サーバー ファーム内のサーバーの役割におけるセキュリティ強化を計画する (Office SharePoint Server)

この記事の内容 :

• セキュリティ強化について

• アプリケーション サーバーについての推奨事項

• Microsoft SQL Server データベースとのセキュリティ保護された通信

• ファイルとプリンタの共有サービスの要件

• シングル サインオン強化の要件

• Office Server Web Services

• 外部サーバーへの接続

• 電子メール統合のサービス要件

• セッション状態のサービス要件

• Office SharePoint Server Services

• アカウントとグループ

• Web.config ファイル

• スナップショット追加のセキュリティ保護

この記事を参考にして、サーバー ファームのセキュリティを計画してください。この記事のタスクは、以下のセキュリティ環境に適しています。

• 内部 IT によるホスト

• 外部のセキュリティ保護されたグループ作業

• 外部の匿名アクセス

セキュリティ強化について

サーバー ファーム環境では、個々のサーバーは特定の役割を担います。これらのサーバーに対するセキュリティ強化の推奨事項は、各サーバーが果たす役割に応じて異なります。

サーバー強化の推奨事項は、「Microsoft patterns & practices (英語)」(https://go.microsoft.com/fwlink/?linkid=73704&clcid=0x411) で提供されている、以下のセキュリティ ガイドに記載された最上位の推奨事項に基づいています。

• Web サーバーをセキュリティ保護する (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x411)

• データベース サーバーをセキュリティ保護する (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x411)

• ネットワークをセキュリティ保護する (https://go.microsoft.com/fwlink/?linkid=73707&clcid=0x411)

これらのガイドでは、特定の役割のサーバーをセキュリティ保護したり、サポートしているネットワークをセキュリティ保護したりするための方法が系統的に説明されています。これらのガイドでは、設定の適用、アプリケーションのインストールと強化の順序が示されているばかりでなく、修正プログラムとアップデートの適用の開始、次にネットワーク設定とオペレーティング システム設定の強化、さらにその後のアプリケーション固有の強化も示されています。たとえば、「Web サーバーをセキュリティ保護する」(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x411) では、修正プログラムを適用し、オペレーティング システムを強化した後にのみ、インターネット インフォメーション サービス (IIS) をインストールし、強化するように推奨しています。加えて、このガイドでは、IIS に完全に修正プログラムを適用し、強化した後にのみ、Microsoft .NET Framework をインストールするように説明しています。

「Web サーバーをセキュリティ保護する」(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x411) で系統的に説明されているセキュリティ設定のカテゴリの詳細を次の図に示します。

さらに、3 つのガイドのそれぞれには、特定のサーバーの役割やネットワークのセキュリティ保護されたスナップショットおよび推奨されるセキュリティ設定の一覧が収められています。スナップショットの一覧は、前の図に示されているセキュリティ設定に対応するカテゴリ別に編成されています。

この記事のセキュリティ設計と強化のガイダンスは、これら 3 つのガイドで示されているガイダンスに基づいています。このガイダンスでは、これらのガイドをサーバー ファームのセキュリティ保護と強化のベースラインとして使用することを前提としています。

この記事では、環境に対して推奨されるスナップショットへの除外や追加の項目を説明します。これらの項目は、3 つのセキュリティ ガイドと同じカテゴリおよび順序を使用して、表形式で詳細に示されています。この形式は、ガイドを使用するときに特定の推奨事項を確認して適用しやすいようにすることを目的としています。

ガイド「Office SharePoint Server 2007 の展開」(https://go.microsoft.com/fwlink/?linkid=76139&clcid=0x411) には、「patterns & practice」セキュリティ ガイドで説明されていない、特定のセキュリティ ガイダンスを適用する手順が収められています。

サーバー ファーム内のサーバー間通信の特性と Microsoft Office SharePoint Server 2007 で提供される特定の機能は、特定の強化推奨事項の主な理由となります。また、この記事では主な通信チャネルと Office SharePoint Server 2007 の機能がセキュリティ要件に与える影響についても説明します。

アプリケーション サーバーについての推奨事項

Office SharePoint Server 2007 では、アプリケーション サーバーの役割は Enterprise Services アプリケーション内にパッケージ化される一般的な中間層アプリケーション サーバーではありません。したがって、「アプリケーション サーバーをセキュリティ保護する」(https://msdn.microsoft.com/ja-jp/library/aa302433.aspx) の推奨事項は Office SharePoint Server 2007 アプリケーション サーバーには適用されません。代わりに、「Web サーバーをセキュリティ保護する」(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x411) で示されているガイダンスを使用して、Office SharePoint Server 2007 アプリケーション サーバーを強化します。

• ネットワークとオペレーティング システムの設定のガイダンスをサーバー ファーム内のすべてのアプリケーション サーバーに適用します。このガイダンスには、修正プログラムとアップデート、サービス、プロトコル、アカウント、ファイルとディレクトリ、共有、ポート、レジストリ、監査とログ記録などのカテゴリが含まれます。

• IIS および Web 設定の強化のガイダンスをサーバーの全体管理 Web サイトをホストするアプリケーション サーバーのみに適用します。このガイダンスには、IIS、Machine.config、コード アクセス セキュリティ、LocalIntranet_Zone、Internet_Zone などのカテゴリを含まれます。

