セキュリティ
更新日:2006/03/31
| サブディレクトリ | |
| セキュリティ | |
 |
クライアント・コンピュータのパッチ適用状態を集中的に調査する(MBSA) マイクロソフトは、コンピュータへのパッチの適用状態、セキュリティ上の弱点などをリモートから調査するGUIツール、Microsoft Baseline Security Analyzer(MBSA) 1.2の無償提供を開始した。 / これを利用すれば、複数のクライアント・コンピュータのパッチ適用状態を集中的に管理することが可能になる。 |
|
クラッキングを手助けする“Rootkit”ツールを検出する 本格的なシステム・クラッキングでは、長期間にわたってシステムのセキュリティ・ホール調査などが行われる。 / こうしたクラッキングを効率的に行うためのツール集がRootkitで、さまざまなRootkitがアンダーグラウンドで流通している。 / 重要度の高いサーバなどでは、Rootkitが仕込まれていないかどうかを定期的に調査したほうがよい。 / Rootkit検出用の無償ツールが利用できる。 |
|
IIS 6.0のWeb拡張機能を有効にする Windows Server 2003のインストール直後のIIS 6.0では、セキュリティ上の理由から静的なWebページしか表示できなくなっている。 / CGIやSSI、ASPなどの拡張機能を使いたければ、明示的に許可する必要がある。 / ただしこれらの拡張機能の設定はWebサーバ全体で有効であり、個別のWebサイトごとに制御することはできない。 |
|
リモート・コンピュータ上の.CHMファイルを表示させる セキュリティの強化により、デフォルトでは、リモート・コンピュータ上の.CHMファイルを表示することができなくなっている。 / これはHTMLヘルプの脆弱性によってリモート・コードが実行されないようにするための制限である。 / この制限を緩和するためには、レジストリの設定を変更する。 |
|
Windows Server 2003のIEのセキュリティ設定を緩和させる Windows Server 2003のInternet Explorerでは、「Internet Explorerセキュリティ強化の構成」という機能が導入され、有効化されている。 / この機能が有効になっていると、ゾーンごとのセキュリティ・レベルの緩和操作が制限され、例えばインターネット・ゾーンのセキュリティ・レベルを「高」から「低」へ変更できない。 / このままではインターネット・アクセスが制限され、使いづらいことがある。 / ゾーンごとの設定を緩和したい場合は、信頼済みサイトに登録するか、この機能を無効化すればよい。 |
|
リモート・ログオン・ユーザーからのファイル・アクセスを制限する リモート・デスクトップは便利な機能だが、万一悪用されるとコンピュータが完全に支配されてしまうという問題がある。 / このため機密性の高い一部のファイルについて、リモート・デスクトップなどで遠隔地からリモート・ログオンした場合には、アクセスを禁止したいケースがある。 / リモート・デスクトップでログオンしたユーザーにはREMOTE INTERACTIVE LOGONというローカル・グループが自動的に割り当てられるので、このグループに対してアクセス設定を行えば、リモート・ユーザーにのみ適用されるアクセス制御を実現できる。 |
|
USB大容量記憶装置ドライバを無効にする 手軽なデータ移動デバイスであるUSBメモリは、それゆえ簡単に機密情報を盗まれる心配も高い。 / Windows XP SP2からの新機能で、USBメモリへの書き込みを禁止することが可能になったが、OSが限られるうえに、読み取りは制限されない。 / 必要なら、読み取りも含めて、USBメモリの使用を全面的に禁止することができる。 |
|
DHCPによる未許可クライアントへのIP割り当てを禁止する DHCPサービスを利用すると、TCP/IPの設定を自動的に行うことができる。 / デフォルトでは、どのようなクライアントでもIPアドレスを取得してネットワークに接続することができるが、可能ならば、あらかじめ許可されたコンピュータだけにIPアドレスを割り当てるようにしたい。 / これを行うためには、IPアドレス・プール中のすべてのIPアドレスを除外範囲に含めておくとよい。そして許可したいコンピュータのIPアドレスとMACアドレスの対をすべて予約として定義する。 |
