Windows 2000 ネットワーク アップグレード ガイド
第 10 章 ‐ セキュリティ プランの作成
「Windows 2000 ネットワーク アップグレード ガイド」 (発行 : 株式会社 IDG ジャパン) より抜粋
トピック
.gif "安全な認証サービスの実現"){kind=icon}
安全な認証サービスの実現
ファイルシステムの保護
ユーザー権利とは
Windows 2000 のデフォルトのセキュリティ構成
セキュリティプランの作成は、必要不可欠な作業です。セキュリティプランの作成作業では、リソースとデータを保護するためのさまざまな標準を作成します。保護の対象となるのは、記憶装置に保存された情報や、LAN、WAN、ダイヤルアップ接続により送信されるデータなどです。Windows 2000 では、不正な操作からシステムを保護する防御機能が非常に向上しました。Windows 2000 セキュリティのさまざまな側面を学び、効果的で使用しやすいセキュリティプランを作成することを心がけてください。
効果的なセキュリティプランを立案するには、Windows 2000 セキュリティの要素すべてを考慮しなければなりません。セキュリティプランは、1 個所でも弱い部分があると台無しになってしまいます。いくつものポリシーやガイドラインを決定してもセキュリティにとって大事な部分を見逃してしまうと、セキュリティ計画全体が無意味なものになってしまうのです。この章では、Windows 2000 のセキュリティについて詳細に説明します。システムセキュリティに関する次の問題をそれぞれ説明します。
安全な認証サービスの実現
ファイルシステムの保護
ユーザー権利の理解
Active Directory のセキュリティ
証明書サービスの活用
Windows 2000 デフォルトセキュリティ構成
この章の目的は、マイクロソフトのセキュリティアーキテクチャの理解を深め、Windows 2000 ネットワークのセキュリティ確保に役に立つガイドラインを提供することです。
安全な認証サービスの実現
おそらく Windows 2000 セキュリティの最も基本的な要素は、認証そのものです。「認証」の最も基本的な役割は、セキュリティプリンシパル (ユーザー、グループや特殊な主体) を確認する処理です。この確認処理は、基本的に 2 つのステップからなります。
Windows 2000 システムの認証は、「対話型ログオン」という処理で始まります。対話型ログオンの間、セキュリティプリンシパルの実体がドメインアカウントかローカルコンピュータに照会されます。
対話型ログオンが終わると、セキュリティプリンシパルがネットワークにアクセスできるようになります。共有フォルダなどのリソースにアクセスしようとすると、第 2 の認証処理が行われます (ユーザーからは見えません) 。この処理を「ネットワーク認証」といいます。ネットワーク認証では、セキュリティプリンシパルの実体がネットワークサービスを使用できるかどうかが確認されます。
安全な認証サービスを実現するには、マイクロソフトの基本的な認証処理だけを使用していればよいというわけではありません。たとえば、対話型ログオンとネットワーク認証により保護され、安全とされていた NT のパスワードを解読するネットワーク侵入ツールが、有名なセキュリティグループによって 1998 年に開発されています。したがって、強力な認証サービスを実現するには、LAN や WAN の日常的なトラフィックにも適切なセキュリティを確保しなければなりません。つまり、安全な認証サービスを可能にするには、2 つの標準を作成する必要があります。1 つは、マイクロソフトの基本的な認証プロトコルの使用に関する標準で、もう 1 つはスマートカードや IP セキュリティ (IPSec) など別のセキュリティプロトコルやデバイスに関する標準です。ここでは、セキュリティ用のプロトコルやデバイスを紹介し、安全な認証の標準を作成するための注意事項を詳述します
基本的な認証プロトコル
Windows 2000 では、デフォルトで 3 つの認証プロトコルがサポートされます。どのプロトコルも、認証サービスを実現するだけでなく、分散アプリケーションに関してメッセージの整合性とプライバシーを確保します。プロトコルは次の 3 つです。
NT LAN Manager (NTLM)
Kerberos V5
Secure Sockets Layer/Transport Layer Security (SSL/TLS)
NT LAN Manager (NTLM)
たいていの場合、Windows 2000 は、ダウンレベルの Microsoft クライアントやサーバー (NT 3.x‐4.0 Workstation または Server) との間で認証を行う場合だけ NTLM プロトコルを使用します。NTLM は、NT 3.x‐4.0 のデフォルトの認証プロトコルです。一方、Windows 2000 では、NTLM ではなく Kerberos がデフォルトとして使用されます。したがって、マイクロソフトの基本的な認証プロトコルに関する標準には、NTLM をサポートし続けるかどうかも指定する必要があります。これを決定するには、表 10.1 を参照してください*1。
*1 この表に記載された「状況」と「対処」は、1999 年第一四半期現在利用可能な主な SMB クライアントと SMB サーバーに基づいています。将来は、マイクロソフトの Kerberos 実装をネイティブでサポートする SMB クライアントやサーバーが開発されるでしょう。
表 10.1 NTLM 認証をサポートする場合
状況 |
対処 |
|---|---|
ダウンレベルの Microsoft クライアントや Microsoft サーバーがネットワーク内に多い |
ダウンレベルの Microsoft クライアントと Microsoft サーバーがすべて Windows 2000 に移行するまでは NTLM をサポートする必要がある |
NT 3.x‐4.0/2000 に接続するのに SMB クライアントを使用している UNIX クライアントがある。これらのマシンは Kerberos 用に構成されていない |
UNIX クライアントが SMB (サーバーメッセージブロック) を使用して NT/2000 に接続している場合は NTLM をサポートする必要がある。FTP や Telnet などの標準 TCP/IP プロトコルで接続している場合は、NTLM を削除できる |
Kerberos プロトコルを使用するように構成された UNIX クライアントがある。これらの UNIX クライアントは SMB クライアントを使用して NT/2000 サーバーに接続している |
NTLM を削除するには、Kerberos で Windows 2000 に接続するように UNIX クライアントを構成する必要がある (詳細については、『Windows 2000 リソースキット』付属のユーティリティ KTPASS.EXE と KSETUP.EXE を参照) |
SMB デーモンを実行する UNIX サーバーに接続する NT/2000 クライアントがある |
SMB デーモンを使用し続ける場合、NTLM を削除できる可能性はほとんどない。NTLM を削除するには、NT/2000 システムで NFS クライアントを使用する。NFS (ネットワークファイルシステム) クライアントは、Services for UNIX パッケージ内に含まれている |
Kerberos V5
NTLM のみを使用していた NT 3.x‐4.0 ネットワークとは異なり、Windows 2000 では NTLM と Kerberos の両方がサポートされます。すでに述べたように、Kerberos が NTLM に代わって Windows 2000 のデフォルトの認証プロトコルになっています。「Kerberos」は、プラットフォームに依存しない業界標準のセキュリティプロトコルで、マサチューセッツ工科大学 (MIT) で開発されました。Kerberos には、NTLM よりも優れた点がいくつもあります。たとえば、高速化されたセッション確立や推移する信頼関係、認証の委任のサポートなどです。
Kerberos セキュリティの中心のコンポーネントは、「キー配布センター (KDC) 」です。KDC は、Active Directory の一部として Windows 2000 ドメインコントローラで実行され、パスワードや重要なアカウント情報が格納されます。各 KDC は、チケットを発行します。Kerberos クライアントは、認証やネットワークアクセスの間、このチケットを使用します。Windows 2000 KDC は、ユーザーチケットとサービスチケットの 2 種のチケットを発行します。Kerberos 認証プロセスは、次の手順から構成されます。
まず、対話型ログオン時にユーザーチケットを獲得する必要があります。暗号化されたパスワードによる認証が成功した場合だけ、ユーザーの KDC がユーザーチケットをユーザーに発行します。ユーザーの KDC からユーザーがユーザーチケットを受け取ったら、サービスチケットを要求できます。どのネットワークサービスにアクセスするにも、サービスチケットが必要になります。ネットワークサービスにアクセスするたびに、Kerberos ランタイムにより、まずユーザーのローカルチケットキャッシュがチェックされ、有効なサービスチケットを所有しているかどうかが確認されます。サービスチケットがない場合は、ユーザーチケットと共に KDC へのサービス要求を送信しなければなりません。KDC がサービス要求を受信し、ユーザーに要求されたネットワークサービスにアクセスする権利があると判定すると、有効なサービスチケットがユーザーに送信されます。最後に、サービスチケットをユーザーが受信したら、サービスチケットは暗号化されチケットキャッシュに追加されます。
これ以降、ネットワークサービスにアクセスしようとするたびに、KDC が発行したサービスチケットが必要になります。このとき、認証プロセスをやり直すのではなく、ユーザーのチケットキャッシュに保存されたサービスチケットを再利用できます。サービスチケットの再利用により、KDC の認証処理が減り、ネットワークサービスへのアクセス時間が短縮されるのです。
マイクロソフトの基本的な認証プロトコルの標準には、Kerberos を指定するとよいでしょう。具体的には、Kerberos プロトコルの設定パラメータごとに標準を作成します。表 10.2 に示すパラメータを変更すると、Kerberos の動作を変更できます。
パラメータの値をデフォルトよりも低くすると、ネットワークの Kerberos セキュリティのレベルが高くなります。サービスチケット最大有効時間を例に挙げましょう。これを 60 分から 45 分に変更すると、クライアントがネットワークサービスの再認証をしなければならない頻度が高くなります。1 日平均 8 時間稼動するとすれば、最大有効時間が 60 分の場合チケットの期限が 1 日に 8 回切れることになります。最大有効時間を 45 分にすると、これが 1 日に 10 回になります。
表 10.2 Kerberos プロトコルの動作の設定
パラメータ |
デフォルト設定 |
|---|---|
ユーザーチケットを更新できる最大有効期間 |
7 日 |
サービスチケットの最長有効時間 |
60 分 |
コンピュータの時計の同期の最長許容時間 |
5 分 |
ユーザーチケットの最長有効時間 |
10 時間 |
Secure Sockets Layer/Transport Layer Security (SSL/TLS)
Windows 2000 でサポートされる最後の基本的なセキュリティプロトコルは、SSL/TLS プロトコルです。Windows 2000 は、SSL/TLS プロトコルと X.509 証明書を使用して、スマートカードユーザーを認証し、セキュリティがないネットワークとの接続を保護します。SSL/TLS プロトコルは、インターネットやイントラネットのトラフィックと、メールのトラフィック、クライアント側のトランザクション (ブラウザによるトランザクションなど) を保護するのに使用されます。Internet Information Server や Exchange などマイクロソフトの主要な製品では、かなり以前から SSL/TLS プロトコルがサポートされていました。しかし、スマートカードの使用は、Windows 2000 で初めてサポートされます。
スマートカード認証
「スマートカード」は、ユーザーが本人であることを証明し、パスワードやその他の重要情報を格納できるクレジットカード大のデバイスです。Windows 2000 ではスマートカードを使用し、証明書ベースの認証をサポートできます。スマートカードを使用すると、認証処理のすべてにおけるセキュリティ関連の処理を分離することができます。スマートカードは比較的小さいので、持ち歩くのは非常に簡単です。このため、スマートカードのユーザーは、安全な記憶装置を仕事場、家、移動時に持ち運ぶことができます。
スマートカード認証処理では、SSL/TLS プロトコルが使用されます。この認証処理は、次の手順で行われます。
認証を開始するために、スマートカードユーザーは ISO 準拠のリーダにカードを挿入する。スマートカードを挿入すると、SAS (Secure Attention Sequence) が開始される。これは、Ctrl+Alt+Del キーを押すのと同じ効果を持つ。ユーザーは、ユーザー名とパスワードの代わりに暗証番号 (PIN) を入力する。
SSL/TLS によりユーザーの証明書が要求される。この証明書は、スマートカードの保護された記憶領域から取り出され、SSL/TLS に渡される。
証明書の有効期限と発行元の証明機関 (CA) のデジタル署名が両方とも確認される。
SSL/TLS により、CA 証明書が要求される。SSL/TLS が CA 証明書を受け取ると、CA 証明書のデジタル署名がチェックされ、CA 証明書が有効であることが確認される。
SSL/TLS により、ユーザーの証明書が CA の証明書失効リスト (CRL) に記載されているかどうかが確認される。