「Web サーバーをセキュリティ保護する」(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x411) のセキュリティ保護されたスナップショットの使用に加え、この記事で後述の「スナップショット追加のセキュリティ保護」セクションで示されている推奨事項も適用します。

Microsoft SQL Server データベースとのセキュリティ保護された通信

「データベース サーバーをセキュリティ保護する」(https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x411) では、2 つの既定の Microsoft SQL Server 通信ポート、TCP ポート 1433 および UDP ポート 1434 へのアクセスを制限するように推奨されています。セキュリティ保護されたサーバー ファーム環境の場合、推奨事項は次のとおりです。

• UDP ポート 1434 を完全にブロックします。

• 標準以外のポート (TCP ポート 1433 または UDP ポート 1434 以外) をリッスンするように、SQL Server の名前付きインスタンスを構成します。

• 追加のセキュリティの場合、TCP ポート 1433 をブロックして、既定のインスタンスで使用されているポートを標準外のポートに割り当てます。

• サーバー ファーム内のすべてのフロントエンド Web サーバーおよびアプリケーション サーバーで SQL クライアント エイリアスを構成します。TCP ポート 1433 または UDP ポート 1434 をブロックした後、SQL Server コンピュータと通信するすべてのコンピュータで SQL クライアント エイリアスが必要です。

この手法は、許可されたコンピュータのみが SQL Server コンピュータと通信できるようにする機能など、SQL Server の展開および実行方法をより高度に制御できます。

SQL クライアント エイリアスを作成する強化手順は、Office SharePoint Server 2007 をインストールする前に完了する必要があります。Office SharePoint Server 2007 のセットアップを実行し、接続先の SQL Server コンピュータ名の入力を求めるメッセージが表示されたら、SQL クライアント エイリアスを入力する必要があります。

標準の SQL Server ポートをブロックする

SQL Server への接続に使用される特定のポートは、データベースが SQL Server の既定のインスタンスにインストールされるか、SQL Server の名前付きインスタンスにインストールされるかによって影響を受けます。SQL Server の既定のインスタンスは、クライアント要求について TCP ポート 1433 をリッスンします。SQL Server の名前付きインスタンスは、ランダムに割り当てられたポート番号をリッスンします。加えて、名前付きインスタンスのポート番号は、インスタンスが再起動された場合に割り当てることができます (以前割り当てられたポート番号が使用可能かどうかに応じて決まります)。

既定では、SQL Server に接続するクライアント コンピュータはまず TCP ポート 1433 を使用して接続します。この通信が失敗した場合、クライアント コンピュータは UDP ポート 1434 をリッスンして SQL Server Resolution Service をクエリし、データベース インスタンスがリッスンしているポートを判定します。

SQL Server の既定のポートと通信の動作は、サーバーの強化に影響を与える複数の問題を生じます。第一に、SQL Server で使用されるポートは広く知られているポートであり、SQL Server Resolution Service は "スラマー" ワーム ウイルスなど、バッファ オーバーラン攻撃やサービス拒否攻撃の対象となってきました。SQL Server Resolution Service でのセキュリティの問題を緩和するために SQL Server に修正プログラムを適用した場合でも、広く知られているポートは攻撃対象のままです。第二に、データベースが SQL Server の名前付きインスタンスにインストールされた場合、対応する通信ポートはランダムに割り当てられ、変更できます。この動作は、強化された環境でのサーバー間通信を妨げる可能性があります。どの TCP ポートを開くか、ブロックするかを制御する機能は、環境をセキュリティ保護するうえできわめて重要です。

したがって、サーバー ファームに対する推奨事項は、静的ポート番号を SQL Server の名前付きインスタンスに割り当てることと、UDP ポート 1434 をブロックして、可能性のある攻撃者による SQL Server Resolution Service へのアクセスを防止することです。加えて、既定のインスタンスで使用されるポートの割り当てを変更すると共に TCP ポート 1433 をブロックすることを検討してください。

ポートをブロックするには、複数の方法を使用できます。ファイアウォールを使用することで、これらのポートをブロックできます。ただし、ネットワーク セグメント内へのルートが他にないこと、およびネットワーク セグメントへのアクセス権を持つ悪意のあるユーザーがいないことが明確な場合を除き、SQL Server サーバーをホストするサーバー上で直接ポートをブロックすることを推奨します。これは、コントロール パネルの [Windows ファイアウォール] を使用して実行できます。

標準以外のポートをリッスンするように SQL Server データベース インスタンスを構成する

SQL Server は、既定のインスタンスおよび名前付きインスタンスで使用されるポートの割り当てを変更する機能を備えています。SQL Server 2000 では、SQL Server ネットワーク ユーティリティを使用してポートの割り当てを変更します。SQL Server 2005 では、SQL Server 構成マネージャを使用してポートの割り当てを変更します。

SQL クライアント エイリアスを構成する

サーバー ファームでは、すべてのフロントエンド Web サーバーおよびアプリケーション サーバーは SQL Server クライアント コンピュータです。SQL Server コンピュータ上の UDP ポート 1434 をブロックした場合や既定のインスタンスの既定のポートを変更した場合は、SQL Server コンピュータに接続するすべてのサーバー上で SQL クライアント エイリアスを構成する必要があります。

