Windows 7 のセキュリティ: OS を保護するヒントと秘訣
Orin Thomas
コンピューターをセキュリティで保護する基本的な手順として明らかなものがいくつかあります。つまり、最新のオペレーティング システムとアプリケーションの更新プログラムを適用した状態を保つこと、最新のスパイウェアとウイルス対策ソフトウェアをインストールすること、および複雑なパスワードを使用して定期的にパスワードを変更することです。この記事では、この基本的な対策以外に、Windows 7 のセキュリティ機能を活用するためのセキュリティのヒントをいくつか紹介します。
BitLocker の準備をする
Windows 7 で最も注目されるセキュリティ強化の 1 つは、BitLocker です。BitLocker は、Windows Vista で導入された、ハード ディスクを暗号化し、ブート環境の整合性を保護するテクノロジです。Windows 7 では、BitLocker は、Enterprise エディションと Ultimate エディションに付属しています。BitLocker は、盗難または紛失時にラップトップの電源が切られている限り、そのコンピューターのハード ディスク ドライブから、権限のないユーザーがデータを回復できないようにします。
ただし、BitLocker を使用すると、ハードウェア障害により保護対象のボリュームがロックされたときにデータを回復することが課題になります。そのため、BitLocker は優れた保護機能を提供しますが、回復操作を実行しなければならないときに BitLocker が障害となる傾向があるため、多くの IT プロフェッショナルは BitLocker を問題視しています。
データを回復するには、ロックされたボリュームに関連付けられている BitLocker のキーまたはパスワードが必要になります。コンピューターの台数が少ない場合は、このようなキーやパスワードを管理することは比較的簡単ですが、数百台ものコンピューターを管理する場合はかなり困難です。
グループ ポリシーを使用すると、BitLocker のキーとパスワードが Active Directory にバックアップされている場合にのみ、BitLocker をアクティブにすることができるので、IT プロフェッショナルが BitLocker を構成するうえで役立ちます。このデータ回復処理は、Windows Server 2008 R2 の Active Directory ユーザーとコンピューター コンソール、および Windows 7 を実行するコンピューター向けのリモート サーバー管理ツールの機能強化によって、大幅に簡略化されました。Windows Vista のツールを使用する場合よりも、はるかに簡単にデータの回復に必要なパスワードとキーを特定できます。
特殊なツールをダウンロード、インストール、および構成しなくても、[BitLocker 回復] タブから BitLocker の回復キーと回復パスワードを入手できます。このタブは、Active Directory ユーザーとコンピューター コンソールで、コンピューター アカウントのプロパティを表示すると、表示されます。BitLocker のキーとパスワードがバックアップされるようにするには、次の 3 つの手順を実行します。
1. BitLocker で保護するシステムのコンピューター アカウントのグループ ポリシーの "コンピューターの構成\Windows の設定\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化" に移動します。
2. コンピューターに記憶域ドライブが 1 つしかない場合は、[オペレーティング システムのドライブ] ノードに移動し、[BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する] ポリシーを編集します。コンピューターに複数の記憶域ドライブがある場合は、[固定データ ドライブ] ノードにも移動して、[BitLocker で保護されている固定ドライブの回復方法を選択する] ポリシーも編集します。これらのポリシーの設定はまったく同じように構成できますが、各ポリシーが適用されるドライブは異なることに注意してください。
3. BitLocker 保護がアクティブな場合に、パスワードとキーがバックアップされるように BitLocker を構成するには、次の設定を有効にします。
·[オペレーティング システム ドライブの AD DS に BitLocker 回復情報を保存する] (または、該当する場合は、[固定データ ドライブの AD DS に BitLocker 回復情報を保存する])
·[オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] (または、該当する場合は、[固定データ ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない])
