第 5 章 : Microsoft Windows 98 の強化
公開日: 2004年11月17日
旧バージョンの Windows オペレーティング システムを使用するほとんどの組織では、大量の Microsoft® Windows® 98、Windows 98 Second Edition (SE)、または Windows Millennium Edition (Me) (この章では、これらを総称して "Windows 98" と呼びます) で動作する大量のデスクトップおよびモバイル コンピュータ クライアントを抱えています。 この章では、これらのクライアントのセキュリティを改善 (または強化) することにより、ネットワーク全体のセキュリティを向上させるためにできることに焦点を当てます。
Windows 98 クライアントは、オペレーティング システムのアップグレードが不可能な多くの職場に展開されています。 たとえば、多数のキオスクや POS 端末、カスタマイズされたアプリケーション、および教室にある学生のワークステーションのプラットフォームとして機能しています。 これらのコンピュータ上でセキュリティ設定を正しく構成することにより、ネットワーク上のワークステーションや他のコンピュータを危険にさらすことなく、業務アプリケーションの継続的な信頼性を保証することができます。
この章では、次の作業の実行方法を説明します。
Windows98 をインストールして、更新プログラム ベースラインを提供する。
インターネット ファイアウォールをインストールする。
起動シーケンスを強化する。
Microsoft Internet Explorer の基本構成を展開する。
Microsoft Active Directory® ディレクトリ サービスのクライアント拡張をインストールする。
Server Message Block (SMB) 署名を設定する。
Windows NT LAN Manager (NTLM) の認証レベルを選択する。
効果的なシステム ポリシーを定義する。
トピック
Windows 98 のセキュリティ設計 実装 ソリューションをテストする 要約
Windows 98 のセキュリティ設計
Windows 98 の安全なインストール環境を設計する場合、その大半は、簡単に変更できる構成設定を識別できるかどうかという点に関わってきます。 セキュリティで保護された環境では、これらの設定は企業の仕様に従って設定され、ロックされているため、設定を変更することはできません。
Windows 98 をインストールして更新プログラム ベースラインを提供する
最新のセキュリティ更新プログラムを適用した Windows 98 のベースラインを展開することが、セキュリティ保護されたプラットフォーム ポリシーを実装するための明確な出発点となります。 Windows 98 の更新プログラムの詳細な一覧は、マイクロソフトの Windows 98 ダウンロード サイト https://www.microsoft.com/japan/win98/downloads/ にあります (このガイダンスの「第 6 章 : パッチ管理」で更新プログラムについて詳細に説明しています)。ネットワークへの Windows 98 ワークステーションの初期展開に、既知の脆弱性に対する改善策が含まれているはずです。 次に例を示します。
すべての Windows 98 ワークステーションは、適切なネットワーク パフォーマンスを得るために必要なオプションのみを使用して設定する必要があります。 たとえば、ローカルのファイルやプリンタを共有する必要がない場合は、ネットワークの設定で [ファイルとプリンタの共有] オプションを指定する必要はありません。
すべての重要な更新をマイクロソフトの Web サイトからワークステーションに適用してあること、また、ローカル コンピューティング環境に適用するものであれば、推奨される更新がインストールされていることを確認します。
Microsoft Internet Explorer 6 Service Pack 1 (SP1) には、最新のセキュリティ保護されたブラウズ機能の拡張と修正が含まれています。 インターネットに接続しているすべてのコンピュータにこれをインストールする必要があります。 Microsoft Internet Explorer の Web サイト https://www.microsoft.com/windows/ie_intl/ja/default.mspx から直接ダウンロードするか、CD-ROM 版を注文するか、または、カスタマイズした構成には「Internet Explorer 管理者キット (IEAK)」を使用してインストールできます。
最新のセキュリティ保護された基本構成を非常に効率よくインストールする方法は、マイクロソフトの Trustworthy Computing (信頼できるコンピューティング) Web サイト https://www.microsoft.com/japan/athome/security/protect/default.aspx から入手できる Microsoft Windows Security Update CD を使用するか、マイクロソフトの製品サポート サービスに電話をかけることです。
Trey は、Ghost イメージング ツールを使用して新しいワークステーションに適用された共通イメージからコンピュータを構築することを選択しました。 共通イメージは、Windows 98、Internet Explorer 6.0、およびすべてのリリース済み更新プログラムと Service Pack、さらに、Windows Security Update CD のコンポーネントをインストールすることにより構築されました。
インターネット ファイアウォールをインストールする
ファイアウォールは、ネットワークの一部を別の部分から分割して、トラフィック フィルタ ルールに従って許可されたネットワーク トラフィックだけが通ることができるようにするセキュリティ ソリューションです。 ファイアウォールは、ハードウェア ベースかソフトウェア ベースのいずれかとなります。 インターネット ファイアウォールは、特定の許可を受けていない受信ネットワーク トラフィックへのアクセスを否認することにより悪質な攻撃からコンピュータを守る、ローカルのコンピュータ ネットワークとインターネットの間に存在するものです。 ネットワーク環境では、ネットワーク自体にハードウェア ファイアウォールまたは Microsoft Internet Security and Acceleration (ISA) Server などの同様の製品を導入して、外部の脅威から保護する必要があります。 個々のワークステーションは、複数のベンダから提供されているソフトウェア ファイアウォール製品をインストールすることで保護できます。この章の終わりの「関連情報」のセクションを参照してください。
