マイクロソフトの Securing Windows 2000 Server ソリューション: 付録 D ‐ 信頼されていないネットワーク内にあるサーバーでの NetBIOS の無効化
付録 D ‐ 信頼されていないネットワーク内にあるサーバーでの NetBIOS の無効化
ここでは、特に、一般からアクセス可能な Web サーバーや企業のメール ゲートウェイなど、信頼されていないネットワークに配置されているサーバーに関する推奨事項について説明します。本文で取り上げた Contoso のシナリオでは、どのサーバーも境界領域のネットワークには配置されていないので、ここで推奨されている手順はどのサーバーに対しても実行されていません。信頼されていないネットワークにサーバーを配置している場合は、以下の変更を検討してください。ただし、十分なテストを行って、NetBIOS (Network Basic Input/Output System) を無効にすることによるシステム管理の問題を理解しておく必要があります。
脆弱性
境界領域のネットワーク内にあるサーバーでは、NetBIOS およびサーバー メッセージ ブロック (SMB: Server Message Block) を含む、不要なプロトコルがすべて無効になっている必要があります。Web サーバーやドメイン ネーム システム (DNS: Domain Name System) サーバーでは、NetBIOS や SMB が動作している必要はありません。この 2 つのプロトコルは、ユーザー情報が収集される脅威に対応するために無効にする必要があります。ユーザー情報の収集は、攻撃者がさらなる攻撃を考えるためにシステム固有の情報を取得しようとするときに行う手段の 1 つです。
SMB プロトコルは、"null" セッションを使用する認証されていないユーザーに対しても、コンピュータに関するさまざまな情報を返します。取得できる情報には、ドメインや信頼の詳細、共有、ユーザー情報 (グループやユーザーの権利を含む)、レジストリ キーなどがあります。
注 : null セッションをブロックするには、第 6 章「Base Windows 2000 Server のハードニング」 の 「MSBP セキュリティ オプション」で説明されている RestrictAnonymous レジストリ キーを設定します。
対策
NetBIOS を無効にするだけでは、SMB 通信を防止するのに十分ではありません。標準の NetBIOS ポートがない場合、SMB は TCP (Transmission Control Protocol) ポート 445 を使用するからです。これを SMB ダイレクト ホストといいます。この結果、NetBIOS と SMB の両方を個別に無効にする明示的な手順を実行する必要があります。
NetBIOS が使用するポートは次のとおりです。
UDP/137 (NetBIOS ネーム サービス)
UDP/138 (NetBIOS データグラム サービス)
TCP/139 (NetBIOS セッション サービス)
SMB が使用するポートは次のとおりです。
TCP/139
TCP/445
インターネットからアクセス可能なサーバーでは、[ローカル エリア接続のプロパティ] ダイアログ ボックスから [TCP/IP のプロパティ] ダイアログ ボックスを開き、[Microsoft ネットワーク用ファイルとプリンタ共有] と [Microsoft ネットワーク用クライアント] を削除して SMB を無効にする必要があります。
SMB を無効にするには
[スタート]ボタンをクリックし、[設定] をポイントします。次に、**[ネットワークとダイヤルアップ接続]**をクリックします。
インターネットへの接続を右クリックし、[プロパティ] をクリックします。
[Microsoft ネットワーク用クライアント] をクリックし、[削除] をクリックします。
アンインストールの手順に従います。
[Microsoft ネットワーク用ファイルとプリンタ共有] をクリックし、[削除] をクリックします。
アンインストールの手順に従います。
NetBIOS over TCP/IP を無効にするには
デスクトップの [マイ コンピュータ] を右クリックし、[管理] をクリックします。
[システム ツール] を展開し**、[デバイス マネージャ]** をクリックします。
[デバイス マネージャ] を右クリックし、[表示] をポイントします。次に、**[非表示のデバイスの表示]**をクリックします。
[プラグ アンド プレイではないドライバ] を展開します。
[NetBios over Tcpip] を右クリックし、[無効] をクリックします。
これによって、TCP/445 および UDP 445 上での SMB ダイレクト ホスト リスナが無効になります。
注 : この手順で nbt.sys ドライバが無効になります。[TCP/IP 詳細設定] ダイアログ ボックスの [WINS] タブには、[NetBIOS over TCP/IP を無効にする] オプションがあります。このオプションを選択しても、TCP ポート 139 上でリッスンする NetBIOS セッション サービスが無効になるだけです。SMB が完全に無効になるわけではありません。SMB を完全に無効にするには、上の手順に従ってください。
潜在的な影響
どのシステムも SMB を使ってこのサーバーに接続することはできなくなります。このサーバーはネットワーク上で共有されているフォルダにアクセスできなくなります。また、多くの管理ツールはこのサーバーに接続できなくなります。
目次
付録 D ‐ 信頼されていないネットワーク内にあるサーバーでの NetBIOS の無効化
付録 E ‐ セキュリティで保護された LDAP および SMTP 複製を行うためのドメイン コントローラでのデジタル証明書の構成