 |
||
|
特集 Windowsセキュリティセミナー・レポート Windows環境におけるセキュリティ強化のポイント(前編) 1.Windows 2000 Serverのセキュリティ・ポイント(1)デジタルアドバンテージ2003/02/14 |
||
|
2003年1月31日(金)、渋谷マークシティにある多摩大学ルネッサンスセンターにおいて、アットマーク・アイティ主催により「実践Windowsセキュリティセミナー」が開催された。このセミナーでは、マイクロソフトでセキュリティ情報対応などを担当しているセキュリティ・レスポンス・チームのメンバーなどを中心に、Windowsセキュリティの現場で活躍している担当者がスピーカーとして参加し、Windowsネットワークを安全に管理、運用するための実践的なノウハウが紹介された。
本稿は、このセミナーより、Windowsセキュリティに関するセッションの幾つかを取り上げ、セッションで説明された内容をベースとして、デジタルアドバンテージが記事を作成したものだ(従って文責はデジタルアドバンテージにある)。第1回の今回は、マイクロソフト・セキュリティ・レスポンス・チームのテクニカル・リードである小野寺匠氏による「Windows環境におけるセキュリティ強化のポイント」についてお届けしよう。
Windows 2000 Server:6つのセキュリティ・ポイント
このセッションでは、Windows 2000 Server、IIS(Internet Information Services) 5.0、SQL Server 2000を利用して、インターネット向けにサービスを提供するシステムを想定して、Windowsシステムを安全に運用するためのポイントが解説された。
 |
| 今回想定するシステム |
| 今回は、Windows 2000 ServerとIIS 5.0、SQL Server 2000を使ったインターネット向けのWebシステムを想定して具体的なセキュリティ設定について考える。 |
このケースでは、WebシステムのベースOSとなるWindows 2000 Server、アプリケーション・サーバとして機能するIIS 5.0、バックエンドのデータベース・サービスを提供するSQL Server 2000のそれぞれについて、安全な構成と設定を検討する必要がある。以下、これらについて順次検討していく。
まずベースOSとなるWindows 2000 Serverは、文字通りすべてのサーバ・アプリケーションの基礎となるもので、これが安全でなければシステム全体を安全に運用することは到底不可能である。Windows 2000 Serverの基本的なセキュリティ設定についてマイクロソフトは、Windows 2000 Serverベースライン・セキュリティ・チェックリストとして内容を公表している。基本的な設定はこのリストに従う必要がある。さらにセッションでは、インターネット向けのWebアプリケーション・サーバ用途という想定に従い、具体的なセキュリティ強化のポイントが指摘された。
Windows 2000 Serverを安全に保つポイントとして、小野寺氏は次の6項目を指摘した。
| ポイント | 内容 |
| パスワード | 最低9文字以上にし、最初の7文字にアルファベット、数字、記号を含める。辞書にある単語は使わない |
| 管理者アカウント | デフォルトの「Administrator」を変更し、目立たず、ほかのユーザーと区別が付かない名前にする |
| ファイルシステムの安全性 | すべてのパーティションでNTFSを使用する(FAT/FAT32は使わない)。ファイルとディレクトリのアクセス権を最小限にする。IISなどのサービス用アカウント(IUSR_〜、IWAM_〜など)は、Webコンテンツ以外の参照は明示的に拒否する。安易にEveryoneに権限を与えない |
| 匿名アクセスを拒否 | 匿名ユーザー(Anonymous User)のアクセスを拒否する |
| 不要なファイル共有の削除 | 管理共有を無効にする。作業が終わって不要となった共有フォルダは鋭意削除する |
| 最小限のサービス | 不要なサービスはすべて無効にする |
 |
|
以下は、これらの各項目について詳しく述べる。
Windows 2000 Serverのセキュリティ・ポイント(その1)
パスワード
手軽という理由から、Windows 2000 Serverに限らず多くのシステムで、ユーザー名とパスワードの文字列をキーボードから入力させ、その正当性をチェックすることでユーザー認証を行っている。この際に簡単に見破られないパスワードを設定し、安全に運用するのは、情報セキュリティの第一歩である。
このパスワード文字列についてマイクロソフトは、最初の7文字にアルファベットや数字、記号のすべての文字種を含めることを推奨している。一般論としては、長い文字列のパスワードを設定すれば、総当り攻撃による解読は困難になるが、Windowsの暗号化アルゴリズムの特性上、最初の7文字がアルファベットや数字だけだと、安全性が低下するとのことだ。「パスワード設定では最初の7文字が重要」と小野寺氏は強調した。
また一般論として、パスワードにアルファベットだけでなく記号を含めることで、パスワード・セキュリティを突破するために用意されたクラッキング・ツールの影響を低減できる。これも一般論だが、辞書にある単語は使わないのも大事なことである。この際、国語辞典や英語辞典に載っていないことはもちろん、有名人の名前や地名なども使わないようにする。
Windows 2000 Serverのセキュリティ・ポイント(その2)
管理者アカウント
