![]() |
||
|
特集 Windowsセキュリティセミナー・レポート Windows環境におけるセキュリティ強化のポイント(前編) 1.Windows 2000 Serverのセキュリティ・ポイント(1)デジタルアドバンテージ2003/02/14 |
||
|
2003年1月31日(金)、渋谷マークシティにある多摩大学ルネッサンスセンターにおいて、アットマーク・アイティ主催により「実践Windowsセキュリティセミナー」が開催された。このセミナーでは、マイクロソフトでセキュリティ情報対応などを担当しているセキュリティ・レスポンス・チームのメンバーなどを中心に、Windowsセキュリティの現場で活躍している担当者がスピーカーとして参加し、Windowsネットワークを安全に管理、運用するための実践的なノウハウが紹介された。
本稿は、このセミナーより、Windowsセキュリティに関するセッションの幾つかを取り上げ、セッションで説明された内容をベースとして、デジタルアドバンテージが記事を作成したものだ(従って文責はデジタルアドバンテージにある)。第1回の今回は、マイクロソフト・セキュリティ・レスポンス・チームのテクニカル・リードである小野寺匠氏による「Windows環境におけるセキュリティ強化のポイント」についてお届けしよう。
Windows 2000 Server:6つのセキュリティ・ポイント
このセッションでは、Windows 2000 Server、IIS(Internet Information Services) 5.0、SQL Server 2000を利用して、インターネット向けにサービスを提供するシステムを想定して、Windowsシステムを安全に運用するためのポイントが解説された。
![]() |
| 今回想定するシステム |
| 今回は、Windows 2000 ServerとIIS 5.0、SQL Server 2000を使ったインターネット向けのWebシステムを想定して具体的なセキュリティ設定について考える。 |
このケースでは、WebシステムのベースOSとなるWindows 2000 Server、アプリケーション・サーバとして機能するIIS 5.0、バックエンドのデータベース・サービスを提供するSQL Server 2000のそれぞれについて、安全な構成と設定を検討する必要がある。以下、これらについて順次検討していく。
まずベースOSとなるWindows 2000 Serverは、文字通りすべてのサーバ・アプリケーションの基礎となるもので、これが安全でなければシステム全体を安全に運用することは到底不可能である。Windows 2000 Serverの基本的なセキュリティ設定についてマイクロソフトは、Windows 2000 Serverベースライン・セキュリティ・チェックリストとして内容を公表している。基本的な設定はこのリストに従う必要がある。さらにセッションでは、インターネット向けのWebアプリケーション・サーバ用途という想定に従い、具体的なセキュリティ強化のポイントが指摘された。
Windows 2000 Serverを安全に保つポイントとして、小野寺氏は次の6項目を指摘した。
| ポイント | 内容 |
| パスワード | 最低9文字以上にし、最初の7文字にアルファベット、数字、記号を含める。辞書にある単語は使わない |
| 管理者アカウント | デフォルトの「Administrator」を変更し、目立たず、ほかのユーザーと区別が付かない名前にする |
| ファイルシステムの安全性 | すべてのパーティションでNTFSを使用する(FAT/FAT32は使わない)。ファイルとディレクトリのアクセス権を最小限にする。IISなどのサービス用アカウント(IUSR_〜、IWAM_〜など)は、Webコンテンツ以外の参照は明示的に拒否する。安易にEveryoneに権限を与えない |
| 匿名アクセスを拒否 | 匿名ユーザー(Anonymous User)のアクセスを拒否する |
| 不要なファイル共有の削除 | 管理共有を無効にする。作業が終わって不要となった共有フォルダは鋭意削除する |
| 最小限のサービス | 不要なサービスはすべて無効にする |
以下は、これらの各項目について詳しく述べる。
Windows 2000 Serverのセキュリティ・ポイント(その1)
パスワード
手軽という理由から、Windows 2000 Serverに限らず多くのシステムで、ユーザー名とパスワードの文字列をキーボードから入力させ、その正当性をチェックすることでユーザー認証を行っている。この際に簡単に見破られないパスワードを設定し、安全に運用するのは、情報セキュリティの第一歩である。
このパスワード文字列についてマイクロソフトは、最初の7文字にアルファベットや数字、記号のすべての文字種を含めることを推奨している。一般論としては、長い文字列のパスワードを設定すれば、総当り攻撃による解読は困難になるが、Windowsの暗号化アルゴリズムの特性上、最初の7文字がアルファベットや数字だけだと、安全性が低下するとのことだ。「パスワード設定では最初の7文字が重要」と小野寺氏は強調した。
また一般論として、パスワードにアルファベットだけでなく記号を含めることで、パスワード・セキュリティを突破するために用意されたクラッキング・ツールの影響を低減できる。これも一般論だが、辞書にある単語は使わないのも大事なことである。この際、国語辞典や英語辞典に載っていないことはもちろん、有名人の名前や地名なども使わないようにする。
