Windows system >> Windowsの知識 >  >> Windows Serverシステムのチュートリアル >> サーバー2008 >> 安全なWin Serverを構築する9つの方法2008

安全なWin Serverを構築する9つの方法2008

  


強力で安全なサーバーを作成するには、最初から細部にわたるセキュリティに注意を払う必要があります。新しいサーバーは、オペレーティングシステムの防御が完了するまで、考えられるすべての攻撃チャネルを排除するために、独立したネットワークにインストールする必要があります。

インストールを開始する最初のステップでは、FAT(ファイル割り当てテーブル)とNTFS(新技術ファイルシステム)のどちらかを選択するように求められます。この時点で、すべてのディスクドライブにNTFSフォーマットを選択する必要があります。 FATは、初期のオペレーティングシステム用に設計された比較的原始的なファイルシステムです。 NTFSは、アクセス制御リスト(ACL)やファイルシステムのジャーナリング、ファイルシステムのログ記録など、FATでは利用できないセキュリティ機能を提供するNTの登場で登場しました。ファイルシステムへの変更。次に、最新のService Pack(SP2)と入手可能な一般的なパッチをインストールする必要があります。 Service Packのパッチの多くは非常に古いものですが、サービス拒否攻撃、リモートでのコード実行、クロスサイトスクリプティングなどの脅威を引き起こす可能性がある既知の脆弱性をいくつか修正することができます。


システムをインストールした後は、座ってより詳細なセキュリティ作業を行うことができます。 Windows Server 2003の耐性を向上させる最も簡単な方法は、ネットワーク上のサーバーの役割に基づいてセキュリティで保護されたポリシーを作成するプロセスを案内するサーバー構成ウィザード(SCW)を使用することです。

SCWは、サーバーの構成ウィザードとは異なります。 SCWはサーバーコンポーネントをインストールしませんが、ポートとサービスを監視し、登録と監査の設定を構成します。 SCWはデフォルトではインストールされないため、コントロールパネルの[プログラムの追加と削除]ウィンドウから追加する必要があります。 [Windowsコンポーネントの追加と削除]ボタンをクリックし、[セキュリティ設定ウィザード]を選択すると、インストールプロセスが自動的に始まります。 SCWにインストールしたら、管理ツールからアクセスできます。

SCWを通じて作成されたセキュリティポリシーはXMLファイル形式であり、サービス、ネットワークセキュリティ、特定のレジストリ値、監査ポリシー、および可能であればIISの構成に使用できます。設定インターフェイスを使用すると、新しいセキュリティポリシーを作成したり、既存のものを編集したりしてネットワーク上の他のサーバに適用することができます。操作によって作成されたポリシーによって競合または不安定性が発生した場合は、操作をロールバックできます。

SCWは、Windows Server 2003セキュリティのすべての基本をカバーしています。ウィザードを実行すると、最初に表示されるのはセキュリティ設定データベースです。これには、すべてのロール、クライアント機能、管理オプション、サービス、ポートなどが含まれています。 SCWには、アプリケーションの知識に関する幅広い知識ベースもあります。つまり、選択したサーバーの役割にアプリケーション(自動更新などのクライアント機能やバックアップなどの管理アプリケーション)が必要な場合、Windowsファイアウォールは必要なポートを自動的に開きます。アプリケーションが閉じられると、ポートは自動的にブロックされます。

ネットワークセキュリティ設定、レジストリプロトコル、およびサーバーメッセージブロック(SMB)の署名セキュリティにより、重要なサーバー機能のセキュリティが強化されます。 Outbound Authentication設定は、外部リソースへの接続に必要な認証レベルを決定します。

SCWの最後のステップは監査戦略に関連しています。既定では、Windows Server 2003は成功したアクティビティのみを監査しますが、システムの拡張バージョンでは、成功したアクティビティと失敗したアクティビティの両方を監査してログに記録する必要があります。ウィザードが実行されると、作成されたセキュリティポリシーはXMLに保存され、後で使用するためにサーバーですぐに使用でき、さらに他のサーバーでも使用できます。サーバーのインストール中に強化処理の最初の手順を実行しないサーバーでもSCWをインストールできます。


サーバーの電源ボタンを押してから操作が開始され、すべてのサービスがアクティブになるまで、脅威システムの悪意のある動作がシステムに損傷を与える可能性があります。オペレーティングシステムのオペレーティングシステムに加えて、正常なサーバーはパスワードで保護されたBIOS /ファームウェアで起動する必要があります。さらに、BIOSに関しては、サーバーの電源投入シーケンスは、許可されていない他のメディアからの起動を防ぐために正しく設定する必要があります。

コンピュータを起動した直後にF2キーを押すと、BIOSセットアップページに移動します。 Alt-Pを使用してBIOSのさまざまな設定タブ間を行き来できます。 [起動順序]タブで、サーバーの起動設定を[内蔵HDD]に設定します。 [Boot Order]タブには、ハードディスクパスワードに[Primary]、[Administrative]、[Hard]の3つのオプションがあります。

同様に、CD、DVD、USBドライブなどの外部メディアを自動的に実行する機能も無効にする必要があります。レジストリで、パスHKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Cdrom(または他のデバイス名)を入力し、Autorun値を0に設定します。自動実行機能には、ポータブルメディアで運ばれる悪意のあるアプリケーションを自動的に起動する可能性があります。これは、Trojan、Backdoor、KeyLogger、Listener、およびその他のマルウェアをインストールする簡単な方法です(図4を参照)。

次の防衛線は、ユーザーがシステムにログインする方法についてです。バイオメトリクス、トークン、スマートカード、ワンタイムパスワードなどの認証用の代替テクノロジを使用してWindows Server 2003のシステムを保護することはできますが、ローカルまたはリモートを問わず、多くのシステム管理者が使用します。ユーザー名とパスワードの組み合わせは、ログインサーバーの確認コードとして使用されます。しかし何度も、彼らは皆デフォルトのパスワードを使っていて、それは明らかにトラブルを求めています。前へ12 3 4次へもっと読むzh-CN"],null,[1],zh-TW"]]]

Copyright © Windowsの知識 All Rights Reserved