|
リモート・デスクトップ接続を無効にする リモート・デスクトップは便利な機能だが、万一不正アクセスを許すと影響が大きい。 / 企業のクライアントPCなど、リモート接続が不要なら、システムのプロパティから接続を不許可にできる。 / さらにグループ・ポリシーを使えば、ユーザーがリモート・デスクトップの設定を変更できなくすることができる。 |
|
リモート・デスクトップで目的のコンピュータに素早く接続する リモート・デスクトップ機能を使うと、リモートのコンピュータにログオンして、GUI操作を行うことができる。 / リモート・デスクトップ接続の設定をファイルに保存しておくと、クリックするだけで自動的に接続できるようになる。 / だがセキュリティの面から見るとこれは危険なので、パスワード指定は空欄にしておくか、サーバ側でパスワードの入力を強制するように設定しておくとよい。 |
|
Microsoftへのエラー報告ダイアログを無効にする Windows XPでは、アプリケーションの操作中にエラーが発生すると、エラー情報をインターネット経由でマイクロソフトに通知する機能が搭載された。 / しかしエラー報告の必要がないなら、エラーが発生してもエラー・ダイアログを表示しないように設定できる。 |
|
IISの標準FTPバナー・メッセージを表示させない IISのFTPサイトに接続すると、標準のFTPバナー・メッセージとして「Microsoft FTP Service」が表示される。 / OSが簡単に判別されることによってハッキングやDoS攻撃の対象になりやすく、セキュリティ上の問題が大きい。 / IISの設定ファイルを書き換えることによって標準バナーの表示を抑止できる。 |
|
リモート・デスクトップの接続時間を制限する リモート・デスクトップ接続を利用する場合、ログオフし忘れていると、離席したすきにリモートのコンピュータへアクセスされてしまう可能性がある。 / セキュリティのためには、セッションの接続可能時間を制限したり、一定時間アイドル状態が続いたら、強制的にセッションを終了したりするように設定しておくとよい。 / セッションのタイムアウト時間や切断時の強制終了を行うには、サーバ側の設定を変更する。 |
|
アクセス制御リストACLとは? ファイルやフォルダに対するアクセス権はアクセス制御リストACLで柔軟に制御できる。 / ACLには、(複数の)アクセス制御エントリACEを含むことができる。 / 各ACEには、どのユーザーやグループに対して、どのような権利を許可するか(もしくは拒否するか)を設定する。 / ACEには許可のACEと、拒否のACEの2種類があり、該当するACEが両方ある場合は、拒否のACEが優先される。 / ACLは上位のフォルダから継承することができる。 |
|
一時的にほかのユーザー権限でプログラムを実行する方法(ショートカットのプロパティを利用する方法) Windows NT系OSでは、ユーザーに一定の権限を割り当て、権限に応じて、操作可能なことと、操作不可能なことを区別できる。 / システムの変更を伴う操作では管理者権限が必要だが、普段一般ユーザー権限でコンピュータを利用している場合、管理者権限を持つユーザーの再ログオンが必要になる。 / 繰り返しこのような作業が発生するなら、プログラムのショートカットを利用することで、一般ユーザーでログオンしたまま、特定のプログラムだけを管理者権限で実行することができる。 |
|
ファイルの所有者を変更する(GUI操作編) ファイルには所有者情報があり、誰のファイルであるかを表している。 / 所有者のデフォルトはファイルの最初の作成者であるが、作成者が管理者のときはAdministratorsグループになることがある / 所有者はアクセス権を変更できるし、NTFSのクォータはこの所有者に基づいてユーザーごとの使用量を計算しているので、正しい所有者情報を設定しておく必要がある。 / 所有者を変更するには「所有権の取得」という操作を行う。 |
|
DNSの動的更新を無効にする Windows OSでは、起動時に自分自身のホスト名とIPアドレスをDNSサーバへ送信して、DNSのエントリを動的に更新するという機能を持っている。 / トラフィックやセキュリティなどの観点から、この動的更新が不要ならば、無効にすることができる。 |
