Windows 2000 セキュリティ強化ガイド

第 6 章 ‐ Windows 2000 Hardening Guide 構成テンプレート

最終更新日: 2004年1月20日

トピック

テンプレートの変更と手動の設定
セキュリティ構成テンプレート適用ツール
セキュリティ構成テンプレートを管理および適用する

このガイドには、作業の便宜を図るために、一組の Windows 2000 Hardening Guide セキュリティ構成テンプレートが付属しています。これらのテンプレートを使用すれば、このガイドで定義されている推奨セキュリティ設定を自動的に適用できます。ただし、セキュリティ構成テンプレートを適用する前に、すべての設定を慎重に検討することを強くお薦めします。これは、各組織のローカルセキュリティポリシーが、テンプレートに定義されている推奨値または推奨セキュリティ設定の調整を必要とする場合があるためです。

このガイドをサポートするテンプレートは、下の表に列挙されているとおりで、ダウンロードパッケージに個別ファイルとして収録されています。これらのテンプレートは、基準のテンプレートがすべてのシステムに適用される一方で、個々のテンプレートがその設計対象となったシステムだけで使用されるという点で、累加的です。基準のテンプレートは単独で適用できるように設計されていません。これは、常に他の適切なテンプレートのいずれかと共に適用する必要があります。ドメイン環境では、ドメインポリシーに適用する必要のある設定が基準のテンプレートに含まれ、他のテンプレートにはドメイン内のさまざまな OU (組織単位) に適用される設定が含まれています。

このガイドには、これらの設定を適用するために使用できる一組のセキュリティテンプレートが付属しています。付属しているテンプレートは次のとおりです。

• W2KHG_baseline.inf - すべてのコンピュータに適用する必要がある共通の設定

• W2KHG_MemberWks.inf - ドメインのメンバであるワークステーション固有の設定

• W2KHG_MemberLaptop.inf - ドメインのメンバであるラップトップ固有の設定

• W2KHG_MemberServer.inf - ドメインに参加しているサーバー固有の設定

• W2KHG_DomainController.inf - ドメインコントローラ固有の設定

• W2KHG_StandaloneWKD.inf - スタンドアロンワークステーション固有の設定

• W2KHG_StandaloneSrv.inf - スタンドアロンサーバー固有の設定

ドメイン環境では、グループポリシーを使用して設定を適用することをお薦めします。

テンプレートの変更と手動の設定

以下の設定は、設定の実装担当者が手動で変更する必要があります。定型的な設定も含めてあります。ただし、これらを変更する場合は、所属する組織のセキュリティポリシーを反映させる必要があります。この変更は、[セキュリティテンプレート] スナップインを使って実行できます。その方法については、この後の「セキュリティ構成テンプレートを表示および編集する」を参照してください。別の方法として INF ファイル自体を直接変更することも可能ですが、ファイル形式を熟知している場合を除いてこの方法はお薦めできません。INF ファイルを誤って変更すると、システムに重大な問題が発生する場合があります。

• ログオン時のユーザーへのメッセージのタイトル。テンプレート内のテキストはプレースホルダとなっており、各組織の要件に合わせて編集する必要があります。詳細については、「セキュリティ オプションの変更」を参照してください。

• ログオン時のユーザーへのメッセージのテキスト。テンプレート内のテキストはプレースホルダとなっており、各組織の要件に合わせて編集する必要があります。詳細については、「セキュリティ オプションの変更」を参照してください。

以下のユーザーおよびグループアカウントに対して推奨される変更を適用する必要があります。

• TsInternetUser。ターミナルサービスのインターネットコネクタを使用しない限り、Windows 2000 サーバーおよびドメインコントローラでは TsInternetUser アカウントを無効にします。セキュリティテンプレートでこのアカウントを無効にすることはできません。詳細については、「既定のユーザー アカウント」を参照してください。

• Domain Users。Domain Users グループから Guest アカウントと TSInternetUser アカウントを削除します。セキュリティテンプレートでは、許可されているメンバから成る定義済みのセットを使って、制限されたグループを設定することが可能ですが、Domain Users グループはすべての新規ユーザーを自動的にメンバにする必要があります。また、Domain Users グループを制限されたグループにするには、このグループに入る必要があるすべてのユーザーを列挙できることが必要です。詳細については、「既定のユーザー アカウント」を参照してください。

追加の構成手順は次のとおりです。

• 自動画面ロック保護を有効にする。手順については、このガイドの「自動画面ロック保護を有効にする」を参照してください。

• システム修復ディスクを更新する。手順については、このガイドの「サービス パックおよび修正プログラムのインストール前に推奨される操作サービス パックおよび修正プログラムのインストール前に推奨される操作」を参照してください。

