セキュリティ ベストプラクティス

  • [アーティクル]

エンド システムにおけるデータ セキュリティとデータ可用性

最終更新日: 2002年4月30日

Tom Dodds (MCS プリンシパル コンサルタント、MCS 南カリフォルニア)
Warren Kerby (コンサルタント、MCS 南カリフォルニア)
Michael Howard (プログラム マネージャ、Microsoft)

マイクロソフト ソリューション フレームワーク

メモ このホワイト ペーパーは、企業セキュリティのベストプラクティス シリーズの 1 つです。また、セキュリティ要素構成アーキテクチャも併せてご参照ください。

トピック

このホワイトペーパーの趣旨
Web 上のサーバーおよびワークステーションをセキュリティで保護する
ポリシーを使用してセキュリティの構成を適用する
監査と監視方法を策定する
フォールト トレランス ソリューションを設計する
付録 A: 説明されているユーザー権限 (『リソース キット : Group Policy Reference』より)
付録 B: ローカル セキュリティの設定 (『リソース キット : Group Policy Reference』より)
付録 C: HiSecweb.inf ファイル

このホワイトペーパーの趣旨

概要

このペーパーは、マイクロソフト コンサルティング サービス (MCS) が最近対応した大手銀行のセキュリティ管理に基づいて作成しています。次の分野における MCS が推奨する対策について説明します。

  • Web 上のサーバーおよびワークステーションをセキュリティで保護する

    このセクションでは、サーバーおよびワークステーションを攻撃から守る際に考慮しなければならないさまざまな考え方や主な考慮点について、その概要を説明します。

  • ポリシーを使用してセキュリティの構成を適用する

    このセクションでは、セキュリティ モデルの適用方法について、推奨項目をいくつか説明します。

  • 監査と監視方法を策定する

    このセクションでは、セキュリティ モデルに予防措置を組み込む際に利用できるツールについてその概要を説明します。

  • フォールト トレランス ソリューションを設計する

    このセクションでは、MCS がお客様に提供した信頼性が高くスケーラブルなソリューションの作成過程の概要を説明します。

このホワイトペーパーで説明しているセキュリティ対策を評価、実施することで、ネットワークおよび Web 環境をより強力なセキュリティで保護することができます。

ページのトップへ

Web 上のサーバーおよびワークステーションをセキュリティで保護する

一般的な攻撃の種類

いわゆるハッカーが、企業のシステムに侵入、または危害を加えようとする方法には、さまざまなものがあります。これらの攻撃のうち多くのものは、すでによく知られていて、セキュリティ関係の多くの Web サイトでその記事を目にすることができます。有名な攻撃の種類には、次のようなものがあります。

ユーザー識別のスプーフィング (Spoofing、なりすまし)

ユーザー識別のスプーフィングは、ハッカーがユーザーの個人情報を取得した場合や、ユーザーの認証手順中にハッカーが再生可能なものを取得した場合に発生します。スプーフィングの脅威とは、ハッカーが有効なシステム ユーザーまたはリソースになりすますことが可能であり、このためシステムのセキュリティが危険にさらされるものです。

データの改ざん

保存されている情報、または伝送途中の情報に対する不正な変更、ハード ディスクのフォーマット、通信上検出不能なパケットの悪用による不正侵入、および不正侵入者による機密ファイルに対する検出不能な変更は、いずれも改ざんの脅威となります。

否認性

不正な操作を行っても追跡可能な痕跡を残さないユーザーには、"否認性がある" といえます。否認性の脅威は、ユーザーが (悪意を持つ/持たないにかかわらず) 悪事をはたらいても、その行為を立証する手段がなく、ユーザーがその行為を否認できる状態を指します。

情報の開示

個人的、または業務上重要な情報を開示することは、企業自体を危険にさらす可能性があります。情報開示の脅威は、その情報を知ることを想定していない人物に情報をさらしてしまいます。ユーザーがアクセスを認められていないファイルを読めることは、侵入者が 2 台のコンピュータ間で伝送されるデータを読めることと同様に、開示の脅威となります。この脅威は、加害者が正規ユーザーになりすまして情報にアクセスするのではなく、直接情報にアクセスするという点で、スプーフィングの脅威とは異なることに注意してください。

サービス拒否

サービス拒否 (DoS: Denial of Service) 攻撃が行われると、正規のユーザーも通常のサービスを使用できなくなります。DoS 攻撃の影響は、次の 3 つの点から測ることができます。

  • 影響範囲

    攻撃を成功させるのに必要な攻撃努力の多寡。最も小さい場合は、コンピュータをクラッシュさせられるパケットが 1 つの場合です。最も大きな場合は、複数の攻撃者による場合など、大量の大規模パケットがあります。

  • 影響度

    サービス低下の程度。最も厳しい攻撃の場合、正規のユーザーすべてが、サービスを利用できなくなります。中程度の攻撃の場合、アクセス速度が遅くなりますが、まったく使えなくなるまでには至りません。

  • 持続性

    攻撃行為が終了しても、その影響が残る場合、攻撃に持続性があることになります。最も強力な攻撃の場合、攻撃者にはサービスにアクセスできないようにしたとしても、その影響が残ります。攻撃によっては、サーバーを再起動するまでその影響が残る場合があります。弱い攻撃の場合は、攻撃行為が終了すると同時に、その影響もなくなります。

DoS 攻撃の影響範囲は、いやがらせ程度から、セキュリティが危険にさらされる範囲まであります。全体としては、十分なファイアウォールを用意すれば、この発生を防ぐことが可能です。(DoS 攻撃の防止手段については、後の「DoS 攻撃を防止する」を参照してください。)

特権の昇格

特権の昇格に関する脅威は、特権のないユーザーが特権アクセス権を取得し、システム全体を危険にさらしたり、またはシステムを破壊するのに十分なアクセス権を取得した場合に発生します。この脅威のより危険な側面は、検出不能な手段を用いてシステムを危険にさらすことで、システム管理者が把握できない方法でユーザーがその特権を行使してしまう可能性があることです。アクセス権の昇格の脅威には、攻撃者に通常利用できる権限以上の特権が認められ、システム全体のセキュリティが危険にさらされ、システムに重大な損傷を加えるような状況もあります。攻撃者が、システムの防衛機構をたくみにすべて通り抜け、攻撃者自身が信頼されているシステムの一部となると、攻撃者はいかなる操作可能になります。

セキュリティで保護する情報を決定する

最初にとる手順は、環境内の各システムで必要なセキュリティのレベルを決定することです。たとえば、外部に接続されている Web サーバーには、公開されている情報が通常あります。したがって、機密情報を格納しているデータベースとは異なるセキュリティ モデルが必要です。セキュリティを提供するもう 1 つのデバイスは、ファイアウォールです。ファイアウォールは、社内外にいるユーザーの情報へのアクセスを制限するのに通常使用されます。したがって、セキュリティを保護するファイアウォールの設計と実装は、大変重要な計画課題です。ただし、ファイアウォールだけではセキュリティを実現することは不可能です。まず情報のセキュリティとはなにかを最初に定義する必要があります。

このホワイトペーパーで取り上げている銀行プロジェクトで情報のセキュリティを定義する際、次のような質問をしました。

  • どのような情報を、極秘、秘密、機密、非機密と定義しますか?

  • 社外のネットワークに保存している、匿名ユーザーにはアクセスされてはならない情報 (極秘、秘密、機密に分類される情報) はありますか?

  • 特定グループのみにアクセスを制限する情報はありますか?

  • 社内ユーザーが、社外のリソースに直接アクセスできる接続形態は存在しますか?

  • 外部の人間でも、社内へのアクセスが可能な設備はありますか?

  • アプリケーションが必要とするアクセス権の種類にはどんなものがあり、また、ユーザーがファイアウォールを経由してアクセスしなければならないものはありますか?

銀行は、以上のすべての質問に対して概略的な回答を提示しました。また、セキュリティ チームを設置し、セキュリティ管理者を任命し、さらに全社規模のセキュリティ ポリシーを作成しました。このような準備が終了したところで、適切なセキュリティ モデルを開発し、セキュリティで保護されたインフラストラクチャを作成するのに必要な詳細事項の策定を完了しました。

セキュリティ レベルの決定

セキュリティを実現するのに必要な事項を、情報の機密性に基づいて分類し、またその内容を理解することが重要です。たとえば、セキュリティで保護された情報にアクセスできるレベルを決定することから開始することができます。エンタプライズ セキュリティには、対照的な例として次の 2 種類があります。

  • 許可されていない情報については、適切な権限なしにはアクセスさせない。

    この場合、だれがどの情報にアクセスできるかを情報技術 (IT) グループが決定します。閉鎖的な方法ですが制御は可能です。また、よく知られたモデルでもあり、長い間に渡って採用されてきています。この手法の目的は、全てのリソースにアクセスを許可する場合、全ての認証情報に対してアクセス制御を行うことです。

  • 不許可以外の情報については、だれでもアクセスできる。

    この方法では、ユーザーが身分を明示せずに情報にアクセスする場合、その操作についてはユーザー自身にその責任を委ねることになります。Web の利用者にとっては、この方法が望ましいのですが、セキュリティの観点からは煩わしい部分があります。この方法の場合、ユーザーはログインするのに身分を明かす必要はありませんので、データへのアクセスの制御は難しくなります。

今回の銀行プロジェクトの場合、この極端な 2 つの方法の中間のセキュリティ ポリシー、つまりデータへのアクセスを制御しながらも、ユーザーができるだけ必要な情報を入手できるようにするポリシーを採用することにしました。

物理的セキュリティ

物理的セキュリティには、サーバーかワークステーションかにかかわらず、機密データや重要データの保存や処理に使用するコンピュータ自体を保護することも含まれます。過失または故意によるアクセス (コンピュータのセットアップ方法の改変を含む) を防止するにあたっては、ユーザーの業務遂行を妨げたり、ユーザーのリソース利用が非現実的なほど難しくなるような障壁を用意すべきではありません。

標準セキュリティ

標準的なセキュリティとしては、高価な備品などと同様に、コンピュータ機器を保護する必要があります。今回の銀行プロジェクトの場合、関係者以外は立ち入ることのできない鍵のかかる建物内にコンピュータを設置しました。

前のセクションで述べたとおり、セキュリティで保護されたインフラストラクチャ構築の最初の手順は、各サーバーとワークステーションの現行のセキュリティ レベルを検証することです。標準のセキュリティ モデルで物理的セキュリティを実現するには、鍵となる項目がいくつかあり、その概要を次に示します。次のセクション以降では、セキュリティ モデルを構築する際に重要となる点について、より詳細に説明します。次の推奨項目を実際に適用する方法については、このペーパーの第 3 部「ポリシーを使用してセキュリティの構成を適用する」で説明します。第 3 部では、次の設定を Windows 2000 環境下で適用する方法について詳しく説明します。また、最新情報がないかどうか https://www.microsoft.com/japan/security/default.mspx を必ず定期的に確認してください。

サーバーおよびクライアントについて最初に検証しなければならないことは、コンピュータの筐体自体の物理的セキュリティと、その設置環境です。次の表は、クライアントとサーバーの保護について銀行に提出した提案書から抜粋したものです。

