Windows 2000 セキュリティ強化ガイド
第 4 章 ‐ セキュリティが保護された構成
最終更新日: 2004年1月20日
トピック
Windows 2000 のセキュリティポリシー
追加のセキュリティ構成インターフェイス
Windows 2000 の標準インストールベースに対するセキュリティ構成の変更に使用されるツールの概要を説明します。
「第 5 章」では、このガイドでサポートする構成のそれぞれで実行を要する設定について説明します。このドキュメントの「第 6 章」では、セキュリティ設定のほとんどを自動化する手順について説明します。
Windows 2000 のセキュリティポリシー
この章では、各種のセキュリティーポリシーツールとセキュリティポリシー適用時の優先順位について説明します。既定では、グループポリシーが継承および累積され、Active Directory コンテナ内のすべてのコンピュータに作用します。グループポリシーは、グループポリシーオブジェクト (GPO) を使用して管理されます。これは特定の階層で、サイト、ドメイン、組織単位 (OU) など、選択した Active Directory オブジェクトにアタッチされたデータ構造です。
作成後の GPO は標準の順序 LSDOU、言い換えると (1) ローカル、(2) サイト、(3) ドメイン、(4) OU の順序で適用され、新しいポリシーが以前に適用されたポリシーより優先されます。ローカルのグループポリシーオブジェクトが初めに処理され、次に、ドメインポリシーが処理されます。コンピュータがドメインに参加し、ドメインのポリシーとローカルコンピュータのポリシーが競合する場合、ドメインポリシーが優先されます。ただし、コンピュータがドメインへの参加をやめるとローカルグループポリシーが適用されます。
Active Directory およびグループポリシーが実装されているドメインにコンピュータが参加すると、ローカルグループポリシーオブジェクトが処理されます。LGPO ポリシーは、[ポリシーを継承しない] オプションが選択されていても処理されます。
アカウントポリシー (パスワード、ロックアウト、Kerberos) は、ドメイン全体に対して既定のドメイングループポリシーオブジェクト (GPO) で定義されます。ドメインコントローラ (DC) のローカルポリシー (監査、ユーザー権利、セキュリティオプション) は、既定のドメインコントローラ GPO で定義されます。DC の場合、既定の DC GPO で定義された設定が、既定のドメイン GPO で定義された設定よりも優先されます。このため、ユーザーの特権 (ドメインへのワークステーションの追加など) が既定のドメイン GPO で定義されている場合、そのドメインの DC には影響を及ぼさないことになります。
下位レベルの Active Directory コンテナによるポリシーの上書きを防ぐため、特定のグループポリシーオブジェクトのグループポリシーの強制を許可するオプションがあります。たとえば、ドメインレベルで定義された GPO があり、この GPO が強制されるように指定されている場合、この GPO のポリシーがそのドメインのすべての OU に適用され、下位レベルコンテナ (OU) でドメインのグループポリシーを上書きできないことになります。
注 アカウントポリシーのセキュリティをドメイン内のコンピュータで有効にする方法は特殊な処理です。ドメイン内の DC はすべて、その DC のコンピュータオブジェクトがどこにあるかに関わらず、ドメインノードで構成された GPO のアカウントポリシーを継承します。これにより、すべてのドメインアカウントに強制されるアカウントポリシーの整合性が保持されます。ドメイン内の非 DC コンピュータはすべて、通常の GPO 階層に従ってコンピュータのローカルアカウントのポリシーを取得します。既定では、メンバのワークステーションおよびサーバーでは、ローカルアカウントに対するドメイン GPO で構成されたポリシー設定が強制されますが、下位の範囲にこの既定の設定を上書きする別の GPO がある場合はその設定が有効になります。
ローカル セキュリティ ポリシー
ローカルセキュリティポリシーは、ローカルコンピュータのセキュリティ要件の設定に使用されます。これは主として、スタンドアロンコンピュータやドメインメンバに対する特定のセキュリティ設定の適用に使用されます。Active Directory で管理されるネットワークでは、ローカルセキュリティポリシーの設定の優先度が最も低くなります。
[ローカルセキュリティポリシー] を開くには、次の手順に従います。
管理者権限でローカルコンピュータにログオンします。
Windows 2000 Professional のコンピュータの場合、既定では [スタート] メニューオプションに [管理ツール] が表示されません。Windows 2000 Professional で [管理ツール] メニューオプションを表示するには、[スタート] をクリックし、[設定] をポイントして [タスクバーと [スタート] メニュー] をクリックします。[タスクバーとスタートメニューのプロパティ] ウィンドウの [詳細] タブをクリックします。[[スタート] メニューの設定] ダイアログボックスの [管理ツールを表示する] チェックボックスをオンにします。[OK] ボタンをクリックして、設定を完了します。
[スタート] をクリックし、[プログラム]、[管理ツール] の順にポイントして [ローカルセキュリティポリシー] をクリックします。これで、[ローカルセキュリティ設定] コンソールが開きます。
.gif)
.gif){kind=link}
ドメイン セキュリティ ポリシー
ドメインセキュリティポリシーは、ドメイン内のすべてのコンピュータに対するセキュリティ要件の設定と適用に使用されます。ドメインセキュリティポリシーは、ドメイン内のすべてのコンピュータのローカルセキュリティポリシーの設定を上書きします。
[ドメインセキュリティポリシー] を開くには、次の手順に従います。
