第 1 章 :Windows XP セキュリティガイドの紹介

第 1 章 :Windows XP セキュリティガイドの紹介

低帯域幅での表示をオンにする

Windows XP セキュリティガイド

第 1 章 :Windows XP セキュリティガイドの紹介

最終更新日: 2006年8月17日

ダウンロード

『Windows XP セキュリティガイド』のダウンロード

トピック

概要
 要点
 対象読者
 このガイドの対象範囲
 章の概要
 ダウンロードコンテンツ
 表記規則
 まとめ

概要

『Windows XP セキュリティガイド』をお読みいただき、ありがとうございます。このガイドは、環境内の Microsoft® Windows® XP Professional Service Pack 2 (SP2) に特有のセキュリティ上の危険を評価し、対処するために役立つ情報を提供することを目的としています。このガイドの各章には、Windows XP の強化されたセキュリティの設定と機能の構成方法に関する詳細情報が記載されており、環境内で発見された脅威を解消することができます。このガイドの対象読者は、Windows XP 環境に携わるコンサルタント、設計者、またはシステムエンジニアです。

このガイドは次に示す内容を目指して、Microsoft の技術チーム、コンサルタント、サポートエンジニア、パートナー、およびユーザーにより評価され、承認されました。

実証済みである - 現場での経験に基づいています。
信頼できる - 最も信頼できる助言を提供します。
正確である - 技術的に検証されテストされています。
すぐに利用できる - 問題解決の手順を示します。
実際の問題との関連性がある - 現実のセキュリティ問題に対処できます。

さまざまな環境で Windows XP Professional、Microsoft Windows Server™ 2003、および Windows 2000 を実装してきたコンサルタントやシステムエンジニアにより、クライアントコンピュータとサーバーコンピュータをセキュリティ保護するためのベストプラクティスが確立されました。このガイドでは、これらのベストプラクティスについて詳しく説明します。また、組織内で Windows XP Professional SP2 を実行しているコンピュータのセキュリティを最大限に強化できるように、セキュリティに関する規定、手順、および推奨設定を具体的に説明します。

このガイドの情報の背景にある概念についてもっと詳しく知りたい場合は、『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』、『Microsoft Windows XP リソースキット』、『Microsoft Windows Server 2003 リソースキット』、『Microsoft Windows Security Resource Kit』(英語情報)、および Microsoft TechNet を参照してください。

このガイドは、最初は Windows XP SP1 用に作成されました。この更新版は、Windows XP SP2 でのセキュリティ機能の大幅な強化を反映しており、Windows XP Professional SP2 を実行しているコンピュータを使用して作成およびテストされました。特に断りのない限り、このガイドで言及する Windows XP はすべて Windows XP SP2 を指します。

ページのトップへ

要点

どのような環境でも、セキュリティ問題を真剣に考える必要があります。多くの組織では、情報技術 (IT) 環境の価値を過小評価していますが、その一般的な原因は、膨大な間接コストを見落としているためです。環境内のサーバーに深刻な攻撃が行われた場合、組織全体に甚大な被害が及びます。たとえば攻撃によって企業の Web サイトが使用できなくなったことで、収益が落ち込んだり顧客の信頼が大きく損なわれたりした場合には、企業の収益性を維持できなくなることも考えられます。セキュリティコストを評価するときは、攻撃に関連して発生する間接コストや、攻撃によって失われる IT 機能のコストも考慮する必要があります。

セキュリティに関する脆弱性、危険、エクスポージャを分析すると、ネットワーク環境のすべてのコンピュータシステムで、セキュリティと利便性との間にトレードオフの関係があることがわかります。このガイドでは、Windows XP SP2 で利用できる主要なセキュリティ対応策と、それによって解決される脆弱性に関する情報が記載されています。各対応策を実装することで悪影響が生じる可能性がある場合は、それに関する情報も記載されています。

その後で、次の 3 つの一般的な環境で、Windows XP SP2 を実行しているコンピュータのセキュリティを強化する具体的な推奨設定を示します。

エンタープライズクライアント (EC)。この環境のクライアントコンピュータは、Active Directory® ディレクトリサービスドメインに属し、Windows 2000 以降の Windows オペレーティングシステムを実行しているシステムだけと通信する必要があります。
スタンドアロン (SA)。この環境のクライアントコンピュータは、Active Directory ドメインには属さず、Windows NT® 4.0 を実行しているシステムと通信する必要がある場合があります。
セキュリティ強化 - 機能制限 (SSLF)。この環境は、セキュリティの重要性が高いので、機能性と管理性が犠牲になってもかまいません。たとえば、軍事情報機関のコンピュータは、このような環境で運用されます。