物理的セキュリティ クライアントまたはサーバー
盗難防止対策 クライアントとサーバー
鍵のかかる部屋 サーバー
空調管理が行き届いた環境 サーバー
入室管理 サーバー
鍵のかかる配線室 (ハブが露出していてはならない) サーバー
コンピュータを机に鍵付きワイヤなどで取り付ける。サーバーについては、鍵付きラックに収納し、収納場所については、会社の身分証明書がないと入室できないなど、セキュリティ コントロール (ドアの施錠、部屋の施錠) を設けること。 クライアントとサーバー
物理的管理手順/修理手順 (スペア部品をオンサイトで用意する) クライアントとサーバー
電源/サージ プロテクタ クライアントとサーバー
フロッピーの無効化 (少なくとも、フロッピー デバイスを使用するには管理者でログオンする必要があること) クライアントとサーバー
フロッピー ディスク ドライブの取り外し (使用する必要がない場合) 高度なセキュリティが必要な環境下のクライアントとサーバー
パワーオン パスワード 高度なセキュリティが必要な環境下のクライアントとサーバー
boot.ini を編集して起動待ち時間を 0 秒に設定する 高度なセキュリティが必要な環境下のクライアントとサーバー
すべてのドライブで NTFS ファイル システムのみを使用 高度なセキュリティが必要な環境下のクライアントとサーバー
**バックアップ** 定期的にバックアップすることで、ハードウェア障害、過失、ウイルス、悪意のある操作など、あらゆる危険からデータを保護できます。今回の銀行プロジェクトでは、ファイルはバックアップ目的では読み取れる必要があり、また復元目的では書き込める必要があるため、バックアップ特権を管理者とバックアップ実行者のみに制限しました。 **監査** セキュリティの不備は、ネットワークの監査などで発見されるまでは気付かない場合が多くあります。効果的に監査を行うと、セキュリティを脅かすような操作を発見でき、その操作を行ったユーザー アカウントを割り出すこともできます。監査ポリシーを設定する場合は、ディスク領域や CPU サイクルなどの監査のコストとメリットとのバランスを考える必要があります。現実的にどれだけの機能を監査できるかは、システムの設定状況と性能に左右されますが、最低限の監査として、銀行では、ログオン試行の失敗、機密データへのアクセス試行、セキュリティ設定の変更を監査の対象とすることにしました。 **高度なセキュリティ環境を作成する** 必要なセキュリティ レベルに応じて追加のセキュリティ対策を実装し、高度なセキュリティ環境を整えることもできます。銀行プロジェクトでは、さらにセキュリティ手段を講じる必要があるかどうかを判断するのに、はじめに、盗難や意図的な侵害および破壊のリスクが高い機密データが、どのコンピュータに入っているかを調べる必要がありました。これらのコンピュータ、およびそのサブネットのセキュリティについては、通常のネットワーク セキュリティよりも厳重なセキュリティ機能を使って強化することにしました。 **利用できる機能を制限する** 許可されたユーザー以外の人でも自由にコンピュータを操作できる環境では、完全に安全なコンピュータは存在しません。今回の銀行プロジェクトでは、ユーザーがコンソールからログオンした場合の影響を最小限に抑えるため、次のような対策を講じました。 - コンピュータ ハードウェアにフロッピーによるブートを設定するオプションがある場合は、そのオプションを無効にする。フロッピー ディスク ドライブが不要なコンピュータの場合は、そのドライブを取り外す。 - コンピュータの筐体を鍵で施錠し、その鍵をコンピュータとは別の場所に保管する。 - ハード ディスク全体を NTFS (NT ファイル システム) でフォーマットする。 - ネットワークへのアクセスが不要なコンピュータから、ネットワーク カードを取り外す。 可能かつ現実的と判断される場合は、権限のあるユーザー以外は電源スイッチとリセット スイッチには触れられないようにします。最もセキュリティで保護する必要のあるコンピュータ (監視員のいる施錠された部屋にあるコンピュータを除く) では、ユーザーにはキーボード、ディスプレイ、マウス、およびプリンタ以外を利用できないようにします。コンピュータの筐体とリムーバブル メディアのドライブは施錠し、有資格者のみにその利用を認めます。 Microsoft Windows 2000 の既定では、いずれのプログラムにもフロッピー ディスクおよび CD-ROM 上のファイルへのアクセスを認めます。高度なセキュリティが必要なマルチ ユーザー環境では、対話形式でログオンしたユーザーだけにデバイスへのアクセスを許可します。したがって、対話形式でログオンしたユーザーは、そのドライブの内容をほかのユーザーまたはプログラムが表示または変更することができないとわかっているので、安心して機密情報を書き込めます (詳しい操作手順については、付録に掲載しています)。このモードでは、対話式ログオン プロセスの間は、システムのフロッピー ディスクまたは CD-ROM をそのユーザーに割り当てます。ユーザーがログオフしたら、自動的に割り当てを解放し、一般的な使用を可能にするか、または別の人に再度割り当てます。今回の銀行プロジェクトでは、権限のあるユーザーは、ログオフする前に機密データをフロッピーまたは CD-ROM ドライブから削除することを基本原則としました。 **ネットワーク レベルのセキュリティ** コンピュータをネットワークに接続すると、コンピュータへのアクセス経路を追加したことになります。つまり、過失または故意によるさまざまな侵害に対するセキュリティ対策を講じる必要が生じます。標準レベルのセキュリティでは、ファイルなどのオブジェクトに対するユーザーの確認と保護を行うだけで十分ですが、高度なレベルのセキュリティでは、物理的なネットワークもセキュリティで保護する必要があります。 最も大きな危険性は、ネットワークの盗聴です。完全にセキュリティで保護された建物内 (ほとんどありえませんが) だけにネットワークを敷設すれば、盗聴の危険性はほとんど、あるいは完全になくすことができます。しかし、ネットワークを物理的に直接管理できる範囲内に限定することができなければ、現実に則した保護対策を考え、まず物理的なセキュリティから計画し、実行する必要があります。たとえば、ネットワーク ケーブルが、セキュリティ対策が施されていない領域を通る場合は、ツイストペアよりも盗聴装置の取り付けやデータの傍受が難しい光ファイバ ケーブルの使用を検討します。 次に、最近非常に一般的になってきた危険性に、インターネットとの通信があります。この種類の接続では、インターネットの世界との双方向のアクセスが可能なので、セキュリティ対策は双方向に対して必要です。要するに、コンピュータにアクセス可能な人であれば、世界中のだれでもが、ある組織内の一部またはすべてのシステムにもアクセス可能なのです。ただし、内部システムにアクセスされる前に侵入者を撃退するため、一連の濠と防護壁を用意しました。 ファイアウォールの構成や実装について説明することは、このペーパーが目的とする範囲ではありませんが、ファイアウォール自体は、銀行にとって、お城の外堀のような役割を果たします。これから、銀行向けにファイアウォールの内側に作成した、セキュリティ ロックダウンおよびセキュリティで保護されたアーキテクチャについて、詳しく説明します。 **セキュリティに関する一般的な重要考慮事項** **既知の状態と反復性** サーバーのセットアップ手順を反復可能なものにします。オペレーティング システムのクリーン インストールから開始し、必ず NTFS を使用します。このようにすることで、各ファイルに一貫性を持たせることができ、またファイルに対するアクセス権限も適切に設定できます。クリーン インストールすることは面倒なように思われるかも知れませんが、ハードウェア障害が発生した場合や、サーバーの追加やリプレースの場合には、ほとんどの場合クリーン インストールする必要があることを考慮してください。相当数のサーバーをアップグレードする場合、インストールするファイルのセットが異なる可能性が高くなります。IIS などのコンポーネントは、スクリプトを使用して構成することができます。スクリプトを作成して、すべてのアップグレードに使用します。スクリプトを使用すれば、設定漏れを防ぐことができ、さらにサーバーを追加する場合にも、そのスクリプトが使用できます。 完全にロックダウンされたサーバーを使用することは、非常に困難な操作性を伴うことがあります。たとえば、使用しないサービスについては、サーバーが "運用" モードで稼働中でも無効にする必要がありますが、 サービスによっては、サーバーの構成時に実行させておく必要があるものがあります。"運用" モードにサーバーを固定するスクリプトと、サーバーを "保守" モードにするスクリプトの 2 つのスクリプトを作成します。保守目的でセキュリティを "一時的" に緩和したまま、セキュリティを元に戻さなかったためにハッキングされたサーバーもあります。 **コンポーネント** 使用しないコンポーネントや機能は、インストールしません。削除するか、無効にしてください。この点は非常に重要です。サイトが機能できる最低限のコンポーネントのみを使用します。 **サービスを "手動" に設定する。** 使用しないサービスは、すべて停止します。どのサービスが使用されているかを判断しやすくするには、使用していないと思われるサービスの \[スタートアップの種類\] を \[手動\] に設定します。サーバーを再起動して、アプリケーションをすべて使用してみます。次に、\[サービス\] MMC スナップインを使用して、どのサービスが開始されているかを確認します。開始されていないサービスは、おそらく \[無効\] に設定されているはずです。 **パスワード** ワークステーションとサーバーのセキュリティの強弱は、そのパスワードの善し悪しのみで決まります。強力なパスワードを使用し、ポリシーに基づいて頻繁にパスワードを変更します。最近の調査では、英数字と記号を混合使用した 7 文字以上のパスワードがよいとされています。 **イベント ログ サービスの使用** イベント ログ サービスには、障害の解決に役立つ情報が含まれている場合が多くあります。また、システム上で発生しているかも知れない不正な操作に関する情報源としての、大きな意味があります。 **変更点は必ず記録する** 加えた変更については、時系列にすべて一覧にしておきます。記録しておくと、新しいコンピュータを構成するのも簡単になります。また、行った作業の記録にもなります。 **確認** サーバーをインターネットに接続する場合は、その前に必ずその設定を再確認してください。すべてのセキュリティ対策を施していないサーバーについては、決してインターネットに接続するべきではありません。チェックリストを用意して、セキュリティ対策の記録を残しておきます。攻撃者は、新たに追加されたコンピュータを見つけようと、IP アドレスを継続的に走査しています。脆弱性を見つけだすツールは、製品としてもフリーウェアとしてもたくさん流通しています。これらのツールを使用して、用意したセキュリティ対策が正常に機能していることを確認します。 **多層防御** 保護するのに 1 種類の防御手段だけに頼ってはいけません。攻撃者が、迷路のように複雑な防御手段をかいくぐらなければいけないようにします。濠、はね橋、外壁、内壁、本丸を備えたお城のようなシステムを設計します。ただし、正規ユーザーにとっても Web サイトからの情報取得を難しくする必要があるといっているのではありません。アクセス権を読み取り専用にすることもよく採用され、防御目的の簡単な方法です。Web サイトに対する情報の変更、編集、追加、および投稿の方法は、注意深くセキュリティで保護する必要があります。 **保守管理** 保守管理は、セキュリティで保護された Web サイトに対しては継続的に行うべき作業です。最も重要でもあり、最も単純な保守管理作業は、『マイクロソフト セキュリティ情報』を定期的に確認し、推奨されている項目があれば実装することです。保守管理作業には、すべてのセキュリティ対策が正しく実施されており、また機能していること定期的に確認することも含まれます。 **すべての機能を繰り返し確認する** 定期的にコンピュータを停止し、再起動し、次にアプリケーションをテストします。機能を停止しているものや、挙動が変わっているものがあれば、変更点の一覧を確認し、どの設定がその原因となっているのかを見つけだします。 **ネット スニファなどを使用してトラフィックを検出する** ネットワーク スニファなどの監視ツールを使用すると、どのサービスが実行中か手がかりを得ることができます。『Well Known Port Numbers』(

キー : Tcpip\Parameters
値の種類 : REG_DWORD— ブール値
有効範囲 : 0、1、または 2
既定値 : 0
説明 : 有効にすると、SYN 攻撃が発生していると見なした場合、TCP が SYN-ACK の再送信を調整し、タイム アウトまでの接続応答待ち時間を短縮します。この判断は、TcpMaxPortsExhausted パラメータに基づいて行われます。
パラメータ :

0: 既定値 – SYN 攻撃に対する通常の保護。
1: 高い保護 – SYN 攻撃が発生していると見なした場合、TCP が SYN-ACK の再送信を調整し、タイム アウトまでの接続応答待ち時間を短縮します。この判断は、TcpMaxPortsExhausted、TCPMaxHalfOpen、および TCPMaxHalfOpenRetried パラメータに基づいて行われます。
2: 最大の保護 – SYN 攻撃が継続している場合、さらに接続指示を遅延させて、TCP 接続要求のタイムアウトをさらに短縮します。この設定をお勧めします。この設定を使用すると、スケーラブル ウィンドウ (RFC 1323) およびアダプタ別構成の TCP パラメータ (初期 RTT、ウィンドウ サイズ) は、どのソケットについても無効になることを注意してください。
**EnableDeadGWDetect**

キー : Tcpip\Parameters
値の種類 : REG_DWORD— ブール値
有効範囲 : 0 (FALSE) または 1 (TRUE)
既定値 : 1 (TRUE)
説明 : このパラメータが 1 に設定されている場合は、TCP がデッド ゲートウェイの検出を実行できます。この機能を有効にすると、複数の接続で問題が発生している場合に TCP が IP に対してバックアップ ゲートウェイへの切り替えを要求することがあります。バックアップ ゲートウェイは、ネットワーク コントロール パネルの [TCP/IP 設定] ダイアログの [詳細] タブで設定できます。詳細については、「デッド ゲートウェイの検出」を参照してください。
推奨値 : 0 – 攻撃にゲートウェイの切り替えを強制することができます。結果として、意図したゲートウェイ以外に切り替えさせることができます。
**EnablePMTUDiscovery**

キー : Tcpip\Parameters
値の種類 : REG_DWORD— ブール値
有効範囲 : 0 (FALSE) または 1 (TRUE)
既定値 : 1 (TRUE)
説明 : このパラメータが 1 (TRUE) に設定されている場合は、TCP がリモート ホストへのパスの最大転送ユニット (MTU、最大パケット サイズ) の発見を試行します。パス MTU が検出され TCP セグメントがこのサイズに限られることによって、別の MTU でネットワークに接続するパスにあるルーターで TCP により断片化が解消されます。断片化は TCP スループットとネットワークの混雑によくない影響があります。このパラメータを 0 に設定すると、ローカル サブネット上に存在しないホストへのすべての接続に対して、MTU が 576 バイトに設定されます。
推奨値 : 0 – MTU サイズを限定しないと、攻撃者によって MTU をもっと小さい値にされ、スタックの負荷を増大させられます。
**KeepAliveTime**

キー : Tcpip\Parameters
値の種類 : REG_DWORD— 時間 (単位 : ミリ秒)
有効範囲 : 1–0xFFFFFFFF
既定値 : 7,200,000 (2 時間)
説明 : このパラメータでは、TCP がアイドル状態の接続に Keep-alive パケットを送信して、その接続が維持されていることを確認する頻度を制御します。リモート システムが Keep-alive 転送に応答すれば、そのシステムがまだ到達可能で、機能しているものと見なされます。Keep-alive パケットは、既定では送信されません。この機能は、アプリケーションから接続に対して有効化されることがあります。
推奨値 : 300,000 (5 分)
**NoNameReleaseOnDemand**

キー : Netbt\Parameters
値の種類 : REG_DWORD— ブール値
有効範囲 : 0 (FALSE) または 1 (TRUE)
既定値 : 0 (FALSE)
説明 : このパラメータでは、コンピュータがネットワークから名前解放要求を受信したときに自分の NetBIOS 名を解放するかどうかを決定します。これは、名前解放を悪用した攻撃からコンピュータを保護できるようにするために追加されたパラメータです。
**PerformRouterDiscovery**