|
メールに添付された.PIFや.EXE、.SCRなどの実行ファイルに注意 メール添付型のウイルスでは、ウイルスのプログラムを添付したメールを送信し、ユーザーが実行するのを待つ。 / 自分の知っているファイル・タイプ以外の添付ファイルは不用意に開かないようにする。 / .PIFや.LNKファイルは、エクスプローラではファイル・タイプが表示されないので、取り扱いには特に注意する。 |
|
ターミナル・サービス/リモート・デスクトップ接続のポート番号を変更する ターミナル・サービスを利用すると、システムをリモートから管理したり、出先からログオンして作業を行ったりできる。 / だがターミナル・サービスは、ユーザー名とパスワードさえ分かれば利用できるサービスである。そのためインターネット上に公開する場合は注意が必要である。 / 最低限のセキュリティ対策として、デフォルトのポート番号を変更するのがよい。 |
|
ユーザー・アカウントのロックアウトを解除する 辞書攻撃などを悪用した不正侵入からシステムを守るには、一定回数以上ログオンに失敗したユーザーのアカウントをロックアウトする設定にしておく。 / しかし不正アクセスではない正規のユーザーでも、繰り返しログオンに失敗する場合がある。一度アカウントがロックアウトされてしまうと、その後正しいパスワードを入力してもログオンできず、ユーザーにはその原因が分からない。 / この場合には、管理者がユーザーのロックアウトを解除する必要がある。 |
|
ファイアウォールの空白時間に注意 Windows OS内蔵のファイアウォール機能には、システム起動時にサービスが開始するまで若干のタイムラグがある。このタイムラグの間にワームなどに感染する危険性があるので注意する。 / これを避けるためには、外部ルータを使ってパケットをフィルタするのがよい。 / システムのインストールやパッチの適用などは、インターネットから隔離された安全な場所で行うこと。 |
|
ドメインのユーザー・パスワードを変更する パスワードの安全性を高めるには、定期的にパスワード文字列を変更するのがよい。 / ユーザーが自発的にドメインのパスワードを変更する方法を説明する。 |
|
caclsコマンドでACLを編集する コマンドラインでファイルやフォルダのACLを編集するにはcaclsコマンドを利用する。 / ACLの追加や置換、削除には、それぞれ/G、/P、/Rオプションを使用する。 / 既存のACLを残したまま編集するためには、/Eオプションを付ける必要がある。 |
|
グループ・ポリシーでWinnyの実行を禁止する Winnyによる情報漏えい時間が多発している。そのため企業ではWinnyの実行は禁止しておくのがよい。 / グループ・ポリシーのソフトウェアの制限機能を利用すると、Winnyの実行を禁止することができる。 / ただしこの方法はWindows XPとWindows Server 2003でしか利用できない。 |
|
ハッシュ値を利用してファイルの同一性をチェックする ハッシュ値を比較すれば、ファイルの同一性を確認できる。 / ダウンロード・サイトでは、ファイル同一性のチェック目的でハッシュ値を公開していることがある。 / 大量のファイルを持つディレクトリ同士を比較して、更新されたファイルを特定するのにもハッシュ値を使うと便利である。 |
|
リモート・デスクトップ接続でクリップボード共有を禁止する リモート・デスクトップ接続を利用すると、別のマシンにリモートからログオンして作業できる。 / リモート・デスクトップでは、リモート・デスクトップ内の環境(サーバ)と、ローカル・コンピュータ(クライアント)の間でクリップボードを共有し、データを交換できるが、セキュリティ上の理由からこれを禁止したい場合もある。 / グループ・ポリシー・エディタを利用すれば、リモート・デスクトップ接続のリダイレクト機能を禁止できる。 |
|
ZIPファイルにパスワードを付ける ZIPファイルにパスワードを付けると、その内容を保護し、安全に保管したり、メールで送信したりできる。 / ZIPファイルを暗号化しても、中に含まれるファイルやフォルダの名前は見ることができる。 / 暗号化されたZIPファイルに新規にファイルを追加しても、そのファイルは暗号化されないので注意する。 |