上記のポリシーが適用されるまで、保護対象のボリュームのキーとパスワードはバックアップされません。ポリシーを実装する前に、BitLocker 保護を構成したボリュームについては、ポリシーを適用してもキーとパスワードは自動的には Active Directory に格納されません。このようなコンピューターで、BitLocker の回復キーやパスワードが AD DS データベースに保存されるようにするには、BitLocker を一度無効にしてから再び有効にします。
データ回復エージェントを構成する
特定のコンピューター アカウントに一意のパスワードや暗証番号を入力せずに、BitLocker で保護されるボリュームを回復する必要がある場合に、利用できる別のオプションとして、データ回復エージェント (DRA) があります。DRA は、暗号化されたデータの回復に使用できる、ユーザー アカウントに関連付けられた特殊な証明書です。
BitLocker のデータ回復エージェントは、グループ ポリシーを編集して、データ回復エージェントの追加ウィザードから DRA 証明書を指定することで構成します (データ回復エージェントの追加ウィザードについては、この後すぐに説明します)。ただし、このウィザードを使用するには、DRA 証明書がアクセスできるファイル システム上にあるか、Active Directory に公開されている必要があります。DRA 証明書は、Active Directory 証明書サービスの役割をホストしているコンピューターで発行できます。
データを回復しなければならない場合、DRA 証明書がローカルにインストールされているユーザー アカウントを使用して、BitLocker により保護されているボリュームのロックを解除することはできません。データ回復エージェントの追加ウィザードは、"コンピューターの構成\Windows の設定\セキュリティの設定\公開キーのポリシー" ノードに移動して、[BitLocker ドライブ暗号化] を右クリックし、[データ回復エージェントの追加] をクリックして起動できます。
BitLocker と DRA を使用するには、[BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する] (該当する場合は、[BitLocker で保護されている固定ドライブの回復方法を選択する]) ポリシーの [データ回復エージェントを許可する] チェック ボックスをオンにする必要もあります。同一の BitLocker で保護されるボリュームでは、DRA と Active Directory にバックアップしたキーおよびパスワードは、どちらも使用できます。
DRA による回復は、ポリシーの適用後に BitLocker を有効にした BitLocker で保護されたボリュームでしか機能しません。DRA による回復がパスワードやキーによる回復よりも優れている点は、DRA が BitLocker のマスター キーとして機能することです。このため、回復する各ボリュームの一意なパスワードやキーを特定しなくても、ポリシーが適用されている暗号化された保護ボリュームであれば、どのボリュームでも回復できます。
BitLocker To Go
現在のリムーバブル データ ドライブの多くは、10 年前の中小規模の部署でファイル共有に使用されていた平均的な記憶域に近い容量があります。このために、いくつかの課題が生まれています。
まず、リムーバブル デバイスが紛失または盗難に遭った場合、かなりの量の企業データが漏えいするおそれがあります。また、おそらくより大きな問題としては、ユーザーはラップトップ コンピューターを紛失したことについては、IT 部門に直ちに報告しますが、GB 単位の企業データが含まれている可能性のある USB 記憶装置がなくなった場合は、同じように早急に対応する必要性を感じないということです。
Windows 7 で導入された BitLocker To Go という新機能を使用すると、BitLocker によるオペレーティング システムや固定ドライブの保護と同様に、USB 記憶装置を保護できます。グループ ポリシーを利用して、BitLocker To Go で保護されているリムーバブル デバイスにしかデータを書き込めないように、社内のコンピューターを制限できます。BitLocker To Go を使用すると、ユーザーがリムーバブル デバイスを紛失しても、少なくともそのデバイス上のデータは暗号化されていて、権限のない第三者が容易にアクセスできないため、セキュリティが強化されます。
BitLocker To Go 関連のポリシーは、グルー ポリシー オブジェクトの "コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ" ノードにあります。たとえば、次のようなポリシーがあります。
