Windows Vista セキュリティ ガイド
概要
公開日: 2007年2月6日
『Windows Vistaセキュリティガイド』へようこそ。このガイドでは、Active Directory® ディレクトリ サービスを使用したドメイン内の、Windows Vista® を実行しているデスクトップおよびラップトップ コンピュータのセキュリティを強化する手順と推奨設定について説明します。
『Windows Vistaセキュリティガイド』には、ここで説明するソリューション以外にも、展開プロセスを大幅に合理化できるツール、段階的な手順、推奨、プロセスが記載されています。このガイドは、効果的なセキュリティ設定のガイダンスとなるだけでなく、テスト環境と運用環境の両方にガイダンスの内容を適用する際の実践的なマニュアルともなります。
『Windows Vistaセキュリティガイド』で使用する重要なツールが、GPOAccelerator.wsf スクリプトです。このツールを使用すると、このセキュリティ ガイダンスを適用する必要のあるすべてのグループ ポリシー オブジェクト (GPO) を自動的に作成するスクリプトを実行できます。このガイドに付属する Windows Vista Security Guide Settings.xls ファイルにも、設定値を比較できる別のリソースが含まれています。
この規範的なガイダンスは、次に示す基準を満たすため、マイクロソフトの技術チーム、コンサルタント、サポート エンジニア、パートナー、およびユーザーにより評価され、承認されています。
- 実証済みである - 現場での経験に基づいています。
- 信頼できる - 最も信頼できる助言を提供します。
- 正確である - 技術的に検証されテストされています。
- すぐに利用できる - 問題解決の手順を示します。
- 実際の問題との関連性がある - 現実のセキュリティ問題に対処できます。
何人ものコンサルタントとシステム エンジニアの取り組みにより、Windows Vista、Microsoft® Windows® XP Professional、Windows Server® 2003、および Windows 2000 をさまざまな環境で実装するためのベスト プラクティスが提供されています。現在の環境に適した Windows Vista を評価する場合、Windows Vista Readiness Assessment (VRA)(英語) を利用すると、中間市場の規模の組織は自社のコンピュータで Windows Vista オペレーティング システムを実行する準備が整っているかどうかを判断できます。VRA を使用した場合、コンピュータのインベントリがすばやく作成され、対応可能な Windows Vista エクスペリエンスが特定され、必要に応じて特定のハードウェアをアップグレードすることが推奨されます。
マイクロソフトでは、Windows XP Service Pack 1 (SP1) と Windows XP SP2 の両方に対してガイドを発行しました。今回のガイドは、Windows Vista の大幅なセキュリティ強化の内容を参照するためのものです。このガイドの内容は、Active Directory ドメインに参加している Windows Vista コンピュータ、およびスタンドアロンのコンピュータを使用して作成され、テストされました。
注: 特に断りのない限り、このガイドで言及される Windows XP はすべて Windows XP SP2 のことを指します。
要点
どのような環境でも、セキュリティは真剣に考える必要のある問題です。多くの組織が情報テクノロジ (IT) の価値を過小評価しています。環境内のサーバーに深刻な攻撃が行われた場合、組織全体に甚大な被害が及びます。たとえば、マルウェアがネットワーク上のクライアント コンピュータに感染すると、組織は所有しているデータを失い、コンピュータを安全な状態に戻すために多額のコストを強いられる可能性があります。Web サイトを使用不能にする攻撃を受けた場合にも、収益を失ったり顧客の信頼を大きく損なう可能性があります。
セキュリティの脆弱性、リスク、露出性に関する分析を実行すれば、ネットワーク環境のすべてのコンピュータ システムが、セキュリティと機能性のバランスによって左右されることがわかります。このガイドでは、Windows Vista で利用できる主要なセキュリティ対策と、それによって解決される脆弱性について説明します。対策を実行すると悪影響が生じる (またはその可能性がある) 場合は、それについても説明します。
このガイドは、Windows XP SP2 コンピュータのセキュリティを強化するための推奨設定について記載された『Windows XPセキュリティガイド』に基づいています。『 Windows XPセキュリティガイド』では、次の 2 つの環境に応じたセキュリティ ベースラインを使用するコンピュータを強化するための推奨設定について説明します。
このガイドの構成は、読者が必要な情報を簡単に参照できるようになっています。このガイドと関連ツールを利用すると、次のことを行うことができます。
