第 6 章 ‐ Base Windows 2000 Server のハードニング
トピック
Windows 2000 Server ベースライン ポリシー
ここまでの章では、このガイドのシナリオ全体で例として使用している架空の会社 Contoso, Ltd. 社のすべてのサーバーに対してサーバー強化手順を適用することについてお話しし、組織内での Microsoftョ Windowsョ 2000 サーバーのセキュリティ保護に必要なポリシーと手順を説明しました。
注 グループ ポリシーによって自動化できない強化手順もあります。それらについては、この章の「追加のメンバ サーバーの強化手順」のセクションで説明します。
この章では、Contoso のメンバ サーバーに適用する基本設定について説明します。特定の役割のサーバーに必要な変更については、第 7 章 「特定サーバーの役割のハードニング」で詳しく解説します。サーバーの役割には、ファイルと印刷、Web、インフラストラクチャなどがあります。メンバ サーバー ベースライン ポリシー (MSBP) に表示される設定の多くは、ドメイン コントローラ サーバーの役割にも適用されます。MSBP とドメイン コントローラ ポリシーの違いについては、第 7 章「特定サーバーの役割のハードニング」で説明しています。
既定の Windows 2000 Server 構成に対する変更をできるだけ多く適用するため、グループ ポリシーが使用されています。このシナリオのメンバ サーバーでは、説明されているグループ ポリシー設定はセキュリティ テンプレートである baseline.inf に保管されています。このテンプレートは、メンバ サーバー組織単位 (OU) にリンクされたメンバ サーバー ベースライン ポリシーのグループ ポリシーにインポートされています。
MSBP は、監査ポリシー、サービス構成、レジストリへのアクセスを制限するポリシー、ファイル システム、その他の固有セキュリティ設定を含め、すべてのメンバ サーバーに対する共通設定に焦点を当てたリスク管理戦略のひとつです。
Microsoft Active Directory ディレクトリ サービス内のオブジェクトの場所を次の図に示します。
.gif)
図 6.1: セキュリティ テンプレート baseline.inf が MSBP にインポートされ、その後メンバ サーバー OU にリンクされます
baseline.inf セキュリティ テンプレート内に含まれる設定については、この章の「Windows 2000 Server 基本ポリシー」セクションで解説します。このセキュリティ テンプレートは、dcbaseline.inf と呼ばれるセキュリティ テンプレートの開始点としても使用されています。
baseline.inf と dcbaseline.inf の違いについては、第 7 章「特定サーバーの役割のハードニング」で説明しています。このテンプレートは、ドメイン コントローラ ポリシー グループ ポリシー オブジェクト (GPO) にインポートされ、ドメイン コントローラ OU にリンクされています。OU とグループ ポリシーを作成し、適切なセキュリティ テンプレートを各 GPO にインポートする手順については、第 5 「ドメイン インフラストラクチャをセキュリティで保護する」で順を追って説明しています。
Windows 2000 Server ベースライン ポリシー
ドメイン レベルでの設定を構成するプロセスによって、すべてのメンバ サーバーの共通設定が定義されます。これを実行するには、メンバ サーバー OU にリンクされる GPO を作成します。これはベースライン ポリシーと呼ばれます。GPO によって、各サーバー上の個々のセキュリティ設定のプロセスが自動化されます。
監査およびイベント ログ設定
監査ログには、あらかじめ指定したアクションをユーザーが実行するたびにエントリが記録されます。たとえば、ファイルまたはポリシーの修正が行われたときに監査エントリを記録するように指定できます。監査エントリには、実行されたアクションの内容、実行したユーザー アカウント、および実行日と時間が記録されます。成功したアクションと失敗した試行の両方を監査できます。
コンピュータ上のオペレーティング システムとアプリケーションの状態は動的です。たとえば、管理やネットワークの問題を即座に解決するため、一時的にセキュリティ レベルを変更しなければならない場合がありますが、このような変更は、元に戻されないことがあります。その場合、コンピュータが企業のセキュリティ要件に適合しなくなります。
管理者は、定期的に分析を実行することで、企業のリスク マネジメント プログラムの一環として、各コンピュータの適切なセキュリティ レベルを監視および確保することができます。分析は、セキュリティに関してシステムをあらゆる角度からとらえた情報に高度に特化しています。これにより管理者は、セキュリティ レベルを調整でき、さらに重要な点として、システムに生じたセキュリティの弱点を検出することができます。
監査ログによってしかセキュリティ侵害の発生を検出できないこともあるため、どのような企業のシステムでも、セキュリティ監査は非常に重要です。適切な監査設定をしておくことで、ほかの方法で侵害が検出された場合でも、侵害に関する重要な情報が記載された監査ログが生成されます。
多くの場合、成功したアクションより失敗したアクションのログのほうが役立ちます。これは、失敗した場合にはエラーが発生していることが多いためです。たとえば、ユーザーがシステムに正常にログオンできた場合、特に問題はありません。しかし、1 人のユーザーがシステムにログオンしようとして何度も失敗しているとしたら、だれかがほかのユーザーの ID を使って不正にログオンしようとしている可能性があります。
イベント ログは、システムで実行されたイベントを記録します。セキュリティ ログは、監査イベントを記録します。グループ ポリシーのイベント ログ コンテナを使用して、アプリケーション、セキュリティ、およびシステム イベント ログに関する属性 (最大ログ サイズ、各ログへのアクセス権、保存の設定や方法など) を定義できます。アプリケーション、セキュリティ、およびシステム イベント ログの設定は、MSBP で構成され、北米ドメインのすべてのメンバサーバーに適用されます。
次の表に、メンバ サーバー ベースライン監査ポリシーで定義する設定をまとめます。
表 6.1 Contoso 社の MSBP 監査およびイベント ログ ポリシー設定
| ユーザー インターフェイス (UI) に表示されるポリシーの完全名 | コンピュータの設定 |
|---|---|
| アカウント ログオン イベントの監査 | 成功、失敗 |
| アカウント管理の監査 | 成功、失敗 |
| ディレクトリ サービスのアクセスの監査 | 成功、失敗 |
| ログオン イベントの監査 | 成功、失敗 |
| オブジェクト アクセスの監査 | 成功、失敗 |
| ポリシーの変更の監査 | 成功、失敗 |
| 権限使用の監査 | 失敗 |
| プロセス追跡の監査 | 監査しない |
| システム イベントの監査 | 成功、失敗 |
| アプリケーション ログの最大サイズ | 10240 KB |
| セキュリティ ログの最大サイズ | 184320 KB |
| システム ログの最大サイズ | 10240 KB |
| アプリケーション ログのゲスト アクセスの制限 | 有効 |
| セキュリティ ログのゲスト アクセスの制限 | 有効 |
| システム ログのゲスト アクセスの制限 | 有効 |
| アプリケーション ログの保存日数 | 未定義 |
| セキュリティ ログの保存日数 | 未定義 |
| システム ログの保存日数 | 未定義 |
| アプリケーション ログの保存方法 | 必要に応じて |
| セキュリティ ログの保存方法 | 必要に応じて |
| システム ログの保存方法 | 必要に応じて |
| セキュリティの監査ログがいっぱいになったら、コンピュータをシャットダウンする | 無効 |
MSBP の監査およびセキュリティ オプションの中には、特に重要な監査およびイベント ログ設定があります。以下にそれらについて説明します。
監査設定
脆弱性
監査を一切設定しないと、セキュリティの問題が発生したときに、何が起こったのかを調べることが不可能または困難になります。しかし、許可されたアクションによってイベントがたくさん生成されるように監査を設定すると、セキュリティ イベント ログは無用なデータで一杯になってしまいます。
対策
正当なユーザーのアクションが正当と認められ、不正なアクションが検出・追跡されるよう、組織内のすべてのコンピュータには、適切な監査ポリシーを設定すべきです。監査設定のオプションは次のとおりです。
成功
失敗
監査しない
潜在的影響
組織内のコンピュータに対して監査を低く設定しすぎると、セキュリティの問題が発生した後でネットワークの裁判分析を行うための証拠が残らなくなります。しかし、多くを設定しすぎると、セキュリティ ログが無意味なエントリで一杯になってしまいます。
Contoso 社のシナリオ
Contoso のネットワークでは、重要なセキュリティ イベントはセキュリティ イベント ログに記録され、重要でないものは省かれるよう、適切な監査設定が選択され実装されています。Contoso 社の環境では、表 6.1 のような監査設定を選択しました。
[プロセス追跡の監査] を有効化すると大量のイベントが作成される可能性があるため、このオプションは [監査しない] に設定されています。この設定をしておくと、事故の対応の際、開始されたプロセスの詳細ログとユーザーが開始した時間から、非常に役立つ場合があります。
注 Microsoftョ Windowsョ 2000 でファイル、フォルダ、プリンタ、レジストリ キーなどのオブジェクトを監査する機能を有効化するには、2 つのステップが必要です。監査オブジェクトのアクセス ポリシーを有効化した後、アクセスを監視するオブジェクトを指定し、そのセキュリティ記述子を必要に応じて修正します。
たとえば、ユーザーが特定のファイルを開こうとしたときに監査を行うには、Windows エクスプローラか Xcacls.exe などのコマンド ライン ツールを使用して、その特定のイベントを監視するファイルに成功または失敗の属性を直接設定します。
アプリケーション、セキュリティ、およびシステム ログの最大サイズ
脆弱性
組織内で監査対象とするオブジェクトの数を大幅に増やすと、セキュリティログの許容範囲一杯になってしまい、システムがシャットダウンする危険性があります。その場合、管理者がセキュリティ ログを消去するまでシステムが使用不可能になります。これを防止するには、下の表 6.2 にあるシャットダウン オプションを無効化してセキュリティ ログ サイズを増やす必要があります。Contoso 社のシナリオではこのどちらも実行されています。
対策
正当なユーザーのアクションが正当と認められ、不正なアクションが発見・追跡され、システムの問題が検出・診断されるよう、組織内のすべてのコンピュータには、適切なログ サイズ ポリシーを設定すべきです。Contoso 社のサーバーでは、イベント ログに数週間分のデータを保持する必要があります。また、サーバーのシステム ボリュームには、十分な空き容量があります。2 週間ほどのテストの後、最も負荷の高いサーバーで、1 日に 12,000 件のセキュリティ イベントが記録されました。この数字に 21 日を掛け、ログ内の平均的なイベントが 500 バイト以下の容量を必要とすると仮定すると、ログ サイズは 120 MB あれば十分であることがわかります。さらに余裕をみて 50 パーセントを追加し、イベント ログ サイズを 180 MB としました。
個々のサーバーに対して最適なログ サイズを単純に計算する方法はありませんが、多少の試行錯誤によって、妥当なサイズを割り出すことができます。企業を代表するような業務用サーバーを例にとって、ログ ファイル サイズを設定してください。その後、2 営業日ほどようすを見て、ログ ファイルがどの程度一杯になるかを試します。その後、数週間分のイベントを保持できるよう、必要に応じてログ ファイル サイズを増減します。さらに 2 営業日ほどようすを見て、再度ログをチェックし、必要に応じてサイズを調整します。その後 4 週間のうちに 2 度サーバーをチェックし、ログが十分な数のイベントを保持していることを確認します。
潜在的影響
イベント ログが許容量一杯になると、新しいエントリが書き込まれなくなります。ただし、古いエントリから順に新しいエントリで上書きされるよう、保存方法のオプションを指定することもできます。Contoso 社のシナリオでは、必要に応じて古いイベントが上書きされるような保存方法を設定し、イベント ログに常に最新のエントリが保持されるようにしてあります。
その結果、古いイベントはログから削除されます。このため、システム攻撃者がこれを悪用し、膨大な数の無関係なイベントを生成させて自らの攻撃の証拠を消す可能性があります。
できれば、特別に監視したイベントはすべて、Microsoftョ Operations Manager (MOM) またはその他の自動監視ツールを使用して、サーバーに送信することが望まれます。これは、サーバーを危険にさらした攻撃者がセキュリティ イベントログを消去できないようにするために非常に重要です。すべてのイベントが監視サーバーに送られれば、攻撃者の活動に関する法廷で用いられる情報を収集することができます。
Contoso 社のシナリオ
Contoso のサーバーの親 OU にリンクされるグループ ポリシー内で、[セキュリティ ログの最大サイズ] は 184,320 KB に設定されています。[アプリケーション ログの最大サイズ] は 10,240 KB に、[システム ログの最大サイズ] は 10,240 KB に設定されています。この値は、システムのディスク容量の使用量と、保持するイベントの数とのバランスをとって決定されました。
Contoso 社では、MOM を使用して、セキュリティ関連のイベントについて、このガイドで取り上げているサーバーの役割を監視しています。
アプリケーション、セキュリティ、およびシステム ログの保存方法
脆弱性
組織内で監査対象とするオブジェクトの数を大幅に増やすと、セキュリティ ログの許容範囲一杯になってしまい、システムがシャットダウンする危険性があります。その場合、管理者がセキュリティ ログを消去するまでシステムが使用不可能になります。これを防止するには、表 6.2 にあるシャットダウン オプションを無効化してセキュリティ ログ サイズを増加させる必要があります。Contoso 社のシナリオではこのどちらも実行されています。
イベント ログの保存方法を [手動] または [指定した日数を過ぎたら上書きする] に設定すると、重要な最新のイベントが記録されなかったり、サービス拒否 (DoS) が発生したりする原因となります。
対策
組織内のすべてのサーバーの親 OU にリンクされるグループ ポリシー内で、[システム ログの保存方法] を [必要に応じてイベントを上書きする] に設定します。この設定を [手動] にするよう推奨している文献もありますが、これによって生じる管理タスクは、ほとんどの組織にとって負担が大きすぎます。
できれば、重要なイベントはすべて、MOM またはその他の自動監視ツールを使用して、監視サーバーに送信することが望まれます。保存方法の設定は次のとおりです。
指定した日数を過ぎたら上書きする
必要に応じてイベントを上書きする
イベントを上書きしない(手動でログを消去)
未定義
潜在的影響
イベント ログが許容量一杯になると、新しいエントリが書き込まれなくなります。ただし、古いエントリから順に新しいエントリで上書きされるよう、保存方法のオプションを指定することもできます。
Contoso 社のシナリオ
Contoso 社のシナリオでは、必要に応じて古いイベントが上書きされるような保存方法を設定し、イベント ログに常に最新のエントリが保持されるようにしてあります。その結果、古いイベントはログから削除されます。できれば、重要なイベントはすべて、MOM またはその他の自動監視ツールを使用して、監視サーバーに送信することが望まれます。このため Contoso の環境では、グループ ポリシーの [イベント ログの保存方法] は [必要に応じてイベントを上書きする] に設定されています。第 9 章「監査と侵入検出」では、監視すべき重要なイベントと、ログの情報の評価および対応方法について説明しています。
セキュリティの監査ログがいっぱいになったら、コンピュータをシャットダウンする
脆弱性
セキュリティ イベント ログには非常に重要な情報が含まれており、サーバーに関するエラーやセキュリティの問題がこのログに記録されたら即座に対応する必要があります。またそのようなイベントは、サーバーに依存するすべてのシステムに次々と影響を及ぼす可能性があります。重要なイベント ログ情報を失わないよう、セキュリティ ログとシステム ログは、通常の運用タスクの一環として定期的にアーカイブしておくことをお勧めします。
ほとんどのサービス エラーは 2 日以内に検出されるため、企業によっては、イベント ログ情報も 2 日程度保持すれば十分な場合があります。ただしほとんどの監査環境で大量のアクティビティを生成するサーバーもあります。このため、イベント記録を長期にわたって、または恒久的に保存しなければならない場合があります。
MOM のようなエンタプライズ イベント管理システムは、イベント レコードを中央データベースで集中管理し、アーカイブするのに便利なツールです。MOM とは、Microsoft Windows 2000 ベースのサーバーおよびアプリケーションのイベントとパフォーマンスを集中管理するためのマイクロソフト製品です。
対策
組織内のすべてのサーバーの親 OU にリンクされるグループ ポリシー内で、 [セキュリティの監査ログがいっぱいになったら、コンピュータをシャットダウンする] を [有効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
このオプションを有効にすると、イベントログが一杯になったときにサーバーが即座にシャットダウンします。社内ですべてのイベント ログ データを MOM またはその他のエンタプライズ管理システムに保存しており、必要に応じてイベント ログの古いエントリを上書きするよう設定している場合は、このオプションを有効化してください。しかし多くの場合、この設定によって多大な管理負担が生じます。
Contoso 社のシナリオ
Windows 2000 Server では、[セキュリティの監査ログがいっぱいになったら、コンピュータをシャットダウンする] は既定で [未定義] に設定されています。Contoso 社のシナリオでは [無効] に設定されています。試行された攻撃と成功した攻撃をすべて追跡するために、全セキュリティ ログ エントリを保持しておくのは、セキュリティ上のベスト プラクティスです。しかし攻撃者がシステムの管理者権限を獲得してしまえば、ローカルのセキュリティ イベント ログからすべてのセキュリティ ログ エントリを削除するのは簡単なことです。
つまり、セキュリティ監査ログが一杯になったときにコンピュータをシャットダウンするよう設定しても、単にシステムが既存のエントリを上書きすることを防止できるだけです。攻撃者がエントリを変更したり削除したりすることは防止できません。先にも述べたように、この脆弱性に対処するためには、エンタプライズ イベント管理システムを使用して、変更または削除される前にログ エントリを別の場所にコピーする必要があります。
ユーザー権利の割り当て設定
プログラムのデバッグ
脆弱性
デバッグ権限は、システム メモリから機密システム情報を盗むことに悪用される場合があります。攻撃ツールの中には、デバッグ プログラムのユーザー権利を悪用して、ハッシュされたパスワードやその他のプライベート セキュリティ情報を取り出すものもあります。攻撃者がこの脆弱性を悪用する危険を回避するため、既定では、プログラム デバッグのユーザー権利は管理者のみに与えられています。
対策
すべてのユーザーおよびグループの [プログラムのデバッグ] ユーザー権利を失効させます。
潜在的影響
この権利を失効させると、だれもプログラムをデバッグできなくなります。ただし、通常の業務システムでデバッグが必要となるのはまれです。業務サーバー上でアプリケーションのデバッグが必要となるような問題が生じた場合は、サーバーを一時的に別の OU に移動し、適切なアカウントに [プログラムのデバッグ] ユーザー権利を割り当ててください。
Contoso 社のシナリオ
Contoso 社のシナリオでは、管理者がアプリケーションをデバッグする必要性はめったに生じないと考えられたため、グループ ポリシーを使用してすべてのグループを [プログラムのデバッグ] ユーザー権利から削除しました。
MSBP セキュリティ オプション
グループ ポリシーのセキュリティ オプション セクションは、データのデジタル署名、管理者およびゲストのアカウント名、フロッピー ディスク ドライブと CD-ROM ドライブへのアクセス、ドライバのインストール動作、ログオン プロンプトといった、コンピュータのセキュリティ設定を有効化または無効化するために使用します。ベースライン グループ ポリシーでは、以下のセキュリティ オプションを設定します。
表 6.2 MSBP セキュリティ オプション設定
| UI に表示されるセキュリティ オプションの完全名 | コンピュータの設定 |
|---|---|
| 匿名接続の追加を制限する | SAM のアカウントと共有の列挙を許可しない |
| サーバー オペレータがタスクのスケジュールを割り当てるのを許可する (ドメイン コントローラのみ) | 無効 |
| ログオンせずにシステムをシャットダウンできるようにする | 無効 |
| リムーバブル NTFS メディアを取り出すのを許可する | 管理者 |
| セッションを切断する前に、ある一定のアイドル時間を必要とする | 15 分 |
| グローバル システム オブジェクトへのアクセスを監査する | 無効 |
| バックアップと復元の特権の使用を監査する | 無効 |
| ログオン時間を経過した場合は自動的にユーザーをログオフする (「注」を参照) | 未定義 |
| ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル)(「注」を参照) | 有効 |
| システムのシャットダウン時に仮想メモリのページ ファイルをクリアする | 有効 |
| 常にクライアント側の通信にデジタル署名を行う | 無効 |
| 可能な場合、クライアントの通信にデジタル署名を行う | 無効 |
| 常にサーバーの通信にデジタル署名を行う | 無効 |
| 可能な場合、サーバーの通信にデジタル署名を行う | 無効 |
| ログオンに Ctrl+Alt+Del を必要としない | 無効 |
| ログオン画面に最後のユーザー名を表示しない | 有効 |
| LAN Manager 認証レベル | NTLMv2 応答のみ送信する |
| ログオン時のユーザーへのメッセージのテキスト | このシステムは、認証を受けたユーザーのみに使用が許可されています。不正アクセスを試みると、起訴の対象となります。不正にアクセスしている場合は、すぐにアクセスを終了してください。[OK] をクリックすると、バックグラウンドでこの情報を受諾したことになります。 |
| ログオン時のユーザーへのメッセージのタイトル | 適切な許可なく続行することは法律に違反します。 |
| ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 | 10 ログオン |
