次の方法で共有

Windows Server 2003 セキュリティ ガイド

第 10 章 :IAS サーバーの役割

最終更新日: 2006年8月14日

ダウンロード

Windows Server 2003 セキュリティ ガイドを入手する (英語情報)

トピック

概要 監査ポリシー ユーザー権利の割り当て セキュリティ オプション イベント ログ 追加のセキュリティ設定 SCW を使用してポリシーを作成する まとめ 概要

この章では、環境内で MicrosoftWindowsServer2003 SP1 を実行するインターネット認証サービス (IAS) サーバーのセキュリティ強化に役立つ推奨設定とリソースについて説明します。IAS は、ユーザーの認証、承認、およびアカウンティングの一元管理を実現するリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーおよびプロキシを、Microsoft が実装したものです。IAS を使用すると、WindowsServer2003、WindowsNT®4.0、または Windows2000 ドメイン コントローラのデータベースでユーザーを認証できます。また、IAS は、ルーティングとリモート アクセス (RRAS) などのさまざまなネットワーク アクセス サーバー (NAS) をサポートしています。

RADIUS の隠ぺいメカニズムは、RADIUS 共有シークレット、Request Authenticator、および MD5 ハッシュ アルゴリズムを使用して、User-Password、およびTunnel-Password や MS-CHAP-MPPE-Keys などの属性を暗号化します。ただし、RFC 2865 に言及されているように、危険性のある環境については評価を行い、セキュリティを追加するかどうかを判断しなければならない場合もあります。

この章で説明しているほとんどの設定は、グループ ポリシーを使用して構成および適用されています。IAS サーバーの役割に必要なセキュリティ設定を変更するには、メンバ サーバー ベースライン ポリシー (MSBP) を補うグループ ポリシー オブジェクト (GPO) を、IAS サーバーを含む適切な組織単位 (OU) にリンクします。この章では、MSBP とは異なるポリシー設定についてのみ説明します。

これらの設定は、IAS サーバー OU に適用される付加的なグループ ポリシー テンプレートに、可能な限りまとめられています。この章で説明している設定の一部は、グループ ポリシーを使用して構成することができません。このような設定を手動で構成する方法についても、詳しく説明します。

EC 環境向けのインフラストラクチャ サーバー セキュリティ テンプレートの名前は EC-Infrastructure Server.inf です。 このテンプレートには、付加的な IAS サーバー テンプレート用の設定が用意されており、これを使用して、IAS サーバー OU にリンクする新しい GPO を作成します。OU とグループ ポリシーを作成し、適切なセキュリティ テンプレートを各 GPO にインポートする手順の詳細については、「第 2 章 Windows Server 2003 のセキュリティ強化メカニズム」を参照してください。

MSBP の設定の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。すべての既定の設定の詳細については、https://go.microsoft.com/fwlink/?LinkId=15159 の関連ガイド*『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定』*を参照してください。

:IAS サーバーの役割の設定内容は、エンタープライズ クライアント環境でのみテストされています。このため、このガイドのその他ほとんどのサーバーの役割で記載されている DoS 攻撃に関する情報は、ここでは説明していません。

ページのトップへ

監査ポリシー

EC 環境の IAS サーバーの監査ポリシー設定は、MSBP を使用して構成されます。MSBP の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。MSBP の設定によって、組織内のすべての IAS サーバーで、関連するすべてのセキュリティ監査情報が記録されます。

ページのトップへ

ユーザー権利の割り当て

EC 環境の IAS サーバーに対するユーザー権利の割り当ても、MSBP を使用して構成されます。MSBP の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。MSBP で設定することで、IAS サーバーへの適切なアクセスが企業内で同一に設定されます。

ページのトップへ

セキュリティ オプション

EC 環境の IAS サーバーのセキュリティ オプション設定も、MSBP を使用して構成されます。MSBP の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。MSBP で設定すると、IAS サーバーへの適切なアクセスは、企業内で一律に設定されます。

ページのトップへ

イベント ログ

EC 環境の IAS サーバーのイベント ログ設定も、MSBP を使用して構成されます。MSBP の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。

ページのトップへ

追加のセキュリティ設定

MSBP を使用して適用されるセキュリティ設定により、IAS サーバーのセキュリティは大幅に強化されますが、ここではその他の考慮事項について説明します。ただし、ここで説明する設定はグループ ポリシーには適用できないので、すべての IAS サーバーにおいて手動で設定する必要があります。

既知のアカウントを保護する

WindowsServer2003 SP1 には、削除できず、名前だけ変更できるビルトイン ユーザー アカウントがいくつかあります。WindowsServer2003 の最もよく知られているビルトイン アカウントは、Guest と Administrator です。

既定では、Guest アカウントはメンバ サーバーとドメイン コントローラでは無効になっています。この設定は変更しないでください。悪意のあるコードの多くは、サーバーへの侵入で最初の試みとしてビルトイン Administrator アカウントを使用します。このため、ビルトイン Administrator アカウントの名前は変更され、説明も変更されて、攻撃者がよく知られているアカウントを使用してリモート サーバーへ侵入するのを防止しています。

