Windows 2000 セキュリティ強化ガイド
最終更新日: 2004年1月20日
このガイドは、Windows 2000 Professional および Windows 2000 Server ファミリのそれぞれについて、3 種類の構成を強化する方法を説明します。この構成は、適用範囲を拡張するため、非常に汎用的になっています。特定のサーバー環境固有の強化の詳細については、次の Web サイトの『マイクロソフト の Securing Windows 2000 Server ソリューション』を参照してください。
https://www.microsoft.com/japan/technet/security/prodtech/windows2000/secwin2k/default.mspx
このガイドで扱う個別の構成の詳細については「表」を参照してください。
表 1 対象とする構成
| 製品 | 役割 |
|---|---|
| Microsoft Windows 2000 Professional | ドメイン メンバ ワークステーション ドメイン メンバ ラップトップ スタンド アロン ワークステーション |
| Microsoft Windows 2000 Server ファミリ (Server、Advanced Server、および Datacenter Server を含む) |
ドメイン コントローラ ドメイン メンバ サーバー スタンド アロン サーバー |
構成の定義は次のとおりです。
ドメイン。 共通のユーザーアカウントデータベースを共有するコンピュータの集合。ドメインには一意の名前があり、集中管理されているユーザーアカウントおよびグループにアクセスを提供します。ドメインでは、他のドメインとの関係のほかにセキュリティとソフトウェアポリシーも指定でき、Windows 2000 コンピュータネットワークの単一のセキュリティ境界を表します。Windows 2000 ドメインは、混在モードにも、ネイティブモードにもできます。Windows 2000 ネイティブモードドメインの場合はドメインコントローラのすべてで Windows 2000 以降を実行する必要がありますが、混在モードドメインには、Windows NT 4.0 ドメイン コントローラを含めることができます。ネイティブモードドメインには、エンタープライズグループの機能やグローバル グループを入れ子にするグローバルグループの機能などの追加機能があります。ドメインの種類に関わりなく、ドメイン内の Windows 2000 クライアントは Windows 2000 ドメインコントローラの認証に Kerberos を使用します。ネイティブモードと混在モードの相違点の詳細については、Windows 2000 Server リソースキットを参照してください。
スタンド アロン。 ドメインのメンバでないコンピュータ。このようなコンピュータもすべて、定義上はワークグループのメンバです。ワークグループには一台以上のコンピュータを追加できます。スタンドアロンシステムでは、プリンタなどのリソースを他のコンピュータと共有できますが、セキュリティとユーザーアカウントの面では完全に独立しています。ただし、ユーザーアカウントはローカルでのみ定義され、スタンドアロンコンピュータのリソースにアクセスするユーザーすべてにローカルアカウントが必要になります。ワークグループは単に、グループ内で利用可能なリソース一覧を共有するコンピュータの論理的なグループです。
ドメイン コントローラ。 Windows 2000 サーバードメインの場合、ドメインへのログオンの認証を行い、ドメインのセキュリティポリシーとセキュリティアカウントマスターデータベースを管理するサーバー。ドメインコントローラは、ユーザーによるネットワークへのアクセスを管理します。これには、ログオン、認証、ディレクトリおよび共有リソースへのアクセスが含まれます。ユーザーがネットワークリソースへのアクセスを試行すると、リソースを管理するシステムはドメインコントローラに問い合わせてユーザーの認証を行います。
ドメイン メンバ。 Windows 2000 ドメインのメンバである Windows 2000 コンピュータ。
ビルトイン グループ
Windows 2000 にはビルトイングループが多数付属しています。これらの一部は特に説明が必要です。たとえば、Power Users グループ (ワークステーション、スタンドアロン、およびメンバのサーバー上)、Server Operators、Print Operators、および Backup Operators (サーバー上) などが含まれます。これらのグループは、ユーザーを管理者にすることなくユーザーの機能を拡張することを目的にしています。しかし、これらのグループに与えられた権限によって、これらのメンバであればどのユーザーでも管理者になることができます。Operators グループは、管理者が誤ってシステムを破壊することを防ぐことを主目的に作成されています。悪意のあるメンバが管理者になることは防ぎません。
Power Users グループは、通常のユーザーでは正しく運用できない古いアプリケーションが使われるシナリオでの使用を目的としています。このため、ユーザーを Power Users か管理者のいずれかにするしかない環境でこのグループが必要になります。いずれかに決定する場合は、Power Users をお薦めします。このガイドはこの点において、可能な限り Power Users グループを使用できないようにする他の多くの類似のガイドとは異なっています。一部の環境では、このグループが重要な機能を果たします。またこのガイドの適用性を拡張するには、この操作方針が最適であると見なされます。しかし、Power Users が不要の環境では、Power Users グループを制御し、管理者が確実に、このグループに属するユーザーが誰もいないようにする必要があります。