役割に基づいて Exchange 2000 サーバーのセキュリティを強化する
公開日: 2004年6月2日
トピック
OWA フロントエンドおよびバックエンド サーバーを使用する
Exchange 2000 環境で使用するサーバーの役割ごとにセキュリティを強化する
セキュリティ強化環境における Exchange のインストールと更新を行う
モジュールの内容
このモジュールでは、悪意を持った攻撃や好ましくない攻撃を防止するために Microsoft Exchange 2000 環境をロックダウンする方法について説明します。ロックダウンは Exchange サーバーの役割に基づき、グループ ポリシーを使用して行われます。Exchange バックエンド メールボックスおよびパブリック フォルダ サーバーが通常使用しないサービスを無効にすることができます。Outlook Web Access (OWA) フロントエンド サーバーでは、別のサービスを無効にし、使用されていないデータベースを削除することもできます。このモジュールでは、アクセス制御リスト (ACL) を変更してセキュリティを向上させる方法について説明します。セキュリティ テンプレートは、これらの目標を達成するために提供され、推奨組織単位 (OU) 設計は、サーバー ポリシーを展開するために提供されています。Exchange 2000 環境での IIS (Internet Information Services) Lockdown や URLScan などのセキュリティ強化ツールの使用についても説明します。
目的
このモジュールの目的は次のとおりです。
Exchange 2000 フロントエンドおよびバックエンド サーバーのセキュリティを強化する。
提供されているセキュリティ テンプレートおよびグループ ポリシーを使用して、Exchange 2000 フロントエンドおよびバックエンド サーバーのセキュリティを強化する。
グループ ポリシーを簡単に適用できるように OU 構造を編成する。
Exchange 2000 サーバーをロックダウンするグループ ポリシーのセキュリティ テンプレートをインポートして適用する。
Exchange バックエンド サーバー ポリシーの影響を受けるサービスおよび ACL の決定および変更を行う。
OWA フロントエンド サーバー ポリシーの影響を受けるサービスおよび ACL の決定および変更を行う。
ロックダウンされた環境で Exchange 2000 のインストールおよびアップデートを行う。
IIS Lockdown ツールを使用し、URLScan をインストールする。
OWA フロントエンド サーバー用に IIS Lockdown および URLScan の設定を変更する。
OWA フロントエンド サーバーのメールボックスおよびパブリック フォルダ データベースを削除する。
特定のバージョンが表示されないようにバナー応答を変更して SMTP サーバーを保護する。
Exchange Domain Servers グループのメンバが EDSLock を実行してすべてのメールボックスにアクセスすることを禁止する。
適用対象
このモジュールは、次の製品および技術に適用されます。
Microsoft Exchange 2000 Server
Microsoft Windows 2000 オペレーティング システム Active Directory ディレクトリ サービス
モジュールの使用方法
このモジュールは、『Microsoft Windows 2000 Server セキュリティ運用ガイド』(日経 BP ソフトプレス発行、ISBN: 4-89100-334-0) の補足として利用できるように構成されています。このモジュールを読む前に、このガイドの内容を理解しておくことをお勧めします。このモジュールの各セクションは、『Microsoft Windows 2000 Server セキュリティ運用ガイド』に対応しています (該当する場合は、本文中にそのように明記されます)。また、『Microsoft Exchange 2000 Server Operations』(Microsoft Press、ISBN: 0-7356-1831-3、英語) の内容も理解しておくこともお勧めします。この本には、Exchange 2000 の全般的な運用に関する詳細情報が記載されています。
このモジュールの目的は、Exchange のコア機能に影響を与えずに、Exchange 2000 環境のセキュリティを最大にすることです。このモジュールでは、Exchange 2000 を実行している一群のサーバーにおいてセキュリティで保護された環境の作成および保守に必要な操作について重点的に説明します。このガイドは、セキュリティで保護された環境の作成および保守のすべてを網羅する完全なリファレンスとしてではなく、Exchange の全体的なセキュリティ計画の一部として使用してください。
このモジュールは、モジュール「Exchange 環境のセキュリティを確保する」およびモジュール「Exchange の通信セキュリティを強化する」と共に使用してください。