·リムーバブル ドライブでの BitLocker の使用を制御する: 通常のユーザーがリムーバブル デバイスの BitLocker 機能を有効または無効にできるかどうかなど、リムーバブル ドライブでの BitLocker の使用状態を構成できます。たとえば、特定のユーザーに、既に BitLocker 保護機能が構成されているリムーバブル ドライブにデータを保存することは許可しても、ユーザーが所有するデバイスで BitLocker を構成できないようにする場合に使用します。
·BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する: このポリシーでは、BitLocker To Go による暗号化で保護されているデバイスにしかデータを書き込めないようにユーザーを制限します。このポリシーが有効な場合、リムーバブル デバイスに書き込まれているデータは暗号化によって保護されるため、権限のないユーザーはこのデータに容易にアクセスできません。
·BitLocker で保護されているリムーバブル ドライブの回復方法を選択する: このポリシーでは、データ回復エージェントを構成したり、Active Directory 内に BitLocker To Go の回復情報を保存したりできます。BitLocker To Go を実装してリムーバブル デバイスのデータを保護する場合、ユーザーが BitLocker To Go のパスワードを忘れることがあるという事実は避けてとおれず、そのようなときにデータを回復できる対策を立てておく必要があるため、このポリシーは重要です。
リムーバブル デバイスで BitLocker To Go を構成している場合、ユーザーが、別のコンピューターのデバイスの保護を解除するには、パスワードを入力する必要があります。パスワードを入力すると、Windows 7 の Enterprise エディションまたは Ultimate エディションを実行しているコンピューターのデバイスに対する読み取りと書き込みアクセスがユーザーに付与されます。また、その他のバージョンの Microsoft オペレーティング システムが実行されているコンピューターでも、BitLocker To Go で保護されているデータへの読み取り専用アクセスをユーザーに許可するように、BitLocker To Go を構成することもできます。
BitLocker To Go を使用する場合は、パスワードを紛失または忘れた場合にデータを回復するためのなんらかの対策を立てておく必要があります。BitLocker To Go の回復は、BitLocker の回復を構成する場合と同じように構成できます。この場合、"コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ" の [BitLocker で保護されているリムーバブル ドライブの回復方法を選択する] ポリシーを設定します。
BitLocker To Go のパスワードは Active Directory にバックアップできます。バックアップされたパスワードは、Active Directory ユーザーとコンピューター コンソールとデバイスを保護する際に採用したコンピューター アカウントにアクセスできる管理者に公開されます。DRA によってデータが保護されるようにポリシーを構成し、個々のパスワードを回復しなくても、その DRA 証明書が割り当てられているユーザーが、ドライブからデータを回復できるようにすることもできます。
AppLocker を構成する
すべての悪意のあるプログラムをブロックできるマルウェア対策ユーティリティはありません。ですが、AppLocker を使用すると、保護を強化できます。AppLocker では、安全であることが確認されているアプリケーションの一覧を作成して、アプリケーションの実行をこの一覧にあるものに制限できます。このようなコンピューターの保護方法は、新しい特殊なソフトウェアを定期的に実行するユーザーにとっては面倒なものですが、ほとんどの企業には、アプリケーションが徐々にしか変更しない標準のシステム環境があるため、安全なアプリケーションの実行のみを許可する方が現実的です。
この AppLocker の承認規則には、実行可能ファイルだけでなく、スクリプト、DLL、および MSI 形式のファイルも含められます。実行可能ファイル、スクリプト、DLL、またはインストーラーは、規則で承認されていない限り、実行されません。
AppLocker には、承認するアプリケーションの規則の一覧の作成を自動化するウィザードが用意されているため、簡単に一覧を作成できます。これは、以前のバージョンの Windows で同様の基本機能を提供しているソフトウェアの制限のポリシーよりも、AppLocker が格段に進化している点の 1 つです。