Windows 2000 Serverのセキュリティ・ポイント(その2)
管理者アカウント
周知のとおりWindows環境では、管理者のユーザー名がデフォルトで「Administrator」となっている。このAdministratorという名前をそのまま使っているシステムが少なくない。本来、ユーザー名とパスワードを入力させるユーザー認証を攻撃者が突破するには、「ユーザー名」と「パスワード」の正しい組み合わせを見つけなければならない。しかしAdministratorというデフォルト名をそのまま使っていると、パスワードだけを推測すればよい。つまり、最初からセキュリティの50%をすでに突破されているのと同じことだ。
この問題を避けるには、管理者のユーザー名をデフォルトのAdministratorから変更する。しかも割り当てる名前としては、一見してそれが管理者用アカウントであると分からないように、通常のユーザー名にまぎれるのような名前がよい。これでユーザー名とパスワードの双方が秘匿され、最初からユーザー名が知られている場合に比べれば、はるかにシステムは突破しにくくなる。
Windowsのデフォルト設定では、ユーザー認証に何度失敗してもアカウントのロックアウトは行われないようになっている。このままでは、パスワードを何回間違えても再試行できるので、何度でもパスワードを試せてしまう。これを防止するために、一定回数以上パスワードを間違えたら、そのアカウントでのログオンを禁止してしまうアカウントのロックアウトを設定する。アカウント・ロックアウトの設定は、グループ・ポリシーまたはローカルのセキュリティ・ポリシーで設定できる。
![]() |
| アカウントのロックアウト |
| Windowsのデフォルトでは、何度パスワードを間違えても再試行できてしまう。そこでセキュリティ・ポリシーを変更して、アカウントのロックアウトを有効にする。ここで指定した回数だけパスワード入力を間違えると、アカウントが無効になる。1度無効になったアカウントは、あらかじめ決められた時間が経過するまで無効のままとなり、利用することはできない。 |
同様の設定は、Windows NT Server 4.0リソースキットに付属するPasspropコマンドでも行える。
| INDEX | ||
| [特集] Windowsセキュリティセミナー・レポート | ||
| Windows環境におけるセキュリティ強化のポイント | ||
| 1.Windows 2000 Serverのセキュリティポイント(1) | ||
| 2.Windows 2000 Serverのセキュリティポイント(2) | ||
| 3.IISのセキュリティ・ポイント | ||
| 4.SQL Server 2000のセキュリティ・ポイント | ||
| 特集 |
ホワイトペーパー(TechTargetジャパン)
- 第207話 究極の人事システム (2010/2/9)
部長、わが人事部が開発した究極の人事評価システムがついに完成しました! これで不要な社員が一発で分かります! - WindowsTIPS (2010/2/5)
− netshコマンドでTCP/IPのパラメータを設定する
− Virtual PC 2007の共有NATで利用可能なアドレス範囲
− スタンバイ復帰でパスワード入力を要求されないように - 仮想環境でActive Directoryを利用する (2010/2/4)
仮想環境にADをインストールすれば、自由にActive Directoryドメイン・ネットワークを構築して実験できる - 第206話 バナー広告案 (2010/2/2)
いまどきWebマーケティングが不可欠なのは分かるが、強烈な競合に並べてバナーなんか出して、勝ち目はあるのか?
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
- - PR -
お勧め求人情報

**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | 企業の仮想化に足りない“発想”とは? 仮想化運用管理のキモは意外なところに! New! |
| ◆ | 操作もマニュアルも分かりやすい! ユーザー視点で開発されたPC管理ツール New! |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |

| ◆ | セキュリティを知り尽くす上野氏が登壇! @ITメールソリューションLive! in Tokyo |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 世界に通用するストレージの作り方とは? 製品に込めた思いを富士通の開発者に聞く |

| ◆ | OSSで手間も時間も、障害も減った―― 「マピオンの事例」オープンソース活用法 |
| ◆ | 「ノートPCの持ち出し禁止」で大丈夫? 情報漏えいを防ぐ管理手法とインフラは? |
| ◆ | 1日の処理を1秒に――MySQLの達人が語る 「コスト削減」できるチューニング |

| ◆ | ドキュメント作成を自動化して、SEの作業 効率を大幅アップ! Visio 2007の魅力 |
| ◆ | 急速に広がるHyper-Vでのサーバ仮想化 そのベストプラクティスをデルが解説 |
| ◆ | @IT主催セミナーで語られた、「担当者に 求められるセキュリティ対策」をレポート |

| ◆ | @IT「Windows 7」 特設サイトオープン! 最新情報・移行ノウハウを公開しています |










