ISA Server 2006 のセキュリティ保護ガイド
Alan Maddison
概要 :
- サーバーのセキュリティ保護のベスト プラクティス
- セキュリティの構成ウィザードのセットアップ
- セキュリティの構成ウィザードのチュートリアル
- 管理に関する役割の割り当て
目次
サーバーのセキュリティを確保する
セキュリティの構成ウィザードをセットアップする
SCW を実行する
管理に関する役割
多くの IT プロフェッショナルが、テクノロジ資産の保護に ISA Server 2006 (Internet Security and Acceleration Server 2006) を利用していますが、さらに ISA Server 自体のセキュリティを確保している人はほとんどいません。最近
ISA Server 2006 をインストールした方であれば、インストールが完了した直後に ISA Server を保護するメッセージが表示されたことを覚えていらっしゃるかもしれません。残念ながら、私たち IT プロフェッショナルの多くは、時間を割いて (または時間がないために) この重要な作業を実行することはほとんどなく、この作業は結局は決して実行されることのないやるべきことの 1 つになるだけです。
現在の常に変化するセキュリティ情勢では、このように ISA Server のセキュリティ保護を怠ることはもはや許されません。さいわい、ISA Server のセキュリティ保護に使用されるツールは、大きな進化を遂げています。ISA Server 2004 以前のバージョンで提供されていたセキュリティ強化ウィザードの持つ課題の多くに取り組む必要はなくなりました。Windows Server® 2003 に付属のセキュリティの構成ウィザード (SCW) など、洗練された手順やツールを利用できます。
この記事では、サーバー保護の一般的なベスト プラクティスについて簡単に説明します。また、ISA Server 自体のセキュリティ保護戦略を順を追って説明します。ここでは、セキュリティの構成ウィザードを使用して ISA Server の攻撃対象領域を縮小し、管理に関する役割を使用して ISA Server へのアクセスを制限します。
サーバーのセキュリティを確保する
サーバーがデータセンターに置かれていようと、オフィスの隣のサーバー ルームに置かれていようと、サーバーのセキュリティ保護については、多くの要素とベスト プラクティスがあります。管理者の責任として、これらのベスト プラクティスがどのようなものかを理解し、各組織にとって現実的な方法でこれらの要件を実装するよう尽力する必要があります。ここ数年、セキュリティの重要性が広く認められるようになるにつれ、管理者の多くは、このような要件の中核をなす作業にかなり精通してきていますから、ここでは詳細な説明ではなく、簡潔に概要のみを示します。
環境のセキュリティを確保するために最初に実行する必要がある作業は、サーバーを物理的に安全な状態にすることです。つまり、具体的に言うと、サーバーへの物理的なアクセスを制限します。小規模環境では、サーバー ルームのドアを常に施錠し、サーバー ルームに出入りできるスタッフはごく少数に限るようにします。大規模環境でも、上記の基本要件はほぼ変わりありませんが、より洗練された方法で実装されるでしょう。たとえば、多くの組織では電子監視を採用しています。これにより、サーバーの設置場所への出入りを監査できるだけでなく、職務構造に応じて、個々のラックやケージへのアクセスを制限することさえできます。
ISA Server または ISA 構成保管サーバーの盗難や物理的な侵害に対処する際は、いくつか考慮すべき独自の要素があります。盗まれたサーバーから入手できる情報の性質を考えると、環境内のすべての ISA Server とトラフィック (暗号化されたトラフィックも含む) が侵害される可能性があります。
サーバーが侵害や盗難などの被害を受けている可能性がある場合は、この被害を受けたサーバーがまだ設置場所にある場合はこれを直ちに隔離し、証拠を保存するための標準の手順に従ってください。これらの必要な手順を実行したら、すべての機密情報を変更するプロセスに着手する必要があります。問題のサーバー上にインストールされているすべての証明書を失効し、すべての事前共有キーと共有シークレットを変更してください。また、レプリカの構成保管サーバーを保持している場合は、必ず問題のサーバーに関連するデータを削除します。
サーバーの物理的安全を確保できたら、次は、仮想化層、OS、およびアプリケーションを含め、すべてのソフトウェアに修正プログラムを適用するための体系的な方法を用意します。修正プログラムと更新プログラムは、定期的に確認し、適用する必要があります。ただし、運用システムにこのような更新プログラムを適用する前に、忘れずにこれらをテストしてください。修正プログラムによって、アプリケーションやデータの整合性に影響する問題が起きるのであれば、適用するメリットはありません。
