Windows Server
Windows Server
の
の
セキュリティ概要
セキュリティ概要
マイクロソフト
マイクロソフト
株式会社
株式会社
セキュリティレスポンスチーム
セキュリティレスポンスチーム
小野寺
小野寺
匠
匠
認証
(Authorization)
認証
認証
(Authorization)
(Authorization)
権限
(Permission)
権限
権限
(Permission)
(Permission)
セキュリティ
セキュリティ
(
(
安全性
安全性
)
)
とは
とは
機密性
(
C
onfidentiality)
機密性
機密性
(
(
C
C
onfidentiality)
onfidentiality)
完全性
(
I
ntegrity)
完全性
完全性
(
(
I
I
ntegrity)
ntegrity)
可用性
(
A
vailability)
可用性
可用性
(
(
A
A
vailability)
vailability)
© 2005 Microsoft Corporation. All rights reserved.
OS の設定、更新プログラム管理
ネットワーク認証、侵入検知
多層防御
多層防御
(Defense
(Defense
-
-
in
in
-
-
depth)
depth)
データ
アプリケーション
ホスト
内部ネットワーク
ネットワーク境界部
物理セキュリティ
物理セキュリティ
セキュリティ
セキュリティ
ポリシー
ポリシー
ファイアウォール、VPN、 侵入検知
ネットワーク ポート、IPSec、
無線LANセキュリティ、検疫
ACL、暗号化
セキュアなコーディング、
ウイルス対策、ユーザー認証
警備員、施錠、入退室管理
文書化、ユーザー教育
安全な運用のためのポイント
安全な運用のためのポイント
安全なインストール
安全なインストール
¾
¾
安全なインストールソース
安全なインストールソース
¾
¾
インストール直後の更新の適用
インストール直後の更新の適用
安全な構成
安全な構成
¾
¾
サービス、機能の適切な設定
サービス、機能の適切な設定
¾
¾
ネットワークの安全性
ネットワークの安全性
適切な更新と検査
適切な更新と検査
¾
¾
セキュリティ更新の適用
セキュリティ更新の適用
¾
¾
監査と異常の検出
監査と異常の検出
© 2005 Microsoft Corporation. All rights reserved.
インストールと起動時のセキュリティ
インストールと起動時のセキュリティ
インストール時のセキュリティ
インストール時のセキュリティ
インストール中は無防備な状態
インストール中は無防備な状態
¾
¾
セキュリティ更新が適用されていない
セキュリティ更新が適用されていない
¾
¾
社内のネットワークが「安全」とは限らない
社内のネットワークが「安全」とは限らない
¾
¾
ワーム感染、ツールによる攻撃
ワーム感染、ツールによる攻撃
¾
¾
一切の攻撃の記録が残せない
一切の攻撃の記録が残せない
¾
¾
もし、攻撃されても確認できない
もし、攻撃されても確認できない
¾
¾
もし、侵害されれば・・・
もし、侵害されれば・・・
¾
¾
以降のセキュリティ対策はすべて無意味
以降のセキュリティ対策はすべて無意味
¾
¾
バックアップも侵害された状態となる
バックアップも侵害された状態となる
© 2005 Microsoft Corporation. All rights reserved.
安全なインストール方法と環境
安全なインストール方法と環境
インストール方法
インストール方法
ネットワーク
ネットワーク
¾
¾
クリーンな専用のネットワークが望ましい
クリーンな専用のネットワークが望ましい
¾
¾
CD
CD
インストールの場合は、切断する
インストールの場合は、切断する
セキュリティ更新
セキュリティ更新
/
/
サービスパックの適用
サービスパックの適用
¾
¾
CD/DVD
CD/DVD
に準備
に準備
¾
¾
専用ネットワーク上のファイル共有
専用ネットワーク上のファイル共有
¾
¾
Microsoft Update (
Microsoft Update (
条件付
条件付
)
)
インストール方法
インストール方法
信頼性
信頼性
注意点
注意点
正規の
正規の
CD
CD
高
高
中高
中高
ネットワーク共有
ネットワーク共有
中
中
経路の安全性の確保
経路の安全性の確保
Remote Install Server (RIS)
Remote Install Server (RIS)
中低
中低
専用のネットワークが必要
専用のネットワークが必要
スリップストリーム
ネットワーク上の更新の適用
ネットワーク上の更新の適用
Windows Server 2003 SP1
Windows Server 2003 SP1
¾
¾
セット
セット
アップ後のセキュリティ更新
アップ後のセキュリティ更新
¾
¾
Windows Firewall
Windows Firewall
により自動的に着信接続を拒否
により自動的に着信接続を拒否
¾
¾
ファイル共有の利用、
ファイル共有の利用、
Microsoft Update
Microsoft Update
の利用が可能
の利用が可能
Windows Server 2003
Windows Server 2003
¾
¾
Internet Connection Firewall
Internet Connection Firewall
を有効に設定
を有効に設定
Windows 2000 Server
Windows 2000 Server
¾
¾
Firewall
Firewall
機能は標準ではない
機能は標準ではない
¾
¾
TCP/IP
TCP/IP
フィルタを使用する
フィルタを使用する
(
(
お勧めできない
お勧めできない
)
)
¾
¾
TCP: 一部許可する
TCP:
一部許可する
(80/443)
(80/443)
¾
¾
再起動が必要
再起動が必要
© 2005 Microsoft Corporation. All rights reserved.
