展開のセキュリティ チェックリスト
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2007-12-11
Microsoft Exchange Server 2007 は、お客様のほとんどのシナリオについて、既定でセキュリティ保護されるように設計されています。Exchange 2007 では通常、"既定でセキュリティ保護される" とは、以下の条件が満たされることを意味します。
- Exchange 2007 によって使用されるアカウントは、一連の特定のタスクを実行するために最低限必要な権限を持ちます。
- 既定では、サービスは必要な場合にのみ開始されます。
- Exchange オブジェクトに対するアクセス制御リスト (ACL) の権限は、最小限になっています。
- 管理アクセス許可は、特定の変更で必要とされるオブジェクトの変更範囲に従って設定されます。
- 内部の既定のメッセージ パスはすべて暗号化されます。
- その他の多くの機能は、最初のインストール時に、比較的強固にセキュリティで保護されたメッセージング環境を提供するように設計されています。
ここでは、Microsoft Exchange のインストールの前後に、メッセージング環境をより適切にセキュリティで保護するために実施できるいくつかの推奨手順について説明します。新しい Exchange サーバーの役割をインストールするたびに、このチェックリストを参照することをお勧めします。
Exchange 2007 ヘルプ ファイルのすべての内容と同様に、チェックリストの最新の内容は、Exchange Server TechCenter で参照できます (このサイトは英語の場合があります)。
インストール前
Exchange 2007 をインストールする前に、以下の手順を実行します。
| 手順 | 確認 |
|---|---|
Microsoft Update を実行します。 |
|
Microsoft 悪意のあるソフトウェアの削除ツールを実行します。悪意のあるソフトウェアの削除ツールは、Microsoft Update に含まれています。このツールの詳細については、悪意のあるソフトウェアの削除ツールについてのページを参照してください (このサイトは英語の場合があります)。 |
|
|
インストール後
すべての Exchange 2007 サーバーの役割に対してセキュリティの構成ウィザード (SCW) を実行することをお勧めします。Windows Server 2003 を実行しているサーバーで LAN Manager 認証レベルを変更することもお勧めします。
セキュリティの構成ウィザード
SCW は、Microsoft Windows Server 2003 Service Pack 1 (SP1) で導入されたツールです。SCW を使用して、Exchange 2007 サーバーの役割では不要な Windows 機能を無効にすることにより、サーバーの攻撃の対象となる範囲を最小限に抑えることができます。SCW は、サーバーの攻撃の対象となる範囲を減らすセキュリティのベスト プラクティスを自動的に実施します。SCW は、サーバー上のアプリケーションに必要なサービスを要求するために役割ベースのメタファーを使用します。このツールによって、Windows 環境は、セキュリティの脆弱性を利用した攻撃による影響を受けにくくなります。詳細については、「Exchange Server の役割の Windows を保護するためのセキュリティ構成ウィザードの使用」を参照してください。
LAN Manager 認証レベル
Windows Server 2003 を実行している各 Exchange サーバーで、LAN Manager 認証レベルを『Windows Server 2003 セキュリティ ガイド』でお客様の環境に対して推奨されているレベルに設定することをお勧めします。この設定により、ネットワーク ログオンに使用されるチャレンジ/レスポンス認証プロトコルが判断されます。この選択は、クライアント コンピュータが使用する認証プロトコルのレベル、ネゴシエートされるセキュリティのレベル、およびサーバーが受け入れる認証のレベルに影響します。LAN Manager 認証レベルを変更するには、レジストリで LmCompatibilityLevel エントリを変更する必要があります。
.gif "Caution") 注意 : |
|---|
| レジストリに対して誤った編集を行うと、重大な問題が発生する可能性があり、オペレーティング システムの再インストールが必要になる場合があります。 誤ったレジストリ編集に起因する問題は、解決できない場合もあります。 レジストリを編集する前に、重要なデータをバックアップしてください。 |
以下は、『Windows Server 2003 セキュリティ ガイド』で推奨されている LAN Manager 認証レベルです。
- 従来のクライアント環境 『Windows Server 2003 セキュリティ ガイド』で、従来のクライアント環境は、Windows Server 2003 を実行するメンバ サーバーとドメイン コントローラ、および Microsoft Windows 98 および Windows NT 4.0 を実行するクライアント コンピュータによって Active Directory ディレクトリ サービス ドメインを構成する環境として定義されています。Windows 98 を実行するコンピュータには、Active Directory Client Extension (DSCLient) がインストールされている必要があります。DSClient のインストールの詳細については、マイクロソフト サポート技術情報の記事 288358「Active Directory Client Extension をインストールする方法」を参照してください。『Windows Server 2003 セキュリティ ガイド』では、従来のクライアント環境がある場合には、LmCompatibilityLevel エントリを 3 に設定するよう推奨しています。
- エンタープライズ クライアント環境 『Windows Server 2003 セキュリティ ガイド』で、エンタープライズ クライアント環境は、Windows Server 2003 SP1 を実行するメンバ サーバーとドメイン コントローラ、あるいは Windows 2000 Server および Windows XP を実行するクライアント コンピュータによって Active Directory ドメインを構成する環境として定義されています。『Windows Server 2003 セキュリティ ガイド』では、エンタープライズ クライアント環境がある場合に、LmCompatibilityLevel エントリを 4 に設定するよう推奨しています。
さらに、クラスタ環境にも LAN Manager 認証レベルに関連する要件があります。クラスタ連続レプリケーション (CCR) 環境では、組織の各ドメイン コントローラの LmCompatibilityLevel エントリを、Exchange サーバーの LmCompatibilityLevel エントリと同じ値に設定する必要があります。ドメイン コントローラの LmCompatibilityLevel エントリが Exchange サーバーの LmCompatibilityLevel エントリと同じでない場合、レプリケーションでエラーが発生する可能性があります。ドメイン内のすべてのドメイン コントローラで LmCompatibilityLevel エントリを設定してから各クラスタの LmCompatibilityLevel エントリを設定することをお勧めします。
クラスタで LmCompatibilityLevel エントリを設定するには、クラスタのすべてのノードで値を同時に変更し、クラスタの各ノードを再起動する必要があります。レジストリ エントリを変更し、グループ ポリシー オブジェクト (GPO) を使用する代わりに、クラスタ内の各コンピュータを手動で再起動して、クラスタのすべてのノードが確実に同時に再起動されるようにすることをお勧めします。
.gif "note") 注 : |
|---|
| 既定では、Windows Server 2008 を実行しているコンピュータの LmCompatibilityLevel は 3 以上です。 |
LAN Manager 認証レベルの詳細については、『Windows Server 2003 セキュリティ ガイド』の「第 4 章メンバ サーバー ベースライン ポリシー」を参照してください。LmCompatibilityLevel レジストリ エントリを変更して LAN Manager 認証レベルを設定する方法の詳細については、「How to Configure the LAN Manager Authentication Level」を参照してください。GPO を使用して、組織のすべてのコンピュータで LmCompatibilityLevel レジストリ エントリを設定できます。詳細な手順については、「How to Configure the LAN Manager Authentication Level」を参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。