脅威とその対策
第 1 章 : 脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定
最終更新日: 2006年8月14日
ダウンロード
このガイドの目的は、現在のバージョンの Microsoft® Windows® オペレーティング システムへの特定の脅威に対する対策となるセキュリティ設定の参照を提供することです。
このガイドは、Microsoft から入手できる次の 2 つのドキュメントと関連しています。
このガイドに記載されている対策の多くは、関連するガイドの特定のコンピュータの役割を意図するものではなく、場合によっては何の役割も意図していません。これらの対策は、互換性、有用性、管理性、可用性、またはパフォーマンスを保証するのに役立ちます。
これまでに何度も言われてきたことですが、"セキュリティと機能性は相反する関係" であり、セキュリティ レベルが上がるほど機能性のレベルは低下し、機能性のレベルが上がるほどセキュリティ レベルが低下します。これには例外があり、実際に一部のセキュリティ対策は機能性の向上に役立ちますが、ほとんどの場合においては、この法則は真実であると言えます。
このガイドの章は、グループ ポリシー オブジェクト エディタのユーザー インターフェイスに表示される設定の主要セクションとほぼ同じ構造になっています。各章は、その章の概要説明から始まり、その後にサブセクションのヘッダーのリストが続きます。サブセクションは、設定または設定グループに対応しています (これらの設定は、この章で後述する Microsoft Excel® ブックに一覧が表示されています)。各サブセクションには、対策によって実行される内容の簡単な説明、および次の 3 つのサブセクションがあります。
脆弱性 : 攻撃者が機能またはその構成をどのように悪用する可能性があるかについて説明します。
対策 : 対策を実施する方法について説明します。
考えられる影響 : 対策の実施により引き起こされる可能性のあるマイナスの影響について説明します。
たとえば、「第 2 章 ドメイン レベルのポリシー」は次のようなセクションで始まります。
アカウントポリシー
パスワードの履歴を記録する
脆弱性
対策
考えられる影響
パスワードの有効期間
脆弱性
対策
考えられる影響
ガイドの最後まで、このパターンが繰り返されます。密接に関係する設定は 1 つのセクションで説明されます。たとえば、「第 5 章 セキュリティ オプション」では、4 つのセクションがすべて「Microsoft ネットワーク クライアントとサーバー : 通信にデジタル署名を行う (4 つの関連する設定)」にまとめられています。これらの設定には、次のものが含まれます。
Microsoft ネットワーク クライアント : 常に通信にデジタル署名を行う
Microsoft ネットワーク サーバー : 常に通信にデジタル署名を行う
Microsoft ネットワーク クライアント : サーバーが同意すれば、通信にデジタル署名を行う
Microsoft ネットワーク サーバー : クライアントが同意すれば、通信にデジタル署名を行う
このガイドでは、多くのグループ ポリシー設定について説明していますが、組織が環境を管理するのに役立つグループ ポリシー設定については取り上げていません。組織が自身の企業を特定の脅威から守るために役立つ Microsoft Windows Server™ 2003 SP1 および Windows XP SP2 の設定と機能についてのみ説明しています。これらの Service Pack の後に追加された設定と機能、またはこれらの Service Pack の後にリリースされたソフトウェアによって追加された可能性のある機能については、このガイドで説明していません。また、管理者が構成できない管理機能およびそれらのセキュリティ機能についても説明していません。
このガイドで提供されている情報により、組織は現在のバージョンの Windows オペレーティング システムで実施できる対策について理解を深めることができますが、特定のシナリオでの設定の規範的なガイダンスについては、次の 2 つの関連ガイドを参照してください。
Windows Server 2003 セキュリティガイド (https://go.microsoft.com/fwlink/?LinkId=14845)
WindowsXP セキュリティガイド (https://go.microsoft.com/fwlink/?LinkId=14839)
このガイドに付属の「Windows Default Security and Services Configuration」という Microsoft Excel ブックに、既定の設定が記載されています。最初のワークシート「Windows Server 2003 Defaults」では、Windows Server 2003 で使用可能な既定のグループ ポリシー設定すべてを詳しく説明しています。このワークシートには次の列があります。
列 H の Policy Setting Name in User Interface は、Windows Server 2003 の [グループ ポリシー エディタ] スナップインに表示される、ユーザー インターフェイスでのポリシー設定名です。
列 J の Default Domain Policy は、新しい Active Directory® ディレクトリ サービス ドメインで最初のドメイン コントローラを昇格したときに作成される既定のビルトイン ドメイン ポリシーでのその設定の値です。