キー : Tcpip\Parameters\Interfaces\< インターフェイス >
値の種類 : REG_DWORD— ブール値
有効範囲 : 0: 無効
1: 有効
2: DHCP によって制御されるが、既定ではオフ
既定値 : 2
説明 : このパラメータでは、RFC 1256 で規定されているルーター探索を Windows NT でインターフェイス別に実行するかどうかを制御します。
推奨値 : 0 – これは、不正なルーター通知を防ぎます。
メモ : Tcpip\Parameters\Adapters にある値を使用して、どのインターフェイスの値がネットワーク アダプタにマッチするかを見つけます。
**ネットワークの設定** **NetBIOS over TCP/IP を無効にする** 悪意のあるユーザーが、TCP/IP 以外の方法でワークステーションやサーバーにアクセスできないようにするもう 1 つの方法は、NetBIOS over TCP/IP を無効にすることです。これを無効にすると、**\\\\ コンピュータ名 \\ 共有名** コマンド セットを使用した既定の共有およびプリンタ アクセスがすべて利用できなくなります。無効になる操作には、ディレクトリとプリンタの共有、NetDDE (Network Dynamic Data Exchange)、およびリモート管理が含まれます。 \[TCP/IP 詳細設定\] で NetBIOS over TCP/IP を無効にすると、NetBIOS over TCP/IP (NBT) の使用を制御することができます。このようにすると、ドライブのリモートマウントやレジストリのリモート編集はだれにもできなくなります。Windows NT のネットワーキング サービスは、複数のトランスポートを経由して実行されますので、社内のコンピュータは、ほかの内部プロトコルを使用して相互に通信することができます。 ![](images/Cc722919.datava01(ja-jp,TechNet.10).gif) **ポートとプロトコルの構成** 次に重要な手順は、インターネットに接続している NIC (Network Interface Card) に TCP/IP のフィルタリングを設定し、システムと交信できるトラフィックの種類を制御します。インターネットとの接続にファイアウォールを用意している場合は、多くの人がこの変更を忘れがちです。ファイアウォールがあれば、完全に保護されると思いこんでしまうからです。このような思いこみがあると、ハッカーに Web サーバー、または Web に接続しているケーブル、DSL (Digital Subscriber Line) へのアクセスを許すことになります。インターネットに接続している NIC に変更を加えることで、ハッカーがネットワークに侵入できる前に克服しなければならないシステムの防衛手段に "濠" をもう 1 つ加えることができます。今回の銀行では、\[TCP/IP 詳細設定\] を使用して、インターネットに接続している NIC にフィルタを設定しました、この設定を次の図に示します。 ![](images/Cc722919.datava02(ja-jp,TechNet.10).gif) 基本的には、銀行は、HTTP アクセスには TCP ポート 80 を、また SSL アクセスにはポート 443 のみを許可しました。また、UDP (User Datagram Protocol) ポートは許可せず、IP Protocol 6 (TCP) のみを許可しました。会社が使用する各ポートの要件を識別し、個別のニーズに適合しているかを検証する必要があることを十分に理解する必要があります。また、ポートやプロトコルを有効にすると、どのようなセキュリティ問題がかかわるかを十分に理解することも重要です。 **インターネット アダプタ カードのサービスとプロトコルの不要なバインドを解除する** ハッカーがリモート コンピュータへのアクセス権を取得するもう 1 つの方法は、ローカル ユーザーが有効にしていることを自覚していないサービスに関する情報を悪用することです。 したがって、使用していないサービスについては無効にすることが重要です。 **不要な既定のサービスを無効にする** 次のサービスは無効にするべきです。この変更点については、銀行のセキュリティ テンプレートに実装されています。このテンプレートの使用をやめても、以下のサービスは無効のままで、有効にするには手動で変更する必要があります。銀行の IIS サーバーで無効にしたサービスは次のとおりです。 - Alerter - ClipBook - Distributed File System - Distributed Link Tracking Client - Distributed Ling Tracking Server - Fax Service - Internet Connection Sharing - Intersite Messaging **メモ** 複数のサイトを使用している場合、このサービスをドメイン コントローラ上で実行する必要があります。 - Messenger - NetMeeting Remote Desktop Sharing - Network DDE - Network DDE DSDM - Task Scheduler - Telnet - Terminal Service - Utility Manager - File Replication - Print Spooler - Remote Registry Service **メモ** BackupExec、または Netdiags.exe を使用するには、この設定を手動に戻して、サービスを開始する必要があります。 **既定の NTFS アクセス権を制限する** 銀行が使用するシステムの各ハード ディスクに対しては、ルート ディレクトリの ACL を次のように変更しています。 1. Windows エクスプローラで、目的のハード ドライブのアイコンを右クリックします。 2. \[プロパティ\] をクリックし、\[セキュリティ\] タブをクリックします。 3. ローカルの Administrators グループを \[フル コントロール\] で追加します。 4. Everyone のアクセス権を、Domain Users の方に割り当て直します。\[詳細\] をクリックします。Everyone をクリックし、\[表示/編集\] をクリックします。\[変更\] をクリックします。ドメイン スコープを選択し、Domain Users を選択します。 5. \[OK\] を 4 回クリックし、すべてのダイアログを閉じて、変更を反映します。 Documents and Settings、Program Files、および WINNT フォルダの ACL を以下のように変更しました。これらのフォルダは、ルートのアクセス権を継承しないからです。 - Users のアクセス権を、Authenticated Users に割り当て直します。 - Power Users と Everyone のアクセス権を削除します。 システムのローカル SAM データベースに対するアクセス権も、Winnt\\System32\\config と Winnt\\Repair の ACL を次のように変更して制限しました。 - Users のアクセス権を、Authenticated Users の方に割り当て直します。 - Power Users と Everyone のアクセス権を削除します。 **ファイル システムの不要なアクセス権を削除する** 次にとった手順は、16 ビット アプリケーションとの下位互換性を保つための 8.3 形式の名前自動生成を無効にすることです。セキュリティで保護する環境では、16 ビット アプリケーションを使用しないことが重要です。そこで、HKLM\\System\\CurrentControlSet\\Control\\FileSystem\\NtfsDisable8dot3NameCreation = reg\_dword : 1 の設定をして、この機能を無効にしました。 もう 1 つの重要な手順は、次のように組み込みの管理共有を無効にすることです。 - 既定の管理用ネットワーク ファイル共有を削除する - すべてのシステムの各ハード ドライブから、**C$**、**D$** などの既定の共有を削除します。Windows エクスプローラを開いて、目的のハード ドライブのアイコンを右クリックし、 \[共有\] をクリックします。 - \[共有しない\] をクリックします。 - \[OK\] をクリックして、変更を反映します。 - システム ボリュームでは、既定の管理共有 (ADMIN$) を削除します。%windir% ディレクトリを右クリックします。あとは、前述の操作と同様に行います。 - 既定の共有が再作成されないようにするには、次のレジストリ キーを設定します。HKLM\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters\\AutoShareServer = reg\_dword : 0 **メモ** BackupExec を実行するには、サーバーをバックアップする前に上記の共有名が必要です。 **ローカル ユーザー アカウントをセキュリティで保護するには** もう 1 つの重要な手順は、Windows 2000 の一部である組み込みのアカウントを制御することです。多くのハッカーは、サーバーのアカウント ログイン構造をくぐり抜けようとする場合、この種の情報を見つけだそうとします。今回変更したものには以下のものが含まれます。 - Administrator アカウント名を変更し、次に、権限をまったく持たない偽の Administrator アカウントを作成します。両方のアカウントには共に、堅牢なパスワードを持たせます。 また、NetBIOS over TCP/IP を無効にして、インターネット経由の辞書攻撃が行えないようにします。(詳細については前述されています。) **重要** ドメイン コントローラ上では、Administrator アカウント名は変更しません。元の Administrator (管理者) アカウントをコピーして、実際に使用する "管理者" アカウントを作成します。次に、元の管理者アカウントから、特権/グループ メンバシップをすべて削除します。これで、既知の管理者アカウント RID を避けることができます。 - ローカルの Administrators グループのメンバシップを制限する。 - Guest アカウントを無効にし、強力なパスワードを設定する。 - TsInternetUser アカウントを無効にし、強力なパスワードを設定する。このアカウントは、ターミナル サービスをインストールしなくても、OS をインストールすると、ローカルとドメインの両方に自動的に作成されます。このアカウントは削除するのではなく無効にします。これは、将来 OS のアップグレードをインストールするとき、アカウントが存在しないと再作成されるためです。 - Web サーバーの IUSR\_< コンピュータ名 > アカウントを無効にし、強力なパスワードを設定する。 - ローカル Administrator アカウント、および管理者アカウントのネットワーク ログオンを無効にして、これらのアカウントには対話型ログインを強制する。 **システム レジストリをセキュリティで保護する** レジストリは、Windows 2000 システムの心臓部ともいえるもので、レジストリへの匿名アクセスを制限することは、基本中の基本です。この制限により、認証されていないユーザーが共有やドメイン ユーザーの列挙を行えないようにすることができます (サポート技術情報 文書番号『JP143474』を参照)。グループ ポリシーで設定するか、次のように設定します HKLM\\System\\CurrentControlSet\\Control\\LSA\\RestrictAnonymous = reg\_dword : 1。ほかに考慮すべき点は次のとおりです。 - レジストリへのネットワーク アクセスを制限する。Winreg キーを作成し、"ドメイン管理者のみ" にアクセスを許可するように ACL を設定します (サポート技術情報 文書番号『JP155363』を参照)。HKLM\\System\\CurrentControlSet\\Control\\SecurePipeServers\\winreg を追加します。 - .REG 拡張子に関連付けられているファイルを、NOTEPAD.EXE などに変更します。これで、悪意のある Web サイトが、その Web を閲覧中に新しいキーを閲覧者側のレジストリに追加できないようにします。 **ユーザー権利の割り当てを設定する** 次に重要なサーバーやワークステーションでのセキュリティ対策の構成要素は、Windows 2000 のサーバーやワークステーションをインストールすると既定で設定される、高度なユーザー権利を制御することです。これらの設定を適用するには、後の「ポリシーを使用してセキュリティの構成を適用する」で説明する手順に従うことが重要です。今回の銀行では、Web サーバーをセキュリティで保護するのに .inf ファイルを次の図のように設定しました。 ![](images/Cc722919.datava03(ja-jp,TechNet.10).gif) これらの設定を追加する際に、既に稼働中のアプリケーションに対する各設定変更の影響を十分に理解しなければならないことが困難でした。よって、テンプレートを適用する前に各設定の影響を完全に理解することが重要です。サーバーを運用環境に移行する前に、開発用サーバーも含めすべてのサーバー上にセキュリティを設定し、次に、予定される運用環境を模したセキュリティで保護された環境下でアプリケーションを作成すると作業が順調に進みます。開発用サーバーのセキュリティ設定が異なっていると、テンプレート適用後に発生した問題の原因が、どの設定にあるのかを追跡することが非常に困難な作業となります。各設定の詳しい説明については、付録を参照してください。 **システムの制限を強化する** Windows 2000 システムには、制限を強化できる既定の設定が多くあります。実装するべきセキュリティのレベルや、どれだけの設定変更が必要かの判断は、セキュリティ チームが行うことです。銀行は、マイクロソフトが提供する高度なセキュリティが必要な Web サイト向けの INF ファイル (hisecweb.inf) から作業を開始し、次に、そのファイルを銀行の社内要件に合うようにカスタマイズしました。このファイルは以下のサイトからダウンロードできます。 [https://download.microsoft.com/download/win2000srv/SCM/1.0/NT5/EN-US/hisecweb.exe](https://download.microsoft.com/download/win2000srv/scm/1.0/nt5/en-us/hisecweb.exe) 次の図に、HighSecWeb テンプレートに加えられた変更点を示します (銀行が使用した Highsecweb テンプレートは、「付録 C」に掲載してあります)。 ![](images/Cc722919.datava04s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/cc722919.datava04(ja-jp,technet.10).gif) テンプレートを適用する前に、各設定変更がもたらす影響を十分に理解しておくことが重要です。上記のテンプレートで加えた設定変更の説明については、付録を参照してください (定義されていないものについては説明していません)。また、HighSecWeb テンプレートを利用し、個別のセキュリティ要件に合わせて、テンプレートをカスタマイズすることが重要です。 **監査** サーバーを監査することは、監視対策における鍵となる構成要素の 1 つです。以下の項目を、日頃から監視し、侵入が発生した場合には警告を発するようにセットアップすることが重要です。このような操作に役立つ製品が、多くのサード パーティから発売されています。後の「監査と監視方法を策定する」のセクションを参照してください。銀行プロジェクトでの監査の設定方法の例は、次の表のとおりです。

監査内容 ポリシーの設定
アカウント ログオン イベントの監査 成功と失敗
アカウント管理の監査 成功と失敗
ディレクトリ アクセスの監査 未定義
ログオン イベントの監査 成功と失敗
オブジェクト アクセスの監査 成功
ポリシーの変更の監査 成功と失敗
特権使用の監査 成功と失敗
プロセス追跡の監査 未定義
システム イベントの監査 成功と失敗
**そのほかのシステム変更** ファイルやシステム レベルで行わなければならない重要な変更点はほかにもあります。今回の銀行における既定のセキュリティ設定に対しては、次の図のように、システムの起動時間を 0 秒に設定しました。 **システムの起動時間を 0 秒に設定する** 認証されていないユーザーが、既定の Windows NT 起動と、セキュリティで保護されたログオン プロセスを回避できないようにするには、次のように操作します。 \[コントロール パネル\] - \[システム\] - \[詳細\] - \[起動/回復\] と順にクリックし、\[オペレーティング システムの一覧を表示する\] チェック ボックスをオンにして "0" を入力します。 ![](images/Cc722919.datava05(ja-jp,TechNet.10).gif) また、アクセス制御リスト (ACL) の設定が不可欠なファイルはすべて移動しました。一般的に使用されている管理ツールを %systemroot% から別のディレクトにすべて移動し、管理者だけがこれらのファイルにフル アクセスできるように ACL を制限しました。ACL の設定が不可欠なファイルを移動することは、ハッカーに重要な情報を取得されるのにこれらの管理ツールを使用される可能性があり、またコマンド ラインから悪意のあるプログラムを起動される可能性があるので重要です。これらの措置は、ワークステーションとサーバーの両方で行います。 たとえば、\\tools と呼ばれるディレクトリを作成して、次のファイルをそこに置きます。

xcopy.exe wscript.exe cscript.exe net.exe ftp.exe telnet.exe
arp.exe edlin.exe ping.exe route.exe at.exe finger.exe
posix.exe rsh.exe atsvc.exe qbasic.exe runonce.exe syskey.exe
cacls.exe ipconfig.exe rcp.exe secfixup.exe nbtstat.exe rdisk.exe
debug.exe regedt32.exe regedit.exe edit.com netstat.exe tracert.exe
nslookup.exe rexec.exe cmd.exe      
**ポリシーと監査の変更** セキュリティ対策の構成要素の 1 つに、サーバーとワークステーションの設定を、セキュリティ担当者がポリシー ドキュメントに設定したポリシーに確実に適合させることがあります。銀行向け設定の概要は次の表のとおりです。後の「ポリシーを使用してセキュリティの構成を適用する」のグループ ポリシーの項を参照して、次のポリシーを適用するのに推奨している方法を理解してください。

