Microsoft Exchange 2000 Server セキュリティ運用ガイド
第 3 章 ‐ 役割に基づいて Exchange 2000 サーバーのセキュリティを強化する
最終更新日: 2004年4月6日
トピック
OWA フロントエンド サーバーとバックエンド サーバーの使用
Exchange 2000 環境で使用するサーバーの役割ごとのセキュリティ確保
これまでの章では、Exchange 2000 環境のセキュリティ確保に関する一般的な推奨事項を述べてきました。この章では、実際の IT 環境内で Exchange 2000 サーバーに割り当てられる役割に基づいて、Exchange 2000 サーバーのセキュリティを強化することに焦点を絞って推奨事項を述べます。
Windows 2000 環境で動作する Exchange 2000 のセキュリティを向上するには、Windows 2000 のセキュリティを確保することが大前提となります。特定のサーバーの役割のセキュリティに関する推奨事項は「Windows 2000 Server セキュリティ運用ガイド」に述べられていますが、この章では、それらの推奨事項を拡張して、Exchange 2000 のセキュリティに関する推奨事項を述べます。特に、OWA (Outlook Web Access) フロントエンド サーバーと Exchange バックエンド サーバーの役割について詳しく説明します。
メモ : この章には、「Windows 2000 Server セキュリティ運用ガイド」の第 3 章および第 4 章の推奨事項を補足する情報が記載されています。上記の 2 つの章は、簡単に参照できるように、このガイドにも付録として収録されています。「Windows 2000 Server セキュリティ運用ガイド」の詳細については、この章の末尾の「詳細情報」を参照してください。
テスト環境
本稼動環境に変更を加える前に、IT システムのセキュリティに対する変更をテスト環境内で徹底的に評価する必要があります。本稼動環境にできるだけ近いテスト環境を構築してください。最低限でも、複数のドメイン コントローラをテスト環境に含めると共に、本稼動環境で使用するメンバ サーバーの役割をすべて含めておきます。
このテストでは、変更の適用が環境に悪影響を及ぼさないことを確認すると同時に、セキュリティのレベルが意図したとおりに向上するかどうかを確認します。テスト環境で、すべての変更の妥当性を徹底的に検証し、セキュリティ上の脆弱性がないかどうかを評価します。
メモ : 脆弱性の評価は、事前に書面で許可を得た人だけが実施できるようにする必要があります。
OWA フロントエンド サーバーとバックエンド サーバーの使用
既定の設定では、どの Exchange 2000 サーバーも OWA 機能を持ち、HTTP (Hypertext Transfer Protocol) 経由のユーザー接続を受け付けます。これは、既定のインストールでは、OWA を構成するコンポーネントが Exchange サーバーにインストールされるからです。しかし、中規模以上の環境では、OWA へのアクセス用のフロントエンド/バックエンド ソリューションを実装することが望ましくなります。この場合、ユーザーは、フロントエンド サーバーに接続します。フロントエンド サーバーは、要求を受け付け、Active Directory 内のユーザー資格情報を確認した後、適切なバックエンド Exchange サーバーに要求を転送します。バックエンド サーバーは、メールボックスおよびパブリック フォルダへのアクセスを提供します。このフロントエンド/バックエンド ソリューションには、以下のような利点があります。
ユーザーは、自分がアクセスするサーバーの名前を知らなくても、ローカル Exchange サーバーにアクセスできます。
メールボックスが置かれているサーバーの名前は表示されません。
複数のフロントエンド サーバーの間で負荷を分散することができます。
SSL (Secure Sockets Layer) のオーバーヘッドをフロントエンド サーバーに振り分けることができます。
バックエンド サーバーの手前のファイアウォールを増設することで、バックエンド サーバーのセキュリティをさらに強化できます。
メモ
フロントエンド サーバーは POP3 接続および IMAP4 接続にも使用できますが、このガイドでは、HTTP 接続と MAPI 接続だけを有効にする場合を想定しています。
Exchange における OWA フロントエンド/バックエンド サーバー環境の詳細については、この章の末尾の「詳細情報」を参照してください。
Exchange 2000 環境で使用するサーバーの役割ごとのセキュリティ確保
このガイドには、Exchange 2000 サーバーの役割に対するセキュリティを変更するためのセキュリティ テンプレートが用意されています。これらのテンプレートを適用するには、グループ ポリシーの設定にテンプレートをインポートする必要があります。
サーバーの役割とそれらのセキュリティ強化に使用するテンプレートは、次の表に示すとおりです。
表 3.1 Exchange 2000 サーバーの役割
| サーバーの役割 | 説明 | セキュリティ テンプレート |
|---|---|---|
| OWA サーバー | Outlook Web Access 専用の OWA フロントエンド サーバー | Baseline.inf および OWA front-end Incremental.inf |
| Exchange 2000 バックエンド サーバー | メールボックスとパブリック フォルダへのアクセスおよびルーティング用のサーバー | Baseline.inf および Exchange back-end Incremental.inf |
| オプション | Windows 2000 Server のセキュリティ運用 | Exchange 2000 Server のセキュリティ運用 |
|---|---|---|
| 匿名接続の追加を制限する | 明示的な匿名アクセス権がない場合アクセスを許可しない | なし (既定のアクセス権に依存) |
| セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする | 有効 | 無効 |
| アカウント ログオン イベントの監査 | 成功と失敗 | 失敗 |
| ログオン イベントの監査 | 成功と失敗 | 失敗 |
- 272560 競合条件の発生によってグループ ポリシーの変更が失われることがある