このモジュールでは、グループ ポリシー テンプレートを使用して Exchange フロントエンドおよびバックエンド サーバーのセキュリティを強化するための詳細な方法について説明します。項目ごとにポリシー設定の実装方法の手順を説明します。これらの手順は、新規または既存の Exchange 環境に適用できます。すべての Exchange サーバーは、(フロントエンド サーバーに切り替えない限り) OWA 機能を備えたバックエンド サーバーなので、通常、バックエンド サーバーのポリシー設定は、すべての Exchange 組織に適用できます。
Exchange 2000 グループ ポリシー テンプレートのダウンロード (英語)
IIS Lockdown ツールのダウンロード (英語)
はじめに
「Exchange 環境のセキュリティを確保する」モジュールでは、Exchange 2000 環境のセキュリティを強化するための全般的な推奨事項をいくつか説明しています。このモジュールでは、実際の IT 環境内で Exchange 2000 サーバーに割り当てられる役割に基づいて、Exchange 2000 サーバーのセキュリティを強化することに焦点を絞って推奨事項について説明します。
Exchange 2000 は Windows 2000 環境で実行するアプリケーションなので、Exchange 2000 のセキュリティを向上するには、Windows 2000 のセキュリティを確立することが大前提となります。サーバーの役割ごとのセキュリティに関する推奨事項は『Microsoft Windows 2000 セキュリティ運用ガイド』に記載されていますが、このモジュールでは、それらの推奨事項を拡張して Exchange 2000 に関する推奨事項について説明します。特に、OWA (Outlook Web Access) フロントエンド サーバーと Exchange バックエンド サーバーの役割について詳しく説明します。
テスト環境
運用環境に変更を加える前に、IT システムのセキュリティに対する変更をテスト環境内で徹底的に評価する必要があります。運用環境にできるだけ近いテスト環境を構築してください。最低限でも、複数のドメイン コントローラをテスト環境に含めると共に、運用環境で使用するメンバ サーバーの役割をすべて含めておきます。
このテストでは、変更の適用が環境に悪影響を及ぼさないことを確認すると同時に、セキュリティのレベルが意図したとおりに向上するかどうかを確認します。テスト環境で、すべての変更の妥当性を徹底的に検証し、セキュリティ上の脆弱性がないかどうかを評価します。
注: 脆弱性の評価は、事前に書面で許可を得た人だけが実施できるようにする必要があります。
OWA フロントエンドおよびバックエンド サーバーを使用する
既定では、すべての Exchange 2000 サーバーに OWA 機能があり、ユーザーは HTTP (Hypertext Transfer Protocol) 経由で Exchange サーバーに接続できます。これは、OWA ソリューションを構成するコンポーネントが Exchange サーバーの既定のインストールでインストールされるからです。しかし、中規模以上のほとんどの環境では、OWA へのアクセス用にフロントエンド/バックエンド ソリューションを実装することをお勧めします。この場合、ユーザーはフロントエンド サーバーに接続します。フロントエンド サーバーは、要求を受け付け、Active Directory 内のユーザー資格情報を確認した後、適切なバックエンド Exchange サーバーに要求を転送します。バックエンド サーバーは、メールボックスおよびパブリック フォルダへのアクセスを提供します。このバックエンド/フロントエンド サーバーの使用には、以下の利点があります。
ユーザーは、自分がアクセスするサーバーの名前を知らなくても、ローカル Exchange サーバーにアクセスできます。
メールボックスが格納されているサーバーの名前は表示されません。
複数のフロントエンド サーバーの間で負荷を分散することができます。
SSL (Secure Sockets Layer) のオーバーヘッドをフロントエンド サーバーに振り分けることができます。
バックエンド サーバーの手前のファイアウォールを増設することで、バックエンド サーバーのセキュリティをさらに強化できます。
注: フロントエンド サーバーは、POP3 および IMAP4 経由での接続にも使用できますが、このガイドでは、HTTP および MAPI 接続だけを有効にする場合を想定しています。
注: Exchange における OWA フロントエンド/バックエンド サーバー環境の詳細については、このモジュールの最後にある「関連情報」セクションを参照してください。
Exchange 2000 環境で使用するサーバーの役割ごとにセキュリティを強化する
このガイドには、Exchange 2000 サーバーの役割に対するセキュリティを変更するためのセキュリティ テンプレートが用意されています。これらのセキュリティ テンプレートを Exchange に適用するには、セキュリティ テンプレートをダウンロードして、グループ ポリシーの設定にインポートする必要があります。
表 1 にサーバーの役割とそれらのセキュリティ強化に使用するテンプレートを示します。
表 1: Exchange 2000 サーバーの役割
| サーバーの役割 | 説明 | セキュリティ テンプレート |
|---|---|---|
