Windows NT ServerまたはWindows 2000 Serverをこれまでに構成したことがある場合は、これらのマイクロソフト製品がデフォルトで最も安全ではないことがわかります。マイクロソフトは多くのセキュリティメカニズムを提供していますが、それでも実装する必要があります。しかし、MicrosoftがWindows Server 2003をリリースしたとき、それは以前の哲学を変えました。新しいアイデアは、サーバーはデフォルトで安全でなければならないということです。これは確かに良い考えですが、Microsoftはそれを十分に実装していません。デフォルトのWindows 2003インストールは、Windows NTまたはWindows 2000インストールよりもはるかに安全ですが、まだいくつかの欠点があります。 Windows Server 2003をより安全にする方法について説明しましょう。
役割を理解する
サーバーの役割を理解することは、セキュリティプロセスに不可欠なステップです。 Windows Serverは複数の役割に構成でき、Windows Server 2003はドメインコントローラ、メンバサーバー、インフラストラクチャサーバー、ファイルサーバー、プリントサーバー、IISサーバー、IASサーバー、ターミナルサーバーなどとして機能できます。サーバーは、上記の役割を組み合わせて構成することもできます。
問題は、各サーバーの役割に対応するセキュリティ要件があることです。たとえば、サーバーがIISサーバーとして機能する場合は、IISサービスを有効にする必要があります。ただし、サーバーがスタンドアロンのファイルサーバーまたはプリントサーバーとして機能する場合は、IISサービスを有効にすることが大きなセキュリティリスクになる可能性があります。
ここで私がこれについて述べたのは、あらゆる状況でうまくいく一連のステップをあなたに与えることができないからです。サーバーの役割とサーバー環境が変わると、サーバーのセキュリティも変わります。
サーバーを強化する方法は多数あるため、例として単純だが安全なファイルサーバーを構成することによってサーバーセキュリティを構成することの実現可能性について説明します。サーバーの役割が変わったときに何をするかを指摘します。これはすべての役割サーバーを網羅する完全なガイドではないことを理解してください。
物理的セキュリティ
真のセキュリティを実現するには、サーバーを安全な場所に配置する必要があります。通常、これはサーバーが施錠されたドアの後ろに置かれることを意味します。既存の管理および災害復旧ツールの多くもハッカーが利用できるため、物理的セキュリティは非常に重要です。そのようなツールを使用している人はだれでも物理的にサーバーにアクセスしている間にサーバーを攻撃することができます。この種の攻撃を回避する唯一の方法は、サーバーを安全な場所に配置することです。これは、Windows Server 2003のすべての役割に必要です。
ベースラインの作成
優れた物理的セキュリティを構築することに加えて、一連のWindows Server 2003を構成するときには、次の点に注意してください。あなたのセキュリティは戦略を必要としており、そしてそれらを直ちに展開しそして実行する。
これを行う最善の方法は、セキュリティベースラインを作成することです。セキュリティベースラインは、ドキュメントと認識されているセキュリティ設定のリストです。ほとんどの場合、ベースラインはサーバーの役割によって異なります。そのため、異なる種類のサーバーに適用するには、いくつかの異なるベースラインを作成したほうがよいでしょう。たとえば、ファイルサーバー用のベースライン、ドメインコントローラ用のベースライン、および前の2つとは異なるIASサーバー用のベースラインを設定できます。
Windows 2003には、 "セキュリティの構成と分析"というツールが含まれています。このツールを使用すると、サーバーの現在のセキュリティポリシーとテンプレートファイルのベースラインセキュリティポリシーを比較できます。これらのテンプレートは自分で作成することも、組み込みのセキュリティテンプレートを使用することもできます。
セキュリティテンプレートは、%SYSTEMROOT%\\ SECUR99vYに保存されている一連のテキストベースのINFファイルです。
TEMPLATESフォルダの下にあります。これらの個々のテンプレートを確認または変更する最も簡単な方法は、管理コンソール(MMC)を使用することです。