SQL Server 2000 のインスタンスに接続するには、SQL Server クライアント ツールを接続先コンピュータにインストールし、SQL クライアント エイリアスを構成します。これらのツールは、Setup for SQL Server のセットアップを実行し、[SQL Server クライアント ツール] を選択してインストールします。

SQL Server 2005 のインスタンスに接続するには、SQL Server クライアント コンポーネントを接続先コンピュータにインストールし、SQL Server 構成マネージャを使用して SQL クライアント エイリアスを構成します。SQL Server クライアント コンポーネントをインストールするには、セットアップを実行し、次のクライアント コンポーネントのみを選択してインストールします。

• 接続コンポーネント

• 管理ツール (SQL Server 構成マネージャを含む)

SQL Server クライアント コンポーネントは、SQL Server 2000 で動作し、SQL Server クライアント ツールの代わりに使用できます。

強化手順

SQL Server を構成する

既定以外のポートをリッスンするように SQL Server 2000 のインスタンスを構成する

SQL Server ネットワーク ユーティリティを使用して、SQL Server 2000 のインスタンスで使用する TCP ポートを変更します。

1. SQL Server コンピュータ上で、SQL Server ネットワーク ユーティリティを実行します。

2. [このサーバーのインスタンス] メニューで、インスタンスを選択します。対象のインスタンスを選択したことを確認します。既定では、既定のインスタンスはポート 1433 をリッスンします。SQL Server 2000 の名前付きインスタンスには、ランダムなポート番号が割り当てられるため、SQL Server ネットワーク ユーティリティの実行時に名前付きのインスタンスで現在割り当てられているポート番号が不明な場合があります。

3. SQL Server ネットワーク ユーティリティ インターフェイスの右にある [有効なプロトコル] ウィンドウで [TCP/IP] をクリックし、[プロパティ] をクリックします。

4. [ネットワーク プロトコル既定値のセットアップ] ダイアログ ボックスで、TCP ポート番号を変更します。広く知られている TCP ポートの使用を避けます。たとえば、40000 など、数字の大きいポート番号を選択します。[サーバーの非表示] チェック ボックスをオンにしないでください。

5. [OK] をクリックします。

6. [SQL Server ネットワーク ユーティリティ] ダイアログ ボックスで、[OK] をクリックします。変更は、SQL Server サービスが再起動されたときに有効になりますというメッセージが表示されます。[OK] をクリックします。

7. SQL Server サービスを再起動し、選択したポートで SQL Server コンピュータがリッスンしていることを確認します。これは、SQL Server サービスの再起動後にイベント ビューア ログを表示して確認できます。次のイベントと同様の情報イベントを確認してください。

   イベントの種類 : 情報

   イベントのソース : MSSQLSERVER

   イベントの分類 : (2)

   イベント ID: 17055

   日付 : 2008/03/06

   時刻 : 11:20:28 AM

   ユーザー : N/A

   コンピュータ : computer_name

   説明 :

   19013:

   SQL Server は 10.1.2.3: 40000 をリッスンしています

既定以外のポートをリッスンするように SQL Server 2005 のインスタンスを構成する

SQL Server 構成マネージャを使用して、SQL Server 2005 のインスタンスで使用する TCP ポートを変更します。

1. SQL Server 構成マネージャを使用して、SQL Server 2005 のインスタンスで使用する TCP ポートを変更します。

2. SQL Server コンピュータ上で、SQL Server 構成マネージャを開きます。

3. 左側のウィンドウで、[SQL Server 2005 ネットワークの構成] を展開します。

4. [SQL Server 2005 ネットワークの構成] で、構成しているインスタンスの対応するエントリをクリックします。既定のインスタンスは、[MSSQLSERVER のプロトコル] と一覧に表示されています。名前付きインスタンスは、[named_instance のプロトコル] と表示されます。

5. 右側のウィンドウで、[TCP/IP] 右クリックし、[プロパティ] をクリックします。

6. [IP アドレス] タブをクリックします。SQL Server コンピュータに割り当てられる IP アドレスの場合、対応するエントリがこのタブにあります。既定では、SQL Server はコンピュータに割り当てられたすべての IP アドレスをリッスンしています。

7. 既定のインスタンスがリッスンしているポートをグローバルに変更するには、次の手順を実行します。

   1. IPAll を除く IP ごとに、[TCP 動的ポート] と [TCP ポート] の両方のすべての値をクリアします。

   2. IPAll の場合は、[TCP 動的ポート] の値をクリアします。SQL Server のインスタンスがリッスンするポートを "TCP ポート" フィールドに入力します。たとえば、「40000」と入力します。

8. 名前付きインスタンスがリッスンしているポートをグローバルに変更するには、次の手順を実行します。

   1. IPAll を含む IP ごとに、[TCP 動的ポート] のすべての値をクリアします。このフィールドの値が 0 の場合は、SQL Server が IP アドレスに動的 TCP ポートを使用することを指します。この値が空白の場合は、SQL Server 2005 が IP アドレスに動的 TCP ポートを使用することを指します。