ユーザーの証明書が有効なら、SSL/TLS により、ユーザーの証明書に記載されている名前に対応するドメインアカウントが Active Directory に照会される。
有効なドメインアカウントが見つかったら、SSL/TLS により、ユーザーの許可証が生成される。これは、ユーザーの証明書に記載されている名前に対応するドメインアカウントの許可証である。ドメイン内のリソースへのこれ以降のアクセスは、このアカウントに付与された権限やアクセス許可に基づいて行われる。
適切に使用すれば、スマートカードは比類のない強力な認証サービスを実現できます。スマートカードサービスを使用する場合、セキュリティ標準にはスマートカードの使用と管理に関するガイドラインも規定します。表 10.3 は、これらのセキュリティ標準を作成するのに役立ちます。
表 10.3 スマートカードの使用と管理に関する標準
選択肢 |
推奨される標準 |
|---|---|
スマートカードをすべての部門で使用するか、機密情報を日常的に扱う部門だけで使用するか |
企業の従業員全員が機密情報を扱うのでないかぎり、必要な部署にだけスマートカードを導入する。たとえば、サーバーの設置してある部屋や法務部門、人事部門など |
スマートカードユーザーのログオンすべてにスマートカード使用を義務付けるか、任意使用にするか |
スマートカードユーザーが従来の方法でログオンできないようにするかどうかを決定する。スマートカード使用を義務付けると、ユーザーがスマートカードを持っていないときにはログオンできなくなるため使い勝手が悪くなるが、セキュリティは向上する。スマートカードを持つ者だけが、ユーザーとして認証されるからである。非常に高いセキュリティが必要な環境では、スマートカードの使用を義務付ける |
PIN コード変更の頻度 |
パスワードの最長有効期間ポリシーと同じように、この標準を作成する。もちろん、スマートカードと PIN コードを書いた紙がユーザーの机の上に置かれるような状況では、認証のセキュリティはまったく確保できない |
証明書失効頻度 |
証明書失効に関する標準を作成するには、スマートカードユーザーが使用している証明書だけでなく、すべての証明書を考慮する。詳細については、「証明書サービスの標準化」を参照。証明書に関するすべての要件を必ず完全に把握してから、この標準を作成する |
複数のスマートカード製造元の製品を採用するか、単一の製造元の製品を採用するか |
ハードウェアに依存するセキュリティサービスでは単一の製造元だけを使用するのが最善。普及しており品質が安定したスマートカードの製造元を選択し、それを使用し続ける |
スマートカードは、非常に強力なセキュリティ認証サービスを実現します。しかし、LAN や WAN のトラフィックが傍受されるのを防ぐのは、IPsec の役目です。
IP セキュリティ (IPsec)
すでに述べたように、認証に関する標準では、LAN や WAN を流れるトラフィックのセキュリティのレベルも考慮するべきです。Windows 2000 では、IPsec を実装することで、トラフィックのセキュリティを確保できます。「IPsec」は、暗号化技術を使用し、内部や外部との通信を保護します。マイクロソフトによる IPsec の実装は、Internet Engineering Task Force (IETF) IP セキュリティ部会によって開発された標準に基づいています。
IPsec は、ポリシー情報を得るのに Active Directory と密接に関連して機能します。IPsec ポリシーは、規則、フィルタリスト、ネゴシエーションポリシーからなります。システムの起動時に、Active Directory からこのポリシー情報が取り出されます。Windows 2000 Professional と Windows 2000 Server では、IPsec はデフォルトで無効にされています。IPsec の使用を開始するには、セキュリティポリシーを独自に作成するか、あらかじめ用意されているビルトインポリシーを使用します。Windows 2000 に標準装備されているビルトインポリシーには次のものがあります。
クライアント ( 応答のみ ) 通常は保護なしで通信します。セキュリティを要求しているサーバーとネゴシエートするには、既定の応答の規則を使用します。そのサーバーとの間で要求されたプロトコルとポートのトラフィックだけが保護されます。
サーバー ( セキュリティが必要 ) すべての IP トラフィックで、Kerberos 信頼を使ったセキュリティを常に要求します。要求に応答しないクライアントとの、セキュリティで保護されていない通信を許可します。
セキュリティで保護されたサーバー ( セキュリティが必要 ) すべての IP トラフィックで、Kerberos 信頼を使ったセキュリティが常に必要です。信頼されていないクライアントとの、セキュリティで保護されていない通信を許可しません。
以上のポリシーのいずれかを適用するか独自のポリシーを定義することにより、LAN トラフィックや WAN トラフィックへのエンドツーエンドのセキュリティが確立できます。IPsec は、データの混入や、データの改ざん、データへの不正なアクセスをパケットレベルで防ぎます。IPsec の一般的な利用法を次に示します。
財務部門と法務部門の通信など機密情報を扱う部門間トラフィックの保護
クライアント/サーバー通信のアプリケーション単位での保護
仮想プライベートネットワーク内の複数のホストが、セキュリティの確保されていないネットワークでやり取りするデータの保護
企業ネットワーク内のサイト間のWAN通信の保護
これらの理由で IPsec を使用する場合、IPsec の構成と管理に関する標準を策定します。しかし、標準の策定には、IPsec の動作について高度な理解が必要です。IPsec の詳細については、第 8 章を参照してください。
セキュリティポリシー標準
認証にはさまざまなポリシーが影響します。これらポリシーをどう構成するかによって、システムのセキュリティが変わります。したがって、認証に関する標準では、次の事項に関するデフォルト設定を指定します。
パスワードのポリシー
アカウントロックアウトのポリシー
ユーザーアカウントプロパティ
セキュリティオプション
パスワードのポリシー
「パスワードのポリシー」により、ユーザーによるパスワード作成と管理に制限が課せられます。たとえば、パスワードをどの程度複雑にすべきか、またどの程度の頻度で変更すべきかなどが決定されます。表 10.4 に、それぞれの構成パラメータ、説明、セキュリティレベル (高中低) に応じた設定を示します。
表 10.4 パスワードのポリシー設定
設定 |
説明 |
低 |
中 |
高 |
|---|---|---|---|---|
パスワードの履歴を記録する |
高い値を設定すればするほど、ユーザーが自分のお気に入りのパスワードを使い回すことができなくなる |
1 - 8 個のパスワード |
9 - 16 個のパスワード |
17 - 24 個のパスワード |
パスワードの有効期間 |
新しいパスワードを使用しなければならなくなるまでの期間 |
91 - 999 日 |
31 - 90 日 |
8 - 30 日 |
パスワードの変更禁止期間 |
ユーザーは x 日間の以前のパスワードに戻ることができない |
1 - 30 |
31 - 90 |
91 - 180 |
パスワードの長さ |
パスワードが短い方が推測されやすいので非常に重要な設定 |
4 文字 |
5 文字か 6 文字 |
7 - 14 文字 |
パスワードは要求する複雑さを満たす |
パスワードフィルタをインストールすると、より複雑なパスワード条件を定義できる。たとえば、小文字、大文字、数字のすべてを使用するパスワードをユーザーに作成させるようなパスワードフィルタをインストールできる |
No |
Yes |
Yes |
アカウントロックアウトのポリシー
「アカウントロックアウトのポリシー」は、ユーザーアカウントのロックとロック解除の動作を指定します。たとえば、アカウントロックアウト回数やアカウントのロック時間などです。表 10.5 に、構成パラメータと、説明、セキュリティレベル (高中低) に応じた値を示します。
表 10.5 アカウントロックアウトのポリシー設定
設定 |
説明 |
低 |
中 |
高 |
|---|---|---|---|---|
アカウントのロックアウトのしきい値 |
何回ログオンに失敗したらアカウントをロックするかを指定する |
5 回 |
3 回か 4 回 |
1 回か 2 回 |
ロックアウト期間 |
アカウントロック回数に達したときにアカウントをロックする時間を指定する |
1 - 15 分 |
30 - 60 分 |
61 - 480 分 |
ロックアウトカウントのリセット |
1 回のログオン試行失敗につき、リセットまでの時間に何分間を加算するかを指定する |
1 - 15 分 |
30 - 60 分 |
61 - 480 分 |
ユーザーアカウントプロパティ
「ユーザーアカウントプロパティ」は、ユーザーアカウントの権限を設定します。設定された権限により、ユーザーがアカウントをどのように使えるかが決まります。たとえば、ログオン時間やログオン時のスマートカードの要不要、アカウントの有効期限などです。表 10.6 に、構成パラメータと、より高いレベルのセキュリティの場合の値を示します。
表 10.6 ユーザーアカウントプロパティ
ユーザーアカウントプロパティ |
推奨設定 |
|---|---|
ログオン時間 |
高レベルのセキュリティのためには、業務時間外のログオンを許可しない |
ログオン先 |
高レベルのセキュリティのためには、アカウントと 1 台または複数のワークステーションとを対応付ける |
対話型ログオンにはスマートカードが必要 |
対話型ログオンに高レベルのセキュリティを実現するにはスマートカードログオンを強制する |
アカウントの期限 |
相談役や契約社員、派遣社員などのアカウントには期限を設定して、一時的なアカウントにする |
セキュリティオプション
「セキュリティオプション」では、オペレーティングシステム (OS) 自体のセキュリティの動作を指定します。
たとえば、ログオン時に法的事項を表示するかどうかや、Administrator アカウントの名前を変更するかどうかなどです。より有効なセキュリティオプションを表 10.7 に示します。
認証に関する標準は非常に重要です。文字通りネットワークへの入り口を護るからです。次に、ファイルやフォルダ、共有を保護するための標準を説明します。
表 10.7 セキュリティオプションの推奨値
オプション |
推奨値 |
|---|---|
システムをシャットダウンするのにログオンを必要としない |
シャットダウンに正規のログオンが必要な場合にはこのオプションをオフにする |
Administrator アカウント名の変更 |
Administrator アカウントは、悪意のあるユーザーの攻撃の対象になりやすいので、より推測しにくい別の名前に変更する |
ログオン画面に最後のユーザー名を表示しない |
最後のログオンユーザー名をログオン画面に表示しないようにし、悪意のあるユーザーがユーザー名を知ることができないようにする |
ログオン時間が期限切れになった場合、自動的にユーザーをログオフする |
デフォルトでは、ログオン時間が期限切れになっても、開いているセッションがあるユーザーは接続されたままになる。このオプションをオンにするとログオン時間を強制的に守らせることができる |
ログオン時のユーザーへのメッセージのテキスト |
組織のネットワークにアクセスしようとしているすべてのユーザーに表示される法的事項の情報を入力できる |
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする |
システムがセキュリティ監査のログを実行できなくなればすぐにシャットダウンする機能をオンにするかどうかは慎重な検討が必要。セキュリティポリシーとしては有益だが、業務時間内にシステムをシャットダウンすることは許されない場合がある |
.gif "ページのトップへ"){kind=icon}
ページのトップへ
ファイルシステムの保護
以下の説明の目的は、ファイルシステムを保護する標準を作成することです。インストール時にファイルやフォルダ、共有フォルダに付与されるデフォルトの NTFS アクセス許可は、システムのセキュリティよりも使いやすさが優先されています。たとえば、インストール処理の一部として、Everyone という特殊なアカウントに %SystemDrive% に対する [フルコントロール] アクセス許可が付与されます。続いて、ルートインストールドライブの下に作成されたすべてのフォルダがこのアクセス許可を継承します。気をつけないと、アクセスさせたくない人にまで、%SystemDrive% 下のフォルダへのアクセスを許してしまうことになります。このような間違いを避けるには、システム上のファイル、フォルダ、共有フォルダへのアクセス許可を標準化することです。
Windows 2000 では、FAT、FAT32、NTFS という 3 つの普及したファイルシステムがサポートされています。FAT と FAT32 は、セキュリティ保護機能がないため、Windows 3.x と、Windows 95、Windows 98 などのデスクトップ OS にだけ適しています。一方、NTFS は、セキュリティがしっかり確保されているため、大部分の Microsoft ネットワークで事実上の標準として普及しています。したがって、ここからはボリュームが NTFS でフォーマットされていることを前提に説明します。
フォルダのアクセス許可
「フォルダのアクセス許可」を設定すると、%SystemRoot% と、%SystemRoot%\Repair、 %SystemRoot%\System32 などのフォルダに対するユーザーのアクセスのレベルを制限できます。フォルダのアクセス許可は、フォルダ内のサブフォルダやファイルに対するユーザーのアクセスのレベルも制限します。フォルダの標準的なアクセス許可とそれぞれのアクセス許可で許されるアクセスのレベルを表 10.8 に示します。