|
IIS 6.0のFTPサーバでユーザー・フォルダを分離する(基本編) IIS 5.0までのFTPサービスでは、ログオンしたユーザー以外のフォルダも見ることができた。 / IIS 6.0のFTPサービスでは、ユーザーごとにフォルダを完全に分離し、ほかのユーザーのフォルダから隔離する機能が導入された。 / ユーザーの分離機能を利用するためには、ユーザー用フォルダを指定された構造で作成する必要がある。 |
|
ターミナル・サービスの暗号化レベルを強化する サーバの管理や業務アプリケーション環境の一元化などにターミナル・サービスを利用すると便利である。 /しかし企業機密に関わる情報を扱う場合には、セキュリティに配慮する必要がある。 /ターミナル・サービスでやりとりされるデータはデフォルトで暗号化されるが、必要ならさらにセキュリティを強化することができる。 |
|
業務に不要なプログラムの実行をグループ・ポリシーで禁止する ファイル交換やゲーム・ソフトウェアなど、業務に必要のないプログラムやスクリプトの実行を禁止したいことがある。 / Active Directoryのグループ・ポリシー機能を利用すると、指定したプログラム・ファイルの実行を組織的に禁止できる。 |
|
「悪意のあるソフトウェアの削除ツール」を利用する 「悪意のあるソフトウェアの削除ツール」は、今まで個別に提供されてきたウイルス/ワームの駆除ツールをまとめたものである。毎月新しく提供されることになっている。 / Windows XPではWindows Updateで提供されるが、ほかのOSでは手動でダウンロードして実行する。 / このツールを実行してもシステムに恒久的にインストールされるわけではないので、必要ならば手動で毎回実行する。 |
|
caclsコマンドの出力の見方 コマンド・プロンプト上でACLの内容を操作/確認するにはcacls.exeコマンドが利用できる。 / 代表的なアクセス権はF、W、W、Cなどで表されるが、特殊なアクセス権の場合は個別に列挙される。 / フォルダの場合は適用先が(OI)や(CI)、(IO)という文字列で表される。 |
|
Windowsファイアウォールのリモート管理を有効にする Windowsファイアウォールを有効にすると、外部からのアクセスが一切禁止され、管理者ですらコンピュータの状態を調査できなくなる。 / Windowsファイアウォールのリモート管理モードを有効にすると、管理用のポートがいくつかオープンされ、管理ツールなどでリモート操作できるようになる。 / リモート管理モードは、グループ・ポリシーで設定するとよい。 / リモート管理モードを利用する場合は、必ずスコープも設定すること。 |
|
リモート管理機能のスコープ設定に注意 リモート管理機能のデフォルトのスコープは「*」であり、すべてのIPアドレスからの要求を受け付ける。 / リモート管理機能を利用する場合は、必ずスコープも設定しておかないと危険である。 / スコープには、LocalSubNetと組織内部で使用しているプライベートIPアドレスを指定しておくとよい。 |
|
リモート・デスクトップ接続でパスワード入力を強制する リモート・デスクトップ接続のためのログイン情報をプロファイルに保存しておけば、クリック1つで簡単にサーバに接続することができる。 / だがこのプロファイルさえあれば誰でも簡単にサーバに接続できるようになるので、非常に危険である。 / これを避けるためには、常にパスワードの入力を強制するようにサーバ側で設定しておけばよい。 |
|
IIS 6.0のFTPサーバでユーザー・フォルダを分離する(Active Directory編) IIS 6.0のFTPサービスでは、ユーザーごとにフォルダを完全に分離し、ほかのユーザーのフォルダから隔離する機能が導入された。 / Active Directoryを使ったユーザーの分離モードでは、ユーザーごとのFTP用フォルダをActive Directoryの属性として定義しておくことができる。 / ユーザーごとのフォルダ属性を設定するには、iisftp.vbsコマンドを利用する。 |
|
自動実行されるプログラム/サービス/アドインを一望にし、制御する Windowsでは、さまざまなプログラムやサービス、アドインなどが自動的に起動される。 / スパイウェアの調査やトラブル発生時の対処などで、これら自動起動されるコンポーネントを調査、制御したい場合がある。 / Windowsの標準ツールを使うこともできるが、さらに便利な無償ツールを活用することができる。 |
