サーバー ファーム内のサーバー ロールのセキュリティ強化を計画する (Windows SharePoint Services)

• セキュリティ強化について

• アプリケーション サーバーの推奨事項

• Microsoft SQL Server データベースとのセキュリティで保護された通信

• ファイルとプリンタの共有サービスの要件

• 電子メールの統合のサービス要件

• Windows SharePoint Services サービス

• アカウントとグループ

• Web.config ファイル

• スナップショットのセキュリティ保護に関する追加の推奨事項

この記事は、サーバー ファームのセキュリティを計画するために使用してください。 この記事で説明されるタスクは、以下のセキュリティ環境に適合します。

• 内部 IT によるホスト

• 外部のセキュリティ保護されたグループ作業

• 外部の匿名アクセス

セキュリティ強化について

サーバー ファーム環境では、個々のサーバーは特定の役割を果たします。 これらのサーバーのセキュリティ強化に関する推奨事項は、それぞれが果たす役割によって異なります。

サーバーのセキュリティ強化に関する推奨事項は、「Microsoft patterns & practices (英語)」(https://go.microsoft.com/fwlink/?linkid=73704&clcid=0x411) で提供されている、以下のセキュリティ ガイドに記載された推奨事項に基づいて作成されています。

• Web サーバーをセキュリティ保護する (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x411)

• データベース サーバーをセキュリティ保護する (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x411)

• ネットワークをセキュリティ保護する (https://go.microsoft.com/fwlink/?linkid=73707&clcid=0x411)

これらのガイドは、特定ロールのサーバーおよびサポート対象のネットワークをセキュリティで保護するための系統的なアプローチに従っています。設定を適用し、アプリケーションのインストールとセキュリティの強化を行う順序についても説明しており、修正プログラムの適用と更新、ネットワーク設定とオペレーティング システム設定のセキュリティ強化、アプリケーション固有のセキュリティ強化という順序で説明しています。たとえば、「Web サーバーをセキュリティ保護する」(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x411) では、オペレーティング システムに修正プログラムを適用してセキュリティを強化した後にのみ、インターネット インフォメーション サービス (IIS) のインストールとセキュリティ強化を行うことを推奨しています。さらに、このガイドでは、修正プログラムをすべて適用してセキュリティを強化した後にのみ、Microsoft .NET Framework をインストールするよう指示しています。

「Web サーバーをセキュリティ保護する」(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x411) で系統的に規定されているセキュリティ設定のカテゴリについては、次の図に詳細を示します。

さらに、3 つのガイドにはそれぞれ、セキュリティで保護されたスナップショットと、特定のサーバー ロールまたはネットワークのどちらかについての推奨セキュリティ設定の一覧が記載されています。 スナップショットの一覧は、前の図に示したセキュリティ設定に対応するカテゴリごとに整理されています。

この記事で提供するセキュリティの設計と強化についてのガイダンスは、これらの 3 つのガイドで公開されているガイダンスに基づいています。 このガイダンスは、サーバー ファームをセキュリティで保護し、強化するためのベースラインとしてこれらのガイドを使用することを前提にしています。

この記事では、実際の環境で推奨されるスナップショットに対する例外や追加の推奨事項について説明します。 これらの詳細は、3 つのセキュリティ ガイドと同じカテゴリと順序に従って、表形式で示されます。 この形式は、ガイドを使用するときに特定の推奨事項を簡単に見つけて適用できるようにすることを目的としています。

「Windows SharePoint Services 3.0 テクノロジの展開」(https://go.microsoft.com/fwlink/?linkid=76140&clcid=0x411) のガイドには、パターンと実践のセキュリティ ガイドで説明されていない特定のセキュリティ ガイダンスを適用する手順が記載されています。

サーバー ファーム内でのサーバー間通信の性質と、Windows SharePoint Services 3.0 によって提供される特定の機能が、セキュリティ強化について特定の推奨事項があることの主な理由になっています。 この記事では、主要な通信チャネルと Windows SharePoint Services 3.0 の機能が、セキュリティ要件にどのような影響を与えるかについても説明します。

