ウォール） /Windows Firewall /Windows Firewall

Host Defenses Host Defenses

Antivirus Antivirus

¾¾ アンチウィルスアンチウィルスソフトウェアにより、悪意のあるコード（ワーソフトウェアにより、悪意のあるコード（ワーム、ウィルス、トロイの木馬）から守る

ム、ウィルス、トロイの木馬）から守る

¾¾ パターンファイルの更新とメンテナンスが必要パターンファイルの更新とメンテナンスが必要

Distributed Firewall Distributed Firewall

¾¾ 各ホストにインストールされるホストベースのソフトウェア各ホストにインストールされるホストベースのソフトウェアファイアウォール

ファイアウォール

¾¾ トロイの木馬やスパイウェア、ワーム、ウィルスに対して効トロイの木馬やスパイウェア、ワーム、ウィルスに対して効果的に攻撃をブロックすることが可能

果的に攻撃をブロックすることが可能

¾¾

Windows XP/2003の Windows XP/2003

の

ICF（インターネット接続ファイア ICF

（インターネット接続ファイア

Host Defenses Host Defenses

セキュリティ構成ウィザードセキュリティ構成ウィザード

z z Windows Server 2003 SP1 Windows Server 2003 SP1 に付属に付属

¾¾ サーバーのセキュリティ強化用ツールサーバーのセキュリティ強化用ツール

アプリケーションアプリケーション

Active Directory

Active Directory への統合への統合

Active Directoryを使用した統合 Active Directory

を使用した統合

DNSの使用を DNS

の使用を強くお勧めします

強くお勧めします

¾¾ 安全なダイナミックなアップデートを実装安全なダイナミックなアップデートを実装

¾¾

Windows セキュリティ Windows

セキュリティ保護保護に統合に統合

アクセス権の設定アクセス権の設定

DACLDACLの設定の設定

アプリケーションアプリケーション

DNS DNS サーバーの構成サーバーの構成

公開公開 DNS サーバーDNS サーバー

インターネットインターネット

フォワーダフォワーダ

Active Directory DNS Active Directory DNS ドメイン名ドメイン名

zz xxx.<xxx.<インターネットインターネットDNS_DNS名名_>>

--またはまたは- -zz xxx.localxxx.local などなど

z z 別々の内部別々の内部とと外部の外部の DNS DNS 名前空間を名前空間を分離分離してして使用使用

WindowsWindows Server 2003 Server 2003 ドメインドメインコントローラコントローラ

既定の既定の ““ActiveActive DirectoryDirectory 統合”統合” ゾーンゾーン Windows

Windows DNSDNS サーバーサーバー

アプリケーションアプリケーション

DNS DNS キャッシュ破壊の防止策キャッシュ破壊の防止策

z z DNS DNS キャッシュ汚染キャッシュ汚染のの保護を保護を有効に有効にすす

¾¾

Pollution Pollution

に対してセキュリティでキャッシュをに対してセキュリティでキャッシュを保護する保護する

アプリケーションアプリケーション

再帰再帰の無効化の無効化

z z 必要であれば必要であれば再帰再帰クエリを受け取らないよクエリを受け取らないように設定することも可能

うに設定することも可能

アプリケーションアプリケーション

ルートヒントルートヒント

z z 内部ルートの指定内部ルートの指定

¾¾ 外部サーバーとの直接の通信を防止外部サーバーとの直接の通信を防止

アプリケーションアプリケーション

条件付きフォワーダ条件付きフォワーダ

z z 内部のフォワーダの指定内部のフォワーダの指定

¾¾ 特定のドメインに対するフォワーダの指定特定のドメインに対するフォワーダの指定

アプリケーションアプリケーション

ゾーンの保護ゾーンの保護

z z ゾーン転送のためのゾーン転送のための DNS DNS サーバをサーバを特定特定

¾¾ ゾーンのネームゾーンのネームサーバーサーバー

(NS) (NS)

リソースリソースレコーレコードで指定されているサーバーへのみゾーン情ドで指定されているサーバーへのみゾーン情報が転送報が転送

¾¾ 指定した指定した

IP IP

アドレスへの転送を許可するようアドレスへの転送を許可するようにこの設定を変更

にこの設定を変更

アプリケーションアプリケーション

ゾーンの保護ゾーンの保護

z z DNS DNS ゾーンゾーンデータの回復データの回復

¾ ¾ バックアップファイルからの復旧バックアップファイルからの復旧

<システム <

システムルートルートディレクトリディレクトリ

>¥ > ¥ DNS¥ DNS ¥ Backup Backup

フォルダにあるバックアップ

フォルダにあるバックアップフォルダからフォルダから

DNS DNS

ゾーンゾーンファイルを回復ファイルを回復するする

ゾーンゾーン作成時に作成時にバックアップバックアップフォルダにフォルダにコピーコピーされるされる

アプリケーションアプリケーション

z z 清掃サイクル（エイジング清掃サイクル（エイジング / / スカビンジング）スカビンジング）

¾¾ データベース内の使用されていないレコードのリデータベース内の使用されていないレコードのリリースを行い古いデータの蓄積を防止

リースを行い古いデータの蓄積を防止

アプリケーションアプリケーション

イベントログイベントログ

z z すべてのイベントログを取得すべてのイベントログを取得

¾¾ 起動起動

¾¾ シャットダウンシャットダウン

¾¾ 構成エラー構成エラー

¾¾ ゾーン転送ゾーン転送

¾¾

etc etc

アプリケーションアプリケーション

デバッグログデバッグログ

<システム <

システムルートルートディレクディレクトリトリ

>system32 >system32 ¥ ¥ Dns Dns ¥ ¥ Dns Dns .log .log

に書き込まれる

¾¾ トラブルシュートなどに利用トラブルシュートなどに利用

その他その他

z z 信頼できる人材信頼できる人材だけへのだけへの DNS DNS 管理者管理者特権特権をを付与付与

z z 更新不能な読み取り専用の更新不能な読み取り専用の DNS DNS を使用を使用

ドキュメント内 Microsoft Global Briefing Technical Briefing (ページ 51-65)