ビルトイン Administrator アカウントのセキュリティ識別子 (SID) を指定し、その本当の名前を調べてサーバーに侵入しようとする攻撃ツールが出現して以来、この構成変更の価値はここ数年間で減少しています。SID は、各ユーザー、グループ、コンピュータ アカウント、およびネットワークのログオン セッションをそれぞれ識別する値です。このビルトイン アカウントの SID を変更することはできません。ただし、Administrator アカウント名を一意の名前に変更すると、運用グループが Administrator アカウントに対する攻撃を簡単に監視できるようになります。

IAS サーバーで既知のアカウントを保護するには

  • すべてのドメインやサーバーで、Administrator アカウントと Guest アカウントの名前を変更し、パスワードを長く複雑な値に変更します。

  • 各サーバーで異なる名前とパスワードを使用します。すべてのドメインとサーバーで同じアカウント名とパスワードを使用する場合、攻撃者があるメンバ サーバーへのアクセスに成功した場合に、他のすべてのサーバーにもアクセスできるようになってしまいます。

  • アカウントを容易に識別できないように、アカウントの説明を既定以外に変更します。

  • 変更した内容を安全な場所に記録します。

    :ビルトイン Administrator アカウントは、グループポリシーを使用して変更できます。このアカウントには各環境で固有の名前を指定する必要があるので、このガイドに付属のセキュリティ テンプレートではこのポリシー設定は構成していません。ただし、EC 環境では、[アカウント: Administrator アカウント名の変更] 設定を使用して、管理者アカウント名を変更できます。このポリシー設定は、GPO のセキュリティ オプション設定のセクションに含まれています。

サービス アカウントをセキュリティ保護する

避けられない場合を除いて、ドメイン アカウントのセキュリティ コンテキストでサービスを実行するようには構成しないでください。サーバーに物理的にアクセスされた場合、LSA シークレットをダンプすることで、ドメイン アカウントのパスワードが容易に取得されます。サービス アカウントのセキュリティを保護する方法の詳細については、https://www.microsoft.com/japan/technet/security/topics/serversecurity/serviceaccount/default.mspx の「サービスおよびサービス アカウントのセキュリティ計画ガイド」を参照してください。

ページのトップへ

SCW を使用してポリシーを作成する

必要なセキュリティ設定を展開するには、セキュリティの構成ウィザード (SCW) と、このガイドのダウンロード バージョンに付属のセキュリティ テンプレートの両方を使用して、サーバー ポリシーを作成する必要があります。

独自のポリシーを作成する場合は、[レジストリ設定] セクションと [監査ポリシー] セクションをスキップします。これらの設定は、選択した環境のセキュリティ テンプレートで提供されます。この方法は、テンプレートのポリシー要素が SCW によって構成されるポリシー要素より優先されるようにするために必要です。

構成作業を始める際には、オペレーティング システムの新規インストールを使用することをお勧めします。こうすることにより、以前の構成の古い設定やソフトウェアが残っていないことが保証されます。可能であれば、展開に使用するものと同様のハードウェアを使用することをお勧めします。これにより、互換性が向上します。このような新規インストールを参照コンピュータと呼びます。

サーバー ポリシーの作成手順で、検出された役割の一覧からファイル サーバーの役割を削除することに注意してください。この役割は、それを必要としないサーバーに構成されていることが多く、セキュリティ リスクになる可能性があります。ファイル サーバーの役割が必要なサーバーでそれを有効にするには、このプロセスの後半で別のポリシーを適用します。

IAS サーバー ポリシーを作成するには

  1. Windows Server 2003 SP1 の新しいインストールを新しい参照コンピュータに作成します。

  2. [コントロール パネル]、[アプリケーションの追加と削除]、[Windows コンポーネントの追加と削除] の順に選択して、セキュリティの構成ウィザードのコンポーネントをコンピュータにインストールします。

  3. コンピュータをドメインに参加させます。これにより、親 OU からすべてのセキュリティ設定が適用されます。

  4. この役割を共有するすべてのサーバーに必要な必須アプリケーションのみをインストールし、構成します。たとえば、役割固有のサービス、ソフトウェア エージェント、管理エージェント、テープ バックアップ エージェント、ウイルス対策ユーティリティ、スパイウェア対策ユーティリティなどが該当します。

  5. SCW GUI を起動し、[新しいセキュリティ ポリシーの作成] を選択して、参照コンピュータを指定します。

  6. [IAS サーバー (RADIUS)] の役割など、検出されたサーバーの役割が環境に適していることを確認します。

  7. 検出されたクライアント機能が環境に適していることを確認します。

  8. 検出された管理オプションが環境に適していることを確認します。

  9. ベースラインに必要な追加サービス、たとえばバックアップ エージェントやウイルス対策ソフトウェアが検出されていることを確認します。

  10. 環境で指定されていないサービスの扱いを決定します。セキュリティをさらに向上させるため、このポリシー設定を [無効] にします。この設定は、運用ネットワークに展開する前にテストしてください。運用サーバーが、参照コンピュータに複製されていない追加サービスを実行する場合に、問題が発生することがあります。