- ネットワーク環境でいずれかのセキュリティ ベースラインを展開して有効にする。
- 一般的なセキュリティ シナリオに対応する Windows Vista のセキュリティ機能を特定して使用する。
- いずれかのセキュリティ ベースラインで各設定の目的を明らかにして、その意味を理解する。
このガイドは企業ユーザー向けに作成されていますが、内容の大部分はさまざまな規模の組織に適用できます。このガイドを最大限に活用するには、すべての内容に目を通す必要があります。ただし、特定の目的を達成するために一部分だけを参照することも可能です。この概要の「章の要約」セクションでは、このガイドに記載された情報を簡単に紹介します。Windows XP に関連するセキュリティ トピックと設定の詳細については、『Windows XPセキュリティガイド』およびその関連ガイドである『脅威とその対策』を参照してください。
対象読者
『WindowsVistaセキュリティガイド』の主な対象読者は、エンタープライズ環境内のデスクトップおよびラップトップ クライアント コンピュータを対象にしたアプリケーション開発計画、インフラストラクチャ開発計画、Windows Vista の展開計画などを担当する、IT ゼネラリスト、セキュリティ専門家、ネットワーク設計者などの IT 専門家およびコンサルタントです。このガイドでは、ホーム ユーザーは対象読者として想定されていません。このガイドは、次のような役職のユーザーを対象としています
- ITゼネラリスト。この職務を担当するユーザーは、クライアント コンピュータの台数が 50 ~ 500 台規模の組織のあらゆる階層でセキュリティを管理します。IT ゼネラリストは、管理対象のコンピュータをすばやく簡単にセキュリティ保護することが中心的業務となります。
- セキュリティ専門家。この職務を担当するユーザーは、組織内のコンピューティング プラットフォーム全体のセキュリティを確保することが中心的業務となります。セキュリティ専門家は、組織のあらゆる階層におけるセキュリティ ニーズに対応でき、実証済みのセキュリティ対策実装方法を知ることもできる、信頼性の高いリファレンス ガイドを必要としています。セキュリティ専門家の仕事は、適切なセキュリティ機能と設定を特定し、リスクの高い環境で最も効果的にそれらの機能や設定を使用できる方法を推奨することです。
- IT運用スタッフ、ヘルプデスク、および展開スタッフ。IT 運用を担当するユーザーは、セキュリティを統合し、展開プロセスでの変更を制御することが中心的業務となります。展開スタッフは、セキュリティ更新プログラムを迅速に管理することが中心的業務となります。また、このような職務を担当するスタッフは、ソフトウェアのインストール、構成、利便性や管理性の改善など、アプリケーションに関連したセキュリティ上の問題を解決します。また、この種の問題を監視して、セキュリティの計測可能な改善結果と重要なビジネス アプリケーションに対する最低限の影響を定義します。
- ネットワーク設計者および計画立案者。これらの職務を担当するユーザーは、組織内のコンピュータのネットワーク アーキテクチャを構築する取り組みを推進します。
- コンサルタント。この職務を担当するユーザーは、50 ~ 5,000 台以上のクライアント コンピュータがある組織で活動しています。IT コンサルタントは、組織のあらゆる業務レベルを対象とした多種多様なセキュリティ シナリオに対応します。マイクロソフトの各サービス部門およびパートナーから派遣される IT コンサルタントは、企業ユーザーとパートナーのために情報伝達ツールを活用しています
- ビジネスアナリストおよびビジネス上の意思決定者 (BDM))。これらの職務を担当するユーザーは、デスクトップやラップトップの IT サポートを必要とするような重要なビジネスの目的や要件を抱えています。
注 : このガイドの規範的なガイダンスを適用する場合、ユーザーは最低でも「第 1 章 : セキュリティ ベースラインの実装」の EC 環境を確立する手順を参照し、実際に手順を完了している必要があります。
前提となるスキルと知識
このガイドの対象読者が社内で Windows Vista を実行しているクライアント コンピュータの構築、展開、およびセキュリティ保護を行う場合、前提として次の知識とスキルが必要です。
- Windows Server 2003 以降の MCSE 認定資格、および 2 年以上のセキュリティ関連の経験またはそれと同等の知識。
- 組織のドメインと Active Directory 環境に関する詳細な知識。
- グループ ポリシー管理コンソール (GPMC) の使用経験。
- GPMC を使用したグループ ポリシー管理の経験。GPMC を使用すると、それだけでグループ ポリシー関連の全タスクを管理できます。
- Microsoft 管理コンソール (MMC)、Gpupdate、Gpresult などの管理ツールの使用経験。
- エンタープライズ環境でのアプリケーションとクライアント コンピュータの展開の経験。