起動シーケンスを強化する
Windows 98 の潜在的なセキュリティの弱点の 1 つは、起動シーケンスにあります。このシーケンスは、ポリシーが設定される前に中断され、システムへのアクセスを可能にします。 このようにしてシステムが危険にさらされる前に、メモ帳などのテキスト エディタで Msdos.sys システム ファイルを編集し、起動プロセスをセキュリティ保護する必要があります (この章の後半に個別のガイダンスがあります)。 システム管理者は、この設定によりコンピュータがセーフ モードで起動できなくなる点に注意する必要があります。これは、悪質なユーザーがセキュリティ手段をすり抜けるのを防ぐのに妥当な方法と言えます。 ただし、この設定により、システムのトラブルシューティングがより困難になるうえ、システム メンテナンス用の代替起動シーケンスを使用するためにリセットしなければなりません。
起動プロセスは、リムーバブル記憶域から起動すると中断されるため、コンピュータの BIOS 設定をプライマリ ハードディスクからのみ起動するように設定する必要があります。 ほとんどのコンピュータでは、システムの起動中に Ctrl キーを押すと BIOS 設定に入ることができます。 セキュリティで保護されて起動するように BIOS を設定した後、管理者パスワードを設定すると、セキュリティをさらに強化できます。 この方法は、完全に安全というわけではありません。多くのシステム BIOS 設定は "緊急操作用" のキー シーケンスでリセットでき、この方法は Web サイトに公開されていることがよくあります。また、システムのケースを開けてハードウェア ジャンパの位置を変更することで、ほとんどすべての BIOS 設定をリセットできます。 コンピュータの物理的なセキュリティに不安がある場合は、システム本体に物理的にロックをかけてください。
Trey のエンジニアは、ドメイン内の Windows 98 を実行している各コンピュータの起動タイムアウト値を変更しました。 デスクトップ コンピュータおよびモバイル コンピュータの全ユーザーには、コンピュータを保護するためのワイヤ型の鍵を提供しました。 また、ワイヤ型の鍵でロックしたコンピュータでは、起動を制限するように BIOS 設定を変更しました。
Internet Explorer の基本構成を展開する
Internet Explorer 管理者キット (IEAK) には、Internet Explorer 6 をカスタマイズ、展開、およびメンテナンスするための多くのツールが含まれています。 ネットワーク管理者は、IEAK を使用して、ネットワーク クライアントに展開する安全な構成を特定できます。 展開されるものには、カスタム アプリケーション、事前に設定された「お気に入り」リスト、プライバシーおよびセキュリティの設定、プロキシ サーバーの仕様、および Internet Explorer のその他ほとんどのカスタマイズが含まれます。 このような構成を維持することにより、新たなインターネットの脆弱性の問題が見つかるたびにセキュリティ コンポーネントを簡単に更新できます。
Internet Explorer では、セキュリティ ゾーンを設定して、ダウンロードやアクティブなコンテンツを有効にしたりプロックすることができます。 設定できる 4 つのゾーンは次のとおりです。
インターネット。 他のゾーンに含まれないすべての Web サイトを含みます。
イントラネット。 ローカル ネットワーク内のすべてのサイトを含みます。
信頼済みサイト。 悪質なコンテンツを含まないように信頼済みの Web サイトが含まれます。
制限付きサイト。 悪質なコンテンツを含む可能性のある Web サイトが含まれます。
これら 4 つのセキュリティ ゾーンのそれぞれでカスタマイズしたセキュリティ構成を設定でき、またドロップダウン リストから「低 」から「高」までの事前設定の安全レベルを選択できます。
Trey は、Internet Explorer 6.0 を展開するために、IEAK を使用して、信頼済みホスト用のセキュリティ ゾーン設定の詳細な一覧を含むカスタム構成を構築しました (プロセスの詳細は、https://www.microsoft.com/windows/ieak/ja/default.mspx で入手可能な IEAK の文書で説明されています)。
新しい Internet Explorer セッションや "ポップアップ" ウィンドウを呼び出すアクティブ コンテンツから、悪質なコードが侵入することがあります。 ポップアップ ウィンドウの多くは、ユーザーをだまして、トロイの木馬 (便利なように見えながら、コンピュータ システムを破壊したり、損傷を与える隠れたコードを含むプログラム)、ウイルス (複数のコンピュータ上に自らを複製するように設計されたプログラム)、またはスパイウェア (ユーザーとの適切な合意を得ずに特定の活動を行なうプログラム) などをインストールしようとします。 洪水のように押し寄せてくるポップアップ ウィンドウを止める簡単な方法は、ポップアップ ブロッカーをインストールすることです。 マイクロソフトでは、MSN ツールバーの一部として、優れたポップアップ ブロッカーを無償で提供しています。これは、https://toolbar.msn.co.jp/ で入手できます。 Trey は、Windows 98 のイメージの更新の一部として MSN ツールバーを展開しました。
Active Directory クライアント拡張をインストールする
Windows 98 クライアントには、Active Directory サービスの利点を活用するように設計された新しいオペレーティング システムのすべての機能が備わっていません。 マイクロソフトは、Windows 98 用の Active Directory Client Extension Add-On (DSClient) を公開して、Active Directory ネットワークへのアクセスを提供しました。 DSClient を使用すると、Windows 98 で次の Active Directory 機能が使用できるようになります。