列 K の Default Domain Controller Policy は、新しい Active Directory ドメインで最初のドメイン コントローラを昇格したときに作成される既定のビルトイン ドメイン コントローラ ポリシーでのその設定の値です。
列 L の Stand-Alone Server Default Settings は、スタンドアロンの Windows Server 2003 上での既定の設定値です。
列 M の DC Effective Default Settings は、まだ既定の設定を使用しているドメイン コントローラ (DC) の有効な値を示します。
列 N の Member Server Effective Default Settings は、まだ既定の設定を使用しているメンバの有効な値を示します。
"有効な既定の設定 (Effective Default Settings)" とは、セキュリティ設定が変更されていない場合に、システム上で有効な実際の設定を意味します。システム上で有効な設定は、コンピュータの起動中にグループ ポリシーが処理される際に、グループ ポリシー エンジンによって決定されます。エンジンによる優先順位の割り当ては、『WindowsServer2003 *セキュリティガイド』*の「第 2 章 Windows 2003 のセキュリティ強化メカニズム」、「グループ ポリシーの適用」セクションで説明されています。
スプレッドシートを読みやすくするために、追加の列を使用してグループ ポリシー エディタ内のオブジェクトの階層が説明されています。列 A から G は、階層の各レベルを表します。たとえば、Computer Configuration は列 A に、Security Settings は列 C にあります。読みやすくするために、列 I も挿入されています。
2 番目のワークシート「Windows Server 2003 System Services」では、Windows Server 2003 で使用可能なすべてのサービスが一覧表示されています。このワークシートには次の列があります。
列 A の Full Service Name には、Microsoft 管理コンソール (MMC) サービス マネージャの拡張機能などのグラフィカル管理ツールで表示される名前によってサービスが一覧表示されます。
列 B の Service Name には、サービスが短い名前で一覧表示されます。これは多くのコマンド ライン ツールで使用されている形式です。
列 C の DC Startup Type は、Windows Server 2003 ドメイン コントローラ上でのサービスの既定のスタートアップ状態を示します。
列 D の Member Server Startup Type は、Active Directory ベースのドメインのメンバである Windows Server 2003 コンピュータ上でのサービスの既定のスタートアップ状態を示します。
列 E の Stand-Alone Server Startup Type は、Windows Server 2003 スタンドアロン コンピュータ上でのサービスの既定のスタートアップ状態を示します。
列 H の Logon As は、既定の構成でサービスがログオンするアカウントを示します。
追加のワークシート (「Windows XP Defaults」と「Windows XP System Services」) の形式も、これら 2 つのワークシートと同様です。これらのワークシートは、Windows XP のセキュリティ設定とサービスに関する情報を提供します。
トピック
章の概要
Windows Server 2003 SP1 および Windows XP SP2 は、セキュリティやプライバシーの機能が強化され、これまでで最も信頼できるオペレーティング システムです。このガイドは 12 の章で構成され、第 2 章から第 6 章までは、安全な環境を構築するための手順について説明します。各章では、これらのオペレーティング システムを実行するコンピュータを保護するための、エンド ツー エンドのプロセスを紹介します。
第 1 章 : 脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定
このガイドの概要、対象読者の説明、このガイドで取り上げられている問題、および全体的な目的を示します。
第 2 章 : ドメイン レベルのポリシー
ドメイン レベルで適用されるグループ ポリシー設定について説明します。これらの設定には、パスワード ポリシー、アカウント ロックアウト ポリシー、および Kerberos 認証プロトコル ポリシーがあります。これらのポリシーをまとめて、アカウント ポリシーと呼びます。
第 3 章 : 監査ポリシー
セキュリティ対策を監視および実施するための監査ポリシーの使用方法について説明します。さまざまな設定について説明し、設定を変更することによって、監査情報がどのように変更されるかを例を挙げて説明します。
第 4 章 : ユーザー権利
Windows オペレーティング システムによって提供されるさまざまなログオン権利と特権について説明し、これらの権限に割り当てるアカウントについてのガイダンスを提供します。