| コンピュータ アカウント パスワードのシステム保守をしない | 無効 |
| ユーザーがプリンタ ドライバをインストールできないようにする | 有効 |
| パスワードが無効になる前にユーザーに変更を促す | 14 日 |
| 回復コンソール: 自動管理ログオンを許可する | 無効 |
| 回復コンソール: すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する | 有効 |
| Administrator アカウント名の変更 | 未定義 |
| Guest アカウント名の変更 | 未定義 |
| CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する | 有効 |
| フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する | 有効 |
| セキュリティで保護されたチャネル: 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する | 無効 |
| セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化または署名する | 有効 |
| セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する | 有効 |
| セキュリティで保護されたチャネル: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする | 有効 |
| システム パーティションの保護 (RISC プラットフォームのみ) | 未定義 |
| サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する | 無効 |
| セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする | 無効 |
| スマート カード取り出し時の動作 | ワークステーションをロックする |
| グローバル システム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク) | 有効 |
| 署名されていないドライバのインストール時の動作 | 警告するがインストールは許可する |
| 署名されていないドライバ以外のインストール時の動作 | 警告なしで許可する |
注 ドメイン アカウントの場合は、1 つのアカウント ポリシーしか使用できません。アカウント ポリシーは、ドメインを構成するドメイン コントローラによって実行される既定のドメイン ポリシーで定義する必要があります。ドメイン コントローラは常にアカウント ポリシーを既定のドメイン ポリシー GPO から取り出します。これは、そのドメイン コントローラを含む OU に異なるアカウント ポリシーが適用される場合でも変わりません。
既定では、ドメインに参加しているワークステーションおよびサーバー (メンバ コンピュータ) は、ローカル アカウントに対しても同じアカウント ポリシーを受け取ります。ただし、メンバ コンピュータのローカル アカウント ポリシーは、メンバ コンピュータを含む OU のアカウント ポリシーを定義することによって、ドメイン アカウント ポリシーとは異なったものにすることができます。
既定のドメイン ポリシーでは、[ログオン時間を経過した場合は自動的にユーザーをログオフする] は無効です。
表 6.2 のセキュリティ オプションについては、より詳細に説明する必要があるでしょう。このセクションの残りの部分では、Contoso 社のシナリオで実装された各設定の背景事情と、それぞれについて使用できるほかのオプションについて説明します。
匿名接続の追加を制限する
脆弱性
Windows 2000 の既定では、匿名ユーザーでも、ドメイン アカウントやネットワーク共有の名前の列挙といったいくつかの作業を実行できます。攻撃者がこれを利用すれば、ユーザー アカウントによる認証を受けずに、リモート サーバー上の情報を表示できてしまいます。
これによって直接攻撃者がサーバーを危険にさらすことはできませんが、攻撃者に攻撃を実行するための情報が提供される可能性はあります。匿名アクセスのセキュリティを強化するには、グループ ポリシーまたはレジストリを使用してこのオプションを変更します。
対策
匿名ユーザー機能を変更するには、HKLM\SYSTEM\CurrentControlSet\Control\LSA レジストリ キーにあるレジストリ値のエントリ RestrictAnonymous を、次のいずれかの値に修正します。
0 なし (既定のアクセス権に依存)
1 セキュリティ アカウント マネージャ (SAM) のアカウントと共有の列挙を許可しない
2 明示的な匿名アクセス権がない場合アクセスを許可しない
Windows 2000 の既定では、ローカル セキュリティ機関 (LSA) の値のエントリは、0 - 既定のアクセス権に依存 です。
また、グループ ポリシーを使用して [匿名接続の追加を制限する] を設定しても同じ機能を実行できます。使用できる値は次のとおりです。
なし (既定のアクセス権に依存)
これは、RestrictAnonymous=0 と同じです。
SAM のアカウントと共有の列挙を許可しない
これは、RestrictAnonymous=1 と同じです。
匿名アクセス権がない場合アクセスを許可しない
これは、RestrictAnonymous=2 と同じです。
潜在的影響
[RestrictAnonymous] を 1 に設定しても、匿名接続はブロックされません。しかし、ユーザー アカウントや共有の列挙に代表される、null セッションで入手できるほとんどの情報の漏洩を防止できます。この値を 2 に設定しなくとも、情報のいくつかは入手可能です。
値を 2 に設定すると、ターゲットの環境によっては望ましくない結果が生じる場合があります。RestrictAnonymous が 2 に設定されていると、以下のアプリケーションとサービスが中断されることが分かっています。
マイクロソフト、その他のソースが提供するさまざまなホワイト ペーパーやツール (MBSA ツールなど) では、RestrictAnonymous = 2 設定が Windows 2000 に推奨されていますが、この設定は、Microsoft Windows XP および Microsoft Windows Server 2003 でのみサポートされています。マイクロソフト製品サポート サービス (PSS) では Windows 2000 でのこの設定は保障していません。また、Windows 2000 RestrictAnonymous 設定の効果は、後にサポートされるプラットフォームでは複数のグループ ポリシー設定に影響します。お使いの環境で RestrictAnonymous = 2 を使用する場合は、自身の責任において実行し、使用するプラットフォームのテスト環境でアプリケーションの互換性を詳細にテストしてください。
ダウン レベル メンバ ワークステーションまたはサーバーは、セキュリティ チャネルをサーバーにセットアップできません。
信頼するドメインのダウン レベル ドメイン コントローラは、RestrictAnonymous レジストリ値が 2 に設定されていると、Net ログオン セキュリティ チャネルをドメイン コントローラにセットアップできません。
Microsoftョ Windows NTョ ユーザーは、パスワードが期限切れになった後でパスワードを変更することができません。また、Macintosh コンピュータ ユーザーは、パスワードを一切変更できません。
ブラウザ サービスは、RestrictAnonymous レジストリ値が 2 に設定されているコンピュータで実行されているバックアップ ブラウザ、マスタ ブラウザ、およびドメイン マスタ ブラウザからはドメイン リストやサーバー リストを取得できません。このため、ブラウザ サービスに依存するプログラムはいずれも正しく機能しません。
Microsoftョ Exchange 2000 Server に接続された Microsoftョ Outlookョ クライアント コンピュータを使用している場合は、グローバル アドレス リストを表示したり、そこから参照して名前を解決したりできません。グローバル アドレス リストは空の状態で表示されます。この問題は、Windows 2000 Service Pack 3 では解決されています。
RestrictAnonymous レジストリ値が 2 に設定されていると、ドメイン コントローラで Active Directory から選択してネットワーク プリンタを追加することができません。ただし、ツリー ビューから選択してネットワーク プリンタを選択することはできます。
これらの既知の問題により、混成クライアント環境では RestrictAnonymous を 2 に設定することはお勧めできません。これによって自社の環境に及ぼされる影響の詳細については、マイクロソフト サポート技術情報の Q246261「RestrictAnonymous レジストリ値を使用する方法」を参照してください。
Contoso 社のシナリオ
Contoso 社は混成クライアント環境のため、グループ ポリシーを使用して [匿名接続の追加を制限する] を [SAM のアカウントと共有の列挙を許可しない] に設定しています。
ログオンせずにシステムをシャットダウンできるようにする
脆弱性
ローカルで、またはターミナル サービスを使用してコンソールにアクセスできるユーザーは、システムをシャットダウンすることができます。このため、攻撃者、 または攻撃するつもりのないユーザーが、自身の ID を示さずにターミナル サービスを使用してサーバーに接続し、シャットダウンしたり再起動したりできてしまいます。
攻撃者は、ローカル コンソールまで行ってこれを実行することもできます。サーバーが再起動されて一時的な DoS 状態となるか、またはサーバーがシャットダウンされてすべてのアプリケーションとサービスが使用不可能になってしまいます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で [ログオンせずにシステムをシャットダウンできるようにする] を [無効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
管理者は、サーバーをシャット ダウンまたは再起動する際にサーバーにログオンする必要があります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、ユーザーがログオンせずにコンソールからサーバーをシャットダウンできる必要はありません。このため、グループ ポリシーを使用して、[ログオンせずにシステムをシャットダウンできるようにする] を [無効] に設定しました。
リムーバブル NTFS メディアを取り出すのを許可する
脆弱性
ユーザーは、NTFS 形式にフォーマットしたリムーバブル ディスクを、管理者特権のある別のコンピュータに移動することができます。ユーザーが管理者特権を持つコンピュータにリムーバブル ディスクを移動すると、すべてのファイルに対してそのユーザーが所有権を持ち、表示や修正など、あらゆる作業を実行できるようになります。このため、機密情報が漏洩したり、気付かないうちにデータが変更されたりする場合があります。リムーバブル記憶域デバイスのほとんどは、ボタンを押してメディアを取り出すため、 この設定の値はあまり効果がありません。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、[リムーバブル NTFS メディアを取り出すのを許可する] の値を [管理者] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
ユーザー定義セキュリティ アカウント
未定義
潜在的影響
管理者だけが NTFS 形式のリムーバブル メディアを取り出すことができます。
Contoso 社のシナリオ
NTFS 形式のリムーバブル メディアを取り出す必要があるのは管理者のみです。このため Contoso 社のシナリオでは、グループ ポリシーを使用して、[リムーバブル NTFS メディアを取り出すのを許可する] を [管理者] グループに設定しました。
セッションを切断する前に、ある一定のアイドル時間を必要とする
脆弱性
各サーバー メッセージ ブロック (SMB) セッションはサーバーのリソースを消費します。数多くの null セッションが確立されると、サーバーが低速になったり、エラーを起こしたりします。攻撃者がこれを悪用して、サーバーが応答しなくなるまで繰り返し SMB セッションを確立する可能性があります。その場合、SMB サービスが低速になったり応答しなくなったりします。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、[セッションを切断する前に、ある一定のアイドル時間を必要とする] を [15 分] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
ユーザー定義の時間を分で指定
未定義
潜在的影響
クライアントが活動を再開すると SMB セッションが自動的に再確立されるため、多少の影響があります。
Contoso 社のシナリオ
SMB ベースの DoS 攻撃から Contoso サーバーを保護するため、グループ ポリシーを使用して [セッションを切断する前に、ある一定のアイドル時間を必要とする] を [15 分] に設定しました。
グローバル システム オブジェクトへのアクセスを監査する
脆弱性
このポリシーが有効化されると、ミューテックス、イベント、セマフォ、DOS デバイスといったシステム オブジェクトが既定のシステム アクセス制御リスト (SACL) で作成されます。監査オブジェクト アクセス監査ポリシーも有効化されている場合、これらシステム オブジェクトへのアクセスが監査されます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、[グローバル システム オブジェクトへのアクセスを監査する] の値を [無効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
このポリシーを有効化すると、特にビジーなドメイン コントローラやアプリケーション サーバー上で大量のセキュリティ イベントが生成されることがあります。これにより、サーバーの応答が遅くなり、セキュリティ イベント ログに、重要でないイベントが多数記録されることになります。
Contoso 社のシナリオ
Contoso 社のサーバーのイベント ログが重要でないイベントで一杯にならないよう、グループ ポリシーを使用して、[グローバル システム オブジェクトへのアクセスを監査する] を [無効] に設定しました。
バックアップと復元の特権の使用を監査する
脆弱性
この設定によって、[特権使用の監査] ポリシーが有効化されているときに、バックアップと復元のユーザー特権を監査するかどうか決定します。[特権使用の監査] ポリシーが有効化されているときにこのオプションを有効化すると、バックアップまたは復元されるすべてのファイルについて監査イベントが生成されます。この設定を有効化すれば、誤って、または悪意を持って、不正にデータを復元した管理者を突き止める際に役立ちます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、[バックアップと復元の特権の使用を監査する] の値を [無効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
このポリシーを有効化すると大量のセキュリティ イベントが生成され、サーバーの応答が遅くなったり、セキュリティ イベント ログに重要でないイベントが多数記録される可能性があります。
Contoso 社のシナリオ
Contoso 社のサーバーのイベント ログが重要でないイベントで一杯にならないよう、グループ ポリシーを使用して、[バックアップと復元の特権の使用を監査する] を [無効] に設定しました。
ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル)
脆弱性
この設定によって、自身のユーザー アカウントで有効とされているログオン時間を超えてローカル コンピュータに接続しているユーザーを接続解除するかどうか決定します。この設定は、Windows 2000 Server の SMB コンポーネントに影響を与えます。このポリシーが有効化されていると、SMB サーバーとのクライアント セッションが、クライアントのログオン時間が時間切れになったときに強制的に接続解除されます。このポリシーが無効化されていると、確立されたクライアント セッションは、クライアントのログオン時間が時間切れになった後も維持されます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で**[ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル)]** を [有効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
この設定は、管理者アカウントには適用されません。
潜在的影響
ユーザーのログオン時間が時間切れになると、メンバ サーバー上で SMB セッションが終了します。ユーザーは、次に予定されたアクセス時間が開始されるまで、システムにログオンできません。
Contoso 社のシナリオ
Contoso 社のサーバーで、情報技術 (IT) チームのメンバがコンソール セッションからログ オフし忘れるのを防止するため、グループ ポリシーを使用して、[ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル)] を [有効] に設定しました。
システムのシャットダウン時に仮想メモリのページ ファイルをクリアする
脆弱性
実際のメモリに保存されている重要情報は、定期的にページ ファイルにダンプできます。これにより Windows 2000 はマルチタスク機能を処理することができます。シャット ダウンされたサーバーに物理的にアクセスできる攻撃者は、ページング ファイルのコンテンツを表示できます。また攻撃者は、システム ボリュームを別のコンピュータに移動し、ページング ファイルのコンテンツを分析することもできます。これは時間のかかるプロセスですが、ランダム アクセス メモリ (RAM) からページング ファイルにキャッシュしたデータが危険にさらされる可能性はあるのです。
注 サーバーに物理的にアクセスできる攻撃者なら、サーバーの電源を抜くことでこの対策を無効にできてしまいます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で [システムのシャットダウン時に仮想メモリのページ ファイルをクリアする] を [有効] に設定します。この設定が有効化されると、Windows 2000 は、システムがシャットダウンされたときにページ ファイルをクリアし、このファイルに保管されていたすべての情報を削除します。ページ ファイルのサイズによっては、システムが完全にシャットダウンする前に、このプロセスに数分間かかる場合があります。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
サーバーのシャットダウンや再起動は、ページファイルが大きいほど時間がかかります。2 GB の RAM と 2 GB のページングファイルを備えたサーバーの場合、この設定によって、シャットダウン プロセスに 20 ~ 30 分、またはそれ以上の時間がかかります。組織によっては、このような長いダウンタイムによって、内部サービス レベル契約が侵害される場合があります。このため、お使いの環境でこの対策を実行する際は注意してください。
Contoso 社のシナリオ
Contoso 社のサーバーは物理的にセキュリティ保護されていますが、この設定を行うことでより高い安全性が実現され、またサーバーに接続している既存のアプリケーションやオペレーティング システムに影響が及ぼされないため、この設定を実行することにしました。 グループ ポリシーを使用して [システムのシャットダウン時に仮想メモリのページ ファイルをクリアする] を [有効] に設定しました。
クライアントおよびサーバーの通信にデジタル署名を行う
脆弱性
SMB 通信のデジタル署名に関しては、[常にクライアント側の通信にデジタル署名を行う]、[常にサーバーの通信にデジタル署名を行う]、[可能な場合、クライアントの通信にデジタル署名を行う]、および [可能な場合、サーバーの通信にデジタル署名を行う] という 4 つの個別の設定があります。
高度にセキュリティ保護されたネットワークでデジタル署名を実行すると、クライアントおよびサーバーの偽装防止に役立ちます。このタイプの偽装はセッションハイジャックと呼ばれるもので、攻撃者はセッションハイジャック ツールを使用して、進行中のセッションを中断、終了、または不正に取得します。未署名の SMB パケットは、攻撃者によって傍受および変更される可能性があります。クライアントまたはサーバーと同じネットワークにアクセスできる攻撃者は、SMB トラフィックを傍受できます。その後攻撃者は、サーバーが望ましくないアクションを実行するよう、トラフィックに変更を加えて転送する可能性があります。または、正当な認証の後でサーバーまたはクライアントに偽装し、データに不正アクセスする可能性もあります。
SMB 署名によって、ユーザーと、データをホストしているサーバーの両方が認証されます。どちらかが認証プロセスに失敗すると、データは送信されません。SMB 署名を実行すると、サーバー間で各パケットの署名と検証を行うために、最大 15% のパフォーマンス負荷が生じます。パフォーマンスの低下に関する詳細については、サポート技術情報の 161372 「Windows NT で SMB 署名を有効にする方法」を参照してください。
注 すべてのネットワーク トラフィックを保護するための代替対策案として、インターネット プロトコル セキュリティ (IPsec) でデジタル署名を行う方法があります。IPSec の暗号および署名用にはハードウェア ベースのアクセラレータがあり、サーバー CPU のパフォーマンスの影響を最小限に抑えることができます。SMB 署名にはそのようなアクセラレータはありません。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、[常にクライアント側の通信にデジタル署名を行う] を [無効] に、[可能な場合、クライアントの通信にデジタル署名を行う] を [無効] に、[常にサーバーの通信にデジタル署名を行う] を [無効] に、[可能な場合、サーバーの通信にデジタル署名を行う] を [無効] に設定します。これらの設定を [有効] にするよう推奨している文献もありますが、そうするとクライアント コンピュータの速度が落ちたり、既存の SMB アプリケーションやオペレーティング システムに通信できなくなったりする場合があります。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