| OWA サーバー | Outlook Web Access 専用の OWA フロントエンド サーバー | Baseline.inf および OWA front-end Incremental.inf |
| Exchange 2000 バックエンド サーバー | メールボックスとパブリック フォルダへのアクセスおよびルーティング用のサーバー | Baseline.inf および Exchange back-end Incremental.inf |
| オプション | Windows 2000 Server のセキュリティ運用 | Exchange 2000 Server のセキュリティ運用 |
|---|---|---|
| 匿名接続の追加を制限する | 明示的な匿名アクセス権がない場合はアクセスを許可しない | なし (既定のアクセス権に依存) |
| セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする | 有効 | 無効 |
| アカウント ログオン イベントの監査 | 成功と失敗 | 失敗 |
| ログオン イベントの監査 | 成功と失敗 | 失敗 |
- 272560「競合条件の発生によってグループ ポリシーの変更が失われることがある」
注: これらのマイクロソフト サポート技術情報の文書で説明されている修正プログラムを入手するには、マイクロソフト製品サポート サービス (PSS) に連絡する必要があります。PSS への連絡に関する詳細については、https://support.microsoft.com を参照してください。
警告: このガイドのセキュリティ テンプレートは、環境内のセキュリティを強化することを目的に設計されています。これらのテンプレートをインストールすると、環境内の機能が失われる可能性があり、基幹業務アプリケーションに障害が生じないとも限りません。したがって、これらのテンプレートを本稼動環境に展開する前に、徹底したテストを実施することが不可欠です。さらに、環境を適切に変更しておくことも重要です。新しいセキュリティ設定を適用する前に、各ドメイン コントローラとサーバーをバックアップしておきます。バックアップには、必ずシステム状態データを含めてください。システム状態データには、レジストリ データが含まれるほか、ドメイン コントローラ上では、Active Directory 内のすべてのオブジェクトが含まれます。
注: 『Windows 2000 Server セキュリティ運用ガイド』に記載されているドメイン コントローラ ベースライン ポリシーとメンバ サーバー ベースライン ポリシーでは、LAN Manager 認証レベルが NTLMv2 のみに設定されます。Outlook クライアントが Exchange サーバーおよびドメイン コントローラと正常に通信するには、それらのクライアントも NTLMv2 だけを使用するように構成する必要があります。
ここでは、このガイドに用意されているセキュリティ テンプレートをこのモジュールで示した組織単位 (OU) 構造にインポートする手順を示します。
ドメインコントローラのグループポリシーオブジェクトを作成してセキュリティテンプレートをインポートするには
"Active Directory ユーザーとコンピュータ" MMC コンソールで、[Domain Controllers] を右クリックし、[プロパティ] を選択します。
[グループ ポリシー] タブで、[新規] をクリックし、新しいグループ ポリシー オブジェクトを追加します。
「Exchange Domain Controllers Incremental Policy」と入力し、Enter キーを押します。
[上へ] を繰り返しクリックし、[Exchange Domain Controllers Incremental Policy] を一覧の先頭に移動します。
[編集] をクリックします。
[Windows の設定] を展開して、[セキュリティの設定] を右クリックし、[ポリシーのインポート] をクリックします。
注: メニューに [ポリシーのインポート] が表示されない場合は、[グループ ポリシー] ウィンドウを閉じた後、手順 4 および 5 を繰り返してください。
[ポリシーのインポート] ダイアログ ボックスで、C:\SecurityOps\Templates に移動し、Exchange DC Incremental.inf をダブルクリックします。
グループ ポリシーを閉じ、[OK] をクリックします。
すべてのドメイン コントローラにポリシーが複製されるように、ドメイン コントローラ間の複製を強制実行します。
イベント ログを開き、ポリシーが正しくダウンロードされていて、サーバーがドメイン内の他のドメイン コントローラと通信できていることを確認します。
ドメイン コントローラを 1 つずつ再起動し、各ドメイン コントローラが正常に再起動したことを確認します。
Exchange サーバーのグループポリシーオブジェクトを作成してセキュリティテンプレートをインポートするには
"Active Directory ユーザーとコンピュータ" MMC コンソールで、[Member Servers]、[Application Servers]、[Exchange Servers] を順に展開し、[OWA Servers] を右クリックし、[プロパティ] をクリックします。