周知のとおりWindows環境では、管理者のユーザー名がデフォルトで「Administrator」となっている。このAdministratorという名前をそのまま使っているシステムが少なくない。本来、ユーザー名とパスワードを入力させるユーザー認証を攻撃者が突破するには、「ユーザー名」と「パスワード」の正しい組み合わせを見つけなければならない。しかしAdministratorというデフォルト名をそのまま使っていると、パスワードだけを推測すればよい。つまり、最初からセキュリティの50%をすでに突破されているのと同じことだ。
この問題を避けるには、管理者のユーザー名をデフォルトのAdministratorから変更する。しかも割り当てる名前としては、一見してそれが管理者用アカウントであると分からないように、通常のユーザー名にまぎれるのような名前がよい。これでユーザー名とパスワードの双方が秘匿され、最初からユーザー名が知られている場合に比べれば、はるかにシステムは突破しにくくなる。
Windowsのデフォルト設定では、ユーザー認証に何度失敗してもアカウントのロックアウトは行われないようになっている。このままでは、パスワードを何回間違えても再試行できるので、何度でもパスワードを試せてしまう。これを防止するために、一定回数以上パスワードを間違えたら、そのアカウントでのログオンを禁止してしまうアカウントのロックアウトを設定する。アカウント・ロックアウトの設定は、グループ・ポリシーまたはローカルのセキュリティ・ポリシーで設定できる。
 |
| アカウントのロックアウト |
| Windowsのデフォルトでは、何度パスワードを間違えても再試行できてしまう。そこでセキュリティ・ポリシーを変更して、アカウントのロックアウトを有効にする。ここで指定した回数だけパスワード入力を間違えると、アカウントが無効になる。1度無効になったアカウントは、あらかじめ決められた時間が経過するまで無効のままとなり、利用することはできない。 |
同様の設定は、Windows NT Server 4.0リソースキットに付属するPasspropコマンドでも行える。
 |
| INDEX | ||
| [特集] Windowsセキュリティセミナー・レポート | ||
| Windows環境におけるセキュリティ強化のポイント | ||
 |
1.Windows 2000 Serverのセキュリティポイント(1) | |
| 2.Windows 2000 Serverのセキュリティポイント(2) | ||
| 3.IISのセキュリティ・ポイント | ||
| 4.SQL Server 2000のセキュリティ・ポイント | ||
 |
||
 |
特集 |
ホワイトペーパー(TechTargetジャパン)
- WindowsTIPS (2010/3/19)
− [シャットダウン]ボタンの設定を変更する
− WINSサーバをインストールする
− WINSサーバをnetshコマンドで管理する - Windows 7のファイアウォール機能 (2010/3/18)
Win 7のファイアウォールの概要解説。ルールセットを切り替えるプロファイル機能が強化され、ドメインでもVPNでも、適切なルールが自動選択される - 第212話 プリンタ用紙 (2010/3/16)
致命的なディスク・クラッシュが起きる確率は、クラッシュによってもたらされる被害の大きさに比例する… - WindowsTIPS (2010/3/12)
− 不要なアドオンを無効化してIE8の起動を高速化する
− IE8のソース表示エディタを変更する
− RRASのNATでポートマッピングを定義する
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
 |
「いつかは壊れるサーバ」そんな故障に 迅速で安価に手軽に対応する方法とは? New! |
 |
「特権ユーザー」の事件を防げ! 万能権限を持つユーザーの管理方法とは? New! |
 |
仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 |
 |
仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
 |
おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
 |
社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
 |
その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
 |
美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
 |
進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
 |
運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | TomcatやJBossなどAPサーバ環境に関する 情報を集約! “業務”用APサーバ大百科 New! |
| ◆ | 一気に解説! 最新のクラスタストレージ 「RAIDを超えたストレージ基準」……など New! |
| ◆ | クラウド的ユーザー体験の変化は脅威か? 仮想化技術を使いこなす運用管理術を紹介 New! |
| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |
| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。