   2. IPAll を除く IP ごとに、[TCP ポート] のすべての値をクリアします。

   3. IPAll の場合は、[TCP 動的ポート] の値をクリアします。SQL Server のインスタンスがリッスンするポートを "TCP ポート" フィールドに入力します。たとえば、「40000」と入力します。

9. [OK] をクリックします。変更は、SQL Server サービスが再起動されたときに有効になりますというメッセージが表示されます。[OK] をクリックします。

10. SQL Server 構成マネージャを終了します。

11. SQL Server サービスを再起動し、SQL Server コンピュータが選択したポートをリッスンしていることを確認します。これは、SQL Server サービスの再起動後にイベント ビューア ログを表示して確認できます。次のイベントと同様の情報イベントを確認してください。

    イベントの種類 : 情報

    イベント ソース : MSSQL$MSSQLSERVER

    イベントの分類 : (2)

    イベント ID: 26022

    日付 : 2008/03/06

    時刻 : 1:46:11 PM

    ユーザー : N/A

    コンピュータ : computer_name

    説明 :

    サーバーは [ 'any' <ipv4>50000] をリッスンしています

Windows ファイアウォールを構成する

Windows ファイアウォールを構成して、既定の SQL Server がリッスンしているポートをブロックする

1. [コントロール パネル] で、[Windows ファイアウォール] を開きます。

2. [全般] タブの [有効] をクリックします。[例外を許可しない] チェック ボックスがオフになっていることを確認します。

3. [例外] タブで [ポートの追加] をクリックします。

4. [ポートの追加] ダイアログ ボックスで、ポートの名前を入力します。たとえば、「UDP-1434」と入力します。次にポート番号を入力します。たとえば、「1434」と入力します。

5. 該当するオプション ボタン、[UDP] または [TCP] を選択します。たとえば、ポート 1434 をブロックするには、[UDP] をクリックします。ポート 1433 をブロックするには、[TCP] をクリックします。

6. [スコープの変更] をクリックし、この例外のスコープが [任意のコンピュータ (インターネット上のコンピュータを含む)] に設定されていることを確認します。

7. [OK] をクリックします。

8. [例外] タブで、作成した例外を確認します。ポートをブロックするには、この例外のチェック ボックスをオフにします。既定では、このチェック ボックスがオンの場合、ポートが開かれていることを意味します。

Windows ファイアウォールを構成して割り当てられたポートを手動で開く

1. 前述の手順 1. ～ 7. に従って、SQL インスタンスに手動で割り当てたポートの例外を作成します。たとえば、TCP ポート 40000 の例外を作成します。

2. [例外] タブで、作成した例外を確認します。例外のチェック ボックスがオンになっていることを確認します。既定では、このチェック ボックスがオンの場合、ポートが開かれていることを意味します。

   注意

   インターネット プロトコル セキュリティ (IPsec) を使用して SQL Server との通信をセキュリティ保護する方法の詳細については、マイクロソフト サポート技術情報の記事 233256「ファイアウォール経由での IPSec トラフィックを有効にする方法」(https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x411) を参照してください 。

SQL クライアント エイリアスを構成する

SQL クライアント エイリアスを構成する

SQL Server コンピュータ上の UDP ポート 1434 または TCP ポート 1433 をブロックする場合は、サーバー ファーム内の他のすべてのコンピュータで SQL クライアント エイリアスを作成する必要があります。SQL Server クライアント コンポーネントを使用して、SQL Server 2000 または SQL Server 2005 に接続するコンピュータの SQL クライアント エイリアスを作成できます。

1. 対象のコンピュータ上で SQL Server 2005 のセットアップを実行し、インストールする次のクライアント コンポーネントを選択します。

   1. 接続コンポーネント

   2. 管理ツール

2. SQL Server 構成マネージャを開きます。

3. 左側のウィンドウで、[SQL Native Client の構成] をクリックします。

4. 右側のウィンドウで、[エイリアス] 右クリックし、[新しいエイリアス] をクリックします。

5. [エイリアス] ダイアログ ボックスで、エイリアスの名前を入力し、データベース インスタンスのポート番号を入力します。たとえば、「SharePoint*_alias*」と入力します。

6. "ポート番号" フィールドに、データベース インスタンスのポート番号を入力します。たとえば、「40000」と入力します。プロトコルが TCP/IP に設定されていることを確認します。

7. "サーバー" フィールドに SQL Server コンピュータの名前を入力します。

8. [適用] をクリックし、[OK] をクリックします。

SQL クライアント エイリアスをテストする

Microsoft SQL Server Management Studio を使用して SQL Server への接続をテストします。Microsoft SQL Server Management Studio は SQL Server クライアント コンポーネントをインストールすると利用できます。

1. SQL Server Management Studio を開きます。

2. サーバー名の入力を求めるメッセージが表示されたら、作成したエイリアスの名前を入力し、[接続] をクリックします。接続が成功した場合、SQL Server Management Studio には、リモート データベースに対応するオブジェクトが格納されます。

   注意

   その他のデータベース インスタントへの接続を SQL Server Management Studio 内から確認するには、[接続] ボタンをクリックし、[データベース エンジン] を選択します。