アカウント ポリシーの設定
管理操作用のアカウントと通常のユーザー操作用のアカウントは別にする。 ポリシーに設定。
管理者アカウントをそれとわかりにくい別の名前に変更する。 ポリシーに設定。
Guest に対しては、ファイル、ディレクトリ、およびレジストリ キーの書き込みおよび削除を禁止する (情報を記録するディレクトリでは、この制限をかけないこともできます)。 Guest を無効にする。
サーバーが一定時間使用されていない場合、サーバーを自動的にロックするように設定する。Ctrl + Alt + Del が必要な 32 ビットスクリーン セーバーを [パスワードによる保護] をオンにして使用する。 ログオン スクリーン セーバーを 5 分に設定する。

パスワード ポリシーの設定
パスワードの有効期間 30 日に設定する。
パスワードの一意性の保証 過去 5 回のパスワードが同一でないように設定する。
パスワードは、大文字小文字、数字、および記号を混用して作成する。(インストールされている強力なパスワード オプション 『JP161990』 を参照。) 強力なパスワードを使用する必要があります。
パスワードの入力が 3 回失敗したら、そのアカウントをロックする。 アカウントの再試行に要する時間を 60 分にする。
少なくとも 8 文字を使用する。 8 文字に設定する。

ユーザー名 ポリシーの設定
会社名やアプリケーションの名前を部分的にも使用しない。 ポリシー。
ユーザー名には、少なくとも 8 文字を使用する。 8 文字に設定する。
パスワードの入力が 3 回失敗したら、そのアカウントをロックする。 セキュリティ ポリシーに設定。
**IIS のファイル システム変更** 銀行のセキュリティ モデルでもう 1 つ重要な点は、すべての Web コンポーネントに対してセキュリティで保護されたホスティング環境を作成することです。マイクロソフトのセキュリティ Web サイトで得られる情報を元に、銀行は、適切な仮想ディレクトリ アクセス権/Web アプリケーション空間の設定、適切な IIS ログ ファイル ACL の設定、ログ記録機構の有効化、およびすべてのサンプル アプリケーションの無効化または削除を行いました。 **ディレクトリ アクセス権/Web アプリケーション空間を設定する** 適切な仮想ディレクトリ アクセス権/Web アプリケーション空間を設定する場合、IIS のアプリケーション ディレクトリを制御することが重要です。この点はアプリケーションに依存しますが、次のような一般的な規則が適用されます。

ファイル タイプ ACL
CGI、.EXE、.DLL、.CMD、.PL Everyone (読み取りと実行 (RX))
Administrators (フル コントロール)
System (フル コントロール)
スクリプト ファイル (.ASP など) Everyone (読み取りと実行 (RX))
Administrators (フル コントロール)
System (フル コントロール)
インクルード ファイル (.INC、.SHTML、および .SHTM) Everyone (読み取りと実行 (RX))
Administrators (フル コントロール)
System (フル コントロール)
静的なコンテンツ (.HTML、.GIF、および .JPEG) Everyone (特殊なアクセス権 (R))
Administrators (フル コントロール)
System (フル コントロール)

以上の設定は、Web サイトを運営しているコンピュータいずれにも当てはまります。

各ファイルごとに ACL を設定するのではなく、ファイルの種類ごとに別にディレクトリを用意し、そのディレクトリに ACL を設定することで、ACL がファイルに継承されるようにすることをお勧めします。たとえば、ディレクトリの構造は次のようになります。

c:\inetpub\wwwroot\myserver\static (.html 用)

C:\inetpub\wwwroot\myserver\include (.inc 用)

C:\inetpub\wwwroot\myserver\script (.asp 用)

c:\inetpub\wwwroot\myserver\executable (.dll 用)

c:\inetpub\wwwroot\myserver\images (.gif、および .jpeg 用)

実際の ACL 継承は、セキュリティ構成エディタをインストールした Windows NT4 SP4 の機能です。

また、FTP と SMTP を使用している場合は、それらのディレクトリに対して特別な注意が必要です。

IIS ログ ファイルに ACL を設定する

不正なユーザーが、その痕跡を隠すのにファイルを削除できないようにするには、適切な IIS ログ ファイルに ACL を設定します。IIS が生成したログ ファイル (%systemroot%\system32\LogFiles) に対する ACL を次のように設定することをお勧めします。

  • Administrators (フル コントロール)

  • System (フル コントロール)

以上の設定は、Web サイトを運営しているコンピュータいずれにも当てはまります。

ログの記録を有効にする

サーバーが攻撃されているかどうかを確認するときに最も重要なのは、ログの記録です。IIS MMC スナップインをロードして、W3C (World Wide Web Consortium) 拡張ログファイル形式を使用する必要があります。これには、次のように操作します。

  1. Web サイトを右クリックします。

  2. [プロパティ] をクリックします。

  3. [W3C 拡張ログ ファイル形式] をクリックします。

また、ログ ファイルの [プロパティ] ダイアログ ボックスで、必要な全般プロパティと拡張プロパティをすべて設定してください。

以上の設定は、Web サイトを運営しているコンピュータいずれにも当てはまります。

すべてのサンプル アプリケーションを無効化または削除する

サンプルはあくまでもサンプルですので、運用サーバーにはインストールすべきではありません。サンプル アプリケーションには、ドキュメント (SDK のドキュメントにはサンプル コードも含まれます)、SDK に同梱されている Exploration Air サンプル サイトなどが含まれます。主要なサンプルの既定の場所は次のとおりです。

テクノロジ 場所
IIS c:\inetpub\iissamples
IIS SDK c:\inetpub\iissamples\sdk
管理スクリプト c:\inetpub\AdminScripts
データ アクセス c:\Program Files\Common Files\System\msadc\Samples
以上の設定は、Web サイトを運営しているコンピュータいずれにも当てはまります。 [](#mainsection)[ページのトップへ](#mainsection) ### ポリシーを使用してセキュリティの構成を適用する セキュリティのポリシーを作成し適用する目的は、ネットワーク境界内の Windows 2000 Server のセキュリティの構成と管理を、中央から集中的に、かつ簡単に行うことです。組織単位を使用することは、IIS サーバーなどの特別なセキュリティ要件を持っているサーバーと、そのほかのサーバーとを分けるには最適な方法です。特別なセキュリティ要件を持っているサーバーを組織単位ごとに分けて、ポリシー アーキテクチャを計画することが重要です。これは、システム全体が運用段階にはいり、問題が発生してポリシーを元に戻す必要性が発生した場合は、その組織単位に属するサーバーだけに影響範囲を絞って、ネットワーク境界内のそのほかのサーバーに影響が広がることを避けるためです。 #### ポリシーの階層と継承 グループ ポリシーは、最も制限の弱いコンテナ グループ (ローカル グループ) から最も制限の強いコンテナ グループ (組織単位) まで、階層的に適用されます。下位のコンテナ グループには、上位のコンテナ グループのグループ ポリシーが既定で継承されます。ポリシーが適用される順序は、下位から順に、ローカル サーバー グループ、サイト グループ、ドメイン グループ、そして最後に組織単位です。今回の銀行での実装には、共通のセキュリティ要件を満たすのにドメイン規模のポリシーを使用し、特定のサーバーのセキュリティ要件を満たすのには組織単位のポリシーを使用しました。こうして、ローカル サーバー グループの既定のポリシーを上書きします。 **ドメイン ポリシー** 組織単位によるセキュリティ管理に加えて、すべてのサーバーに対するアカウント、監査、ユーザー権利など、ネットワーク境界に必要な共通のセキュリティ ポリシーを割り当てることで、ドメイン規模のポリシーを実装しました。ドメインを構成すると、既定のドメイン ポリシーが作成されます。基本的には既定のポリシーを変更せずに、新しいポリシーを作成し、またこのポリシーを既定のドメイン ポリシーとリンクさせ、パラメータの一部を使用して既定のポリシーを上書きします。リンクされたポリシーに定義されているパラメータだけが、既定のドメイン ポリシーを上書きします。問題がある場合は、上書きしているポリシーを無効にします。こうすることで、既定のドメイン ポリシーを再び適用することができます。 **ドメイン コントローラのポリシー** ドメインを構築すると、ドメイン コントローラ用には、別の既定のポリシーが作成されます。ドメイン コントローラの既定のポリシーを上書きするには、特定のセキュリティ ポリシーを適用する必要があります。新しいドメイン コントローラ ポリシーを作成し、ドメイン ポリシーのときと同様に、前述の既定のドメイン コントローラ ポリシーにリンクします。新しいドメイン ポリシーを作成することで、問題が発生した場合に簡単に上書きを取り消すことができます。ポリシーの上書きを取り消すと、既定のポリシーが再び適用されます。 **グループ ポリシーの適用** グループ ポリシーは、サーバーを再起動すると適用されます。既定では、Windows 2000 ベースのコンピュータでグループ ポリシーが再適用される間隔は、90 分です。グループ ポリシーを直ちにサーバーに適用するには、サーバーで次のコマンドを実行します。 Secedit /refreshpolicy machine\_policy **ポリシーの設計と実装** コンピュータのセキュリティ設定を変更するグループ ポリシーは、次のように複数のセクションに分割されています。 - アカウント ポリシーのセクション - パスワード ポリシー - アカウント ロックアウトのポリシー - Kerberos のポリシー - ローカル ポリシーのセクション - 監査のポリシー - ユーザー権利のポリシー - セキュリティ オプションのポリシー - システム サービスのポリシー 銀行用に構成したドメイン ポリシーは、ネットワーク境界にあるすべてのサーバーに共通しているアカウントのポリシーと監査のポリシーを変更します。さらに、\[セキュリティ オプション\] と \[システム サービス\] を構成してから、特定のサーバー クラスごとに作成した組織単位ごとに適用します。レジストリの追加設定や IIS サーバーの TCP/IP パラメータの強化など、組織単位ごとに作成したセキュリティ テンプレートに記述することもできます。銀行向けのセキュリティ ポリシーの作成と実装には、次の手順をとりました。 1. 既定のローカルおよびドメイン ポリシーの理解と文書化 2. サーバー クラスごとにグループ ポリシーを分けるための組織単位の作成 3. 組織単位内に定義した各サーバー グループ固有のセキュリティ テンプレート (inf ファイル) の作成 4. 新たに作成したグループ ポリシーへのセキュリティ テンプレートのインストール 5. ドメイン コントローラのセキュリティ テンプレートの作成とインストール 6. ドメイン グループ ポリシーのセキュリティ テンプレートの作成とインストール **既定のローカル ポリシーとドメイン ポリシーの文書化** ドメインを最初に作成するときに、ドメイン ポリシーとドメイン コントローラ ポリシーが、既定の設定で作成されます。ポリシーに対する変更をネットワーク境界に適用する前に、メンバ サーバーとドメイン コントローラの既定のポリシーの現在の設定を確認し、文書化する必要があります。既定のドメイン ポリシーの詳細については、「付録 A」を参照してください。 **サーバー クラスごとの組織単位を Active Directory に作成する** 組織単位を分けると、サーバー クラスごとにカスタマイズしたセキュリティ テンプレートを適用するための、グループ ポリシーの配置作業が簡単になります。ドメイン コントローラは、既定で組織単位ごとに存在します。銀行では、ネットワーク境界の異なるサーバー クラスに基づいて 4 つの組織単位を作成しました。作成した組織単位の名前は次のとおりです。各組織単位に適用したセキュリティの簡単な説明も付記します。 *IIS サーバー。* これらのサーバーには、ネットワーク境界の最前線にあるため、最も強力なセキュリティを適用する必要があります。これらの IIS サーバー向けに作成したセキュリティ モデルにより、強力なセキュリティを実施します。このモデルには、TCP/IP スタックの強化、不要なサービスの無効化、およびグループ ポリシーの制限を強化する既定のセキュリティ オプションの上書きが含まれます。このセクションの終わりにある「ポリシー テンプレート」を参照してください。 *FTP サーバー。*上記の IIS サーバーと同じセキュリティ モデルに FTP を有効にしたものを適用しています。このセクションの終わりにある「ポリシー テンプレート」を参照してください。 *LDAP サーバー。* IIS サーバー向けに作成したのと同じセキュリティ ポリシーを、同じサービスを無効にしたまま LDAP サーバーに適用しています。ただし、TCP/IP パラメータの強化は適用しません。 **各サーバー クラスごとにカスタマイズしたセキュリティ テンプレートを作成する** サーバーの種類ごとに、それぞれに適したセキュリティ設定を行う必要があります。これらの相違点はわずかですが、サーバーの種類ごとに個別のテンプレートを作成しておくと、管理が自動化しやすくなります。銀行の各サーバー分類ごとに作成したテンプレートは次のとおりです。以下のテンプレートは、ネットワーク境界のドメイン コントローラに格納されます。 - Bank IIS.inf を IIS サーバーの組織単位にインストール - Bank FTP.inf を FTP サーバーの組織単位にインストール - Bank LDAP.inf を LDAP サーバーの組織単位にインストール - Bank SQL.inf を SQL サーバーの組織単位にインストール - Bank Domain.inf をドメイン コンテナにインストール - Bank Domain Controller.inf をドメイン コントローラの組織単位にインストール テンプレートの確認や変更をするには、\[セキュリティ テンプレート\] MMC スナップインを開き、既定の Templates ディレクトリを展開します。このディレクトリは %systemroot%\\security\\templates の下にあり、一覧表示されたテンプレートの中から 1 つを選んで、その現在の設定を表示します。この設定を変更するには、テンプレート内のポリシーをダブルクリックし、必要な変更を行います。テンプレートを保存するには、Bank IIS.INF などのテンプレート名を右クリックし、\[上書き保存\] をクリックして設定を上書きするか、\[名前を付けて保存\] をクリックして、新しいテンプレートを作成し、テストなどに使用します。 **組織単位のコンテナごとにグループ ポリシーをインストールする** セキュリティ テンプレートを作成したら、組織単位ごとに新しいグループ ポリシーを作成し、新しく作成したポリシーにセキュリティ テンプレート (inf ファイル) をインポートします。この操作を行うには、\[Active Directory ユーザーとコンピュータ\] コンソールを開き、ポリシーを作成する組織単位に移動します。 1. 変更する組織単位をクリックし、\[プロパティ\] をクリックします。 2. \[グループ ポリシー\] タブをクリックします。 3. \[新規\] をクリックし、新しいポリシーの名前を入力します。 4. \[閉じる\] をクリックします。 5. 新しいポリシーを選択し、\[編集\] をクリックします。 6. \[Windows の設定\] の下の \[セキュリティの設定\] フォルダにある \[プロパティ\] をクリックします。 7. \[ポリシーのインポート\] をクリックし、前の手順で作成したセキュリティ テンプレートをインポートします。 8. \[インポートする前にこのデータベースをクリアする\] チェック ボックスをオンにします。 9. \[閉じる\] をクリックします。 これでポリシーが作成され、正しいテンプレートと共にロードされます。コンピュータを対象の組織単位に移設できるようになり、ポリシーも適用できます。同じ手順で、ドメイン コントローラとドメイン ポリシーをインストールします。 **ポリシー テンプレート** 次の表のパラメータと値は、銀行のドメインに参加しているすべてのサーバーとワークステーション用の既定のドメイン設定です。ドメイン コントローラ ポリシーは、ドメイン コントローラのためだけにユーザー権利のポリシーを変更します。また、ドメインに参加しているすべてのサーバーに対しては、アカウント ポリシーのみを変更します。