警告 : このガイドのセキュリティ テンプレートは、環境内のセキュリティを強化するように設計されています。これらのテンプレートをインストールすると、環境内の機能が失われる可能性があり、基幹業務アプリケーションに障害が生じないとも限りません。したがって、これらのテンプレートを本稼動環境に展開する前に、徹底したテストを実施することが不可欠です。さらに、環境を適切に変更しておくことも重要です。新しいセキュリティ設定を適用する前に、各ドメイン コントローラとサーバーをバックアップしておきます。バックアップには、必ずシステム状態データを含めてください。システム状態データには、レジストリ データが含まれるほか、ドメイン コントローラ上では、Active Directory 内のすべてのオブジェクトが含まれます。
メモ : 「Windows 2000 Server セキュリティ運用ガイド」に記載されているドメイン コントローラ基準ポリシーとメンバ サーバー基準ポリシーでは、LAN Manager 認証レベルが NTLMv2 のみに設定されます。Outlook クライアントが Exchange サーバーおよびドメイン コントローラと正常に通信するには、それらのクライアントも NTLMv2 だけを使用するように構成する必要があります。
ここでは、このガイドに用意されているセキュリティ テンプレートをこの章で示した組織単位 (OU) 構造にインポートする手順を示します。
ドメイン コントローラのグループ ポリシー オブジェクトを作成してセキュリティ テンプレートをインポートする方法
[Active Directory ユーザーとコンピュータ] で、[Domain Controllers] を右クリックし、[プロパティ] を選択します。
[グループ ポリシー] タブで、[新規] をクリックし、新しいグループ ポリシー オブジェクトを追加します。
「Exchange DC ポリシー」と入力し、Enter キーを押します。
[上へ] を繰り返しクリックし、[Exchange DC ポリシー] を一覧の先頭に移動します。
[編集] をクリックします。
[Windows の設定] を展開し、[セキュリティの設定] を右クリックして [ポリシーのインポート] を選択します。
メモ : メニューに [ポリシーのインポート] が表示されない場合は、[グループ ポリシー] ウィンドウを閉じた後、手順 4. および 5. を繰り返してください。
[ポリシーのインポート] ダイアログ ボックスで、C:\SecurityOps\Templates に移動し、Exchange DC Incremental.inf をダブルクリックします。
グループ ポリシーを閉じ、[OK] をクリックします。
すべてのドメイン コントローラにポリシーが複製されるように、ドメイン コントローラ間の複製を強制実行します。
イベント ログを開き、ポリシーが正しくダウンロードされており、サーバーがドメイン内の他のドメイン コントローラと通信できていることを確認します。
各ドメイン コントローラを 1 つずつ再起動します。その都度、正しく再起動されたことを確認してください。
Exchange サーバーのグループ ポリシー オブジェクトを作成してセキュリティ テンプレートをインポートする方法
[Active Directory ユーザーとコンピュータ] で、[メンバ サーバー]、[アプリケーション サーバー]、[Exchange サーバー] を順に展開し、[OWA フロントエンド サーバー] を右クリックし、[プロパティ] をクリックします。
[グループ ポリシー] タブで、[新規] をクリックし、新しいグループ ポリシー オブジェクトを追加します。
「OWA ポリシー」と入力し、Enter キーを押します。
[編集] をクリックします。
[Windows の設定] を展開して、[セキュリティの設定] を右クリックし、[ポリシーのインポート] をクリックします。
メモ : メニューに [ポリシーのインポート] が表示されない場合は、[グループ ポリシー] ウィンドウを閉じた後、手順 4. および 5. を繰り返してください。
[ポリシーのインポート] ダイアログ ボックスで、C:\SecurityOps\Templates に移動し、OWA Front-end Incremental.inf をダブルクリックします。
グループ ポリシーを閉じ、[OK] をクリックします。
[バックエンド サーバー] 組織単位に対しても、手順 1. ~ 7. を実施します。ただし、テンプレートは、Exchange Back-end Incremental.inf を適用する必要があります。
すべてのドメイン コントローラにポリシーが複製されるように、ドメイン コントローラ間の複製を強制実行します。
各役割に対応するサーバーを適切な組織単位の中に移動します。
サーバー上で secedit /refreshpolicy machine_policy /enforce コマンドを実行し、ポリシーをダウンロードします。
イベント ログを開き、ポリシーが正しくダウンロードされており、サーバーがドメイン コントローラおよびドメイン内の他のサーバーと通信できていることを確認します。OU 内のサーバーの 1 つをテストした結果、問題がなければ、OU 内の残りのサーバーを移動し、セキュリティを適用します。
**メモ** : グループ ポリシーのダウンロードが成功したかどうかを確認する方法の詳細については、「付録 A」を参照してください。「付録 A」には、「Windows 2000 Server セキュリティ運用ガイド」の「第 3 章 Windows 2000 グループ ポリシーを使ったセキュリティ管理」が収録されています。
- 各サーバーを再起動します。その都度、正しく再起動されたことを確認してください。
Exchange サーバー ポリシー
Windows 2000 では、監査、セキュリティオプション、レジストリ設定値、ファイルへのアクセス許可、サービスなど、さまざまなセキュリティ設定値を定義することができます。「Windows 2000 Server セキュリティ運用ガイド」には、これらの設定の多くに関して推奨値が示されていますが、Exchange 2000 を運用する場合も、基本的には同じ推奨値を使用できます。特に変更が必要となるのは、各種サービスに関する設定です。また、ファイルへのアクセス許可についても若干の変更が必要になります。Exchange サーバー組織単位は [メンバ サーバー] 組織単位の下層にあるので、メンバ サーバー基準ポリシーで定義されている設定値が Exchange サーバーに継承されます。Exchange ポリシーでは、継承した設定値に対し 2 とおりの変更を加えます。まず、Windows 2000 の基本機能に不要なサービスのうち、Exchange 2000 の運用には必要なサービスを有効にします。次に、Exchange 2000 に用意されている付加的なサービスのうち、それぞれの役割の Exchange サーバーでは不要となるサービスを無効にします。