データの整合性が損なわれた場合は、バックアップを利用しなければならなくなります。これは、インフラストラクチャの保護に関するまた別の主要な要素につながります。必要な状況が発生した場合にデータをすばやく完全に復元できないと、ダウンタイムにより作業に大きな影響が出て、その結果、侵害による被害額が増加します。
他に考慮すべき 2 つの要素は、監視と監査です。優れたセキュリティの計画を確立するには、アプリケーションとシステムの監視が不可欠です。ログ、特にセキュリティ関連のログの確認を怠ると、実際に被害をこうむるまで、侵害が試みられていることに気付くことはないでしょう。
同様に、監査も欠かせません。多くの組織、特に大規模環境では、監査を行うことが多くの場合規定されているか、法律によって義務付けられいることさえあります。いずれにせよ、どのような環境であっても、取り組みが有効なものになるよう、資産保護の方法と統制状況を定期的に見直すことが重要です。
また、ISA Server 2006 は Windows Server® 2003 上で実行されるため、『Windows Server 2003 セキュリティ ガイド』を確認して、必要な推奨作業を実行することも重要です。『Windows Server 2003 セキュリティ ガイド』については、microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx を参照してください。
マイクロソフトでは、現在、Baseline Security Policy テンプレートの実装を推奨していますが、インターネット プロトコル セキュリティ (IPsec) フィルタは実装しないでください。
セキュリティの構成ウィザードをセットアップする
では、ISA Server 自体のセキュリティを強化するにはどうしたらよいでしょうか。ISA のセキュリティ保護に使用する基本のツールは、セキュリティの構成ウィザード (SCW) です。これは、攻撃対象領域を縮小するツールです。SCW は、サーバーのサービス、ネットワーク セキュリティ、レジストリ、および監査ポリシーを対象とするセキュリティ ポリシーを作成し、必要なサービスと機能のみが使用されるようにシステムを構成します。使用する ISA Server サービスのみを構成する必要があることに留意してください。たとえば、Web プロキシ サービスは既定では有効になっていますが、この機能を使用しない場合は無効にします。したがって、SCW が提供する構成オプションには十分に注意する必要があります。
SCW は Windows Server 2003 では既定でインストールされないため、まず、コントロール パネルのプログラムの追加と削除の [Windows® コンポーネントの追加と削除] を使用して、手動で SCW をインストールしてください (SCW は、Windows Server 2008 では既定でインストールされます)。[Windows コンポーネントの追加と削除] の画面が読み込まれたら、スクロールして、SCW のチェック ボックスをオンにします。
インストールが完了すると、SCW は [管理ツール] の下に表示されます。SCW の使用を開始する前に、ISA Server 2006 用の更新プログラム (go.microsoft.com/fwlink/?LinkId=122532) をダウンロードして、SCW を更新する必要があります。この更新プログラムは、ISA Server 2006 Standard Edition、ISA Server 2006 Enterprise Edition、および ISA Server 構成保管サーバー用の役割を追加するものです。
更新プログラムをダウンロードしたら、パッケージを実行してファイルを展開する必要があります。ファイルを展開したら、2 つの .xml ファイル (isa.xml と isaloc.xml) を SCW 用の kbs フォルダにコピーします。これは、Windows Server の既定のインストールでは、c:\windows\security\msscw\kbs です。
ファイルをコピーするときに、同じ名前の既存の 2 ファイルを上書きするかどうかを確認するメッセージが表示されます。この 2 ファイルは ISA Server 2004 用のファイルなので、上書きする前にバックアップを作成してください。最後に、isascwhlp.dll ファイルを bin フォルダにコピーします。このフォルダの場所は、通常 c:\windows\security\msscw\bin です。SCW への ISA の役割の追加が完了したら、インストールを開始できます。