Windows 2000 Server、Windows 2000 Professional、および Windows XP Professional のファイルと印刷共有プロトコル SMB は、セッションハイジャック攻撃を終了させる相互認証とメッセージ認証をサポートしており、能動的なメッセージ攻撃を防止できます。SMB 署名では、各 SMB にデジタル署名を設定し、その後クライアントとサーバーの両方によって検証することで、このような認証を行います。
ただし SMB トラフィックにデジタル署名を強制すると、パフォーマンスに影響が生じます。ビジーなサーバーではこの影響は重大です。また、コンピュータがすべての未署名 SMB 通信を無視するよう設定されている場合、既存のアプリケーションとオペレーティング システムは接続できません。すべての SMB 署名を無効にすると、コンピュータが、セッションハイジャック攻撃に対して脆弱になります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、パフォーマンスに及ぼされる影響への懸念から、すべての SMB トラフィックについて、デジタル署名が無効にされています。グループ ポリシーを使用して、[常にクライアント側の通信にデジタル署名を行う] を [無効] に、[可能な場合、クライアントの通信にデジタル署名を行う] を [無効] に、[常にサーバーの通信にデジタル署名を行う] を [無効] に、[可能な場合、サーバーの通信にデジタル署名を行う] を [無効] に設定しました。
ログオンに Ctrl+Alt+Del を必要としない
脆弱性
マイクロソフトは、特定のタイプの身体的な障碍を持つユーザーが、Windows を実行しているコンピュータにログオンできるよう、この機能を開発しました。しかし Ctrl+Alt+Del というキーの組み合わせを押す必要がないということは、パスワードを傍受される危険性が高まるということでもあります。ユーザーがログオンする際に Ctrl+Alt+Del を押させることで、パスワード入力時に信頼できる経路で通信していることを保証できます。
攻撃者は、標準的な Windows ログオン ダイアログ ボックスに似せたトロイの木馬プログラム (不当なコード) をインストールして、ユーザーのパスワードを取得できます。その後攻撃者は、不正に獲得したアカウントにログオンし、そのアカウントのユーザーが持つあらゆる特権を使用できます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で [ログオンに Ctrl+Alt+Del を必要としない] を [無効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
ユーザーは、ログオン ダイアログ ボックスを表示するために、3 つのキーを同時に押す必要があります (ただしスマート カードでログオンする場合は必要ありません)。
Contoso 社のシナリオ
Contoso 社のシナリオでは、3 つのキーを押さずにログオンできるようにする必要がないため、グループ ポリシーを使用して、[ログオンに Ctrl+Alt+Del を必要としない] の値を [無効] に設定します。
ログオン画面に最後のユーザー名を表示しない
脆弱性
サーバーに物理的にアクセスできる、またはターミナル サービスを介してサーバーに接続できるなど、コンソールにアクセスできる攻撃者は、サーバーに最後にログオンしたユーザーの名前を表示することができます。その後攻撃者は、辞書からパスワードを生成するツールやブルート フォース攻撃などでパスワードを推測し、サーバーにログオンを試みることができます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で [ログオン画面に最後のユーザー名を表示しない] を [有効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
ユーザーは、サーバーにログオンするたびに自分のユーザー名を入力しなければならなくなります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、サーバーに最後にログオンしたユーザーの名前が攻撃者に知られることに対する懸念から、グループ ポリシーを使用して、[ログオン画面に最後のユーザー名を表示しない] を [有効] に設定しました。
LAN Manager 認証レベル
LAN Manager (LM) は、以前のマイクロソフト クライアント/サーバー ソフトウェア ファミリーの 1 つで、ユーザーはこれを使用して、複数のパーソナル コンピュータ システムを単一のネットワーク上で相互にリンクできます。ネットワーク機能には、透過的ファイルと印刷共有、ユーザー セキュリティ機能、およびネットワーク管理ツールなどが含まれます。
LM、NTLM、NTLM バージョン 2 (NTLMv2) バリアントなどの LM 認証は、すべての Windows クライアントが次のような操作を行う際に認証を行うためのプロトコルです。
ドメインの参加
Active Directory フォレスト間の認証
ダウンレベル ドメインへの認証
ダウンレベル (Windows 2000/Windows XP ベース以外のサーバー) への認証
ドメイン以外のサーバーへの認証
脆弱性
既定により、Windows 2000 および Windows XP を含むすべての Windows クライアントは、LM および NTLM 認証応答を送信するよう設定されています (ただし Win9x クライアントは LM のみです)。サーバーの既定の設定により、すべてのクライアントは、サーバーで認証を行い、そのリソースを使用できます。しかしこれにより、LM 応答 (認証応答の中では最も弱い形式) がネットワーク上で送信されることになり、攻撃者はこのトラフィックをスニッフィングして、より簡単にユーザーのパスワードを推測できる可能性があります。
Windows 9x および Windows NT オペレーティング システムでは、Kerberos バージョン 5 プロトコルを使用して認証を行うことはできません。このため、これらのシステムは、Windows 2000 ドメインで LM と NTLM の両方のプロトコルを使用してネットワーク認証を行うよう、既定で設定されています。Windows 9x および Windows NT では、NTLMv2 を使用することで、認証プロトコルの安全性を高めることができます。ログオン プロセスでは、NTLMv2 はセキュリティ チャネルを使用して認証プロセスを保護します。既存のクライアントとサーバーに対して NTLMv2 を使用する場合でも、ドメインのメンバである Windows 2000 ベースのクライアントとサーバーは、Kerberos プロトコルを使用して Windows 2000 ドメイン コントローラで認証を行います。
NTLMv2 を有効化することについての詳細は、サポート技術情報の 239869「Windows 95/98 クライアントで NTLM2 認証を有効にする 」を参照してください。Microsoftョ Windows NTョ 4.0 で NTLMv2 を使用するには、Service Pack 4 (SP4) が必要です。Windows 9x プラットフォームで NTLMv2 を使用するには、ディレクトリ サービス クライアントをインストールする必要があります。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で [LAN Manager 認証レベル] を [NTLMv2 応答のみ送信する] に設定します。マイクロソフトおよびその他多くの独立組織では、すべてのクライアントが NTLMv2 をサポートしている場合にこのレベルの認証を使用するよう強く推奨しています。
このグループ ポリシー設定で使用できる値は次のとおりです。
LM、NTLM 応答の送信
ネゴシエートされた場合 LM、NTLM を送信 - NTLMv2 セッション セキュリティを使用する
NTLM 応答のみ送信する
NTLMv2 応答のみ送信する
NTLMv2 応答のみ送信 LM を拒否する
NTLMv2 応答のみ送信 LM、NTLM を拒否する
未定義
これらの設定は、マイクロソフトが提供するほかの文書で解説されているレベルに次のように対応します。
レベル 0 - LM、NTLM 応答の送信。NTLMv2 セッション セキュリティを使用しない。クライアントは LM および NTLM 認証を使用し、NTLMv2 セッション セキュリティを使用しません。ドメイン コントローラは、LM、NTLM、および NTLMv2 認証を受け付けます。
レベル 1 - ネゴシエートされた場合 NTLMv2 セッション セキュリティを使用する。クライアントは LM および NTLM 認証を使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLMv2 認証を受け付けます。
レベル 2 - NTLM 応答のみ送信する。クライアントは NTLM 認証のみを使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLMv2 認証を受け付けます。
レベル 3 - NTLMv2 応答のみ送信する。クライアントは NTLMv2 認証を使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLMv2 認証を受け付けます。
レベル 4 - ドメイン コントローラは LM 応答を拒否する。クライアントは NTLM 認証を使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、LM 認証を拒否し、NTLM および NTLMv2 を受け付けます。
レベル 5 - ドメイン コントローラは LM および NTLM 応答を拒否する (NTLMv2 のみ受け付け)。 クライアントは NTLMv2 認証を使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、NTLM および LM 認証を拒否し、NTLMv2 のみを受け付けます。
潜在的影響
NTLMv2 認証をサポートしていないクライアントは、ドメイン内で認証できず、LM および NTLM を使用してドメイン リソースにアクセスします。
Contoso 社のシナリオ
Contoso 社のシナリオでは、グループ ポリシーを使用して、[LAN Manager 認証レベル] を [NTLMv2 応答のみ送信する] に設定しました。NTLMv2 セキュリティを使用するよう設定されていない従来の Windows クライアントでもドメイン リソースを使用できるように、この設定が選択されました。これにより、安全性の高くない認証トラフィックがネットワーク上でやり取りされることになります。ネットワーク上のトラフィックをスニッフィングできる攻撃者は、NTLM 認証トラフィックを収集して、ドメイン メンバのユーザー名とパスワードを調べることができます。ネットワーク スニッフィングとは、ネットワーク トラフィックの盗聴です。
この設定により、Windows 98 クライアントは、引き続き LM または NTLM 認証を使用し、ドメイン コントローラによる認証を受けます。これらのコンピュータに DSClient がインストールされている場合は、NTLMv2 のみを使用するよう設定できます。すべての Windows 98 コンピュータに DSClient をインストールするには多大な労力が必要となるため、Contoso 社では、これらのワークステーションがアップデートされるまでは脆弱性を受け入れることにしました。
ログオン時のユーザーへのメッセージのタイトルとテキスト
脆弱性
このメッセージ警告設定を利用しないと、ネットワークへの不法侵入者に対し、法律的に弱い立場になります。過去 20 年間の判例は、ネットワークを介してサーバーに接続するユーザーに対して警告を発している組織は、警告を発していない組織と比較して、不法侵入者に対する裁判で勝訴する率が高いことを示しています。
対策
[ログオン時のユーザーへのメッセージのテキスト] を次のように指定します。
このシステムは、認証を受けたユーザーのみに使用が許可されています。不正アクセスを試みると、起訴の対象となります。不正にアクセスしている場合は、すぐにアクセスを終了してください。[OK] をクリックすると、この警告に同意したものとみなされます。
**[ログオン時のユーザーへのメッセージのタイトル]**を次のように指定します。
適切な許可なく続行することは法律に違反します。
サーバーの親 OU にリンクされるグループ ポリシー内でこれら両方の設定を適用します。このグループ ポリシー設定で使用できる値は次のとおりです。
ユーザー定義テキスト
未定義
潜在的影響
ユーザーがサーバーのコンソールにログオンする前にダイアログ ボックスが表示されます。
注 表示する警告文に関しては、組織の法務部および人事部の承認が必要です。
Contoso 社のシナリオ
攻撃者に対する起訴を円滑に行うため、グループ ポリシーを使用して、[ログオン時のユーザーへのメッセージのテキスト] および [ログオン時のユーザーへのメッセージのタイトル] を、先に示したような内容に設定しました。
ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数
脆弱性
この設定で指定した数によって、ログオン情報がローカルにキャッシュされるユーザー数が決まります。10 に設定すると、10 ユーザー分のログオン情報がキャッシュされます。コンピュータに11 人目のユーザーがログオンすると、キャッシュされたログオン セッションのうち最も古いものが上書きされます。
ユーザーがサーバーのコンソールにアクセスすると、そのユーザーのログオン資格情報がサーバーにキャッシュされます。サーバーのファイル システムにアクセスできる攻撃者は、このキャッシュ情報を入手し、ブルートフォース攻撃でそのユーザーのパスワードを推測できてしまいます。
Windows 2000 はこうした機密情報をセキュリティ保護する手段を備えており、このようなタイプの攻撃に対処しています。キャッシュされた資格情報はシステムのレジストリに保管され、暗号化されて物理的に離れた複数の場所に分散されます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で [ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数] を 10 に設定します。この値を 0 に設定するよう推奨している文献もあります。
ドメイン コントローラとの通信にエラーが発生した場合でもユーザーがコンピュータにログオンできるよう、このように設定されています。このグループ ポリシー設定で使用できる値は次のとおりです。
ユーザー定義数
未定義
潜在的影響
ログオン情報がサーバー上でローカルにキャッシュされます。
Contoso 社のシナリオ
ドメイン コントローラが利用できない場合でも、認証されたユーザーが Contoso 社のサーバーにログオンできるよう、グループ ポリシーを使用して、[ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数] を 10 に設定しました。
コンピュータ アカウント パスワードのシステム保守をしない
脆弱性
Windows 2000 を実行する、ドメインに属しているコンピュータでは、アカウントのパスワードを 7 日ごとに変更しなければならないように既定で設定されています。この機能を無効にすると、Windows 2000 を実行しているコンピュータは、コンピュータ アカウントと同じパスワードを保持します。同じパスワードを保持することで、攻撃者にシステムのドメイン アカウントのパスワードを推測される危険性が高まります。
対策
[コンピュータ アカウント パスワードのシステム保守をしない] オプションを [無効] にします。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
なし。
Contoso 社のシナリオ
Contoso 社のシナリオでは、攻撃者がドメイン アカウントのコンピュータのパスワードを推測する危険性を最小限に抑える必要がありました。このため、グループ ポリシーを使用して、[コンピュータ アカウント パスワードのシステム保守をしない] を [無効] に設定しました。
ユーザーがプリンタ ドライバをインストールできないようにする
脆弱性
ユーザーが自分のワークステーション上でプリンタ アクセスを許可するのは構いませんが、サーバーではそのようにすべきではありません。サーバーにプリンタ ドライバをインストールすると、システムが不安定になる原因となる場合があります。サーバーでは管理者のみがこのような権限を持つべきです。
悪意を持ったユーザーは、不適切なプリンタ ドライバをインストールすることで、企業のシステムを故意に損傷させる可能性があります。悪意を持ったユーザーとは、システムにアクセス権があり、セキュリティを脅かす存在のことです。たとえば、アクセスを許可されていないデータにアクセスするために、権限を拡大しようとするようなユーザーが挙げられます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で [ユーザーがプリンタ ドライバをインストールできないようにする] を [有効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
管理者、パワー ユーザー、およびサーバー オペレータの権限を持つユーザーのみがサーバーにプリンタをインストールできるようになります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、プリンタ ドライバをインストールする必要があるのは管理者のみです。このため、グループ ポリシーを使用して、[ユーザーがプリンタ ドライバをインストールできないようにする] を [有効] に設定しました。
パスワードが無効になる前にユーザーに変更を促す
脆弱性
Contoso 社のシナリオでは、ユーザーのパスワードは定期的に期限切れになります。期限が切れる前にユーザーに通知しないと、知らない間にパスワードが使えなくなってしまう可能性があります。これによって、ローカルでネットワークにアクセスしているユーザーに混乱を招いたり、ダイヤル アップ接続や仮想プライベート ネットワーク (VPN) 接続で組織のネットワークにアクセスしているユーザーが、ネットワークにログオンできなくなったりします。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で [パスワードが無効になる前にユーザーに変更を促す] を [14 日] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
ユーザー定義日数
未定義
潜在的影響
パスワードの有効期限日まで 14 日を切ると、ユーザーがドメインにログオンするたびにダイアログ ボックスが表示されます。
Contoso 社のシナリオ
Contoso 社のセキュリティ チームは、パスワードの期限が切れる前にユーザーにパスワードを変更してもらいたいと考えました。このため、グループ ポリシーを使用して、[パスワードが無効になる前にユーザーに変更を促す] を [14 日] に設定しました。
回復コンソール: 自動管理ログオンを許可する
脆弱性
システムを再起動できなくなったとき、回復コンソールがトラブルシューティングと修復に非常に役立ちます。しかし、コンソールへの自動ログオンを有効化すると、危険性が高まります。だれでもサーバーのところへ行って電源を抜き、再起動して、再起動のメニューから [Recover Console] を選択することによってサーバーのフル コントロールを獲得できてしまいます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で [回復コンソール: 自動管理ログオンを許可する] を [無効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
回復コンソールを使用する場合、ユーザーは回復コンソール アカウントにアクセスするために、ユーザー名とパスワードを入力する必要があります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、回復コンソールを使用しなければならない場合は、必ず権限を持つ IT チームのメンバがコンピュータのトラブルシューティングと修復を行います。このため、グループ ポリシーを使用して、[回復コンソール: 自動管理ログオンを許可する] を [無効] に設定しました。
回復コンソール: すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する
脆弱性
権限を持つ管理者が、機密のデータやアプリケーションが保存された CD-ROM やフロッピー ディスクを取り出すのを忘れ、悪意を持ったユーザーに盗まれる可能性があります。また、権限を持つ管理者が、回復コンソールを使用した後、誤ってコンピュータに起動ディスクを入れたままにしてしまうこともあります。BIOS (基本入出力システム) で、ハード ディスクより CD-ROM またはフロッピー ディスクからの起動を優先するよう設定されている場合、何らかの理由でコンピュータが再起動されると、サーバーがリムーバブル ディスクから起動します。その場合、サーバーのネットワーク サービスが利用できなくなります。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で [回復コンソール: すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する] を [有効] に設定します。この設定を無効化するよう推奨している文献もあります。しかしこの設定を有効化することで、管理者は回復コンソールを使用でき、エラーが生じたサーバーの修復を柔軟に行うことができます。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
回復コンソールを使用してサーバーを起動し、ビルトイン管理者アカウントでログインしたユーザーは、ファイルやフォルダをフロッピー ディスクにコピーできません。
Contoso 社のシナリオ
Contoso 社のシナリオでは、利用できなくなったサーバーを修復するために回復コンソールを使用している間は、CD-ROM やフロッピー ディスクからファイルをコピーできるようにしておく必要がありました。このため、グループ ポリシーを使用して、[回復コンソール: すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する] を [有効] に設定しました。
リムーバブル メディアへのアクセスを、ローカル ログオン ユーザーだけに制限する
脆弱性
このポリシーによって、ローカルとリモートのユーザーが同時に CD-ROM にアクセスできるかどうかが決まります。このポリシーを有効化すると、対話方式でログオンしたユーザーだけがリムーバブル CD-ROM メディアにアクセスできます。このポリシーが有効化されていても、対話形式でログオンしたユーザーがいない場合は、ネットワークを介して CD-ROM にアクセスできます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、[CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する] と [フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する] の両方を有効化します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