メモ : Exchange 増分ポリシーでは明示的に言及していませんが、NNTP (Network News Transfer Protocol) は Windows 2000 メンバ サーバー基準ポリシーによって無効化されます。このサービスは Exchange のインストールには必須ですが、Exchange の運用中は、ニュースグループ機能を使用しない限り不要です。
Exchange バックエンド サーバー ポリシー
Exchange バックエンド サーバー ポリシーでは、サービスに関する設定とファイル アクセス制御リストの設定を定義します。
Exchange バックエンド サーバーのサービス ポリシー
Exchange 2000 バックエンド ポリシーでは、下の表に示すサービスを構成します。
表 3.3 Exchange バックエンド サーバー基準ポリシーによるサービスの構成
| サービス名 | スタートアップ モード | 理由 |
|---|---|---|
| Microsoft Exchange IMAP4 | 無効 | サーバーで IMAP4 をサポートしないので不要 |
| Microsoft Exchange Information Store | 自動 | メールボックス ストアとパブリック フォルダ ストアへのアクセスに必要 |
| Microsoft Exchange POP3 | 無効 | サーバーで POP3 をサポートしないので不要 |
| Microsoft Search | 無効 | コア機能には不要 |
| Microsoft Exchange Event Service | 無効 | 下位互換性を確保する以外の目的では不要 |
| Microsoft Exchange Site Replication Service | 無効 | 下位互換性を確保する以外の目的では不要 |
| Microsoft Exchange Management | 自動 | メッセージ追跡に必要 |
| Windows Management Instrumentation | 自動 | Microsoft Exchange の管理に必要 |
| Microsoft Exchange MTA Stacks | 無効 | 下位互換性または X.400 コネクタとの互換性を確保する以外の目的では不要 |
| Microsoft Exchange System Attendant | 自動 | Exchange の保守やその他のタスクに必要 |
| Microsoft Exchange Routing Engine | 自動 | Exchange サーバー間におけるメッセージ転送の調整に必要 |
| IPSEC Policy Agent | 自動 | サーバー上に IPSec ポリシーを実装するために必要 |
| RPC Locator | 自動 | ドメイン コントローラおよびクライアントとの通信に必要 |
| IIS Admin Service | 自動 | Exchange Routing Engine に必要 |
| NT LM Security Support Provider | 自動 | System Attendant に必要 |
| SMTP | 自動 | Exchange トランスポートに必要 |
| World Wide Web Publishing Service | 自動 | OWA フロントエンド サーバーとの通信に必要 |
NT LM Security Support Provider
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator
Server
Workstation
無効化されるサービス
このガイドでは、Exchange 2000 のコア機能に不必要なサービスをすべて無効にしています。実際の環境では、ここで無効化したサービスを有効に戻さなければ、必要な機能を使用できないことがあります。ここでは、バックエンド サーバーの増分ポリシーによって無効化されるサービスについて説明します。
Event Service
Exchange Server 5.5 で採用された Exchange Server Event Service は、パブリック フォルダまたは各ユーザーのメールボックスでフォルダ イベントが発生したときにトリガされるサーバー側スクリプトをサポートするサービスです。Exchange 2000 にも、Exchange 5.5 イベント スクリプトとの下位互換性を確保することを目的として Exchange Event Service が用意されています。MSDN から入手できる『Exchange 2000 ソフトウェア開発キット (SDK)』に記載されているように、Exchange 2000 用に新規作成するアプリケーションでは、Exchange Event Service ではなくネイティブな Web Storage System イベントを使用してください。詳細については、この章の末尾の「詳細情報」を参照してください。
Microsoft Search
インフォメーション ストア プロセスでは、ストア内のドキュメントの参照と検索を高速化するために、共通キーフィールドを使用します。Outlook ユーザーは、インデックスを通じてドキュメントをより簡単に検索することができます。フルテキスト インデックスを使用すると、クライアントが検索を行う前にインデックスが構築されるので、高速な検索が可能になります。フルテキスト インデックスには、添付データも含めることができます。
これらのインデックスを提供するのが Microsoft Search サービスです。インデックスを作成、更新、または削除するには、インフォメーション ストア サービスと Search サービスの両方が稼動している必要があります。
Microsoft Exchange Site Replication Service
これは、既存の Exchange 5.5 サイトに Exchange 2000 サーバーを追加する場合に、Exchange 5.x サイトおよび構成情報を Active Directory のパーティション (名前付けコンテキスト) に複製できるようにするサービスです。
Microsoft Exchange MTA Stacks
これは、Exchange 2000 Server を外部システムに接続するための追加コンポーネントです。外部環境に対しては、メッセージ転送エージェント (MTA) によって X.400 コネクタおよびゲートウェイ コネクタを経由したメッセージ ルーティングが行われます。このサービスでは、\Program Files\Exchsrvr\Mtadata ディレクトリにあるインフォメーション ストア サービスの外部に専用のメッセージ キューが維持されます。
Exchange バックエンド サーバーのファイル アクセス制御リスト ポリシー