表 10.8 フォルダのアクセス許可
アクセス許可 |
説明 |
|---|---|
フォルダの内容の一覧表示 |
ユーザーはフォルダの内容を一覧表示できる |
読み取り |
ユーザーは、フォルダの内容と、アクセス許可、所有者、属性を表示できる |
読み取りと実行 |
ユーザーはフォルダ間を移動できる。 [フォルダの内容の一覧表示] アクセス許可と [読み取り] アクセス許可で許される操作も実行できる |
変更 |
ユーザーはフォルダを削除できる。 [読み取りと実行] アクセス許可と [書き込み] アクセス許可で許される操作も実行できる |
書き込み |
ユーザーはファイルやサブフォルダを作成したり、フォルダの属性を変更したり、フォルダのアクセス許可と所有者の属性を表示したりできる |
フルコントロール |
ユーザーはフォルダの所有者を変更したりファイルやサブフォルダを削除したりできる。フォルダの他のすべてのアクセス許可で許される操作も実行できる |
ファイルのアクセス許可
「ファイルのアクセス許可」は、NTLDR や、BOOT.INI、NTDETECT.COM などのファイルに対するユーザーのアクセスのレベルを制限します。ファイルの標準的なアクセス許可とそれぞれのアクセス許可で許されるアクセスのレベルを表 10.9 に示します。
ファイルとフォルダの特殊なアクセス許可
ファイルとフォルダの標準的なアクセス許可は、通常の場合はリソースを保護するのに十分に役立ちます。しかし、標準的なアクセス許可は、実際には特殊なアクセス許可を組み合わせたものです。ファイルやフォルダに関する詳細なアクセス制限を、ユーザーやグループ、特殊な実体に課すには、14 種の特殊なアクセス許可から選択して設定することができます。
表 10.9 ファイルのアクセス許可
アクセス許可 |
説明 |
|---|---|
読み取り |
ユーザーはファイルの読み取り、ファイルのアクセス許可の表示、所有者の表示、属性の表示が実行できる |
読み取りと実行 |
ユーザーはファイルを実行と、[読み取り] アクセス許可で許される操作も実行できる |
書き込み |
ユーザーはファイルの上書き、アクセス許可や所有者の表示、属性の変更が実行できる |
変更 |
ユーザーはファイルの変更や削除および、[読み取りと実行] アクセス許可と [書き込み] アクセス許可で許される操作も実行できる |
フルコントロール |
ユーザーはファイルの所有者を変更できる。また、ファイルの他のどのアクセス許可で許される操作も実行できる |
ファイルのアクセス許可
ファイルのアクセス許可には、[フルコントロール]、[変更]、[読み取りと実行]、[読み取り]、[書き込み] があります。これらはどれもファイルの特殊なアクセス許可をいくつか組み合わせたものです。ファイルのアクセス許可とそれぞれのアクセス許可を構成する複数の特殊なアクセス許可を表 10.10 に示します。
表 10.10 ファイルの特殊なアクセス許可
特殊なアクセス許可 |
フルコントロール |
変更 |
読み取りと実行 |
読み取り |
書き込み |
|---|---|---|---|---|---|
アクセス許可の変更 |
x |
||||
フォルダのスキャン/ファイルの実行 |
x |
x |
x |
||
フォルダの一覧/データの読み取り |
x |
x |
x |
x |
|
属性の読み取り |
x |
x |
x |
x |
|
拡張属性の読み取り |
x |
x |
x |
x |
|
ファイルの作成/データの書き込み |
x |
x |
x |
||
フォルダの作成/データの追加 |
x |
x |
x |
||
属性の書き込み |
x |
x |
x |
||
拡張属性の書き込み |
x |
x |
x |
||
サブフォルダとファイルの削除 |
x |
||||
削除 |
x |
x |
|||
アクセス許可の読み取り |
x |
x |
x |
x |
x |
所有権の取得 |
x |
||||
同期 |
x |
x |
x |
x |
x |
フォルダのアクセス許可
フォルダのアクセス許可には、[フルコントロール]、[変更]、[読み取りと実行]、[フォルダの内容の一覧表示]、[読み取り]、[書き込み] があります。ファイルのアクセス許可と同様に、1つのフォルダのアクセス許可は、複数の特殊なアクセス許可を組み合わせたものです。フォルダのアクセス許可とそれぞれのアクセス許可を構成する特殊なアクセス許可を表10.11に示します。 [フォルダの内容の一覧表示] アクセス許可は、フォルダだけに継承され、ファイルには継承されません。 [読み取りと実行] アクセス許可は、フォルダにもファイルにも継承されます。
表 10.11 フォルダの特殊なアクセス許可
特殊なアクセス許可 |
フルコントロール |
変更 |
読み取りと変更 |
フォルダの内容の一覧表示 |
読み取り |
書き込み |
|---|---|---|---|---|---|---|
フォルダのスキャン/ |
x |
x |
x |
x |
||
フォルダの一覧/ |
x |
x |
x |
x |
x |
|
属性の読み取り |
x |
x |
x |
x |
x |
|
拡張属性の読み取り |
x |
x |
x |
x |
x |
|
ファイルの作成/ |
x |
x |
x |
|||
フォルダの作成/ |
x |
x |
x |
|||
属性の書き込み |
x |
x |
x |
|||
拡張属性の書き込み |
x |
x |
x |
|||
サブフォルダと |
x |
|||||
削除 |
x |
x |
||||
アクセス許可の読み取り |
x |
x |
x |
x |
x |
|
アクセス許可の変更 |
x |
|||||
所有権の取得 |
x |
|||||
同期 |
x |
x |
x |
x |
x |
x |
共有フォルダのアクセス許可
「共有フォルダのアクセス許可」は、フォルダだけに適用され、個々のファイルには適用されません。一般に、共有ファイルは、単に「共有」や「ファイル共有」と呼ばれることもあります。ファイル共有を使用すると、ユーザー、グループ、特殊な実体をネットワークリソースにアクセスさせることができます。共有フォルダのアクセス許可とそれぞれのアクセス許可を構成する特殊なアクセス許可を表 10.12 に示します。
表 10.12 共有フォルダのアクセス許可
アクセス許可 |
説明 |
|---|---|
読み取り |
ユーザーはフォルダ名、ファイル名、ファイルデータ、属性を表示でき、プログラムファイルを実行でき、共有フォルダ内のフォルダ間を移動できる |
変更 |
ユーザーはフォルダの作成と、フォルダへのファイルの追加、ファイルのデータの変更、ファイルへのデータの追加、ファイル属性の変更、フォルダとファイルの削除を実行でき、[読み取り] アクセス許可で許される操作も実行できる |
フルコントロール |
ユーザーはファイルのアクセス許可を変更でき、ファイルの所有権を取得できる。さらに [変更] アクセス許可で許される操作も実行できる |
アクセス許可の判定
Windows 2000 ではオブジェクト単位のアクセス制限で、ファイルシステムなどのリソースを保護します。Windows 2000 のすべてのリソースは、オブジェクトとして定義されます。オブジェクトとは、フォルダやファイル、共有フォルダ、グループ、サービス、デバイス、スレッド、ウィンドウなどです。オブジェクトのアクセス制限を実現するために、Windows 2000 では「アクセス制御リスト (ACL) 」が使用されます。このACLには、オブジェクトのセキュリティプロパティが指定され、オブジェクトのアクセス許可、監査、所有権、継承に関する設定が保存されます。各オブジェクトの ACL には、1 つ以上のアクセス制御エントリ (ACE) が記述できます。ACE には、ユーザー、グループ、特殊な実体ごとのアクセス権限が定義されます。
フォルダなど 1 つのオブジェクトの ACL に、複数の ACE が指定されることがあります。それぞれの ACE で異なるアクセス許可が、同じユーザーに対して定義されていることもあります。たとえば、あるユーザーが直接に [読み取り] アクセス許可を付与されており、グループのメンバとしては [変更] アクセス許可を付与されていることがあります。ユーザーの有効なアクセス権限を決定するには、NTFS アクセス権の組み合わせ方法を理解する必要があります。複数の NTFS アクセス許可が組み合わされた場合の有効なアクセス許可を判定するには、いくつかの規則があります。これらの規則と NTFS アクセス許可の判定に関する追加規則を次に示します。
複数の別々のアクセス許可
拒否のアクセス許可と許可のアクセス許可
フォルダのアクセス許可とファイルのアクセス許可
アクセス許可の継承
共有フォルダのアクセス許可と標準的なアクセス許可
コピーされたファイルや移動されたファイルのアクセス許可
複数の別々のアクセス許可
あるファイルの ACL に、同一ユーザーに関する複数の ACE が存在すると、個々のアクセス許可が組み合わされて、そのユーザーの有効なアクセス許可が判定されます。たとえば、あるユーザーが [読み取り] アクセス許可を直接に付与されており、グループのメンバとしては [変更] アクセス許可が付与されている場合、このユーザーの有効なアクセス許可は [読み取り] アクセス許可と [書き込み] アクセス許可です。
拒否のアクセス許可と許可のアク セス許可
アクセス許可の判定のもう 1 つの規則は、[拒否] のアクセス許可と [許可] のアクセス許可の組み合わせです。ファイル、フォルダ、共有のアクセス許可を [拒否] に設定すると、そのアクセス許可が適用されるすべての場合で優先されます。2 つのグループに属するあるユーザーが 1 つのグループでは、フォルダに対して [フルコントロール] アクセス許可を付与されており、もう 1 つのグループでは [フルコントロール] アクセス許可が [拒否] に設定されていた場合、ユーザーには有効なアクセス許可はありません。 [フルコントロール] アクセス許可の [拒否] 設定が、[フルコントロール] アクセス許可よりも優先されます。
[拒否] アクセス許可は、ファイル、フォルダ、共有に対するアクセスを制限する通常の手段として用いるべきではありません。 [拒否] アクセス許可には、次のような特殊な役割があります。 [拒否] アクセス許可は、ファイル、フォルダ、共有へのアクセスを許可されているグループから、誰かのアクセス許可だけを除外する場合だけに使用します。 [拒否] アクセス許可により、リソースに対するグループ全体のアクセス許可を削除しなくても、グループの特定のメンバのアクセスを拒否できます。
フォルダのアクセス許可とファイルのアクセス許可
また、ファイルに設定されたアクセス許可は、フォルダに設定されたアクセス許可よりも優先されます。たとえば、あるファイルの [変更] アクセス許可をユーザーに与え、そのファイルがあるフォルダへのアクセス許可を何も指定しなかった場合を想定します。この場合、ファイルにアクセスするのに、ファイルがあるフォルダへのアクセス許可は必要はありません。
アクセス許可の継承
NTFS アクセス許可は、継承させることもできます。デフォルトでは、フォルダに設定されたアクセス許可は、そのフォルダの下のサブフォルダやファイルに継承されます。デフォルトでは継承されますが、アクセス許可が継承されないようにすることもできます。サブフォルダに別のアクセス許可を設定すれば、親フォルダのアクセス許可は継承されません。このサブフォルダ内のすべてのフォルダとファイルは、このサブフォルダのアクセス許可を継承します。アクセス許可を設定するときに、アクセス許可が継承されるかどうかを指定することもできます。たとえば、フォルダにアクセス許可を設定するときに、[適用先] ボックスで次のどれかを設定すると、アクセス許可の継承が指定されます。
このフォルダとサブフォルダ
このフォルダとファイル
サブフォルダとファイルのみ
サブフォルダのみ
ファイルのみ
以上のオプションは非常に柔軟性に富んでいるので、フォルダのアクセス許可を設定するときに必要に応じた継承方法を簡単に選択できます。
共有フォルダのアクセス許可と標準的なアクセス許可
共有フォルダのアクセス許可と標準的なアクセス許可の組み合わせについては、追加規則があります。共有フォルダ内のセキュリティが設定されたファイルにアクセスするときは、最も制限の厳しいアクセス許可が常に適用されます。たとえば、共有フォルダに [読み取り] アクセス許可が設定されており、その共有フォルダ内のファイルに [読み取り] と [実行] アクセス許可が設定されている場合、有効なアクセス許可は [読み取り] となります。 [読み取り] アクセス許可の方が制限が厳しいからです。
コピーされたファイルや移動さ れたファイルのアクセス許可
アクセス許可の判定に関して理解すべき最後の規則は、ファイルやフォルダを移動またはコピーしたときに、それらのアクセス許可がどうなるかについてです。NTFS ボリューム内や NTFS ボリューム間でファイルやフォルダを「コピー」した場合、そのファイルやフォルダは、コピー先のフォルダのアクセス許可を継承します。しかし、ファイルやフォルダを「移動」した場合は、状況に応じて移動元のファイルのアクセス許可が保持されます。1 つの NTFS ボリューム内で移動されたファイルやフォルダは、元のアクセス許可がそのまま保持されます。一方、異なる NTFS ボリューム間で移動されたファイルやフォルダは、移動先のフォルダのアクセス許可を継承します。
アクセス制御の標準の策定
ここでは、アクセス制御の標準を作成するのに役立つ情報を紹介します。アクセス制御の標準を作成するには、NTFS のアクセス許可に関する十分な理解が必要です。ファイル、フォルダ、共有に適切なセキュリティを確保するには、複数のアクセス許可が組み合わされたときの判定方法を正確に理解している必要があります。ただし、14 種の特殊なアクセス許可とそれぞれの標準的なアクセス許可の関係を正確に覚えている必要はありません。詳細については、必要に応じて表 10.10 と表 10.11 を参照すればすみます。また、多くの場合、リソースの保護には、標準的なアクセス許可を使用することになるでしょう。