マイクロソフトでは、基本的に、ISA Server の構成が完了した時点でのみ、SCW を実行することを推奨しています。Enterprise Edition を実行している場合、これにはすべてのアレイとすべてのアレイ メンバの構成も含まれます。
SCW を実行する
まず、[管理ツール] から SCW を起動します。SCW プロセスを正常に完了するには、管理アクセス許可が必要なことに注意してください。
図 1 は、このウィザードの最初の画面を示しています。この画面上のテキスト、特に「このウィザードでは、このサーバーによってリッスンされる受信ポートが検出されます」という警告のテキストを読むと、なぜこのプロセスを開始する前に、ISA Server とアレイを完全に構成しておくことが重要であるかがわかります。
図 1 セキュリティの構成ウィザードの開始画面 (画像をクリックすると拡大表示されます)
環境を完全に構成していないと、ISA 構成を完了した後に、高い確率で SCW の構成を変更し直さなければならなくなります。次の画面 (図 2) では、実行する作業を指定します。ここでは、[新しいセキュリティ ポリシーの作成] を選択します。
図 2 新しいセキュリティ ポリシーの作成 (画像をクリックすると拡大表示されます)
次は、ポリシーのベースラインとなるサーバーを選択するよう指示されます。新しいポリシーを作成しているので、既定では SCW を実行しているコンピュータを使用する選択になっています。ただし、この動作は、前の画面で実行するよう選択した作業に応じて変わります。いずれにせよ、ベスト プラクティスとしては、ベースラインに使用するサーバー上に SCW をインストールしておくことをお勧めします。SCW が対象サーバーにインストールされていないと、ポリシーの作成に使用した情報が失われます。したがって、スムーズに作業を終えられるように、SCW はベースラインとするサーバーにインストールして実行してください。
[次へ] をクリックすると、SCW が ISA Server の分析を開始します。この分析では、サーバー上にインストールされている役割、サーバー上にインストールされることが予想される役割、インストールされているサービス、および基本ネットワーク情報が特定されます。処理が完了すると、[構成データベースの表示] をクリックしてデータベースを表示できます。構成データベースには、サポートされるすべてのサーバーの役割、クライアント機能、ポートなど、さまざまな情報が保持されています。
次に、SCW では、役割に基づくサービスの構成手順が開始されます。[次へ] をクリックすると次の画面が表示され、この画面ではサーバーの役割を選択します (図 3 参照)。SCW が実行する初期スキャンの信頼性は高く、正しいサーバーの役割が既に指定されていると思われます。ただし、再度確認して、不要な役割は削除することが非常に重要です。サーバーが複数の役割を実行する場合は、適切な役割がすべて選択されていることを確認してください。
図 3 サーバーの役割の指定 (画像をクリックすると拡大表示されます)
ISA Server 2006 Enterprise Edition を実行している場合に注意する点は、構成保管サーバーについて考慮が必要なことです。構成保管サーバーが ISA Server としても機能するサーバー上にインストールされている場合 (なお、これは推奨されるベスト プラクティスではありませんが、このように構成されることがよくあります)、構成保管サーバーの役割も選択する必要があります。実際には ISA Server 2006 の役割しかないサーバーに対しては、この 2 つの役割をホストするサーバーのベースライン スキャンは使用しないでください。
次は、サーバーのクライアント機能を選択します。つまり、サーバーが必要とするサービスを指定する必要があります。たとえば、ほとんどのサーバーは DNS クライアントを必要としますが、サーバーがドメインのメンバであった場合は、ドメイン メンバ機能が必要です。
この作業が済むと、[管理とその他のオプション] 画面が表示されます。ここでは、サービスを使用するかネットワーク接続を利用するアプリケーション、管理、およびオペレーティング システムのオプションを指定します。ここで選択されていないサービスは、無効になります。ただし、オプションを選択し [次へ] をクリックすると、許可する追加のサービスを選択できるオプションが提供されます。