アプリケーション サーバーの推奨事項

Windows SharePoint Services 3.0 でのアプリケーション サーバー ロールは、企業サービス アプリケーションの内部にパッケージ化されている一般的な中間層アプリケーション サーバーではありません。そのため、「アプリケーション サーバーをセキュリティ保護する」(https://msdn.microsoft.com/ja-jp/library/aa302433.aspx) の推奨事項は、Windows SharePoint Services 3.0 のアプリケーション サーバーには当てはまりません。その代わりに、「Web サーバーをセキュリティ保護する」(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x411) で提供されているガイダンスを使用して、Windows SharePoint Services 3.0 アプリケーション サーバーのセキュリティを強化します。

• ネットワークとオペレーティング システムの設定についてのガイダンスは、サーバー ファーム内のすべてのアプリケーション サーバーに適用します。 これらのガイダンスは、修正プログラムと更新プログラム、サービス、プロトコル、アカウント、ファイルとディレクトリ、共有、ポート、レジストリ、および監査とログというカテゴリに含まれています。

• IIS とその他の Web 設定についてのガイダンスは、サーバーの全体管理 Web サイトをホストするアプリケーション サーバーでのみ適用します。 このガイダンスには、IIS、Machine.config、コード アクセス セキュリティ、LocalIntranet_Zone、および Internet_Zone というカテゴリがあります。

「Web サーバーをセキュリティ保護する」(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x411) で説明されている、セキュリティで保護されたスナップショットを使用することに加えて、この記事の「スナップショットのセキュリティ保護に関する追加の推奨事項」で説明する推奨事項も適用してください。

Microsoft SQL Server データベースとのセキュリティで保護された通信

「データベース サーバーをセキュリティ保護する」(https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x411) では、Microsoft SQL Server の 2 つの既定の通信ポートである、TCP ポート 1433 と UDP ポート 1434 へのアクセスを制限することを推奨しています。セキュリティ保護されたファーム環境のため、この推奨事項は、以下のことを目的としています。

• UDP ポート 1434 を完全にブロックします。

• 標準以外 (TCP ポート 1433 や UDP ポート 1434 以外) のポートでリッスンするように、SQL Server の名前付きインスタンスを構成します。

• セキュリティを強化するため、TCP ポート 1433 をブロックし、既定のインスタンスが使用するポートを、標準以外のポートに再度割り当てます。

• サーバー ファーム内のすべてのフロントエンド Web サーバーとアプリケーション サーバーで、SQL クライアントのエイリアスを構成します。 TCP ポート 1433 や UDP ポート 1434 をブロックした後は、SQL Server コンピュータと通信するすべてのコンピュータ上に SQL クライアントのエイリアスが必要になります。

この方法では、承認されたコンピュータのみが SQL Server コンピュータと通信することを保証できるなど、SQL Server の展開方法や実行方法をさらに詳細に制御できるようになります。

SQL クライアントのエイリアスを作成するためのセキュリティ強化手順は、Windows SharePoint Services 3.0 をインストールする前に完了している必要があります。 Windows SharePoint Services 3.0 のセットアップを実行し、接続する SQL Server コンピュータの名前の入力を求めるメッセージが表示されたら、SQL クライアントのエイリアスを入力する必要があります。

標準の SQL Server ポートをブロックする

SQL Server への接続に使用される特定のポートは、データベースが SQL Server の既定のインスタンスと、SQL Server の名前付きインスタンスのどちらにインストールされているかによって影響を受けます。 SQL Server の既定のインスタンスは、TCP ポート 1433 でクライアント要求をリッスンします。SQL Server の名前付きインスタンスは、ランダムに割り当てられたポート番号でリッスンします。 さらに、インスタンスが再起動された場合は、以前に割り当てられたポート番号が使用可能かどうかに応じて、名前付きインスタンスのポート番号が再度割り当てられることがあります。

既定では、SQL Server に接続するクライアント コンピュータは、最初に TCP ポート 1433 を使用して接続されます。この通信に失敗した場合、クライアント コンピュータはデータベース インスタンスがリッスンしているポートを特定するために、UDP ポート 1434 でリッスンしている SQL Server 解決サービスに対してクエリを実行します。