アクセス許可使用の標準
アクセス制御の管理を単純化するため、アクセス許可の使用に関する標準をいくつか作成するとよいでしょう。作成すべき最も重要な標準は、おそらく NTFS ボリューム内のファイルとフォルダの構造に関する標準です。類似するアクセス許可が必要となるファイルやフォルダをグループにまとめます。こうすれば、最上位のフォルダにアクセス許可を設定して、継承の機能を利用できます。最上位フォルダの下にあるサブフォルダとファイルはすべて上位フォルダのアクセス許可を継承するため、ボリューム上に特定の目的ごとにフォルダを作成します。たとえば、あるフォルダはビジネスアプリケーションで使用し、別のフォルダはワープロ文書やスプレッドシートなど部門内のデータを保護するのに使用します。
アクセス許可の設定に関する標準も作成します。個々のユーザーに対してアクセス許可を付与するのではなく、似たようなアクセス許可が必要となる複数のユーザーをまとめてグループを作成します。これにより、複数のユーザーへのアクセス許可の設定や変更を一括して行えます。複数のグループを作成すると、データやアプリケーションの管理がさらに楽になります。新しい従業員に IT サービスを提供するのも簡単になります。新しい従業員を適切なグループにメンバとして追加するだけで、必要なアクセス許可の設定ができるのです。ぜひともファイル、フォルダ、ファイル共有にアクセスさせる必要があるグループを標準化してください。
さらに、共有フォルダの使用法を標準化します。たとえば、ファイルやフォルダへのアクセスを制限するために上位の共有フォルダにアクセス許可を設定するのは、メリットよりデメリットが多く好ましくありません。この場合、共有フォルダには [Everyone] ユーザーに [フルコントロール] アクセス許可を設定するのが最適です。共有フォルダの下のファイルやフォルダは、NTFSアクセス許可によって保護します。共有で [Everyone] ユーザーに [読み取り] など制限の厳しいアクセス許可を設定すると、結果的に、設定できるセキュリティの選択肢が狭まります。というのは、[読み取り] よりも制限の緩いアクセス許可をこの共有に適用することが絶対に不可能になるからです。共有のアクセス許可と NTFS のアクセス許可の組合せでは、最も制限が厳しいアクセス許可が有効になります。共有に [読み取り] アクセス許可を設定した場合、最も制限が厳しいアクセス許可は [読み取り] アクセス許可になります。
アクセス許可使用に関する簡単な標準をいくつか作成すれば、ファイルとフォルダへのアクセス管理は非常に簡単になります。ファイルシステムのアクセス許可に関する標準も作成すれば、さらに有益です。次に、ファイルシステムのアクセス許可の標準について説明します。
DFS のアクセス許可 |
ファイルシステムのアクセス許可の標準
サーバーとワークステーション上にあるデータを保護するには、NTFS のアクセス許可を標準化します。Windows 2000 のインストールでは、アプリケーションの互換性を高く保つように ACL が構成されます。つまり、Windows 2000 システムのデフォルトのアクセス許可ではセキュリティが十分には確保されていません。また、高度なセキュリティが確保されている環境でも、まだ改善の余地はあるものです。この点を考慮し、Windows 2000 には「セキュリティの構成と分析」というツールがあります。このツールは、システムのセキュリティのあらゆる側面に関する分析、構成、監査に利用でき、次の事項に関するデフォルトのセキュリティの標準を作成するのに役立ちます。
アカウントポリシー
ローカルポリシー
イベントログ
制限されたグループ
システムサービス
レジストリ
ファイルシステム
Active Directory オブジェクト
既存のサーバーとワークステーションの分類
標準的な NTFS アクセス許可を組み合わせて、アクセス許可に関するデフォルトの標準を作成する場合、作業の対象はファイルシステムです。しかし、NTFS アクセス許可の標準を作成する第 1 歩は、既存のサーバーとワークステーションの分類です。この作業は、単にサーバーとワークステーションを一般的な役割に応じて分類していくだけで十分の場合もあります。たとえば、ドメインコントローラ、メンバサーバー、ワークステーションの 3 種のシステムクラスを作成するだけですむこともあります。しかし、たいていの環境では、この 3 種だけでは分類が粗すぎます。同じクラスにまとめられるサーバーとワークステーションは、アクセス許可に関する標準が同じでなければなりません。大規模な企業では、提供しているサービスごとにシステムを分類する方がよい場合がよくあります。たとえば、ファイルサーバーやアプリケーションサーバー、プリントサーバー、低セキュリティワークステーション、高セキュリティワークステーションなどのクラスに分類します。
NTFS アクセス許可の標準の作成
システムのクラス分けを定義してしまえば、セキュリティの構成と分析ツールを使用して NTFS アクセス許可を分類ごとに作成できます。それにはまず、ファイルとフォルダに関する NTFS アクセス許可の標準の組み合わせを決定します。たとえば、ファイルサーバーの標準の場合、10 個のデータフォルダを 1 つの分類としてアクセス許可を定義します。次に、アプリケーションサーバーやプリントサーバーなど他のシステムクラスのアクセス許可標準を定義できます。クラスごとに NTFS アクセス許可の標準を定義したら、セキュリティの分析と構成ツールを使用して、それらの標準をいくつかのテンプレートに保存しておくことができます。
これらのテンプレートの作成には、非常に多くの利点があります。たとえば、新しいファイルサーバーやアプリケーションサーバーをインストールするときに、このテンプレートを使用してデフォルトのアクセス許可の標準を自動的に作成することができます。このテンプレートは、アクセス許可監査の基準としても使用できます。たとえば、サーバーごとに NTFS アクセス許可を監査し、不正に変更されていないかどうかを確認できます。さらに、セキュリティに変更が加えられたことが監査で見つかった場合、テンプレートを使用すれば標準に戻すことができます。
OS 固有のファイルやフォルダの保護
企業のデータとアプリケーションを保護するのに最適なアクセス許可を決めるのは難しい作業ではありません。アクセス許可の機能に対する十分な理解といくつかの主要な使用基準の知識があれば、ファイル、フォルダ、共有を自由に保護できます。しかし、NTDETECT.COM や NTLDR、%SystemRoot% などの OS 固有のファイルとフォルダを保護するのは困難が伴います。
このような場合に役立つ標準テンプレートが Windows 2000 にはいくつか装備されています。Windows 2000 Server と Windows 2000 Professional の通常インストールでは、標準テンプレートは %SystemRoot%\Security\Templates ディレクトリに保存されます。各テンプレートには、システムセキュリティのすべての側面に関する構成が事前に設定されています。たとえば、アカウントポリシーやローカルポリシー、ファイルシステムなどに関するパラメータです。これらのほかにも、複数のテンプレートから選択可能です。各テンプレートは、固有のレベルのセキュリティを実現します。マイクロソフトの標準テンプレートを次に示します。
既存のワークステーション
互換のワークステーション
セキュリティで保護されたワークステーション
高度なセキュリティで保護されたワークステーション
既存のサーバー
互換のサーバー
既存のドメインコントローラ
セキュリティで保護されたドメインコントローラ
高度なセキュリティで保護されたドメインコントローラ
各テンプレートのセキュリティのレベルは、その名が示すとおりです。
「既存の」テンプレート インストール時にシステムに適用されるマイクロソフトのデフォルトのセキュリティ設定です。アプリケーションの互換性は最も保証されます。
「互換の」テンプレート アプリケーションの動作とシステムのセキュリティが競合した場合は、アプリケーションの動作を優先するようにシステム ACL を初期化します。「既存の」テンプレートよりも少しセキュリティが高まります。
「セキュリティで保護された」テンプレート アプリケーションの動作とシステムのセキュリティが競合した場合は、セキュリティを優先するようにシステムの ACL を初期化します。「互換の」テンプレートとは正反対の設定です。
「高度なセキュリティで保護された」テンプレート 最も高度なセキュリティ設定です。アプリケーションの動作よりもセキュリティが優先されます。したがって、「高度なセキュリティで保護された」テンプレートで構成されたシステムでは、アプリケーションが動作しないことがあります。
高度なセキュリティの NTFS アクセス許可標準を適用するときは注意が必要です。セキュリティを高めるとアプリケーションの動作に問題が生じるおそれがあることを考慮する必要があります。システムに適したレベルのセキュリティを決定する前に、アプリケーションとサービスのそれぞれについて厳密なテストを行い、「高度なセキュリティで保護された」テンプレートでアプリケーションが以前と同じ動作をすることを確認します。このテストはあらかじめ問題を発見し、生産性への悪影響を抑えるのに役立ちます。アプリケーションやサービスの動作テストを終えたら、マイクロソフトのテンプレートの中から自分の環境に最適なものを選びます。
NTFS アクセス許可標準の最終評価
要件に最も見合ったテンプレートを選択したら、NTFS アクセス許可の標準の最終評価ができます。最終評価では、アプリケーションとデータを保護するために独自に作成したテンプレートとマイクロソフトのテンプレートを統合します。マイクロソフトのテンプレートからファイルシステムに関する設定だけをコピーします。アカウントポリシーやシステムサービス、レジストリなどの構成パラメータはコピーしません。2 つのテンプレートを統合したら、作業は完了です。この作業で修正された 1 つのテンプレートには、NTFS アクセス許可標準が設定されています。
NTFS アクセス許可の標準を作成すると、手間に見合うだけの効果が得られます。次に説明する暗号化ファイルシステムも同様の利点が得られます。
暗号化ファイルシステム (EFS)
EFS を使用するかどうかも検討します。EFS を使用すると、ラップトップパソコンのデータなど、盗まれやすいファイルにさらに高度なセキュリティを確保できます。他の暗号化技術とは異なり、マイクロソフトの EFS はバックグラウンドで機能し、通常の読み書き処理の中で暗号化と復号化を行います。EFS を使用するときは、ユーザーには暗号化ファイルと暗号化されていないファイルの区別はつきません。EFS は、標準公開キー暗号化を使用してファイルの暗号化と復号化を行います。公開キー暗号化のすべてに共通する特徴は、キーぺアです。キーペアのうちの一方は、通常は非公開のままにされ、他方は公開が可能です。EFS の使用時には、キーペアの使用法について、いくつかの選択肢があります。キーの使用法とその長所と短所を表 10.13 に示します。
EFS を使用するかどうかを標準化する前に、キーペアのどの使用法が自分の要件を満たしているかを確認します。社外への証明書サービスを使用する予定の企業は、公開キー基盤 (PKI) をすでに用意している必要があります。この既存の環境に、EFS などの証明書によるサービスを追加しても、大したコストにはなりません。証明書機能に依存するサービスの標準を最終決定する前に、この後の「証明書サービスの活用」を参照してください。マイクロソフトの新しい Certificate Server の特徴を説明しています。
マイクロソフトの EFS は、標準公開キー暗号化によりファイルを保存することにより、ファイルのセキュリティを向上させます。強力なファイルアクセス許可やフォルダアクセス許可、共有アクセス許可と EFS を組み合わせると、さらにセキュリティが強化されます。次に説明するように、サーバーやワークステーションのユーザー権利を標準化することも、同様に重要です。
表 10.13 暗号化ファイルシステムのキーペアの使用法
2 つのキーの使用法 |
長所 |
短所 |
|---|---|---|
ユーザーキーペアだけで EFS を使用 |
ユーザーキーペア 1 つだけなので、構成が単純 |
ユーザーがキーペアをなくすと、暗号化されたファイルは失われる |
スマートカードに記憶させたユーザーペアで EFS を使用 |
ユーザーのファイルのセキュリティが高まる |
標準キーペアと同様に、スマートカードに記憶されたキーペアは失われるおそれがある。ユーザーがスマートカードをなくすと、暗号化されたファイルはすべて失われる |
ユーザーキーペアと復号キーペアで EFS を使用 |
暗号化されたファイルを復号化することができる |
Windows 2000 OS 上で機密の暗号化処理がすべて行われる |
スマートカードに記憶させたユーザーキーと復号キーで EFS を使用 |
暗号化されたファイルを復号化できるように保証しながら、スマートカードに記憶させたユーザーキーペアによりセキュリティを高めることができる |
機密の暗号化処理はすべてスマートカード内で行われ、暗号化されたファイルはどれも復号化できる。短所があるとすれば、管理にかかるコストが問題となる |
ページのトップへ
ユーザー権利とは
ファイルやフォルダ、共有などの Windows 2000 オブジェクトへのアクセスは、標準的なアクセス許可により制限されるのが通常です。一方、ユーザー権利は、アクティビティを許可するものであり、必ずしも特定のオブジェクトと関連づけられているわけではありません。ユーザー権利には、「権限」と「ログオン権」の 2 種類があります。まずそれぞれの詳細を説明し、次にそれぞれに関する標準の作成方法を学びます。