Active Directory サイトの認識。 この機能により、クライアントは、プライマリ コントローラ (PDC) や PDC エミュレータの役割を持つコントローラではなく、ネットワーク上で最も近いコントローラにログオンできます。 また、クライアントから任意のドメイン コントローラに対するパスワードをリセットすることもできます。 Windows NT 4.0 のドメインでは PDC がすべてのパスワードの変更要求を処理していましたが、Active Directory ではドメイン コントローラがこれらの要求に対応します。 DSClient は、この機能を Windows 98 クライアントにも提供します。 このような拡張により、PDC 上のネットワーク トラフィックと負荷が削減されます。
NTLM バージョン 2 (NTLMv2) 認証。 NTLMv2 認証により、Windows 98 の出荷時に付属の LAN Manager (LM) 認証よりも安全な認証が可能になります。 Kerberos 認証ほど強力ではありませんが、NTLMv2 は LM よりははるかに安全です。
Active Directory サービス インターフェイス (ADSI)。 ADSI は、アプリケーションに共通のアプリケーション プログラミング インターフェース (API) を提供し、Active Directory のスクリプティング インタフェースを可能にします。
分散ファイルシステム (DFS) フォールト トレランス。 DSClient は、Active Directory で指定されたとおりに Windows 2000 および Microsoft Windows Server™ 2003 の DFS フェールオーバー共有へのアクセスを提供します。
Active Directory Windows アドレス帳プロパティ。DSClient は、Windows 98 環境を拡張して、[スタート] メニューの [検索] コマンドを介して、拡張された Active Directory のスキーマ要素を公開します。 また、権限のあるユーザーが Active Directory 内のユーザー オブジェクト上のプロパティを編集できるようにします。
次の Active Directory 機能は、Active Directory Client Extensions を介しても使用できるようになりません。
Kerberos サポート。 Kerberos が完全にサポートされるのは、Windows 2000 以降のクライアント上だけです。
グループ ポリシー サポート。 グループ ポリシーへの参加と IntelliMirror オブジェクト管理は、旧バージョンのオペレーティング システムでは利用できません。
インターネット プロトコル セキュリティ (IPSec) および L2TP サポート*。* これらの高度にセキュリティ保護されたネットワーキング プロトコルは使用できません。
サービス プリンシパル名 (SPN) または相互認証*。* これらの機能は、DSClient では有効になりません。
マイクロソフトの製品サポート サービスから最新バージョンの DSClient を入手することが重要です。 DSClient 2003 はホットフィックスとして入手できます。詳細については、サポート技術情報 323455「Windows 98 の Directory Services Client 更新」 https://support.microsoft.com/default.aspx?scid=kb;ja;323455 に掲載されています。 DSClient をインストールする前に、ワークステーションで Internet Explorer 6 SP1 以降を実行していることを確認してください。
Trey の IT スタッフは、ドメイン内の Windows 98 を実行している各コンピュータに DSClient を手動で展開しました。 その際、Kerberos 認証との統合を可能にし、Windows 98 を実行しているコンピュータがより高度な NTLM 認証レベルを使用できるように作業しました。
SMB 署名を設定する
SMB 署名は、クライアント/サーバー間で送信された各パケットに認証確認のためのデジタル署名を付けることができる暗号化テクニックです。 このテクニックは、通信に介入しようとするコンピュータがネットワーク内でクライアントまたはサーバーを偽装することを防ぎ、またすべてのネットワーク通信のソースを検証します。
SMB 署名は、Windows NT 4.0 Service Pack 3 (SP3) で導入されました。サポート技術情報 161372「Windows NT で SMB 署名を有効にする方法」 https://support.microsoft.com/default.aspx?scid=kb;ja;161372 にその説明が掲載されています。 SMB 署名を Windows 98 で有効にするには、HKLM\SYSTEM\CurrentControlSet\Services\VxD\VNetsup キーの DWORD エントリを署名必須にするか、通信相手が署名を要求したときにそれをサポートするように設定します。 組み合わせにより SMB 署名の使用を制御する 2 つの DWORD 値があります。
EnableSecuritySignature を 1 に設定し、RequireSecuritySignature を 0 に設定すると、クライアントとサーバーの両方が SMB 署名をサポートする場合に SMB 署名が使用されます。 この設定では署名を状況に応じて使用できますが、クライアントから署名をサポートしていない他のクライアントやサーバーへの接続を防止することはできません。
RequireSecuritySignature を 1 に設定し、EnableSecuritySignature を 0 に設定すると、クライアントは SMB 署名をサポートするサーバーとだけ通信できます。
SMB 署名を使用する場合は、ネットワークに参加するすべてのコンピュータ上で設定する必要があります。 これらのレジストリ エントリを持たないコンピュータは他のネットワーク ホストと通信できません。 SMB 署名のオーバーヘッドは、通常、10 ~ 15 % のネットワーク パフォーマンスの低下につながります。