SQL Server における既定のポートの通信動作のために、サーバーの強化に影響を与えるいくつかの問題が生じます。 まず、SQL Server が使用するポートはよく知られているポートなので、SQL Server 解決サービスは "Slammer" ワーム ウイルスなどのバッファ オーバーラン攻撃やサービス拒否攻撃の標的になってきました。 SQL Server 解決サービスのセキュリティに関する問題を軽減するため、SQL Server に修正プログラムが適用されている場合でも、よく知られているポートは引き続き標的になります。 2 番目に、データベースが SQL Server の名前付きインスタンスにインストールされている場合、対応する通信ポートはランダムに割り当てられるので、変更されることがあります。 この動作は、セキュリティが強化された環境では、サーバー間通信を不能にする可能性があります。 環境をセキュリティで保護するためには、どの TCP ポートを開き、どのポートをブロックするかを制御する機能が不可欠です。

したがってサーバー ファームでは、SQL Server の名前付きインスタンスには静的なポート番号を割り当てて、UDP ポート 1434 をブロックし、潜在的な攻撃者が SQL Server 解決サービスにアクセスできないようにすることをお勧めします。 さらに、既定のインスタンスが使用するポートを割り当て直して、TCP ポート 1433 もブロックすることを検討してください。

ポートをブロックするために使用できる方法はいくつかあります。 これらのポートは、ファイアウォールを使用してブロックできます。 ただし、ネットワーク セグメントへのルートが他にないこと、およびネットワーク セグメントにアクセスできる悪意のあるユーザーが存在しないことを確信できる場合以外は、SQL Server をホストするサーバー上で直接これらのポートをブロックすることをお勧めします。 この操作は、コントロール パネルの Windows ファイアウォールを使用して実行できます。

標準以外のポートでリッスンするように SQL Server データベース インスタンスを構成する

SQL Server には、既定のインスタンスや任意の名前付きインスタンスによって使用されているポートを再割り当てする機能が用意されています。 SQL Server 2000 では、SQL Server ネットワーク ユーティリティを使用してポートを再割り当てします。 SQL Server 2005 では、SQL Server 構成マネージャを使用してポートを再割り当てします。

SQL クライアントのエイリアスを構成する

サーバー ファームでは、すべてのフロントエンド Web サーバーとアプリケーション サーバーが、SQL Server クライアント コンピュータです。 SQL Server コンピュータ上の UDP ポート 1434 をブロックするか、既定のインスタンスの既定のポートを変更する場合は、SQL Server コンピュータに接続するすべてのサーバーで、SQL クライアントのエイリアスを構成する必要があります。

SQL Server 2000 のインスタンスに接続するには、クライアントになるコンピュータに SQL Server クライアント ツールをインストールし、SQL クライアントのエイリアスを構成します。 SQL Server のセットアップを実行し、[SQL Server クライアント ツール] を選択して、これらをインストールします。

SQL Server 2005 のインスタンスに接続するには、クライアントになるコンピュータに SQL Server クライアント コンポーネントをインストールし、SQL Server 構成マネージャを使用して SQL クライアントのエイリアスを構成します。 SQL Server クライアント コンポーネントをインストールするには、セットアップを実行し、以下のクライアント コンポーネントのみを選択してインストールします。

• [接続コンポーネント]

• 管理ツール (SQL Server 構成マネージャを含む)

SQL Server クライアント コンポーネントは SQL Server 2000 と共に動作し、SQL Server クライアント ツールの代わりに使用できます。

セキュリティ強化手順

SQL Server を構成する

標準以外のポートでリッスンするように SQL Server 2000 インスタンスを構成する

SQL Server ネットワーク ユーティリティを使用して、SQL Server 2000 のインスタンスによって使用される TCP ポートを変更します。

1. SQL Server コンピュータで、SQL Server ネットワーク ユーティリティを実行します。

2. [このサーバーのインスタンス] メニューで、インスタンスを選択します。 意図したインスタンスを選択したことを確認します。 既定では、既定のインスタンスはポート 1433 でリッスンします。SQL Server 2000 の名前付きインスタンスにはランダムなポート番号が割り当てられるため、SQL Server ネットワーク ユーティリティを実行したときに、名前付きインスタンスに割り当てられている現在のポート番号がわからない場合があります。

3. SQL Server ネットワーク ユーティリティ インターフェイスの右にある [有効なプロトコル] ウィンドウで、[TCP/IP] をクリックし、[プロパティ] をクリックします。

4. [ネットワーク プロトコル既定値の設定] ダイアログ ボックスで、TCP ポート番号を変更します。 既知の TCP ポートはどれも使用しないでください。 たとえば、40000 などの上の範囲のポート番号を選択します。[サーバーを非表示] チェック ボックスはオンにしないでください。