次に、指定されていないサービスをどのように扱うかを構成します。ここでは、ポリシーの適用時に、メイン データベースに含まれていないか、ベースライン サーバーにインストールされていないサービスが見つかった場合に実行する動作を定義できます。一般的なベスト プラクティスとしては、予測できない攻撃要因を制限するため、不明なサービスは無効にすることをお勧めします。ただし残念ながら、このオプションを選択した場合、サーバー間になんらかの形で差異があると、悪い結果を招く可能性があります。また、将来アプリケーションまたはネットワーク サービスを追加する場合も、この設定について注意が必要です。
ウィザードの次のセクション (図 4) では、SCW によって変更されるサービスを確認できます。この構成画面では、サービスの現在の状態と、ポリシーが適用された後の変更後の状態を比較できます。
図 4 サービスの変更の確認 (画像をクリックすると拡大表示されます)
変更されるサービスを確認したら、[ネットワーク セキュリティ] のセクションに進みます。ここでは、通常、Windows ファイアウォールと IPsec の設定を変更します。ただし、ISA Server 2006 を構成しているので、このセクションは省略します (図 5 参照)。
図 5 ネットワーク セキュリティの設定の省略 (画像をクリックすると拡大表示されます)
次は、ネットワーク認証方法とセキュリティに関するレジストリ設定の構成に進みます。このセクションの最初の画面は、サーバー メッセージ ブロック (SMB) 署名に関する画面です。SMB プロトコルは、マイクロソフトの主要ネットワーク プロトコルの 1 つで、この画面の設定により、man-in-the-middle 攻撃の可能性を縮小するために、署名付きの通信が可能になります。
既定の設定 (図 6) でも、ISA Server SMB 通信に対して適度なセキュリティが得られます。ただし、すべての通信に署名することによる影響を考慮する必要があります。CPU サイクルに余裕がない場合、2 つ目のチェック ボックスはオフにしてください。また、忘れずに、このポリシーを適用するすべてのサーバーについて考慮してください。サーバーのワークロードが異なっている場合、このチェック ボックスをオンにするかどうかの判断基準には、CPU 使用率の最も高いサーバーを使用する必要があります。
図 6 署名付きの通信を必要とするかどうかの指定 (画像をクリックすると拡大表示されます)
次の一連の画面では、ISA Server が使用する LMCompatibility レベルを構成します。最初の画面では、3 種類の選択肢が表示されます。レガシ Windows クライアント (Windows 95 または Windows 98 など) が展開されているか、アクセス制御にローカル アカウントを使用していない限り、既定で選択されている [ドメイン アカウント] をそのまま使用してください。
2 番目の画面は LMCompatibility のレベルを構成する画面で、ドメイン コントローラについての情報を指定します。Windows NT® 4.0 ドメインを展開していない場合は、既定の指定 (Windows NT 4.0 Service Pack 6a 以降の OS) をそのまま使用してください。このダイアログ ボックスでは、選択されたサーバーの時計と時計を同期するオプションも選択してください。[次へ] をクリックすると、LAN Manager (LM) の受信通信について、追加の構成オプションが表示されます (図 7 参照)。
図 7 受信認証方法の指定 (画像をクリックすると拡大表示されます)
この LMCompatibility レベルに関する 3 番目の画面では、Windows NT LAN Manager (NTLM) Version 2 を必要とするかどうかと LM ハッシュを維持するかどうかを指定します。環境がこの構成をサポートする場合、この 2 つのオプションを選択しないことでセキュリティが大幅に向上するため、この 2 つのオプションはどちらも選択しないでください。次に、[レジストリ設定の概要] が表示されます。各項目を見直し、ポリシー設定が正しいことを確認してください。
次は、ウィザードの最後のセクションである監査に進みます。このセクションで行う構成は、どの構成もロール バックできないことに注意してください。ただし、監査はシステムの機能には影響しないため、このセクションは省略しないようにしてください。
既定では [成功のアクティビティを監査する] が選択されていますが、これではログオンの失敗に対するイベント ログ エントリは作成されません。しかし、ログオンの失敗についての情報は、侵入の試みについて貴重な情報を提供できます。したがって、一般的なベスト プラクティスとしては、[成功と失敗のアクティビティを監査する] を選択することをお勧めします。