Trey は、既存環境との完全な互換性を提供するために、Windows 98 クライアントで SMB 署名の使用を無効にすることを選択しました。 SMB 署名は、Windows NT および Windows 2000 のクライアントだけでなく、サーバーやドメイン コントローラでも有効ですが、必須ではありません。 Trey では Windows 98 クライアントを EnableSecuritySignature=0 および RequireSecuritySignature=0 で設定しました。これにより、Windows 98 クライアントが署名された接続を要求したり、受け入れたりすることはありません。 この方法では、なりすまし攻撃や仲介者攻撃を防ぐセキュリティを Windows 98 クライアントに追加できませんが、SMB 署名を無効にすることにより、Trey の業務においてセキュリティを追加することよりも重要とみなされる互換性が維持されます。 また、Windows Server 2003 では既定で SMB 署名を有効にしているため、この変更を行うには、Windows Server 2003 ドメイン コントローラの設定も変更する必要がありました。
NTLM 認証レベルを選択する
Windows 98 では、既定で、古くてセキュリティ レベルのより低い認証 LM 暗号化を使用します。 これらに対する脆弱性および悪用手法が公開されており、マイクロソフトではこれらの脆弱性を軽減するために認証セキュリティ プロトコルを強化しました。 DS Add-On クライアントを設定した後に、このクライアントをよりセキュリティ レベルの高い NTLMv2 認証手法を使用するように設定できます。
DSClient をインストールすると、Windows 98 は、2 つのレベルの NTLM および NTLMv2 認証をサポートします。これは、この章の後半で説明する LMCompatibility レジストリ値で制御します。 値は次のとおりです。
0 (LM と NTLM 応答を送信する)。 相互運用性が最大になります。 クライアントでは、認証に LM またはいずれかのバージョンの NTLM を使用できます。
3 (NTLMv2 応答のみ送信する)。 この値を使用できるのは、旧バージョンのオペレーティング システムを実行するクライアントに DSClient をインストールした場合のみです。
Trey は最初に、既存の環境を反映した値 0 のレジストリ キーを展開しました。 また、Windows NT 4.0 サーバーを「第 4 章 : Windows NT 4.0 の強化」で説明したようにアップグレードした後、Windows 98 を実行しているコンピュータ上の LMCompatibility 値を 3 に設定し直しました。
NTLMv2 暗号化の既定のインストールでは、56 ビット バージョンの Internet Explorer がインストールされたシステム上で 56 ビットのキーの長さが提供されます。 1999 年以降に Internet Explorer がインストールされたシステムには、おそらく 128 ビット バージョンがあり、旧バージョンのクライアントは前の章で説明したように 128 ビットの暗号化にアップグレードできます。 DSClient をインストールする前に 128 ビット バージョンの Internet Explorer がインストールされている場合は、128 ビットの NTLMv2 認証が有効になります。 「第 4 章 : Windows NT 4.0 の強化」で説明したように、Trey は Windows 98 を実行しているコンピュータ上に 128 ビットの更新をインストールし、すべてのコンピュータに NTLMv2 認証サポートを展開しました。 このような変更を行った後に、Trey はサーバーおよびドメイン コントローラ上で NTLMv2 サポートを有効にすることができました。
効果的なシステム ポリシーを定義する
システム ポリシーを使用すると、セキュリティ ポリシーを集中的に適用して、ローカルのコンピュータ レジストリの既定の設定を上書きできます。 ネットワーク管理者は、Windows 98 を実行しているコンピュータ内で脆弱性のあるエリアを特定し、可能な限り保護できるように多くの設定を構成できます。
Windows 98 クライアントは、PDC の Netlogon 共有にある Config.pol ファイルのポリシーを適用します (これは、Windows 98 を実行しているコンピュータがドメイン ユーザーのグループ メンバーシップを列挙できるのは PDC からのみで、バックアップ ドメイン コントローラ (BDC) からは列挙できないためです)。 Trey のドメイン コントローラは Windows Server 2003 を実行しているため、これは問題にはなりません。Windows NT® 4.0 のドメイン コントローラを現在も実行しているサイトでは、サポート技術情報 150687「Windows NT ドメインでグループ ポリシーが適用されない」 https://support.microsoft.com/default.aspx?scid=kb;ja;150687 に掲載されている推奨事項に従うと、ユーザー固有のポリシーを配布できることがあります。
Windows 98 ポリシーのほとんどは、ユーザーが持っているデスクトップ環境の変更機能を制限する方向にあります。 Trey は、これらのポリシーを追加してもほとんどセキュリティ効果がないため、これらのポリシーを使用しないことにしました。 その代わりに、悪質な攻撃者が損害を与えたり、悪意はないが熟練していないユーザーが必要な機能を誤って壊したりすることを困難にするポリシー設定を適用するこにしました。 つまり、次のようなポリシーです。
ログオン セキュリティを必要とし、組織のポリシーを示すログオン バナーを表示する。
ユーザー パスワードの入力時にパスワードを非表示にし、長い英数字のパスワードを必要とするパスワード ポリシーを設定する。
ファイルとプリンタの共有およびリモートからのダイヤルイン アクセスを無効にする。
ユーザーがレジストリ編集ツールを実行するのを防ぐ。