[グループ ポリシー] タブで、[新規] をクリックし、新しいグループ ポリシー オブジェクトを追加します。
「OWA Front-end Incremental Policy」と入力し、Enter キーを押します。
[編集] をクリックします。
[Windows の設定] を展開して、[セキュリティの設定] を右クリックし、[ポリシーのインポート] をクリックします。
注: メニューに [ポリシーのインポート] が表示されない場合は、[グループ ポリシー] ウィンドウを閉じた後、手順 4 および 5 を繰り返してください。
[ポリシーのインポート] ダイアログ ボックスで、C:\SecurityOps\Templates に移動し、OWA Front-end Incremental.inf をダブルクリックします。
グループ ポリシーを閉じ、[OK] をクリックします。
[Back-end Servers] 組織単位に対しても、手順 1 ~ 7 を実行します。ただし、テンプレートは、Exchange Back-end Incremental.inf を適用する必要があります。
すべてのドメイン コントローラにポリシーが複製されるように、ドメイン コントローラ間の複製を強制実行します。
各役割に対応するサーバーを適切な組織単位の中に移動します。
サーバー上で secedit /refreshpolicy machine_policy /enforce コマンドを実行し、ポリシーをダウンロードします。
イベント ログを開き、ポリシーが正しくダウンロードされていて、サーバーがドメイン コントローラおよびドメイン内の他のサーバーと通信できていることを確認します。OU 内のサーバーの 1 つをテストした結果、問題がなければ、OU 内の残りのサーバーに移動し、セキュリティを適用します。
**注:** グループ ポリシーのダウンロードが成功したかどうかを確認する方法の詳細については、『Microsoft Windows 2000 Server セキュリティ運用ガイド』の「Windows 2000 グループ ポリシーを使ったセキュリティ管理」を参照してください。- 各サーバーを再起動し、各サーバーが正常に再起動したことを確認します。
Exchange サーバー ポリシー
Windows 2000 では、監査、セキュリティオプション、レジストリ設定値、ファイルへのアクセス許可、サービスなど、さまざまなセキュリティ設定値を定義することができます。『Microsoft Windows 2000 Server セキュリティ運用ガイド』には、これらの設定の多くに関して推奨値が示されていますが、Exchange 2000 を運用する場合も、基本的には同じ推奨値を使用できます。特に変更が必要となるのは、各種サービスに関する設定です。また、ファイルへのアクセス許可についても若干の変更が必要になります。
Exchange サーバーの OU は [Member Servers] OU の下層にあるので、メンバ サーバー ベースライン ポリシーで定義されている設定値が Exchange サーバーに継承されます。Exchange ポリシーでは、継承した設定値に対し 2 とおりの変更を加えます。まず、Windows 2000 の基本機能に不要なサービスのうち、Exchange 2000 の運用には必要なサービスを有効にします。次に、Exchange 2000 に用意されている付加的なサービスのうち、それぞれの役割の Exchange サーバーでは不要となるサービスを無効にします。
注: Exchange 増分ポリシーでは明示的に言及していませんが、NNTP (Network News Transfer Protocol) は Windows 2000 メンバ サーバー ベースライン ポリシーによって無効化されます。このサービスは Exchange のインストールには必須ですが、Exchange の運用中は、ニュースグループ機能を使用しない限り不要です。
Exchange バックエンド サーバー ポリシー
Exchange バックエンド サーバー ポリシーでは、サービスに関する設定とファイル アクセス制御リストの設定を定義します。
Exchange バックエンド サーバーのサービス ポリシー
Exchange 2000 バックエンド ポリシーでは、表 3 に示すサービスを構成します。
表 3: Exchange バックエンドサーバー基準ポリシーによるサービスの構成
| サービス名 | スタートアップの種類 | 理由 |
|---|---|---|
| Microsoft Exchange IMAP4 | 無効 | サーバーで IMAP4 をサポートしないので不要 |
| Microsoft Exchange Information Store | 自動 | メールボックス ストアとパブリック フォルダ ストアへのアクセスに必要 |
| Microsoft Exchange POP3 | 無効 | サーバーで POP3 をサポートしないので不要 |
| Microsoft Search | 無効 | コア機能には不要 |
| Microsoft Exchange Event Service | 無効 | 下位互換性を確保する以外の目的では不要 |