このコンソールを開くには、RUNプロンプトでMMCコマンドを入力し、コンソールのロード後、[スナップインの追加と削除のプロパティ]コマンドを選択すると、[スナップインの追加と削除]の一覧が表示されます。 [追加]ボタンをクリックすると、利用可能なすべてのスナップインの一覧が表示されます。 [セキュリティテンプレート]スナップインを選択し、[追加]をクリックしてから、[閉じる]ボタンと[確認]ボタンをクリックします。 & 2。NBSP;
セキュリティテンプレートスナップインをロードした後、あなたがセキュリティテンプレートのそれぞれを見ることができます。コンソールツリーを調べると、各テンプレートがグループポリシーの構造を模倣していることがわかります。テンプレート名は各テンプレートの目的を反映しています。たとえば、HISECDCテンプレートは安全性の高いドメインコントローラテンプレートです。
ファイルサーバーを安全に設定する場合は、まずSECUREWSテンプレートから始めることをお勧めします。すべてのテンプレート設定を確認すると、テンプレートを使用してサーバーをより安全にすることはできますが、ニーズを満たしていない可能性があります。一部のセキュリティ設定は厳しすぎたり、緩すぎたりします。既存の設定を変更するか、新しい設定を作成することをお勧めします。コンソールのC:¥WINDOWS¥Security¥Templatesフォルダーを右クリックして、「ターゲット」メニューから「新規テンプレート」コマンドを選択すると、新しいテンプレートを簡単に作成できます。
ニーズに合ったテンプレートを作成したら、[スナップインのプロパティの追加と削除]パネルに戻って、セキュリティの設定と分析用のスナップインを追加します。スナップインが読み込まれたら、[セキュリティの設定と分析]コンテナを右クリックして、結果メニューの[データベースを開く]コマンドを選択し、[開く]ボタンをクリックして、必要なデータベースを作成します。
次に、[セキュリティの設定と分析]コンテナを右クリックして、ショートカットメニューの[テンプレートのインポート]コマンドを選択します。利用可能なすべてのテンプレートのリストが表示されます。セキュリティポリシー設定を含むテンプレートを選択して[開く]をクリックします。テンプレートをインポートしたら、[セキュリティの設定と分析]コンテナをもう一度右クリックして、ショートカットメニューの[今すぐコンピュータを分析]コマンドを選択します。エラーログの場所を入力するように指示され、ファイルパスを入力して[OK]をクリックします。
この場合、Windowsはサーバーの既存のセキュリティ設定とテンプレートファイルの設定を比較します。比較結果は、「セキュリティの構成と分析コンソール」で確認できます。各グループポリシー設定には、既存の設定とテンプレート設定が表示されます。
差分リストを確認できるようになったら、テンプレートベースのセキュリティポリシーを実装します。 [セキュリティの設定と分析]コンテナを右クリックして、ショートカットメニューから[今すぐコンピュータを設定]コマンドを選択します。このツールはすぐにあなたのコンピュータのセキュリティポリシーをテンプレートポリシーと一致するように修正します。
グループポリシーは実際には階層的です。グループポリシーは、ローカルコンピュータレベル、サイトレベル、ドメインレベル、およびOUレベルに適用できます。テンプレートベースのセキュリティを実装すると、グループレベルのグループポリシーが変更されます。他のグループポリシーは直接影響を受けませんが、最終的な戦略はコンピュータポリシー設定が上位レベルのポリシーに継承されるため、変更が反映される可能性があります。
組み込みのユーザーアカウントを変更する
長年にわたり、マイクロソフトは管理者アカウントの名前を変更し、より安全性を高めるためにGuestアカウントを無効にする最善の方法を強調してきました。 Windows Server 2003では、Guestアカウントは既定で無効になっていますが、管理者アカウントの名前を変更する必要があります。ハッカーが管理者アカウントから攻撃を開始することが多いためです。
アカウントのSIDを確認してアカウントの実際の名前を見つけるための多くのツールがあります。残念ながら、ユーザーのSIDを変更することはできません。つまり、このツールがAdministratorアカウントの本名を検出するのを防ぐことはできません。それでも、2つの理由から、管理者アカウントの名前を変更してアカウントの説明を変更することをお勧めします。
まず、First械男男男挚挚饫饫ぞ固有の名前の最小管理者アカウントを使用すると、このアカウントへのハッカーの攻撃をより簡単に監視することができます。