間違いによりセキュリティが強くなりすぎて、コンピュータを使用したり管理するために必要な機能がロックアウトされることがあります。 このため、プライマリ ワークステーション以外の、再構成可能なコンピュータを使用することをお勧めします。. また、一部の制限を緩和するグループ固有またはユーザー固有のポリシーを管理者用に作成して、管理者がレジストリ編集ツールやトラブルシューティング ツールに簡単にアクセスできるようにするのもよいでしょう。 Trey は、運用ホストを正確に再現するように構築したコンピュータで構成されるラボ環境にポリシー設定案を展開するためのテスト スケジュールを開発し、このテスト スケジュールを使用して、ポリシーが予期せぬ副作用を及ぼすことなく、意図したとおりに機能することを検証しました。
実装
Windows 98 には、その後のバージョンの Windows で導入された構成および管理ツールの多くが備わっていません。 このため、Trey Research のスタッフは、セキュリティ保護された Windows 98 構成を構築し、それをイメージング機能を介してクライアント ワークステーションに展開する方法か、セキュリティ設定を手動で適用する方法のいずれかを選択しなければなりませんでした。 そして、IT 近代化計画の一環としてすべてのコンピュータに Windows XP Service Pack 2 を展開することを既に計画していたことから、短期的には複雑さが増しますが、影響のあるコンピュータを 2 度再構築することを避けるために手動で適用することにしました。
実装の前提条件
これまでに説明してきた細部に渡る実装を正しく機能させるため、「第 2 章 : セキュリティ リスク管理の統制を Trey Research のシナリオに適用する」で説明したように、Trey Research の基本的なインフラストラクチャを実装しておく必要があります。
実装の概要
このソリューション シナリオを実装するには、次の作業を実行します。
Windows98 のインストールと更新プログラム ベースラインの提供
インターネット ファイアウォールのインストール
起動シーケンスの強化
Internet Explorer の展開
Windows 98 用 Active Directory Client Extensions のインストール
SMB 署名の設定
NTLM 認証レベルの選択
効果的なシステム ポリシーの定義
Windows 98 をインストールして更新プログラム ベースラインを提供する
Trey は、Windows 98 を標準の既定設定でテスト コンピュータに再インストールし、Security Update Kit から更新プログラムをインストールして、Windows Update から最新の更新プログラム セットを追加することにより、標準の Windows 98 構成を作成しました。 そして、インストールの完了後、Windows Update カタログ ツールを使用して、テスト システムを分析し、適用された更新プログラムの一覧を示すレポートを印刷しました。 この更新プログラム一覧を使用して、引き続き他の Windows 98 システムを同じベースラインに更新しました。
インターネット ファイアウォールをインストールする
Trey の IT 責任者は、数多くのパーソナル ファイアウォール製品を評価した後、設定を一元化でき、試行された攻撃やペネトレーションを報告する製品を選択しました。 そして、このファイアウォール製品を、Windows 98 を実行するすべてのデスクトップおよびモバイル コンピュータに展開しました。 マイクロソフトでは特定のファイアウォール製品をお勧めしていませんが、この章の終わりの「関連情報」に使用可能な製品をいくつかご紹介しています。
起動シーケンスを強化する
Windows 98 を実行しているコンピュータがオペレーティング システムの起動時に停止するのを防ぐため、リムーバブル デバイスを起動デバイスとしてアクセスしないように Msdos.sys システム ファイルを変更してコンピュータの BIOS を設定します。
起動プロセスをセキュリティ保護する
セキュリティ ポリシーが適用される前に起動シーケンスが中断されないようにするために、Msdos.sys システム ファイルを編集して、起動動作の変更とポリシーの回避を可能にする機能を無効にします。 このファイルを見つけて編集する方法については、サポート技術情報 118579「Windows の Msdos.sys ファイルの内容」 https://support.microsoft.com/default.aspx?scid=kb;ja;118579 で説明しています。
Msdos.sys ファイルは隠しファイルで読み取り専用になっているため、ファイルを編集する前にこれらの属性を変更する必要があります。
Msdos.sys をメモ帳で変更するには
[スタート] ボタンをクリックして、[検索] をポイントし、[ファイルやフォルダ] をクリックします。
[ファイルまたはフォルダの名前] ボックスに「msdos.sys」と入力します。
[探す場所] ボックスで、起動ドライブ (通常はドライブ C) をクリックします。
[検索開始] ボタンをクリックします。
Msdos.sys ファイルを右クリックして、[プロパティ] を選択します。
[読み取り専用] チェック ボックスと [隠しファイル] チェック ボックスをオフにしてこれらの属性をファイルから削除し、[OK] をクリックします。
Msdos.sys ファイルを右クリックして、[アプリケーションから開く] を選択します。
[プログラムの選択] ボックスで [メモ帳] をクリックし、[OK] をクリックします。
[Options] セクションに次の 2 行を追加します。
BootKeys=0
BootSafe=0
BootKeys ブール値は、システムの起動時にキーボードのファンクションキーを使用できるかどうかを指定します。 ファンクション キーには起動プロセスを中断するものがあるため、セキュリティ保護されたシステムでは値 0 を割り当てて、このキーを無効にします。
BootSafe は、セーフ モードの起動を可能にする別のブール設定です。 BootSafe を値 0 に設定すると、コンピュータをセーフ モードで起動できなくなります。
ファイルを保存してメモ帳を閉じます。
Msdos.sys ファイルを右クリックして、[プロパティ] を選択します。