Exchange バックエンド サーバー ポリシーでは、いくつかのディレクトリに対するアクセス制御リスト (ACL) を変更します。変更前と変更後の設定を下の表に示します。
表 3.4 Exchange バックエンド サーバー ポリシーによって構成されるファイル アクセス制御リスト
| ディレクトリ | 変更前の ACL | 変更後の ACL | サブディレクトリに適用されるか |
|---|---|---|---|
| %systremdrive%\Inetpub\mailroot | Everyone : フル アクセス | Domain Admins : フル アクセス ローカル システム : フル アクセス | はい |
| %systremdrive%\Inetpub\nntpfile\ | Everyone : フル アクセス | Domain Admins : フル アクセス ローカル システム : フル アクセス | はい |
| %systremdrive%\Inetpub\nntpfile\root | Everyone : フル アクセス | Everyone : フル アクセス | はい |
| サービス名 | スタートアップ モード | 理由 |
|---|---|---|
| Microsoft Exchange IMAP4 | 無効 | OWA サーバーで IMAP4 をサポートしないので不要 |
| Microsoft Exchange Information Store | 無効 | メールボックス ストアおよびパブリック フォルダ ストアがないため不要 |
| Microsoft Exchange POP3 | 無効 | OWA サーバーで POP3 をサポートしないので不要 |
| Microsoft Search | 無効 | 検索するストアがないので不要 |
| Microsoft Exchange Event | 無効 | 下位互換性を確保する以外の目的では不要 |
| Microsoft Exchange Site Replication Service | 無効 | 下位互換性を確保する以外の目的では不要 |
| Microsoft Exchange Management | 無効 | メッセージの追跡に必要 |
| Microsoft Exchange MTA | 無効 | 下位互換性または X.400 コネクタとの互換性を確保する以外の目的では不要 |
| Microsoft Exchange Routing Engine | 自動 | Exchange のルーティング機能に必要 |
| IPSEC Policy Agent | 自動 | OWA サーバー上に IPSec フィルタを実装するために必要 |
| RPC Locator | 自動 | ドメイン コントローラとの通信および System Attendant の起動に必要 |
| IIS Admin Service | 自動 | MSExchange Routing Engine に必要 |
| World Wide Web Publishing Service | 自動 | OWA フロントエンド サーバーとのクライアント通信に必要 |
Microsoft Exchange Information Store
このサーバーにはメールが配信されないので、このサービスは不要です。通常の Exchange 2000 サーバーには、ドライブ文字 M: がマップされたドライブがありますが、Information Store サービスをインストールしていないサーバーにはドライブ M がありません。これは、Exchange Installable File System によってマップされるドライブが存在しないためです。
なお、フロントエンド サーバーをブリッジヘッド サーバーとする SMTP コネクタを作成する場合には、配信不能通知 (NDR) の配信のために少なくとも 1 つ以上のメールボックス ストアを作成し、マウントする必要があります。
Microsoft Exchange Management
このサービスは、Exchange 2000 Server Service Pack 2 に含まれています。このサービスを使うと、Exchange 2000 からディレクトリにアクセスするときに使用するドメイン コントローラまたはグローバル カタログ サーバーを指定できます。また、メッセージの追跡にも、このサービスが必要になります。このサービスを無効化しても、Exchange のコア機能は影響を受けません。通常、Exchange の機能を監査するときはメッセージの追跡が必要になりますが、OWA フロントエンド サーバーはメールのルーティングではなくメールへのアクセスに使用されるので、Microsoft Exchange Management Service を OWA フロントエンド サーバー上で実行する必要はありません。
SMTP サービス
OWA フロントエンド サーバーは、OWA サーバーとしてしか機能しないので、SMTP を必要としません。フロントエンド サーバーをゲートウェイとしても使用するか、IMAP4 または POP3 用のフロントエンド サーバーとしても使用する場合は、フロントエンド サーバーが SMTP メールを受信できるように SMTP サービスを有効化する必要があります。フロントエンド サーバーを SMTP ゲートウェイとしても使用する場合は、さらに、インフォメーション ストア サービスと System Attendant サービスを有効化する必要があります。
OWA フロントエンド サーバーのファイル アクセス制御リスト ポリシー
このポリシーによるファイル アクセス制御リストの定義は、バックエンド サーバー ポリシーによる定義とまったく同じです。詳細については、前の「Exchange バックエンド サーバーのファイル アクセス制御リスト ポリシー」を参照してください。
セキュリティ強化環境における Exchange のインストールと更新
この章では、これまで、既存の Exchange サーバーを適切な組織単位に移動して環境内のセキュリティ レベルを向上する手順を述べてきましたが、ここでは、新しい Exchange サーバーの扱いについて述べます。セキュリティを最大限に高めるには、新しいサーバーを適切な組織単位に追加したうえで、Exchange のインストールを開始する必要があります。しかし、この環境では Exchange のコア サービスだけが有効化されており、サーバーがロックダウンされているため、既定の設定のままでは Exchange をインストールしたり、Exchange を今後のサービス パックにアップグレードすることはできません。ロックダウンされたサーバーに Exchange または Exchange Service Pack をインストールするには、以下の手順に従ってください。