起動時のセキュリティ
起動時のセキュリティ
起動
起動
/
/
シャットダウン時の隙間
シャットダウン時の隙間
¾
¾
スタックの起動後にファイアウォールが起動
スタックの起動後にファイアウォールが起動
¾
¾
ファイアウォールの起動まで数秒∼十数秒の隙間
ファイアウォールの起動まで数秒∼十数秒の隙間
¾
¾
その間に攻撃される可能性
その間に攻撃される可能性
¾
¾
IPSec
IPSec
も同様
も同様
対応策
対応策
¾
¾
Windows Server 2003 SP1
Windows Server 2003 SP1
¾
¾
全接続の拒否がスタックのデフォルトルール
全接続の拒否がスタックのデフォルトルール
¾
¾
ファイアウォール起動によりルールを解除
ファイアウォール起動によりルールを解除
¾
¾
Windows Server 2003
Windows Server 2003
以前
以前
¾
¾
実質的な対応策はない
実質的な対応策はない
¾
起動時の他の注意点
起動時の他の注意点
Network Boot Protocol
Network Boot Protocol
¾
¾
RIS
RIS
等を使用した場合は、
等を使用した場合は、
Disable
Disable
に設定
に設定
¾
¾
PXE (
PXE (
BootP
BootP
/DHCP)
/DHCP)
による起動を禁止する
による起動を禁止する
¾
¾
再起動時に別の
再起動時に別の
PXE
PXE
を読み込む危険性
を読み込む危険性
CD/DVD
CD/DVD
-
-
ROM
ROM
¾
¾
CD
CD
-
-
ROM
ROM
による別システムの起動
による別システムの起動
¾
¾
ファイルシステムのアクセス権をすべて無視できる
ファイルシステムのアクセス権をすべて無視できる
¾
¾
CD
CD
-
-
ROM
ROM
からの起動を禁止する
からの起動を禁止する
¾
¾
物理的な侵入が前提
物理的な侵入が前提
BIOS
BIOS
パスワード
パスワード
¾
¾
上記設定の保護のためのパスワード
上記設定の保護のためのパスワード
© 2005 Microsoft Corporation. All rights reserved.
攻撃面を最小化するための構成
攻撃面を最小化するための構成
安全な構成
安全な構成
セキュリティの構成ウィザード
セキュリティの構成ウィザード
¾
¾
Windows Server 2003 SP1
Windows Server 2003 SP1
の新機能
の新機能
¾
¾
安全な構成の分析と選択
安全な構成の分析と選択
¾
¾
必要な役割
必要な役割
(roll) 別のサービス選定
(roll)
別のサービス選定
¾
¾
ネットワークポートの詳細な確認とブロック
ネットワークポートの詳細な確認とブロック
¾
¾
認証、署名通信に関するレジストリの調整
認証、署名通信に関するレジストリの調整
¾
¾
監査ポリシーの設定
監査ポリシーの設定
¾
¾
IIS の設定
IIS
の設定
¾
¾
設定は、
設定は、
XML
XML
で保存可能
で保存可能
¾
¾
他の同種サーバーに展開可能
他の同種サーバーに展開可能
¾
¾
GPO による展開、定期的なポリシー検査が可能
GPO
による展開、定期的なポリシー検査が可能
© 2005 Microsoft Corporation. All rights reserved.
サービス最小化の意味
サービス最小化の意味
攻撃可能なポイントを減らす
攻撃可能なポイントを減らす
¾
¾
Firewall
Firewall
等でも同様に可能
等でも同様に可能
サービスを減らす意味
サービスを減らす意味
¾
¾
踏台にされた内部からの攻撃の防御
踏台にされた内部からの攻撃の防御
¾
¾
侵入した不正なソフトの追加の攻撃の防御
侵入した不正なソフトの追加の攻撃の防御
¾
¾
更新プログラムの適用数の削減
更新プログラムの適用数の削減
¾
¾
再起動の抑止
再起動の抑止
¾
¾
必要な互換性検証作業の抑制
必要な互換性検証作業の抑制
停止と無効の違い
停止と無効の違い
¾
¾
停止
停止
(
(
手動
手動
):
):
他のサービスの要求により起動可能
他のサービスの要求により起動可能
¾
¾
無効
無効
:
:
一切の起動要求を拒否
一切の起動要求を拒否
最小サービス
最小サービス
必要最小限
必要最小限
=
=
要塞ホスト
要塞ホスト
¾
¾
Cryptographic Services
Cryptographic Services
¾
¾
DNS Client
DNS Client
¾
¾
Event Log
Event Log
¾
¾
IPSEC Policy Agent (
IPSEC Policy Agent (
IPSec
IPSec
Service)
Service)
¾
¾
Netlogon
Netlogon
¾
¾
Plug and Play
Plug and Play
¾
¾
Protected Storage
Protected Storage
¾
¾
Remote Procedure Call (RPC)
Remote Procedure Call (RPC)
¾
¾
Security Accounts Manager
Security Accounts Manager
¾
¾
System Event Notification
System Event Notification
¾
¾
Windows Management Instrumentation
Windows Management Instrumentation
¾
¾
Windows Time
Windows Time
¾
¾
Workstation
Workstation
一般的なサーバーには不都合が多すぎる
一般的なサーバーには不都合が多すぎる
¾
¾
DMZ
DMZ
または境界面に配置するサーバー向けの構成
または境界面に配置するサーバー向けの構成
© 2005 Microsoft Corporation. All rights reserved.