[読み取り専用] チェック ボックスと [隠しファイル] チェック ボックスをオンにしてこれらの属性を設定し、[OK] をクリックします。 [検索] ダイアログ ボックスを閉じます。
変更を有効にするためにシステムを再起動します。
注 : Msdos.sys の内容に関する詳細な説明は、前述のサポート技術情報に記載されています。
起動デバイスとしてのリムーバブル メディアへのアクセスを無効にする
コンピュータをリムーバブル メディアから起動できる場合、システムのセキュリティ設定が完全に無視され、再設定されます。 システム BIOS にアクセスする手順については、システムの製造元にお問い合わせください。
リムーバブル メディアからの起動を無効にするには
プライマリ ハードディスクを 1 番目の起動デバイスに設定します。
フロッピー ディスク ドライブおよび CD-ROM ドライブからの起動を無効にします。
業務環境で必要ない場合は、ユニバーサル シリアル バス (USB) および FireWire のポートを無効にすることを検討します。
これらのセキュリティ手段がリセットされないように BIOS パスワード (使用できる場合) を設定します。
Internet Explorer を展開する
大規模なネットワークの管理者は、Internet Explorer 管理者キット (https://www.microsoft.com/windows/ieak/ja/default.mspx から入手可能) を使用して Internet Explorer 6.0 SP1 のカスタム インストールを作成し、セキュリティ保護された Internet Explorer の最新バージョンをワークステーションで確実に実行させることができます。 管理者は、IEAK を使用して、Internet Explorer のセキュリティ設定を事前に設定するように管理プロファイルを設定したり、Microsoft NetMeeting® および Microsoft Outlook® Express をロックダウンしたり、ユーザーがどの機能を変更できるかを制御したりできます。
注 : サポート技術情報 555038「How to enable Windows98/ME/NT clients to logon to Windows 2003 based Domains」 https://support.microsoft.com/default.aspx?scid=kb;ja;555038 (英語) に記載されているように、最新バージョンの Active Directory Client Extensions には Internet Explorer 6.0 が必要です。
Windows 98 用の Active Directory Client Extensions をインストールする
マイクロソフトは、Windows 98 を Active Directory ドメインに参加できるようにする拡張機能を開発しました。 このクライアントは、このような環境のすべての Windows 98 ワークステーションにインストールする必要があります。 Windows 98 用 Active Directory Client Extensions は、Windows 2000 と共にで配布されましたが、最新の更新プログラムがマイクロソフトの製品サポートから無償のホットフィックスとして提供されています。
ネットワーク通信用に SMB 署名を設定する
SMB 署名により、ネットワーク経由で転送される各パケットがデジタル署名され、高レベルのセキュリティが提供されますが、ネットワーク パフォーマンスが 10~15 % 低下する場合があります。 SMB 署名を設定した場合、ネットワーク内のすべてのシステムが SMB 署名を使用するように設定する必要があります。 Trey では、セキュリティをいくらか犠牲にしてでも互換性を確保するために、Windows 98 クライアントで SMB 署名を強制的に無効にすることにしました。 Trey の構成は次のように実装できます。
Windows 98 クライアントで SMB 署名を無効にするには
コマンド プロンプトで、「Regedit.exe」と入力して Enter キーを押します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet \Services\VxD\VNetsup キーを見つけます。
このキーに次の 2 つの値を追加します。
値の名前 : EnableSecuritySignature
データ型 : REG_DWORD
値 : 0 (サーバーが署名の使用をサポートしている場合、それを無効にします)
値の名前 : RequireSecuritySignature
データ型 : REG_DWORD
値 : 0 (サーバーが署名をサポートできない場合でも通信を可能にします)
レジストリ エディタを終了します。
コンピュータを再起動します。
SMB 署名を必要とする Windows Server 2003 の既定の設定を変更するには
ドメインの管理者権限を持つアカウントを使用して、Windows Server 2003 のドメイン コントローラにログオンします。
Microsoft 管理コンソール (MMC.exe) を起動して、グループ ポリシー オブジェクト エディタ スナップインを追加します。 ドメインの [既定のドメイン コントローラのポリシー] オブジェクトでグループ ポリシー オブジェクト エディタをターゲットとして、[終了] をクリックします。
[既定のドメイン コントローラのポリシー] オブジェクトを展開して、コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプションの順に展開します。
[Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う] をダブルクリックします。
[このポリシーの設定を定義する] チェック ボックスをオンにし、[無効] ボタンが選択されていることを確認します。 [OK] をクリックします。
[Microsoft 管理コンソール] ウィンドウを閉じます。
NTLM 認証レベルを選択する
Active Directory Client Extensions をインストールしたら、NTLMv2 認証を有効にする必要があります。 この設定を有効にする方法については、サポート技術情報 239869「Windows 95/98 クライアントで NTLM2 認証を有効にする」に掲載されています。