メモ : 既にセキュリティで保護されているサーバーに Exchange 2000 をインストールするときには、"デジタル署名未検出" のエラーメッセージが表示されますが、これはサーバーのセキュリティが強化されていることを意味するものであり、無視してインストールを続行できます。
ロックダウンされているサーバーに Exchange または Exchange Service Pack をインストールする方法
[サービス] 管理ツールを起動します。
[Distributed Transaction Coordinator] を右クリックし、[プロパティ] をクリックします。
[スタートアップの種類] ボックスの一覧の [自動] をクリックします。
[適用] をクリックします。
[開始] をクリックします。
[OK] をクリックします。
Network News Transport Protocol (NNTP) と Windows Installer についても、手順 2. ~ 6. を繰り返します。
メモ : OWA フロントエンド サーバーの組織単位に含まれているサーバーに対して上記の手順を実施する場合は、Windows Management Instrumentation に対しても、手順 2. ~ 6. を繰り返してください。
Exchange 2000 または最新の Exchange 2000 Service Pack をインストールします。
メモ : Exchange 2000 のインストールが終了するときに、Microsoft Search サービスが開始されなかったことを示すダイアログ ボックスが表示されることがありますが、これは、インストール先のサーバーが既にセキュリティで保護されていたためであり、致命的なエラーではないので無視してかまいません。
[サービス] 管理ツールを起動します。
[Distributed Transaction Coordinator] を右クリックし、[プロパティ] をクリックします。
[スタートアップの種類] ボックスの一覧の [無効] をクリックします。
[適用] をクリックします。
[停止] をクリックします。
[OK] をクリックします。
Network News Transport Protocol (NNTP) と Windows Installer についても、手順 2. ~ 6. を繰り返します。
メモ : OWA フロントエンド サーバーの組織単位に含まれているサーバーに対して上記の手順を実施する場合は、Windows Management Instrumentation に対しても、手順 9. ~ 14. を繰り返してください。
メモ : OWA フロントエンド サーバーおよび Exchange バックエンド サーバーの増分ポリシーでは、セキュリティで保護されたドメイン コントローラと Exchange サーバーが通信できるように NTLMv2 が有効化されますが、Exchange のインストールを開始する前にサーバーを適切な組織単位に移動しておかないと、サーバーがドメイン コントローラに接続することはできなくなります。
付加的なセキュリティ対策
グループ ポリシー テンプレートによるセキュリティ強化のほかに、Exchange 2000 サーバー上に実装しておくべき付加的なセキュリティ対策がいくつかあります。ここでは、これらのセキュリティ対策について述べます。
IIS Lockdown ツール
Exchange 2000 サーバーにセキュリティ テンプレートを適用した後、特に OWA フロントエンド サーバーを対象として、IIS (Internet Information Services) 上で付加的なセキュリティ制御を適用する必要があります。IIS Lockdown ツールを使うと、IIS に対する変更操作を大幅に自動化することができます。このツールでは IIS の強化に必要な設定を指定しますが、このツールで IIS を強化した後も、Exchange 2000 サーバーをバックエンド サーバーまたは OWA フロントエンド サーバーとして引き続き使用することができます。
メモ : IIS Lockdown ツールは、https://www.microsoft.com/japan/technet/security/tools/locktool.mspx から入手できます。
IIS Lockdown ツールには、ほとんどの基本的な Web サーバーに適したエクスプレス モードと、サーバー側でサポートする技術を管理者が選択できるアドバンスト モードの 2 つのモードがあります。最後に実行したロックダウンを取り消して、元に戻す機能も用意されています。
IIS Lockdown ツールには、IIS サーバーに対するすべての要求を監視し、特定のルールを満たす要求だけを通過させる URLScan も実装されています。有効な要求だけをサーバーに処理させることができるので、サーバーのセキュリティが大幅に向上します。URLScan では、長さや文字セットなどに基づいて要求をフィルタリングすることができます。既定のルールが用意されており、実際のサーバーのニーズに合わせてルールをカスタマイズできます。
Exchange 2000 OWA フロントエンド サーバーをロックダウンする方法
サーバー上に IISLockd.exe をインストールし、このツールを起動します。
[次へ] をクリックします。
使用許諾契約書の内容を確認し、[I Agree] をクリックして、[次へ] をクリックします。
サーバー テンプレート [Exchange 2000 (OWA、PF Management、IM、SMTP、NNTP)] を選択し、[View template settings] チェック ボックスをオンにした後、[次へ] をクリックします。
[Internet Services] ダイアログ ボックスに、"Web Service (HTTP)"、"FTP"、"SMTP"、および "NNTP" の 4 つのサービスが表示されます。チェックボックスが淡色表示されているサービスは、インストールされていないか、既に無効化されています。[Web Service (HTTP)] だけが有効化されていることを確認し、[次へ] をクリックします。
メモ : OWA フロントエンド セキュリティ テンプレートを適用した後で IIS Lockdown ツールを実行すると、[Web Service (HTTP)] だけが有効化され、その他のサービスは無効化されます。
[Script Maps] ダイアログ ボックスでは、特定の ISAPI アプリケーションに関連付けられているスクリプト マップを削除して、そのアプリケーションのサポートを無効化することができます。Exchange 2000 テンプレート内に実装されている既定の設定値を下の表に示します。Active Server Pages だけが有効化され、その他のスクリプト マッピングは無効化されます。[次へ] をクリックします。