このガイドは、Windows XP SP2 を実行しているコンピュータに適した設定を判断するために必要な情報を簡単に見つけることができるように、わかりやすく編集されています。企業ユーザー向けに作成されていますが、このガイダンスの内容の大部分はさまざまな規模の組織に適用できます。

このガイドを最大限に活用するには、すべての内容に目を通す必要があります。このガイドの作成チームは、内容が読者にとって有益で興味深いものであるように願っています。詳細については、http://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx の関連ガイド『 脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定 』を参照してください。

ページのトップへ

対象読者

このガイドは基本的に、エンタープライズ環境において Windows XP ワークステーションのアプリケーション開発やインフラストラクチャ開発、展開を計画するコンサルタント、セキュリティ専門家、システム設計者、および IT 技術者を対象として作成されています。このガイドではホームユーザーは想定されていません。このガイドは次のような職種のユーザーを対象としています。

組織内のコンピュータ向けにアーキテクチャの運用に取り組むシステム設計者とプランナ
組織内のさまざまなコンピューティングプラットフォームでセキュリティ対策に取り組む IT セキュリティ専門家
デスクトップやラップトップの IT サポートを必要とし、重要なビジネスの目的と要件を持つビジネスアナリストおよびビジネスディシジョンメーカー (BDM)
企業ユーザーとパートナーに情報を伝達するためのツールを必要とする Microsoft サービスとパートナーのコンサルタント

前提となるスキルと知識

企業で Windows XP クライアントコンピュータの開発、展開、およびセキュリティ保護を担当する管理者および設計者には、前提として次の知識とスキルが必要です。

2 年以上のセキュリティ関連の経験またはそれと同等の経験、および MCSE 2000 以上の認定資格
組織のドメインと Active Directory 環境に関する詳細な知識
MMC、Secedit、Gpupdate、Gpresult などの管理ツールの使用スキル
グループポリシー管理の経験
エンタープライズ環境でのアプリケーションとクライアントコンピュータの展開の経験

ページのトップへ

このガイドの対象範囲

このガイドでは、Windows XP Professional SP2 を実行しているデスクトップコンピュータおよびラップトップコンピュータを対象に、安全な環境を構築および維持する方法について重点的に説明します。3 つの異なる環境のセキュリティを保護するための各段階と、各環境で展開されているデスクトップコンピュータおよびラップトップコンピュータを対象に、各設定で解決できる問題について説明します。エンタープライズクライアント (EC)、スタンドアロン (SA)、およびセキュリティ強化 - 機能制限 (SSLF) の各環境の情報を示します。

このガイドでは特に推奨されない設定は記載していません。Windows XP のすべてのセキュリティ設定の詳細については、http://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch01n.mspx の関連ガイド『 脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定 』を参照してください。

エンタープライズクライアント環境

エンタープライズ (EC) 環境は、Windows 2000 または Windows Server 2003 の Active Directory ドメインによって構成されます。この環境のクライアントコンピュータは、グループポリシーを使用して管理されます。グループポリシーは、サイト、ドメイン、および組織単位 (OU) に適用されます。グループポリシーにより、環境全般にわたるセキュリティポリシーを集中管理する手法が得られます。

スタンドアロンクライアント環境

スタンドアロンクライアント (SA) 環境には、ドメインに追加できないクライアントコンピュータまたは Windows NT 4.0 ドメインのメンバであるコンピュータが含まれます。これらのクライアントコンピュータは、ローカルポリシー設定を使用して構成する必要があります。Active Directory ベースのドメインでユーザーアカウントやポリシーを管理する場合に比べ、スタンドアロンコンピュータは管理が非常に難しくなる場合があります。