ファイルとプリンタの共有サービスの要件

一部の中核機能は、ファイルとプリンタの共有サービスと対応するプロトコルおよびポートに基づいて動作します。これらの機能の一部を次に示します。

• 検索クエリ すべての検索クエリにファイルとプリンタの共有サービスが必要です。

• コンテンツのクロールとインデックスの付与 コンテンツをクロールする場合、インデックス コンポーネントはフロントエンド Web サーバーを介して要求を送信します。フロントエンド Web サーバーはコンテンツ データベースと直接通信して、結果をインデックス サーバーに返します。この通信には、ファイルとプリンタの共有サービスが必要です。

• インデックスの伝達 クエリの役割をインデックスの役割とは別のサーバーにインストールした場合、インデックス サーバーはコンテンツ インデックスをクエリ サーバーにコピーします。この操作には、ファイルとプリンタの共有サービスと対応するプロトコルおよびポートが必要です。

ファイルとプリンタの共有サービスでは、名前付きパイプを使用する必要があります。名前付きパイプは、直接ホスト SMB プロトコルまたは NBT プロトコルを使用して通信できます。セキュリティ保護された環境の場合、NBT の代わりに直接ホスト SMB を使用することを推奨します。この記事に示している強化の推奨事項では、SMB の使用を前提としています。

次の表では、ファイルとプリンタの共有サービスへの依存性によって生じる強化要件を説明します。

分類	要件	メモ
サービス	ファイルとプリンタの共有	名前付きパイプを使用する必要があります。
プロトコル	直接ホスト SMB を使用する名前付きパイプ NBT を無効にします	名前付きパイプは直接ホスト SMB の代わりに NBT を使用することができます。ただし、NBT は直接ホスト SMB と同様のセキュリティを提供するとは見なされていません。
ポート	TCP/UDP ポート 445	直接ホスト SMB で使用されます。

NBT を無効にする方法の詳細については、マイクロソフト サポート技術情報の記事 204279「TCP/IP を介する SMB のダイレクト ホスト」(https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x411) を参照してください。

シングル サインオン強化の要件

サーバー ファームの外部に存在するデータ ソースに接続するには、Office SharePoint Server 2007 のシングル サインオン (SSO) 機能を使用します。既定では、SSO 機能は Office SharePoint Server 2007 サーバー ファームで有効ではありません。外部データ ソースに接続するために SSO が必要な場合以外は、SSO 機能を構成しないでください。SSO 機能は認証を必要とするため、外部の匿名アクセス環境では機能しません。

SSO は Microsoft シングル サインオン サービスと対応するプロトコルおよびポートに基づいて動作します。このサービスは、次のサーバー上で有効にする必要があります。

• すべてのフロントエンド Web サーバー

• 指定された暗号化キー サーバー (一般にアプリケーション サーバーでホストされる役割)

• Excel Calculation Services の役割

加えて、カスタム セキュリティ トリマをクエリ サーバーにインストールし、そのセキュリティ トリマが SSO データへのアクセスを必要とする場合は、このサーバーの役割で Microsoft シングル サインオン サービスを実行している必要があります。

SSO 機能では、サーバー ファームに対して複数の強化要件が生じます。シングル サインオン サービスはリモート プロシージャ コール (RPC) を使用します。RPC はポート 135 を使用します。また、1024 ～ 65535/TCP の範囲で動的に割り当てられたポートも使用します。これを動的 RPC といいます。Windows レジストリ キーを使用して、割り当てられる動的 RPC の範囲を制限することができます。数字の大きいすべてのポート (1024 ～ 65535) を使用するのではなく、動的 RPC ポートの範囲をより小さい数字に制限できます。これを静的 RPC といいます。

RPC で使用するポートを制限する方法の詳細については、次のリソースを参照してください。

• Active Directory in Networks Segmented by Firewalls (英語) (https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x411)

• マイクロソフト サポート技術情報の記事 154596: ファイアウォールで動作するように RPC の動的ポート割り当てを構成する方法 (https://go.microsoft.com/fwlink/?linkid=76145&clcid=0x411)

• マイクロソフト サポート技術情報 300083: [HOWTO] Windows 2000 および Windows XP で TCP/IP ポートを制限する方法 (https://go.microsoft.com/fwlink/?linkid=76148&clcid=0x411)

次の表は、SSO で生じる強化要件を示します。これらの要件は、サーバー ファーム内のすべてのサーバーに適用されます。

分類	要件	メモ
サービス	シングル サインオン サービス	RPC プロトコルを使用する必要があります。
プロトコル	RPC	静的 RPC を構成して、動的 RPC で使用されるポートの範囲を制限します。
ポート	TCP ポート 135 に加え、動的 RPC で構成されるポート範囲

これらの強化要件は、オペレーティング システムで構成されますが、要件を構成する順序は SSO の適切な展開にとってきわめて重要です。Office SharePoint Server 2007 で SSO 機能を構成する前の任意の時点で、プロトコルとポートの要件を構成できます。ただし、ファーム内のサーバー上でシングル サインオン サービスを有効にする順序は SSO の構成に影響を与えます。

サービスを有効にする最初のサーバーは、サーバー ファームの暗号化キー サーバーになります。このサーバーには、暗号化キーを格納します。推奨事項は、いずれかのアプリケーション サーバーでこの役割をホストすることです。また、シングル サインオン サービスはサーバー ファーム内の各フロントエンド Web サーバーで有効にする必要もあります。これらのコンピュータは、資格情報を暗号化キー サーバーに転送します。