表 3.6 IISLockDown を Exchange 2000 テンプレートと共に使用した場合の既定のスクリプト マッピング設定
種類 エントリ 状態 Active Server Pages .asp 有効 Index Server の Web インターフェイス .htw、.ide、.idq 無効 サーバーサイド インクルード .stm、.shtm、.shtml 無効 インターネット データ コネクタ .idc 無効 HTR スクリプト .htr 無効 インターネット印刷 .printer 無効 メモ : .htr スクリプト マップのサポートを無効化すると、OWA のパスワード変更機能を使用できなくなります。IIS Lockdown ツールでは、OWA のパスワード変更機能が既定の設定で無効化されます。
[Additional Security] ダイアログ ボックスには、既定の IIS インストールから作成された既定の仮想ディレクトリを削除したり、特定のディレクトリとすべての System32 実行可能ファイルにファイル ACL を適用するためのオプションがあります。[次へ] をクリックします。
削除されるディレクトリは、下の表に示すとおりです。
表 3.7 IISLockdown によって削除される仮想ディレクトリ
名前 仮想ディレクトリ 既定の場所 IIS Samples \IISSamples c:\inetpub\iissamples IISHelp \IISHelp c:\winnt\help\iishelp MSADC \MSADC c:\program files\common files\system\msadc Scripts \Scripts c:\inetpub\scripts IISAdmin \IISAdmin c:\winnt\system32\inetsrv\iisadmin IIS Lockdown ツールは、ファイル システムへのアクセスを制限するために、Web Anonymous Users および Web Applications の 2 つの新しいグループを OWA サーバー上に作成します。この 2 つのグループには、それぞれ匿名ユーザーと匿名アプリケーション アカウントが格納されます。通常は、Web Anonymous Users グループに IUSR_<computername> が格納され、Web Applications グループに IWAM_<computername> が格納されます。次に、IIS Lockdown ツールは、これらのグループに対し、以下のディレクトリへの書き込みアクセスを禁止します。
C:\inetpub\wwwroot
C:\Program Files\Exchsrvr\ExchWeb
さらに、c:\winnt\system32 フォルダの cmd.exe など、すべてのシステム ユーティリティへの実行アクセスを禁止します。ただし、基準テンプレートのグループ ポリシーでは、フル コントロールを持つ Administrators グループだけにアクセスを許可するアクセス制御エントリ (ACE) を System ディレクトリ内の実行ファイルに適用し、その他のユーザーやグループは定義しません。グループ ポリシーを再適用すると、これらの設定で IIS Lockdown ツールの設定が上書きされることに注意してください。
URLScan をインストールするように促すメッセージが表示されます。既定の設定で、URLScan がインストールされるようになっているので、そのまま [次へ] をクリックします。
どのような処理が実行されるのかを確認し、[次へ] をクリックします。
セキュリティが強化されているため [Installing Unknown Software Package] ダイアログ ボックスが表示されますが、[はい] をクリックして続行します。
実際に行った変更の詳細を示すレポートが生成されます。このレポートには、エラーの有無も示されます。一部の NTFS ディレクトリに ACL を適用できなかったことを示すエラーがレポートに含まれていますが、これらのディレクトリは、OWA サーバーの構成中に削除したメールボックスとパブリック フォルダです。[次へ] をクリックします。
[完了] をクリックします。
メモ : Exchange 2000 バックエンド サーバー上で IIS Lockdown ツールを実行する手順は、基本的に上記の手順と同じですが、手順 5. では HTTP と SMTP が有効化されていることを確認してください。
OWA フロントエンド サーバーに対する IIS Lockdown ツールと URLScan の設定を変更する
IIS Lockdown ツールと URLScan の既定の設定は、実際の環境に応じて変更できます。URLScan の設定は、<WinDir>\System32\Inetsrv\Urlscan にある URLScan.ini ファイルに格納されています。OWA と URLScan を有効化した状態で問題が発生した場合は、<WinDir>\System32\Inetsrv\Urlscan にある Urlscan.log ファイルをチェックし、拒否された要求のリストを確認してください。
メモ : IIS Lockdown ツールと URLScan のトラブルシューティングおよび構成の詳細については、マイクロソフト サポート技術情報 JP309677「[XADM] IIS Lockdown Wizard を Exchange 2000 環境で使用する場合の問題および調整方法」を参照してください。
OWA のパスワード変更サポート
IIS Lockdown ツールの既定の設定では、.htr ファイルが無効化されます。.htr ファイルが無効化されていると、OWA のパスワード変更機能を使用できません。.htr ファイルが無効化されている場合は、ユーザーが混乱してヘルプ デスクに問い合わせが殺到しないように、[パスワードの変更] ボタンを非表示にしてください。
メモ : OWAの [パスワードの変更] ボタンを無効化する方法については、マイクロソフト サポート技術情報 JP297121「[XWEB] Outlook Web Access の [オプション] ページにある [パスワードの変更] ボタンを非表示にする方法」を参照してください。
電子メールのブロック
URLScan.ini ファイルの [DenyUrlSequences] セクションには、明示的にブロックされる文字のリストが含まれていますが、これが OWA へのアクセスに影響を及ぼす可能性があります。以下の文字シーケンスが含まれている電子メールの題名またはメール フォルダ名は、ブロックされます。
..