アカウント ポリシー – パスワードのポリシー  
パスワードの履歴を記録する 0
パスワードの変更禁止期間 42
パスワードの長さ 0
パスワードは要求する複雑さを満たす 無効
暗号化を元に戻せる状態でドメインのすべてのユーザーのパスワードを保存する 無効
アカウント ポリシー – アカウント ロックアウトのポリシー  
ロックアウト期間 0
アカウントのロックアウトのしきい値 0
ロックアウト カウントのリセット 30
アカウント ポリシー – Kerberos のポリシー  
ユーザー ログオンの制限を強制する 有効
サービス チケットの有効期間 600 分
チケットの有効期間 10 時間
ユーザー チケットを更新できる有効期間 7 日
コンピュータの時計の同期のトレランス 5 分
ローカル ポリシー – 監査ポリシー  
アカウント ログオン イベントの監査 監査しない
アカウント管理の監査 監査しない
ディレクトリ サービスのアクセスの監査 監査しない
ログオン イベントの監査 監査しない
オブジェクト アクセスの監査 監査しない
ポリシーの変更の監査 監査しない
特権使用の監査 監査しない
プロセス追跡の監査 監査しない
システム イベントの監査 監査しない
ローカル ポリシー – アプリケーション イベント ログ  
アプリケーション イベント ログ – MaximumLogSize 未定義
アプリケーション イベント ログ – AuditLogRetentionPeriod 未定義
アプリケーション イベント ログ – RestrictGuestAccess 未定義
ローカル ポリシー – セキュリティ イベント ログ  
アプリケーション イベント ログ – MaximumLogSize 未定義
アプリケーション イベント ログ – AuditLogRetentionPeriod 未定義
アプリケーション イベント ログ – RestrictGuestAccess 未定義
ローカル ポリシー – システム イベント ログ  
アプリケーション イベント ログ – MaximumLogSize 未定義
アプリケーション イベント ログ – RestrictGuestAccess 未定義
ユーザー権利の割り当て – 既定のドメイン コントローラ ポリシーから作成される  
ネットワーク経由でコンピュータへアクセス Administrators、Backup Operators、Power Users、Users、Everyone、IUSR_< コンピュータ名 >
オペレーティングシステムの一部として機能 LocalSystem
ドメインにワークステーションを追加 Authenticated Users
ファイルとディレクトリのバックアップ Administrators、Backup Operators
走査チェックのバイパス Administrators、Backup Operators、Power Users、Users、Everyone、IUSR_< コンピュータ名 >
システム時刻の変更 Administrators、Server Operators
ページファイルの作成 Administrators
トークン オブジェクトの作成 LocalSystem
永続的共有オブジェクトの作成 LocalSystem
プログラムのデバッグ Administrators、LocalSystem
ネットワーク経由でコンピュータへアクセスを拒否する < なし >
バッチジョブとしてログオンを拒否する < なし >
サービスとしてログオンを拒否する < なし >
ローカルでログオンを拒否する < なし >
コンピュータとユーザー アカウントに委任時の信頼を付与  
リモート コンピュータからの強制シャットダウン Administrators、Server Operators
セキュリティ監査の生成 LocalSystem
クォータの増加 Administrators
スケジューリング優先順位の繰り上げ Administrators
デバイス ドライバのロードとアンロード Administrators
メモリ内のページのロック 現在では使用されていません。
バッチ ジョブとしてログオン LocalSystem
サービスとしてログオン アクセス許可を与えません。
ローカル ログオン Administrators、Backup Operators、Power Users、Users、ISInternet User
監査とセキュリティ ログの管理 Administrators
ファームウェア環境値の修正 Administrators、LocalSystem
単一プロセスのプロファイル Administrators、LocalSystem
システム パフォーマンスのプロファイル Administrators、LocalSystem
ドッキング ステーションからコンピュータを削除 Administrators、Power Users、Users
プロセス レベル トークンの置き換え LocalSystem
ファイルとディレクトリの復元 Administrators、Backup Operators、Server Operators
システムのシャットダウン Administrators、Backup Operators、Server Operators
ディレクトリ サービス データの同期化 現在は使用されていません。
ファイルとその他のオブジェクトの所有権の取得 Administrators
セキュリティ オプション  
匿名接続の追加を制限する なし (既定のアクセス権に依存)
サーバー オペレータがタスクのスケジュールを割り当てるのを許可する (ドメイン コントローラのみ) 未定義
システムをシャットダウンするのにログオンを必要としない 無効
リムーバブル NTFS メディアを取り出すのを許可する Administrators
セッションを切断する前に、ある一定のアイドル時間を必要とする 15 分
グローバル システム オブジェクトへのアクセスを監査する 無効
バックアップと復元の特権の使用を監査する 有効
ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル) 有効
システムのシャットダウン時に仮想メモリのページ ファイルをクリアする 無効
常にクライアント側の通信にデジタル署名を行う 有効
可能な場合、クライアントの通信にデジタル署名を行う 有効
常にサーバーの通信にデジタル署名を行う 有効
可能な場合、サーバーの通信にデジタル署名を行う 有効
ログオンに Ctrl + Alt + Del を必要としない 無効
ログオン画面に最後のユーザー名を表示しない 有効
LAN Manager 認証レベル LM NTLM 応答の送信
ログオン時のユーザーへのメッセージのテキスト  
ログオン時のユーザーへのメッセージのタイトル  
ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 10 ログオン
コンピュータ アカウント パスワードのシステム保守をしない 無効
ユーザーがプリンタ ドライバをインストールできないようにする 有効
パスワードが無効になる前にユーザーに変更を促す 14 日
回復コンソール : 自動管理ログオンを許可する 無効
回復コンソール : ドライブとフォルダに、フロッピーのコピーとアクセスを許可する 無効
Administrator アカウント名の変更 未定義
Guest アカウント名の変更 未定義
CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する 有効
フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する 有効
セキュリティで保護されたチャネル : 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する 無効
セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する 有効
セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する 有効
セキュリティで保護されたチャネル : 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする 無効
サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する 無効
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする 無効
スマート カード取り出し時の動作 何もしない
グローバル システム オブジェクトの既定のアクセス許可を強化する 有効
署名されていないドライバのインストール時の動作 未定義
署名されていないドライバ以外のインストール時の動作 未定義
**IIS のグループ ポリシー セキュリティの構成** 次の手順は、Web のセキュリティ テンプレートを作成し、前の例でネットワーク境界の Web サーバーとして表現されている組織単位に適用することです。次の表にあるパラメータをすべて含むセキュリティ テンプレート (Bank Secweb.INF) を作成し、MMC スナップインのセキュリティの構成と分析ツールを使用して適用しました。このテンプレートは、米国 Microsoft IIS セキュリティ チーム提供の hisecweb.inf ファイルをカスタマイズしたものです。次の表のパラメータとそれに関連した値は、銀行のネットワーク境界サーバーに設定された組織単位に適用されたローカル ポリシーの現在の構成です。

セキュリティ オプション  
匿名接続の追加を制限する なし (既定のアクセス権に依存)
サーバー オペレータがタスクのスケジュールを割り当てるのを許可する (ドメイン コントローラのみ) 未定義
システムをシャットダウンするのにログオンを必要としない 無効
リムーバブル NTFS メディアを取り出すのを許可する Administrators
セッションを切断する前に、ある一定のアイドル時間を必要とする 15 分
グローバル システム オブジェクトへのアクセスを監査する 無効
バックアップと復元の特権の使用を監査する 有効
ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル) 有効
システムのシャットダウン時に仮想メモリのページ ファイルをクリアする 無効
常にクライアント側の通信にデジタル署名を行う 無効
可能な場合、クライアントの通信にデジタル署名を行う 有効
常にサーバーの通信にデジタル署名を行う 無効
可能な場合、サーバーの通信にデジタル署名を行う 有効
ログオンに Ctrl + Alt + Del を必要としない 無効
ログオン画面に最後のユーザー名を表示しない 有効
LAN Manager 認証レベル NTLMv2 応答のみ送信する
ログオン時のユーザーへのメッセージのテキスト 認証されていないアクセスであることを示すメッセージ
ログオン時のユーザーへのメッセージのタイトル I M P O R T A N T N O T I C E ! !
ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 10 ログオン
コンピュータ アカウント パスワードのシステム保守をしない 無効
ユーザーがプリンタ ドライバをインストールできないようにする 有効
パスワードが無効になる前にユーザーに変更を促す 14 日
回復コンソール : 自動管理ログオンを許可する 無効
回復コンソール : ドライブとフォルダに、フロッピーのコピーとアクセスを許可する 無効
Administrator アカウント名の変更 未定義
Guest アカウント名の変更 Vistor
CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する 有効
フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する 有効
セキュリティで保護されたチャネル : 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する 有効
セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する 有効
セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する 有効
セキュリティで保護されたチャネル : 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする 有効
サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する 無効
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする 無効
スマート カード取り出し時の動作 何もしない
グローバル システム オブジェクトの既定のアクセス許可を強化する 有効
署名されていないドライバのインストール時の動作 警告するがインストールは許可する
署名されていないドライバ以外のインストール時の動作 警告するがインストールは許可する
**得られた教訓** 以上のポリシーを適用した結果、次の教訓を得ました。 - 印刷スプーラを無効にすると、WinMgmt (WMI) によってイベント ID 37 のエラー メッセージが、アプリケーション イベント ログに記録される。 - \[可能な場合、サーバーの通信にデジタル署名を行う\] を有効にすると、Netlogon サービスによって、"ドメイン コントローラが見つからない" を示すエラー メッセージがイベント ログに記録される。セキュリティで保護されたチャネルの設定は、ドメイン内のサーバーに実装する前に、ドメイン コントローラに適用する必要がある。 - BackupExec エージェントをリモートからドメイン内のサーバーにインストールするには、その前に、インストール先のサーバーでリモート レジストリ サービスを開始しておく必要がある。このサービスは、セキュリティ ロックダウンの一環として無効にしてある。また、インストール前に、C$ 共有をサーバー上に作成しておく必要がある。 - 不要なサービスの無効を自動化するのに、スクリプトまたはセキュリティ テンプレートを作成する。また、オペレーティング システムを NT4.0 から Windows 2000 にアップグレードすると、セキュリティ ロックダウン時に無効にしたサービスのなかには有効になるものがある。 [](#mainsection)[ページのトップへ](#mainsection) ### 監査と監視方法を策定する #### セキュリティ ツール これまで Windows 2000 セキュリティ モデルの概要について説明し、またシステムのインフラストラクチャをセキュリティで保護する方法についても理解しました。次の重要な段階は、セキュリティの不備を事前に検出する方法についてしっかりと理解することです。今回のプロジェクトではセキュリティが重要な課題でしたので、不正侵入を確実に撃退するのにこれらの処置を考慮する必要がありました。 定義したセキュリティ ポリシーを確実に実行するには、いくつかの段階を踏む必要があります。セキュリティ ポリシーの設定を検証するプロセスは、幅広い分野に渡るため、時間もかかり単調になりがちです。セキュリティ関係のツールがいくつか市販されていますので、これらのツールを利用すると検証プロセスを簡単にすることができます。これらのツールの機能には、基本的なポート スキャナからシステム全体のセキュリティをスキャンするものまであります。セキュリティに関するツールは、通常以下のように分類されます。 - 脆弱性とポートのスキャナ - ファイル システム チェッカー - イベント ログ アナライザ - レジストリ アナライザ - アクセス制御 (ACL) アナライザ - パケット スニファ - パスワード クラッカー - システム全体のセキュリティ スキャナ これらのセキュリティ ツールをさらに理解するには、それぞれの機能を理解する必要があります。これから上記の分類ごとに詳しく見て、各ツールの機能と利用価値を理解します。 **脆弱性とポートのスキャナ** Windows 2000 の各ネットワーク サービスは、クライアントからの要求に対応するため、特定のポート (既知のポート) を通常リッスンします。Web サーバーではポート 80 をリッスンし、ポート 443 は SSL 通信でリッスンされます。"既知のポート" 一覧には、予約済みのポートと各ポートで提供されるサービスがすべて列挙されています。今回の銀行プロジェクトでは、リモート コンピュータのポートがスキャン可能だと、銀行システムへの侵入ポイントをハッカーに気付かれる恐れがありました。ポート スキャナは、ハッカーが利用可能なポートを特定するのに通常最初に悪用するツール セットです。したがって、現在開いているポートと閉じているポートの構成を知るには、この種のツールを使用することが重要です。ポート スキャナとしては次のようなものがあります。 - Nessus Project— 脆弱性スキャナ () **ファイル システム チェッカー** システム レベルで問題がないかどうかをスキャンする事前予防に利用可能な別のツール セットとしては、Pedestal Software 社 (