[Active Directory ユーザーとコンピュータ] スナップインを開きます。
ポリシーを表示する組織単位かドメインを右クリックします。たとえば、ドメインセキュリティポリシーを表示するには、[ドメイン] を右クリックします。ドメインコントローラポリシーを表示するには、Domain Controllers 組織単位を右クリックします。
プロパティから [グループポリシー] タブをクリックします。
[編集] ボタンをクリックします。
[Windows の設定] を展開します。
セキュリティの設定ツリー内の項目でセキュリティ構成を設定します。
組織単位グループ ポリシー オブジェクト
ドメインのセキュリティポリシーの管理には、組織単位を使用するようにお薦めします。ドメインには常にDomain Controllers OU が付属しています。しかし、必要に応じて別の OU も定義できます。たとえば、ベースライン設定をドメインレベルで適用し、特定の設定を OU レベルで適用するようにお薦めします。このようにして、ワークステーションすべてを配置する Workstations OU や、ドメインメンバサーバーすべてを配置する Domain Servers OU を作成する、というようにします。
OU GPO は、これまでに説明したポリシーインターフェイスで実装されたセキュリティポリシー設定を上書きすることがあります。たとえば、ドメインに設定されたポリシーに Domain Controllers OU に構成されたポリシーとの互換性がない場合、ドメインコントローラはドメインポリシーの設定を継承しません。これは、OU GPO の作成時に [上書きなし] オプションを選択すると回避できます。[上書きなし] オプションは、ポリシーが子のポリシーと競合し、子に [ポリシーを継承しない] が設定されている場合でも、子コンテナのすべてが親のポリシーを継承するように強制します。[上書きなし] チェックボックスは、GPO の [プロパティ] ダイアログボックスの [オプション] ボタンをクリックすると、設定することができます。ただし、ここで紹介する例については、この機能をセキュリティ設定の適用に使用します。
追加のセキュリティ構成インターフェイス
このドキュメントでは、説明と実装を容易にするため、Windows 2000 のセキュリティポリシーによるセキュリティ設定の管理を中心に説明します。ただし、スタンドアロンコンピュータではこのインターフェイスを使用できず、また、グループポリシーの場合とは異なり、ドメインメンバであっても、状況ごとにセキュリティの管理が必要になる場合もあります。このタスクの実行に使用可能なスタンドアロンツールが多数あります。最も一般的に使用されるのはセキュリティ構成エディタツールで、これは、すべての Windows 2000 システムに付属しています。
セキュリティ構成エディタ
セキュリティ構成エディタ (SCE) は、セキュリティの構成および Windows 2000 オペレーティングシステムの分析の機能を提供することを目的に設計された 2 つの Microsoft Management Console (MMC) スナップインで構成されます。1 つ目のスナップインは、セキュリティテンプレートスナップインで、セキュリティ設定の適用に使用される inf ファイルをグラフィカルに管理する機能を管理者に提供します。2 つ目のスナップインは、セキュリティの構成と分析スナップインで、特定のテンプレートと対照してシステムのセキュリティを分析し、テンプレートの設定をシステムに適用する機能を管理者に提供します。図5は、このインターフェイスを示しています。このスナップインを表示するには、新規にコンソールを作成する必要があります。[スタート]、[ファイル名を指定して実行] の順にクリックし、MMCを実行します。MMC が表示されたら、[コンソール]、[スナップインの追加と削除...] の順にクリックしてから、[追加...] をクリックします。[セキュリティの構成と分析] と [セキュリティテンプレート] を両方ともダブルクリックします。[閉じる]、[OK] の順にクリックして、コンソールに戻ります。今後のため、このコンソールを保存すると、[スタート] メニューの [管理ツール] フォルダから選択できるようになります。
.gif)
図 5: SCE ツール
.gif){kind=link}
SCE ツールを使用すると、管理者は、Windows 2000 オペレーティングシステムのセキュリティを構成し、システムを定期的に分析して、構成に損傷がないことを確認したり、時の経過によって必要になった変更を実行できます。グループポリシーのセキュリティ設定ツリーに表示されるすべてのものに効率的にアクセスできます。
SCE ツール使用の詳細は、下記のサイトでダウンロードすることができます。https://www.microsoft.com/japan/windows2000/techinfo/howitworks/security/sctoolset.asp
その他のツール
Windows 2000 にはその他のセキュリティ管理用のツールが多数付属しています。ここでは、その一部を簡単に紹介します。管理者は、このツールを理解しており、詳細な紹介は不要であると判断します。
Windows Explorer - ファイルシステムの随意アクセス制御リスト (DACL) およびシステムアクセス制御リスト (SACL) を構成できます。
Regedt32.exe - レジストリの DACL と SACL を構成できます。
Cacls.exe - ファイルシステム DACL の構成と表示が可能なコマンドラインツールです。
Net.exe - コマンドラインツールの 1 つで、ネットワーク一覧にシステムが表示されるかどうかなどの各種設定と、ユーザーアカウント、グループメンバシップの作成と構成ができます。
Netsh.exe - ネットワークパラメータ構成に使用されるコマンドラインツールです。
Secedit.exe - GUI SCE と同じ機能を提供するコマンドラインツールです。