./
\
%
&
メモ : URLScan.ini ファイルの 「..」 は、題名の末尾がピリオドになっている電子メール メッセージをブロックします。
メールボックス ストアとパブリック フォルダ ストアをマウント解除および削除する
OWA フロントエンド サーバーの役割はバックエンド サーバーに要求を転送することだけに限られているので、OWA フロントエンド サーバー上に Exchange Server メールボックスおよびパブリック フォルダを置く必要はありません。これらは、バックエンド Exchange サーバーによって管理されます。したがって、これらのストアは、マウント解除して削除することができます。
メールボックス データベースとパブリック フォルダ データベースをマウント解除および削除する方法
[サービス] 管理ツールを起動します。
[NTLM Security Support Provider] を右クリックし、[プロパティ] をクリックします。
[スタートアップの種類] ボックスの一覧の [自動] をクリックします。
[適用] をクリックします。
[開始] をクリックします。
[OK] をクリックします。
System Attendant に対しても、手順 2. ~ 6. を繰り返します。
OWA フロントエンド サーバー上で Exchange システム マネージャを起動します。
[サーバー]、[OWA フロントエンド サーバー]、[最初のストレージ グループ] を順に展開します。
メールボックス ストアが現在マウントされている場合は、[メールボックス ストア] を右クリックし、[ストアのディスマウント] をクリックします。次に、[はい] をクリックし、メールボックス ストアをマウント解除します。
[メールボックス ストア] を右クリックし、[プロパティ] をクリックします。
[データベース] タブをクリックし、[起動時にこのストアをマウントしない] チェック ボックスをオンにして、[OK] をクリックします。
パブリック フォルダ ストアが現在マウントされている場合は、[パブリック フォルダ ストア] を右クリックし、[ストアのディスマウント] をクリックします。次に、[はい] をクリックし、パブリック フォルダ ストアをマウント解除します。
[パブリック フォルダ ストア] を右クリックし、[削除] をクリックします。
[はい] をクリックして [OK] をクリックし、バックエンド サーバーを選択して [OK] をクリックします。
[はい] をクリックしてパブリック フォルダ ストアを削除し、[OK] をクリックしてダイアログ ボックスを閉じます。
OWA サーバーを再起動します。
メモ
NT LM Security Support Provider と System Attendant を再度無効化する必要はありません。これらは、サーバーの再起動時に自動的に無効化されます。
フロントエンド サーバー上で SMTP を使用する場合は、メールボックス ストアをマウントする必要があります。
通常の Exchange 2000 サーバーには、ドライブ文字 M: がマップされたドライブがありますが、メールボックス ストアとパブリック フォルダ ストアをマウント解除すると、ドライブ M が削除されます。これは、Exchange Installable File System によってマップされるドライブが存在しないためです。
特定の仮想ディレクトリへのパスが無効であることを示すイベント エラー (イベント ID 101) がシステム ログに記録されます。また、インターネット サービス マネージャ コンソール上では、Public、Exchange、Exadmin の各仮想ディレクトリの状態が [停止] と表示されます。これらのエラーは、IIS サーバー上に Exchange Server をインストールしてサーバーを再起動した後で発生します。再起動後、まず IIS (W3SVC) サービスが開始し、続いて Exchange インフォメーション ストア サービスが開始します。インフォメーション ストア サービスは、上記の 3 つの仮想ドライブの割り当て先であるマップされた仮想ドライブ (M:) を管理しますが、マップされたドライブがまだ作成されていないため、IIS がエラー メッセージを返します。グループ ポリシーを通じてセキュリティを適用するとインフォメーション ストア サービスが無効化されるので、マップされた仮想ドライブがマウントされることはなく、その後も、これらのエラーがイベント ログに書き込まれますが、無視しても問題はありません。
メモ : イベント ログ ID 101 の詳細については、マイクロソフト サポート技術情報 JP259373「[XADM] W3SVC が イベント ID 101 をシステム イベント ログに出力する」を参照してください。
SMTP バナーを変更する
外部にさらす情報が少ないほど、システムが攻撃を受けにくくなります。ハッカーが Exchange のバージョン情報を取得する手口の 1 つとして、Telnet 経由で SMTP サービスに接続する方法があります。既定の設定では、Exchange サーバー上の SMTP サービスに接続したときに、次のバナーが表示されるようになっています。
220 <ホスト名> . <ドメイン> .com Microsoft ESMTP MAIL Service, Version: 5.0.2195.1600 ready at <現在の日付> and <時間>.