5. [OK] をクリックします。

6. [SQL Server ネットワーク ユーティリティ] ダイアログ ボックスで、[OK] をクリックします。 SQL Server サービスが再起動されるまで変更は有効にならないことを示すメッセージが表示されます。[OK] をクリックします。

7. SQL Server サービスを再起動し、選択したポートで SQL Server コンピュータがリッスンしていることを確認します。 これは、SQL Server サービスを再起動した後にイベント ビューア ログを調べることによって確認できます。 次に示すイベントのような情報イベントを探します。

   イベントの種類 : 情報

   イベント ソース : MSSQLSERVER

   イベント カテゴリ : (2)

   イベント ID: 17055

   日付 : 3/6/2008

   時刻 : 11:20:28 午前

   ユーザー : N/A

   コンピュータ : computer_name

   説明 :

   19013:

   SQL Server は 10.1.2.3: 40000 をリッスンしています

標準以外のポートでリッスンするように SQL Server 2005 インスタンスを構成する

SQL Server 構成マネージャを使用して、SQL Server 2005 のインスタンスによって使用される TCP ポートを変更します。

1. SQL Server 構成マネージャを使用して、SQL Server 2005 のインスタンスによって使用される TCP ポートを変更します。

2. SQL Server コンピュータで、SQL Server 構成マネージャを起動します。

3. 左側のウィンドウで、[SQL Server 2005 ネットワークの構成] を展開します。

4. [SQL Server 2005 ネットワークの構成] で、構成しているインスタンスの対応するエントリをクリックします。 既定のインスタンスは、[MSSQLSERVER のプロトコル] と一覧に表示されています。 名前付きインスタンスは、[named_instance のプロトコル] と表示されます。

5. 右側のウィンドウで、[TCP/IP] を右クリックし、[プロパティ] をクリックします。

6. [IP アドレス] タブをクリックします。 SQL Server コンピュータに割り当てられているすべての IP アドレスについて、対応するエントリがこのタブに表示されています。 既定では、SQL Server はコンピュータに割り当てられているすべての IP アドレスでリッスンしています。

7. 既定のインスタンスがリッスンするポートをグローバルに変更するには、以下の手順を実行します。

   1. [IPAll] 以外のそれぞれの IP について、[TCP 動的ポート] と [TCP ポート] の両方の値をすべて消去します。

   2. [IPAll] の [TCP 動的ポート] の値を消去します。 SQL Server のインスタンスがリッスンするポートを "TCP ポート" フィールドに入力します。 たとえば、「40000」と入力します。

8. 名前付きインスタンスがリッスンするポートをグローバルに変更するには、以下の手順を実行します。

   1. [IPAll] を含むそれぞれの IP について、[TCP 動的ポート] の値をすべて消去します。 このフィールドの値を 0 にすると、IP アドレスに動的 TCP ポートを使用するよう SQL Server に指示したことになります。 この値が空白であれば、SQL Server 2005 は IP アドレスに動的 TCP ポートを使用しないことを意味します。

   2. [IPAll] 以外のそれぞれの IP について、[TCP ポート] の値をすべて消去します。

   3. [IPAll] の [TCP 動的ポート] の値を消去します。 SQL Server のインスタンスがリッスンするポートを "TCP ポート" フィールドに入力します。 たとえば、「40000」と入力します。

9. [OK] をクリックします。 SQL Server サービスが再起動されるまで変更は有効にならないことを示すメッセージが表示されます。[OK] をクリックします。

10. SQL Server 構成マネージャを終了します。

11. SQL Server サービスを再起動し、選択したポートで SQL Server コンピュータがリッスンしていることを確認します。 これは、SQL Server サービスを再起動した後にイベント ビューア ログを調べることによって確認できます。 次に示すイベントのような情報イベントを探します。

    イベントの種類 : 情報

    イベント ソース : MSSQL$MSSQLSERVER

    イベント カテゴリ : (2)

    イベント ID: 26022

    日付 : 3/6/2008

    時刻 : 1:46:11 午後

    ユーザー : N/A

    コンピュータ : computer_name

    説明 :