このガイドの目的
このガイドの主な目的は次のとおりです。
- グループ ポリシーを使用してテスト対象のセキュリティ ベースライン構成を効率的に作成および適用するためのソリューション ガイダンスとして、読者が利用できる。
- このガイドで説明されているベースライン構成の推奨するセキュリティ設定とその結果について、推奨する理由を読者に理解してもらう。
- 一般的なセキュリティ シナリオを読者が特定および検討できるようにする。ならびに、読者が自身の環境内で Windows Vista の特定のセキュリティ機能を管理できるようにするために、その使用方法を特定および検討できるようにする。
このガイドでは、組織のセキュリティ要件に応じて関連する一部分のみを参照することもできます。ただし、このガイドを最大限に活用するためには、すべてのページに目を通すことをお勧めします。
このガイドの対象範囲
このガイドでは、Windows Vista を実行しているデスクトップおよびラップトップ コンピュータのために安全な環境を構築、維持する方法が中心的な内容となっています。2 つの異なる環境をセキュリティで保護するためのさまざまな段階について、また、いずれかの環境で展開されるデスクトップおよびラップトップ コンピュータの各セキュリティ設定によってどのような問題が解決されるかについて説明します。このガイドでは、規範的な情報とセキュリティの推奨設定が示されています
EC 環境のクライアント コンピュータの場合、Windows XP または Windows Vista のどちらでも実行できます。ただし、ネットワーク上にあるこのようなクライアント コンピュータを管理するコンピュータでは、Windows Server 2003 R2 または Windows Server 2003 SP1 を実行する必要があります。SSLF 環境のクライアント コンピュータの場合は、Windows Vista のみを実行できます。
このガイドで紹介するオペレーティング システムのセキュリティ設定は、推奨する設定に限られています。Windows Vista のすべてのセキュリティ設定を徹底的に検討する場合は、関連ガイドの『脅威とその対策』を参照してください。
各章の要約
『WindowsVistaセキュリティガイド』は 5 つの章で構成されており、これに設定に関する説明、注意事項、値を参照できる付録が加わっています。このガイドに付属する Windows Vista Security Guide Settings.xls ファイルには、設定値を比較できる別のリソースが含まれています。次の図で、規範的なガイダンスの最適な実装方法と展開方法がわかるこのガイドの構造を示します。
.gif "概要")
画像を画面全体に表示
概要
この概要では、このガイドの目的と取り扱い範囲について説明し、ガイドの対象読者を明らかにします。読者が目的の情報を見つけやすいように、ガイドの構成についても説明します。また、ガイドに付属するツールとテンプレート、およびガイダンスを適用する場合の必要条件についても説明します。ガイドの各章と付録の内容についても簡単に紹介します。
第 1 章 : セキュリティ ベースラインの実装
この章では、セキュリティ ベースラインを作成して展開すると、組織にどのような利益があるのかを明らかにします。また、EC ベースライン設定とセキュリティ ガイダンスを実装する手順と過程について紹介します。
この目的のため、この章では、GPOAccelerator.wsf スクリプトと GPMC を使用して組織単位 (OU) および GPO を作成し、テストし、展開して、このような環境を構築する方法を順を追って説明します。このガイドには、Windows Vista Security Guide Settings.xls というファイルも付属しています。これは、設定値の比較に使用できるもう 1 つのリソースとなります。
第 2 章 : マルウェアからの保護
この章では、ウイルス、ワーム、トロイの木馬などのマルウェアからクライアント コンピュータおよび企業の資産を保護するために、Windows Vista の新しいセキュリティ機能や既存の強化された機能を活用することを推奨しています。また、次のテクノロジを最も効果的に使用する方法についても説明しています。
- ユーザー アカウント制御 (UAC)
- Windows Defender
- Windows ファイアウォール
- Windows セキュリティ センター
- 悪意のあるソフトウェアの削除ツール
- ソフトウェア制限ポリシー
さらにこの章では、Internet Explorer 7 の次のセキュリティ テクノロジについて詳しく説明します。
- Internet Explorer の保護モード
- ActiveX オプトイン
- クロスドメイン スクリプティング攻撃からの保護
- セキュリティ ステータス バー
- フィッシング詐欺検出機能
- その他のセキュリティ機能
第 3 章 : 機密性の高いデータの保護
