Win 2003をより安全にする方法

' Goldは十分ではありません、誰もが完璧ではありません "、すべてが完璧ではない、Microsoft Windows 2003も真実であり、システムの脆弱性があります。コンピュータを使用して音楽を楽しんだり、インターネットを閲覧したり、ゲームを実行したり、文書を作成したりするには、必然的にさまざまなウイルスの脅威に直面しています。 Windows Server 2003をより安全にする方法について説明しましょう。

自分の役割を理解する

サーバーの役割を理解することは、セキュリティプロセスに不可欠なステップです。 Windows Serverは複数の役割に構成でき、Windows Server 2003はドメインコントローラ、メンバサーバー、インフラストラクチャサーバー、ファイルサーバー、プリントサーバー、IISサーバー、IASサーバー、ターミナルサーバーなどとして機能できます。サーバーは、上記の役割を組み合わせて構成することもできます。

問題は、各サーバーの役割に対応するセキュリティ要件があることです。たとえば、サーバーがIISサーバーとして機能する場合は、IISサービスを有効にする必要があります。ただし、サーバーがスタンドアロンのファイルサーバーまたはプリントサーバーとして機能する場合は、IISサービスを有効にすることが大きなセキュリティ上のリスクになります。

ここでこれについて説明したのは、あらゆる状況で機能する一連の手順を説明できないためです。サーバーの役割とサーバー環境が変わると、サーバーのセキュリティも変わります。

サーバーを拡張する方法は多数あるため、例として単純だが安全なファイルサーバーを構成することによってサーバーセキュリティを構成することの実現可能性について説明します。サーバーの役割が変わったときに何をするかを指摘します。これはすべての役割サーバーを網羅する完全なガイドではないことを理解してください。

物理的セキュリティ

真のセキュリティを実現するには、サーバーを安全な場所に設置する必要があります。通常、これはサーバーが施錠されたドアの後ろに置かれることを意味します。既存の管理および災害復旧ツールの多くもハッカーが利用できるため、物理的セキュリティは非常に重要です。このようなツールを使用している人はだれでも、サーバーに物理的にアクセスしている間にサーバーを攻撃することができます。この種の攻撃を回避する唯一の方法は、サーバーを安全な場所に配置することです。これは、Windows Server 2003のすべての役割に必要です。

ベースラインの作成

優れた物理的セキュリティを構築することに加えて、一連のWindows Server 2003を構成するときにセキュリティ要件の戦略を決定することをお勧めします。そして、これらのポリシーをすぐに展開して実装します。

これを実現する最善の方法は、セキュリティベースラインを作成することです。セキュリティベースラインは、ドキュメントと認識されているセキュリティ設定のリストです。ほとんどの場合、ベースラインはサーバーの役割によって異なります。そのため、異なる種類のサーバーに適用するには、いくつかの異なるベースラインを作成したほうがよいでしょう。たとえば、ファイルサーバー用のベースライン、ドメインコントローラ用のベースライン、および前の2つとは異なるIASサーバー用のベースラインを設定できます。

Windows 2003には「セキュリティの設定と分析」というツールが含まれています。このツールを使用すると、サーバーの現在のセキュリティポリシーとテンプレートファイルのベースラインセキュリティポリシーを比較できます。これらのテンプレートは自分で作成することも、組み込みのセキュリティテンプレートを使用することもできます。

セキュリティテンプレートは、％SYSTEMROOT％\\ SECURITYに保存されている一連のテキストベースのINFファイルです。 TEMPLATESフォルダの下にあります。これらの個々のテンプレートを確認または変更する最も簡単な方法は、管理コンソール（MMC）を使用することです。

このコンソールを開くには、RUNプロンプトでMMCコマンドを入力し、コンソールのロード後に[スナップインの追加と削除のプロパティ]コマンドを選択すると、スナップインの追加と削除の一覧が表示されます。 [追加]ボタンをクリックすると、利用可能なすべてのスナップインの一覧が表示されます。 [セキュリティテンプレート]スナップインを選択し、[追加]をクリックしてから、[閉じる]ボタンと[確認]ボタンをクリックします。

セキュリティテンプレートスナップインが読み込まれると、各セキュリティテンプレートを表示できます。コンソールツリーを調べると、各テンプレートがグループポリシーの構造を模倣していることがわかります。テンプレート名は各テンプレートの目的を反映しています。たとえば、HISECDCテンプレートは安全性の高いドメインコントローラテンプレートです。

ファイルサーバーを安全に設定する場合は、まずSECUREWSテンプレートから始めることをお勧めします。すべてのテンプレート設定を確認すると、テンプレートを使用してサーバーをより安全にすることはできますが、ニーズを満たしていない可能性があります。一部のセキュリティ設定は厳しすぎたり、緩すぎたりします。既存の設定を変更するか、新しい設定を作成することをお勧めします。コンソールのC：¥WINDOWS¥Security¥Templatesフォルダーを右クリックして、「ターゲット」メニューから「新規テンプレート」コマンドを選択すると、新しいテンプレートを簡単に作成できます。

ニーズに合ったテンプレートを作成したら、[スナップインのプロパティの追加と削除]パネルに戻って、セキュリティの設定と分析用のスナップインを追加します。スナップインが読み込まれたら、[セキュリティの設定と分析]コンテナを右クリックして、結果メニューの[データベースを開く]コマンドを選択し、[開く]ボタンをクリックします。指定した名前で作成できます。必要なデータベース

次に、[セキュリティの設定と分析]コンテナを右クリックして、ショートカットメニューから[テンプレートのインポート]コマンドを選択します。利用可能なすべてのテンプレートのリストが表示されます。セキュリティポリシー設定を含むテンプレートを選択して[開く]をクリックします。テンプレートをインポートしたら、[セキュリティの設定と分析]コンテナを右クリックして、ショートカットメニューの[コンピュータの分析]コマンドを選択します。エラーログの場所を入力するように指示され、ファイルパスを入力して[OK]をクリックします。

この場合、Windowsはサーバーの既存のセキュリティ設定とテンプレートファイルの設定を比較します。比較結果は、[セキュリティの構成と分析コンソール]で確認できます。各グループポリシー設定には、既存の設定とテンプレート設定が表示されます。

差分リストを確認できるようになったら、テンプレートベースのセキュリティポリシーを実装します。 [セキュリティの設定と分析]コンテナを右クリックし、ショートカットメニューから[コンピュータの設定]コマンドを選択します。このツールはすぐにあなたのコンピュータのセキュリティポリシーをテンプレートポリシーと一致するように修正します。

グループポリシーは実際には階層構造です。グループポリシーは、ローカルコンピュータレベル、サイトレベル、ドメインレベル、およびOUレベルに適用できます。テンプレートベースのセキュリティを実装すると、グループレベルのグループポリシーが変更されます。他のグループポリシーは直接影響を受けませんが、最終的な戦略はコンピュータポリシー設定が上位レベルのポリシーに継承されるため、変更が反映される場合があります。前のページ12次のページ合計2ページzh-CN"],null,[1],zh-TW"]]]