ネットワークを介してサーバーに接続しているユーザーは、サーバーの CD-ROM ドライブとフロッピー ディスク ドライブを利用できません。この設定は、ネットワーク ユーザーに CD ジュークボックスとしての機能を提供しているシステムには適しません。
Contoso 社のシナリオ
Contoso 社のシナリオには、CD-ROM ジュークボックスはありません。CD-ROM およびフロッピー ディスクにアクセスする必要があるのは、ローカルにログオンする管理者のみです。このため、グループ ポリシーを使用して、[CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する] を [有効] に、[フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する] も [有効] に設定しました。
セキュリティで保護されたチャネル: セキュリティ チャネルのデータをデジタル的に暗号化または署名する
脆弱性
Windows 2000 システムがドメインを参加させる際、コンピュータ アカウントが作成されます。ドメインを参加させた後、再起動のたびに、そのアカウントのパスワードを使用して、そのドメインのドメイン コントローラのセキュリティ チャネルを作成します。セキュリティ チャネルで送信される要求は認証を受け、パスワードなどの機密情報は暗号化されます。ただしチャネルの整合性はチェックされませんし、暗号化されない情報もあります。この対策に関しては、[セキュリティで保護されたチャネル: 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する]、[セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する]、および [セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する] の 3 つの設定があります。セキュリティ チャネル データを常に暗号化または署名するようシステムを設定した場合、すべてのセキュリティ チャネル データが署名および暗号化されるため、すべてのセキュリティ チャネル トラフィックを署名または暗号化する能力のないドメイン コントローラではセキュリティ チャネルを確立できません。可能な場合にセキュリティ チャネル データを暗号化または署名するようコンピュータを設定した場合、セキュリティ チャネルは確立できますが、暗号化と署名のレベルがネゴシエートされます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、[セキュリティで保護されたチャネル: 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する] を [無効] に、[セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する] を [有効] に、[セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する] を [有効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
セキュリティ チャネルのデジタル暗号化および署名は、サポートされていれば使用すべきです。セキュリティ チャネルは、ドメイン資格情報がドメイン コントローラに送信される際に保護するための Netlogon 通信チャネルです。しかし、セキュリティ チャネルのデジタル暗号化と署名は、Windows NT 4.0 SP6a 以降でのみサポートされており、Windows 98SE クライアントではサポートされていません。このため、ドメインのメンバとして Windows 98 クライアントをサポートしなければならない場合、この設定はドメイン コントローラ上で有効化できません。潜在的影響として考えられるのは、ダウンレベルの信頼関係の作成または削除ができなくなること、ダウンレベルのクライアントからログオンできなくなること、ダウンレベルの信頼される側のドメインからほかのドメインのユーザーを認証できなくなることなどです。
すべての Windows 9x クライアントがドメインから削除され、すべての Windows NT 4.0 サーバーとドメイン コントローラ (信頼される側と信頼する側のドメイン) が SP6a にアップグレードされれば、この設定を有効化できます。
組織内で、ダウンレベル クライアントとサーバーの間で送信されるセキュリティ チャネル データは、暗号化やデジタル署名による保護はされない場合があります。
Contoso 社のシナリオ
これらすべての設定を [有効] にするよう推奨している文献もありますが、下位互換性を維持するため、Contoso 社のサーバーでは、通信相手のコンピュータがサポートしている限り、セキュリティ チャネル データをデジタル署名および暗号化するよう設定しました。Contoso 社のシナリオでは、グループ ポリシーを使用して、[セキュリティで保護されたチャネル: 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する] を [無効] に、[セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する] を [有効] に、[セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する] を [有効] に設定しました。
セキュリティで保護されたチャネル: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする
脆弱性
Windows オペレーティング システムの以前のバージョンのセッション キーは、Windows 2000 Server のものに比べ、安全性が高くありません。ドメイン コントローラとメンバ コンピュータの間にセキュリティ チャネル通信を確立するために使用するセッション キーは、マイクロソフトの以前のオペレーティング システムのものと比べ、Windows 2000 では非常に強力になりました。
セキュリティ チャネル通信を盗聴やセッションハイジャック攻撃から守るため、可能な限りこの強力なセッション キーを活用してください。盗聴とはハッキングの 1 種で、ネットワーク データが読み取られたり、送信中に変更されたりします。送信者が隠される、変更される、またデータの送信先が変更されるなどがあります。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で [セキュリティで保護されたチャネル: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする] を [有効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
この設定を有効化すると、すべての送信セキュリティ チャネル トラフィックが強力な (Windows 2000 以降の) 暗号キーを必要とするようになります。このポリシーを無効にすると、キーの強度はリモート サーバーとネゴシエートされます。このオプションは、すべての信頼される側のドメインのドメイン コントローラが強力なキーをサポートしている場合のみ有効化してください。既定では、この値は無効化されています。
潜在的影響
この設定が有効化された Windows 2000 を実行しているコンピュータを、Windows NT 4.0 ドメインに参加させることはできません。
Contoso 社のシナリオ
Contoso 社のシナリオでは、Windows NT 4.0 ドメインはもう残っていないため、グループ ポリシーを使用して、[セキュリティで保護されたチャネル: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする] を [有効] に設定しました。
サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する
脆弱性
この設定を有効化すると、サーバーから、SMB サービスを提供しているほかのシステムへ、パスワードがネットワーク上クリア テキストで送信される場合があります。これら他のシステムは、Windows 2000 に備えられたどの SMB セキュリティ機構も使用できません。クリアテキストは、暗号化されていないメッセージで使用される形式です。クリアテキストは、プレーンテキストとも呼ばれます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、[サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する] を [無効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
かなり旧式のアプリケーションやオペレーティング システムでは、組織内のサーバーとの通信に SMB プロトコルを使用できない場合があります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、サードパーティの SMB サーバーはないため、グループ ポリシーを使用して、[サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する] を [無効] に設定しました。
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする
脆弱性
この設定は、セキュリティ ログを監査エントリでいっぱいにしようとする DoS 攻撃を防止するために、削除されました。セキュリティ ログがいっぱいになったときにコンピュータをシャットダウンするよう設定すると、DoS を発生させる可能性があります。
この設定を [手動] にするよう推奨している文献もありますが、これによって生じる管理タスクは、ほとんどの組織にとって負担が大きすぎます。できれば、重要なイベントはすべて、MOM またはその他の自動監視ツールを使用して、監視サーバーに送信することが望まれます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で [セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] を [無効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
セキュリティ ログがいっぱいになっても、コンピュータは動作し続けます。ただし新しいイベントは記録されません。セキュリティ イベントを記録しないことで生じるリスクを軽減するには、[セキュリティ ログの保存方法] を [必要に応じて] に設定します。
Contoso 社のシナリオ
Contoso 社では、この設定を有効化することによって生じる管理タスクは負担が大きすぎると判断したため、グループ ポリシーを使用して、[セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] を [無効] に設定しました。
スマート カード取り出し時の動作
脆弱性
認証にスマート カードを使用する場合、カードが取り外されたらコンピュータが自動的にロックしなければなりません。ユーザーがワークステーションを離れるときに手動でロックするのを忘れる可能性があるため、このような設定が必要になります。ロックし忘れると、悪意を持ったユーザーがほかのユーザーのコンピュータにアクセスし、機密情報を盗んだり、コンピュータやネットワークに不正な変更を加えることができてしまいます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、[スマート カード取り出し時の動作] を [ワークステーションをロックする] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
何もしない
ワークステーションをロックする
ログオフを強制する
未定義
潜在的影響
ユーザーは、ワークステーションに戻ってくるたびに、スマートカードを再度挿入し、暗証番号 (PIN) を再入力する必要があります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、管理者がスマート カードを取り外したときにサーバーのコンソールをアクセス不可能にする必要があったため、グループ ポリシーを使用して、[スマート カード取り出し時の動作] を [ワークステーションをロックする] に設定しました。
グローバル システム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク)
脆弱性
この設定によって、オブジェクトの既定の随意アクセス制御リスト (DACL) の強度が決まります。Windows 2000 では、DOS デバイス名、ミューテックス、セマフォといった、共有システム リソースのグローバル リストが維持されます。
これにより、プロセス間でオブジェクトの位置を判断し、共有することができます。各タイプのオブジェクトは、オブジェクトにアクセスできるユーザーとそのアクセス権を指定する既定の DACL とともに作成されます。このポリシーを有効化すると既定の DACL が強化され、管理者以外のユーザーは、共有オブジェクトを読み込むことはできても、自分が作成した共有オブジェクト以外は修正できなくなります。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、[グローバル システム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク)] を [有効] に設定します。このグループ ポリシー設定で使用できる値は次のとおりです。
有効
無効
未定義
潜在的影響
なし。
Contoso 社のシナリオ
Contoso 社のサーバーのセキュリティを高めるため、グループ ポリシーを使用して、[グローバル システム オブジェクトの既定のアクセス許可を強化する (例: シンボリック リンク)] を [有効] にしました。
署名されていないドライバのインストール時の動作
脆弱性
このオプションは、署名されていないドライバのインストールを防止するか、またはインストールが行われようとしていることを管理者に警告します。これにより、Windows 2000 で実行することが認められていないドライバのインストールを防ぐことができます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、[署名されていないドライバのインストール時の動作] を [警告するがインストールは許可する] に設定します。これは、Windows 2000 の既定の設定である [未定義] とは異なります。このグループ ポリシー設定で使用できる値は次のとおりです。
警告するがインストールは許可する
インストールを許可しない
未定義
潜在的影響
Contoso 社では、管理者がより柔軟に未署名のドライバを使用できるよう、あまり厳しくない設定にしました。デバイス ドライバをインストールするのに必要な権限を持つユーザーは、未署名のデバイス ドライバをインストールできます。しかしこれにより、システム サーバーが不安定になる可能性があります。[警告するがインストールは許可する] 設定のもうひとつの問題は、無人インストール スクリプトを使用して未署名のドライバをインストールできないという点です。
Contoso 社のシナリオ
Contoso 社では、未署名のドライバをインストールすることが最善の方法であると管理者が判断したときに、それを柔軟に実行できるようにする必要がありました。このため、グループ ポリシーを使用して、[署名されていないドライバのインストール時の動作] を [警告するがインストールは許可する] に設定しました。
署名されていないドライバ以外のインストール時の動作
脆弱性
このオプションは、署名されていないアプリケーションのインストールを防止するか、またはインストールが行われようとしていることを管理者に警告します。これにより、Windows 2000 で実行することが認められていない、ドライバ以外のソフトウェアのインストールを防ぐことができます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、[署名されていないドライバ以外のインストール時の動作] を [警告なしで許可する] に設定します。これを [警告するがインストールは許可する] に設定するよう推奨している文献もあります。しかし、Exchange 2000 Server およびその他のアプリケーションを無人モードでインストールできるようにし、その他の未署名のアプリケーションによってインストールの警告が生成されるのを防止するために、ここでは、[警告なしで許可する] を推奨しています。このグループ ポリシー設定で使用できる値は次のとおりです。
警告なしで許可する
警告するがインストールは許可する
インストールを許可しない
未定義
潜在的影響
ほとんどのソフトウェア アプリケーションやサービスでは、コード署名が行われていません。未署名アプリケーション ソフトウェアから区別するほど、署名付きアプリケーション ソフトウェアはほとんどまたは全くといっていいほど存在しないため、このポリシー設定は実際の利点はありませんし、また自社の証明環境でテストされたソフトウェアのインストールも難しくなったり不可能になったりします。これは、[警告するがインストールは許可する] 設定でも停止される無人インストールの場合に特に顕著です。
アプリケーションをインストールするのに必要な権限を持っているユーザーは、デジタル署名されていないアプリケーションをインストールできます。しかしこれにより、サーバーが不安定になる可能性があります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、Exchange 2000 Server などの未署名アプリケーション ソフトウェアを無人モードでインストールできるよう、またその他の未署名アプリケーションを大量のエラー メッセージを生成することなくインストールできるよう、既定の設定を使用することにしました。このため、グループ ポリシーを使用して、[署名されていないドライバ以外のインストール時の動作] を [警告なしで許可する] に設定しました。
サービスの構成
Windows 2000 Server を最初にインストールする際、既定のサービスが作成され、システムが起動したときに実行するよう構成されます。Contoso 社のシナリオでは、これらのサービスの多くは、ネットワークで実行する必要がありません。
どのようなサービスでもアプリケーションでも、攻撃に対する弱点となり得えます。このため、不要なサービスや実行ファイルは、無効にするか、システム環境から取り除く必要があります。Windows 2000 には、証明書サービスといった追加のオプション サービスがありますが、Windows 2000 Server の標準インストールではインストールされません。
既存のシステムにこのようなオプションのサービスを追加するには、[アプリケーションの追加と削除] または Windows 2000 サーバーの構成ウィザードを使用するか、または Windows 2000 のカスタム自動インストールを作成します。MSBP では、これらのオプション サービスとその他の不要なサービスが無効化されています。
MSBP では、Windows 2000 メンバ サーバーが Windows 2000 ドメインに参加し、基本的な管理サービスを提供するために必要なサービスだけが有効化されています。各サーバーの役割に必要な個々のサービスは、第 7 章「特定サーバーの役割のハードニング」で説明しているように、役割別のグループ ポリシーを使用して有効化されます。
Contoso 社のネットワークでほかのサーバー タイプが必要になった場合は、ほかのサービスを有効化する必要があります。たとえば、Secure Socket Layer (SSL)、セキュリティ保護された電子メール、およびその他の証明書をエンド ユーザーに配布するために証明書サーバーを使用する場合は、証明書サービスをインストールする必要があります。新しいサーバーの役割に適用されるグループ ポリシーも作成して、証明書サービスを [自動] に設定する必要があります。Windows 2000 Server に含まれるすべてのサービスの目的については、付録 A 「Windows 2000 のサービスの用途」を参照してください。
注 追加のサービスを有効化することで、そのサービスが依存する別のサービスが必要となる場合があります。特定のサーバー役割に必要なサービスはすべて、組織の中で実行するそのサーバー役割のポリシー内で追加してください。
次の表に、MSBP で自動的に開始するよう構成されているサービスをまとめます。
表 6.3 MSBP で有効化されているサービス
| UI に表示されるサービスの完全名 | サービス名 | 設定の既定値 | 起動タイプ |
|---|---|---|---|
| Automatic Updates | WUAUServ | 自動 | 自動 |
| Computer Browser | Browser | 自動 | 自動 |
| DHCP Client | DHCP | 自動 | 自動 |
| Distributed Link Tracking Client | TrkWks | 自動 | 自動 |
| DNS Client | DNSCache | 自動 | 自動 |
| Event Log | EventLog | 自動 | 自動 |
| IPSEC Policy Agent(IPSEC Service) | PolicyAgent | 自動 | 自動 |
| Logical Disk Manager | Dmserver | 自動 | 自動 |
| Netlogon | Netlogon | 自動 | 自動 |
| NTLM Security Support Provider | NtLmSsps | 手動 | 自動 |
| Plug and Play | PlugPlay | 自動 | 自動 |
| Protected Storage | ProtectedStorage | 自動 | 自動 |
| Remote Procedure Call (RPC) | RpcSs | 自動 | 自動 |
| Remote Registry Service | RemoteRegistry | 自動 | 自動 |
| Security Accounts Manager | SaContoso | 自動 | 自動 |
| Server | Lanmanserver | 自動 | 自動 |
| SNMP Service | SNMP | インストールされていません | 自動 |
| System Event Notification | SENS | 自動 | 自動 |
| TCP/IP NetBIOS Helper Service | LmHosts | 自動 | 自動 |
| Terminal Services | TermService | 無効 | 自動 |
| Windows Installer | MSIServer | 手動 | 自動 |
| Windows Management Instrumentation | WinMgmt | 手動 | 自動 |
| Windows Time | W32Time | 自動 (「注」を参照) | 自動 |
