Windows 2000のセキュリティポリシーをうまく利用する

Windows 2000システムにセキュリティを提供するためのセキュリティポリシーを設定するための一般的な設定方法を紹介します。

I.セキュリティポリシー

Windows 2000システム自体には多くのセキュリティホールがあります。これはよく知られています。パッチを適用することで、ほとんどの脆弱性を軽減できますが、攻撃されたり侵害されたりするために重要なことが多い、いくつかの小さな脆弱性を排除することはできません。 Windows 2000に付属の「ローカルセキュリティポリシー」は非常に優れたシステムセキュリティ管理ツールです。このツールは、システムの防御ツールがそれらを防ぐためにいくつかの必要な設定を持っていることが多いと言えるでしょう。システムにセキュリティポリシーを設定してセキュリティの役割を果たすための一般的な設定方法は次のとおりです。

次に、具体的な操作

図1

システムの「ローカルセキュリティポリシー」ツールは、「スタート」→「コントロールパネル」→「管理ツール」→「ローカルセキュリティポリシー」の順にクリックします。その後、あなたは "ローカルセキュリティポリシー"のメインインターフェースに入ります。メニューバーのコマンドでさまざまなセキュリティポリシーを設定したり、表示モード、エクスポートリスト、インポートポリシーを選択したりできます。

1.セキュリティログの設定：セキュリティログはシステムを記録するための重要な手段なので、ログからシステムの動作状態を確認することができます。Windows2000のデフォルトインストールではセキュリティ監査は開かれません。ローカルセキュリティポリシー→監査ポリシーで適切な監査を開きます。 [スタート]→[コントロールパネル]→[管理ツール]→[ローカルセキュリティポリシー]→[ローカルポリシー]→[左側の監査ポリシー]の順にクリックし、右側の列にある[監査ポリシーの変更]をクリックします。成功と失敗のためにボックスから選択してください。

2.アカウントのセキュリティ設定：Windows 2000のデフォルトのインストールでは、どのユーザーも空のユーザーを介してすべてのアカウントとシステムの共有リストを取得できるため、パスワードが簡単に漏洩してコンピュータを攻撃するため、次のセキュリティ設定を使用する必要があります。 [スタート]→[コントロールパネル]→[管理ツール]→[ローカルセキュリティポリシー]→[ローカルポリシー]→[アカウントのポリシー]の順にクリックします。

パスワードポリシーに設定：[パスワードは複雑さの要件を満たす必要があります]、[パスワードの長さの最小値]は6文字、[パスワードの強制履歴]は5回、[パスワードの最大保存期間]は30日

アカウントロックアウトポリシーを設定します。アカウントロックアウトカウンタを30分間リセットした後のアカウントロックアウト時間は30分、アカウントロックアウト値は30分です。

3.セキュリティオプションの設定：[スタート]→[コントロールパネル]→[管理ツール]→[ローカルセキュリティポリシー]→[ローカルポリシー]→[セキュリティオプション]の順にクリックし、右側の列[匿名接続の追加制限]を見つけます。有効なポリシー設定をダブルクリックして、「SAMアカウントと共有の列挙を許可しない」を選択します（図を参照）。この値は、NULL以外のユーザーだけがSAMアカウント情報および共有情報にアクセスできるため、通常選択されます。

図2

この設定をすると、システム、特にアカウントのセキュリティとパスワードのセキュリティがはるかに安全になり、不正な侵入を効果的に防ぐことができます。ログを監視してシステムの動作の重要な側面を監視できるだけではありません。私はまたアカウントログインを明確に把握しています。