権限
権限とその権限で許される操作を表 10.14 に示します。
表 10.14 権限
権限 |
説明 |
|---|---|
オペレーティングシステムの一部として機能 |
OS の安全な一部としてプロセスを機能させる。セキュリティで保護された Windows 2000 のサブシステムの一部はこの権限を持つ |
ドメインにワークステーションを追加 |
ユーザーはドメインに新しいコンピュータを追加できる |
ファイルとディレクトリのバックアップ |
ユーザーはシステムのバックアップのためにファイルとディレクトリのアクセス許可を無視できる |
走査チェックのバイパス |
ユーザーはアクセスが許可されていないディレクトリを含む NTFS ディレクトリツリー内を移動できる |
システム時刻の変更 |
ユーザーはコンピュータの内部時計の時間を設定できる |
ページファイルの作成 |
ユーザーはページファイルを作成し、ページファイルのサイズを変更できる |
トークンオブジェクトの作成 |
プロセスはアクセストークンを作成できる |
永続的共有オブジェクトの作成 |
プロセスは、Windows 2000 内で使用されるシステムデバイスなどの特殊な共有リソースを作成できる |
プログラムのデバッグ |
ユーザーは、Windows 2000 で実行されるシステムコードの低レベルのデバッグができる |
コンピュータとユーザーアカウントに委任時の信頼を付与 |
ユーザーは、ユーザーオブジェクトまたはコンピュータオブジェクトに委任を設定するときに信頼を付与できる。委任時に信頼を付与されたコンピュータで実行されるプロセスや、委任時に信頼を付与されたユーザーのセキュリティによって実行されるプロセスは、クライアントの委任された信頼によりリソースにアクセスできる |
リモートコンピュータからの強制シャットダウン |
ユーザーはネットワーク上のリモートロケーションからコンピュータをシャットダウンできる |
セキュリティ監査の生成 |
プロセスはセキュリティ監査ログにエントリを作成できる |
クォータの増加 |
ユーザーはプロセスに割り当てられたプロセッサクォータを増加させることができる |
スケジューリング優先順位の繰り上げ |
ユーザーはスレッドに与えられた優先順位を繰り上げることができる |
デバイスドライバのロードとアンロード |
ユーザーはデバイスドライバをメモリにロードしたりメモリからアンロードしたりできる |
メモリ内のページのロック |
プロセスは物理メモリにデータを保存し、そのデータがディスク上の仮想メモリに保存されないようにできる |
監査とセキュリティログの管理 |
ユーザーは監査対象のリソースアクセスの種類を指定できる |
ファームウェア環境値の修正 |
ユーザーはシステムの環境変数を変更できる |
単一プロセスのプロファイル |
ユーザーは Windows 2000 パフォーマンス監視ツールを使用しプロセスのパフォーマンスを監視できる |
システムパフォーマンスのプロファイル |
ユーザーはシステム全体のパフォーマンスを監視できる |
ドッキングステーションからコンピュータを削除 |
ユーザーは Windows 2000 のインターフェイスを使用してラップトップパソコンを切り離すことができる |
プロセスレベルトークンの置き換え |
ユーザーは他のプロセスのアクセストークンを変更できる |
ファイルとディレクトリの復元 |
ユーザーはバックアップされたファイルやディレクトリを復元できる |
システムのシャットダウン |
ユーザーはローカルコンピュータをシャットダウンすることができる |
ファイルとその他のオブジェクトの所有権の取得 |
ユーザーは、ファイルやディレクトリ、プリンタ、レジストリキー、プロセス、スレッドなどセキュリティの対象となるオブジェクトの所有権を取得できる |
ログオン権
ログオン権とそれぞれのログオン権で許される操作を表 10.15 に示します。
表 10.15 ログオン権
ログオン権 |
説明 |
|---|---|
ネットワーク経由でコンピュータへアクセス |
ユーザーはネットワークを通じてコンピュータに接続できる |
ネットワーク経由でコンピュータへアクセスを拒否する |
ユーザーはネットワークを通じてコンピュータに接続できない |
ローカルでログオンを拒否する |
ユーザーはコンピュータのキーボードからログオンできない |
バッチジョブとしてログオンを拒否する |
ユーザーはバッチキュー機能を使用してシステムにログオンすることができない |
サービスとしてログオンを拒否する |
サービスはユーザーアカウントを使用してログオンすることができない |
バッチジョブとしてログオン |
ユーザーは、バッチキュー機能を使用してログオンできる |
サービスとしてログオン |
ユーザーはセキュリティ上の理由によりサービスとしてログオンすることができる |
ローカルログオン |
ユーザーはコンピュータのキーボードからログオンできる |
ユーザー権利の標準の作成
ユーザー権利の標準の作成は、もちろんファイルシステムや証明書サービス、ネットワーク認証などの標準の作成と同じくらい苦労が多い仕事です。しかし、ユーザー権利の標準の作成については、どんな場合にも通用するガイドラインがいくつかあります。日常のアカウント管理を単純化するには、次の事項に従います。
ユーザー権利は、ユーザーにではなくグループに付与します。グループに付与することにより、必要なユーザー権利をユーザーごとに設定するのではなく、少数のグループに設定するだけですみます。
常にユーザー権利の最新の状態を監視または監査します。これは、ユーザー権利をグループ単位で設定するもう1つの理由でもあります。グループに対して行われた設定に対応するのは、個々のユーザーごとに行われた設定に対応するよりも簡単です。
システムのユーザー権利の標準の作成作業を軽んじるべきではありません。Microsoft ネットワークでユーザー権利を不適切に設定したり、誤用したりすると、セキュリティ上の深刻な問題に発展しかねません。次に説明する、Active Directory のオブジェクトの保護方法の選択も重要です。
Active Directory の保護
ユーザーやグループ、プリンタなどのオブジェクトを不正なアクセスから保護するには、Active Directory を保護する強力なセキュリティ標準を作成する必要があります。この Active Directory のセキュリティ標準は、おそらくセキュリティ計画の中で最も重要です。Active Directory のオブジェクトを保護する方法は、ファイルシステム内のファイルを保護する方法と似ています。何の変哲もない通常のファイルと同様に、Active Directory のオブジェクトも ACL を持っています。オブジェクトの ACL は、不正なアクセスからオブジェクトを保護するためにあります。
Active Directory では、ユーザーやグループ、プリンタなど非常にさまざまなオブジェクトがサポートされています。これらのオブジェクトのそれぞれが固有の ACL を持っています。ACL には、有効なアクセス許可がすべて記述されています。たとえば、ドメインオブジェクトの ACL には、複製トポロジの管理やドメイン内の複製の追加や削除などの操作に対する許可が記述されています。これらの許可は、ドメインオブジェクトには有効ですが、ユーザーオブジェクトには有効ではありません。ユーザーオブジェクトの有効な許可には、グループのメンバシップの修正やパスワードの変更などがあります。
ここではまず、Active Directory のセキュリティモデルを説明します。たとえば、オブジェクトのアクセス許可とプロパティのアクセス許可や、標準的なアクセス許可と特殊なアクセス許可、アクセス制御の委任、競合したアクセス許可の評価について詳述します。次に、セキュリティ標準の作成に関する Active Directory の考慮事項を説明します。Active Directory の使用と管理についての標準の作成は、セキュリティプランの中でも優先課題です。
オブジェクトのアクセス許可とプロパティのアクセス許可
パスワードの変更などのアクセス許可をオブジェクトに設定すると、オブジェクトの ACL にエントリが 1 つ作成されます。このエントリは、アクセス制御エントリ (ACE) といいます。ACE には、オブジェクトへのアクセスやオブジェクトの管理を誰が実行できるかが定義されています。
Active Directory のどの種類のオブジェクトも、詳細なアクセス制御ができます。この詳細なレベルの制御では、オブジェクト単位やプロパティ単位でアクセス許可を設定できます。オブジェクト単位で設定されたアクセス許可は、オブジェクトのプロパティにも適用されます。たとえば、オブジェクトに [書き込み] アクセス許可を設定すると、ユーザーはオブジェクトのどのプロパティにも書き込みが行えます。グループオブジェクトがある場合、表示名や説明、Web ページアドレスなどのグループのプロパティに書き込みが行えます。一方、プロパティ単位のアクセス許可では、より細かな制限を課すことができます。たとえば、ユーザーオブジェクトの E メールアドレスプロパティのようなオブジェクトのプロパティの 1 つに [読み取り] アクセス許可を設定できます。オブジェクト単位やプロパティ単位の詳細なアクセス制御が行えるので、Active Directory はどのような要件の場合でも役立ちます。
標準的なアクセス許可と特殊なアクセス許可
すでに述べたように、有効なアクセス許可はオブジェクトごとに異なる場合があります。たとえば、ユーザーオブジェクトにはグループのメンバシップを修正するアクセス許可がありますが、ドメインオブジェクトにはありません。さらに、オブジェクトの種類ごとに標準的なアクセス許可と特殊なアクセス許可があります。標準的なアクセス許可は最も一般的に使用されます。ファイルとフォルダに関する標準的な NTFS アクセス許可と同様に、オブジェクトの標準的なアクセス許可は、実際には複数の特殊なアクセス許可をまとめたものです。たとえば、標準的な [読み取り] アクセス許可は、[すべてのプロパティの読み取り] と、[読み取り]、[内容の一覧表示]、[オブジェクトの一覧表示] という 4 つの特殊なアクセス許可をまとめたものです。アクセス許可はオブジェクトごとに異なりますが、次のようないくつかのアクセス許可は共通です。
読み取り
書き込み
すべての子オブジェクトの作成
すべての子オブジェクトの削除
フルコントロール
一般に、オブジェクトの標準的なアクセス許可を使用し、オブジェクトの管理とアクセスを制御します。しかし、必要であれば、特殊なアクセス許可を使用して、オブジェクトに対する独自のレベルのアクセスを規定します。
アクセス制御の委任
Active Directory では、管理作業を委任することもできます。最も簡単な委任の例は、ユーザーオブジェクトのパスワードの再設定などの管理作業を、他のユーザーやグループに委任することです。しかし、オブジェクト単位で管理作業を委任するのは管理が大変ですから、通常は、コンテナ単位で委任します。このとき一般的に使用されるコンテナは「組織単位 (OU) 」です。ルーチン作業を OU 単位で委任すれば、効率的で管理しやすい管理モデルを構築できます。
OU ごとに作業を委任するには、複数の方法があります。その 1 つは、OU 管理の完全な権限を委任することです。たとえば、OU の [フルコントロール] アクセス許可をユーザーに付与し、ユーザーに OU とその子オブジェクトの作成、削除、管理を行わせることができます。これは管理権限の委任方法のうちで最も広範囲に渡る方法です。もう少し慎重な方法は、特定のタイプのオブジェクトの管理権限だけを委任することです。たとえば、OU 内のユーザーオブジェクトだけの [フルコントロール] アクセス許可を委任できます。パスワードやグループのメンバシップ、アカウント制限を変更するなどの操作だけを委任することも、OU 内でのオブジェクトの作成や削除の権限を委任することもできます。このレベルの管理権限は、すべてのタイプのオブジェクトに関して委任することも、特定のタイプのオブジェクトだけに関して委任することもできます。OU などのコンテナレベルで複数のオブジェクトにアクセス許可を設定した場合、アクセス許可の適用方法として次のどれかを選択できます。
このオブジェクトのみ 設定したアクセス許可はオブジェクトにだけ適用されます。子オブジェクトには適用されません。
このオブジ ェクトとすべての子オブジェクト 設定したアクセス許可は、OU そのものと OU の子オブジェクトすべてに適用されます。OU 階層の最下層まで、子オブジェクト内のすべての子オブジェクトに適用されます。
これらのアクセス許可を、このコンテナの中にあるオブジェクトやコンテナにのみ適用する 設定したアクセス許可は、OU のすぐ下の通常のオブジェクトとコンテナオブジェクト (OU など) にだけ適用されます。
子オブジェクトのみ 設定したアクセス許可は OU の子オブジェクトにだけ適用されます。OU そのものには適用されません。
管理作業の委任では、非常に高度な柔軟性が確保されています。一方、次で説明する Active Directory のアクセス許可の評価には柔軟性はまったくありません。
Active Directory のアクセス許可の評価
ファイルやフォルダと同様に、Active Directory のオブジェクトは ACL によって保護されます。オブジェクトのACL には、ACE が記述されています。エントリはそれぞれ異なるアクセス許可が定義されていますが、同じユーザーを対象としているエントリがある場合もあります。有効な NTFS アクセス許可の場合と同様に、有効なオブジェクトアクセス許可は加算されていきます。ユーザーの有効なアクセス許可は、1 つ 1 つのアクセス許可を加算していくことで決定されます。たとえば、あるユーザーに [すべての子オブジェクトの作成] アクセス許可が直接に与えられており、さらにグループのメンバとして [すべての子オブジェクトの削除] アクセス許可が与えられている場合、このユーザーの有効なアクセス許可は [すべての子オブジェクトの作成] と [すべての子オブジェクトの削除] です。