第 5 章 : セキュリティ オプション
グループ ポリシーのセキュリティ オプション セクションについて紹介し、デジタル データ署名、Administrator と Guest のアカウント名、フロッピー ディスクおよび CD-ROM ドライブへのアクセス、ドライバのインストール時の動作、およびログオン画面のセキュリティ設定を行うためのガイダンスを提供します。
第 6 章 : イベント ログ
Windows Server 2003 と Windows XP のコンピュータ上のさまざまなイベント ログに関連する設定を構成する方法についてのガイダンスを提供します。
第 7 章 : システム サービス
Windows XP および Windows Server 2003 にはさまざまなシステム サービスが含まれています。サービスの多くは既定で実行されるように構成されていますが、特定のコンポーネントをインストールしなければ常駐しないサービスもあります。この章では、オペレーティング システムに付属しているさまざまなサービスを一覧表示し、どのサービスを有効にして、どのサービスを安全に無効にしておくべきかについて具体的な推奨事項を示します。
第 8 章 : ソフトウェア制限ポリシー
Windows XP と Windows Server 2003 で導入されたソフトウェア制限ポリシー メカニズムの概要を説明し、ソフトウェア制限ポリシーの設計および使用に関する追加のリソースへのリンクを提供します。
第 9 章 : Windows XP と Windows Server 2003 の管理用テンプレート
グループ ポリシー管理テンプレートで使用できる設定を一覧表示します。使用可能な設定をすべて説明するわけではなく、セキュリティに関連する設定のみを説明します。
第 10 章 : 追加のレジストリ エントリ
管理用テンプレート ファイルの一覧にはなく、ベースライン セキュリティ テンプレートにはある追加レジストリ エントリに関する情報を提供します。セキュリティ構成エディタのインターフェイスを変更して、それらのエントリをユーザー インターフェイスに表示する方法を示します。また、Windows XP SP2 と Windows Server 2003 SP1 で使用できる追加のレジストリ エントリを提供します。
第 11 章 : 追加の対策
コンピュータに適用する必要のある、多数の追加セキュリティ対策について説明します。ただし、これらの対策は、グループ ポリシーやその他の自動による方法で簡単に適用できるものではありません。これらの対策には、メンバ サーバー上のアカウントのセキュリティ、NTFS 設定、データおよびアプリケーションのセグメンテーション、SNMP コミュニティ名の設定、NetBIOS バインドの無効化、ターミナル サービス構成、ワトソン博士、IPSec ポリシー、および Windows ファイアウォールに関するより広範なガイダンスへの指針が含まれます。
第 12 章 : 結論
これまでの章で説明した事柄の中で重要な点を、簡単な概要でもう一度説明します。
ツールおよびテンプレート
このガイドのダウンロード バージョンには、推奨する対策の評価、検証、および実施に役立つ一連のファイルが含まれます。これらのファイルはまとめて、ツールおよびテンプレートと呼ばれます。
これらのファイルは、Microsoft ダウンロード センター https://go.microsoft.com/fwlink/?LinkId=15160 からダウンロードできる自己展開 WinZip アーカイブ内 の .msi ファイルに含まれています。.msi ファイルを実行すると、指定した場所に次のフォルダ構造が作成されます。
\Threats and Countermeasures Guide Tools and Templates フォルダには、Windows Server 2003 SP1 および Windows XP SP2 のサービスと既定の設定をまとめた Microsoft Excel ブック「Windows Default Security and Services Configuration.xls」が含まれます。
\Threats and Countermeasures Guide Tools and Templates\SCE Update フォルダには、テキスト ファイルとスクリプト ファイルが含まれます。テキスト ファイルを使用すると、セキュリティ構成エディタのユーザー インターフェイスを変更したり、カスタマイズしたりできます。スクリプト ファイルを使用すると、それらの設定を自動的に適用したり、ロールバックしたりできます。これらの手順については、「第 10 章 追加のレジストリ エントリ」で詳しく説明しています。
目次
- 概要
- 第 1 章 : 脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定
- 第 2 章 :ドメイン レベルのポリシー
- 第 3 章 :監査ポリシー
- 第 4 章 : ユーザー権
- 第 5 章 : セキュリティ オプション
- 第 6 章 : イベント ログ
- 第 7 章 : システム サービス
- 第 8 章 : ソフトウェア制限ポリシー
- 第 9 章 :Windows XP と Windows Server 2003 の管理用テンプレート
- 第 10 章 :追加のレジストリ エントリ
- 第 11 章 :追加の対策
- 第 12 章 :結論
- 謝辞