既存の Windows 2000 システムへのインストールとセキュリティ保護
このガイドの趣旨として、既存のインストール環境が汚染されていないことを前提としています。システムが汚染されている場合は、以下の基本ステップを開始する前に、システムを修正するための推奨事項に従う必要があります。ご使用のシステムまたはネットワークが攻撃にさらされているかどうかを調べる詳細な方法については、ここをクリックしてください。ここで参照する他のドキュメントやアップデートは、マイクロソフト セキュリティ ツール キットの目次にあります。
このガイドの情報は、次の製品に適用されます。
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
ステップ 1: 現状を判断する
既存のインストール環境の現状を判断するのは容易でないことが少なくありません。個別の修正プログラムが適用されていることを確認した上で、どのサービスが動作しているかを把握する必要があります。
Web サーバーは特にセキュリティ攻撃を受けやすいため、システムが Web サーバーとして用いられていない場合は、Internet Information Services (IIS) を無効または削除してください。
システム上で動作しているアプリケーションと Service Pack を特定することが重要です。マイクロソフトは、オペレーティング システム、Internet Explorer、IIS 上で実行している Service Pack のレベルを特定することを特に推奨します。
Hfnetchk ツールを用いて、現在どのようなセキュリティ修正プログラムがインストールされているかを確認してください。
ステップ 2: システムをセキュリティ保護する
オペレーティング システムが起動したら、次にセキュリティを強化します。システムの状態 (ステップ 1 で判断) によっては、次のステップ内のいくつかを省略できる場合があります。
最新の Windows 2000 Service Pack をインストールします。Service Pack の詳細なインストール方法については、「Microsoft Windows 2000 Service Pack インストールと導入ガイド」 (英語) をお読みください。
Internet Explorer Web ブラウザをセキュリティ保護するには、次のいくつかの選択肢があります。
Windows 2000 Service Pack 2 の一部として含まれている Internet Explorer 5.01 SP2 を適用し、Internet Explorer 5.01 を維持する。
または
新バージョンの Web ブラウザである Internet Explorer 5.5 でサポートされる追加機能を利用したい場合は、Internet Explorer 5.5 SP2 をインストールする。
または
新バージョンの Web ブラウザである Internet Explorer 6 またはそれ以降でサポートされる追加機能を利用したい場合は、Internet Explorer 6 をインストールする (推奨)。
注: Internet Explorer 6 をインストールした場合、一部の Web サイトなどで期待された機能が動かないことが確認されています。
IIS 用の累積的な修正プログラムに含まれるサービスを有効にしたい場合は、これをインストールします。注: オフラインでオペレーティング システムをインストールし、IIS が動作している場合、このステップが完了するまでネットワークに接続しないでください。
ステップ 3: 継続してセキュリティ保護する
システムのセキュリティ保護を維持するためには、ご使用のインストール環境に該当する次のチェックリストに従う必要があります。
ステップ 4: Internet Information Services をセキュリティ保護する
この時点では、既にセキュリティ修正プログラムがインストールされ、良好なベースのシステムが整っています。Web サーバーは特にセキュリティ攻撃を受けやすいため、マイクロソフトはこれに対抗するいくつかのツールを提供しています。このシステム上で IIS を稼動させる場合は、このステップに従ってください。
URLScan セキュリティツールを実行します
URLScan は、IIS Web サーバーに到達するすべてのリクエストを選別し、管理者が作成したルールセットに適合するリクエストに対してのみ通過を許可します。これによって、適正なリクエストだけに応答することが保証されるため、サーバーのセキュリティが大幅に向上します。このツールを用いることで、管理者は長さ、文字セット、内容、およびその他の要素に基づいてリクエストをフィルタリングすることができます。既定のルールセットが用意されていますが、個々のサーバーのニーズを満たすようカスタマイズすることも可能です。IIS Lockdown Wizard ツールを実行します
このツールを用いると、IIS 4.0 または 5.0 Web サーバーが安全に動作するよ構成することができます。このツールには 2 つのモードがあります。最も基本的な Web サーバーに適したエクスプレス モード、そしてサーバーがサポートするテクノロジを管理者が選択できるアドバンスト モードです。このツールには、最後に行われたロックダウンの結果に戻すことができるアンドゥー機能が備わっています。
以上が完了したら、System Preparation ツール (Sysprep) を実行し、他社のイメージング ツールを用いて、このインストール環境をセキュリティ保護されたベースのイメージとして保存することができます。その後このイメージは、イメージング ツール使用時にマシンに適用できます。このイメージが Windows 2000 Professional インストールである場合、Windows 2000 リモート インストール サービス (RIS) Server からこのイメージを利用できるようにすることが可能です。
ステップ 5: 継続的に保守を行うプログラム
これまでのステップを通じて、セキュリティ保護されたベースのシステムがインストールされたことになりますが、新しい形態の攻撃に対しては脆弱になりかねません。そこで継続的な保守が必要となります。
Hfnetchk ツールを用いて、Windows 2000 オペレーティング システムの他、Internet Information Services 5.0、SQL Server 7.0、SQL Server 2000 (Microsoft Data Engine [MSDE] を含む)、および Internet Explorer 5.01 またはそれ以降に対して、どのセキュリティ修正が適用さているかを査定します。
上述のセキュリティ保護されたベースのシステムをインストールした後に Hfnetchk ツールを実行すると、多くのセキュリティ修正がインストールされていないことが Hfnetchk ツールによって示されます。これは、正しく、また予想される結果です。このドキュメントはシステムセットアップの起点となるべきベース部分のみを提供しています。すべての重要なセキュリティ修正プログラムを確実にインストールすることを推奨します。
推奨されるすべての修正プログラムが確実に適用されるまで、セキュリティ保護の対象となるすべてのコンピュータに対して毎日このツールを実行してください。後に実行の頻度を少なくすることができます。新しいセキュリティ修正プログラムをインストールしたら、このツールを継続して実行し、欠如しているセキュリティ修正プログラムの確認と検出を行ってください。
マイクロソフト セキュリティ通知サービスに加入してください。これは、マイクロソフト製品のセキュリティに関する情報を加入者へ通知するための無料の電子メール通知サービスです。
Windows Update Web サイトにアクセスして、最新の更新および重要な更新をチェックしてください。
Windows Critical Update Notification 3.0 ツール (英語情報) をダウンロードし、Critical Update を二度と取り損ねることのないようにします。新しい Critical Fix がリリースされる度に通知されます。
新しいセキュリティ修正が利用可能になったら、それを適用することが重要です。マイクロソフトは、複数の修正プログラムをインストールするたびに必要となるコンピュータの再起動を 1 度だけに留めるために、修正プログラムを相互に結びつけるコマンド ライン ツール QChain.exe を開発しました。