| Workstation | LanmanWorkstation | 自動 | 自動 |
注 設定の既定値は、ドメイン内のサーバーの場合は自動で、サーバーがワークグループに属する場合は手動です。
次の表に、MSBP で無効化されているサービスをまとめます。
表 6.4 MSBP で無効化されているサービス
| UI に表示されるサービスの完全名 | サービス名 | 設定の既定値 | 起動タイプ |
|---|---|---|---|
| Alerter | Alerter | 自動 | 無効 |
| Application Management | AppMgmt | 手動 | 無効 |
| ClipBook | ClipSrv | 手動 | 無効 |
| Distributed Transaction Coordinator | MSDTC | 自動 | 無効 |
| Fax Service | Fax | 手動 | 無効 |
| Indexing Service | Cisvc | 手動 | 無効 |
| Internet Connection Sharing | SharedAccess | 手動 | 無効 |
| License Logging Service | LicenseService | 自動 | 無効 |
| Messenger | Messenger | 自動 | 無効 |
| NetMeeting Remote Desktop Sharing | Mnmsrvc | 手動 | 無効 |
| Network DDE | NetDDE | 手動 | 無効 |
| Network DDE DSDM | NetDDEdsdm | 手動 | 無効 |
| QoS Admission Control (RSVP) | RSVP | 手動 | 無効 |
| Remote Access Auto Connection Manager | RasAuto | 手動 | 無効 |
| Remote Access Connection Manager | RasMan | 手動 | 無効 |
| Removable Storage | NtmsSvc | 自動 | 無効 |
| Routing and Remote Access | RemoteAccess | 無効 | 無効 |
| RunAs Service | Seclogon | 自動 | 無効 |
| Smart Card | ScardSvr | 手動 | 無効 |
| Smart Card Helper | ScardDrv | 手動 | 無効 |
| Task Scheduler | Schedule | 自動 | 無効 |
| Telephony | TapiSrv | 手動 | 無効 |
| Telnet | TlntSvr | 手動 | 無効 |
| Uninterruptible Power Supply | UPS | 手動 | 無効 |
| Utility Manager | UtilMan | 手動 | 無効 |
次の表に、既定でインストールされないサービスのうち、MSBP で無効化されているものをまとめます。
表 6.5 MSBP で無効化されている既定以外のサービス
| UI に表示されるサービスの完全名 | サービス名 | 設定の既定値 | 起動タイプ |
|---|---|---|---|
| Boot Information Negotiation Layer | BINLSVC | インストールされていません | 無効 |
| Certificate Services | CertSvc | インストールされていません | 無効 |
| Cluster Service | ClusSvc | インストールされていません | 無効 |
| File Server for Macintosh | MacFile | インストールされていません | 無効 |
| FTP Publishing Service | MSFTPSVC | インストールされていません | 無効 |
| Gateway Service for Netware (「注」を参照) | NWCWorkstation | インストールされていません | 無効 |
| Internet Authentication Service | IAS | インストールされていません | 無効 |
| Message Queuing | MSMQ | インストールされていません | 無効 |
| Network News Transport Protocol (NNTP) | NntpSvc | インストールされていません | 無効 |
| On-Line Presentation Broadcast | NSLService | インストールされていません | 無効 |
| Print Server for Macintosh | MacPrint | インストールされていません | 無効 |
| QoS RSVP | RSVP | インストールされていません | 無効 |
| Remote Storage Engine | Remote_Storage_Engine | インストールされていません | 無効 |
| Remote Storage File | Remote_Storage_File_System_Agent | インストールされていません | 無効 |
| Remote Storage Media | Remote_Storage_Subsystem | インストールされていません | 無効 |
| Remote Storage Notification | Remote_Storage_User_Link | インストールされていません | 無効 |
| SAP Agent | NwSapAgent | インストールされていません | 無効 |
| Simple TCP/IP Services | SimpTcp | インストールされていません | 無効 |
| Single Instance Storage Groveler | Groveler | インストールされていません | 無効 |
| Site Server ILS Service | LDAPSVCX | インストールされていません | 無効 |
| Simple Mail Transport Protocol (SMTP) | SMTPSVC | 自動 | 無効 |
| SNMP Trap Service | SNMPTRAP | インストールされていません | 無効 |
| TCP/IP Print Server | LPDSVC | インストールされていません | 無効 |
| Terminal Services Licensing | TermServLicensing | インストールされていません | 無効 |
| Trivial FTP Daemon | TFTPD | インストールされていません | 無効 |
| Windows Media Monitor Service | nsmonitor | インストールされていません | 無効 |
| Windows Media Program Service | nsprogram | インストールされていません | 無効 |
| Windows Media Station Service | nsstation | インストールされていません | 無効 |
| Windows Media Unicast Service | nsunicast | インストールされていません | 無効 |
注 NetWare は、あらゆるタイプのネットワーク、記憶域プラットフォーム、およびクライアント デスクトップを使用して、ファイル、プリンタ、ディレクトリ、電子メール、データベースといったコア ネットワーク リソースにアクセスするための、Novell のネットワーク管理製品です。
次の表に、MSBP で手動で開始するよう構成されているサービスをまとめます。
表 6.6 MSBP で手動で開始するよう構成されているサービス
| UI に表示されるサービスの完全名 | サービス名 | 設定の既定値 | 起動タイプ |
|---|---|---|---|
| Background Intelligent Transfer Service | BITS | 手動 | 手動 |
| COM+ Event Services | EventSystem | 手動 | 手動 |
| Logical Disk Manager Administrative Service | Dmadmin | 手動 | 手動 |
| Network Connections | Netman | 手動 | 手動 |
| Performance Logs and Alerts | SysmonLog | 手動 | 手動 |
| Windows Management Instrumentation Driver Extensions | WMI | 手動 | 手動 |
次の表に、Contoso のシナリオで、特定のサーバーの役割で自動的に開始するよう構成されているサービスをまとめます。これらのサービスは、ほかのサーバー役割では、MSBP で起動モードを [無効] に設定することによって無効化されています。これらのサービスの詳細と、特定のサーバー役割で必要とされる理由については、第 7 章「特定サーバーの役割のハードニング」で詳しく解説します。
表 6.7 MSBP で特定のサーバー役割で有効化されているサービス
| UI に表示されるサービスの完全名 | サービス名 | 設定の既定値 | 起動タイプ |
|---|---|---|---|
| DHCP Server | DHCPServer | インストールされていません | インフラストラクチャ役割でのみ有効化されています。 |
| Distributed File System | Dfs | 自動 | ドメイン コントローラ役割でのみ有効化されています。 |
| Distributed Link Tracking Server | TrkSrv | 自動 | ドメイン コントローラ役割でのみ有効化されています。 |
| DNS Server | DNS | インストールされていません | ドメイン コントローラ役割でのみ有効化されています。 |
| File Replication | NtFrs | 手動 | ドメイン コントローラ役割でのみ有効化されています。 |
| IIS Admin Service | IISADMIN | 自動 | IIS 役割で有効化されています。 |
| Intersite Messaging | IsmServ | 無効 | ドメイン コントローラ役割で有効化されています。 |
| Kerberos Key Distribution Center | Kdc | 無効 | ドメイン コントローラ役割でのみ有効化されています。 |
| Print Spooler | Spooler | 自動 | ファイルと印刷役割でのみ有効化されています。 |
| Remote Procedure Call (RPC) Locator | Rpclocator | 手動 | ドメイン コントローラ役割でのみ有効化されています。 |
| Windows Internet Name Service (WINS) | WINS | インストールされていません | インフラストラクチャ役割でのみ有効化されています。 |
| World Wide Web Publishing Service | W3svc | 自動 | IIS 役割でのみ有効化されています。 |
ここまでの表で紹介した Windows 2000 Server サービスのいくつかについて、以下に詳しく説明します。
Computer Browser
脆弱性
Computer Browser サービスは、ネットワーク上のコンピュータのリストを保持し、プログラムからの要求に応じてリストを供給します。Computer Browser サービスは、ネットワークのドメインとリソースを表示する必要のある、Windows ベースのコンピュータによって使用されます。
対策
Computer Browser サービスの起動モードを [自動] に設定してサービスを有効化します。このグループ ポリシー設定で使用できる値は次のとおりです。
自動
手動
無効
未定義
潜在的影響
Contoso サーバーと同じ物理ネットワーク セグメントに接続しているコンピュータは、Computer Browser サービスにリモートでアクセスしてドメインとリソースのリストを表示できます。
Contoso 社のシナリオ
Contoso 社のシナリオのネットワークでは、フォレスト内のサービスを列挙するために Computer Browser サービスを使用します。このため、グループ ポリシーを使用して、Computer Browser サービスの起動モードを [自動] に設定しました。
NTLM Security Support Provider
脆弱性
NTLM Security Support Provider サービスは、名前付きパイプ以外のトランスポートを使用する RPC プログラムのセキュリティを高め、ユーザーが NTLM 認証プロトコルを使ってログオンできるようにします。
対策
NTLM Security Support Provider サービスの起動モードを [自動] に設定してサービスを有効化します。このグループ ポリシー設定で使用できる値は次のとおりです。
自動
手動
無効
未定義
潜在的影響
このサービスは、このサービスが実行されていることを確認するアプリケーションとの下位互換性を保つために Windows 2000 Server に含まれています。現在この機能は、コア オペレーティング システムに含まれています。
Contoso 社のシナリオ
Contoso 社のシナリオで使用されるサーバーでは、このサービスを必要とするサードパーティ エージェントを実行します。このため、グループ ポリシーを使用して、NTLM Security Support Provider サービスの起動モードを [自動] に設定しました。
SNMP Service
脆弱性
多くの場合、管理アプリケーションを使用するには、各サーバーにエージェントがインストールされている必要があります。通常このようなエージェントは、Simple Network Management Protocol (SNMP) を使用して、中央管理サーバーに警告を転送します。
対策
SNMP Service サービスの起動モードを [自動] に設定してサービスを有効化します。このグループ ポリシー設定で使用できる値は次のとおりです。
自動
手動
無効
未定義
潜在的影響
マイクロソフト製品で使用される既定のコミュニティ名は Public であるため、SNMP Service を有効にすると、それ自身がリスクにさらされることになります。SNMP は、サーバーから値を読み取るだけでなく、情報を修正する機能も提供します。コミュニティ名はパスワードのようなものであり、同程度のセキュリティ保護を必要とします。このリスクを軽減するには、この章の後半で説明されているように、コミュニティ名を手動で変更します。
SNMP Service を有効化することで生じるもうひとつのリスクは、トラフィックがクリアテキストで送信されるという点です。Contoso 社のシナリオのネットワーク上でトラフィックをスニッフィングできる攻撃者は、SNMP パケットを表示できてしまいます。
Contoso 社のシナリオ
Contoso 社のシナリオでサーバーにインストールされた MOM エージェントは、このサービスに依存します。このため、グループ ポリシーを使用して、SNMP Service の起動モードを [自動] に設定しました。
Terminal Services
脆弱性
サーバーをリモートで管理すると、時間と経費の節約になります。サポート スタッフは、サーバーを管理するためにコンソールの場所まで物理的に移動しなくても、サーバーに接続して管理タスクを実行できるようになります。これは、巨大な分散ネットワークでは特に重要です。
対策
Terminal Services の起動モードを [自動] に設定してサービスを有効化します。このグループ ポリシー設定で使用できる値は次のとおりです。
自動
手動
無効
未定義
潜在的影響
転送制御プロトコル (TCP) ポート 3389 に接続できる攻撃者は、Remote Desktop Protocol (RDP) 接続を確立することができます。しかしそのためには、サーバーにログオンするのに必要な権限を持ったアカウントのユーザー名とパスワードが必要です。Contoso 社のサーバーで実行されているほかのセキュリティ設定により、攻撃者が RDP 接続と Terminal Services を介してブルートフォース攻撃を実行するのは非常に難しく、また時間がかかります。
Contoso 社のシナリオ
このような理由により、Contoso 社のシナリオでは、サーバーに Terminal Services サービスがインストールされ、有効化されています。グループ ポリシーを使用して、Terminal Services の起動モードを [自動] に設定しました。
Windows Management Instrumentation
脆弱性
Windows Management Instrumentation (WMI) サービスは、コンピュータ管理を使用する論理ディスクを管理するために必要です。このサービスは、パフォーマンスの警告も支援します。また、ほかのさまざまなアプリケーションやツールが WMI を使用します。
対策
Windows Management Instrumentation サービスの起動モードを [自動] に設定してサービスを有効化します。このグループ ポリシー設定で使用できる値は次のとおりです。
自動
手動
無効
未定義
潜在的影響
WIM インターフェイスが有効化されると、システムへのアクセスを取得した攻撃者は、それらのインターフェイスを利用して、サーバーにインストールされているハードウェアおよびソフトウェアに関する多くの情報を入手できます。
Contoso 社のシナリオ
Contoso 社のシナリオでは、サーバーを WMI によって管理する必要があります。このため、グループ ポリシーを使用して、Windows Management Instrumentation サービスの起動モードを [自動] に設定しました。
Messenger Service and Alert Service
脆弱性
これらのサービスは、明示的に相互依存していませんが、協調動作して管理の警告を送信します。Messenger Service は、Alert サービスによってトリガされた警告を送信します。パフォーマンス ログと警告を使用して警告をトリガしている場合は、組織内のサーバー上でこれらのサービスを有効化する必要があります。
対策
Messenger Service and Alert Service の起動モードを [無効] に設定することで、このサービスを無効化します。このグループ ポリシー設定で使用できる値は次のとおりです。
自動
手動
無効
未定義
潜在的影響
自動管理警告は送信されず、コンピュータおよびそれに現在ログオンしているユーザーは、メッセンジャ通知の送受信を実行できません。たとえば、NET SEND コマンドと NET NAME コマンドは機能しなくなります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、これらのサービスは必要ありません。このため、グループ ポリシーを使用して、Messenger Service and Alert Service の起動モードを [無効] に設定しました。
レジストリ アクセス制御リスト
Windows 2000 Server のレジストリに適用される、アクセス制御リスト (ACL) と呼ばれる既定のアクセス許可は、Windows NT 4.0 のものよりも非常に高いセキュリティを提供します。しかし、アプリケーションの互換性の問題が生じる危険性を大幅に増加させずにさらに強化することができます。MSBP は、hisecws.inf で定義されたレジストリ ACL を変更しません。これらの ACL は、認証されていないユーザー、Standard Users、および Power Users がレジストリに対して持つアクセス レベルを低下させます。このような変更により、管理者特権を持たない攻撃者がレジストリに不正な変更を加えることが非常に難しくなります。レジストリ ACL に適用される変更の完全なリストについては、付録 B 「レジストリのアクセス制御の変更」を参照してください。
重要 既存の ACL に変更を加える前に、お使いの環境で十分なテストを行ってください。
hisecws.inf で定義される ACL は主に、Windows NT 4.0 ベースの環境との下位互換性を維持するために既定で作成される Power Users グループに変更を加えます。テンプレートを使用することで、Power Users グループに、Windows 2000 の Users グループと同じアクセス許可を持たせることができます。
注 Power Users グループは、ドメイン コントローラでは定義されません。
ファイル アクセス制御リスト
hisecws.inf セキュリティ テンプレートのファイル システム アクセス許可 ACL では、ローカルの管理者しかシステムにアクセスできないため、Contoso 社のシナリオでは実装されていません。このロックダウンにより、管理対象のアプリケーションでこのレベルの権限を必要としていない場合でも、すべての管理者が強制的にローカル管理者となります。管理特権を持つユーザーのみがサーバーのコンソールにログオンできるようにしたい場合は、付録 C 「オプションのファイル システムのアクセス許可」と、オプションのセキュリティ テンプレートである、Optional File System ACLs.inf テンプレートを参考に検討してください。
その他のレジストリ設定
Contoso 社のシナリオのサーバーでは、ベースライン セキュリティ テンプレート ファイルに、管理用テンプレート (.adm) ファイルで定義されていないレジストリ値エントリが追加されました。.adm ファイルでは、Windows 2000 Server のデスクトップ、シェル、およびセキュリティのシステム ポリシーと制限が定義されます。
このため、マイクロソフト管理コンソール (MMC) セキュリティ テンプレート スナップインをロードして baseline.inf テンプレートを表示しても、次の表のレジストリ値は表示されません。その代わり、これらの設定は Windows に含まれるメモ帳 (テキスト エディタ) を使って .inf ファイルに追加されています。これらは、ポリシーがダウンロードされたときにサーバーに適用されます。
これらの設定は、変更を自動化するため、baseline.inf セキュリティ テンプレートに埋め込まれています。ポリシーが削除されても、これらの設定が一緒に自動的に削除されることはありませんので、Regedt32.exe などのレジストリ編集ツールを使用して手動で変更する必要があります。
ネットワーク攻撃に対するセキュリティ上の注意点
脆弱性