| Microsoft Exchange Site Replication Service | 無効 | 下位互換性を確保する以外の目的では不要 |
| Microsoft Exchange Management | 自動 | メッセージ追跡に必要 |
| Windows Management Instrumentation | 自動 | Microsoft Exchange の管理に必要 |
| Microsoft Exchange MTA Stacks | 無効 | 下位互換性または X.400 コネクタとの互換性を確保する以外の目的では不要 |
| Microsoft Exchange System Attendant | 自動 | Exchange の保守やその他のタスクに必要 |
| Microsoft Exchange Routing Engine | 自動 | Exchange サーバー間におけるメッセージ転送の調整に必要 |
| IPSEC Policy Agent | 自動 | サーバー上に IPSec ポリシーを実装するために必要 |
| RPC Locator | 自動 | ドメイン コントローラおよびクライアントとの通信に必要 |
| IIS Admin Service | 自動 | Exchange Routing Engine に必要 |
| NT LM Security Support Provider | 自動 | System Attendant に必要 |
| SMTP | 自動 | Exchange トランスポートに必要 |
| World Wide Web Publishing サービス | 自動 | OWA フロントエンド サーバーとのクライアント通信に必要 |
NT LM Security Support Provider
Remote Procedure Call (RPC)
RPC Locator
Server
Workstation
無効化されるサービス
このガイドでは、Exchange 2000 のコア機能に不必要なサービスをすべて無効にしています。実際の環境では、ここで無効化したサービスを有効に戻さなければ、必要な機能を使用できないことがあります。ここでは、バックエンド サーバーの増分ポリシーによって無効化されるサービスについて説明します。
Event Service
Exchange Server 5.5 (英語) で採用された Exchange Server Event Service は、パブリック フォルダまたは各ユーザーのメールボックスでフォルダ イベントが発生したときにトリガされるサーバー側スクリプトをサポートするサービスです。Exchange 2000 にも、Exchange 5.5 イベント スクリプトとの下位互換性を確保することを目的として Exchange Event Service が用意されています。MSDN から入手できる「Exchange 2000 ソフトウェア開発キット (SDK)」に記載されているように、Exchange 2000 用に新規作成するアプリケーションでは、Exchange Event Service ではなくネイティブな Web Storage System イベントを使用してください。詳細については、このモジュールの最後の「関連情報」を参照してください。
Microsoft Search
インフォメーション ストア プロセスでは、ストア内の文書の参照と検索を高速化するために、共通キーフィールドを使用します。Outlook ユーザーは、インデックスを通じて文書をより簡単に検索することができます。フルテキスト インデックスを使用すると、クライアントが検索を行う前にインデックスが構築されるので、高速な検索が可能になります。フルテキスト インデックスには、添付データも含めることができます。
これらのインデックスを提供するのが Microsoft Search サービスです。インデックスを作成、更新、または削除するには、インフォメーション ストア サービスと Search サービスの両方が稼動している必要があります。
Microsoft Exchange Site Replication Service
これは、既存の Exchange 5.5 サイトに Exchange 2000 サーバーを追加する場合に、Exchange 5.x サイトおよび構成情報を Active Directory のパーティション (名前付けコンテキスト) に複製できるようにするサービスです。
Microsoft Exchange MTA Stacks
これは、Exchange 2000 サーバーを外部システムに接続するための追加コンポーネントです。外部環境に対しては、メッセージ転送エージェント (MTA) によって X.400 コネクタおよびゲートウェイ コネクタを経由したメッセージ ルーティングが行われます。このサービスでは、\Program Files\Exchsrvr\Mtadata ディレクトリにある Information Store サービスの外部に専用のメッセージキューが維持されます。
Exchange バックエンド サーバーのファイル アクセス制御リスト ポリシー
Exchange バックエンド サーバー ポリシーでは、いくつかのディレクトリに対するアクセス制御リスト (ACL) を変更します。変更前と変更後の設定を表 4 に示します。