次に、監査の構成を確認し、[次へ] を 2 回クリックしてセキュリティ ポリシーを保存します。この画面 (図 8) に表示されるのはファイル名のみですが、簡単な説明を追加することもできます。この説明は、複数の管理者がセキュリティ関連の業務を担当している大規模な環境では、役立つ可能性があります。
図 8 セキュリティ ポリシーの名前と説明の指定 (画像をクリックすると拡大表示されます)
最終構成が保存されると、ポリシーを直ちに適用するか、後で適用するかを指定するオプションが表示されます。ポリシーを後で適用する場合は、プロセスは完了です。ポリシー構成に誤りを見つけた場合は、監査の設定を除き、ポリシーをロール バックできます。
管理に関する役割
ISA Server の攻撃対象領域を縮小することは、外部ソースからの侵害の可能性を縮小するうえで欠かせない作業です。ただし、ISA Server 内の管理に関する役割の割り当てを確認して、内部ソースからの侵害の可能性を制限することも重要です。管理に関する役割および関連付けられている一般的なタスクの一部を、図 9 および 10 に示します。
図 9 Standard Edition の役割と関連付けられているタスク
| タスク | 監視監査者 | 監査者 | 管理者 (完全) |
|---|---|---|---|
| ダッシュボード、警告、接続、セッション、およびサービスの表示 | 可 | 可 | 可 |
| 警告の確認 | 可 | 可 | 可 |
| ログ情報の表示 | – | 可 | 可 |
| 警告定義の作成 | – | – | 可 |
| レポートの作成 | – | 可 | 可 |
| セッションおよびサービスの停止と開始 | – | 可 | 可 |
| ファイアウォール ポリシーの表示 | – | 可 | 可 |
| ファイアウォール ポリシーの構成 | – | – | 可 |
| キャッシュの構成 | – | – | 可 |
| 仮想プライベート ネットワーク (VPN) の構成 | – | – | 可 |
図 10 Enterprise Edition の役割と関連付けられているタスク
| タスク | アレイ監視監査者 | アレイ監査者 | アレイ管理者 |
|---|---|---|---|
| ダッシュボード、警告、接続、およびセッションの表示 | 可 | 可 | 可 |
| 警告の確認とリセット | 可 | 可 | 可 |
| ログ情報の表示 | – | 可 | 可 |
| 警告定義の作成 | – | - | 可 |
| レポートの作成 | – | 可 | 可 |
| セッションおよびサービスの停止と開始 | – | 可 | 可 |
| ファイアウォール ポリシーの表示 | – | 可 | 可 |
| ファイアウォール ポリシーの構成 | – | – | 可 |
| キャッシュの構成 | – | – | 可 |
| 仮想プライベート ネットワーク (VPN) の構成 | – | – | 可 |
| NLB の Drain または Stop コマンドの実行 | – | 可 | 可 |
| ローカル構成 (アレイ メンバのレジストリ内) の表示 | – | 可 | 可 |
| ローカル構成 (アレイ メンバのレジストリ内) の変更 | – | – | – |
ご覧のように、ISA Server に関連付けられている管理タスクは、かなり細かく分類されています。このため、組織内のユーザーに正しい役割を割り当てることは簡単だと思われます。
また、役割の割り当てに際しては、最小限の特権の概念を採用することが一番適切な方法であることに留意してください。どのユーザーにも、業務を遂行するうえで必要最小限の特権しか付与されないようにします。
また、ISA Server 2006 Standard Edition の Local Administrators グループのメンバは、ISA Server 管理者 (完全) と同じ権利を持つことにも注意してください。Enterprise Edition の場合、構成保管サーバーの役割がインストールされているサーバー上の Local Administrators グループのメンバは、Enterprise 構成を完全に制御できます。つまり、ISA Server がドメインのメンバである場合は、Domain Admins グループと、ISA Server の Local Administrators グループのメンバである他のグループのメンバシップについて、慎重に確認してください。
Alan Maddison は、Brocade 傘下の Strategic Business Systems でマイクロソフト テクノロジを専門とするシニア コンサルタントを務めています。