ユーザー権限 レジストリ キーと説明 (『リソース キット : Group Policy Reference』より)
ネットワーク経由でコンピュータへアクセス Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
ネットワーク経由でコンピュータに接続できるユーザーおよびグループを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
  • ワークステーションおよびサーバー
    • Administrators
    • Backup Operators
    • Power Users
    • Users
    • Everyone
  • ドメイン コントローラ
    • Administrators
    • Authenticated Users
    • Everyone
オペレーティング システムの一部として機能 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
このポリシーは、プロセスをユーザーと同様に認証し、ユーザーと同じリソースにアクセスできるようにします。低レベルの認証サービスのみがこの特権を必要とします。 実行可能なアクセスは、ユーザーと既定で関連付けられたものに限定されません。任意の特権をアクセス トークンに追加するように呼び出し側プロセスが要求する可能性があります。さらに重要な点は、いずれのアクセスもすべて提供する匿名トークンを呼び出し側プロセスが作成できます。また、匿名トークンは、監査ログのイベントを追跡するためのプライマリ ID を提供しません。 この特権が必要なプロセスは、この特権を特別に割り当てた別のユーザー アカウントを使用するのではなく、この特権を既に持っている LocalSystem アカウントを使用することをお勧めします。 既定では、LocalSystem アカウントだけがオペレーティング システムの一部として機能する権限を持っています。
ファイルとディレクトリのバックアップ Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
ファイルとディレクトリのアクセス許可の有無にかかわらずシステムをバックアップ可能なユーザーを決めます。 具体的には、この特権は、システム上のすべてのファイルとフォルダに対する次のアクセス許可をユーザーとグループに認めるのと類似しています。
  • フォルダのスキャンとファイルの実行
  • フォルダの一覧表示/データの読み取り
  • 属性の読み取り
  • 拡張属性の読み取り
  • アクセス許可の読み取り

このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
  • ワークステーションおよびサーバー
    • Administrators
    • Backup Operators
  • ドメイン コントローラ
    • Administrators
    • Backup Operators
走査チェックのバイパス Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
通過するディレクトリに対するアクセス権を持っていなくてもディレクトリ ツリーを通過できるユーザーを決めます。この特権では、ユーザーはディレクトリを通過できるだけで、ディレクトリの内容を一覧表示することはできません。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
  • ワークステーションおよびサーバー
    • Administrators
    • Backup Operators
    • Power Users
    • Users
    • Everyone
  • ドメイン コントローラ
    • Administrators
    • Authenticated Users
    • Everyone
システム時刻の変更 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
コンピュータの内部時計の日付と時刻を変更できるユーザーおよびグループを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
  • ワークステーションおよびサーバー
    • Administrators
    • Power Users
  • ドメイン コントローラ
    • Administrators
    • Server Operators
ページ ファイルの作成 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
ページファイルの作成およびサイズの変更ができるユーザーおよびグループを決めます。ページファイルの作成は、[システムのプロパティ] の [パフォーマンス オプション] で、ページング ファイルを作成するドライブを選択してから、そのファイル サイズを指定することで行います。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、ページファイルの作成が許可されているのは Administrators です。
トークン オブジェクトの作成 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
トークンを作成するのにプロセスが使用するアカウントを決めます。この作成されたトークンとは、プロセスが NtCreateToken() またはほかのトークン作成 API を使用した場合にアクセスできるいずれのローカル リソースにもアクセスできるトークンです。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 この特権が必要なプロセスでは、この特権を特別に割り当てた別のユーザー アカウントを使用するのではなく、この特権を既に持っている LocalSystem アカウントを使用することをお勧めします。
プログラムのデバッグ Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
任意のプロセスにデバッガをアタッチできるユーザーを決めます。この特権により、オペレーティング システムの機密に属する重要なコンポーネントに強力にアクセスできます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、Administrators および LocalSystem アカウントのみが、プログラムをデバッグする特権を持っています。
ネットワーク経由でコンピュータへアクセスを拒否する Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
コンピュータに対するネットワーク経由でのアクセスを拒否するユーザーを決めます。同じユーザー アカウントに、このポリシーと [ネットワーク経由でコンピュータへアクセス] のポリシーの両方が設定されている場合、このポリシーが優先されます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、プロセスがセキュリティ監査を生成するのに使用する特権を持っているのは、LocalSystem アカウントだけです。
バッチ ジョブとしてログオンを拒否する Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
バッチ ジョブとしてログオンを拒否するアカウントを決めます。同じユーザー アカウントに、このポリシーと [バッチ ジョブとしてログオン] のポリシーの両方が設定されている場合、このポリシーが優先されます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、バッチ ジョブとしてログオンを拒否されているアカウントはありません。
サービスとしてログオンを拒否する Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
サービスとしてプロセスの登録を拒否するサービス アカウントを決めます。同じアカウントに、このポリシーと [サービスとしてログオン] のポリシーの両方が設定されている場合、このポリシーの方が優先されます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、サービスとしてログオンを拒否されているアカウントはありません。
ローカルでログオンを拒否する Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
コンピュータに対するキーボードからのログオンを拒否するユーザーを決めます。同じアカウントに、このポリシーと [ローカル ログオン] ポリシーの両方が設定されている場合、このポリシーが優先されます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、ローカルでのログオンを拒否されているアカウントはありません。
コンピュータとユーザー アカウントに委任時の信頼を付与 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
ユーザーまたはコンピュータ オブジェクトの [コンピュータを委任に対して信頼する] を設定できるユーザーを決めます。 この特権が与えられたユーザーまたはオブジェクトは、ユーザーまたはコンピュータ オブジェクトのアカウント コントロール フラグの書き込みアクセス権を持っている必要があります。委任に対して信頼されているコンピュータ上 (またはユーザー コンテキスト下) で実行されているサーバー プロセスは、クライアントが委任した資格情報を使用してほかのコンピュータ上のリソースにアクセスすることができます。ただし、クライアントのアカウントが、[アカウントは委任できない] アクセス コントロール フラグを設定している場合は除きます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
  • ワークステーションおよびサーバー
    • (なし)
  • ドメイン コントローラ
    • Administrators

この特権または [コンピュータを委任に対して信頼する] の設定を不注意に使用すると、ネットワークがトロイの木馬プログラムを使った巧妙な攻撃にさらされる危険があります。トロイの木馬プログラムは、着信クライアントになりすましてクライアントの資格情報を使用し、ネットワーク リソースにアクセスしようとするプログラムです。
リモート コンピュータからの強制シャットダウン Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
ネットワーク上のリモートからコンピュータをシャットダウンできるユーザーが決まります。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
  • ワークステーションおよびサーバー
    • Administrators
  • ドメイン コントローラ
    • Administrators
セキュリティ監査の生成 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
プロセスがセキュリティ ログにエントリを追加するのに使用するアカウントを決めます。セキュリティ ログは、不正なシステム アクセスを追跡するのに使用できます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、LocalSystem アカウントだけに、プロセスがセキュリティ監査を生成するのに使用できる権限があります。
クォータの増加 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
ほかのプロセスに割り当てられたプロセッサ クォータを増やすのに、ほかのプロセスへのプロパティの書き込みアクセスを持つプロセスを使用できるアカウントを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
  • ワークステーションおよびサーバー
    • Administrators
  • ドメイン コントローラ
    • Administrators
この特権はシステム調整に有用ですが、サービスの妨害 (DoS) 攻撃などに悪用される危険があります。
スケジューリング優先順位の繰り上げ Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
ほかのプロセスの実行優先順位を繰り上げられるプロセスが別にあり、後者のプロセスに対してプロパティの書き込みアクセスを持つもう 1 つ別のプロセスがある場合、このプロセスを使用できるアカウントを決めます。この特権を持つユーザーは、[ Windows タスク マネージャ] ダイアログ ボックスでプロセスのスケジューリング優先度を変更できます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
  • ワークステーションおよびサーバー
    • Administrators
  • ドメイン コントローラ
    • Administrators
デバイス ドライバのロードとアンロード Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
デバイス ドライバを動的にロードおよびアンロードできるユーザーを決めます。プラグ アンド プレイ用のドライバをインストールするにはこの権限が必要です。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
  • ワークステーションおよびサーバー
    • Administrators
  • ドメイン コントローラ
    • Administrators
メモリ内のページのロック Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
この権限は現在では使用されていませんので、この権限の有無が確認されることはありません。 このポリシーでは、システムがディスク上の仮想メモリにデータをページングしないように、物理メモリ内にデータを保持するプロセスを使用できるアカウントを決めます。この権限を行使すると、システムのパフォーマンスに著しく影響します。
バッチ ジョブとしてログオン Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
ユーザーは、バッチキュー機能を使ってログオンできるようになります。 たとえば、ユーザーがタスク スケジューラを使用してジョブをサブミットした場合、タスク スケジューラは、そのユーザーを、対話型ユーザーとしてではなく、バッチ ユーザーとしてログに記録します。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、LocalSystem アカウントだけがバッチ ジョブとしてログオンできる権限を持っています。 「バッチジョブとしてログオンを拒否する」も参照してください。 Windows 2000 の最初のリリースでは、タスク スケジューラがこの権限を必要な権限として自動的に認めていました。
サービスとしてログオン Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
プロセスをサービスとして登録できるサービス アカウントを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、サービスとしてログオンできる権限を持っているアカウントはありません。
ローカルでログオン Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
キーボードからコンピュータにログオンできるユーザーを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
  • ワークステーションおよびサーバー
    • Administrators
    • Backup Operators
    • Power Users
    • Users
    • Everyone
  • ドメイン コントローラ
    • Account Operators
    • Administrators
    • Backup Operators
    • Print Operators
ユーザーにドメインコントローラーへのローカルなログオンを認めるには、既定のドメイン コントローラ グループ ポリシー オブジェクトを使用してこの権限を認める必要があります。
監査とセキュリティ ログの管理 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
ファイル、Active Directory オブジェクト、レジストリ キーなどの個々のリソースにオブジェクト アクセス監査オプションを指定できるユーザーを決めます。 この権限を持っているユーザーは、選択したオブジェクトの監査オプションを指定するのに、[プロパティ] ダイアログ ボックスにある [セキュリティ] タブのセキュリティ許可設定エディタを使用することができます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、Administrators のみが監査ログとセキュリティ ログを管理する権限を持っています。 このポリシーでは、ユーザーが、ファイルとオブジェクトのアクセス監査を有効に指定することは認められていません。このような監査を実行するには、[監査ポリシー] の [オブジェクト アクセスの監査] の設定を構成する必要があります。
単一プロセスのプロファイル Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
システム外プロセスのパフォーマンスを監視するのに、Windows NT と Windows 2000 のパフォーマンス監視ツールを使用できるユーザーを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、Administrators および LocalSystem アカウントのみが、単一システム外プロセスをプロファイルできる権限を持っています。
システム パフォーマンスのプロファイル Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
システム プロセスのパフォーマンスを監視するのに、Windows NT と Windows 2000 のパフォーマンス監視ツールを使用できるユーザーを決めます。このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、Administrators および LocalSystem アカウントのみが、単一システム外プロセスをプロファイルできる権限を持っています。
ドッキング ステーションからコンピュータを削除 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
ラップトップ コンピュータをそのドッキング ステーションから取り外せるユーザーを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 サーバーおよびワークステーションについては、Administrators、Power Users および Users が、Windows 2000 をアップグレードしたものではなく、"クリーン インストール" したコンピュータのドッキング ステーションからラップトップ コンピュータを取り外せる権限を持っています。コンピュータのオペレーティング システムを Windows NT から Windows 2000 にアップグレードしている場合、ラップトップ コンピュータをドッキング ステーションから取り外せる権限を、対象のグループまたはユーザーに対して明示的に認める必要があります。
プロセス レベル トークンの置き換え Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
起動されたサブプロセスに関連付けられている既定のトークンを置き換えるプロセスを起動できるユーザー アカウントを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、LocalSystem アカウントのみが、この権限を持っています。
ファイルとディレクトリの復元 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
バックアップしたファイルとディレクトリの復元時にファイルとディレクトリのアクセス許可の有無に拘束されないユーザーと、オブジェクトの所有者として有効な任意のセキュリティ プリンシパルを設定できるユーザーを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
  • ワークステーションおよびサーバー
    • Administrators
    • Backup Operators
  • ドメイン コントローラ
    • Administrators
    • Backup Operators
    • Server Operators
システムのシャットダウン Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
ローカルにコンピュータにログオンしたユーザーの中で、シャットダウン コマンドを使用してそのオペレーティング システムをシャットダウンできるユーザーを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 各プラットフォーム上でこの権限を付与されている既定のグループは次のとおりです。
  • ワークステーションおよびサーバー
    • Administrators
    • Backup Operators
    • Power Users
    • Users
  • ドメイン コントローラ
    • Account Operators
    • Administrators
    • Backup Operators
    • Server Operators
    • Print Operators
ディレクトリ サービス データの同期化 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
このポリシー設定は、Windows 2000 の最初のリリースでは使用されていませんでした。
ファイルとその他のオブジェクトの所有権の取得 Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Active Directory オブジェクト、ファイルとフォルダ、プリンタ、レジストリ キー、プロセス、スレッドなどシステム内の保護できる任意のオブジェクトの所有権を取得できるユーザーを決めます。 このユーザー権限は、既定のドメイン コントローラ グループ ポリシー オブジェクト、およびワークステーションとサーバーのローカル セキュリティ ポリシーに定義されています。 既定では、Administrators のみがファイルなどのオブジェクトの所有権を取得する権限を持っています。

ページのトップへ

付録 B: ローカル セキュリティの設定 (『リソース キット : Group Policy Reference』より)

匿名接続の追加を制限する

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Windows 2000 では、匿名ユーザーは、ドメイン アカウント名やネットワーク共有の列挙などの特定の操作行うことができます。たとえば、相互の信頼関係を行っていない信頼される側のドメインで、管理者がユーザーのアクセスを認める場合などは好都合です。既定では、匿名ユーザーには、特定のリソースに対して Everyone グループに認められているのと同じ権限があります。

このセキュリティ オプションを使用すると、匿名接続に対して次のような制限事項を追加することができます。

  • なし (既定のアクセス権に依存)

  • SAM のアカウントと共有の列挙を許可しない

    このオプションでは、リソースに対するセキュリティのアクセス許可について、"Everyone" を "Authenticated Users" に置き換えます。

  • 明示的な匿名アクセス権がない場合アクセスを許可しない

    このオプションを設定すると、匿名ユーザー トークンから "Everyone" と "Network" が削除されます。こうすると、"Anonymous" には必要なリソースに対する明示的なアクセス権を付与することが必要になります。