現実的な最小サービス
現実的な最小サービス
Automatic Updates
Automatic Updates
Computer Browser
Computer Browser
Cryptographic Services
Cryptographic Services
DHCP Client
DHCP Client
DNS Client
DNS Client
Event Log
Event Log
IPSEC Policy Agent (
IPSEC Policy Agent (
IPSec
IPSec
Service)
Service)
Netlogon
Netlogon
NTLM Security Support Provider
NTLM Security Support Provider
Plug and Play
Plug and Play
Protected Storage
Protected Storage
Remote Procedure Call (RPC)
Remote Procedure Call (RPC)
Remote Registry Service
Remote Registry Service
Security Accounts Manager
Security Accounts Manager
Server
Server
System Event Notification
System Event Notification
TCP/IP
TCP/IP
NetBIOS
NetBIOS
Helper Service
Helper Service
Terminal Services
Terminal Services
Windows Installer
Windows Installer
Windows Management
Windows Management
Instrumentation
Instrumentation
Windows Time
Windows Time
Workstation
Workstation
サービスの状態の変更
サービスの状態の変更
互換性に注意
互換性に注意
¾
¾
サービスの停止による機能不全の可能性
サービスの停止による機能不全の可能性
¾
¾
月末、期末のみ動作する機能に注意
月末、期末のみ動作する機能に注意
変更時の注意
変更時の注意
¾
¾
変更前のサービスの一覧を保存
変更前のサービスの一覧を保存
¾
¾
GPO の保存
GPO
の保存
¾
¾
wmic
wmic
service list
service list
¾
¾
変更点の記録
変更点の記録
¾
¾
トラブル時は、速やかに元の設定に戻す
トラブル時は、速やかに元の設定に戻す
¾
¾
GPO の適用を解除
GPO
の適用を解除
© 2005 Microsoft Corporation. All rights reserved.
ホストファイアウォール
ホストファイアウォール
ネットワークファイアウォール
ネットワークファイアウォール
¾
¾
インターネットからの不正アクセスを防ぐ
インターネットからの不正アクセスを防ぐ
¾
¾
社内からのウイルス蔓延には無力
社内からのウイルス蔓延には無力
ホストファイアウォール
ホストファイアウォール
¾
¾
各サーバー毎のファイアウォール
各サーバー毎のファイアウォール
¾
¾
社内からの不正アクセスにも対処
社内からの不正アクセスにも対処
サーバー
サーバー
(
(
クライアント
クライアント
)
)
外部ネットワーク
外部ネットワーク
(
(
インターネット
インターネット
)
)
ネットワーク
ネットワーク
F/W
F/W
境界
境界
LAN
LAN
⇔
⇔
インターネット
インターネット
ホスト
ホスト
F/W
F/W
境界
境界
サーバー
サーバー
⇔
⇔
LAN
LAN
IPSec
IPSec
によるパケット
によるパケット
フィルタ
フィルタ
IPSec
IPSec
とファイアウォールの違い
とファイアウォールの違い
¾
¾
IPSec
IPSec
¾
¾
認証、暗号化が可能
認証、暗号化が可能
¾
¾
通信元先の細かな指定が可能
通信元先の細かな指定が可能
¾
¾
ファイアウォール
ファイアウォール
¾
¾
設定が容易
設定が容易
¾
¾
IPSec
IPSec
に比べて高負荷時のスループットが良い
に比べて高負荷時のスループットが良い
適応範囲
適応範囲
¾
¾
高いレベルのセキュリティが要求される場合
高いレベルのセキュリティが要求される場合
¾
¾
開発環境
開発環境
¾
¾
一般に危険なポートを特定の
一般に危険なポートを特定の
PC に対してのみ開放
PC
に対してのみ開放
© 2005 Microsoft Corporation. All rights reserved.
IPSec
IPSec
によるフィルタ例
によるフィルタ例
サービス
プロトコル
送信元ポート 宛先ポート
送信元アドレス
宛先アドレス
操作
ミラー
メンバサーバー共通
CIFS/SMB
TCP/UDP
任意
445
任意
このコンピュータ
許可
可
RPC
TCP/UDP
任意
135
任意
このコンピュータ
許可
可
NetBIOS
TCP/UDP
任意
137
任意
このコンピュータ
許可
可
UDP
任意
138
任意
このコンピュータ
許可
可
TCP
任意
139
任意
このコンピュータ
許可
可
Terminal Service
TCP
任意
3389
任意
このコンピュータ
許可
可
ICMP
ICMP
任意
任意
このコンピュータ
任意
許可
可
任意
任意
任意
任意
このコンピュータ
ブロック
可
(既定の動作)
Active Directory (ドメインコントローラ)
DNS
TCP/UDP
任意
53
任意
このコンピュータ
許可
可
Global Catalog
TCP
任意
3268
任意
このコンピュータ
許可
可
TCP
任意
3269
任意
このコンピュータ
許可
可
Kerberos
TCP/UDP
任意
88
任意
このコンピュータ
許可
可
LDAP
TCP/UDP
任意
389
任意
このコンピュータ
許可
可
TCP/UDP
任意
636
任意
このコンピュータ
許可
可
NTP
TCP/UDP
任意
123
任意
このコンピュータ
許可
可
Static AD Replication
TCP
任意
57952
任意
このコンピュータ
許可
可
DC Comms
任意
任意
任意
このコンピュータ
他の DC
許可
可
攻撃に耐えるための構成
攻撃に耐えるための構成
© 2005 Microsoft Corporation. All rights reserved.