表 4: Exchange バックエンドサーバーポリシーによって構成されるファイルアクセス制御リスト
| ディレクトリ | 変更前の ACL | 変更後の ACL | サブディレクトリへの適用 |
|---|---|---|---|
| %systremdrive%\Inetpub\mailroot | Everyone: フル アクセス | Domain Admins: フル アクセス Local System: フル アクセス |
適用する |
| %systremdrive%\Inetpub\nntpfile\ | Everyone: フル アクセス | Domain Admins: フル アクセス Local System: フル アクセス |
適用する |
| %systremdrive%\Inetpub\nntpfile\root | Everyone: フル アクセス | Everyone: フル アクセス | 適用する |
| サービス名 | スタートアップの種類 | 理由 |
|---|---|---|
| Microsoft Exchange IMAP4 | 無効 | OWA サーバーで IMAP4 をサポートしないので不要 |
| Microsoft Exchange Information Store | 無効 | メールボックス ストアおよびパブリック フォルダ ストアがないため不要 |
| Microsoft Exchange POP3 | 無効 | OWA サーバーで POP3 をサポートしないので不要 |
| Microsoft Search | 無効 | 検索するストアがないので不要 |
| Microsoft Exchange Event | 無効 | 下位互換性を確保する以外の目的では不要 |
| Microsoft Exchange Site Replication Service | 無効 | 下位互換性を確保する以外の目的では不要 |
| Microsoft Exchange Management | 無効 | メッセージの追跡に必要 |
| Microsoft Exchange MTA | 無効 | 下位互換性または X.400 コネクタとの互換性を確保する以外の目的では不要 |
| Microsoft Exchange Routing Engine | 自動 | Exchange のルーティング機能に必要 |
| IPSEC Policy Agent | 自動 | OWA サーバー上に IPSec フィルタを実装するために必要 |
| RPC Locator | 自動 | ドメイン コントローラとの通信および System Attendant の起動に必要 |
| IIS Admin Service | 自動 | MSExchange Routing Engine に必要 |
| World Wide Web Publishing サービス | 自動 | OWA フロントエンド サーバーとのクライアント通信に必要 |
注: Exchange 2000 バックエンド サーバー上で IIS Lockdown ツールを実行する手順は、基本的に上記の手順と同じですが、手順 5 では HTTP と SMTP が有効化されていることを確認してください。
OWA フロントエンド サーバーに対する IIS Lockdown と URLScan の設定を変更する
IIS Lockdown と URLScan の既定の設定は、実際の環境に応じて変更できます。URLScan の設定は、<WinDir>\System32\Inetsrv\Urlscan にある URLScan.ini ファイルに格納されています。OWA と URLScan を有効化した状態で問題が発生した場合は、<WinDir>\System32\Inetsrv\Urlscan にある Urlscan.log ファイルをチェックし、拒否された要求のリストを確認してください。
注: IIS Lockdown と URLScan のトラブルシューティングおよび構成の詳細については、マイクロソフト サポート技術情報の 309677「[XADM] IIS Lockdown Wizard を Exchange 2000 環境で使用する場合の問題および調整方法」を参照してください。
OWA のパスワード変更サポート
IIS Lockdown の既定の設定では、.htr ファイルが無効化されます。.htr ファイルが無効化されていると、OWA のパスワード変更機能を使用できません。.htr ファイルが無効化されている場合は、ユーザーの混乱やヘルプ デスクへの問い合わせ増加が発生しないように、[パスワードの変更] ボタンを非表示にしてください。
注: OWAの [パスワードの変更] ボタンを無効化する方法については、マイクロソフト サポート技術情報の 297121「[XWEB] Outlook Web Access の [オプション] ページにある [パスワードの変更] ボタンを非表示にする方法」を参照してください。
電子メールのブロック
URLScan.ini ファイルの [DenyUrlSequences] セクションには、明示的にブロックされる文字のリストが含まれていますが、これが OWA へのアクセスに影響を及ぼす可能性があります。以下の文字シーケンスが含まれている電子メールの題名またはメール フォルダ名は、ブロックされます。
..