システムをシャットダウンするのにログオンを必要としない

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Windows にログオンすることなくコンピュータをシャットダウンできるかどうかを決めます。

このポリシーを有効にすると、Windows のログオン画面に [シャットダウン] が表示されます。

このポリシーを無効にすると、コンピュータをシャットダウンするオプションが Windows のログオン画面に表示されなくなります。この場合、ユーザーはコンピュータに正常にログオンできる必要があり、また、システムをシャットダウンするにはシステムをシャットダウンできる権限が必要になります。

既定では、このオプションは、ローカル コンピュータ ポリシーの設定で、ワークステーションでは有効になっていて、サーバーでは無効になっています。

リムーバブル NTFS メディアを取り出すのを許可する

レジストリの設定

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

コンピュータからリムーバブル NTFS メディアを取り出せる人を決めます。

このポリシーは、ローカル コンピュータ ポリシーに既定で定義されています。既定では、管理者だけがリムーバブル NTFS メディアを取り出せる権限を持っています。このポリシーの設定は、対話型ユーザーがコンピュータからリムーバブル NTFS メディアを取り出せるように変更することができます。

セッションを切断する前に、ある一定のアイドル時間を必要とする

レジストリの設定

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

非アクティブ状態によりセッションを切断される前にサーバー メッセージ ブロック (SMB) セッションを通過するための、ある一定のアイドル時間を決めます。

管理者はこのポリシーを使用して、非アクティブな SMB セッションの切断を制御することができます。クライアントの接続が続く場合、このセッションは自動的に再接続されます。

このポリシーは、サーバーではローカル コンピュータ ポリシーに既定で定義されています。既定値は 15 分になっています。このポリシーは、ワークステーションでは定義されていません。

このポリシー設定で、値を 0 にすると最速でアイドル セッションを切断します。最大値は 0xFFFFFFFF で、設定は無効になります。

グローバル システム オブジェクトへのアクセスを監査する

レジストリの設定

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

グローバル システム オブジェクトへのアクセスを監査するかどうかを決めます。このポリシーを有効にすると、既定のシステム アクセス制御リスト (SACL) で、ミューテックス、イベント、セマフォ、DOS デバイスなどのシステム オブジェクトを作成できるようになります。オブジェクト アクセスの監査の監査ポリシーも有効にしている場合、これらのシステム オブジェクトに対するアクセスも監査されます。

このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。

バックアップと復元の特権も含めすべての権限の使用を監査する

レジストリの設定

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

バックアップ復元を含めユーザー権限の使用をすべて監査するかどうかを決めます。このポリシーが有効になっていて、かつ特権使用の監査のポリシーも有効にして適用している場合、行使されているユーザー権限のインスタンスが、セキュリティ ログに記録されます。このポリシーを無効にしている場合に、ユーザーがバックアップまたは復元特権を使用すると、特権使用の監査が有効であってもこれらのイベントは監査されません。セキュリティ ログの成長を抑えるには、このポリシーを無効にする必要があります。

このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。

ログオン時間を経過した場合は自動的にユーザーをログオフする

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

ユーザー アカウントに設定されているログオン可能時間外に、ローカル コンピュータに接続しているユーザーを切断するかどうかを決めます。この設定は、Windows 2000 Server のサーバー メッセージ ブロック (SMB) コンポーネントに影響します。このポリシーを有効にすると、SMB サーバーとのクライアント セッションは、クライアントのログオン可能時間が経過すると強制的に切断されます。このポリシーが無効になっている場合、確立されているクライアント セッションは、ログオン可能時間が経過してもそのセッションを続けることができます。

ローカルのログオン可能時間が経過した場合にユーザーを自動的にログオフするのは、各コンピュータ上のみで行われますが、このポリシー自体は、ドメイン内のすべてのコンピュータに適用されます。

システムのシャットダウン時に仮想メモリのページ ファイルをクリアする

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

システムのシャットダウン時に、仮想メモリのページ ファイルをクリアするかどうかを決めます。Windows 2000 の仮想メモリ サポートは、メモリ ページがアクティブに使用されていないと、メモリ ページをディスク上にスワップするのに、システム ページ ファイルを使用します。実行中のシステムでは、ページ ファイルはオペレーティング システムにより排他的にオープンされていて、また十分に保護されています。ただし、コンピュータがほかのオペレーティング システムでも起動できるように構成されている場合は、Windows 2000 のシャットダウン時にシステム ページ ファイルが確実にクリアされるようにします。プロセス メモリからページ ファイルに書き出された可能性がある機密情報を、ページ ファイルに直接アクセスすることで覗こうとする認証されていないユーザーには見せなくすることができます。

このポリシーを有効にすると、システム ページ ファイルは通常のシャットダウン時にクリアされます。また、このセキュリティ オプションを有効にしていると、休止が無効になっているラップトップ コンピュータ上の休止ファイル (hiberfil.sys) にはすべてゼロが書き込まれます。このポリシーを無効にすると、シャットダウン時に仮想メモリ ページ ファイルはクリアされません。

このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。

常にクライアント側の通信にデジタル署名を行う

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

コンピュータが常にクライアント側の通信にデジタル署名を行うかどうかを決めます。Windows 2000 のサーバー メッセージ ブロック (SMB) の認証プロトコルは、相互認証をサポートしています。これは "待ち伏せ" 攻撃を防止するもので、active message 攻撃を防止するメッセージ認証をサポートしています。SMB 署名では、クライアントとサーバーの両方で確認される各 SMB にデジタル署名を付けることでこの認証を可能にしています。

SMB 署名を使用するには、その署名を有効にするか、SMB クライアントと SMB サーバーの両方でその署名を要求するようにする必要があります。サーバー上で SMB 署名が有効になっていて、クライアント側でも SMB 署名が有効になっている場合は、引き続き行われるすべてのセッションで、パケット署名プロトコルが使用されます。サーバー上で SMB 署名が必要とされている場合、クライアント側で少なくとも SMB 署名が有効になっていないと、クライアントはセッションを確立することはできません。このポリシーが有効になっている場合、Windows 2000 SMB クライアントは SMB パケット署名を行う必要があります。このポリシーが無効になっている場合は、SMB クライアントが SMB パケット署名を行う必要はありません。

このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。

メモ SMB 署名は、システムのパフォーマンスを低下させます。ネットワーク帯域を余計に消費することはありませんが、クライアント側でもサーバー側でも CPU の負荷が増えます。

可能な場合、クライアントの通信にデジタル署名を行う

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

このポリシーが有効になっている場合、Windows 2000 のサーバー メッセージ ブロック (SMB) クライアントは、SMB パケット署名が有効、または必要とされる SMB サーバーとの通信で SMB パケット署名を行います。

このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では有効になっています。

常にサーバーの通信にデジタル署名を行う

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

このポリシーが有効になっている場合、Windows 2000 サーバー メッセージ ブロック (SMB) サーバーは SMB パケット署名を行う必要があります。このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。

クライアント/サーバー間の通信でのデジタル署名使用の詳細については、前の「常にクライアント側の通信にデジタル署名を行う」を参照してください。

可能な場合、サーバーの通信にデジタル署名を行う

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

このポリシーが有効になっている場合、Windows 2000 サーバー メッセージ ブロック (SMB) サーバーは SMB パケット署名を行おうとします。このポリシーは、ワークステーションとサーバー プラットフォームについては、既定ではローカル コンピュータ ポリシーで無効になっています。このポリシーは、ドメイン コントローラについては、既定のドメイン コントローラ グループ ポリシー オブジェクトで既定では有効になっています。

クライアント/サーバー間の通信でのデジタル署名使用の詳細については、前の「常にクライアント側の通信にデジタル署名を行う」を参照してください。

ログオンに Ctrl + Alt + Del を必要としない

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

ユーザーがログオンするのに Ctrl + Alt + Del キーを押す必要があるかどうかを決めます。このポリシーがコンピュータ上で有効になっている場合、ユーザーがログオンするのに Ctrl + Alt + Del キーを押す必要はありません。Ctrl + Alt + Del キーを押すことを不要にすると、ユーザーは、ユーザーのパスワードを傍受しようとする攻撃を受けやすくなります。ログオンする前に Ctrl + Alt + Del キーを必要とすることで、ユーザーはそのパスワードの入力時に、信頼されたパスで通信していることを確認できます。

このポリシーが無効になっている場合、ユーザーは、Windows にログオンする際に、Ctrl + Alt + Del キーを押す必要があります (ログオンにスマート カードを使用している場合は除きます)。このポリシーは、ドメインに参加しているワークステーションとサーバーでは、既定で無効になっています。スタンドアロン ワークステーションでは、既定で有効になっています。

ログオン画面に最後のユーザー名を表示しない

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

最後にログオンしたユーザーの名前を Windows のログオン画面に表示するかどうかを決めます。このポリシーが有効になっている場合、最後に正常にログオンしたユーザーの名前は [Windows へログオン] ダイアログ ボックスに表示されません。このポリシーが無効になっている場合、最後にログオンしたユーザーの名前が表示されます。

このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。

LAN Manager 認証レベル

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

ネットワーク ログオンの暗号化認証に使用するプロトコルを決めます。この選択により、クライアントが使用する認証プロトコルのレベル、ネゴシエートするセッション セキュリティのレベル、および次のようなサーバーが受け付ける認証レベルが決まります。

  • LM NTLM 応答の送信。 クライアントは、LM と NTLM 認証を使用し、NTLMv2 セッション セキュリティは使用しません。ドメイン コントローラは、LM、NTLM、および NTLMv2 認証を受け付けます。

  • ネゴシエートされた場合 LM NTLM を送信 - NTLMv2 セッション セキュリティを使用する。 クライアントは、LM と NTLM 認証を使用し、サーバーが NTLMv2 をサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLMv2 認証を受け付けます。

  • NTLM 応答のみ送信する。 クライアントは、NTLM 認証のみを使用し、サーバーが NTLMv2 をサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLMv2 認証を受け付けます。

  • NTLMv2 応答のみ送信する。 クライアントは、NTLMv2 認証のみを使用し、サーバーが NTLMv2 をサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLMv2 認証を受け付けます。

  • NTLMv2 応答のみ送信 LM を拒否する。 クライアントは、NTLMv2 認証のみを使用し、サーバーが NTLMv2 をサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、NTLM および NTLMv2 認証のみを受け付け、LM 認証は拒否します。

  • NTLMv2 応答のみ送信 LM と NTLM を拒否する。 クライアントは、NTLMv2 認証のみを使用し、サーバーが NTLMv2 をサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コントローラは、NTLMv2 認証のみを受け付け、LM および NTLM 認証は拒否します。

サーバーに対する既定の設定は、LM NTLM 応答の送信です。

この設定は、Windows NT 4.0 以前のクライアントとの Windows 2000 コンピュータのネットワーク経由の通信機能に影響します。たとえば、本書執筆時点では、SP4 より前の Windows NT 4.0 コンピュータは NTLMv2 をサポートしていません Win9x コンピュータは、NTLM をサポートしていません。

ログオン時のユーザーへのメッセージのテキストとタイトル

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Title)

ログオンするユーザー向けのメッセージ テキストが表示されるウィンドウのタイトル バーに、指定したタイトルを表示することができます。

サーバーに対しては、このポリシーは有効になっていますが、指定された既定のテキストはありません。ワークステーションに対しては、このポリシーは既定では定義されていません。

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Text)

ユーザーのログオン時に表示するテキスト メッセージを指定します。会社の情報を流用する行為に対する警告や、コンピュータの操作が監査されていることを警告するなど、法的要件からこのテキストがしばしば使用されます。サーバーに対しては、このポリシーは有効になっていますが、指定された既定のテキストはありません。ワークステーションに対しては、このポリシーは既定では定義されていません。

ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

ユーザーが、キャッシュされたアカウント情報を使用して Windows ドメインにログオンできる回数を決めます。Windows 2000 は、ユーザーが前にログオンしたときの情報をローカルにキャッシュします。したがって、次にユーザーがログオンしようとしたときに、ドメイン コントローラが使用できない場合にも、ユーザーはログオンすることができます。ドメイン コントローラが使用不可能で、ユーザーのログオン情報がキャッシュされていない場合、ユーザーには次のメッセージが表示されます。

ドメイン < ドメイン名 > を利用できないため、ログオンできません。

このポリシー設定で、値を 0 にするとログオンのキャッシングが無効になります。50 を超える値を設定したとしても、キャッシュされるログオン要求は 50 回までです。サーバーに対しては、このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていて、既定の値は 10 ログオンです。

コンピュータ アカウント パスワードのシステム保守をしない

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

コンピュータ アカウント パスワードを毎週リセットされないようにする必要があるかどうかを決めます。Windows 2000 のセキュリティ機能の一部として、コンピュータ アカウント パスワードは、7 日ごとに自動的に変更されます。このポリシーが有効になっている場合、コンピュータは、週次のパスワード変更を要求しません。このポリシーが無効になっている場合、コンピュータ アカウントの新しいパスワードが、毎週生成されます。

このポリシーは、ローカル コンピュータ ポリシーに既定で定義されていますが、既定では無効になっています。

ユーザーがプリンタ ドライバをインストールできないようにする

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Users グループのメンバはプリンタ ドライバをインストールできないようにするかどうかを決めます。このポリシーが有効になっている場合、ユーザーがプリンタ ドライバをローカル コンピュータにインストールすることを防止できます。ローカル コンピュータにそのプリンタのデバイス ドライバが存在しない場合に、ユーザーが "プリンタを追加" できないようにします。このポリシーが無効になっている場合、Users グループのメンバは、コンピュータにプリンタ ドライバをインストールできます。

既定では、サーバーではこの設定が有効になっていて、ワークステーションでは無効になっています。

パスワードが無効になる前にユーザーに変更を促す

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

パスワードの期限が切れるどの程度前から、Windows 2000 がパスワードの変更をユーザーに促すかどうかを決めます。ユーザーに事前に警告することで、ユーザーは、十分に強度のあるパスワードを考える時間が持てます。