転送制御プロトコル/インターネット プロトコル (TCP/IP) スタックへの DoS 攻撃には、主に 2 つの種類があります。ひとつは、多数の TCP 接続を開くといった、大量のシステム リソースを使用するものです。もうひとつは、ネットワーク スタックまたはオペレーティング システム全体に障碍を起こすように特別に作られたパケットを送信するものです。レジストリ設定を使用することで、TCP/IP スタックに向けられた攻撃を防止できます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、下の表 6.8 および 6.9 に示した値を設定してください。DoS 攻撃には、Web サーバーを通信であふれさせてビジー状態にするものや、リモート ネットワークを大量のプロトコル パケットであふれさせるものなどがあります。各パケットをルーティングまたは処理するため、ルータとサーバーがオーバーロードします。
DoS 攻撃を防止するのは困難です。このため、TCP/IP プロトコル スタックを強化します。このレジストリ値はベースライン セキュリティ テンプレート ファイルに追加されていますが、管理テンプレート (.adm) ファイル内では定義されていません。このため、MMC セキュリティ テンプレート スナップインをロードして baseline.inf テンプレートを表示しても、レジストリ値は表示されません。その代わり、これらの設定はテキスト エディタを使って .inf ファイルに追加できます。その後、ポリシーがダウンロードされるとこれらの設定がサーバーに適用されます。
潜在的影響
この対策の潜在的影響については、下の表 6.10 を参照してください。
Contoso 社のシナリオ
Contoso 社のシナリオでは、グループ ポリシーを使用してこれらのレジストリ設定を実行し、標準タイプの DoS ネットワーク攻撃に備えて Windows 2000 TCP/IP スタックを強化しました。
以下のレジストリ値エントリが、テンプレート ファイルの HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ レジストリ キーに追加されました。
表 6.8 レジストリに追加された MSBP TCP/IP パラメータ
| レジストリ値エントリ | 形式 | 値 (10進数) |
|---|---|---|
| EnableICMPRedirect | DWORD | 0 |
| SynAttackProtect | DWORD | 2 |
| EnableDeadGWDetect | DWORD | 0 |
| EnablePMTUDiscovery | DWORD | 0 |
| KeepAliveTime | DWORD | 300,000 |
| DisableIPSourceRouting | DWORD | 2 |
| TcpMaxConnectResponseRetransmissions | DWORD | 2 |
| TcpMaxDataRetransmissions | DWORD | 3 |
| PerformRouterDiscovery | DWORD | 0 |
| TCPMaxPortsExhausted | DWORD | 5 |
ファイル転送プロトコル (FTP) サーバーや Web サーバーといった Windows Sockets アプリケーションの接続試行は、Afd.sys によって処理されます。Afd.sys は、正当なクライアントのアクセスを拒否せず、ハーフオープンの状態で多数の接続をサポートできるよう改良されました。
これは、管理者が動的バックログを設定できるようにすることで実行できます。新しいバージョンの Afd.sys は、動的バックログ動作を制御するために使用できる 4 つの新しいレジストリ パラメータをサポートします。
以下のレジストリ値エントリが、テンプレート ファイルの HKLM\System\CurrentControlSet\Services\AFD\Parameters\ レジストリ キーに追加されました。
表 6.9 レジストリに追加された MSBP Afd.sys 設定
| レジストリ値エントリ | 形式 | 値 (10進数) |
|---|---|---|
| DynamicBacklogGrowthDelta | DWORD | 10 |
| EnableDynamicBacklog | DWORD | 1 |
| MinimumDynamicBacklog | DWORD | 20 |
| MaximumDynamicBacklog | DWORD | 20000 |
潜在的影響
表 6.10 対策による影響と不正利用の可能性
| レジストリ値エントリ | 対策による潜在的影響 | 不正利用の可能性 |
|---|---|---|
| EnableICMPRedirect | Routing and Remote Access Services (RRAS) が自律システム境界ルーター (ASBR) として構成されている場合、接続されたインターフェイス サブネット ルートを正常にインポートできません。 その代わりこのルーターは、ホストルーターを Open Shortest Path First (OSPF) ルートに挿入します。OSPF ルーターを ASBR ルーターとして使うことはできないため、接続されたインターフェイス サブネット ルートを OSPF にインポートすると、未知のルーティング パスによってルーティング テーブルが混乱します。 | Internet Control Message Protocol (ICMP) のリダイレクトにより、スタックがホスト ルートに組み込まれます。これらのルートは、OSPF 生成ルートを上書きします。 これ自身は予期される動作です。しかし問題は、ICMP リダイレクト組み込みルートの 10 分のタイムアウト期限により、関係するネットワークにブラック ホールができてしまうことです。 |
| SynAttackProtect | このレジストリ値により、TCP が SYN-ACK の再転送を調整します。この値を設定すると、SYN 攻撃が発生した際、接続応答がすばやくタイムアウトになります。 またこの値により、接続通知が遅延され、SYN 攻撃の進行中は、TCP 接続要求がすばやくタイムアウトになります。 この設定を行うと、各アダプタ (Initial Round Trip Time (RTT) とウィンドウ サイズ) ソケット オプションで構成されたスケーラブル ウィンドウと TCP パラメータが動作しなくなります。 | SYN フラッド攻撃では、攻撃者がサーバーに SYN パケットのストリームを連続的に送信するため、サーバーは応答不能になるまでハーフオープン接続を開いたままにし、正当な要求に応答できなくなります。 |
| EnableDeadGWDetect | 停止しているゲートウェイの検出を有効化すると、多数の接続に問題が発生したときに、TCP が、バックアップ ゲートウェイを変更するよう IP に要求します。 この設定の値を 0 に指定すると、Windows は停止しているゲートウェイを検出せず、自動的に別のゲートウェイに切り替えます。 | 攻撃者は、サーバーがゲートウェイを切り替えるよう強制することができます。これにより、意図しないゲートウェイに切り替えられる場合があります。 |
| EnablePMTUDiscovery | [EnablePMTUDiscovery] を 1 に設定すると、TCP は、リモート ホストへのパスの最大伝送単位 (MTU) または最大パケット サイズを検出しようとします。 TCP は、パスの MTU を検出し、TCP セグメントをそのサイズに限定することにより、異なる MTU でネットワークを接続しているパス上のルーターで断片化が行われること防止できます。 断片化によって、TCP スループットに悪影響が及ぼされることがあります。この値を 0 に設定すると、ローカル サブネット上のホストでないすべての接続に対し、576 バイトという MTU が使用されます。 | この値を 0 に設定しないと、攻撃者が MTU を非常に小さな値に変更し、サーバーに大量のパケットを断片化させることで、スタックに多大な負荷をかける可能性があります。 |
| KeepAliveTime | この値は、TCP が keep-alive パケットを送信してアイドル状態の接続がそのままであることを確認する頻度を指定します。リモート コンピュータがまだ利用可能な場合は、keep-alive パケットの確認を行います。 既定では keep-alive パケットは送信されません。プログラムを使用してこの値を接続上で設定できます。この値を既定の 2 時間から 5 分に変更すると、非アクティブなセッションがより早く接続解除されます。 | ネットワーク アプリケーションに接続できた攻撃者は、数多くの接続を確立することで、DoS を発生させることができます。 |
| DisableIPSourceRouting | IP ソース ルーティングは、データグラムがネットワークを通過する際に使用すべき IP ルートを送信者が決定するための機構です。この値を 2 に指定すると、受信するすべてのソース ルーティングされたパケットがドロップされます。 | 攻撃者はソース ルーティング パケットを利用して、自身の ID と発信場所を隠すことができます。 ソース ルーティングにより、パケットを送信しているコンピュータが、パケットのルートを指定できます。 |
| TCPMaxConnectResponseRetransmissions | このパラメータでは、SYN が確認されない場合に、接続要求に応えて SYN-ACK が再送信される回数を指定します。 この値を 2 以上に指定すると、スタックは、内部的に SYN-ATTACK 保護を使用します。この値を 2 以下に指定すると、スタックは、SYN-ATTACK 保護のレジストリ値を一切読み取りません。このパラメータにより、ハーフオープンの TCP 接続をクリーンアップするのに要する既定の時間が短縮されます。 激しい攻撃にさらされているサイトでは、1 のような低い値にすべき場合もあります。0 も有効な値です。ただしこのパラメータを 0 に設定すると、SYN-ACK は一切再送信されず、3 秒でタイムアウトになります。このような低い値にすると、遠方のクライアントから要求された正当な接続も実行できない場合があります。 | SYN フラッド攻撃では、攻撃者がサーバーに SYN パケットのストリームを連続的に送信するため、サーバーは応答不能になるまでハーフオープン接続を開いたままにし、正当な要求に応答できなくなります。 |
| TCPMaxData Retransmissions | 各送信セグメントが IP に渡される際、TCP が再送信タイマを開始します。タイマが切れる前に特定のセグメントのデータについて確認が受信されないと、セグメントは 3 回まで再送信されます。 | SYN フラッド攻撃では、攻撃者がサーバーに SYN パケットのストリームを連続的に送信するため、サーバーは応答不能になるまでハーフオープン接続を開いたままにし、正当な要求に応答できなくなります。 |
| PerformRouterDiscovery | これは、Internet Router Discovery Protocol (IRDP) をサポートする Windows 2000 が、コンピュータ上でのデフォルト ゲートウェイ アドレスを自動的に検出および構成することを防止するために設定します。 | 同じネットワーク セグメントにあるシステムの制御を獲得した攻撃者は、ネットワーク上のコンピュータをルーターに見せかけることができます。 そうすると、IRDP が有効化されたほかのコンピュータは、セキュリティが破られたシステムにトラフィックをルーティングしてしまいます。 |
| TCPMaxPortsExhausted | このパラメータでは、SYN-ATTACK 保護の実行開始点を指定します。SYN-ATTACK 保護は、接続で可能なバックログが 0 に設定されているため、システムが TCPMaxPortsExhausted 接続要求を拒否したときに動作が開始します。 これは、正当な方法で使用を試みるサーバーやシステムにはほとんど影響がありません。 | SYN フラッド攻撃では、攻撃者がサーバーに SYN パケットのストリームを連続的に送信するため、サーバーは応答不能になるまでハーフオープン接続を開いたままにし、正当な要求に応答できなくなります。 |
| AFD 設定: DynamicBacklogGrowthDelta EnableDynamicBacklog MinimumDynamic Backlog MaximumDynamic Backlog | FTP サーバーや Web サーバーといった Windows Sockets アプリケーションの接続試行は、Afd.sys によって処理されます。Afd.sys は、正当なクライアントのアクセスを拒否せず、ハーフオープンの状態で多数の接続をサポートできるよう改良されました。 これは、管理者が動的バックログを設定できるようにすることで実行できます。DynamicBacklogGrowthDelta は、追加の接続が必要となったときに作成する空き接続を指定します。この値を大きくしすぎると、空き接続の割り当て量が膨大になりますので注意してください。 | SYN フラッド攻撃では、攻撃者がサーバーに SYN パケットのストリームを連続的に送信するため、サーバーは応答不能になるまでハーフオープン接続を開いたままにし、正当な要求に応答できなくなります。 |
NetBIOS 名前解放セキュリティの構成
NetBIOS (ネットワーク基本入出力システム) over TCP/IP はネットワーク プロトコルの 1 つで、さまざまな機能に加え、Windows ベースのシステムに登録されている NetBIOS 名を、それらのシステム上で構成されている IP アドレスに簡単に解決する方法も提供しています。
脆弱性
NetBIOS over TCP/IP (NetBT) プロトコルは、認証のためのプロトコルではないため、スプーフィングには対抗できません。悪意を持ったユーザーはこの特性を悪用して、名前が競合するデータグラムをターゲット コンピュータに送信することで、名前を放棄させ、問合せへの応答を停止させる可能性があります。
このような攻撃により、ターゲット システム上で接続が断続的になったり、[ネットワーク コンピュータ]、ドメイン ログオン、net send コマンドが使用できなくなったり、以後の NetBIOS 名前解決が不可能になったりします。
詳細については、サポート技術情報の 269239「NetBIOS の脆弱性により、ネットワークの競合で名前が重複する」を参照してください。
対策
サポート技術情報の 269239 で推奨されているレジストリの変更内容をテストし、実行してください。レジストリ値 NoNameReleaseOnDemand を適用して 1 に設定すると、サーバーは、そのサーバーのネットワーク設定で構成された WINS サーバー以外のコンピュータから送信された名前解放要求に応じなくなります。
また、環境全体で Windows インターネット ネーム サービス (WINS) を無効化すれば、すべてのアプリケーションが、名前解決サービスを DNS に依存するようになります。これは長期的戦略としてはお勧めできますが、ほとんどの企業の環境では、短期的な解決策としては適していません。今も WINS を実行している組織の場合、そのアプリケーション依存性は、アップグレードやソフトウェアのロールアウトなしには解決できません。これらを実行するには、慎重な計画と長い期間が必要です。
この対策を実行できないながら NetBIOS 名前解決を確実に使用したい場合は、特定のコンピュータ上で、LMHOSTS ファイル内に NetBIOS 名をプリロードする方法があります。サポート技術情報の 269239 に、LMHOSTS ファイルをプリロードする方法について詳しく説明されています。
注 ほとんどの環境において、LMHOSTS ファイルを更新するには、高い保守率が必要になります。マイクロソフトでは、LMHOSTS で WINS を使用することを推奨しています。
潜在的影響
攻撃者は、コンピュータに、それ自身の NetBIOS 名を解放するよう求める要求をネットワークを介して送信できます。アプリケーションに影響を及ぼす可能性のあるほかのすべての変更と同様、マイクロソフトでは、業務環境でこの変更を行う前に非業務環境でテストすることを推奨しています。
Contoso 社のシナリオ
Contoso 社のシナリオでは、現在でも NetBIOS ネーム サービスをサポートする必要があります。この修正プログラムがすべてのサーバーに展開され、Incremental Infrastructure サーバー ポリシーを使用してレジストリが更新されました。
以下のレジストリ値エントリが、テンプレート ファイルの HKLM\System\CurrentControlSet\Services\Netbt\Parameters\ レジストリ キーに追加されました。
表 6.11 NetBIOS 名前解放保護を構成するためにレジストリに追加された MSBP 設定
| レジストリ キー | 形式 | 値 (10進数) |
|---|---|---|
| NoNameReleaseOnDemand | DWORD | 1 |
8.3 ファイル名の自動生成の無効化
脆弱性
Windows 2000 は、16 ビット アプリケーションとの下位互換性を維持するため、8.3 ファイル名形式をサポートしています。8.3 ファイル名規則とは、8 文字以内でファイル名を付けられる名前付け形式です。
このため、攻撃者は、元のファイル名が 20 文字であったとしても、最初の 8 文字だけでそのファイルを指定できてしまいます。たとえば、Thisisalongfilename.doc というファイル名も、8.3 ファイル名形式では Thisis~1.doc で参照可能です。16 ビット アプリケーションを使用しない場合は、この機能をオフにできます。NTFS パーティションで短い名前の生成を無効化すると、ディレクトリ列挙のパフォーマンスも向上します。
本来長いファイル名を持ち、通常は見つけ出すのが困難なデータ ファイルやアプリケーションでも、短いファイル名が有効化されていれば、攻撃者はより簡単にそれらにアクセスできてしまいます。ファイル システムへのアクセス権を獲得した攻撃者は、データにアクセスしたり、アプリケーションを実行したりできます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で NtfsDisable8dot3NameCreation の値を 1 に設定します。このレジストリ値はベースライン セキュリティ テンプレート ファイルに追加されていますが、.adm ファイル内では定義されていません。このため、MMC セキュリティ テンプレート スナップインをロードして baseline.inf テンプレートを表示しても、レジストリ値は表示されません。その代わり、これらの設定はテキスト エディタを使って .inf ファイルに追加できます。その後、ポリシーがダウンロードされるとこれらの設定がサーバーに適用されます。
潜在的影響
組織内で使用している 16 ビット アプリケーションは、8.3 より長い名前のファイルにアクセスできなくなります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、グループ ポリシーを使用して、NtfsDisable8dot3NameCreation の値を 1 に設定しました。
以下のレジストリ値エントリが、テンプレート ファイルの HKLM\System\CurrentControlSet\Control\FileSystem\ レジストリ キーに追加されました。
表 6.12 8.3 ファイル名作成を無効にするためにレジストリに追加された MSBP 設定
| レジストリ キー | 形式 | 値 (10進数) |
|---|---|---|
| NtfsDisable8dot3NameCreation | DWORD | 1 |
注 この設定を適用したサーバーに、自動的に 8.3 ファイル名が生成されたファイルがすでに存在する場合、それらが削除されることはありません。既存の 8.3 ファイル名を削除するには、それらのファイルをサーバーから別の場所にコピーし、オリジナルの場所から削除し、その後オリジナルの場所に再度戻す必要があります。
自動実行の無効化
脆弱性
自動実行は、メディアがコンピュータに挿入されるとすぐにドライブからの読み込みを開始する機能です。これにより、プログラムのセットアップ ファイルや、オーディオ メディアの音声が即座に開始されます。メディアが挿入されたときに不正なプログラムが起動しないよう、グループ ポリシーでは、すべてのドライブで自動実行を無効にしています。
システムに物理的にアクセスできる攻撃者は、自動実行が有効化された DVD や CD をコンピュータに挿入することで、不正なコードを自動的に起動させることができてしまいます。攻撃者は、任意のコードをこの不正プログラムに含めることができます。
対策
サーバーの親 OU にリンクされるグループ ポリシー内で、NoDriveTypeAutoRun の値を 16 進数の 0xFF に設定します。このレジストリ値はベースライン セキュリティ テンプレート ファイルに追加されていますが、.adm ファイル内では定義されていません。このため、MMC セキュリティ テンプレート スナップインをロードして baseline.inf テンプレートを表示しても、レジストリ値は表示されません。その代わり、これらの設定は テキスト エディタを使って .inf ファイルに追加できます。これらは、ポリシーがダウンロードされたときにサーバーに適用されます。
潜在的影響
自動実行が有効化されたディスクをコンピュータに挿入しても、自動実行が作動しません。
Contoso 社のシナリオ
Contoso 社のシナリオでは、グループ ポリシーを使用して、テンプレート ファイルの HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ キーに次のレジストリ値エントリを追加しました。
表 6.13 すべてのドライブで自動実行を無効化するためにレジストリに追加された MSBP 設定
| レジストリ値エントリ | 形式 | 値 (16進数) |
|---|---|---|
| NoDriveTypeAutoRun | DWORD | 0xFF |
OS/2 と POSIX サブシステムの削除
脆弱性
サーバーが OS/2 クライアントと頻繁に通信する場合は、OS/2 Subsystem が必要です。OS/2 は、Intel 80286 および 80386 プロセッサ ベースのパーソナル コンピュータ用の、マイクロソフト保護モード、仮想メモリ、マルチタスク オペレーティング システムのファミリーです。POSIX (Portable Operating System Interface for UNIX) は、一連のオペレーティング システム サービスを定義した IEEE (Institute of Electrical and Electronic Engineers) の標準規格です。
このサブシステムは、複数のログイン間でプロセスが保持されるというセキュリティ リスクの原因となる場合があります。つまり、あるユーザーがプロセスを開始し、その後ログアウトした場合に、そのプロセスが次にシステムにログインしたユーザーからアクセスできる可能性が生じます。また、最初のユーザーが開始したプロセスに、そのユーザーのシステム特権が保持されることがあります。
対策
OS/2 サブシステムを無効化するため、サーバーの親 OU にリンクされるグループ ポリシー内で、Optional、OS/2、および POSIX レジストリ キーが削除されました。これらのレジストリ サブキーを削除するコマンドがベースライン セキュリティ テンプレート ファイルに追加されましたが、これらは .adm ファイル内では定義されていません。