Office SharePoint Server 2007 で問題なく SSO 機能を構成するには、シングル サインオン サービスの有効化に加えて、サーバーの全体管理サイトでの構成が必要です。したがって、Office SharePoint Server 2007 をインストールする前にシングル サインオン サービスを有効にしないでください。SSO の構成の詳細については、記事「シングル サインオンを計画する」を参照してください。

Office Server Web Services

Office Server Web Services は、Web サーバーとアプリケーション サーバー間の通信チャネルとして Office SharePoint Server 2007 で使用されます。このサービスが使用するポートは、次のとおりです。

• TCP 56737

• TCP/SSL 56738

外部サーバーへの接続

Office SharePoint Server 2007 の複数の機能を構成して、サーバー ファーム外のサーバー コンピュータ上に存在するデータにアクセスできます。外部サーバー コンピュータ上のデータへのアクセスを構成する場合は、該当するコンピュータ間で通信を有効にしていることを確認してください。ほとんどの場合、使用されるポート、プロトコル、およびサービスは外部リソースによって決まります。以下に例を示します。

• ファイル共有への接続はファイルとプリンタの共有サービスを使用します。

• 外部 SQL Server データベースへの接続は、SQL Server 通信の既定のポートまたはカスタマイズされたポートを使用します。

• Oracle への接続は一般に OLE DB を使用します。

• Web サービスへの接続は HTTP と HTTPS の両方を使用します。

次の表は、サーバー ファーム外のサーバー コンピュータ上に存在するデータにアクセスするように構成できる機能を示します。

機能	説明
コンテンツ クロール	クロール ルールを構成して、Web サイト、ファイル共有、Exchange パブリック フォルダ、ビジネス データ アプリケーションなどの外部リソース上に存在するデータをクロールすることができます。外部データ リソースをクロールするときは、インデックスの役割がこれらの外部リソースと直接通信します。 詳細については、「コンテンツのクロールを計画する (Office SharePoint Server)」を参照してください。
ビジネス データ カタログ接続	Web サーバーやアプリケーション サーバーは、ビジネス データ カタログ接続が構成されているコンピュータと直接通信します。 詳細については、「ビジネス データ カタログでビジネス データ接続を計画する」を参照してください。
Microsoft Office Excel ワークブックを受信する	Excel Services で開かれたワークブックが外部データ ソース (Analysis Services や SQL Server) に接続する場合は、これらの外部データ ソースに接続するために該当する TCP/IP ポートが開かれている必要があります。詳細については、「Excel Services の外部データ接続を計画する」を参照してください。 汎用名前付け規則 (UNC) パスを Excel Services の信頼される場所として構成した場合、Excel Calculation Services アプリケーションの役割はファイルとプリンタの共有サービスで使用されるプロトコルとポートを使用して、UNC パスを経由して Office Excel ワークブックを受信します。 ユーザーがコンテンツ データベースに格納するワークブックやサイトからアップロードまたはダウンロードするワークブックはこの通信の影響を受けません。

電子メール統合のサービス要件

電子メール統合では、次の 2 つのサービスを使用する必要があります。

• 簡易メール転送プロトコル (SMTP) サービス

• Microsoft SharePoint Directory Management Service

SMTP サービス

電子メール統合では、サーバー ファーム内の少なくとも 1 つのフロント エンド Web サーバー上で SMTP サービスを使用する必要があります。SMTP サービスは受信電子メールに必要です。送信電子メールの場合は、SMTP サービスを使用するか、Microsoft Exchange Server コンピュータなど、組織内のメール専用サーバーを介して送信電子メールをルーティングすることができます。

Microsoft SharePoint Directory Management Service

Office SharePoint Server 2007 には、電子メール配信グループを作成する内部サービス、Microsoft SharePoint Directory Management Service があります。電子メール統合を構成するときは、Directory Management Service 機能を有効にするオプションがあり、配信リストを作成できます。SharePoint グループを作成し、配信リストを作成するオプションを選択すると、Microsoft SharePoint Directory Management Service は対応する Active Directory ディレクトリ サービス配信リストを Active Directory 環境に作成します。

セキュリティ強化環境では、Microsoft SharePoint Directory Management Service に関連するファイル、SharePointEmailws.asmx をセキュリティ保護することで、このサービスへのアクセスを制限することを推奨します。たとえば、このファイルへのアクセスをサーバー ファーム アカウントのみに許可します。

加えて、このサービスは Active Directory 配信リスト オブジェクトの作成に Active Directory 環境での権限を必要とします。推奨事項は、Active Directory for SharePoint オブジェクトの Active Directory で別の組織単位をセットアップすることです。この組織単位のみに Microsoft SharePoint Directory Management Service で使用するアカウントへの書き込みアクセスを許可する必要があります。

セッション状態のサービス要件

Microsoft Office Project Server 2007 と Microsoft Office Forms Server 2007 は、どちらもセッション状態を保持します。サーバー ファーム内にこれらの機能または製品を展開する場合は、ASP.NET State Service を無効にしないでください。また、InfoPath Forms Services を展開する場合は、View State サービスを無効にしないでください。

Office SharePoint Server Services

Office SharePoint Server 2007 でインストールされたサービスを無効にしないでください。

次のサービスがすべてのフロントエンド Web サーバーおよびアプリケーション サーバーにインストールされ、Microsoft Management Console (MMC) Services スナップショットに表示されます (アルファベット順)。

