チェックリスト - 役割に基づいて Exchange 2000 サーバーのセキュリティを強化する
最終更新日: 6月 2, 2004
トピック
グループ ポリシー設定を使用して Exchange をセキュリティで保護する
チェックリストの使用方法
このチェックリストはモジュール「役割に基づいて Exchange 2000 サーバーのセキュリティを強化する」の補足として利用できるように構成されています。Exchange 2000 サーバーのセキュリティ保護や、対応するモジュールのクイック リファレンスとして使用してください。このチェックリストは、安全な Exchange 組織の実現に役立つステップが見つかるごとに更新するにつれて発展させていく必要があります。
グループ ポリシー設定を使用して Exchange をセキュリティで保護する
| チェック | 説明 |
|---|---|
| テスト環境設定とグループ ポリシー設定がすべてテストされている。 | |
| 組織単位 (OU) 構造がモジュールでの推奨どおりに変更されており、サーバーが適切な OU に移動されている。 | |
| ダウンロードしたこのガイドに付属の ExSecurityOps.exe にセキュリティ テンプレートが含まれている。 | |
| 新しいグループ ポリシー オブジェクト "Exchange DC Policy" が Domain Controllers OU で作成され、Exchange DC incremental.inf がインポートされている。 | |
| ドメイン コントローラ間で複製が強制されている。 | |
| すべてのドメイン コントローラに新しいポリシーがある。 | |
| ドメイン コントローラが順番に再起動される。 | |
| 新しいグループ ポリシー オブジェクト "OWA Policy" が OWA Servers OU で作成されている。 | |
| OWA FrontEnd Incremental.inf がインポートされている。 | |
| 新しいグループ ポリシー オブジェクト "Exchange Back-End Policy" が Exchange Back-end Servers OU で作成されている。 | |
| Exchange BackEnd Incremental.inf がインポートされている。 | |
| ドメイン コントローラ間で複製が強制されている。 | |
| secedit /refreshpolicy machine_policy /enforce コマンドを使用して、ポリシーが Exchange サーバーにダウンロードされている。 | |
| すべての Exchange サーバーが再起動されている。 | |
| 指定したサービスが OWA フロントエンド サーバーと Exchange バックエンド サーバーで無効になっている。 | |
| Exchange バックエンド サーバー ファイルのアクセス制御リスト (ACL) が変更されている。 | |
| Network News Transport Protocol (NNTP) サービスが使用中でない場合は無効になっている。 | |
| Exchange 環境が機能するように必要なサービスが再び有効になっている。 |
| チェック | 説明 |
|---|---|
| OWA フロントエンド サーバーで System Attendant サービスが有効になっており、開始されている。 | |
| すべての Exchange サーバーで Distributed Transaction Coordinator サービスが有効になっており、開始されている。 | |
| すべての Exchange サーバーで NNTP サービスが有効になっており、開始されている。 | |
| すべての Exchange サーバーで Microsoft® Windows® オペレーティング システムの Installer サービスが有効になっており、開始されている。 | |
| OWA フロントエンド サーバーで Windows Management Instrumentation (WMI) サービスが有効になっており、開始されている。 |
| チェック | 説明 |
|---|---|
| すべての Exchange サーバーに IIS Lockdown ツール IISLockd.exe がインストールされており、起動されている。 | |
| Web サービスの Hypertext Transfer Protocol (HTTP) のみが有効になっている。 | |
| 仮想ディレクトリが削除されている。 | |
| URLScan がインストールされている。 | |
| IIS Lockdown および URLScan の設定がユーザーの組織に合わせて変更されている。 | |
| OWA のパスワード変更機能が削除されている。 |
| チェック | 説明 |
|---|---|
| System Attendant および NTLM Security Support Provider サービスが開始されている。 | |
| メールボックス ストアのマウントが解除されており、[起動時にこのストアをマウントしない] がオンになっている。 | |
| パブリック フォルダ ストアのマウントが解除されており、削除されている。 |
| チェック | 説明 |
|---|---|
| SMTP バナーを削除するためにメタベースが編集されている。 | |
| Simple Mail Transfer Protocol (SMTP) サービスが再開されている。 |
| チェック | 説明 |
|---|---|
| EDSLock スクリプトが実行されている。 |