オブジェクトのアクセス許可に [拒否] を設定した場合、関連するすべての場合でアクセス許可が拒否されます。たとえば、あるユーザーに [パスワードのリセット] アクセス許可が直接に与えられているが、そのユーザーが属するグループでは [パスワードのリセット] アクセス許可に [拒否] が設定されている場合、そのユーザーの有効なアクセス許可はありません。 [パスワードの再セット] アクセス許可よりも、グループでの [拒否] の設定が優先されます。
OU 間でオブジェクトを移動すると、条件によってはアクセス許可が変化します。親 OU のアクセス許可を継承していた OU を移動すると、継承していたアクセス許可は失われ、新しい親 OU のアクセス許可が新たに継承されます。しかし、OU そのものにアクセス許可を設定していた場合、その OU を移動してもアクセス許可は変化しません。
ファイルがフォルダのアクセス許可を継承するように、子オブジェクトは親オブジェクトからアクセス許可を継承します。デフォルトでは、Active Directory のすべてのオブジェクトは、「継承可能なプロパティを親オブジェクトから継承する」ように構成されています。この構成では、OU やドメインなどの親オブジェクトに設定されたアクセス許可は子オブジェクトに継承されます。この設定にも関わらず、どのオブジェクトもアクセス許可を継承しないように設定できます。親オブジェクトからアクセス許可を継承しない場合は、そのオブジェクトの有効なアクセス許可は、明示的に設定されたアクセス許可だけです。
オブジェクトのアクセス許可が明示的に設定されたものか、親オブジェクトから継承されたものかは常に見分けることができます。ACL エディタのユーザーインターフェースでは、継承されたアクセス許可はチェックボックスがグレイアウト (ディスエーブル状態) されますが、明示的なアクセス許可は通常の (イネーブル) 表示となります。
Active Directory のセキュリティ標準
Active Directory の保護には、高度な柔軟性があります。管理作業の委任、オブジェクトのアクセス許可の適用、アクセス許可の継承のいずれにもさまざまな方法が用意されています。選択できる方法が数多くあるので、Active Directory を保護するための一貫したセキュリティ標準を作成することが不可欠です。
そこで、アクセス許可の設定に関する標準を作成します。たとえば、できるだけオブジェクト単位やプロパティ単位ではアクセス許可を設定しないようにします。
オブジェクト単位やプロパティ単位で設定されたアクセス許可を把握しておくのは、きわめて困難です。このような意味のない困難を避けるために、OU 単位かドメイン単位でアクセス許可を設定し、子オブジェクトに継承させます。これにより、Active Directory の継承モデルを活用してアクセス許可の設定と管理を単純化できます。
継承されるアクセス許可をどこに設定するかは、大部分は管理上の要件によって決まります。たとえば、継承されるアクセス許可をドメイン単位で設定することは、グローバルなセキュリティ標準を適用するのに最適です。一方、ドメインの一部に関するセキュリティ標準を適用するには、継承されるアクセス許可を OU 単位で設定します。
日常の管理業務を単純化するには、個々のユーザーにではなく、グループにアクセス許可を設定します。個々のユーザーごとに設定されたアクセス許可は管理するのも常に現状を把握しておくのも困難です。グループに設定されたアクセス許可は、管理も現状の把握も簡単です。
[拒否] 設定は、なるべく使用しないようにします。 [拒否] 設定を使用してもよいのは、オブジェクトにアクセスするグループから特定のユーザーのアクセス許可だけを除外する場合だけです。この場合、[拒否] 設定を使用すると、グループからユーザーを削除することなく、Active Directory オブジェクトへのそのユーザーのアクセスを拒否できます。
Windows 2000 のすべてのアカウントに関してセキュリティを確保しなければなりませんが、Active Directory に強力な権限を持つアカウントは特に注意します。このレベルの管理権限を持つスタッフは厳選します。強力な管理権限を持つアカウントは、パスワードの複雑性といったセキュリティ上の弱点がないか定期的にチェックします。これらのアカウントのユーザーによる操作を監査することも有益です。
最後に、設定されているアクセス許可の現状を定期的に把握します。OU やドメインなどコンテナオブジェクトに設定されたアクセス許可には特に注意してください。アクセス許可が継承されている場合、OU やドメイン単位のアクセス許可をたった 1 つでも変更すると、重大な問題を引き起こすことがあります。
Active Directory を保護する標準は作成する価値があります。また、次に説明するマイクロソフトの新しい公開キー証明書サービスの活用計画も作成する価値があります。
証明書サービスの活用
最新の証明書サービスと標準公開キーテクノロジを組み合わせて利用するには、かつては、VeriSign や Entrust、Netscape などのサードパーティ製のソフトウェアを使用しなければなりませんでした。しかし、Windows 2000 では、マイクロソフトの証明書サービスを使用して独自の証明書の発行と管理ができます。証明書サービスは、公開キーセキュリティ基盤の中心で、認証、プライバシー、暗号化、否認防止によりデータと通信を保護します。ここではまず、Windows 2000 で利用できる証明書サービスを説明します。次に、証明書の使用と管理に関する標準の作成について詳述します。
証明書のオーソリティ
公開キー証明書を利用するには、まず発行元を信頼する必要があります。公開キー証明書の発行元は、「証明機関 (CA) 」といいます。CA を信頼するということは、CA の認証ポリシーを信頼することを意味します。つまり、正規の証明書要求と不正な証明書要求を見分ける能力を CA が備えていると信じることです。マイクロソフトの証明書サービスでは、次の 4 種類の CA を作成できます。
エンタプライズルート CA
エンタプライズ下位 CA
スタンドアロンルート CA
スタンドアロン下位 CA
エンタプライズルート CA
「エンタプライズルート CA」は、通常は、当該の組織の公開キー基盤で最上位の CA です。証明書の要求者を確認するために、エンタプライズルート CA は Active Directory のサービスを必要とします。エンタプライズルート CA は通常は最上位の CA なので、自分自身の CA 証明書に署名します。次に、エンタプライズルート CA は、Windows 2000 ドメイン内のすべてのサーバーとワークステーション上の [信頼されるルート CA] 論理ストアに対して証明書を発行します。
エンタプライズルート CA は、事前に定義された証明書テンプレートに基づく証明書タイプを使用します。証明書テンプレートは、コード署名やスマートカードでのログオン、IPsec など一般的な用途の証明書の要求と発行プロセスを単純化します。証明書テンプレートを使用すると、エンタプライズルート CA は、証明書の処理時にユーザーの信頼性を確認できます。各証明書テンプレートは、アクセス制御リスト (ACL) で保護されます。この ACL が評価され、証明書の要求者に証明書を受ける権利があるかどうかが判定されます。
エンタプ ライズ下位 CA
エンタプライズルート CA は、ユーザーに直接に証明書を発行するためにも使用されますが、1 つ以上のエンタプライズ下位 CA を認証するのに使用される方が一般的です。「エンタプライズ下位 CA」は、通常は、直接にユーザーに証明書を発行します。そして、発行された証明書は、スマートカードでのログオンや、IPsec、暗号化ファイルシステムなどに使用されます。エンタプライズ下位 CA も証明書テンプレートを使用するので、証明書の発行と要求のプロセスが単純化されます。エンタプライズルート CA は自分自身の証明書に自分で署名しますが、エンタプライズ下位 CA は、自分自身の証明書を他の CA から受けます。
スタンドアロンルート CA
エンタプライズルート CA と同様に、スタンドアロンルート CA は、通常は、当該の組織の公開キー基盤で最上位の CA です。しかし、スタンドアロンルート CA は、Active Directory も Windows 2000 ドメインのメンバであることも必要としません。スタンドアロンルート CA が信頼されるには、ドメインメンバの [信頼されたルート認証機関] ストアにスタンドアロンルート CA の CA 証明書を管理者が明示的に格納する必要があります。スタンドアロンルート CA に送信された証明書要求は自動的に未決のステータスになります。証明書の要求に応えるには、要求する主体を管理者が手作業で確認する必要があります。スタンドアローンルート CA には、要求者の信頼性を自動的に確認する方法はありません。また、スタンドアロンルート CA は、証明書テンプレートをサポートしません。
スタンドアロン下位 CA
スタンドアロンルート CA はユーザーに直接に証明書を発行できますが、たいていの場合は、1 つ以上のスタンドアロン下位 CA を認証するのに使用されます。エンタプライズ下位 CA と同様に、スタンドアロン下位 CA は、ユーザーに直接に証明書を発行するように構成されるのが通常です。しかし、証明書を発行するのに、Windows 2000 ドメインのメンバであることも、Active Directory へのアクセスも必要ありません。エンタプライズ下位 CA と同様に、スタンドアロン下位 CA は、自分自身の CA 証明書を他の CA から受けます。証明書処理のプロセスを単純化できる証明書テンプレートはサポートされません。
CA の階層
ルート CA と下位 CA の関係は、「CA 階層」と呼ばれる逆ツリー形 (木を逆さにした形) の構造を形成します。この自然な階層では、ルート CA が最も信頼されます。すべての下位 CA は、このルート CA によって証明書が発行されなければなりません。さらに、すべての下位 CA とルート CA の間に証明のパスを確立することにより、企業内で発行される証明書がそれぞれ有効になります。通常、下位 CA は、独自にポリシーを設定して証明書を発行する必要がある場所に配置されます。
CA 階層を作成する利点は、企業全体の制御や管理を一括して単一の場所から行うことができることです。たとえば、特定の下位 CA の信頼性に危険がある場合は、その下位 CA の CA 証明書をルート CA で無効にできます。その下位 CA の CA 証明書を無効にすると、その下位 CA から発行されていたすべての証明書が無効になります。企業内の他の証明書は影響を受けません。
証明書サービスの標準化
マイクロソフト証明書サービスを利用する場合、公開キー証明書の使用と管理に関する包括的な標準を作成します。まず、どのタイプのルート CA が要件を最もよく満たすかを判断します。エンタプライズルート CA は Active Directory と密接に統合されているので、証明書の発行や失効を単純化するのに役立ちます。証明書テンプレートがサポートされているのも特に有益です。しかし、混在環境の場合は、Windows 2000 ドメインや Active Directory がなくても、スタンドアロンルート CA で同等のサービスを実現できます。
ポリシーを設定し独自の証明書を発行する必要がある場所には、下位 CA のサービスが必要です。その場合は、下位 CA として使用する CA のタイプを選択する必要があります。下位 CA のタイプの選択は、ルート CA のタイプの選択ほどは難しくありません。下位 CA はほとんど常にルート CA と同じタイプだからです。ルート CA のタイプを選択した理由は、下位 CA のタイプの選択にも当てはまるのが通常です。
エンタプライズ CA とスタンドアロン CA のどちらを使用するかを決定したら、それぞれの CA の機能と役割を決定します。たとえば、CA の主な役割や CA が発行できる証明書の種類、その種類の証明書を受け取る権利のあるユーザーを検討します。小規模または中規模の組織では、ルート CA だけで企業の CA のすべての機能と役割を受け持ちます。一方、多くの証明書機能が必要となる大規模組織では、通常は、CA ごとに機能と役割が定義されています。1 つの CA をスマートカードによるログオンに使用し、他の CA を IPsec とコード署名などの他のサービスに使用します。必要とされる公開キー証明書サービスを検討すると、要件を定義するのに役立ちます。
次に証明書の失効と更新に関する標準を作成します。証明書失効の標準には、不適切に使用された証明書や不要になった証明書を失効させる手続きを定義します。この手続きには、証明書失効リスト (CRL) と CRL 発行の標準が指定されます。一方、証明書更新の標準には、証明書を更新するかどうか、更新する場合はどのタイプの証明書が更新に適しているかを指定します。最後に、証明書のタイプ別に更新の時点を定義します。
このように、マイクロソフト証明書サービスの標準と運用方針を作成すれば、公開キーテクノロジの機能を安全に活用することができます。
ページのトップへ
Windows 2000 のデフォルトのセキュリティ構成
以下の記述は、Windows 2000 Professional と Windows 2000 Server のデフォルトのセキュリティ設定のレファレンスとして使用できます。セキュリティがそれほど重要でない環境では、これらのデフォルトの設定で問題なくが使用できる場合があります。すでに説明したように、セキュリティ上の要件に応じてデフォルトの設定を変更するとよいでしょう。
Windows 2000 Professional
ここでは、Windows 2000 Professional によって初期化され、自動的に設定されるセキュリティ構成を次の分類で示します。
ファイルアクセス許可とフォルダアクセス許可