このため、MMC セキュリティ テンプレート スナップインをロードして baseline.inf テンプレートを表示しても、レジストリの変更は表示されません。その代わり、これらの設定はテキスト エディタを使って .inf ファイルに追加できます。その後、ポリシーがダウンロードされるとこれらの設定がサーバーに適用されます。
潜在的影響
OS/2 または POSIX サブシステムに依存するアプリケーションは動作しなくなります。たとえば、Microsoft Services for Unix (SFU) 3.0 は、POSIX サブシステムの更新バージョンをインストールしますが、これは Optional と POSIX の両方のサブキーを必要とします。このため、SFU 3.0 を使用するサーバーについては、セキュリティ テンプレートから、これらのサブキーを取り外す行を削除する必要があります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、グループ ポリシーを使用して、セキュリティ テンプレートにエントリを追加し、HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems レジストリ キーの以下のサブキーを削除しました。
オプション
OS/2
POSIX
スクリーン セーバーのパスワード保護を即座に実行
脆弱性
スクリーン セーバーがロックされるまでの猶予期間は、既定では 5 秒に設定されています。猶予期間を既定の設定のままにしておくと、ロックされる前にだれかがコンソールのところにいってシステムへのログインを試みることができてしまい、コンピュータの脆弱性の要因となります。レジストリのエントリを変更して、この遅延時間を修正することができます。
対策
パスワード保護を即座に有効にするには、ScreenSaverGracePeriod の値を 0 に設定します。この値は、スクリーン セーバーの猶予期間が切れるまでの秒数です。
潜在的影響
スクリーン セーバーがアクティブになるとすぐにロックされるため、コンソール セッションを再開するためにはパスワードを入力しなければなりません。
Contoso 社のシナリオ
Contoso 社のシナリオでは、テンプレートの HKLM\SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ScreenSaverGracePeriod\ キーに次のレジストリ値エントリを追加しました。
表 6.14 スクリーン セーバー パスワード保護を即座に有効にするためにレジストリに追加された MSBP 設定
| レジストリ値エントリ | 形式 | 値 (10進数) |
|---|---|---|
| ScreenSaverGracePeriod | 文字列 | 0 |
カーネル オブジェクト属性の保護
脆弱性
この設定により、オブジェクト マネージャは、前の呼び出し側がカーネル モードであった場合に限り、現在のプロセスのオブジェクト テーブルにあるカーネル オブジェクトの属性を変更できます。
対策
システム レジストリ内で EnhancedSecurityLevel オプションを設定し、値を 1 にします。
潜在的影響
大きな問題は報告されていませんが、カーネルに直接アクセスしようとする旧型のアプリケーションのパフォーマンスや安定性に影響が生じる可能性があります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、グループ ポリシーを使用して、テンプレート ファイルの HKLM\SYSTEM\CurrentControlSet\Control\ Session Manager キーに次のレジストリ値エントリを追加しました。
表 6.15 カーネル オブジェクト属性を保護するためにレジストリに追加された MSBP 設定
| レジストリ値エントリ | 形式 | 値 (10進数) |
|---|---|---|
| EnhancedSecurityLevel | DWORD | 1 |
Null セッション アクセスの制限
脆弱性
Null セッションは、お使いの環境のコンピュータ上にあるさまざまな共有を通じて悪用される可能性のある、弱点です。
対策
RestrictNullSessAccess を追加して値を 1 に設定することで、コンピュータの共有への Null セッション アクセスを修正します。これは、Null セッション共有のオンとオフを切り替えて、ユーザー名とパスワードの認証なしにシステム アカウントにログオンしたクライアントに対してサーバー サービスがアクセスを制限するかどうかを指定するレジストリ値です。
潜在的影響
この値を 1 に設定すると、非認証のユーザーへの Null セッション アクセスは、NullSessionPipes および NullSessionShares エントリにリストした以外のすべてのサーバー パイプおよび共有に限定されます。
Contoso 社のシナリオ
Contoso 社のシナリオでは、グループ ポリシーを使用して、テンプレート ファイルの HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\ キーに次のレジストリ値エントリを追加しました。
表 6.16 Null セッション アクセスを制限するためにレジストリに追加された MSBP 設定
| レジストリ値エントリ | 形式 | 値 (10進数) |
|---|---|---|
| RestrictNullSessAccess | DWORD | 1 |
名前付きパイプを介した Null セッション アクセスの制限
脆弱性
名前付きパイプを介したアクセスの制限は、ネットワークへの不正アクセス防止に役立ちます。
対策
HKLM\SYSTEM\CurrentControlSet\ Services\lanmanserver\parameters にあるレジストリ サブキー NullSessionPipes および NullSessionShares を削除します。
潜在的影響
名前付きパイプを介した Null セッション アクセスが不可能になるため、この機能に依存するアプリケーションが使用できなくなります。共有への Null セッション アクセスが不可能になり、ネットワーク共有への非認証アクセスを必要とするアプリケーションは動作しなくなります。たとえば、Microsoftョ Commercial Internet System 1.0 では、Internet Mail Service は Inetinfo プロセスの下で実行されます。Inetinfo は、システム アカウントと関連して起動します。Internet Mail Service が Microsoftョ SQL Server" データベースに問合せを行う際、Null 資格情報を使用して SQL Server コンピュータを実行しているコンピュータの SQL パイプにアクセスするシステム アカウントを使用します。
この問題を解決するには、2 つの方法があります。1 つは、World Wide Web Publishing Service を、SQL Server データベースに接続できる System 以外のアカウントで実行するよう設定する方法です。もう 1 つは、Null セッション パイプを有効化する方法です。詳細については、https://support.microsoft.com/kb/207671 にあるマイクロソフト サポート技術情報の 207671「IIS からネットワーク ファイルへのアクセス方法」を参照してください。
Contoso 社のシナリオ
Contoso 社のシナリオでは、グループ ポリシーを使用して、セキュリティ テンプレートにエントリを追加し、HKLM\SYSTEM\CurrentControlSet\ Services\lanmanserver\parameters レジストリ キーの以下のサブキーを削除しました。
NullSessionPipes
NullSessionShares
許容限界に近付いたセキュリティ ログの警告
脆弱性
Windows 2000 SP3 には、セキュリティ ログがユーザー定義のしきい値に達したときに、セキュリティ イベント ログにセキュリティ監査を生成する新機能が追加されています。セキュリティ ログが許容量の 90% に達すると、イベント ID 523 として、「The security event log is 90 percent full.」というテキストを含むイベント エントリが表示されます。"
対策
この機能を有効化するには、HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security キー内で、WarningLevel という新しいレジストリ DWORD 値を追加して、値を 90 に設定します。
潜在的影響
この設定により、監査ログがしきい値の 90% に達したときに、監査イベントが生成されます。
Contoso 社のシナリオ
Contoso 社のシナリオでは、グループ ポリシーを使用して、テンプレート ファイルの HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ キーに次のレジストリ値エントリを追加しました。
表 6.17 許容限界に近付いたセキュリティ ログの警告を有効化するためにレジストリに追加された MSBP 設定
| レジストリ値エントリ | 形式 | 値 (10進数) |
|---|---|---|
| WarningLevel | DWORD | 90 |
ワークステーションのロックの解除時に、ドメイン コントローラ認証を必要とする
脆弱性
コンピュータは、ローカルで認証されたすべてのユーザーの資格情報をメモリ内にキャッシュします。ワークステーションのロックを解除する際、コンピュータは、ロックを解除しようとするユーザーを認証するために、メモリにキャッシュした資格情報を使用します。
キャッシュした資格情報を使用する際、ユーザー権の割り当て、アカウント ロックアウト、無効化されたアカウントといった、アカウントに最近加えられた変更は考慮されず、この認証プロセス後も適用されません。このため、ユーザー特権は更新されませんし、さらに重大なのは、無効化されたアカウントを使ってもワークステーションのロックを解除できてしまうという点です。
対策
アカウントに加えられた変更が即座に適用されるようにするため、ワークステーションのロックの解除が要求されたときに、キャッシュした資格情報を使用するのでなく、そのつどアカウントを認証するよう設定します。
この機能を有効化するには、HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ キー内で、ForceUnlockLogon という新しいレジストリ DWORD 値を追加し、値を 1 に設定します。
潜在的影響
ユーザーによって、またはスクリーンセーバーのタイムアウトによって自動的にドメイン コントローラのワークステーションがロックされた場合、コンピュータに再度アクセスするためにはワークステーションのロックを解除する必要があります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、グループ ポリシーを使用して、テンプレートの HKLM\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon\ キーに次のレジストリ値エントリを追加しました。
表 6.18 ワークステーションのロックの解除時に、ドメイン コントローラ認証を要求するためにレジストリに追加された MSBP 設定
| レジストリ値エントリ | 形式 | 値 (10進数) |
|---|---|---|
| ForceUnlockLogon | DWORD | 1 |
追加のメンバ サーバーの強化手順
Contoso 社のサーバーを強化するためのほとんどの対策はグループ ポリシーを使用して適用されていますが、グループ ポリシーでは適用が困難または不可能な設定もあります。このセクションでは、アカウントのセキュリティ保護などの対策を手動で実装する方法と、IPSec フィルタなどをシェル スクリプトで有効化する方法について説明します。
手動の強化手順
以下の各セクションで、Contoso 社のサーバーに手動で対策を適用した手順について説明します。
アカウントのセキュリティ保護
脆弱性
Windows 2000 には、削除はできなくても名前は変更できる、多数のビルトイン ユーザー アカウントがあります。Windows 2000 で最もよく知られているビルトイン アカウントは、Guest と Administrator です。
既定では、メンバ サーバーとドメイン コントローラ上では Guest アカウントは無効化されています。この設定は、変更しないでください。ビルトイン Administrator アカウントは、名前と説明を変更してください。周知の名前のままにしておくと、リモートサーバーを攻撃者の危険にさらすことになります。
不正コードの多くが、サーバー攻撃の第一手段として、ビルトイン管理者アカウントを使用しています。この数年間に、ビルトイン Administrator アカウントのセキュリティ識別子 (SID) を指定することによってサーバーに侵入する攻撃ツールが現れたことで、この設定変更の効果は薄れてきました。SID は、ネットワークの各ユーザー、グループ、コンピュータ アカウント、およびログオン セッションを一意に識別する値です。このビルトイン アカウントの SID は変更できません。
注 ビルトイン管理者アカウントは、グループ ポリシーで変更することもできます。しかし、知られていない名前を選択するほうが効果的なため、ベースライン ポリシーではこの設定を行いませんでした。当社のセキュリティ テンプレートを展開している組織が、設定を変更しないケースも考えられるため、変更後の管理者アカウント名が Contoso 社のシナリオと同じになる可能性があるためです。お使いの環境で、Computer Configuration\Windows Settings\Security Settings\Event Log\ にある [アカウント名の変更] というグループ ポリシー設定を使用することをお勧めします。
対策
すべてのサーバーで、管理者アカウントの名前を変更し、パスワードを長く複雑なものに変更します。また、それぞれのサーバーで異なる名前とパスワードを使うようにしてください。
これらの変更については、安全な場所に記録を残しておいてください。すべてのサーバーで同じアカウント名とパスワードを使用すると、1 つのメンバ サーバーへのアクセスを獲得した攻撃者は、すべてのサーバーにアクセスできてしまいます。
潜在的影響
サーバー管理を担当するユーザーは、各サーバーで使用されるアカウント名を記録しておく必要があります。特定のサーバーにローカル管理者アカウントでログインするときは、このセキュリティ保護された文書を参照してユーザー名とパスワードを調べる必要があります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、[コンピュータの管理] コンソールを使用して、各メンバ サーバーのローカル管理者アカウントとパスワードを変更しました。
サービス アカウントのセキュリティ保護
Windows 2000 サービスは通常 Local System アカウントで実行されますが、ドメイン ユーザーまたはローカル アカウントで実行することもできます。できる限り、ドメイン ユーザー アカウントよりもローカル アカウントを使用してください。
サービスは、そのサービス アカウントのセキュリティ コンテキストの下で実行されますので、攻撃者がメンバ サーバー上でサービスを侵害すると、そのサービス アカウントがドメイン コントローラの攻撃に使用される可能性があります。どのアカウントをサービス アカウントとして使用するかを決定する際は、そのサービスを良好に実行するために必要な権限だけを割り当てるよう注意してください。次の表に、サービス アカウント タイプごとに固有の特権をまとめます。
表 6.19 さまざまな環境における Windows 2000 のアカウント特権
| Windows 2000 Server での認証サービス | Windows 2000 Server のみのフォレスト間 | ドメイン間の NTLM 信頼関係によるマルチフォレスト |
|---|---|---|
| ローカル ユーザー サービス アカウント | ネットワーク リソースなし。アカウントに割り当てられた特権でのローカル アクセスのみ。 | ネットワーク リソースなし。アカウントに割り当てられた特権でのローカル アクセスのみ。 |
| ドメイン ユーザー サービス アカウント | ドメイン ユーザーとしてのネットワーク アクセス。ユーザーの特権でのローカル アクセス。 | ドメイン ユーザーとしてのネットワーク アクセス。ユーザーの特権でのローカル アクセス。 |
| LocalSystem | コンピュータ アカウント認証ユーザーとしてのネットワーク アクセス。LocalSystem でのローカル アクセス。 | フォレスト間にまたがるネットワーク リソースなし。LocalSystem でのローカル アクセス。 |
重要 Windows 2000 の既定サービスはすべて LocalSystem の下で実行されます。この設定は変更しないでください。ドメイン アカウントを使用する必要のあるサービスをシステムに追加する場合は、展開する前に慎重に評価してください。
LM ハッシュ作成の無効化
脆弱性
Windows 2000 ベースのサーバーは、以前のあらゆるバージョンの Windows を実行しているコンピュータを認証できます。ただし、以前のバージョンの Windows では認証に Kerberos プロトコルを使用しないため、Windows 2000 は、LAN Manager (LM)、Windows NT (NTLM)、および NTLM バージョン 2 (NTLMv2) をサポートしています。LM ハッシュは、NTLM ハッシュと比べて強度が劣るため、すばやいブルートフォース攻撃に対しては脆弱です。
この数年間で、辞書とブルートフォース攻撃を使用し、LM ハッシュに基づいてパスワードを推測する L0phtcrack などのツールが出てきました。LM 認証を必要とするクライアントがない場合は、LM ハッシュの保存を無効化してください。
対策
LM ハッシュの作成を無効化するには、HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ キーに手動で NoLMHash キーを追加します。
注 LM ハッシュの作成を無効化するには、このキーを手動でレジストリに追加する必要があります。グループ ポリシーを使用してレジストリにキーを追加することはできません。追加できるのは値のみです。
このキーを追加すると、新しく保管されたパスワードについては LM ハッシュが作成されません。SAM データベースや NTDS.dit ファイルに保管された既存のハッシュは削除されません。このため、この設定を適用した後で、すべてのユーザーにパスワードを変更するよう求めてください。
潜在的影響
認証に LM ハッシュを必要とするレガシ オペレーティング システムやレガシ アプリケーションを実行しているローカル管理者アカウントおよびクライアントが、組織内のサーバーに接続できなくなります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ キーに手動で NoLMHash キーを追加して、LM ハッシュの作成を無効化しました。
注 このレジストリ設定を使用して LM ハッシュの保存を無効化するには、Windows 2000 SP2 以降である必要があります。
NTFS
脆弱性
NTFS パーティションは ファイル レベルとフォルダ レベルで ACL をサポートします。このサポートは、ファイル アロケーション テーブル (FAT)、FAT32、FAT32x ファイル システムでは提供されません。FAT32 は FAT ファイル システムのひとつのバージョンで、非常に小さな既定クラスタ サイズが使用でき、また 2 テラバイトのハード ディスクがサポートできるようになっています。FAT32 は、Windows 95 OSR2、Windows 98、Microsoftョ WindowsョMe, Windows 2000、および Windows XP に含まれています。
対策
すべてのサーバーのすべてのパーティションを NTFS 形式でフォーマットします。FAT パーティションを NTFS に非破壊変換するために、変換ユーティリティを使用してください。ただし、変換ユーティリティは変換後のドライブの ACL を Everyone: Full Control に設定することに注意してください。
Windows 2000 Server ベースのシステムの場合、ワークステーション、サーバー、およびドメイン コントローラに既定のファイル システム ACL を構成するには、それぞれについて以下のセキュリティ テンプレートをローカルで適用します。
%windir%\inf\defltwk.inf
%windir%\inf\defltsv.inf
%windir%\inf\defltdc.inf
注 ドメイン コントローラの既定のセキュリティ設定は、サーバーからドメイン コントローラへの昇格の際に適用されます。
潜在的影響
悪影響はありません。
Contoso 社のシナリオ
Contoso サーバーのすべてのパーティションは NTFS 形式でフォーマットされています。
データとアプリケーションの断片化
脆弱性
アプリケーション、データ、およびログ ファイルを、オペレーティング システムと同じ記憶域ボリュームに置くと、2 つの脆弱性が生じます。ひとつは、1 人または複数のユーザーが、誤って、または故意に、アプリケーション ログ ファイルでドライブをいっぱいにするか、またはファイルをサーバーにアップロードすることで、記憶域ボリュームをデータでいっぱいにしてしまう可能性です。
もうひとつは、攻撃者がディレクトリ通過を悪用し、ネットワーク サービスのバグを使ってシステム ボリュームのルートまでディレクトリ ツリーをたどってしまう可能性です。攻撃者はその後、ルートからオペレーティング システムのファイル フォルダを通ってツリーを下り、遠隔地からユーティリティを実行できます。
脆弱なアプリケーションやオペレーティング システムを悪用するディレクトリを横断するような攻撃 (トラバーサル攻撃) にはさまざまなバリエーションがあります。IIS も、過去数年間、いくつかのバリエーションに対して脆弱でした。たとえば、NIMDA および Code Red ワームは、バッファのオーバーフローを悪用して、Web サイトのディレクトリ ツリーを通過し、リモートで cmd.exe を実行してリモート シェルにアクセスし、ほかのコマンドを実行していました。
このため、Web コンテンツ、アプリケーション、ユーザー データ、アプリケーション ログ、およびその他の、オペレーティング システムが必要としないファイルは、可能な限り別の記憶域パーティションのシステム ボリュームに保管してください。
対策
Web コンテンツ、アプリケーション、データ、およびアプリケーション ログ ファイルを、システム ボリューム以外のパーティションに移動します。
潜在的影響
大きな悪影響はありません。
Contoso 社のシナリオ
Contoso 社のシナリオでこの問題にどのように対処したかについては、第 7 章「特定サーバーの役割のハードニング」で詳しく解説します。
SNMP コミュニティ名の構成
脆弱性