管理者アカウントの保護
管理者アカウントの保護
管理者アカウントの変更
管理者アカウントの変更
¾
¾
Administrator
Administrator
から任意の名前に変更
から任意の名前に変更
¾
¾
一般ユーザーと区別がつかないのが理想
一般ユーザーと区別がつかないのが理想
¾
¾
Administrator
Administrator
のアカウントを別途作成
のアカウントを別途作成
¾
¾
無効でグループに属さないアカウントとして作成
無効でグループに属さないアカウントとして作成
¾
¾
ログオンの失敗を監視することで攻撃の兆候がわかる
ログオンの失敗を監視することで攻撃の兆候がわかる
最終ログオンアカウントの表示の禁止
最終ログオンアカウントの表示の禁止
¾
¾
表示されていては、名前を変更した意味が薄れる
表示されていては、名前を変更した意味が薄れる
¾
¾
[
[
対話型ログオン:最後のユーザー名を表示しない
対話型ログオン:最後のユーザー名を表示しない
]
]
¾
¾
推奨値
推奨値
:
:
有効
有効
アカウントの保護
アカウントの保護
(
(
パスワード
パスワード
)
)
十分な強度のパスワード
十分な強度のパスワード
¾
¾
長ければ長いほど良い
長ければ長いほど良い
¾
¾
ただし、記憶できる範囲で・・・
ただし、記憶できる範囲で・・・
¾
¾
多くの文字種を組み合わせが必要
多くの文字種を組み合わせが必要
¾
¾
アルファベット
アルファベット
(
(
大文字、小文字
大文字、小文字
)
)
、数字、記号
、数字、記号
推奨設定
推奨設定
¾
¾
グループポリシー
グループポリシー
¾
¾
[
[
コンピュータの構成
コンピュータの構成
]
]
-
-
[Windows
[Windows
の設定
の設定
]
]
-
-
[
[
パスワードポリシー
パスワードポリシー
]
]
¾
¾
パスワードの履歴を記録する
パスワードの履歴を記録する
: 24
: 24
¾
¾
パスワードの有効期間
パスワードの有効期間
: 42
: 42
日
日
¾
¾
パスワードの変更禁止期間
パスワードの変更禁止期間
: 2
: 2
日
日
¾
¾
パスワードの長さ
パスワードの長さ
: 12
: 12
文字
文字
¾
¾
パスワードは、複雑さの要件を満たす必要がある
パスワードは、複雑さの要件を満たす必要がある
:
:
有効
有効
¾
¾
暗号化を元に戻せる状態でパスワードを保存する
暗号化を元に戻せる状態でパスワードを保存する
:
:
無効
無効
© 2005 Microsoft Corporation. All rights reserved.
アカウントの保護
アカウントの保護
(
(
ロックアウト
ロックアウト
)
)
アカウントロックアウトの調整
アカウントロックアウトの調整
¾
¾
しきい値が小さすぎる
しきい値が小さすぎる
¾
¾
ヘルプデスク担当者への負担
ヘルプデスク担当者への負担
¾
¾
故意のロックによる
故意のロックによる
DoS
DoS
攻撃
攻撃
¾
¾
しきい値が大きすぎる
しきい値が大きすぎる
¾
¾
パスワード推測攻撃を行いやすくする
パスワード推測攻撃を行いやすくする
推奨設定
推奨設定
¾
¾
グループポリシー
グループポリシー
¾
¾
[
[
コンピュータの構成
コンピュータの構成
]
]
-
-
[Windows
[Windows
の設定
の設定
]
]
-
-
[
[
アカウントポリシー
アカウントポリシー
]
]
¾
¾
アカウントのロックアウトのしきい値
アカウントのロックアウトのしきい値
: 10
: 10
回
回
¾
¾
ロックアウト期間
ロックアウト期間
: 30
: 30
分
分
¾
¾
ロックアウト
ロックアウト
カウンタのリセット
カウンタのリセット
: 15
: 15
分
分
認証方式と強度
認証方式と強度
Kerberos
Kerberos
¾
¾
現状選択可能な最大強度
現状選択可能な最大強度
¾
¾
Windows 2000
Windows 2000
以降が対応
以降が対応
NYLMv2
NYLMv2
¾
¾
Challenge
Challenge
–
–
Response
Response
方式
方式
¾
¾
NTLM
NTLM
に
に
nonce
nonce
を追加し対タンパ性を強化
を追加し対タンパ性を強化
NTLM (NT Hash)
NTLM (NT Hash)
¾
¾
LM Hash
LM Hash
の
の
約
約
4
4
×
×
10
10
54
54
倍の有効な
倍の有効な
Hash
Hash
空間
空間
¾
¾
Challenge
Challenge
–
–
Response
Response
方式
方式
LM (
LM (
LanMan
LanMan
) Hash
) Hash
¾
¾
大文字、小文字を区別しない
大文字、小文字を区別しない
¾
¾
使用するには、危険な強度
使用するには、危険な強度
¾
¾
互換性のためだけに存在
互換性のためだけに存在
© 2005 Microsoft Corporation. All rights reserved.