この章では、Windows Vista の暗号化テクノロジおよびアクセス制御テクノロジを使用してデータを保護する場合の推奨事項とベスト プラクティスを紹介します。モバイル コンピューティング環境では、Windows Vista を実行しているデバイスを紛失したり盗まれたりする可能性が高くなります。上記のテクノロジは、特にこの環境での使用に適しています。
この章では、Windows Vista の次のテクノロジを最も効果的に使用する方法について詳しく説明します。
- BitLocker™ ドライブ暗号化
- 暗号化ファイル システム (EFS)
- Rights Management Services (RMS)
- デバイス管理
第 4 章 : アプリケーションの互換性
この章では、現在の環境内にある既存のアプリケーションの機能を損なわずに Windows Vista の強化された新しいセキュリティ機能と設定を使用する方法について、推奨事項を紹介します。この章の内容は次のとおりです。
- アプリケーションの互換性に関する潜在的な問題について簡単に説明します。
- アプリケーションと Windows Vista の互換性をテストする、2 つの簡単な手順を紹介します。
- 利用可能なリスク軽減戦略、構成、および手順について説明します。
- アプリケーションと Windows Vista の互換性をさらに調べる場合に利用できる、その他の推奨リソースを紹介します。
第 5 章 : セキュリティへの特化 - 機能性を制限
この章では SSLF 環境について説明し、この環境と EC 環境とのさまざまな相違点について説明します。また、SSLF ベースライン設定とセキュリティ ガイダンスを実装する手順と過程について紹介します。この章では、GPMC で OU と GPO を作成、テスト、展開して SSLF 環境を構築する場合に、スクリプトを使用してこれらの作業を行うための手順が説明されています。
.gif "警告 :")
警告 :この章のガイダンスに従うことで、SSLF 環境を構築することができます。この環境は、「第 1 章 : セキュリティ ベースラインの実装」で説明する EC 環境とは異なるものです。この章のガイダンスは、高度なセキュリティ環境の構築を目的としたものであって、第 1 章のガイダンスを補足するものではありません。
付録 A: セキュリティのグループ ポリシー設定
この付録では、EC および SSLF セキュリティ ベースラインの規範的な設定について、本文と表で詳しく説明します。設定ごとに内容を説明し、その構成または値を用いる理由についても説明します。また、Windows Vista と Windows XP で設定に違いがあることも説明します。
ガイダンスとツール
このソリューション アクセラレータには、Windows Vista Security Guide.doc、Appendix A of the Windows Vista Security Guide.doc、Windows Vista Security Guide Settings.xls、GPOAccelerator ツールなど、ガイダンスを簡単に実装するためのファイルがいくつか含まれています。『Windows Vistaセキュリティガイド (英語)』ソリューション アクセラレータを Microsoft ダウンロード センターからダウンロードしたら、Microsoft Windows インストーラ (.msi) ファイルを使用して、任意のコンピュータにこれらのリソースをインストールします。
注: 『Windows Vistaセキュリティガイド』のインストールを開始すると、このツールに付属するその他のガイダンスと一緒に、GPOAccelerator ツールも既定で選択されてインストールされます。このツールを使用するには管理者特権が必要です。ソリューション アクセラレータがインストールされる既定の場所は、ドキュメント フォルダです。インストールが完了すると、『Windows Vista セキュリティ ガイド』のフォルダを開くショートカットが配置されます。
このガイドで定義されているいずれかのセキュリティ ベースライン用のツールとテンプレートを適用するには、グループ ポリシー管理コンソール (GPMC) を使用します。「セキュリティ ベースラインの実装」および「セキュリティへの特化 - 機能性を制限」の章で、その実行手順が説明されています。
表記規則
このガイドでは、次の表記規則が使用されます。
表1.1表記規則
| 表記 | 意味 |
| 太字フォント | コマンド、スイッチ、ファイル名など、そのまま入力する文字を示します。ユーザー インターフェイスも太字で表記されます。 |
| 斜体フォント | 書籍やその他の刊行物の題名は、斜体で表記されます。 |
| <斜体> | 斜体と山かっこで示されるプレースホルダ (<filename>など) は変数を表します。 |
| Monospace フォント | コードとスクリプトのサンプルを示します。 |
| 注 | 読者に補足情報を示します。 |
| 重要 | 重要な注記であることを示し、タスクの完了に不可欠な情報が提供されます。 |