    サーバーは ['any' <ipv4>50000] でリッスンしています。

Windows ファイアウォールを構成する

SQL Server が既定でリッスンするポートをブロックするように Windows ファイアウォールを構成する

1. [コントロール パネル] で、[Windows ファイアウォール] を開きます。

2. [全般] タブの [有効] をクリックします。 [例外を許可しない] チェック ボックスがオフになっていることを確認します。

3. [例外] タブで [ポートの追加] をクリックします。

4. [ポートの追加] ダイアログ ボックスで、ポートの名前を入力します。 たとえば、「UDP-1434」と入力します。次に、ポート番号を入力します。 たとえば、「1434」と入力します。

5. [UDP] または [TCP] から適切なオプション ボタンを選択します。 たとえば、ポート 1434 をブロックするには [UDP] をクリックします。 ポート 1433 をブロックするには、[TCP] をクリックします。

6. [スコープの変更] をクリックし、この例外のスコープが [任意のコンピュータ (インターネット上のコンピュータを含む)] に設定されていることを確認します。

7. [OK] をクリックします。

8. [例外] タブで、作成した例外を見つけます。 ポートをブロックするには、この例外のチェック ボックスをオフにします。 既定では、このチェック ボックスはオンになっています。これはポートが開かれていることを意味します。

手動で割り当てたポートを開くように Windows ファイアウォールを構成する

1. 前述した手順 1 ～ 7 に従って、SQL インスタンスに手動で割り当てたポートの例外を作成します。 たとえば、TCP ポート 40000 の例外を作成します。

2. [例外] タブで、作成した例外を見つけます。 例外のチェック ボックスがオンになっていることを確認します。 既定では、このチェック ボックスはオンになっています。これはポートが開かれていることを意味します。

   注意

   インターネット プロトコル セキュリティ (IPsec) を使用して SQL Server コンピュータとの間の通信をセキュリティで保護することの詳細については、マイクロソフト サポート技術情報の記事 233256「ファイアウォール経由での IPSec トラフィックを有効にする方法」(https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x411) を参照してください。

SQL クライアントのエイリアスを構成する

SQL クライアントのエイリアスを構成する

SQL Server コンピュータ上の UDP ポート 1434 または TCP ポート 1433 をブロックする場合、サーバー ファーム内にある他のすべてのコンピュータで SQL クライアントのエイリアスを作成する必要があります。 SQL Server クライアント コンポーネントを使用して、SQL Server 2000 または SQL Server 2005 に接続するコンピュータのために SQL クライアントのエイリアスを作成できます。

1. 対象のコンピュータで SQL Server 2005 のセットアップを実行し、以下のクライアント コンポーネントをインストールするよう選択します。

   1. [接続コンポーネント]

   2. [管理ツール]

2. SQL Server 構成マネージャを開きます。

3. 左側のウィンドウで、[SQL Native Client の構成] をクリックします。

4. 右側のウィンドウで、[別名] を右クリックし、[新しい別名] をクリックします。

5. [別名] ダイアログ ボックスで、エイリアスの名前を入力し、データベース インスタンスのポート番号を入力します。 たとえば、「SharePoint*_alias*」と入力します。

6. "ポート番号" フィールドに、データベース インスタンスのポート番号を入力します。 たとえば、「40000」と入力します。プロトコルが TCP/IP に設定されていることを確認します。

7. [サーバー] ボックスに、SQL Server コンピュータの名前を入力します。

8. [適用] をクリックし、[OK] をクリックします。

SQL クライアントのエイリアスをテストする

Microsoft SQL Server Management Studio を使用して、SQL Server コンピュータへの接続をテストします。このツールは、SQL Server クライアント コンポーネントをインストールすると使用できるようになります。

1. SQL Server Management Studio を開きます。

2. サーバー名の入力を求めるメッセージが表示されたら、作成したエイリアスの名前を入力し、[接続] をクリックします。 接続に成功すると、SQL Server Management Studio にはリモート データベースに対応するオブジェクトが表示されます。

   注意

   その他のデータベース インスタントへの接続を SQL Server Management Studio 内から確認するには、[接続] ボタンをクリックし、[データベース エンジン] を選択します。

