私たちはサーバーの強化について多くのことを聞いたことがありますが、どのような種類のサーバーが強化されたWindowsサーバーですか? IT監査人の中には、一般的に受け入れられている拡張コンテンツのリストに従うシステムとして定義しています。さらに妄想的な人々は、それが完全にロックされたサーバーだと思うので、誰もそのサーバーに接続することはできません。一部の管理者に強化サーバーとは何かを尋ねると、「強化とはどういう意味ですか?」と尋ねることがよくあります。
業界の推奨事項を参照すると、Windowsシステムは世界一安全ではないと思われるかもしれません。 。あまり心配しないでください。サイバーセキュリティのWindowsベンチマークセンターと米国国防総省のSTIGは重要ですが、書籍に厳密に従ってすべてを実行することは必ずしも実現可能とは限りません。 Windowsのセキュリティとビジネスニーズの両方をバランスさせる必要があります。
誰もがWindowsシステムの機能強化について異なる見方をしているようです。それでも、システムの強化のレベルについてはコンセンサスがあるはずです。それで、あなたは何に集中する必要がありますか?それは非常に簡単です、ちょうどあなたがチェックしたものをチェックしてください。前回の安全性評価の結果はどうでしたか?あなたの監査人は何を探していますか、そしてあなたは何に反対していますか?それは内部方針ですか?たぶんそれはルールなのか標準なのか?たぶんこれは他の人が考えるベストプラクティスですか?
システムを強化するために時間、お金、およびエネルギーを費やす前に、満たすべきことを知っておく必要があります。あなたがこれを知らないならば、例えば、あなたが独立した評価または内部監査を決して行ったことがないならば、あなたはどこかで始めなければなりませんね?
ほとんどの場合、多くの人はトラブルを恐れており、事故が発生するまでWindowsサーバーの設定を強化することに消極的です。つまり、あなたは現実的で、意識的にWindowsのハードワークを実行する必要があります。何が重要かを見てください。 SMB(Server Message Block)通信にデジタル署名し、ターゲット追跡とプロセス追跡を監査するのは本当に良いことですか?特に監査と評価が始まろうとしているときは特に?あってはいけません。それでは、管理者アカウントとクライアントアカウントの名前を変更し、不要なサービスを無効にしますか?まあ、あなたはこれをするかもしれません。それはあなたのビジネスに影響を与えるものによって異なります。私は、管理者が非常に小さなことにエネルギーを浪費し、他の人が低レベルの問題に集中することを見てきました。そして重要なことは見落とされがちです。
以下は、Windows Serverの拡張機能の一部です。これにより、多くの利点がもたらされます(無料)。
- 適切なユーザーが適切な情報にアクセスできるように共有ファイルをロックします。
- 誰かが盗み見てシステム設定情報を収集するのを防ぐために、SMBの空の会話接続を無効にします。
- Windowsファイアウォールを有効にするか、他社製のものを使用します(これにより、他のユーザーはサーバーまたはサーバーに限定され、起動ユーザーは空の会話接続しか使用できなくなります)。
- 最新のパッチがインストールされていることを確認してください。 (これは、Windowsサーバーでは依然として大きな問題です。)
- アンチウイルスソフトウェアを実行する(アンチウイルスソフトウェアを実行していないことも、一般的な過失です)。 - 安全で妥当なパスワードを設定します。パスワードの神話を信じないでください。
- アカウントログインイベント、アカウント管理、およびポリシー変更の監査を有効にします。
- 公開システムにディスク暗号化を使用します(サーバーには長い脚があります)。
- Active Directoryの基本設定が非常に堅牢であることを確認してください。
Windows NT、2000、Server 2003または2008を使用しているかどうかにかかわらず、これらの基本的なヒントをつかむことはあなたのサーバーのセキュリティ状態に奇跡をもたらすでしょう。システムの隅々や隙間を狭める必要はないかもしれません(少なくともまだ)。上記の基準を使用して強化されたベンチマークを確立した後、ビジネスリスクがそれが正しいと証明した場合は、最も重要なサーバーに対する制御をさらに強化できます。