してこれらの作業を行うための手順が説明されています。  警告 :この章のガイダンスに従うことで、SSLF 環境を構築することができます。この環境は、「第 1 章 : セキュリティ ベースラインの実装」で説明する EC 環境とは異なるものです。この章のガイダンスは、高度なセキュリティ環境の構築を目的としたものであって、第 1 章のガイダンスを補足するものではありません。 付録 A: セキュリティのグループ ポリシー設定この付録では、EC および SSLF セキュリティ ベースラインの規範的な設定について、本文と表で詳しく説明します。設定ごとに内容を説明し、その構成または値を用いる理由についても説明します。また、Windows Vista と Windows XP で設定に違いがあることも説明します。 ガイダンスとツールこのソリューション アクセラレータには、Windows Vista Security Guide.doc、Appendix A of the Windows Vista Security Guide.doc、Windows Vista Security Guide Settings.xls、GPOAccelerator ツールなど、ガイダンスを簡単に実装するためのファイルがいくつか含まれています。『Windows Vista セキュリティガイド (英語)』ソリューション アクセラレータを Microsoft ダウンロード センターからダウンロードしたら、Microsoft Windows インストーラ (.msi) ファイルを使用して、任意のコンピュータにこれらのリソースをインストールします。 注 : 『Windows Vista セキュリティガイド』のインストールを開始すると、このツールに付属するその他のガイダンスと一緒に、GPOAccelerator ツールも既定で選択されてインストールされます。このツールを使用するには管理者特権が必要です。ソリューション アクセラレータがインストールされる既定の場所は、ドキュメント フォルダです。インストールが完了すると、『Windows Vista セキュリティ ガイド』のフォルダを開くショートカットが配置されます。 このガイドで定義されているいずれかのセキュリティ ベースライン用のツールとテンプレートを適用するには、グループ ポリシー管理コンソール (GPMC) を使用します。「セキュリティ ベースラインの実装」および「セキュリティへの特化 - 機能性を制限」の章で、その実行手順が説明されています。 表記規則このガイドでは、次の表記規則が使用されます。 表 1.1 表記規則
関連情報セキュリティ関連情報の詳細、およびこのガイドに記載された概念やセキュリティ規範に関するさらに詳細な説明については、次のリンク先を参照してください。
サポートとご意見Solution Accelerators – Security and Compliance (SASC) チームは、今回またはその他のソリューション アクセラレータに関して、ユーザーの皆様からのご意見をお待ちしております。 Windows Vista Help and Support Web サイトの「Discussions in Security」ニュースグループ (英語) にご意見を投稿してください。 または電子メールでご意見をお送りいただくこともできます。次のアドレスまでお送りください。secwish@microsoft.com (英語) 皆様からのご意見、ご感想をお待ちしております。 謝辞Solution Accelerators – Security and Compliance (SASC) チームは、『Windows Vista セキュリティガイド』の作成チームに感謝の意を表します。このソリューションの作成、開発、テストに直接または間接的に関与したメンバーは次のとおりです。 開発チーム著者および専門家 José Maldonado Mike Danseglio Michael Tan Richard Harrison、Content Master Ltd David Coombes、Content Master Ltd Jim Captainino、Content Master Ltd Richard Hicks、QinetiQ テスター Gaurav Bora Vikrant Minhas、Infosys Technologies Ltd Sumit Parikh、Infosys Technologies Ltd Dharani Mohanam、Infosys Technologies Ltd Swapna Jagannathan、Infosys Technologies Ltd Prashant Japkar、Infosys Technologies Ltd 編集者 John Cobb、Wadeware LLC Jennifer Kerns、Wadeware LLC Steve Wacker、Wadeware LLC プログラムマネージャ Kelly Hengesteg Audrey Centola、Volt Information Sciences Neil Bufton、Content Master Ltd 製品マネージャ Jim Stewart Alain Meeus Tony Bailey Kevin Leo、Excell Data Corporation リリースマネージャ Karina Larson Gareth Jones 貢献者およびレビュー担当者Microsoft Charles Denny、Ross Carter、 Derick Campbell、Chase Carpenter Karl Grunwald、Mike Smith-Lonergan Don Armstrong、Bob Drake Eric Fitzgerald、Emily Hill George Roussos、David Abzarian Darren Canavor、Nils Dussart Peter Waxman、Russ Humphries Sarah Wahlert、Tariq Sharif Ned Pyle、Bomani Siwatu Kiyoshi Watanabe、Eric Lawrence David Abzarian、Chas Jeffries Vijay Bharadwaj、Marc Silbey Sean Lyndersay、Chris Corio Matt Clapham、Tom Daemen Sanjay Pandit、Jeff Williams Alex Heaton、Mike Chan Bill Sisk、Jason Joyce 外部スタッフ Mehul Mediwala、Infosys Technologies Ltd 注 :
|
目次
|