./
\
%
&
注: URLScan.ini ファイルの ".." は、題名の末尾がピリオドになっている電子メール メッセージをブロックします。
メールボックス ストアとパブリック フォルダ ストアをマウント解除および削除する
OWA フロントエンド サーバーの役割はバックエンド サーバーに要求を転送することだけに限られているので、OWA フロントエンド サーバー上に Exchange Server メールボックスおよびパブリック フォルダを置く必要はありません。これらは、バックエンド Exchange サーバーによって管理されます。したがって、これらのストアは、マウント解除して削除することができます。
メールボックスデータベースとパブリックフォルダデータベースをマウント解除および削除するには
[サービス] 管理ツールを起動します。
-
- [NT LM Security Support Provider] を右クリックし、[プロパティ] をクリックします。
[スタートアップの種類] ボックスの一覧の [自動] をクリックします。
[適用] をクリックします。
[開始] をクリックします。
[OK] をクリックします。
System Attendant に対しても、手順 2 ~ 6 を繰り返します。
OWA フロントエンド サーバー上で Exchange システム マネージャを起動します。
[サーバー]、[OWA フロントエンド サーバー]、[最初のストレージ グループ] を順に展開します。
メールボックス ストアが現在マウントされている場合は、[メールボックス ストア] を右クリックし、[ストアのディスマウント] をクリックします。次に、[はい] をクリックし、メールボックス ストアをマウント解除します。
[メールボックス ストア] を右クリックし、[プロパティ] をクリックします。
[データベース] タブをクリックし、[起動時にこのストアをマウントしない] チェック ボックスをオンにして、[OK] をクリックします。
パブリック フォルダ ストアが現在マウントされている場合は、[パブリック フォルダ ストア] を右クリックし、[ストアのディスマウント] をクリックします。次に、[はい] をクリックし、パブリック フォルダ ストアをマウント解除します。
[パブリック フォルダ ストア] を右クリックし、[削除] をクリックします。
[はい] をクリックして [OK] をクリックし、バックエンド サーバーを選択して [OK] をクリックします。
[はい] をクリックしてパブリック フォルダ ストアを削除し、[OK] をクリックしてダイアログ ボックスを閉じます。
OWA サーバーを再起動します。
注: NT LM Security Support Provider と System Attendant を再度無効化する必要はありません。これらは、サーバーの再起動時に自動的に無効化されます。
注: フロントエンド サーバー上で SMTP を使用する場合は、メールボックス ストアをマウントする必要があります。
注: 通常の Exchange 2000 サーバーには、ドライブ文字 M: がマップされたドライブがありますが、メールボックス ストアとパブリック フォルダ ストアをマウント解除すると、ドライブ M が削除されます。これは、Exchange Installable File System によってマップされるドライブが存在しないためです。
特定の仮想ディレクトリへのパスが無効であることを示すイベント エラー (イベント ID 101) がシステム ログに記録されます。また、インターネット サービス マネージャ コンソール上では、Public、Exchange、Exadmin の各仮想ディレクトリの状態が [停止] と表示されます。これらのエラーは、IIS サーバー上に Exchange Server をインストールしてサーバーを再起動した後で発生します。再起動後、まず IIS (W3SVC) サービスが開始し、続いて Exchange インフォメーション ストア サービスが開始します。インフォメーション ストア サービスは、上記の 3 つの仮想ドライブの割り当て先であるマップされた仮想ドライブ (M:) を管理しますが、マップされたドライブがまだ作成されていないため、IIS がエラー メッセージを返します。グループ ポリシーを通じてセキュリティを適用するとインフォメーション ストア サービスが無効化されるので、マップされた仮想ドライブがマウントされることはなく、その後も、これらのエラーがイベント ログに書き込まれますが、無視しても問題はありません。
注: イベント ログ ID 101 の詳細については、マイクロソフト サポート技術情報の 259373「[XADM] W3SVC が イベント ID 101 をシステム イベント ログに出力する」を参照してください。
SMTP バナーを変更する
外部にさらす情報が少ないほど、システムが攻撃を受けにくくなります。ハッカーが Exchange のバージョン情報を取得する手口の 1 つとして、Telnet 経由で SMTP サービスに接続する方法があります。既定の設定では、Exchange サーバー上の SMTP サービスに接続したときに、次のバナーが表示されるようになっています。
220 <ホスト名> . <ドメイン> .com Microsoft ESMTP MAIL Service, Version: 5.0.2195.1600 ready at <現在の日付> and <時間>.