LMCompatibilityLevel
LMCompatibilityLevel
ネットワークセキュリティ
ネットワークセキュリティ
: LAN Manager
: LAN Manager
認証レベル
認証レベル
¾
¾
HKLM
HKLM
¥
¥
System
System
¥
¥
CurrentControlSet
CurrentControlSet
¥
¥
control
control
¥
¥
LSA
LSA
¥
¥
LMCompatibilityLevel
LMCompatibilityLevel
¾
¾
互換性情報
互換性情報
:
:
サポート技術情報
サポート技術情報
823659, 239869
823659, 239869
ネットワーク
ネットワーク
セキュリティ
セキュリティ
:
:
次のパスワードの変更で
次のパスワードの変更で
LAN Manager
LAN Manager
のハッシュの値を保存しない
のハッシュの値を保存しない
¾
¾
推奨値
推奨値
:
:
無効
無効
¾
¾
パスワードデータベース上の
パスワードデータベース上の
LM
LM
ハッシュを削除する
ハッシュを削除する
レベル
レベル
送信
送信
受信
受信
備考
備考
0
0
LM, NTLM,
LM, NTLM,
LM, NTLM, NTLMv2
LM, NTLM, NTLMv2
LM, NTLM, NTLMv2
LM, NTLM, NTLMv2
LM, NTLM, NTLMv2
LM, NTLM, NTLMv2
3
3
NTLMv2, Session security
NTLMv2, Session security
LM, NTLM, NTLMv2
LM, NTLM, NTLMv2
4
4
NTLMv2, Session security
NTLMv2, Session security
NTLM, NTLMv2
NTLM, NTLMv2
「ルーティングとリモートアクセス」
「ルーティングとリモートアクセス」
を使う場合の推奨値
を使う場合の推奨値
5 (
5 (
推奨
推奨
)
)
NTLMv2, Session security
NTLMv2, Session security
NTLMv2
NTLMv2
GPO: [NTLMv2
GPO: [NTLMv2
応答のみ送信
応答のみ送信
¥
¥
LM
LM
と
と
NTLM
NTLM
を拒否する
を拒否する
]
]
1
1
LM, NTLM, Session security
LM, NTLM, Session security
2
NTFS
NTFS
アクセス権
アクセス権
(
(
継承
継承
)
)
継承されるアクセス権
継承されるアクセス権
¾
¾
アクセス権を深い階層に設定しない
アクセス権を深い階層に設定しない
¾
¾
深い階層ほどアクセス権を拡大する
深い階層ほどアクセス権を拡大する
¾
¾
ファイルに対して特定のアクセス権を設定しない
ファイルに対して特定のアクセス権を設定しない
© 2005 Microsoft Corporation. All rights reserved.
NTFS
NTFS
アクセス権
アクセス権
(
(
許可と拒否
許可と拒否
)
)
許可と拒否
許可と拒否
¾
¾
アクセス許可
アクセス許可
:
:
アクセスを許す
アクセスを許す
¾
¾
アクセス拒否
アクセス拒否
:
:
アクセスを拒む
アクセスを拒む
¾
¾
両方を設定した場合は、
両方を設定した場合は、
拒否が優先される
拒否が優先される
¾
¾
不要なアカウントについて
不要なアカウントについて
積極的に 拒否 を設定する
積極的に 拒否 を設定する
NTFS
NTFS
アクセス権
アクセス権
(
(
権限
権限
)
)
最小限の権限
最小限の権限
¾
¾
可能な限り小さなグループに対して設定する
可能な限り小さなグループに対して設定する
¾
¾
ただし、細かくしすぎない
ただし、細かくしすぎない
¾
¾
必要な権限のみ与える
必要な権限のみ与える
¾
¾
ただし、特殊なアクセス権を
ただし、特殊なアクセス権を
可能な限り
可能な限り
用いない
用いない
¾
¾
Everyone に権限を与えない
Everyone
に権限を与えない
¾
¾
Authenticated Users
Authenticated Users
を利用する
を利用する
一覧
一覧
読み取り
読み取り
書き込み
書き込み
削除
削除
−
−
−
−
−
−
書き込み
書き込み
−
−
−
−
○
○
−
−
−
−
−
−
−
−
○
○
−
−
−
−
○
○
実行
実行
権限の変更
権限の変更
フォルダ内容の一覧表示
フォルダ内容の一覧表示
○
○
−
−
−
−
−
−
読み取り
読み取り
○
○
○
○
−
−
−
−
読み取りと実行
読み取りと実行
○
○
○
○
○
○
−
−
変更
変更
○
○
○
○
○
○
−
−
© 2005 Microsoft Corporation. All rights reserved.
共有のアクセス権
共有のアクセス権
ネットワーク経由のアクセス制限
ネットワーク経由のアクセス制限
¾
¾
NTFS と権限の範囲が違う
NTFS
と権限の範囲が違う
¾
¾
NTFS で許可していない操作は行えない
NTFS
で許可していない操作は行えない
¾
¾
NTFS
NTFS
アクセス権が優先される
アクセス権が優先される
¾
¾
フルコントロールは、設定しない
フルコントロールは、設定しない
¾
¾
ネットワーク経由の権限の変更は推奨されない
ネットワーク経由の権限の変更は推奨されない
¾
¾
用途別に共有することを検討する
用途別に共有することを検討する
¾
¾
読み取り専用
読み取り専用
: share_RO,
: share_RO,
変更可能
変更可能
:
:
share_RW
share_RW
一覧
一覧
読み取り
読み取り
書き込み
書き込み
削除
削除
−
−
−
−
○
○
○
○
○
○
○
○
実行
実行
権限の変更
権限の変更
読み取り
読み取り
○
○
○
○
○
○
−
−
変更
変更
○
○
○
○
○
○
−
−
フルコントロール
フルコントロール
○
○
○
○
○
○
○
○
TCP/IP: DoS
TCP/IP: DoS
攻撃耐性
攻撃耐性
キー
キー
推奨値
推奨値
目的
目的
備考
備考
HKLM
HKLM
¥
¥
SYSTEM
SYSTEM
¥
¥
CurrentControlSet
CurrentControlSet
¥
¥
Services
Services
¥
¥
Tcpip
Tcpip
¥
¥
Parameters
Parameters
SynAttackProtect
SynAttackProtect
1
1
SYN Attack
SYN Attack
EnablePMTUDiscovery
EnablePMTUDiscovery
0
0
SYN Attack
SYN Attack
KeepAliveTime
KeepAliveTime
300,000
300,000
SYN Attack
SYN Attack
(
(
5
5
分
分
)
)
EnableICMPRedirect
EnableICMPRedirect
0
0
ICMP Attack
ICMP Attack
TcpMaxHalfOpen
TcpMaxHalfOpen
500
500
SYN Attack
SYN Attack
Windows 2000
Windows 2000
のみ
のみ
TcpMaxHalfOpenRetried
TcpMaxHalfOpenRetried
400
400
SYN Attack
SYN Attack
Windows 2000
Windows 2000
のみ
のみ
NoNameReleaseOnDemand
NoNameReleaseOnDemand
1
1
-
-DynamicBacklogGrowthDelta
DynamicBacklogGrowthDelta
10
10
EnableDynamicBacklog
EnableDynamicBacklog
1
1
MinimumDynamicBacklog
MinimumDynamicBacklog
20
20
HKEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINE
¥
¥
System
System
¥
¥
CurrentControlSet
CurrentControlSet
¥
¥
Services
Services
¥
¥
AFD
AFD
¥
¥
Parameters
Parameters
¥
¥
EnableDeadGWDetect
EnableDeadGWDetect
0
0
SNMP Attack
SNMP Attack
DisableIPSourceRouting
DisableIPSourceRouting
2
2
-
-PerformRouterDiscovery
PerformRouterDiscovery
0
0
-
-TcpMaxConnectResponseRetransmissions
TcpMaxConnectResponseRetransmissions
2
2
SYN Attack
SYN Attack
TcpMaxDataRetransmissions
TcpMaxDataRetransmissions
2
2
SYN Attack
SYN Attack
TCPMaxPortsExhausted
© 2005 Microsoft Corporation. All rights reserved.