セキュリティ強化 - 機能制限

セキュリティ強化 - 機能制限 (SSLF) 環境は、クライアントコンピュータ向けの高度なセキュリティ設定を提供します。このセキュリティポリシー設定を適用すると、ユーザーが利用できる機能は大幅に減ります。これは、ユーザーが利用できる機能が、所定のタスクに必要なものだけに限定されるためです。アクセスは、認証済みのアプリケーション、サービス、およびインフラストラクチャ環境に限定されます。具体的には、SSLF 環境のセキュリティポリシー設定は、軍事情報機関など、ごく少数の組織内の数台程度のシステムにしか適用されません。これらの設定では、管理性と利便性よりもセキュリティが優先されます。そのため、セキュリティが侵害されることで重大な財政上または人命の損失につながるおそれのあるコンピュータでのみ使用する必要があります。つまり、SSLF 設定はほとんどの組織で必要ありません。

ページのトップへ

章の概要

Windows XP SP2 は、歴代の Windows クライアントオペレーティングシステムで最も信頼性の高いバージョンであり、セキュリティ機能やプライバシー保護機能が向上しています。Windows XP では総合的にセキュリティが向上しているため、より安全で、セキュリティがより強化されたコンピュータ環境で作業することができます。『Windows XP セキュリティガイド』は 7 つの章で構成され、第 2 章～第 6 章では、このような環境を構築するために必要な手順を説明しています。各章は、Windows XP ベースのコンピュータのセキュリティを保護することを目的としたエンドツーエンドのプロセスに基づいています。

第 1 章 :Windows XP セキュリティガイドの紹介

この章では、このガイドの概要、対象読者の説明、このガイドで取り上げられている問題、全体的な目的などを示します。

第 2 章 :Active Directory ドメインインフラストラクチャを構成する

Windows Server 2003 ドメインおよび Windows 2000 ドメインでのユーザーやコンピュータ環境の管理には、グループポリシーを使用します。グループポリシーは Windows XP のセキュリティ保護に不可欠なツールです。グループポリシーを使用することで、ネットワーク全体で一貫したセキュリティポリシーを一元的に適用し、維持することができます。この章では、Windows XP クライアントコンピュータにグループポリシーを適用する前にドメインで実行する必要がある手順について説明します。

グループポリシー設定は、ドメインコントローラのグループポリシーオブジェクト (GPO) に格納されます。GPO は、Active Directory 構造内のサイト、ドメイン、および OU にリンクしています。グループポリシーは Active Directory と密接に統合されているため、Active Directory 構造やセキュリティに与える影響を十分に理解したうえで適用することが重要です。

第 3 章 :Windows XP クライアントのセキュリティ設定

この章では、Windows 2000 または Windows Server 2003 の Active Directory ドメインでグループポリシーを使用して設定できる Windows XP クライアントコンピュータのセキュリティ設定について説明します。この章では、使用可能なすべての設定ではなく、最新の脅威から環境を保護する設定に関するガイダンスに限定して説明しています。ガイダンスに従って設定を行う間も、ユーザーはそれぞれのコンピュータで日常の業務を継続できます。セキュリティ設定は、組織のセキュリティ目標に基づいている必要があります。

第 4 章 :Windows XP の管理用テンプレート

この章では、管理用テンプレートを使用して Windows XP に追加できる設定について説明します。管理用テンプレートは Unicode ファイルです。これを使用することで多数のサービス、アプリケーション、およびオペレーティングシステムコンポーネントの動作を制御するレジストリベースの設定を構成できます。Windows XP で使用できる管理用テンプレートは多数あり、それぞれに数百もの設定が含まれます。

第 5 章 :スタンドアロン Windows XP クライアントをセキュリティで保護する

このガイドでは、エンタープライズクライアント (EC) 環境とセキュリティ強化 - 機能制限 (SSLF) 環境について重点的に説明しますが、この章では、スタンドアロンの Windows XP クライアントコンピュータの構成についても説明します。Windows XP は Active Directory ドメインインフラストラクチャに展開することが推奨されていますが、それができない場合もあります。この章では、Windows 2000 ドメインまたは Windows Server 2003 ドメインに属さない Windows XP SP2 クライアントコンピュータに対して推奨設定を適用する方法についてのガイダンスを示します。

第 6 章 :Windows XP クライアントのソフトウェア制限ポリシー

この章では、ソフトウェア制限ポリシーの概要について説明します。ソフトウェア制限ポリシーを使用すると、管理者は、ポリシー主導型のメカニズムを使用して、ドメイン内で実行できるソフトウェアを特定し、制限できます。また、望ましくないプログラムの実行を回避したり、ウイルス、トロイの木馬、または他の悪質なコードが広がることを防止したりできます。ソフトウェア制限ポリシーは、Active Directory やグループポリシーと完全に統合されています。また、ローカルコンピュータのみに適用する場合は、Windows Server 2003 ドメインインフラストラクチャのない環境でも使用できます。