• Office SharePoint Server Search

• Windows SharePoint Services Administration

• Windows SharePoint Services Search

• Windows SharePoint Services Timer

• Windows SharePoint Services Tracing

• Windows SharePoint Services VSS Writer

ローカル システムとして実行されるサービスが許可されていない環境では、状況を把握していてこれらに対処できる場合のみ、Windows SharePoint Services Administration Service の無効化を検討できます。このサービスは、ローカル システムとして実行される Win32 サービスです。

このサービスは、IIS Web サイトの作成、コードの展開、サービスの開始と停止など、サーバー上で管理者権限が必要な処理を実行するために Windows SharePoint Services Timer Service で使用されます。このサービスを無効にすると、展開関連の作業をサーバーの全体管理サイトから直接実行できません。Stsadm.exe コマンド ライン ツールを使用し、execadminsvcjobs コマンドを実行して、Windows SharePoint Services 3.0 のマルチサーバー展開を完了し、他の展開関連の作業を実行することが必要になります。

アカウントとグループ

パターンと実践のセキュリティ ガイドのセキュリティで保護されたスナップショットは、アカウントとグループをセキュリティで保護するための推奨事項を提供します。

アカウントの詳細については、「管理者アカウントとサービス アカウントを計画する (Office SharePoint Server)」を参照してください。

管理者およびユーザー ロールの計画についての推奨事項については、「セキュリティ ロールを計画する (Office SharePoint Server)」を参照してください。

Web.config ファイル

.NET Framework、特に ASP.NET では、XML 形式の構成ファイルを使用してアプリケーションを構成します。.NET Framework は構成ファイルを基にして構成オプションを定義します。構成ファイルはテキスト ベースの XML ファイルです。一般に、複数の構成ファイルが 1 つのシステム上に存在できます。

.NET Framework のシステム全体の構成設定は、Machine.config ファイルで定義されます。Machine.config ファイルは、%SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\ フォルダ内にあります。Machine.config ファイルに含まれる既定の設定を変更すると、システム全体で .NET Framework を使用するアプリケーションの動作に影響が生じる可能性があります。Machine.config ファイルの構成の推奨事項については、「Web サーバーをセキュリティ保護する」(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x411) を参照してください。

Web.config ファイルを 1 つのアプリケーションのルート フォルダに作成した場合は、そのアプリケーションの ASP.NET 構成設定を変更できます。変更した場合、Web.config ファイルの設定は Machine.config ファイルの設定を上書きします。

サーバーの全体管理を使用して Web アプリケーションを拡張した場合、Office SharePoint Server 2007 はその Web アプリケーションの Web.config ファイルを自動的に作成します。

この記事で後述の「スナップショット追加のセキュリティ保護」セクションでは、Web.config ファイルの推奨事項を示します。これらの推奨事項は、サーバーの全体管理サイトの Web.config ファイルなど、作成された各 Web.config ファイルへの適用を目的としています。

ASP.NET 構成ファイルおよび Web.config ファイルの編集の詳細については、「ASP.NET の構成」(https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x411) を参照してください。

スナップショット追加のセキュリティ保護

ここでは、Office SharePoint Server 2007 環境において、パターンと実践のセキュリティ ガイドで提供されるスナップショットに加えて推奨されることになる事項の一覧を示します。これらの詳細は、パターンと実践のセキュリティ ガイドと同じカテゴリと順序に従って、表形式で示しています。

この形式は、パターン アンド プラクティス セキュリティ ガイドを使用するときに特定の推奨事項を確認して適用しやすいようにすることを目的としています。示されているいくつかの例外を除き、これらの強化推奨事項は Office SharePoint Server 2007 のセットアップを実行する前に適用することを意図しています。