ユーザー権利
パスワードのポリシー
アカウントロックアウトのポリシー
ユーザーアカウントプロパティ
セキュリティオプション
ユーザーとグループ
ファイルアクセス許可とフォルダアクセス許可
Windows 2000 Professional のインストール時にファイルとフォルダに設定されるアクセス許可を表 10.16 に示します。この設定では、システムセキュリティよりもアプリケーションの動作を保証することが優先されています。
表 10.16Windows 2000 Professional のファイルアクセス許可とフォルダアクセス許可 (%SystemDrive% が C:\ の場合 ) *2
ファイルとフォルダ |
アクセス許可 |
|---|---|
C:\ |
Everyone (ALL):(ALL) |
C:\BOOT.INI |
Everyone (ALL) |
C:\NTDETECT.COM |
Power Users (RX) |
C:\NTLDR |
Power Users (RX) |
C:\Documents and Settings\ |
SYSTEM (ALL):(ALL) |
C:\Program Files\ |
Authenticated Users (RX):(RX) |
C:\WINNT\ |
Authenticated Users (RX):(RX) |
C:\WINNT\Config\ |
Authenticated Users (RX):(RX) |
C:\WINNT\CSC\ |
Administrators (ALL) |
C:\WINNT\Driver Cache\ |
Authenticated Users (RX):(RX) |
C:\WINNT\inf\ |
Authenticated Users (RX):(RX) |
C:\WINNT\Installer\ |
SYSTEM (ALL):(ALL) |
C:\WINNT\repair\ |
Authenticated Users (RX) |
C:\WINNT\security\ |
Authenticated Users (RX):(RX) |
C:\WINNT\system\ |
Authenticated Users (RX):(RX) |
C:\WINNT\system32\ |
Authenticated Users (RX):(RX) |
C:\WINNT\system32\config\ |
Authenticated Users (RX) |
C:\WINNT\system32\drivers\ |
Authenticated Users (RX):(RX) |
C:\WINNT\system32\ |
SYSTEM (ALL):(ALL) |
GroupPolicy\ |
Administrators (ALL):(ALL) |
C:\WINNT\system32\Repl\ |
Authenticated Users (RX):(RX) |
C:\WINNT\system32\spool\ |
Authenticated Users (RX):(RX) |
C:\WINNT\system32\wbem\ |
Authenticated Users (RX):(RX) |
C:\WINNT\Tasks\ |
Everyone (RWX):(RWX) |
ユーザー権利
Windows 2000 Professional システムのデフォルトのユーザー権利を表 10.17 と表 10.18 に示します。セキュリティの標準の一部として、自分の環境に適したユーザー権利を定義し構成します。
表 10.17 Windows 2000 Professional デフォルトの権限
権限 |
対象 |
|---|---|
オペレーティングシステムの一部として機能 |
なし |
ドメインにワークステーションを追加 |
なし |
ファイルとディレクトリのバックアップ |
Backup Operators と Administrators |
走査チェックのバイパス |
Authenticated Users |
システム時刻の変更 |
Power Users と Administrators |
ページファイルの作成 |
Administrators |
トークンオブジェクトの作成 |
なし |
永続的共有オブジェクトの作成 |
なし |
プログラムのデバッグ |
Administrators |
コンピュータとユーザーアカウントに委任時の信頼を付与 |
なし |
リモートコンピュータからの強制シャットダウン |
Administrators |
セキュリティ監査の生成 |
なし |
クォータの増加 |
Administrators |
スケジューリング優先順位の増加 |
Administrators |
デバイスドライバのロードとアンロード |
Administrators |
メモリ内のページのロック |
なし |
監査とセキュリティログの管理 |
Administrators |
ファームウェア環境値の修正 |
Administrators |
単一プロセスのプロファイル |
Power Users と Administrators |
システムパフォーマンスのプロファイル |
Administrators |
ドッキングステーションからコンピュータを削除 |
Administrators |
プロセスレベルトークンの置き換え |
なし |
ファイルとディレクトリの復元 |
Backup Operators と Administrators |
システムのシャットダウン |
Users、Power Users、Backup Operators、Authenticated Users、Administrators |
ファイルとその他のオブジェクトの所有権の取得 |
Administrators |
表 10.18 Windows 2000 Professional のデフォルトのログオン権
ログオン権 |
対象 |
|---|---|
ネットワーク経由でコンピュータへアクセス |
Power Users、Authenticated Users、Administrators |
ネットワーク経由でコンピュータへアクセスを拒否する |
なし |
ローカルでログオンを拒否する |
なし |
バッチジョブとしてログオンを拒否する |
なし |
サービスとしてログオンを拒否する |
なし |
バッチジョブとしてログオン |
なし |
サービスとしてログオン |
なし |
ローカルでログオン |
Users、Power Users、Authenticated Users、Backup Operators、Administrators |
パスワードのポリシー
新規にインストールされた Windows 2000 Professional システムのデフォルトのパスワードのポリシーを表 10.19 に示します。この設定は、ラップトップ PC のユーザーに特に重要です。というのも、出張中などではローカルに認証される必要があるからです。
表 10.19 Windows 2000 Professional のデフォルトのパスワードのポリシー
ポリシー |
デフォルト設定 |
|---|---|
パスワードの履歴を記録する |
1 パスワード数 |
パスワードの有効期間 |
42 日 |
パスワード変更禁止期間 |
0 日 |
パスワードの長さ |
0 文字 |
パスワードは要求する複雑さを満たす |
無効 |
ユーザーがパスワードを変更するには |
無効 |
アカウントロックアウトのポリシー
Windows 2000 Professional システムのインストール時に設定されるアカウントロックアウトのポリシーを表 10.20 に示します。パスワードのポリシーと同様に、アカウントロックアウトのポリシーはラップトップ PC のユーザーに特に重要です*3。
表 10.20 アカウントロックアウトのポリシー
ポリシー |
デフォルト設定 |
|---|---|
アカウントロックアウトのしきい値 |
0 回ログオンに失敗 |
ロックアウト期間 |
未定義 |
ロックアウトカウントのリセット |
未定義 |
セキュリティオプション
Windows 2000 Professional のデフォルトのセキュリティオプションを表 10.21 に示します。この設定では、OS レベルのセキュリティの動作が非常に多く指定されています。
表 10.21 Windows 2000 Professional のデフォルトのセキュリティオプション
オプション |
設定 |
|---|---|
サーバーオペレータがタスクのスケジュールを割り当てるのを許可する |
未定義 |
システムをシャットダウンするのにログオンを必要としない |
有効 |
グローバルシステムオブジェクトへのアクセスを監査する |
無効 |
セッションを切断する前に、ある一定のアイドル時間を必要とする |
15 分 |
Administrator アカウント名の変更 |
未定義 |
Guestアカウント名の変更 |
未定義 |
システムのシャットダウン時に仮想メモリのページファイルをクリアする |
無効 |
常にクライアントの通信にデジタル署名を行う |
無効 |
可能な場合クライアントの通信にデジタル署名を行う |
有効 |
常にサーバーの通信にデジタル署名を行う |
無効 |
ログオンに CTRL+ALT+DEL を必要としない |
未定義 |
匿名接続の追加の制限 |
無効 |
ログオン画面に最後のユーザー名を表示しない |
無効 |
ログオン時のユーザーへのメッセージのテキスト |
未定義 |
ログオン時のユーザーへのメッセージのタイトル |
未定義 |
ドメインコントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 |
10 |
ユーザーがプリンタドライバをインストールできないようにする |
無効 |
パスワードが無効になる前にユーザーに変更を促す |
14 日 |
CD-ROM へのアクセスを、ローカルログオンユーザーだけに制限する |
無効 |
フロッピーへのアクセスを、ローカルログオンユーザーだけに制限する |
無効 |
セキュリティで保護されたチャネル: 常にセキュリティチャネルのデータをデジタル的に暗号化または署名する |
無効 |
セキュリティで保護されたチャネル: 可能な場合、セキュリティチャネルのデータをデジタル的に暗号化または署名する |
有効 |
セキュリティで保護されたチャネル: 可能な場合、セキュリティチャネルのデータをデジタル的に署名する |
有効 |
LanManager 認証レベル |
LM&NTLM |
サードパーティ製のSMBサーバーへ接続するためのパスワードを、暗号化しないで送信する |
無効 |
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする |
無効 |
ユーザーとグループ
Windows 2000 Professional をインストールすると、いくつかのアカウントが自動的に作成されます。インストール時に作成されるアカウントを「ビルトインアカウント」といいます。Windows 2000 Professional のビルトインアカウントを表 10.22 に示します。
表 10.22 Windows 2000 Professional のビルトインアカウント
ユーザーアカウント |
説明 |
|---|---|
Administrator |
コンピュータやドメインを管理するためのビルトインアカウント |
Guest |
コンピュータやドメインへのゲストアクセスのためのビルトインアカウント |
Windows 2000 Professional のビルトインローカルグループを表 10.23 に示します。
表 10.23 Windows 2000 Professional のビルトインローカルグループ
ローカルグループ |
説明 |
|---|---|
Administrators |
コンピュータやドメインを完全に管理できる |
Backup Operators |
ファイルセキュリティを無視してファイルをバックアップできる |
Guests |
コンピュータやドメインへのゲストアクセスができる |
Power Users |
ディレクトリやプリンタを共有できる |
Replicator |
ドメイン内のファイル複製をサポートする |
Users |
普通のユーザー |
Windows 2000 Server
ドメインコントローラとして新規にインストールされた Windows 2000 Server のセキュリティ構成を次の分類で説明します。
ファイルアクセス許可とフォルダアクセス許可
ユーザー権利
パスワードのポリシー
アカウントロックアウトのポリシー
ユーザーアカウントプロパティ
セキュリティオプション
ユーザーとグループ
ファイルアクセス許可とフォルダアクセス許可
Windows 2000 Server のインストール時にファイルとフォルダに設定されるアクセス許可を表 10.24 に示します。Windows 2000 Server を本稼動させる前に、必要なファイルアクセス許可とフォルダアクセス許可を必ず検討してください。
表 10.24Windows 2000 Server のファイルアクセス許可とフォルダアクセス許可 (%SystemDrive% は C:\ の場合 ) *4
ファイルかフォルダ |
アクセス許可 |
|---|---|
C:\ |
Everyone (ALL):(ALL) |
C:\BOOT.INI |
Server Operators (RX) |
C:\NTDETECT.COM |
Server Operators (RX) |
C:\NTLDR |
Server Operators (RX) |
C:\Documents and Settings\ |
SYSTEM (ALL):(ALL) |