• ドメイン管理者の暗号化証明書をバックアップする。推奨されている手順については、このガイドの「暗号化ファイル システム」を参照してください。

ページのトップへ

セキュリティ構成テンプレート適用ツール

認証された管理者は、次のツールを使ってセキュリティ構成テンプレートを編集および適用することができます。

• [セキュリティテンプレート] スナップイン。このスナップインは、すべてのセキュリティ領域のセキュリティ設定を含んだテキストベースのテンプレートを作成することのできる、スタンドアロンの Microsoft 管理コンソール (MMC) スナップインです。

• [セキュリティの構成と分析] スナップイン。このスナップインは、Windows 2000 オペレーティングシステムのセキュリティを構成または分析することのできる、スタンドアロンの MMC スナップインです。その動作は [セキュリティテンプレート] スナップインを使って作成されたセキュリティテンプレートの内容に基づきます。これは、スタンドアロンコンピュータまたはドメインメンバにテンプレートを適用する場合に適したツールです。

ドメインレベルでは、ドメインコントローラの [ドメインセキュリティポリシー] ＧＵＩおよび [ドメインコントローラセキュリティポリシー] ＧＵＩを使用して、ドメインセキュリティポリシーテンプレートおよびドメインコントローラセキュリティポリシーテンプレートを適用する必要があります。これについては、このガイドの「Windows 2000 のセキュリティ ポリシー」で説明されています。

ページのトップへ

セキュリティ構成テンプレートを管理および適用する

ここでは、セキュリティ構成テンプレートを編集および適用する手順について説明します。

セキュリティ構成エディタのインターフェイスを拡張する

sceregvl.inf という新しいテンプレートを使って、既定では表示されないが所属する組織に関係する可能性があるセキュリティ設定を表示し、これを構成できるようにセキュリティ構成エディタ (SCE) のインターフェイスを拡張することができます。詳細な手順は、Microsoft サポート技術情報 214752 で説明されています。このガイドで行われる設定を含んだテンプレートが、ガイドのダウンロードパッケージに収録されています。このテンプレートをインストールするには、同じくガイドに含まれているバッチファイル "installSceregvl.bat" を実行します。このテンプレートは、設定を行うコンピュータのみにインストールすればよいので注意してください。対象のコンピュータすべてにインストールする必要はありません。

セキュリティ構成テンプレートを表示および編集する

セキュリティ構成テンプレートを編集するには、メモ帳 (Notepad.exe) などのテキストエディタまたは [セキュリティテンプレート] スナップイン ツールでテンプレートを開きます。推奨される追加のレジストリ設定が、[セキュリティテンプレート] スナップインツールでは表示されないテンプレートに追加される場合は、Notepad.exe の使用をお薦めします。このようなテンプレートは、このガイドの「追加のセキュリティ設定」で定義されています。[セキュリティテンプレート] スナップインツールを使ってテンプレートを編集するには、次の手順に従います。

1. 目的のテンプレートを \%Systemroot%\Security\Templates、またはハードディスク上のどこか他の場所にコピーします。テンプレートを別の場所にコピーする場合は、(a) ユーザーがテンプレートを変更できないように、その場所を適切に保護し、(b) そのテンプレートを MMC で [セキュリティテンプレート] スナップインに追加する必要があります。

2. [スタート]、[ファイル名を指定して実行] の順にクリックして「mmc.exe」と入力し、[OK] をクリックします。

3. [コンソール] メニューで、[スナップインの追加と削除]、[追加] の順にクリックします。

4. [セキュリティテンプレート] を選択し、[追加]、[閉じる] の順にクリックし、最後に [OK] をクリックします。

5. スナップインの設定を保存するには、[コンソール] メニューの [保存] をクリックします。このコンソールの名前を入力し、[保存] をクリックします。

6. [セキュリティテンプレート] スナップインで [セキュリティテンプレート] をダブルクリックします。

7. 既定のパスフォルダ (%Systemroot%\Security\Templates) をダブルクリックし、変更するセキュリティ構成テンプレートをダブルクリックします。

8. 変更するセキュリティポリシー ([アカウントポリシー] など) をダブルクリックします。

9. カスタマイズするセキュリティ領域 ([パスワードポリシー] など) をクリックし、変更するセキュリティ属性 ([パスワードの長さ] など) をダブルクリックします。

10. 変更手順は、このガイドの「セキュリティの構成」で説明されている手順と同じです。

11. 変更が完了したら、変更したセキュリティ構成テンプレートの名前を右クリックし、[保存] を選択します。

ローカル コンピュータにセキュリティテンプレートを適用する

Windows 2000 Server または Professional を実行するコンピュータへローカルにセキュリティテンプレートを適用するには、次の手順に従います。ドメインのメンバであるコンピュータがドメインからすべてのセキュリティ設定を継承する場合は、ローカルコンピュータでこの手順を実行する必要はありません。