ファイルとプリンタの共有サービスの要件

いくつかのコア機能は、ファイルとプリンタの共有サービスおよび対応するプロトコルとポートに依存しています。 その代表的な機能には、以下のものがあります。

• 検索クエリ すべての検索クエリには、ファイルとプリンタの共有サービスが必要です。

• コンテンツのクロールとインデックス作成 コンテンツをクロールするために、インデックス コンポーネントはフロントエンド Web サーバー経由で要求を送信します。 フロントエンド Web サーバーは、コンテンツ データベースと直接通信し、結果をインデックス サーバーに返信します。 この通信には、ファイルとプリンタの共有サービスが必要です。

ファイルとプリンタの共有サービスは、名前付きパイプを使用する必要があります。 名前付きパイプは、直接ホストされた SMB プロトコルまたは NBT プロトコルのどちらかを使用して通信できます。 セキュリティで保護された環境のためには、NBT ではなく、直接ホストされた SMB を使用することをお勧めします。 この記事で示されるセキュリティ強化の推奨事項は、SMB が使用されていることを前提にしています。

次の表では、ファイルとプリンタの共有サービスへの依存によって生じるセキュリティ強化の要件について説明します。

NBT を無効にすることの詳細については、マイクロソフト サポート技術情報の記事 204279「TCP/IP を介する SMB のダイレクト ホスト」(https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x411) を参照してください。

電子メールの統合のサービス要件

電子メールの統合のためには、以下の 2 つのサービスを使用する必要があります。

• 簡易メール転送プロトコル (SMTP) サービス

• Microsoft SharePoint Directory Management Service

SMTP サービス

電子メールの統合のためには、サーバー ファーム内の少なくとも 1 台のフロントエンド Web サーバーで、SMTP サービスを使用する必要があります。 SMTP サービスは、受信電子メールのために必要です。 送信メールの場合は、SMTP サービスを使用するか、Microsoft Exchange Server コンピュータなどの組織内の専用電子メール サーバー経由で、送信メールをルーティングすることができます。

Microsoft SharePoint Directory Management Service

Windows SharePoint Services 3.0 には、電子メール配布グループを作成するための内部サービスである、Microsoft SharePoint Directory Management Service が含まれています。

電子メールの統合を構成する場合、Directory Management Service 機能を有効にして、ユーザーが配布リストを作成できるようにすることを選択できます。 ユーザーが SharePoint グループを作成し、配布リストを作成するオプションを選択すると、Microsoft SharePoint Directory Management Service によって、その Active Directory 環境内で対応する Active Directory ディレクトリ サービス配布リストが作成されます。

セキュリティが強化された環境では、Microsoft SharePoint Directory Management Service に関連付けられているファイル (SharePointEmailws.asmx) をセキュリティで保護することによって、このサービスへのアクセスを制限することをお勧めします。たとえば、このファイルへのアクセスとしては、サーバー ファーム アカウントによるアクセスだけを許可します。

さらに、このサービスでは、Active Directory 配布リスト オブジェクトを作成するために Active Directory 環境での権限が必要になります。 Active Directory 内に、SharePoint オブジェクト用の組織単位を個別に作成することをお勧めします。 Microsoft SharePoint Directory Management Service が使用するアカウントへの書き込みアクセスは、この組織単位のみに許可する必要があります。

Windows SharePoint Services サービス

Windows SharePoint Services 3.0 によってインストールされるサービスは無効にしないでください。 以下のサービスが、すべてのフロントエンド Web サーバーとアプリケーション サーバーにインストールされ、Microsoft 管理コンソール (MMC) のサービス スナップインに表示されます (アルファベット順)。

• Windows SharePoint Services Administration

• Windows SharePoint Services Search

• Windows SharePoint Services Timer

• Windows SharePoint Services Tracing

• Windows SharePoint Services VSS Writer

現在の環境でローカル システムとして実行されるサービスが許可されていなければ、Windows SharePoint Services Administration サービスを無効にすることの影響を理解しており、それられを回避できる場合のみ、このサービスを無効にすることを検討できます。 このサービスは、ローカル システムとして実行される Win32 サービスです。