NTLMv2 認証レベルを設定するには
コマンド プロンプトで、「Regedit.exe」と入力して Enter キーを押します。
レジストリで HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ というキーを探し、クリックします。
Control キーに「LSA」という名前の新しいサブキーを作成します。
「LMCompatibility」という名前の DWORD 値を作成して、これを 3 に設定します (設定可能な値については、この章の前方にある「NTLM 認証レベルを選択する」を参照してください)。
コンピュータを再起動します。
**注 :**Windows NT サーバーを更新して NTLMv2 を使用できるようしてから、LMCompatibility の値を 3 に設定してください。 NTLMv2 を使用するように設定されていないコンピュータが環境内にあると、通信が失敗します。 会社全体にこれらの設定を適用して、通信が中断されないようにしてください。 Windows NT での LM の互換性の制限については、「第 4 章 : Windows NT 4.0 の強化」を参照してください。
セキュリティ用のシステム ポリシーを設定する
システム ポリシー エディタは、ユーザーに自分の業務を実行することは許可しても、セキュリティ設定を変更することは許可しないという明確な方法で、Windows 98 を実行しているコンピュータへのアクセスを制限する際に使用する強力なツールです。 ワークステーションが改ざんされるのを防ぎ、カスタム セキュリティ設定を強化するために、システム ポリシーを作成してください。
システム ポリシー エディタをインストールする
システム ポリシー エディタは、ポリシーを作成するのと同じプラットフォームにインストールする必要があります。 つまり、Windows 98 システムのポリシーを作成する場合は、Windows 98 ワークステーションからポリシー ファイルを編集して保存する必要があります。
Windows 98 CD-ROM からシステム ポリシー エディタをインストールするには
[スタート] ボタンをクリックし、[設定] をポイントして [コントロール パネル] をクリックします。
[アプリケーションの追加と削除] をクリックします。
[Windows セットアップ] タブをクリックして、[ディスク使用] をクリックします。
Windows 98 ディスクを CD-ROM ドライブに挿入します。
[ディスクからインストール] ダイアログ ボックスで、CD の \Tools\Reskit\Netadmin\Poledit フォルダに移動し、Poledit.inf ファイルを選択して [OK] をクリックします。
[ディスク使用] ダイアログ ボックスで、[システム ポリシー エディタ] コンポーネントを選択して [インストール] をクリックします。
このインストール処理により、Poledit.exe が Windows フォルダに、Windows.adm、Common.adm、および Poledit.inf が \Windows\Inf フォルダにコピーされます。 また、レジストリに必要な変更が行われ、プログラム\アクセサリ\システム ツール フォルダにスタート メニュー項目が追加されます。
警告 : レジストリを編集する前に、レジストリ ファイル (System.dat および User.dat) のバックアップ コピーを作成します。これらは、Windows システム フォルダの隠しファイルです。
推奨されるポリシー設定
システム ポリシー エディタをインストールしたら、このエディタを使用してローカル インストール用または配布用のポリシーを作成できます。 ポリシーの設定を変更する際、各ポリシー設定のチェック ボックスは、オン、オフ、および無効 (淡色表示) の 3 種類の状態で表示されます。 チェック ボックスがオンの場合、指定したとおりにポリシーが適用されます。 チェック ボックスが淡色表示になっている場合、ポリシーの設定は無視されます。 チェック ボックスがオフの場合、ポリシーのレジストリ設定が偶発的に削除されている可能性があります。
推奨されるコンピュータ レベルの設定を使用してポリシーを作成するには
C:\Windows\poledit.exe をダブルクリックします。
[ファイル] をクリックしてから、[新規ポリシー] をクリックします。
[既定のコンピュータ] アイコンをダブルクリックします。 [既定のコンピュータのプロパティ] ダイアログ ボックスが表示されます。
[Windows 98 ネットワーク] ノードを展開します。 ネットワークのプロパティには、次の設定をお勧めします。
[ログオン] で、次のチェック ボックスをオンにします。
[ログオン バナー]。 コンピュータの使用に関する組織用ポリシーを示す起動バナーを追加します。
[Windows へのアクセスにネットワークによる検証を要求する]。 ユーザーには、ローカル コンピュータではなく、ネットワークからの認証が必要です。
[Do not show last user at logon]。 前の値を表示せずに、有効なユーザー名の入力をユーザーに強制します。
[Do not show logon progress]。 ログオン セッションの進捗を非表示にします。
[パスワード] で、次のチェック ボックスをオンにします。
[共有パスワードをアスタリスクで隠す]。 パスワードが入力されるときにパスワードを隠します。
[パスワードのキャッシュを無効にする]。 パスワードをローカルのセキュリティの弱いキャッシュに保存するのではなく、強制的に、セキュリティのより強力なネットワーク コントローラでクライアントを認証するようにします。
[英数字で Windows パスワードを指定する]。 強制的に、ローカルのパスワードがより高いレベルの複雑さを持つようにします。
[最低の Windows パスワード長]。 パスワードに必要な文字数を指定できます。 8 の設定が比較的強力なパスワード長です。
[Windows ネットワーク用 Microsoft クライアント] で次のチェック ボックスをオンにします。