1. 管理者の権利を持つアカウントでコンピュータにログオンします。

2. 目的のテンプレートをシステムパーティションの "\%Systemroot%\Security\Templates" (または "C:\WINNT\Security\Templates") フォルダにコピーします。

3. [スタート]、[ファイル名を指定して実行] の順にクリックして「mmc.exe」と入力し、[OK] をクリックします。

4. [コンソール] メニューで、[スナップインの追加と削除]、[追加] の順にクリックします。

5. [セキュリティの構成と分析] を選択し、[追加]、[閉じる] の順にクリックし、最後に [OK] をクリックします。

6. スナップインの設定を保存するには、[コンソール] メニューの [保存] をクリックします。

7. [セキュリティの構成と分析] スナップインで、[セキュリティの構成と分析] を右クリックします。

   • 作業用データベースが設定されていない場合は、[データベースを開く] をクリックして作業用データベースを設定します。新しいデータベースの名前を ".sdb" 拡張子と共に入力し、[開く] をクリックします。セキュリティ構成テンプレートを選択して [ファイル名] テキストボックスに表示します。[インポートする前にこのデータベースをクリアする] チェックボックスをオンにして、[開く] をクリックします。

   • 作業用データベースが既に設定されている場合は、[テンプレートのインポート] をクリックします。セキュリティ構成テンプレートを選択して [ファイル名] テキストボックスに表示します。[インポートする前にこのデータベースをクリアする] チェックボックスをオンにして、[開く] をクリックします。

8. [セキュリティの構成と分析] を右クリックし、[コンピュータの構成] をクリックします。エラーログファイルへのパスを表示するウィンドウが開いたら、[OK] をクリックします。セキュリティ設定は直ちに設定されるので注意してください。一部の設定は、適用されるものの、コンピュータが再起動されるまで有効にはなりません。

9. [セキュリティの構成と分析] ツールを閉じ、コンピュータを再起動します。

テンプレートが作成された後にコンピュータをより速く構成するには、secedit.exe コマンドラインツールを使用します。

1. コマンドプロンプトを開きます (たとえば、[スタート]、[ファイル名を指定して実行] の順をクリックして「cmd.exe」と入力し、Enterキーを押します)。

2. テンプレート W2KHG_baseline.inf を適用する場合は、次のコマンドを使用します。

   secedit /configure /DB W2KHG_baseline.sdb /CFG W2KHG_baseline.inf
   /overwrite /LOG HGW2K_baseline.log
   

3. secedit コマンドラインツールの詳しい使い方については、コマンドプロンプトで「secedit /?」と入力してください。

セキュリティ テンプレートを Active Directory オブジェクトのセキュリティ ポリシーへと展開する

次の手順では、このガイド付属のセキュリティテンプレートを、この章で提案する OU 構造にインポートします。ドメインコントローラで次の手順を実行する前に、特定のポリシー (.inf) ファイルを環境内の Windows 2000 Server に配置する必要があります。

警告 このガイド付属のセキュリティテンプレートは、各自の環境のセキュリティを強化する目的で設計されています。このテンプレートをインストールすることで、組織の環境で機能の一部が失われる可能性が十分にあります。たとえば、ミッションクリティカルなアプリケーションで障害が発生する可能性があります。

このため、テンプレートを運用環境で展開する場合は、事前に十分なテストを行うことが不可欠です。新しいセキュリティ設定を適用する前に、環境内の各ドメインコントローラとサーバーをバックアップしてください。バックアップには、レジストリ設定や Active Directory オブジェクトを復元できるように、システムの状態が確実に取り込まれるようにします。

環境内のサーバーが、このガイドで推奨されている Windows 2000 SP3 以降を実行していない場合は、セキュリティテンプレートのインポート処理を続行する前に、サポート技術情報 295444 「SCE がサービスのレジストリ キーにあるサービスの SACL エントリを変更できない」(英語) で説明されている修正プログラムを適用します。

この修正プログラムが適用されていないと、グループポリシーテンプレートは一切のサービスを無効にできなくなります。修正プログラムは、製品の不具合に対処する 1 つまたは複数のファイルで構成された累加的なパッケージです。修正プログラムは、特定のユーザーの状況に対処するもので、Microsoft からの書面による法的な同意を得ることなくそのユーザー組織の外部に配布することはできません。修正プログラムの同義語として、QFE、パッチ、更新という用語も使用されていました。