このサービスは、IIS Web サイトの作成、コードの展開、サービスの停止および開始など、サーバーでの管理者特権が必要とされる操作を実行するために、Windows SharePoint Services Timer Service によって使用されます。 このサービスを無効にすると、サーバーの全体管理サイトから、展開に関連する作業を実行することができません。 Stsadm.exe コマンド ライン ツールを使用し、execadminsvcjobs コマンドを実行して Windows SharePoint Services 3.0 の複数サーバーの展開を完了し、その他の展開に関連する作業を実行する必要があります。

アカウントとグループ

パターンと実践のセキュリティ ガイドのセキュリティで保護されたスナップショットは、アカウントとグループをセキュリティで保護するための推奨事項を提供します。

アカウントの計画に関する推奨事項については、「管理アカウントおよびサービス アカウントを計画する (Windows SharePoint Services)」を参照してください。

管理ロールとユーザー ロールの計画に関する推奨事項については、「セキュリティ ロールを計画する (Windows SharePoint Services)」を参照してください。

Web.config ファイル

.NET Framework、特に ASP.NET は、アプリケーションを構成するために XML 形式の構成ファイルを使用します。 .NET Framework は、構成ファイルに依存して構成オプションを定義します。 構成ファイルは、テキスト ベースの XML ファイルです。 1 つのシステム上に複数の構成ファイルが存在することができ、通常は、それらのファイルが複数存在します。

.NET Framework のシステム全体の構成設定は、Machine.config ファイルで定義されています。Machine.config ファイルは、%SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\ フォルダにあります。Machine.config ファイルに含まれている既定の設定を変更すれば、システム全体で .NET Framework を使用するアプリケーションの動作に影響を与えることができます。Machine.config ファイルの構成に関する推奨事項については、「Web サーバーをセキュリティ保護する」(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x411) を参照してください。

アプリケーションのルート フォルダ内に Web.config ファイルを作成すると、1 つのアプリケーションの ASP.NET 構成設定を変更できます。 このようにすると、Web.config ファイル内の設定は、Machine.config ファイル内の設定より優先されます。

サーバーの全体管理を使用して Web アプリケーションを拡張すると、Windows SharePoint Services 3.0 はその Web アプリケーション用の Web.config ファイルを自動的に作成します。

後の「スナップショットのセキュリティ保護に関する追加の推奨事項」では、Web.config ファイルを構成する場合の推奨事項を一覧で示します。 これらの推奨事項は、サーバーの全体管理サイト用の Web.config ファイルを含めて、作成されたそれぞれの Web.config ファイルに適用するためのものです。

ASP.NET 構成ファイルと Web.config ファイルの編集の詳細については、「ASP.NET の構成」(https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x411) を参照してください。

スナップショットのセキュリティ保護に関する追加の推奨事項

ここでは、Windows SharePoint Services 3.0 環境において、パターンと実践のセキュリティ ガイドで提供されるスナップショットに加えて推奨されることになる事項の一覧を示します。 これらの詳細は、パターンと実践のセキュリティ ガイドと同じカテゴリと順序に従って、表形式で示しています。

この形式は、パターンと実践のセキュリティ ガイドを使用するときに特定の推奨事項を簡単に見つけて適用できるようにすることを目的としています。 記載されているいくつかの例外を除き、これらのセキュリティ強化に関する推奨事項は、Windows SharePoint Services 3.0 のセットアップを実行する前に適用することを目的としています。

サーバー ファーム内にある特定のサーバー ロール間で行われる通信の詳細については、「エクストラネット環境のセキュリティ強化を計画する (Windows SharePoint Services)」を参照してください。

ネットワーク スナップショットのセキュリティ保護に関する追加の推奨事項

次の表では、ネットワークのセキュリティ保護に関する追加の推奨事項について説明します。

Web サーバー スナップショットのセキュリティ保護に関する追加の推奨事項

次の表では、Web サーバーのセキュリティ保護に関する追加の推奨事項について説明します。

データベース サーバー スナップショットのセキュリティ保護に関する追加の推奨事項

次の表では、データベース サーバーのセキュリティ保護に関する追加の推奨事項について説明します。

このドキュメントをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。

• Windows SharePoint Services 3.0 テクノロジの計画とアーキテクチャ、パート 2

• Windows SharePoint Services のエクストラネット環境を計画する

• Windows SharePoint Services セキュリティ

入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 テクニカル ライブラリ」を参照してください。