[Windows NT にログオンする]。 管理者が、ログオン許可を受けたワークステーションのドメインをハード コードできます。
[ドメイン パスワードのキャッシュを無効にする]。 ローカルにキャッシュされたパスワードの公開を最小限にします。
[ワークグループ]。 管理者が、ログオンする予定のワークステーションのドメインをハード コードできるようにします。この設定は、ドメインへのログオンに必要です。
[ほかのワークグループ] チェック ボックスをオフにして、ユーザーが特定のワークグループにログオンできないようにします。
[Microsoft ネットワーク用のファイルとプリンタの共有] ですべてのチェック ボックスをオフにします。 通常、ローカルのワークステーションではファイルとプリンタの共有機能を無効にする必要があります。 ユーザーがファイルやプリンタを共有する必要がある場合は、専用のサーバーを使用して適切に保護します。
[ダイヤルアップ ネットワーク] で、[リモート アクセスを無効にする] チェック ボックスをオンにして、コンピュータをリモートからアクセスされないようにします。
[OK] をクリックします。
推奨されるユーザー レベルの設定を使用してポリシーを作成するには
この手順を実行するには、前述の手順を完了し、システム ポリシー エディタを開いている必要があります。 Windows 98 は、ドメイン コントローラから 1 つのポリシーしかダウンロードしないため、ユーザー レベルとコンピュータ レベルの設定を組み合わせる必要があります。
[既定のユーザー] をダブルクリックします。
[既定のユーザーのプロパティ] ダイアログ ボックスで、[Windows 98 System] をダブルクリックします。
[コントロール パネル] をダブルクリックします。
[ネットワーク] を展開して、[コントロール パネルの [ネットワーク] を制限する] をクリックします。
[システム] をして、[コントロール パネルの [システム] を制限する] をクリックします。
[制限] を展開して、[レジストリ編集ツールを無効にする] をクリックします。
[OK] をクリックします。
ポリシーを適切な場所に保存します。
ポリシーを展開する
組織のポリシーを設定したら、次の手順を実行して、ポリシー ファイルに Config.pol という名前を付け、ネットワークの正しい場所に保存して、クライアント ワークステーションがこの設定を自動的にダウンロードして、適用できるようにします。
ポリシーを展開するには
[ファイル] メニューの [名前を付けて保存] を選択します。
ファイルに「Config.pol」という名前を付けて、次のいずれかの場所に保存します。
Windows NT 4.0 のドメイン コントローラの場合、%systemroot%\WINNT\System32\Repl\Import\Scripts\Config.pol として保存します。
Windows 2000 および Windows Server 2003 のドメイン コントローラの場合、%systemroot%\sysvol\sysvol\domainName\scripts\Config.pol として保存します。
Windows 98 クライアントで、ポリシーの自動ダウンロードを有効にするには
Windows 98 を実行しているコンピュータにログオンします。
コントロール パネルを開きます。
[ネットワーク] をダブルクリックします。
[優先的にログオンするネットワーク] ドロップダウン リストで、[Microsoft ネットワーク クライアント] が選択されていることを確認します。
[識別情報] タブをクリックして、[ワークグループ] フィールドの値がドメインの名前と一致することを確認し、[OK] をクリックします。
ソリューションをテストする
シナリオどおりの実装が完了したら、実装を検証して、要件に適合していることを確認できます。
検証
次の表の情報を使用して、Trey のシナリオをテストし、このガイダンスの実装を検証できます。
表 5.1: 検証テスト
| 説明 | テストの手順 | 予測される結果 |
|---|---|---|
| ホットフィックスのインストール状態を検証する | QFECheck.exe ユーティリティ (Windows のインストール フォルダにあります) を実行します。 | 確立したベースラインに一致する最新のホットフィックスの一覧を入手できます。 |
| Internet Explorer 6 SP1 のインストール状態を検証する | Internet Explorer を起動して、[ヘルプ] メニューの [バージョン情報] をクリックします。 | バージョン情報に "6.0.2800.xxxx" と表示されるはずです。 |
| DSClient が正しくインストールされていることを検証する | [スタート] ボタンをクリックして [検索] をポイントし、[人] をクリックします。 | Active Directory を検索する機能が備わっていれば、DSClient が正しくインストールされています。 |
| NTLMv2 認証を検証する | NTLMv2 認証を要求するようにドメイン コントローラを 設定します。 | クライアントが正常にログオンできます。 |
| SMB 署名を検証する | 通信に SMB 署名を要求するようにネットワーク リソースを設定します。 | クライアントがネットワークに正常にアクセスできます。 |
| システム ポリシーを検証する | システム ポリシーで制限されたリソースにアクセスしてみます。 | アクセスが制限されたリソースにはアクセスできません。 |
| システム BIOS のセキュリティを検証する | メーカー指定のエスケープ シーケンスでシステム BIOS にアクセスしてみます。 | パスワードの入力を求められます。 |
| 起動デバイスを回避してみる | 起動可能なフロッピー ディスクおよび CD を挿入します。 | クライアントは、リムーバブル メディアから起動しません。 |
| 起動シーケンスを回避してみる | システムの起動時に F5 キーまたは F8 キーを押します。 | クライアントに、起動を変更できるメニューが表示されません。 |
| ネットワーク ログオンを回避してみる | ログオン画面が表示されたら、ESC キーを押してみます。 | Windows 98 のデスクトップには、ドメインの資格情報が正しく提示されるまでアクセスできません。 |