メンバーサーバーには、もう1つのトリックが適用されます。メンバーサーバーには、ドメイン内の管理者アカウントとは完全に独立した、独自のローカル管理者アカウントが組み込まれています。各メンバーサーバーは、異なるユーザー名とパスワードを使用するように設定できます。誰かがあなたのローカルのユーザ名とパスワードを推測した場合、あなたは確かに彼が同じアカウントを持つ他のサーバに侵入することを望まないでしょう。もちろん、物理的なセキュリティが優れている場合は、ローカルアカウントを使用してサーバーにアクセスすることはできません。サービスアカウントの需要を最小限に抑える方法でのWindows Server 2003で
サービスアカウント
。それでも、一部のサードパーティ製アプリケーションは依然として従来のサービスアカウントに準拠しています。可能であれば、ドメインアカウントの代わりにローカルアカウントをサービスアカウントとして使用してみてください。だれかがサーバーに物理的にアクセスすると、彼はサーバーのLSAシークレットをダンプしてパスワードを明らかにすることがあります。ドメインパスワードを使用すると、フォレスト内のどのコンピュータでもこのパスワードを使用してドメインアクセスを取得できます。ローカルアカウントを使用する場合、パスワードはドメインへの脅威なしにローカルコンピュータでのみ使用できます。
System Services
基本的な原則として、システム上で実行されるコードが多いほど、脆弱性が含まれる可能性が高くなります。あなたが集中する必要がある重要なセキュリティ戦略はあなたのサーバーで走るコードを減らすことです。そうすることで、セキュリティ上のリスクを軽減しながらサーバーのパフォーマンスを向上させることができます。
Windows 2000には、デフォルトで多数のサービスが実行されていますが、そのサービスの大部分はほとんどの環境では利用できません。実際、Windows 2000の既定のインストールには、完全に機能するIISサーバーも含まれています。 Windows Server 2003では、マイクロソフトは絶対に必要というわけではないほとんどのサービスをシャットダウンしました。それでも、デフォルトで実行されるいくつかの物議を醸すサービスがあります。
サービスの1つに、分散ファイルシステム(DFS)サービスがあります。 DFSサービスはもともとユーザーの作業を簡素化するために設計されました。 DFSを使用すると、管理者は複数のサーバーまたはパーティション用のリソースを含む論理領域を作成できます。ユーザーにとって、これらの分散リソースはすべて単一のフォルダーに存在します。
私は、特にそのフォールトトレランスとスケーラビリティのために、私は個人的にDFSが好きです。ただし、DFSを使用しない場合は、ファイルへの正確なパスをユーザーに知らせる必要があります。状況によっては、これによりセキュリティが向上することがあります。私の意見では、DFSの利点は不利な点を上回っています。
もう1つのそのようなサービスはファイル複製サービス(FRS)です。 FRSはサーバー間でデータを複製するために使用されます。 SYSVOLフォルダの同期を維持するため、ドメインコントローラでは必須のサービスです。メンバサーバーの場合、DFSが実行されていない限り、このサービスは必要ありません。
ファイルサーバーがドメインコントローラーでもDFSでもない場合は、FRSサービスを無効にすることをお勧めします。そうすることで、ハッカーが複数のサーバー間で悪意のあるファイルをコピーする可能性を減らすことができます。
もう1つ注意が必要なサービスは、Print Spooler Service(PSS)です。このサービスは、すべてのローカルおよびネットワークの印刷要求を管理し、これらの要求に基づいてすべての印刷ジョブを制御します。すべての印刷操作はこのサービスと不可分です。このサービスもデフォルトで有効になっています。
すべてのサーバーに印刷機能が必要なわけではありません。サーバーの役割がプリントサーバーでない限り、このサービスを無効にする必要があります。結局のところ、サービスを印刷するための専用ファイルサーバーの使用は何ですか?通常、誰もサーバーコンソールを操作しないので、ローカルまたはネットワーク印刷をオンにする必要はありません。
ディザスタリカバリ操作中にエラーメッセージまたはイベントログを印刷する必要があることが多いと思います。しかし、私はまだ非印刷サーバー上でこのサービスを単にオフにすることをお勧めします。
信じられないかもしれませんが、PSSは最も危険なWindowsコンポーネントの1つです。実行ファイルを置き換えるトロイの木馬が無数にあります。この種の攻撃の動機は、それが統一されたサービスであり、したがって高い特権を持っているからです。そのため、侵入したトロイの木馬は誰でもこれらの高レベルの権限を取得する可能性があります。このような攻撃を防ぐために、このサービスをオフにしてください。
zh-CN"],null,[1],zh-TW"]]]