サーバー ファーム内にある特定のサーバーの役割間の通信の詳細については、「エクストラネット環境のセキュリティ強化を計画する」を参照してください。

ネットワーク スナップショット追加をセキュリティ保護する

次の表は、ネットワーク追加をセキュリティ保護するための推奨事項をまとめたものです。

コンポーネント	特性的例外
すべて	追加の推奨事項はありません。

Web サーバー スナップショット追加をセキュリティ保護する

次の表は、Web サーバーの追加をセキュリティ保護するための推奨事項をまとめたものです。

コンポーネント	特性
サービス	有効にする : ファイルとプリンタの共有 Office SharePoint Server Search シングル サインオン サービス (SSO を使用する場合のみ) ASP.NET 状態サービス (InfoPath Forms Server or Project Server を使用している場合) ビュー状態サービス (InfoPath Forms Server を使用している場合) World Wide Web 発行サービス セットアップの実行後に次のサービスが引き続き有効であることを確認します。 Office SharePoint Server Search Windows SharePoint Services Administration Windows SharePoint Services Search Windows SharePoint Services Timer Windows SharePoint Services Tracing Windows SharePoint Services VSS Writer
プロトコル	有効にする : SMB SMTP (統合電子メールを使用している場合) RPC (SSO を使用している場合のみ) 無効にする : NBT
アカウント	電子メール統合の一部として Microsoft Directory Management Service を有効にした場合は、Active Directory 環境を構成して、Microsoft Directory Management Service で使用されるアカウント (サーバー ファーム アカウント) への書き込みアクセスを許可します。 アカウントを構成するガイダンスについては、Office SharePoint Server 2007 アカウントの要件と推奨事項の「管理者アカウントとサービス アカウントを計画する (Office SharePoint Server)」を参照してください。
ファイルとディレクトリ	電子メール統合を有効にし、Directory Management Service 機能をオンにした場合は、Microsoft SharePoint Directory Management サービスに関連するファイル、SharePointEmailws.asmx をセキュリティ保護することで、このサービスへのアクセスを制限します。たとえば、このファイルへのアクセスをサーバー ファーム アカウントのみに許可します。
共有	追加の推奨事項はありません。
ポート	TCP/UDP ポート 445 を開きます。 TCP ポート 135 に加え、静的 RPC の構成時に指定した範囲のポートを開きます (SSO を使用している場合のみ)。 Office Server Web Services に TCP ポート 56737 および 56738 を開きます。 SQL Server コンピュータ上の UDP ポート 1434 をブロックし、データベースを名前付きインスタンス上にインストールしている場合は、名前付きインスタンスに接続するための SQL クライアント エイリアスを構成します。 SQL Server コンピュータ上の TCP ポート 1433 をブロックし、データベースを既定のインスタンスにインストールしている場合は、名前付きインスタンスに接続するための SQL クライアント エイリアスを構成します。 ユーザーがアクセスできる Web アプリケーションにポートが開かれていることを確認します。 サーバーの全体管理サイトに使用されるポートへの外部アクセスをブロックします。
レジストリ	SSO を使用している場合は、レジストリを編集して静的 RPC を構成します。
監査とログ記録	ログ ファイルを移動した場合は、それに合わせてログ ファイルの位置が更新されていることを確認します。
IIS	下記の IIS に関するガイダンスを参照してください。
サイトと仮想ディレクトリ	追加の推奨事項はありません。
スクリプト マッピング	追加の推奨事項はありません。
ISAPI フィルタ	追加の推奨事項はありません。
IIS メタベース	追加の推奨事項はありません。
.NET Framework	下記の .NET Framework に関するガイダンスを参照してください。
Machine.config: HttpForbiddenHandler	追加の推奨事項はありません。
Machine.config: Remoting	追加の推奨事項はありません。
Machine.config: Trace	追加の推奨事項はありません。
Machine.config: compilation	追加の推奨事項はありません。
Machine.config: customErrors	追加の推奨事項はありません。
Machine.config: sessionState	追加の推奨事項はありません。
コード アクセス セキュリティ	Web アプリケーションに対して有効にされたコード アクセス セキュリティ権限の最小限度のセットを保有していることを確認します。(Web アプリケーションごとに Web.config の <trust> 要素を WSS_Minimal (ここで WSS_Minimal は 12\config\wss_minimaltrust.config で定義された低い既定値を持ちます) または最小に設定されているユーザー独自のカスタム ポリシー ファイルに設定する必要があります)。
LocalIntranet_Zone	追加の推奨事項はありません。
Internet_Zone	追加の推奨事項はありません。
web.config	セットアップを実行後に作成した各 Web.config ファイルに対して次の推奨事項を適用します。 PageParserPaths 要素を介したデータベース ページのコンパイルやスクリプト処理を許可しないでください。 <SafeMode> CallStack=""false"" および AllowPageLevelTrace=""false"" を確認します。 ゾーンごとに Web パーツが制限する最大コントロール数が低く設定されていることを確認します。 SafeControls リストがサイトで必要な最小限度のセットに設定されていることを確認します。 Workflow SafeTypes リストが SafeTypes で必要な最小限度のレベルに設定されていることを確認します。 customErrors がオンであること (<customErrors mode=""On""/>) を確認します。 必要に応じて Web プロキシ設定を検討します (<system.net>/<defaultProxy>)。 upload.aspx の限度をユーザーがアップロードすると合理的に予想される最も高いサイズに設定します (既定は 2 GB です)。アップロードが 100 MB を超えると、パフォーマンスに影響がある可能性があります。

データベース サーバー スナップショット追加をセキュリティ保護する

次の表は、データベース サーバー追加をセキュリティ保護するための推奨事項をまとめたものです。

コンポーネント	特性的例外
サービス	追加の推奨事項はありません。
プロトコル	追加の推奨事項はありません。
アカウント	未使用のアカウントを定期的に手動で削除します。
ファイルとディレクトリ	追加の推奨事項はありません。
共有	追加の推奨事項はありません。
ポート	UDP ポート 1434 をブロックします。 TCP ポート 1433 のブロックを検討します。
レジストリ	追加の推奨事項はありません。
監査とログ記録	追加の推奨事項はありません。
SQL Server の設定	下記の SQL Server の設定に関するガイダンスを参照してください。
SQL Server のセキュリティ	追加の推奨事項はありません。
SQL Server ログイン、ユーザー、およびロール	追加の推奨事項はありません。
SQL Server データベース オブジェクト	追加の推奨事項はありません。

このブックをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。

• Office SharePoint Server 2007 の計画とアーキテクチャ、パート 2

• Windows SharePoint Services のエクストラネット環境を計画する

入手できるすべてのブックの一覧については、「Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。