ポリシーをインポートするには、次の手順に従います。

1. [Active Directory ユーザーとコンピュータ] で、[ドメイン] を右クリックし、[プロパティ] を選択します。

2. [グループポリシー] タブで、[新規] をクリックして新しいグループポリシーオブジェクト (GPO) を追加します。

3. 「ドメインセキュリティポリシー」と入力して Enterキーを押します。

4. [ドメインセキュリティポリシー] を選択し、[編集] をクリックします。

5. [グループポリシー] ウィンドウで、[コンピュータの構成] の下の [Windows の設定] をクリックします。[セキュリティの設定] を右クリックし、[ポリシーのインポート] を選択します。

6. [ポリシーのインポート] ダイアログボックスで、テンプレートが格納されているディレクトリまで移動し、インポートするテンプレートをダブルクリックします。

7. 変更されたグループポリシーを閉じます。

8. ドメインのプロパティ ウィンドウを閉じます。

9. 次の手順に従ってドメインコントローラ (DC) 間でレプリケーションを強制的に実行し、すべての DC が同じポリシーを使用するようにします。

10. コマンドプロンプトを開き、Secedit.exe コマンドラインツールで次のコマンドを実行することで、DC のドメインポリシーを強制的にリフレッシュします。

11. secedit /refreshpolicy machine_policy /enforce

12. イベントログで、ポリシーが正常にダウンロードされたこと、およびサーバーがドメイン内の他の DC と通信できることを確認します。

Secedit.exe コマンドラインツールをバッチファイルまたは自動タスクスケジューラから呼び出すことで、テンプレートの自動的な作成と適用、およびシステムセキュリティの分析を実行できます。このツールは、コマンドラインから動的に実行することもできます。

このポリシーは、組織に追加されるドメインにもインポートする必要があるので注意してください。ただし、ルートドメインのパスワードポリシーが、その他のドメインに比べてはるかに厳密である環境は珍しくありません。さらに、同じポリシーを使用するその他すべてのドメインのビジネス要件が同じであるように注意を払う必要があります。パスワードポリシーはドメインレベルでしか設定できないため、特定のグループにより厳密なパスワードポリシーを適用するためだけに一部のユーザーを別のドメインに分離する、ビジネス上または法律上の要件が存在する場合があります。

ドメインのセキュリティ構成テンプレートをインポートする

ドメインのセキュリティテンプレートをインポートするには、次の手順に従います。

1. 管理者の権利を持つアカウントでドメインコントローラにログオンします。

2. 目的のテンプレートをシステムパーティションの "\%Systemroot%\Security\Templates" (または "C:\WINNT\Security\Templates") フォルダにコピーします。

3. [スタート] をクリックし、[プログラム]、[管理ツール] の順にポイントして [ドメインセキュリティポリシー] をクリックします。[ドメインセキュリティポリシー] コンソールが開きます。

4. コンソールツリーで、[セキュリティの設定] を右クリックします。

5. [ポリシーのインポート] をクリックします。

6. セキュリティ構成テンプレートを選択して [ファイル名] テキストボックスに表示します。[インポートする前にこのデータベースをクリアする] チェックボックスをオンにして、[開く] をクリックします。

7. [ドメインセキュリティポリシー] を閉じます。

8. 以下の手順に従って、ドメインコントローラのセキュリティテンプレートをインポートします。

ドメイン コントローラのセキュリティ構成テンプレートをインポートする

ドメインコントローラのセキュリティテンプレートをインポートするには、次の手順に従います。

1. ドメイン管理者の権利を持つドメインアカウントでドメインコントローラにログオンします。

2. 目的のテンプレートをシステムパーティションの "\%Systemroot%\Security\Templates" (または "C:\WINNT\Security\Templates") フォルダにコピーします。

3. [スタート] をクリックし、[プログラム]、[管理ツール] の順にポイントして [ドメインコントローラセキュリティポリシー] をクリックします。[ドメインコントローラセキュリティポリシー] コンソールが開きます。

4. コンソールツリーで、[セキュリティの設定] を右クリックします。

5. [ポリシーのインポート] をクリックします。

6. セキュリティ構成テンプレートを選択して [ファイル名] テキストボックスに表示します。[インポートする前にこのデータベースをクリアする] チェックボックスをオンにして、[開く] をクリックします。

7. ドメインコントローラを再起動します。

ページのトップへ

目次

• 第 1 章 ‐ はじめに
• 第 2 章 ‐ システム構成
• 第 3 章 ‐ オペレーティング システムのインストール
• 第 4 章 ‐ セキュリティが保護された構成
• 第 5 章 ‐ セキュリティの構成
• 第 6 章 ‐ Windows 2000 Hardening Guide 構成テンプレート
• 第 7 章 ‐ 参照情報
• 付録 A ‐ Windows 2000 の既定のセキュリティ ポリシー設定
• 付録 B ‐ ユーザーの権利と特権
• 付録 C ‐ Windows 2000 セキュリティ構成チェックリスト

ページのトップへ