SafeDllSearchMode
DLL
DLL
の検索順序
の検索順序
(Safe DLL Search Mode)
(Safe DLL Search Mode)
¾
¾
Enable:
Enable:
¾
¾
システムパス
システムパス
→
→
プロセスの作業ディレクトリ
プロセスの作業ディレクトリ
¾
¾
Disable:
Disable:
¾
¾
プロセスの作業ディレクトリ→システムパス
プロセスの作業ディレクトリ→システムパス
キー
キー
推奨値
推奨値
HKLM
HKLM¥
¥SYSTEM
SYSTEM¥
¥CurrentControlSet
CurrentControlSet¥
¥Control
Control¥
¥Session Manager
Session Manager
SafeDllSearchMode
AntiVirus
AntiVirus
使用時の注意
使用時の注意
Exchange Server
Exchange Server
¾
¾
[XADM] Exchange
[XADM] Exchange
とウイルス対策ソフトウェア
とウイルス対策ソフトウェア
¾
¾
http://support.microsoft.com/kb/328841
http://support.microsoft.com/kb/328841
¾
¾
Exchange Server 2003
Exchange Server 2003
とウイルス対策ソフトウェアの概要
とウイルス対策ソフトウェアの概要
¾
¾
http://support.microsoft.com/kb/823166
http://support.microsoft.com/kb/823166
IIS
IIS
¾
¾
PRB: Antivirus software causes
PRB: Antivirus software causes
FileSystemObject
FileSystemObject
calls to hang IIS
calls to hang IIS
¾
¾
http://support.microsoft.com/kb/295375
http://support.microsoft.com/kb/295375
¾
¾
IIS 6.0: Antivirus Scanning of IIS Compression Directory May Res
IIS 6.0: Antivirus Scanning of IIS Compression Directory May Res
ult in 0
ult in 0
-
-Byte File
Byte File
¾
¾
http://support.microsoft.com/kb/817442
http://support.microsoft.com/kb/817442
¾
¾
PRB: Exceptions Occur When You Run ASP.NET Applications and
PRB: Exceptions Occur When You Run ASP.NET Applications and
Inoculan
Inoculan
Antivirus Software
Antivirus Software
¾
¾
http://support.microsoft.com/kb/309337
http://support.microsoft.com/kb/309337
Index Server
Index Server
¾
¾
Backup and Recovery Guidelines for Index Server Catalog
Backup and Recovery Guidelines for Index Server Catalog
¾
¾
http://support.microsoft.com/kb/247093
http://support.microsoft.com/kb/247093
File Replication
File Replication
¾
¾
FRS Encounters "ERROR_SHARING_VIOLATION" Errors When It Tries to
FRS Encounters "ERROR_SHARING_VIOLATION" Errors When It Tries to
Replicate Data That Is Still in Use
Replicate Data That Is Still in Use
¾
© 2005 Microsoft Corporation. All rights reserved.
安全性を維持するための運用
安全性を維持するための運用
セキュリティ更新
セキュリティ更新
更新の提供サイクル
更新の提供サイクル
¾
¾
通常
通常
:
:
毎月第2火曜日の翌日
毎月第2火曜日の翌日
¾
¾
第2水曜日ではない
第2水曜日ではない
¾
¾
緊急
緊急
:
:
随時
随時
¾
¾
更新の提供前にワーム化し被害が拡大している場合など
更新の提供前にワーム化し被害が拡大している場合など
¾
¾
更新の互換性テストとのバランス
更新の互換性テストとのバランス
即時適用の必要性
即時適用の必要性
¾
¾
脆弱性情報の公開後・・・
脆弱性情報の公開後・・・
¾
¾
Exploit
Exploit
の公開
の公開
:
:
即日
即日
¾
¾
ワーム化
ワーム化
: 1週未満∼数週間
: 1
週未満∼数週間
© 2005 Microsoft Corporation. All rights reserved.