既定では、この値は 14 日です。

回復コンソール : 自動管理ログオンを許可する

既定では、回復コンソールはシステムにアクセスする以前に Administrator アカウントのパスワードを要求します。このオプションを有効にすると、回復コンソールはパスワードの要求を行わず、システムに自動ログオンします。

回復コンソール : すべてのドライブに、フロッピーのコピーとアクセスを許可する

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

このオプションを有効にすると、回復コンソールの SET コマンドが有効になります。このコマンドを使用すると、回復コンソールの次の環境変数を設定することができます。

  • AllowWildCards - DEL コマンドなどのいくつかのコマンドに対して、ワイルドカード サポートを有効にします。

  • AllowAllPaths - コンピュータ上のすべてのファイルとフォルダに対するアクセスを許可します。

  • AllowRemovableMedia - フロッピー ディスクなどリムーバブル メディアへのファイルのコピーを許可します。

  • NoCopyPrompt - 既存のファイルを上書きする前に確認しません。

既定では、SET コマンドは無効になっていて、以上のすべての変数は無効になっています。

CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

ローカル ユーザーとリモート ユーザー両方共に、CD-ROM に同時にアクセスできるかどうかを決めます。有効にしている場合、このポリシーは、対話型ログオン ユーザーのみに、CD-ROM メディアへのアクセスを許可します。対話型でログオンしているユーザーがいない場合、ネットワーク経由で CD-ROM を共有することができます。

このポリシーが無効になっている場合、ローカル ユーザーとリモート ユーザーは、CD-ROM に同時にアクセスすることができます。

フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

ローカル ユーザーとリモート ユーザー両方共に、フロッピー メディアにアクセスできるかどうかを決めます。有効な場合、このポリシーは、対話型ログオン ユーザーのみに、フロッピー メディアへのアクセスを許可します。対話型でログオンしているユーザーがいない場合、ネットワーク経由でフロッピー メディアを共有することができます。

このポリシーが無効になっている場合、ローカル ユーザーとリモート ユーザーは、フロッピー メディアに同時にアクセスすることができます。

セキュリティで保護されたチャネル : 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

コンピュータが、常にセキュリティで保護されたチャネルのデータに、デジタル的に暗号化または署名を行うかどうかを決めます。Windows 2000 システムがドメインに参加する場合、コンピュータ アカウントが作成されます。その後このシステムが起動されると、システムはそのアカウントのパスワードを使用して、ドメイン内のドメイン コントローラとのセキュリティで保護されたチャネルを作成します。セキュリティで保護されたチャネルに送信される要求は認証され、パスワードなどの機密情報は暗号化されますが、そのチャネルの整合性は確認されず、すべての情報が暗号化されるわけではありません。

このポリシーが有効になっている場合、セキュリティで保護されたチャネルを経由して送出されるすべてのトラフィックは、署名されるか、または暗号化される必要があります。

このポリシーが無効になっている場合、署名と暗号化がドメイン コントローラとネゴシエートされます。

既定では、このポリシーは無効になっています。

注意 : このオプションを有効にするのは、信頼されているドメインにあるすべてのドメイン コントローラが署名と封印をサポートしている場合のみに限る必要があります。

このパラメータが有効になっている場合、"セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する" は自動的に有効になります。

セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

コンピュータが、常にセキュリティで保護されたチャネルのデータに、デジタル的に暗号化または署名を行うかどうかを決めます。Windows 2000 システムがドメインに参加する場合、コンピュータ アカウントが作成されます。その後このシステムが起動されると、システムはそのアカウントのパスワードを使用して、ドメイン内のドメイン コントローラとのセキュリティで保護されたチャネルを作成します。セキュリティで保護されたチャネルに送信される要求は認証され、パスワードなどの機密情報は暗号化されますが、そのチャネルの整合性は確認されず、すべての情報が暗号化されるわけではありません。

このポリシーが有効になっている場合、セキュリティで保護されたチャネルを経由して送出されるすべてのトラフィックは、暗号化される必要があります。

このポリシーが無効になっている場合、セキュリティで保護されたチャネルを経由して送出されるトラフィックは、暗号化されません。

既定では、このオプションは有効になっています。

セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

コンピュータが、常にセキュリティで保護されたチャネルのデータに、デジタル的に暗号化または署名を行うかどうかを決めます。Windows 2000 システムがドメインに参加する場合、コンピュータ アカウントが作成されます。その後このシステムが起動されると、システムはそのアカウントのパスワードを使用して、ドメイン内のドメイン コントローラとのセキュリティで保護されたチャネルを作成します。セキュリティで保護されたチャネルに送信される要求は認証され、パスワードなどの機密情報は暗号化されますが、そのチャネルの整合性は確認されず、すべての情報が暗号化されるわけではありません。

このポリシーが有効になっている場合、セキュリティで保護されたチャネルを経由して送出されるすべてのトラフィックは、署名される必要があります。

このポリシーが無効になっている場合、セキュリティで保護されたチャネルを経由して送出されるトラフィックで署名されるものはありません。

既定では、このオプションは有効になっています。

メモ "セキュリティで保護されたチャネル : 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化する" が有効になっている場合、このオプションのそのほかの設定はすべて上書きされ、強制的に有効になります。

セキュリティで保護されたチャネル : 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

このポリシーが有効になっている場合、セキュリティで保護されたチャネルを経由して送出されるすべてのトラフィックには、強力な (Windows 2000 かそれ以降のバージョン) 暗号化キーが必要です。このポリシーが無効になっている場合、キーの強度はドメイン コントローラとネゴシエートされます。このオプションを有効にするのは、信頼されているドメインにあるすべてのドメイン コントローラが強力なキーをサポートしている場合のみに限る必要があります。

既定では、この値は無効になっています。

サード パーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

このポリシーが有効になっている場合、サーバー メッセージ ブロック (SMB) リダイレクタは、認証時の暗号化パスワードに対応していない Microsoft SMB 以外のサーバーに対して、クリア テキスト パスワードを送信することができます。

既定では、このオプションは無効になっています。

セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

セキュリティ イベントのログを記録できない場合は、直ちにシステムをシャットダウンする必要があるかどうかを決めます。このポリシーが有効になっている場合に、セキュリティ監査のログが何らかの理由で記録できないと、システムは停止します。通常、イベントのログへの記録が失敗するのは、セキュリティ監査のログがいっぱいになり、セキュリティ ログに指定されている保存方法が、"イベントを上書きしない" または "指定した日数を過ぎたら上書きする" になっている場合です。セキュリティ ログがいっぱいになり、既存のエントリを上書きできない、かつこのセキュリティ オプションを有効にしている場合は、次のブルー スクリーン エラーが発生します。

STOP: C0000244 {Audit Failed}

An attempt to generate a security audit failed.

これを回復するには、管理者でログオンし、できればログを保存し、ログをクリアする必要があります。次に、必要に応じて、このオプションを再設定します。

既定では、このポリシーは無効になっています。

スマート カード取り出し時の動作

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

ログオン ユーザーのスマート カードがスマート カード読み取り装置から取り出された場合の動作を決めます。このオプションは次のとおりです。

  • 何もしない

  • ワークステーションをロックする

  • ログオフを強制する

既定では、"何もしない" が指定されています。

"ワークステーションをロックする" が指定されている場合、スマート カードが取り出されるとワークステーションはロックされるので、ユーザーは自分のスマート カードを持ってその場所を離れることができます。この場合、ユーザーが席を離れても、保護されたセッションはそのまま維持されます。"ログオフを強制する" が指定されている場合は、スマート カードが取り出された時点でユーザーは自動的にログオフされます。

グローバル システム オブジェクトの既定のアクセス許可を強化する

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

オブジェクトに対する既定の任意のアクセス制御リスト (DACL) の強度を決めます。Windows 2000 は、DOS デバイス名、ミューテックス、セマフォなどの共有システム リソースのグローバル リストを管理しています。オブジェクトはこのようにして、その所在場所を特定されることができ、またプロセス間で共有されることができます。オブジェクトの各種類は、既定の DACL を使用して作成されます。DACL には、オブジェクトにアクセスできるユーザーと、そのアクセス権が指定されています。

このポリシーが有効になっている場合、既定の DACL は強力で、管理者以外のユーザーでも共有オブジェクトを読み取ることができます。ただし、ユーザーが作成したオブジェクトでなければ、共有オブジェクトを変更することはできません。

既定では、このオプションは有効になっています。

ページのトップへ

付録 C: HiSecweb.inf ファイル

この付録では、Hisecweb.inf の日本語訳を掲載します。このファイルは、銀行のチームが、カスタマイズしたセキュリティ テンプレートを作成するのに使用したものです。 このファイルの最新バージョンについては、https://www.microsoft.com/japan/security/default.mspx を参照してください。

; テンプレート バージョン :      05.00.HB.0000
;
; -------------------------------------------------------------------
; 更新履歴
; -------------------------------------------------------------------
; 日付        コメント
; 1999 年 9 月 3 日 次の前提に基づき第 1 版を作成
;                 コンピュータは、ドメイン コントローラではない。
;                 DC は、Web サーバーではない。
;                 コンピュータは、スタンドアロン サーバーではない。
;                 コンピュータが、ドメインに参加している場合、 
;                 ドメインレベルのポリシーで、以下の設定を上書き
;                 できる (不参加の場合は、できない)。
;                 コンピュータが、ドメインに参加している場合、 
;                 その組織単位に所属している必要があり、また 
;                 このテンプレートは、組織単位レベルで適用しなければならない。
;                 コンピュータは、Web サーバー専用機であり、物理的に保護されていること。
;                 コンピュータには、Windows 2000 を既定値にてクリーンインストールしていること。
;                 ACL、ユーザー権限等は、一切変更されていない。
;                 管理者以外は、だれもコンピュータにローカルにログオンできない。
;                 管理者は、ネットワーク経由ではログオンできない 
;                 (管理者が、当該 Web サーバーを管理する際は、当該機を直接操作する必要がある)。
;                 Admin/Guest アカウントは、このアンプレートでは名前を変更 (リネーム) できない。
; 1999 年 1 月 4 日    レジストリ エントリを更新
; -------------------------------------------------------------------
[version]
signature="$CHICAGO$"
Revision=1
[System Access]
MinimumPasswordAge = 2
MaximumPasswordAge = 42
MinimumPasswordLength = 8
PasswordComplexity = 1
PasswordHistorySize = 24
LockoutBadCount = 5
ResetLockoutCount = 30
LockoutDuration = -1
RequireLogonToChangePassword = 0
ClearTextPassword = 0
[System Log]
RestrictGuestAccess = 1
[Security Log]
MaximumLogSize = 10240
AuditLogRetentionPeriod = 0
RestrictGuestAccess = 1
[Application Log]
RestrictGuestAccess = 1
;----------------------------------------------------------------------
;    ローカル ポリシー/監査ポリシー
;----------------------------------------------------------------------
[Event Audit]
AuditSystemEvents = 3
AuditLogonEvents = 3
AuditObjectAccess = 1
AuditPrivilegeUse = 3
AuditPolicyChange = 3
AuditAccountManage = 3
AuditAccountLogon = 3
[Privilege Rights]
SeInteractiveLogonRight = %SceInfAuthUsers%
SeNetworkLogonRight = %SceInfAuthUsers%
SeDenyNetworkLogonRight = %SceInfAdmins%
[Group Membership]
%SceInfPowerUsers%__Memberof =
%SceInfPowerUsers%__Members = 
[Strings]
SceInfAdministrator = Administrator
SceInfAdmins = Administrators
SceInfAcountOp = Account Operators
SceInfAuthUsers = Authenticated Users
SceInfBackupOp = Backup Operators
SceInfDomainAdmins = Domain Admins
SceInfDomainGuests = Domain Guests
SceInfDomainUsers = Domain Users
SceInfEveryone = Everyone
SceInfGuests = Guests
SceInfGuest = Guest
SceInfPowerUsers = Power Users
SceInfPrintOp = Print Operators
SceInfReplicator = Replicator
SceInfServerOp = Server Operators
SceInfUsers = Users
[HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE
/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/SynAttackProtect]
"ValueType"=dword:00000004
"DisplayType"=dword:00000000
"DisplayName"="TCPIP: Syn Attack Protection"
[Registry Values]
MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,5
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,2
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown=4,1
MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff=4,1
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword=4,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange=4,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey=4,1
MACHINE\Software\Microsoft\Driver Signing\Policy=3,2
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD=4,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SecurityLevel=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SetCommand=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateCDRoms=1,1
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD=1,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateFloppies=1,1
MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPrinting=4,1
MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer=4,0
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect=4,0
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableSecurityFilters=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect=4,0
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery=4,0
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime=4,300000
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions=4,2
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxDataRetransmissions=4,3
MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NoNameReleaseOnDemand=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters\DynamicBacklogGrowthDelta=4,10
MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters\EnableDynamicBacklog=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters\MinimumDynamicBacklog=4,20
MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters\MaximumDynamicBacklog=4,20000
MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText=1,
This is a private computer system. <add your own text>
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption=1,A T T E N T I O N !
[Service General Setting]
Alerter,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
ClipSrv,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Browser,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dhcp,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Fax,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
SharedAccess,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Messenger,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
mnmsrvc,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Spooler,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
RasAuto,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
RasMan,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
RemoteRegistry,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Schedule,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
TapiSrv,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
TermService,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
PolicyAgent,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"
W3SVC,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"
IISADMIN,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"
Irmon,4,"D:AR(A;;RPWPDTRC;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"

© 2000 Microsoft Corporation. All rights reserved.

本書は暫定的な文書であり、本書の情報は発行日現在における当社の最新の見解を表すものです。当社では市場のニーズの変化に対応して変更が必要となる場合があり、そのため本書の内容は当社のコミットメントを示すものではなく、また発行日以降、その情報の正確性を保証するものでもありません。

この文書は、情報提供のみを目的としています。当社は本書の情報を、明示または暗黙に関わらず保証するものではありません。

Microsoft、BackOffice、MS-DOS、Outlook、PivotTable、PowerPoint、Microsoft Press、Visual Basic、Windows、Windows NT、および Office ロゴは米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

ページのトップへ

目次

ページのトップへ