警告 : | 無視すべきではない重要な補足情報に対して、読者の注意を喚起します。 |
| ‡ | この記号は、特定のグループ ポリシー設定の変更または推奨設定を示します。 |
| § | この記号は、Windows Vista で新たに加わったグループ ポリシー設定を示します。 |
関連情報
セキュリティ関連情報の詳細、およびこのガイドに記載された概念やセキュリティ規範に関するさらに詳細な説明については、次のリンク先を参照してください。
サポートとご意見
Solution Accelerators – Security and Compliance (SASC) チームは、今回またはその他のソリューション アクセラレータに関して、ユーザーの皆様からのご意見をお待ちしております。
Windows Vista Help and Support Web サイトの「Discussions in Security」ニュースグループ (英語) にご意見を投稿してください。
または電子メールでご意見をお送りいただくこともできます。次のアドレスまでお送りください。secwish@microsoft.com
皆様からのご意見、ご感想をお待ちしております。
謝辞
Solution Accelerators – Security and Compliance (SASC) チームは、『Windows Vistaセキュリティガイド』の作成チームに感謝の意を表します。このソリューションの作成、開発、テストに直接または間接的に関与したメンバーは次のとおりです。
開発チーム
著者および専門家
José Maldonado
Mike Danseglio
Michael Tan
Richard Harrison、Content Master Ltd
David Coombes、Content Master Ltd
Jim Captainino、Content Master Ltd
Richard Hicks、QinetiQ
テスター
Gaurav Bora
Vikrant Minhas、Infosys Technologies Ltd
Sumit Parikh、Infosys Technologies Ltd
Dharani Mohanam、Infosys Technologies Ltd
Swapna Jagannathan、Infosys Technologies Ltd
Prashant Japkar、Infosys Technologies Ltd
編集者
John Cobb、Wadeware LLC
Jennifer Kerns、Wadeware LLC
Steve Wacker、Wadeware LLC
プログラムマネージャ
Kelly Hengesteg
Audrey Centola、Volt Information Sciences
Neil Bufton、Content Master Ltd
製品マネージャ
Jim Stewart
Alain Meeus
Tony Bailey
Kevin Leo、Excell Data Corporation
リリースマネージャ
Karina Larson
Gareth Jones
貢献者およびレビュー担当者
Microsoft
Charles Denny、Ross Carter、
Derick Campbell、Chase Carpenter
Karl Grunwald、Mike Smith-Lonergan
Don Armstrong、Bob Drake
Eric Fitzgerald、Emily Hill
George Roussos、David Abzarian
Darren Canavor、Nils Dussart
Peter Waxman、Russ Humphries
Sarah Wahlert、Tariq Sharif
Ned Pyle、Bomani Siwatu
Kiyoshi Watanabe、Eric Lawrence
David Abzarian、Chas Jeffries
Vijay Bharadwaj、Marc Silbey
Sean Lyndersay、Chris Corio
Matt Clapham、Tom Daemen
Sanjay Pandit、Jeff Williams
Alex Heaton、Mike Chan
Bill Sisk、Jason Joyce
外部スタッフ
Mehul Mediwala、Infosys Technologies Ltd
注:
マイクロソフトの要請に基づき、米国国家安全保障局情報保証理事会 (National Security Agency Information Assurance Directorate: NSA/IAD) がこのマイクロソフトのセキュリティ ガイドのレビューに参加し、コメントを提供しています。当該のコメントは公開バージョンに反映されています。
また、米国商務省標準技術局 (National Institute of Standards and Technology: NIST) もこのマイクロソフトのセキュリティ ガイドのレビューに参加し、コメントを提供しています。当該のコメントは公開バージョンに反映されています。