セキュリティ情報の見つけ方
セキュリティ情報の見つけ方
TechNet Security Center (
TechNet Security Center (
無償
無償
)
)
¾
¾
セキュリティ情報検索
セキュリティ情報検索
¾
¾
製品とサービスパックによる絞込み
製品とサービスパックによる絞込み
¾
¾
包括された更新の除外が可能
包括された更新の除外が可能
¾
¾
http://www.microsoft.com/japan/technet/security/current.aspx
http://www.microsoft.com/japan/technet/security/current.aspx
¾
¾
メール配信
メール配信
¾
¾
情報の更新も受け取れるサービス
情報の更新も受け取れるサービス
¾
¾
事前告知、アドバイザリ情報も配信
事前告知、アドバイザリ情報も配信
¾
¾
http://www.microsoft.com/japan/technet/security/bulletin/notify.
http://www.microsoft.com/japan/technet/security/bulletin/notify.
mspx
mspx
¾
¾
RSS
RSS
配信
配信
¾
¾
公開したセキュリティ情報の一覧
公開したセキュリティ情報の一覧
MSN Alert (
MSN Alert (
無償
無償
)
)
¾
¾
コンピュータ・アラート
コンピュータ・アラート
¾
¾
Windows/MSN Messenger
Windows/MSN Messenger
で公開をお知らせ
で公開をお知らせ
¾
適用の時期・期限
適用の時期・期限
ルールを持つことが大切
ルールを持つことが大切
¾
¾
一定の検証が可能な期間を設定
一定の検証が可能な期間を設定
¾
¾
危険度の上昇により、緊急適用可能な体制
危険度の上昇により、緊急適用可能な体制
¾
¾
互換性よりも、侵害のリスクを回避する
互換性よりも、侵害のリスクを回避する
¾
¾
危険性情報は、ニュース、アドバイザリを参照
危険性情報は、ニュース、アドバイザリを参照
¾
¾
未検証適用もひとつの方法
未検証適用もひとつの方法
¾
¾
トラブル時はロールバックし、調査
トラブル時はロールバックし、調査
適用期限
適用期限
深刻度評価
深刻度評価
推奨
推奨
最大
最大
備考
備考
2
2
週間
週間
2
2
ヶ月
ヶ月
6
6
ヶ月
ヶ月
適用
適用
24
24
時間
時間
1
1
ヶ月
ヶ月
4
4
ヶ月
ヶ月
年
年
緊急
緊急
重要
重要
警告
警告
期間内の定期メンテナンス時
期間内の定期メンテナンス時
注意
サービスパック、ロールアップによる適用
© 2005 Microsoft Corporation. All rights reserved.
サービス・再起動の削減
サービス・再起動の削減
更新の一括適用
更新の一括適用
¾
¾
xxxxxx.exe
xxxxxx.exe
/passive /promptrestart
/passive /
promptrestart
¾
¾
バージョンの新旧は自動的に調整
バージョンの新旧は自動的に調整
¾
¾
qchain
qchain
の実行は不要
の実行は不要
適用後再起動の要不要
適用後再起動の要不要
¾
¾
レジストリ
レジストリ
UpdateExeVolatile
UpdateExeVolatile
¾
¾
1
1
以上は、再起動の保留中
以上は、再起動の保留中
¾
¾
0,
0,
存在しない場合は、再起動不要
存在しない場合は、再起動不要
¾
¾
Reg
Reg
Query "HKLM
Query "HKLM
¥
¥
SOFTWARE
SOFTWARE
¥
¥
Microsoft
Microsoft
¥
¥
Updates
Updates
¥
¥
UpdateEx
UpdateEx
eVolatile
eVolatile
" /v Flags
" /v Flags
運用による削減
運用による削減
¾
更新の展開方法
更新の展開方法
Windows Software Update Service (WSUS)
Windows Software Update Service (WSUS)
¾
¾
サーバーのグループ化
サーバーのグループ化
¾
¾
グループ毎の展開する更新の制御
グループ毎の展開する更新の制御
(
(
選択
選択
)
)
¾
¾
展開状況のレポート
展開状況のレポート
手動
手動
(
(
スクリプトの利用
スクリプトの利用
)
)
¾
¾
ダウンロードセンターから入手した個別の更新
ダウンロードセンターから入手した個別の更新
¾
¾
適用手順をスクリプト化
適用手順をスクリプト化
¾
¾
TechNet
TechNet
スクリプトセンターにサンプル多数
スクリプトセンターにサンプル多数
自動更新
自動更新
(Auto Update)
(Auto Update)
¾
¾
ダウンロードまでは自動を推奨
ダウンロードまでは自動を推奨
¾
¾
「更新を自動的にダウンロードするが、インストールは手動で実行する」
「更新を自動的にダウンロードするが、インストールは手動で実行する」
¾
¾
ダウンロード済み更新の適用を選択可能
ダウンロード済み更新の適用を選択可能
Microsoft Update
Microsoft Update
¾
¾
サーバー毎の手動操作
サーバー毎の手動操作
¾
¾
「カスタム」モードによる適用する更新は選択可能
「カスタム」モードによる適用する更新は選択可能
© 2005 Microsoft Corporation. All rights reserved.
監査と事故対応
監査と事故対応
監査の目的
監査の目的
監査の目的
監査の目的
¾
¾
操作の記録を残す
操作の記録を残す
¾
¾
事故が起きてから取得はできない
事故が起きてから取得はできない
¾
¾
監査記録を分析する
監査記録を分析する
¾
¾
見ないログに意味は無い
見ないログに意味は無い
監査設定の影響
監査設定の影響
¾
¾
設定により膨大なイベントログが出力される
設定により膨大なイベントログが出力される
¾
¾
ログを適切に保管する運用負荷が増大する
ログを適切に保管する運用負荷が増大する
¾
¾
過剰な監査はパフォーマンスに影響する
過剰な監査はパフォーマンスに影響する
成功と失敗の違い
成功と失敗の違い
¾
¾
成功
成功
: 被害の事実
:
被害の事実
¾
¾
失敗
失敗
: 攻撃の兆候
:
攻撃の兆候
© 2005 Microsoft Corporation. All rights reserved.