  11. [ネットワーク セキュリティ] セクションで [このセクションをスキップする] チェック ボックスがオフであることをオフであることを確認し、[次へ] をクリックします。前の手順で特定した適切なポートとアプリケーションが、Windows ファイアウォールの例外として構成されます。

  12. [レジストリの設定] セクションで、[このセクションをスキップする] チェック ボックスをオンにし、[次へ] をクリックします。これらのポリシー設定は、付属の INF ファイルからインポートされます。

  13. [監査ポリシー] セクションで、[このセクションをスキップする] チェック ボックスをオンにし、[次へ] をクリックします。これらのポリシー設定は、付属の INF ファイルからインポートされます。

  14. 適切なセキュリティ テンプレート (EC-IAS Server.inf など) を含めます。

  15. ポリシーを適切な名前 (IAS Server.xml など) で保存します。

SCW を使用してポリシーをテストする

ポリシーを作成して保存したら、テスト環境に展開することを強くお勧めします。テスト サーバーが運用サーバーと同じハードウェアおよびソフトウェア構成であることが理想的です。こうすることで、特定のハードウェア デバイスに予期しないサービスが必要になった場合などの、潜在的な問題を検出して解決できるようになります。

ポリシーのテストには、2 つの方法があります。SCW 独自の展開機能を使用する方法と、GPO を使用してポリシーを展開する方法です。

ポリシーの作成をこれから始める場合には、SCW 独自の展開機能を使用することを検討してください。SCW を使用して、ポリシーをサーバーごとにプッシュするか、Scwcmd を使用してポリシーをサーバーのグループにプッシュします。この展開方法を使用すると、SCW から展開したポリシーを簡単にロールバックできます。この機能は、テスト プロセスでポリシーの変更を複数行う場合に便利です。

ポリシーをテストする目的は、そのポリシーを対象サーバーに適用しても重要な機能に悪影響が及ばないことを確認することです。構成の変更を適用したら、コンピュータの主要な機能を検証する必要があります。たとえば、証明機関 (CA) として構成されているサーバーの場合は、クライアントが証明書を要求して取得できること、証明書失効リストをダウンロードできることなどを確認します。

ポリシーの構成に問題がないことを確認したら、次に示す手順に従って、Scwcmd を使用して、ポリシーを GPO に変換します。

SCW ポリシーのテスト方法の詳細については、https://technet2.microsoft.com/WindowsServer/ja/Library/5254f8cd-143e-4559-a299-9c723b3669461041.mspx?mfr=true* *の『セキュリティの構成ウィザードの展開ガイド』および https://go.microsoft.com/fwlink/?linkid=43450 の「Security Configuration Wizard Documentation」(英語情報) を参照してください。

ポリシーを変換して展開する

ポリシーを徹底的にテストした後、次の手順を実行して、ポリシーを GPO に変換して、展開します。

  1. コマンド プロンプトで、次のコマンドを入力します。

    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>

    Enter キーを押します。次にその例を示します。

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\IAS Server.xml" /g:"IAS Policy"

:コマンド プロンプトに入力する情報が、表示の制限により複数行にわたって表示されることがあります。この情報は、すべて 1 行に入力してください。

  1. グループ ポリシー管理コンソールを使用して、新しく作成した GPO を適切な OU にリンクします。

SCW セキュリティ ポリシー ファイルに Windows ファイアウォールの設定が含まれている場合、この手順を正常に完了するには、ローカル コンピュータで Windows ファイアウォールが有効になっている必要があります。Windows ファイアウォールが有効であることを確認するには、[コントロール パネル] を開き、[Windows ファイアウォール] をダブルクリックします。

次に、最後のテストを実行して、GPO により意図した設定が適用されることを確認します。この手順を完了させるために、設定が適切であること、機能がその影響を受けないことを確認します。

ページのトップへ

まとめ

この章では、このガイドで定義しているエンタープライズ クライアント環境において、WindowsServer2003 SP1 を実行する IIS サーバーのセキュリティ強化に使用できる設定について説明しました。これらの設定は、このガイドで定義している他の環境でも機能する可能性がありますが、テストおよび検証はされていません。各設定は、MSBP を補うよう設計されたグループ ポリシー オブジェクト (GPO) を通じて適用されます。GPO は、組織内の IAS サーバーを含む適切な組織単位 (OU) にリンクして、セキュリティをさらに向上させることができます。

関連情報

Windows Server 2003 SP1 を実行する IAS サーバーのセキュリティ強化に関する詳細情報は、以下のリンクから参照できます。

ページのトップへ