すべてのバックエンド Exchange サーバーに対して、このバナーからバージョン情報を削除することを検討してください。また、SMTP サービスの無断使用を禁止する旨の文言をバナーに含めることも考えられます。
Windows 2000 の SMTP バナーを変更する方法
MetaEdit などのメタベース編集ツールを使って、次の行を探します。
Lm\Smtpsvc\ <virtual server number>.
[Edit] をクリックし、[New] をクリックします。次に [String] をクリックします。
[ID] ボックスのエントリが [Other] になっていることを確認し、ID ボックスの右側に 10 進数で「36907」と入力します。
[Data] ボックスに、新しいバナーを入力します。
SMTP 仮想サーバーまたは SMTP サービスをいったん停止してから再開します。
バナーが正しく変更されているかどうかを確認するには、仮想サーバーのポート 25 (既定の設定) に Telnet で接続します。"ESMTP MAIL Service, Version: 5.0.2195.1600" のバナーの代わりに新しいバナーが表示されていることを確認します。ただし、SMTP サービス プロパティを通じて入力した完全修飾ドメイン名と日時は、従来どおり表示されます。
Exchange Domain Servers グループのロックダウン
既定のインストールでは、フォレスト内のドメインごとに、Exchange Domain Servers グループが 1 つずつ作成されます。このグループには、ドメイン内の各 Exchange サーバーに対応するコンピュータ アカウントが格納されます。Exchange Domain Servers グループには、フォルダ内のすべての Exchange パブリック フォルダ ストアおよびメールボックス ストアへのアクセスが既定の設定で許可されます。EDSLock スクリプトを実行すると、ストアを提供しているローカル サーバーだけがメールボックス ストアにアクセスできるように、アクセスを制限することができます。
メモ : EDSLock スクリプトの詳細については、マイクロソフト サポート技術情報 JP313807「[XADM] Exchange ドメイン サーバー グループに対する Exchange 2000 のセキュリティを強化する」を参照してください。
Exchange クラスタに関する考慮事項
このガイドでは、クラスタ環境内の Exchange 2000 については特に説明していませんが、Exchange 2000 をクラスタ環境内で使用するには、以下のような変更をセキュリティ設定に加える必要があります。
Windows 2000 クラスタでは NTLMv2 がサポートされていないので、クラスタ サーバーおよびドメイン コントローラ上で NTLM を有効にします。詳細については、マイクロソフト サポート技術情報 JP272129「Windows 2000 クラスタの "参加" ノードでクラスタ サービスが起動しない」を参照してください。
Exchange バックエンド サーバーのセキュリティ テンプレート内で NT LM Security Support Provider (NTLMSSP) の設定を変更します。NTLMSSP を 0 に設定する必要があります。
MACHINE\System\CurrentControlSet\Control\LSA\MSV1_0\NtlmMinServerSec=4,0
Exchange バックエンド サーバーのセキュリティ テンプレート内でクラスタ サービスを有効化します。
クラスタでは IPSec がサポートされていないので、OWA フロントエンド/バックエンド通信に IPSec を使用しないように設定します。詳細については、マイクロソフト サポート技術情報 Q306677「IPSec Is Not Designed for Failover」(英語情報) を参照してください。
セキュリティ テンプレートのダウンロード
こちらからセキュリティ テンプレートをダウンロードしてください
まとめ
エンタープライズのセキュリティを確保するには、Exchange サーバーのセキュリティを強化することが欠かせません。Windows 2000 環境のセキュリティを強化すると共に、この章と前の章に記載されている推奨事項に従えば、Exchange 環境が攻撃にさらされるリスクを大幅に低減することができます。
詳細情報
Windows 2000 Server セキュリティ運用ガイド
https://www.microsoft.com/japan/technet/security/prodtech/
windows2000/staysecure/default.mspxWindows 2000 セキュリティ フィックスがグローバル カタログ サーバーに対して及ぼす影響の詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;jp309622セキュリティ ログに書き込まれるログオン イベントに対して成功の監査を有効化する方法 (英語)
https://support.microsoft.com/default.aspx?scid=kb;en-us;Q316685ネイティブな Web Storage System イベントの詳細 (英語)
https://msdn2.microsoft.com/en-us/library/ms879504.aspx『Exchange 2000 ソフトウェア開発キット (SDK)』 (英語)
IIS Lockdown ツールのダウンロード
https://www.microsoft.com/japan/technet/security/tools/locktool.mspxIIS Lockdown ツールと URLScan のトラブルシューティングおよび構成の詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;jp309677OWAの [パスワードの変更] ボタンを無効化する方法
https://support.microsoft.com/default.aspx?scid=kb;ja;jp297121イベント ログ ID 101 の詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;jp259373EDSLock スクリプトの詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;jp313807Windows 2000 クラスタで NTLMv2 がサポートされていないことに関する詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;jp272129OWA フロントエンド/バックエンド通信に IPSec を使用しないように設定する方法 (英語)
https://support.microsoft.com/default.aspx?scid=kb;en-us;Q306677
目次
第 3 章 ‐ 役割に基づいて Exchange 2000 サーバーのセキュリティを強化する