主な監査項目
主な監査項目
アカウント監査
アカウント監査
¾
¾
アカウント
アカウント
ログオン
ログオン
イベントの監査
イベントの監査
¾
¾
アカウント管理の監査
アカウント管理の監査
システム監査
システム監査
¾
¾
システム
システム
イベントの監査
イベントの監査
¾
¾
ログオン
ログオン
イベントの監査
イベントの監査
¾
¾
プロセス追跡の監査
プロセス追跡の監査
¾
¾
ポリシーの変更の監査
ポリシーの変更の監査
¾
¾
特権使用の監査
特権使用の監査
オブジェクト監査
オブジェクト監査
¾
¾
オブジェクト
オブジェクト
アクセスの監査
アクセスの監査
¾
¾
ディレクトリ
ディレクトリ
サービスの監査
サービスの監査
サーバーの監査設定
サーバーの監査設定
推奨する監査
推奨する監査
イベントログのサイズ
イベントログのサイズ
¾
¾
オブジェクト
オブジェクト
アクセス監査をとる場合は、セキュリティログのサイズの拡張
アクセス監査をとる場合は、セキュリティログのサイズの拡張
成功
成功
失敗
失敗
アカウント
アカウント
ログオン
ログオン
イベントの監査
イベントの監査
○
○
○
○
アカウント管理の監査
アカウント管理の監査
○
○
○
○
ディレクトリ
ディレクトリ
サービスのアクセスの監査
サービスのアクセスの監査
○
○
○
○
ログオン
ログオン
イベントの監査
イベントの監査
○
○
○
○
オブジェクト
オブジェクト
アクセスの監査
アクセスの監査
○
○
○
○
ポリシーの変更の監査
ポリシーの変更の監査
○
○
○
○
特権使用の監査
特権使用の監査
○
○
システム
システム
イベントの監査
イベントの監査
○
○
推奨
推奨
最大
最大
アプリケーション ログ
アプリケーション ログ
16,384 KB
16,384 KB
4 GB
4 GB
セキュリティ ログ
セキュリティ ログ
81,920 KB
81,920 KB
4 GB
4 GB
システム ログ
システム ログ
16,384 KB
16,384 KB
4 GB
4 GB
© 2005 Microsoft Corporation. All rights reserved.
ファイル操作の監視
ファイル操作の監視
必要な監査
必要な監査
¾
¾
オブジェクト
オブジェクト
アクセスの監査
アクセスの監査
¾
¾
別途監査設定が必要
別途監査設定が必要
¾
¾
監査対象のユーザー
監査対象のユーザー
(グループ
(
グループ
)
)
¾
¾
監査する操作
監査する操作
(読み取り、書き込み、削除、
(
読み取り、書き込み、削除、
etc...)
etc...)
確認するべきイベント
確認するべきイベント
イベント
イベント
ID
ID
内容
内容
560
560
ファイルへのアクセス
ファイルへのアクセス
564
564
ファイルの削除
ファイルの削除
ログオンの監視
ログオンの監視
必要な監査
必要な監査
¾
¾
ログオン
ログオン
イベントの監査
イベントの監査
確認するべきイベント
確認するべきイベント
注意点
注意点
¾
¾
大量の
大量の
529
529
の発生はパスワード推測攻撃
の発生はパスワード推測攻撃
¾
¾
大量の
大量の
534
534
は、広範囲のパスワード推測攻撃
は、広範囲のパスワード推測攻撃
¾
¾
まれに社内のアカウント
まれに社内のアカウント
ロック
ロック
DoS
イベント
イベント
ID
ID
内容
内容
529
529
不明なユーザー名によるログオン
不明なユーザー名によるログオン
パスワード間違え
パスワード間違え
534
534
許可されていないログオン方法の使用
許可されていないログオン方法の使用
539
539
アカウント
アカウント
ロックアウト
ロックアウト
© 2005 Microsoft Corporation. All rights reserved.
システムの監視
システムの監視
必要な監査
必要な監査
¾
¾
システム
システム
イベントの監査
イベントの監査
確認するべきイベント
確認するべきイベント
注意点
注意点
¾
¾
516
516
が連続して発生する場合は、ログの消去を狙っ
が連続して発生する場合は、ログの消去を狙っ
た不正行為を疑う
た不正行為を疑う
¾
¾
517
517
の記録と運用記録が合わない場合は、管理者
の記録と運用記録が合わない場合は、管理者
権限でシステムが侵害されている可能性がある
権限でシステムが侵害されている可能性がある
イベント
イベント
ID
ID
内容
内容
516
516
記録できなかったイベントがある
記録できなかったイベントがある
517
517
イベントが消去された
イベントが消去された
効率的なイベントの監視
効率的なイベントの監視
自動化ツールの利用
自動化ツールの利用
¾
¾
Microsoft Operation Manager (MOM)
Microsoft Operation Manager (MOM)
[有償
[
有償
]
]
¾
¾
イベントログの収集と分析の自動化
イベントログの収集と分析の自動化
¾
¾
異常な傾向があった場合の警告
異常な傾向があった場合の警告
¾
¾
Log Parser [無償
Log Parser [
無償
]
]
¾
¾
構造化照会言語
構造化照会言語
(SQL)
(SQL)
に似たクエリを使用
に似たクエリを使用
した
した
Log
Log
の抽出
の抽出
¾
¾
表計算、
表計算、
RDBMS
RDBMS
による分析
による分析
¾
¾
Syslog
Syslog
サーバーに送信することも可能
サーバーに送信することも可能
© 2005 Microsoft Corporation. All rights reserved.