SNMP プロトコルは、その特性から、セキュリティに関しては脆弱です。SNMP の最大の脆弱性は、ほとんどのベンダが、既定のコミュニティ名を設定することです。マイクロソフトの Public など、このような既定のコミュニティ名はよく知られています。
2 つめの脆弱性は、解決が困難です。SNMP トラフィックはすべてクリアテキストで送信されるため、SNMP 管理デバイスが SNMP クライアントに接続する際、コミュニティ名が、暗号化もハッシュもされずに、ネットワーク上で送信されます。サーバー間でやり取りされるすべてのトラフィックを暗号化することで、この問題に対処することができます。しかしこの対策はこのガイドの範囲を越えています。
対策
すべてのシステム上で、SNMP コミュニティ名をランダムな英数字の値に変更します。これを実行するには、サービス コンソールで [SNMP Service] をダブルクリックし、[SNMP Service Properties] ダイアログ ボックスから [Security] タブを選択します。使用可能なコミュニティ名のリストから [public] を選択して [Edit] ボタンをクリックし、[SNMP Service Community Name] ダイアログ ボックスが表示されたら、新しいコミュニティ名を入力します。[OK] ボタンをクリックして、すべてのダイアログ ボックスを閉じます。
注 コミュニティ名は、4 という DWORD 値のレジストリ値としてレジストリ内に保管されているため、スクリプトを作成するか、または baseline.inf セキュリティ テンプレートをメンバ サーバー ベースライン ポリシーにインポートする前に行を追加することで、この変更を自動化できます。値は、HKLM\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities に保管されています。
潜在的影響
SNMP プロトコルを利用するすべての管理ツールでコミュニティ名を設定しなおす必要があります。
Contoso 社のシナリオ
Contoso 社のシナリオでは、SNMP コミュニティ名を mouse3pad に変更しました。
IPSec ポリシーの構成
インターネット プロトコル セキュリティ (IPSec) はもともと、2 つのコンピュータ間でデータがやり取りされる際に、ネットワーク上で他者に修正・解釈されないよう、データを暗号化するために開発されました。IPSec は、内部攻撃、プライベート ネットワーク攻撃、および外部攻撃に対する重要な防御線です。
ほとんどのネットワーク セキュリティ戦略では、組織外のネットワークからの攻撃を防止することを念頭に置いていますが、機密データの多くは、ネットワーク上でデータを解釈する内部攻撃によって侵害される恐れがあります。ネットワーク上でやり取りされるデータはほとんど保護されることがないため、従業員、サポート スタッフ メンバ、訪問者などがネットワークに接続し、データをコピーして分析できてしまいます。
IPSec はネットワーク上のデータの暗号化にも使用できますが、多層防御モデルのネットワーク層のセキュリティ保護手段としても非常に優れています。これは、IPSec ポリシーを使用してネットワーク インターフェイスをロックダウンすることで実行します。内部攻撃者は、ほかのコンピュータに対してネットワーク レベルの攻撃をしかける可能性があります。内部ネットワークとインターネットの間にあるファイアウォールは、このような内部攻撃に対抗する手段を持っていません。IPSec を使用して不要なポートをブロックすることで、企業の資産を保護するための優れたセキュリティ レベルが実現します。
このガイドの残りの部分では、次のような用語が使用されています。
フィルタ リスト ポート、プロトコル、およびディレクトリが含まれます。リスト内で指定された項目にトラフィックが一致したときに、フィルタ リストが何らかの決定をトリガします。1 つのリストに複数のフィルタを含めることができます。
フィルタ アクション トラフィックがフィルタ リストに一致したときに実行すべき応答です。特定のトラフィックをブロックまたは許可するなどのアクションがあります。
規則 フィルタ リストとフィルタ アクションの相関関係を示します。
ポリシー 規則の集合です。ポリシーは一度に 1 つだけアクティブにすることができます。
ネットワーク トラフィック マップを使用した IPSec ポリシーの計画
この情報を簡単に記録するには、ネットワーク トラフィック マップと呼ばれるテーブルを使用します。ネットワーク トラフィック マップには、サーバーの役割、ネットワーク トラフィックの方向、トラフィックの宛先、インターフェイスの IP アドレス、IP プロトコル、TCP ポート、および関連するユーザー データグラム プロトコル (UDP) ポートに関する基本情報が含まれます。以下に、ネットワーク トラフィック マップのサンプルを示します。
ネットワーク トラフィック マップを使用すると、どのネットワーク トラフィックがどのサーバーとの間でやり取りされているかがわかりやすくなります。IPSec ポリシーを作成する前に、サーバーが正常に動作するために必要なトラフィックについてよく理解しておいてください。そうしないと、厳格すぎるフィルタを作成してしまい、アプリケーションがエラーを起こす可能性があります。
Contoso 社のシナリオでは、まず各サーバーの役割が必要とするネットワーク サービスを列挙しました。次に、各サービスが必要とするポートを調べました。その後、それらのポートだけを許可する IPSec フィルタを作成しました。これにより、非常に厳格な IPSec フィルタが作成されました。フィルタを実装した後、すべてのネットワーク サービスが正常に動作していることを検証するためのトラブルシューティングを実行しました。その結果、さらにいくつかのポートを有効化しなければならないことが分かりました。これについては、第 7 章「特定サーバーの役割のハードニング」でサーバーの役割ごとに詳しく解説します。まず厳格な IPSec フィルタを作成し、必要に応じて追加のポートを開くことで、できる限り高いセキュリティを確保することができます。
表 6.20 IPSec ネットワーク トラフィック マップ
| サービス | プロトコル | 発信元ポート | 宛先ポート | 発信元アドレス | 宛先アドレス | アクション |
|---|---|---|---|---|---|---|
| HTTP サーバー | TCP | 任意 | 80 | 任意 | ホスト IP | 許可 |
| HTTPS サーバー | TCP | 任意 | 443 | 任意 | ホスト IP | 許可 |
| DNS クライアント | TCP | 任意 | 53 | ホスト IP | 任意 | 許可 |
| UDP | 任意 | 53 | ホスト IP | 任意 | 許可 |
サービスをクライアント サービスとサーバー サービスに分けて考えると、より簡単にこの手順を実行できます。クライアント サービスとは、ポリシーが存在するコンピュータがほかのホストから利用しているあらゆるサービスを指します。たとえばこの例では、サーバーが Web アプリケーション用の名前参照を実行するために DNS クライアント サービスを必要とします。
サーバー サービスとは、コンピュータがほかのホストに提供するあらゆるサービスを指します。この例では、Web サーバーがほかのコンピュータに HTTP サービスと HTTPS サービスを提供するため、それに必要なトラフィックを許可しなければなりません。このソリューション ガイドに含まれる自己解凍実行ファイル ipsecscripts.exe には、第 7 章「特定サーバーの役割のハードニング」で解説した設定を実装するためのサンプル スクリプトが含まれています。
ネットワーク トラフィック マップのデータは、サーバーの役割によって異なります。この表が完成したら、その情報に基づいて IPSec ポリシーを構築することができます。IPSec ポリシーはグループ ポリシーに基づいて配布することもできますが、IPSec ポリシーの多くは特定のコンピュータに合わせて調整されているため、これらの変更はローカル ポリシーを使用して実装するほうがよいでしょう。
注 Windows 2000 Server の IPSec フィルタは、完全な機能を持ったファイアウォールに置き換わるものではありません。IPSec フィルタは、サーバーを強化するツールと考えてください。IPSec を使用することで、静的にフィルタできる、攻撃に対する多層防御が実現されます。また IPSec フィルタは、ワームやウイルスの不正コード トラフィックを抑制・制御することに役立ちます。このツールを使用する前に、以下の IPSec フィルタのセキュリティに関する特性を理解しておいてください。
セキュリティが侵害された結果、攻撃者が Local Administrator または Local System のアクセス権を取得した場合、攻撃者は IPSec ポリシーを無効化したり変更したりできます。
ターゲット コンピュータが適切にロックダウンされるよう、NoDefaultExempt レジストリ設定は必ず1 に設定してください。このセキュリティ ガイドで紹介されているすべての IPSec フィルタのシナリオでこの設定が必要です。この IPSec ガイドの内容は、各シナリオで NoDefaultExempt 設定を使用して完全にテストされてはいませんが、この設定の構成から考えて、動作に違いはないはずです。このガイドは、構成変更に応じて随時更新されます。NoDefaultExempt 設定の構成については、サポート技術情報の 254728「ドメイン コントローラの IPSec サポート」を参照してください。
IPSec は、送信接続にステートフル フィルタリングを提供しません。このため、送信通信への応答を受信できるよう、このセキュリティ ガイドの一部として、静的受信フィルタが作成されました。これにより、システムにあるサーバーのポートを走査したり、接続して開いたりする攻撃の多くを効果的に防止できます。しかしそれでも、攻撃者は特別なツールを使用することで、IPSec 受信アクセス許可フィルタを介した接続を確立できてしまいます。宛先インターネット プロトコル (IP) アドレスへの送信アクセス許可フィルタが必要な場合 (Simple Mail Transfer Protocol (SMTP) サーバーが、インターネットに接続されたほかの宛先 SMTP サーバーにメールを送信する場合など) は、必ずホスト コンピュータとインターネットの間にファイアウォールなどのステートフルなフィルタリング デバイスを設置してください。送信アクセス許可フィルタは、可能な限り、トラフィックの受信に必要な IP アドレスに限定してください。
重要 IPSec は、コンピュータの起動時に完全なセキュリティ フィルタリングを提供しません。転送制御プロトコル/インターネット プロトコル (TCP/IP) スタックが反応する短い時間枠が存在し、自動化された攻撃によって、IPSec ポリシーがブロックするはずのアプリケーション ポートにアクセスできてしまう可能性があります。ほとんどの場合、IPSec フィルタが実行されるまで、アプリケーションは接続の処理を開始できないようにされています。IPSec ポリシー エージェント サービス起動でサービスの依存性を設定しても、フィルタの実行は保証されません。
IPSec フィルタによる最大限のセキュリティ レベルを実現するには、コンピュータの再起動時にネットワークから接続解除してください。IPSec フィルタが実行される正確な時間は、サーバー構成のさまざまな要因や IPSec ポリシーのサイズによって異なります。サーバーをネットワークに再接続するまでの安全な時間間隔を調べるため、ローカルでテストを行ってください。テストを実行できない場合は、ファイアウォールまたはフィルタリング ルーターを使用して、許可されたポートのみで受信トラフィックを受け取るよう制限してください。
IPSec ポリシーの実装
IPSec ポリシーはローカル セキュリティ設定 MMC スナップインの [IP セキュリティ ポリシー] セクションを使用して実装できます。1 つのサーバーでこのプロセスを実行するのは簡単ですが、多くのサーバーに対して実行するのは困難な場合があります。このため、このセクションではスクリプトを使用して IPSec ポリシーを展開する方法について説明します。
スクリプトを使用した実装
Windows 2000 リソース キット には、IPSec ポリシーを作成、割り当て、および削除するために使用できるコマンドライン ユーティリティ IPSecPol.exe が含まれています。IPSecPol.exe は非常に柔軟であり、Active Directory およびローカルとリモートのレジストリ内で動的ポリシーと静的ポリシーを作成できます。詳細については、Windows 2000 リソース キットのマニュアルを参照してください。このガイドでは、ローカル コンピュータのレジストリで静的ポリシーを作成する方法を説明します。
IPSecPol.exe には数多くのパラメータがあり、最初はその構文が難しく感じられるかも知れません。しかし、以下に示す例に従って実行すると、グラフィカル ユーザー インターフェイス (GUI) 例でこれまでに示した構成全体を、3 つのコマンドで複製できます。コマンドが意図どおりに動作していることを確認するため、各コマンドの後で MMC を開いて表示を更新するとよいでしょう。それでは始めましょう。
次に示す最初のコマンドは、新しいポリシーを作成し、そのポリシーに規則を追加して、その規則に 2 つのフィルタ リストと 1 つのフィルタ アクションを追加します。
ipsecpol -w REG -p "Packet Filter" -r "Inbound web protocols"
-f *+192.168.0.201:80:TCP -f *+192.168.0.201:443:TCP -n PASS
コマンドは見やすくするために 2 行に分割してありますが、実際は 1 行で入力してください。パラメータの意味は次のとおりです。
-w REG は、レジストリに静的ポリシーを書き込みます。これは、MMC を使用する場合と全く同じです。
-p "Packet Filter" は、"Packet Filter" という名前のポリシーを作成します。
-r "Inbound web protocols" は、"Inbound Web protocols" という名前の規則を作成します。
-f *+192.168.0.201:80:TCP はフィルタを追加します。* はあらゆる送信元アドレスとポートを示し、131.107.1.1:80 は宛先アドレス (サーバー自身のアドレス) と特定のポートを示し、:TCP はプロトコルを示し、+ はフィルタがミラーリングされていることを示します。
-f *+192.168.0.201:443:TCP も同じですが、宛先ポートが 443 となっています。
-n PASS は、セキュリティをネゴシエートすることなくトラフィックを渡します。
注 -w、-f、および -n パラメータは大文字と小文字を区別します。小文字のみを使用してください。
フィルタはいくつでも作成できます。サーバーで複数のサービスを実行する場合、各フィルタ クラスに個別の IPSecPol.exe コマンドを使用してください。たとえば、上記の Web サービス以外に次のコマンドを使用すれば、ポート 25 への受信接続と、ポート 25 のあらゆる場所への送信接続が許可されます。
ipsecpol -w REG -p "Packet Filter" -r "SMTP Protocol"
-f *+192.168.0.201:25:TCP -f 192.168.0.201+*:25:TCP -n PASS
最後のフィルタ -f 192.168.0.201+*:25:TCP が少し違っています。この場合、送信トラフィックをサーバー自身のアドレスから任意のポート上で発信でき、ポート 25 の任意のサーバーへ送信できることを示しています。このフィルタによって、サーバーは、インターネットへの送信 SMTP 接続を開始できます。
次のコマンドは、すべてのトラフィックに一致した汎用規則を作成し、それをブロックします。
ipsecpol -w REG -p "Packet Filter" -r "All inbound traffic"
-f *+192.168.0.201 -n BLOCK
パラメータの意味は次のとおりです。
-w REG は、レジストリに静的ポリシーを書き込みます。これは、MMC を使用する場合と全く同じです。
-p "Packet Filter" は、"Packet Filter" という名前の既存のポリシーに追加します。
-r "All inbound traffic" は、"All inbound traffic" という名前の規則を作成します。
-f *+192.168.0.201 はフィルタを追加します。* はあらゆる送信元アドレスとポートを示し、192.168.0.201 は宛先アドレスと任意のポートを示し、プロトコルが指定されていないことは任意のプロトコルが使用できることを示し、+ はフィルタがミラーリングされていることを示します。
-n BLOCK はトラフィックをブロックします。
最後のコマンドは、ポリシーを割り当てます。
ipsecpol -w REG -p "Packet Filter" -x
パラメータの意味は次のとおりです。
-w REG は、レジストリに静的ポリシーを書き込みます。これは、MMC を使用する場合と全く同じです。
-p "Packet Filter" は、"Packet Filter" という名前の既存のポリシーに追加します。
-x はポリシーを割り当てます。
サーバー構築スクリプトに IPSecPol.exe サポートを追加するときは、サーバーの構築が完了してから実際にポリシーを割り当ててください。スクリプトには、-n PASS と -n BLOCK コマンドだけを含めておき、すべてのサーバーのインストールが完了した後、次のコマンド形式を使用してポリシーをリモートで割り当てます。
ipsecpol \\\\machinename -w REG -p "policyname" -x
コマンドで指定したコンピュータの管理権限が必要です。ポリシーを一時的に割り当てから解除するには、-x を -y に置き換えます。
同じ方法で、すべての関連フィルタ リストとフィルタ アクションを含むポリシー全体を削除できます。ポリシーを削除するには、次のコマンドを使用します。
ipsecpol -w REG -p "policyname" -o
サーバーの役割
各サーバー役割の特性のため、役割ごとに異なるポリシーを作成する必要があります。サーバー固有の手順については、第 7 章「特定サーバーの役割のハードニング」を参照してください。
まとめ
この章では、Contoso 社のシナリオで、すべてのサーバーに最初に適用したサーバー強化手順を説明しました。これらの手順のほとんどは、セキュリティ テンプレートを作成して、メンバ サーバーの親 OU にリンクされる GPO にインポートすることで実行しました。
しかし、強化手順の中にはグループ ポリシーでは適用できないものもあります。これらは手動で構成しました。また、特定のサーバー役割が、できるだけ安全な方法で役割の機能を実行できるよう、特別な手順も実行しました。
役割固有の手順には、追加の強化手順と、ベースライン セキュリティ ポリシーのセキュリティ設定を少なくするための手順が含まれます。変更内容については、第 7 章「特定サーバーの役割のハードニング」を参照してください。
関連情報
NetBIOS の無効化については、付録 D 「信頼されていないネットワーク内にあるサーバーでの NetBIOS の無効化」を参照してください。
STRIDE (Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of service, and Elevation of privilege) 攻撃モデルの詳細については、次のサイトを参照してください。
https://msdn2.microsoft.com/en-us/library/ms954176.aspx
マイクロソフトのセキュリティ情報については、次のサイトを参照してください。
https://www.microsoft.com/japan/security/
Active Directory 内で管理を委任する際の設計の注意点については、次のサイトを参照してください。
https://technet.microsoft.com/library/bb727032.aspx
セキュリティ攻撃の詳細については、次のサイトを参照してください。
https://technet.microsoft.com/library/cc723507.aspx
.inf ファイルと .adm ファイルの関係については、次のサイトにあるサポート技術情報の 228460「Location of ADM (Administrative Template) Files in Windows」を参照してください。
https://support.microsoft.com/kb/228460
Exchange 2000 Server のある環境で 299687 セキュリティ修正プログラムを適用する方法については、次のサイトにあるサポート技術情報の 309622「299687 Windows 2000 セキュリティ修正プログラムを適用後にクライアントがグローバルアドレス一覧を参照できない」を参照してください。
https://support.microsoft.com/kb/309622
Windows 2000 TCP/IP スタックを強化する方法については、次のサイトにあるサポート技術情報の 315669「Windows 2000 でサービス拒否攻撃に対する TCP/IP スタックを強化する方法」を参照してください。
https://support.microsoft.com/kb/315669
Windows Socket アプリケーションの設定を強化する方法については、次のサイトにあるサポート技術情報の 142641「Internet Server Unavailable Because of Malicious SYN Attacks」を参照してください。
https://support.microsoft.com/kb/142641
LM ハッシュ認証の詳細については、次のサイトにあるサポート技術情報の 147706「Windows NT 上の LM 認証を無効にする方法」を参照してください。
https://support.microsoft.com/kb/147706
LM ハッシュの作成を無効化する方法については、次のサイトにあるサポート技術情報の 299656「New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager」を参照してください。
https://support.microsoft.com/kb/299656
null セッションの無効化による認証問題の解決方法については、次のサイトにあるサポート技術情報の 207671「HOW TO: Access Network Files from IIS Applications」を参照してください。
https://support.microsoft.com/kb/207671
目次
第 6 章 ‐ Base Windows 2000 Server のハードニング
付録 E ‐ セキュリティで保護された LDAP および SMTP 複製を行うためのドメイン コントローラでのデジタル証明書の構成