すべてのバックエンド Exchange サーバーに対して、このバナーからバージョン情報を削除することを検討してください。また、SMTP サービスの無断使用を禁止する旨の文言をバナーに含めることも有効と考えられます。
Windows 2000 の SMTP バナーを変更するには
MetaEdit などのメタベース編集ツールを使って、次の行を探します。
Lm\Smtpsvc\ <仮想サーバー番号>-
- [Edit] をクリックし、[New] をクリックします。次に [String] をクリックします。
[ID] ボックスのエントリが Other になっていることを確認し、[ID] ボックスの右側に 10 進数で「36907」と入力します。
[Data] ボックスに、新しいバナーを入力します。
SMTP 仮想サーバーまたは SMTP サービスを一度停止してから再開します。
バナーが正しく変更されているかどうかを確認するには、仮想サーバーのポート 25 (既定の設定) に Telnet で接続します。"ESMTP MAIL Service, Version: 5.0.2195.1600" バナーが表示されなくなったことを確認します。ただし、SMTP サービス プロパティを通じて入力した完全修飾ドメイン名と日時は、従来どおり表示されます。
Exchange Domain Servers グループのロックダウン
既定のインストールでは、フォレスト内のドメインごとに、Exchange Domain Servers グループが 1 つ作成されます。このグループには、ドメイン内の各 Exchange サーバーに対応するコンピュータ アカウントが格納されます。Exchange Domain Servers グループには、フォルダ内のすべての Exchange パブリック フォルダ ストアおよびメールボックス ストアへのアクセスが既定の設定で許可されます。EDSLock スクリプトを実行すると、ストアを提供しているローカル サーバーだけがメールボックス ストアにアクセスできるように、アクセスを制限することができます。
注: EDSLock スクリプトの詳細については、マイクロソフト サポート技術情報の 313807「[XADM] Exchange ドメイン サーバー グループに対する Exchange 2000 のセキュリティを強化する」を参照してください。
Exchange クラスタに関する考慮事項
このガイドでは、クラスタ環境内の Exchange 2000 については特に説明していません。しかし、Exchange 2000 をクラスタ環境で使用するには、以下のような変更をセキュリティ設定に加える必要があります。
Windows 2000 クラスタでは NTLMv2 がサポートされていないので、クラスタ サーバーおよびドメイン コントローラ上で NTLM を有効にします。詳細については、マイクロソフト サポート技術情報の 272129「Windows 2000 クラスタの "参加" ノードでクラスタ サービスが起動しない」を参照してください。
Exchange バックエンド サーバーのセキュリティ テンプレート内で NT LM Security Support Provider (NTLMSSP) の設定を変更します。NTLMSSP を 0 に設定する必要があります。
MACHINE\System\CurrentControlSet\Control\LSA\MSV1_0\NtlmMinServerSec=4,0
Exchange バックエンド サーバーのセキュリティ テンプレート内でクラスタ サービスを有効化します。
クラスタでは IPSec がサポートされていないので、OWA フロントエンド/バックエンド通信に IPSec を使用しないように設定します。詳細については、マイクロソフト サポート技術情報の 306677「IPSec はフェールオーバー用に設計されていない」を参照してください。
要約
エンタープライズのセキュリティを確保するには、Exchange サーバーのセキュリティを強化することが欠かせません。このモジュールおよび参照されているセキュリティ ガイドで説明されている推奨事項に従えば、Windows 2000 環境のセキュリティを強化して、Exchange 環境への攻撃のリスクを大幅に低減できます。
関連情報
「Windows 2000 Server セキュリティ運用ガイド」
https://www.microsoft.com/japan/technet/security/prodtech/windows2000/staysecure/default.mspx
Windows 2000 セキュリティ修正プログラムがグローバル カタログ サーバーに対して及ぼす影響の詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;309622
セキュリティ ログに書き込まれるログオン イベントに対して成功の監査を有効化する方法の詳細 (英語)
https://support.microsoft.com/default.aspx?scid=kb;en-us;316685
IIS Lockdown ツールのダウンロード
https://www.microsoft.com/japan/technet/security/tools/locktool.mspx
IIS Lockdown ツールと URLScan のトラブルシューティングおよび構成の詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;309677
OWAの [パスワードの変更] ボタンを無効化する方法の詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;297121
イベント ログ ID 101 の詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;259373
EDSLock スクリプトの詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;313807
Windows 2000 クラスタで NTLMv2 がサポートされていないことに関する詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;272129
OWA フロントエンド/バックエンド通信に IPSec を使用しない方法に関する詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;306677