AppLocker では、ファイルの発行元のデジタル署名を使用してファイルを特定する規則も使用できるため、特定のファイルの現在のバージョンだけでなく、今後作成されるバージョンも含まれる規則を作成できます。そのため、ソフトウェアの更新プログラムを適用した後に、現在の規則を更新する手間が省けます。変更された実行可能ファイル、スクリプト、インストーラー、または DLL にも、元の規則が適用されます。これは、ソフトウェアの制限のポリシーでは実現できなかったことで、管理者は、ソフトウェアの構成が変更されたら、規則の更新を余儀なくされていました。
他のコンピューターに適用できる AppLocker ポリシーの規則の参照セットを作成するには、次の手順を実行します。
1. Windows 7 を実行する参照コンピューターに、ご使用の環境で実行するすべてのアプリケーションを構成します。
2. ローカル管理者の特権があるユーザー アカウントを使用して、このコンピューターにログオンします。
3. [プログラムとファイルの検索] ボックスから Gpedit.msc を実行して、グループ ポリシー オブジェクト エディターを起動します。
4. ローカル GPO の "コンピューターの構成\Windows の設定\セキュリティの設定\アプリケーション制御ポリシー\AppLocker\実行可能ファイルの規則" に移動します。[実行可能ファイルの規則] ノードを右クリックし、[規則の自動生成] をクリックします。実行可能ファイルの規則を作成するウィザードが起動されます。
5. [分析するファイルが格納されているフォルダー] ボックスに、「c:\」と入力します。[この規則のセットを特定する名前] ボックスに、「すべての実行可能ファイル」と入力し、[次へ] をクリックします。
6. [規則の基本設定] ページで [デジタル署名されたファイルの発行元の規則を作成する] を選択します。ファイルが署名されていない場合は、[ファイル ハッシュ: ファイルのハッシュを使用して規則を作成する] も選択します。[類似するファイルをグループ化して作成される規則の数を減らす] チェック ボックスがオンになっていないことを確認して、[次へ] をクリックします。
7. 規則の生成には少し時間がかかります。規則が生成されたら、[作成] をクリックします。既定の規則を作成するかどうかの確認メッセージが表示されたら、[いいえ] をクリックします。既定の規則を作成する必要はありません。参照コンピューターのすべての実行可能ファイルを対象とする規則を作成することで、より包括的な既定の規則に匹敵する規則が作成されています。
8. コンピューターの複数のボリュームにアプリケーションが格納されている場合は、手順 5. ~ 7. を繰り返し、実行可能ファイルの規則の自動生成ウィザードを実行するときに、適切なドライブ文字を入力します。
9.規則が生成されたら、[AppLocker] ノードを右クリックし、[ポリシーのエクスポート] をクリックして、実行を許可するアプリケーションの一覧を XML 形式でエクスポートできます。また、この規則は、企業が所有するポータブル コンピューターに適用されるグループ ポリシー オブジェクトなど、他のグループ ポリシー オブジェクトにもインポートできます。ポリシーを介してこれらの規則を適用することで、参照コンピューターで構成されているアプリケーションしか実行できないように、アプリケーションの実行を制限できます。
10. AppLocker を構成するときには、確実に、サービス コンソールからアプリケーション ID サービスが有効にされていて、実行可能ファイルの規則がポリシーを介して適用されている必要があります。このサービスが無効になっていると、AppLocker ポリシーは適用されません。グループ ポリシーでもサービスのスタートアップの状態を構成できますが、ローカルの管理者アクセス権があるユーザーを制限して、AppLocker を回避できないようにする必要があります。実行可能ファイルの規則の実施を有効にするには、"コンピューターの構成\Windows の設定\セキュリティの設定\アプリケーション制御ポリシー\AppLocker" ノードを右クリックして、[ポリシー] をクリックします。[実行可能ファイルの規則] の [構成済み] チェック ボックスをオンにし、[規則の実施] が選択されていることを確認します。
この記事が、BitLocker を実装してデータを回復する方法、BitLocker To Go の使用方法、および AppLocker ポリシーの構成方法を知るうえでお役に立てたのなら、さいわいです。これらのテクノロジを通常の管理作業 (コンピューターに最新の更新プログラム、ウイルス対策プログラム、およびスパイウェア対策プログラムが適用されている状態を保つなど) と併せて使用することで、社内の Windows 7 を実行するコンピューターのセキュリティが強化されます。
Orin Thomas (orin.thomas@gmail.com) は、オーストラリアのメルボルンを拠点に活動しているシステム管理者で、Windows Consumer Security MVP です。Microsoft Press 発行の書籍を 10 冊以上執筆および共同執筆しています。