|
キャッシュされたログオンを無効にする Windows OSには「キャッシュされたログオン」機能があり、ネットワークに接続されていなくても、以前のドメイン・ログオン資格情報を使ってコンピュータにログオンすることができる。 / キャッシュされたログオン状態ときでも暗号化されたファイルにもアクセスできるため、場合によってはセキュリティ的に問題がある。 / キャッシュされたログオンを無効にするには、レジストリを変更する。 / ただしノートPCでこの設定を行うと、オフライン時にはドメイン・ユーザー・アカウントではログオンできなくなる。 |
|
ログオンの失敗をメールで通知する 重要なサーバなどでは、ログオンの失敗が発生したことを検知したい場合がある。 / WMIを利用して、ログオン失敗時に発生するイベントを監視することができる。さらにCDOを組み合わせれば、ログオン失敗の発生をメールで通知させることが可能である。 |
|
WSHスクリプト・コードを暗号化する スクリプト言語によるプログラミングには簡易である反面、ソース・コードがエンドユーザに露出してしまう、コードの改変が可能である、などの問題も存在する。 / しかし、フリーで利用可能なScript Encoderを利用することで、スクリプトコードを暗号化し、ユーザーの目から隠ぺいすることができる。 |
|
「パスワードの複雑性」の要件 ユーザー名から類推が容易なパスワードや、短いパスワードの使用は安全性に問題があるので禁止させたいことがある。 / セキュリティ・ポリシーを変更すれば、ある種の「複雑性」を満たさないパスワードの使用を禁止することができる。 / ただしこのセキュリティ・ポリシーで強制できる条件は非常に限定的なので、補助的な運用ルールなども決めるのが望ましい。 |
|
MDACのバージョン調査ツールを利用する MDACは、さまざまな種類のデータベースにアクセスするための、汎用的で統一的なインターフェイスの総称である。 / MDACには多くのバージョンが存在し、さまざまな製品とともに出荷されているので、システムにインストールされているMDACのバージョンも多岐に渡る。 / MDACのバージョンを調査するにはComponent Checkerツールが利用できる。 |
|
不要になったユーザー・プロファイルを削除する ユーザー・プロファイルには、ユーザーごとのレジストリ情報やデスクトップ設定、ユーザー・ドキュメントなどが格納されている。 / ユーザー・プロファイルは、ユーザーが最初にログオンしたときに作成されるが、自動的に削除されることはない。 / 不要になったプロファイルを削除すれば、ディスクの空き領域を増やし、フラグメントなどを軽減することができる。 |
|
DNSサーバの動的更新設定を変更する Windows OSでは、起動時に自分自身のホスト名とIPアドレスをDNSサーバへ送信して、DNSのエントリを動的に更新するという動的更新機能を持っている。 / Windows Server OSのDNSサーバは、デフォルトでは任意のコンピュータからの動的更新要求を受け付けないので、必要に応じて設定を変更する。 / インターネット向けに利用する場合は動的更新は無効にしておくのがよい。 |
|
「悪意のあるソフトウェアの削除ツール」をWebページから素速く実行する マイクロソフトが無償公開した「悪意のあるソフトウェアの削除ツール」を使えば、重大なウイルス/ワームにコンピュータが感染していないかどうかを確認できる。 / 当初はWindows Updateでの提供、またはダウンロード・センターからツールをダウンロードして実行するしかなかったが、その後Webページから実行可能なActiveXコントロール版が公開された。 / 操作が容易なので、初心者に実行を指示する場合などに便利である。 |
Windows Server Insider フォーラム 新着記事
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
本日
月間
転職/派遣情報を探す
Copyright © ITmedia, Inc. All Rights Reserved.