Lync Server 2010 のサーバーおよびアプリケーションの強化と保護

アプリケーション サーバーのセキュリティ保護

アプリケーション サーバーの場合は、オペレーティング システムとアプリケーションを強化する必要があります。たとえば、Microsoft Internet Security and Acceleration (ISA) Server 2006 の実行専用に使用する Windows Server 2008 コンピューターは、オペレーティング システムとアプリケーションの両方の面から強化する必要があります。主な目標は、サーバーで実行および提供されるサービスの数をできるだけ少なくすることです。

仮想サーバーのセキュリティ保護

仮想サーバーのスナップショットには、仮想サーバーのデータ ディスクのコピーのほか、メモリ内データのダンプも含まれます。どちらのデータにも攻撃につながり得る機密の暗号化データが含まれる可能性があります。仮想化を使用して実装された運用サーバーの場合は、すべてのサーバー スナップショットを無効にするか、それらを厳密に制御された方法で管理する必要があります。Hyper-V 仮想サーバーのセキュリティ保護の詳細については、「Hyper-V Security Guide」(https://go.microsoft.com/fwlink/?linkid=214176&clcid=0x411) を参照してください。

グループ ポリシー

Windows Server 2008 および Windows Server 2008 R2 では、グループ ポリシーにより、ディレクトリ ベースのデスクトップ構成の管理が行われます。次のグループ ポリシー オブジェクト (GPO) 内でコンピューターとユーザーの設定を定義することにより、グループ ポリシーを使用してセキュリティ ロックダウンを実装できます。

• レジストリ ベースのポリシー

• セキュリティ

• ソフトウェアのインストール

• スクリプト

• フォルダー リダイレクト

• リモート インストール サービス

管理者がこれらの設定を構成するユーザー インターフェイスを提供するために、オペレーティング システムのリリース、サービス パックのリリース、Lync Server 2010 などの一部のアプリケーションには、管理用テンプレートが同梱されています。

Lync Server 2010 に同梱されている管理用テンプレートである Communicator.adm ファイルは、%windir%\inf\ ディレクトリにインストールされており、グループ ポリシー設定に対するインターフェイスを提供します。Communicator.adm の各設定は、アプリケーションの動作に影響するレジストリの設定に対応しています。

この設定には、GPedit.dll からアクセスできます。GPedit.dll は、Active Directory ユーザーとコンピューターのコンソールおよびグループ ポリシー管理コンソール (GPMC) から利用できます。

グループ ポリシーのセキュリティの設定

グループ ポリシーには、GPO のセキュリティ設定が含まれます。この設定は、GPedit.dll からアクセスした場合、"コンピューターの構成/Windows の設定/セキュリティの設定" にあります。セキュリティ テンプレートをインポートして、GPO のセキュリティ設定を構成できます。『Windows Server 2008 Security Guide』(https://go.microsoft.com/fwlink/?linkid=145186&clcid=0x411) および Windows Server 2008 R2 Security Compliance Management Toolkit (https://go.microsoft.com/fwlink/?linkid=211882&clcid=0x411) には、ニーズに合わせて変更できるサンプル テンプレートがいくつか用意されています。

ベスト プラクティス

• すべてのサーバー オペレーティング システムおよびアプリケーションを強化します。

• サーバーのスナップショットを保護し、すべての仮想サーバーのセキュリティを強化します。

• グループ ポリシーを使用して、セキュリティ ロックダウンを実装します。