第 7 章 :結論

最終章では、他の章で説明したすべての内容を簡単にまとめ、このガイドの重要なポイントを確認します。

付録 A:検討が必要な重要な設定

このガイドでは多数のセキュリティ対策およびセキュリティ設定について説明していますが、その中の一部が特に重要であることを理解することが大切です。この付録では、Windows XP SP2 を実行するコンピュータのセキュリティに最も大きな影響を与える設定について説明します。

付録 B:『Windows XP セキュリティガイド』のテスト

この付録では、『Windows XP セキュリティガイド』に示すガイダンスが、予測したとおりに動作することを確認するために、ラボ環境でテストを行った方法について説明します。

ページのトップへ

ダウンロードコンテンツ

このガイドにはセキュリティテンプレート、スクリプト、および追加ファイルが付属しており、推奨されているセキュリティ対策を組織で簡単に評価、テスト、および実装できます。

セキュリティテンプレートとは、ドメインベースのグループポリシーにインポートしたり、Microsoft 管理コンソール (MMC) の [セキュリティの構成と分析] スナップインを使用してローカルで適用したりできるテキストファイルです。これらの作業を行う手順は、「第 2 章 Active Directory ドメインインフラストラクチャを構成する」で説明しています。このガイドに付属するスクリプトを使用すると、推奨されるセキュリティ対策をスタンドアロンのワークステーションに実装できます。

ダウンロードコンテンツには、各セキュリティテンプレートの設定を記載した Microsoft Excel® ブック "Windows XP Security Guide Settings" も付属しています。

このガイドに付属のファイルは、まとめて「ツールとテンプレート」と呼ばれます。これらのファイルは、このガイドが入っている自己解凍形式の WinZip アーカイブ内の .msi ファイルに収められています。このアーカイブは、http://go.microsoft.com/fwlink/?LinkId=14840 のMicrosoft ダウンロードセンターからダウンロードできます。.msi ファイルを実行すると、指定した場所に次のフォルダ構造が作成されます。

\Windows XP Security Guide Tools and Templates\Security Templates。このフォルダには、このガイドの第 2 章と第 3 章で説明するすべてのセキュリティテンプレートが含まれます。また、このガイドで示すすべての推奨設定をまとめた Excel スプレッドシートも含まれます。
\Windows XP Security Guide Tools and Templates\SCE Update。このフォルダには、第 3 章で説明する、セキュリティ構成エディタのユーザーインターフェイスを自動更新するためのスクリプトとデータファイルが含まれます。
\Windows XP Security Guide Tools and Templates\Stand Alone Clients。このフォルダには、第 5 章で説明する、スタンドアロンコンピュータのセキュリティを強化するためのサンプルのスクリプトとテンプレートがすべて含まれます。
\Windows XP Security Guide Tools and Templates\Test Tools。このフォルダには、「付録B: 『Windows XP セキュリティガイド』のテスト」に関連するツールが含まれます。

ページのトップへ

表記規則

このガイドでは、次の表記規則が使用されます。

表 1.1: 表記規則

語	意味
太字フォント/二重引用符 ("")	コマンド、スイッチ、ファイル名など、そのまま入力する文字を示します。 User interface elements also appear in bold.
斜体フォント	書籍および他の発行物のタイトルは、斜体で示されます。
<斜体>	斜体と山かっこで示されるプレースホルダ (<filename> など) は変数を表します。
Monospace フォント	コードとスクリプトのサンプルを示します。
注 :	読者に補足情報を示します。
重要:	読者に重要な補足情報を示します。

ページのトップへ

まとめ

この章では、『Windows XP セキュリティガイド』について紹介し、各章の概要を示しました。このガイドの構成について理解すると、Windows XP SP2 に用意されている重要なセキュリティオプションを最大限に活用する準備が整います。

しかし、効果的なセキュリティ運用を実現するには、このガイドで紹介している個別の分野だけでなく、すべての分野で改善を行う努力が必要です。そのため、このガイドで示す推奨設定のうち、組織にとって適切なものを、より幅広い多層防御セキュリティアーキテクチャの一部として実装することを強くお勧めします。