C:\Program Files\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\Config\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\Driver Cache\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\inf\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\Installer\ |
SYSTEM (ALL):(ALL) |
C:\WINNT\NTDS\ |
SYSTEM (ALL):(ALL) |
C:\WINNT\ntfrs\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\repair\ |
Authenticated Users (RX) |
C:\WINNT\security\ |
Authenticated Users (RX):(RX) |
C:\WINNT\system\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\system32\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\system32\config\ |
Authenticated Users (RX) |
C:\WINNT\system32\dhcp\ |
Authenticated Users (RX):(RX) |
C:\WINNT\system32\dns\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\system32\drivers\ |
Authenticated Users (RX):(RX) |
C:\WINNT\system32\GroupPolicy\ |
Authenticated Users (RX):(RX) |
C:\WINNT\system32\Microsoft\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\system32\Microsoft\ |
Authenticated Users |
Crypto\ |
(RWXD):(RX) |
C:\WINNT\system32\Microsoft\ |
Authenticated Users |
Protect\ |
(RWXD):(RX) |
C:\WINNT\system32\ras\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\system32\Repl\ |
Authenticated Users (RX):(RX) |
C:\WINNT\system32\spool\ |
Authenticated Users (RX):(RX) |
C:\WINNT\system32\wbem\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\system32\wins\ |
Authenticated Users (RWXD):(RX) |
C:\WINNT\SYSVOL\ |
Authenticated Users (RX):(RX) |
C:\WINNT\Tasks\ |
Everyone (RWX):(RWX) |
C:\WINNT\Tasks\ |
Domain\Administrators (ALL):(ALL) |
C:\WINNT\Tasks\ |
SYSTEM (ALL):(ALL) |
ユーザー権利
Windows 2000 Server のデフォルトのユーザー権利を表 10.25 と表 10.26 に示します。これらのユーザー権利は定期的に監視するとよいでしょう。
表 10.25 Windows 2000 Server のデフォルトの権限
権限 |
対象 |
|---|---|
オペレーティングシステムの一部として機能 |
なし |
ドメインにワークステーションを追加 |
なし |
ファイルとディレクトリのバックアップ |
Server Operators、Backup Operators、Administrators |
走査チェックのバイパス |
Authenticated Users、Everyone、Administrators |
システム時刻の変更 |
Server Operators、Administrators |
ページファイルの作成 |
Administrators |
トークンオブジェクトの作成 |
なし |
永続的共有オブジェクトの作成 |
なし |
プログラムのデバッグ |
Administrators |
コンピュータとユーザーアカウントに委任時の信頼を付与 |
Administrators |
リモートコンピュータの強制シャットダウン |
Server Operators、Administrators |
セキュリティ監査の生成 |
なし |
クォータの増加 |
Administrators |
スケジューリング優先順位の繰り上げ |
Administrators |
デバイスドライバのロードとアンロード |
Administrators |
メモリ内のページのロック |
なし |
監査とセキュリティログの管理 |
Administrators |
ファームウェア環境値の修正 |
Administrators |
単一プロセスのプロファイル |
Administrators |
システムパフォーマンスのプロファイル |
Administrators |
ドッキングステーションからコンピュータを削除 |
Administrators |
プロセスレベルトークンの置き換え |
なし |
ファイルとディレクトリの復元 |
Server Operators、Backup Operators、Administrators |
システムのシャットダウン |
Print Operators、Server Operators、Account Operators、Backup Operators、Administrators |
ファイルとその他のオブジェクトの所有権の取得 |
Administrators |
表 10.26 Windows 2000 Server のデフォルトのログオン権
ログオン権 |
対象 |
|---|---|
ネットワーク経由でコンピュータへアクセス |
EveryoneとAdministrators |
ネットワーク経由でコンピュータへアクセスを拒否する |
なし |
ローカルでログオンを拒否する |
なし |
バッチジョブとしてログオンを拒否する |
なし |
サービスとしてログオンを拒否する |
なし |
バッチジョブとしてログオン |
なし |
サービスとしてログオン |
なし |
ローカルでログオン |
Account Operators、Server Operators、Print Operators、Backup Operators、Administrators |
パスワードのポリシー
ドメインコントローラとして新規にインストールされた Windows 2000 Server のデフォルトのパスワードのポリシーを表 10.27 に示します。このパスワードのポリシーはドメイン内のすべてのドメインコントローラに適用されます。
表 10.27 Windows 2000 Server のデフォルトのパスワードのポリシー
ポリシー |
デフォルト設定 |
|---|---|
パスワードの履歴を記録する |
1 パスワード数 |
パスワードの有効期間 |
42 日 |
パスワードの変更禁止期間 |
0 日 |
パスワードの長さ |
0 文字 |
パスワードは要求する複雑さを満たす |
無効 |
暗号化を元に戻せる状態でドメインのすべての |
無効 |
アカウントロックアウトのポリシー
ドメインコントローラとしてインストールされた Windows 2000 Server のデフォルトのアカウントロックアウトのポリシーを表 10.28 に示します。パスワードのポリシーと同様に、アカウントロックアウトのポリシーは、ドメイン内のすべてのドメインコントローラに適用されます。
表 10.28 Windows 2000 Server のデフォルトのアカウントロックアウトのポリシー
ポリシー |
デフォルト設定 |
|---|---|
アカウントロックアウトのしきい値 |
0 回ログオンに失敗 |
ロックアウト期間 |
未定義 |
ロックアウトカウントのリセット |
未定義 |
ユーザーアカウントプロパティ
Windows 2000 ドメインで新しいユーザーが作成されると、作成されたユーザーは表 10.29 に示す設定で構成されます。通常ユーザーや一時ユーザー、セキュリティユーザーなどのように、ユーザーを数種類に分けて設定を作成すると便利です。
表 10.29 Windows 2000 Server のデフォルトのユーザーアカウントプロパティ
プロパティ |
デフォルト設定 |
|---|---|
ログオン時間 |
未定義 |
ログオン先 |
未定義 |
対話型ログオンにはスマートカードが必要 |
無効 |
アカウントの期限 |
無期限 |
セキュリティオプション
Windows 2000 Server のデフォルトのセキュリティオプションを表 10.30 に示します。これらの設定は、OS レベルのセキュリティの重要な項目のいくつかを決定します。
表 10.30 Windows 2000 Server のデフォルトのセキュリティオプション
オプション |
設定 |
|---|---|
サーバーオペレータがタスクのスケジュールを割り当てるのを許可する |
未定義 |
システムをシャットダウンするのにログオンを必要としない |
無効 |
グローバルシステムオブジェクトへのアクセスを監査する |
無効 |
セッションを切断する前に、ある一定のアイドル時間を必要とする |
15 分 |
Administrator アカウント名の変更 |
未定義 |
Guest アカウント名の変更 |
未定義 |
システムのシャットダウン時に仮想メモリのページファイルをクリアする |
無効 |
常にクライアント側の通信にデジタル署名を行う |
無効 |
可能な場合、クライアントの通信にデジタル署名を行う |
有効 |
常にサーバーの通信にデジタル署名を行う |
無効 |
ログオンに CTRL+ALT+DEL を必要としない |
無効 |
匿名接続の追加を制限する |
なし |
ログオン画面に最後のユーザー名を表示しない |
無効 |
ログオン時のユーザーへのメッセージのテキスト |
空白 |
ログオン時のユーザーへのメッセージのタイトル |
空白 |
ドメインコントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 |
10 |
ユーザーがプリンタドライバをインストールできないようにする |
有効 |
パスワードが無効になる前にユーザーに変更を促す |
14 日 |
CD-ROMへのアクセスを、ローカルログオンユーザーだけに制限する |
無効 |
フロッピーへのアクセスを、ローカルログオンユーザーだけに制限する |
無効 |
セキュリティで保護されたチャネル: 常にセキュリティチャネルのデータをデジタル的に暗号化または署名する |
無効 |
セキュリティで保護されたチャネル: 可能な場合、セキュリティチャネルのデータをデジタル的に暗号化または署名する |
有効 |
セキュリティで保護されたチャネル: 可能な場合、セキュリティチャネルのデータをデジタル的に署名する |
有効 |
LanManager 認証レベル |
NLMN&NTLM |
サードパーティ製の SMB サーバーへ接続するためのパスワードを、暗号化しないで送信する |
無効 |
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする |
無効 |
ユーザーとグループ
Windows 2000 Server がドメインコントローラとしてインストールされると、ビルトインユーザーアカウントとグループアカウントが自動的に作成されます。Windows 2000 Server のビルトインアカウントを表 10.31 に示します。
表 10.31 Windows 2000 Server のビルトインアカウント
ユーザーアカウント |
説明 |
|---|---|
Administrator |
コンピュータやドメインを管理するためのビルトインアカウント |
Guest |
コンピュータやドメインへのゲストアクセスのためのビルトインアカウント |
Windows 2000 Server のビルトインドメインローカルグループを表 10.32 に示します。
表 10.32 Windows 2000 Server のビルトインドメインローカルグループ
ドメインローカルグループ |
説明 |
|---|---|
Account Operators |
ドメインのユーザーアカウントとグループアカウントを管理できる |
Administrators |
コンピュータやドメインを完全に管理できる |
Backup Operators |
ファイルセキュリティを無視してファイルをバックアップできる |
Guests |
コンピュータやドメインへのゲストアクセスができる |
Print Operators |
ドメインのプリンタを管理できる |
Replicator |
ドメイン内のファイル複製をサポートする |
Server Operators |
ドメインサーバーを管理できる |
Users |
通常のユーザー |
最後に Windows 2000 Server のビルトイングローバルグループを表 10.33 に示します。
表 10.33 Windows 2000 Server のビルトイングローバルグループ
グローバルグループ |
説明 |
|---|---|
Domain Admins |
ドメインの管理者用のグループ |
Domain Guests |
ドメインのすべてのゲスト |
Domain Users |
ドメインのすべてのユーザー |
Enterprise Admins |
企業の管理者用のグループ |
ページのトップへ