ウォール） /Windows Firewall /Windows Firewall

Host Defenses Host Defenses

Antivirus Antivirus

Distributed Firewall Distributed Firewall

Windows XP/2003の Windows XP/2003

ICF（インターネット接続ファイア ICF

Host Defenses Host Defenses

セキュリティ構成ウィザード セキュリティ構成ウィザード

z z Windows Server 2003 SP1 Windows Server 2003 SP1 に付属 に付属

アプリケーション アプリケーション

Active Directory

Active Directory への統合 への統合

Active Directoryを使用した統合 Active Directory

DNSの使用を DNS

Windows セキュリティ Windows

アプリケーション アプリケーション

DNS DNS サーバーの構成 サーバーの構成

z z 別々の内部 別々の内部 と と 外部の 外部の DNS DNS 名前空間を 名前空間を 分離 分離 して して 使用 使用

アプリケーション アプリケーション

DNS DNS キャッシュ破壊の防止策 キャッシュ破壊の防止策

z z DNS DNS キャッシュ汚染 キャッシュ汚染 の の 保護を 保護を 有効に 有効に す す

Pollution Pollution

アプリケーション アプリケーション

再帰 再帰 の無効化 の無効化

z z 必要であれば 必要であれば 再帰 再帰 クエリを受け取らないよ クエリを受け取らないよ うに設定することも可能

うに設定することも可能

アプリケーション アプリケーション

ルートヒント ルートヒント

z z 内部ルートの指定 内部ルートの指定

アプリケーション アプリケーション

条件付きフォワーダ 条件付きフォワーダ

z z 内部のフォワーダの指定 内部のフォワーダの指定

アプリケーション アプリケーション

ゾーンの保護 ゾーンの保護

z z ゾーン転送のための ゾーン転送のための DNS DNS サーバを サーバを 特定 特定

(NS) (NS)

IP IP

アプリケーション アプリケーション

ゾーンの保護 ゾーンの保護

z z DNS DNS ゾーン ゾーン データの回復 データの回復

¾ ¾ バックアップファイルからの復旧 バックアップファイルからの復旧

<システム <

>¥ > ¥ DNS¥ DNS ¥ Backup Backup

DNS DNS

アプリケーション アプリケーション

z z 清掃サイクル（エイジング 清掃サイクル（エイジング / / スカビンジング） スカビンジング）

アプリケーション アプリケーション

イベントログ イベントログ

z z すべてのイベントログを取得 すべてのイベントログを取得

etc etc

アプリケーション アプリケーション

デバッグログ デバッグログ

<システム <

>system32 >system32 ¥ ¥ Dns Dns ¥ ¥ Dns Dns .log .log

その他 その他

z z 信頼できる人材 信頼できる人材 だけへの だけへの DNS DNS 管理者 管理者 特権 特権 を を 付与 付与

z z 更新不能な読み取り専用の 更新不能な読み取り専用の DNS DNS を使用 を使用

セキュリティ構成ウィザードセキュリティ構成ウィザード

z z Windows Server 2003 SP1 Windows Server 2003 SP1 に付属に付属

アプリケーションアプリケーション

Active Directory への統合への統合

アプリケーションアプリケーション

DNS DNS サーバーの構成サーバーの構成

z z 別々の内部別々の内部とと外部の外部の DNS DNS 名前空間を名前空間を分離分離してして使用使用

アプリケーションアプリケーション

DNS DNS キャッシュ破壊の防止策キャッシュ破壊の防止策

z z DNS DNS キャッシュ汚染キャッシュ汚染のの保護を保護を有効に有効にすす

アプリケーションアプリケーション

再帰再帰の無効化の無効化

z z 必要であれば必要であれば再帰再帰クエリを受け取らないよクエリを受け取らないように設定することも可能

アプリケーションアプリケーション

ルートヒントルートヒント

z z 内部ルートの指定内部ルートの指定

アプリケーションアプリケーション

条件付きフォワーダ条件付きフォワーダ

z z 内部のフォワーダの指定内部のフォワーダの指定

アプリケーションアプリケーション

ゾーンの保護ゾーンの保護

z z ゾーン転送のためのゾーン転送のための DNS DNS サーバをサーバを特定特定

アプリケーションアプリケーション

ゾーンの保護ゾーンの保護

z z DNS DNS ゾーンゾーンデータの回復データの回復

¾ ¾ バックアップファイルからの復旧バックアップファイルからの復旧

アプリケーションアプリケーション

z z 清掃サイクル（エイジング清掃サイクル（エイジング / / スカビンジング）スカビンジング）

アプリケーションアプリケーション

イベントログイベントログ

z z すべてのイベントログを取得すべてのイベントログを取得

アプリケーションアプリケーション

デバッグログデバッグログ

その他その他

z z 信頼できる人材信頼できる人材だけへのだけへの DNS DNS 管理者管理者特権特権をを付与付与

z z 更新不能な読み取り専用の更新不能な読み取り専用の DNS DNS を使用を使用