次の方法で共有

Windows Server 2003 セキュリティ ガイド

第 5 章 :ドメイン コントローラ ベースライン ポリシー

最終更新日: 2006年8月14日

ダウンロード

Windows Server 2003 セキュリティ ガイドを入手する (英語情報)

トピック

概要
監査ポリシーの設定
ユーザー 権利の割り当ての設定
ユーザー権利の割り当ての設定
セキュリティ オプション
イベント ログの設定
制限されたグループ
追加のセキュリティ設定
SCW を使用してポリシーを作成する
まとめ
まとめ

概要

ドメイン コントローラ サーバーの役割の中で、セキュリティに対する対応は、Windows Server 2003 Service Pack 1 (SP1) を Active Directory ディレクトリ サービスを実行しているコンピュータが存在する環境では、最も重要な側面の 1 つです。ドメイン コントローラになんらかの損失や障害があると、認証、グループ ポリシー、および中央 LDAP (Lightweight Directory Access Protocol) ディレクトリをドメイン コントローラに依存しているクライアント、サーバー、およびアプリケーションが大打撃を受けることが実証されています。

この重要性のため、ドメイン コントローラは、権限のある管理担当者のみが立ち入ることができる物理的に安全な場所に格納しておく必要があります。ドメイン コントローラを安全性の低い場所、たとえば、支店などで保管する必要がある場合は、一部のセキュリティ設定を調整することで、物理的な脅威によって起こりうるダメージを抑えることができます。

ドメイン コントローラ ベースライン ポリシー

このガイドで後述する他のサーバーの役割ポリシーとは異なり、ドメイン コントローラ サーバーの役割に対するグループ ポリシーは、「第 4 章 メンバ サーバー ベースライン ポリシー」で定義しているメンバ サーバー ベースライン ポリシー (MSBP) と似ています。ドメイン コントローラ ベースライン ポリシー (DCBP) はドメイン コントローラ組織単位 (OU) にリンクされ、既定のドメイン コントローラ ポリシーより優先されます。DCBP に含まれるポリシー設定は、どのような環境でもすべてのドメイン コントローラの全体的なセキュリティを強化します。

DCBP の大部分は、MSBP からのコピーです。このため、「第 4 章 メンバ サーバー ベースライン ポリシー」を入念に読み返し、DCBP にも含まれている数多くのポリシー設定について理解しておいてください。この章では、MSBP とは異なる DCBP 設定だけを説明しています。

ドメイン コントローラ テンプレートは、このガイドで定義している 3 種類の環境のセキュリティ ニーズに対応するように特に設計されています。次の表は、レガシ クライアント (LC)、エンタープライズ クライアント (EC)、セキュリティ強化機能制限 (SSLF) の各環境に対する、このガイドに付属のドメイン コントローラ .inf ファイルを示しています。たとえば、EC - Domain Controller.inf ファイルは、エンタープライズ クライアント環境用のセキュリティ テンプレートです。

5.1 ドメインコントローラのベースラインセキュリティテンプレート

レガシ クライアント環境 エンタープライズ クライアント環境 セキュリティ強化 - 機能制限環境
LC-Domain Controller.inf EC-Domain Controller.inf SSLF-Domain Controller.inf
**注** :不適切な設定を含むグループ ポリシー オブジェクト (GPO) がドメイン コントローラ OU にリンクされた場合、ドメインの動作に重大な障害が発生する可能性があります。これらのセキュリティ テンプレートをインポートする際には十分な注意を払い、GPO をドメイン コントローラ OU にリンクする前に、インポートする設定がすべて正しいことを確認してください。 [](#mainsection)[ページのトップへ](#mainsection) ### 監査ポリシーの設定 ドメイン コントローラの監査ポリシーの設定は、MSBP で指定する設定とほとんど同じです。詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。DCBP のポリシー設定により、関連するすべてのセキュリティ監査情報がドメイン コントローラのログに記録されます。 **表** **5.2** **監査ポリシーの推奨設定**

設定 レガシ クライアント環境 エンタープライズ クライアント環境 セキュリティ強化 - 機能制限環境
ディレクトリ サービスのアクセスの監査 監査なし 監査なし 失敗
#### ディレクトリ サービスのアクセスの監査 このポリシー設定では、専用のシステム アクセス制御リスト (SACL) が指定されている Active Directory オブジェクトへのユーザー アクセスを監査するかどうかを指定します。\[ディレクトリ サービスのアクセスの監査\]設定を定義する場合は、成功を監査するか、失敗を監査するか、またはこの種類のイベントをまったく監査しないかを指定できます。成功監査では、SACL の指定がある Active Directory オブジェクトへのアクセスにユーザーが成功したときに監査エントリが生成されます。失敗監査では、SACL の指定がある Active Directory オブジェクトへのアクセスにユーザーが失敗したときに監査エントリが生成されます。 DCBP で \[ディレクトリ サービスのアクセスの監査\]設定を有効にし、ディレクトリ オブジェクトの SACL を構成した場合、ドメイン コントローラ上のセキュリティ ログに大量のエントリが生成される可能性があります。この設定を有効にするのは、作成される情報を実際に使用する予定がある場合に限定してください。 \[ディレクトリ サービスのアクセスの監査\]は、LC 環境と EC 環境では \[未定義\]に設定されています。SSLF 環境では、\[失敗\] イベントを記録するよう設定されています。 次の表は、\[ディレクトリ サービスのアクセスの監査\]設定によりセキュリティ ログに記録される重要なセキュリティ イベントを示しています。 **表** **5.3** **ディレクトリサービスアクセスイベント**

イベント ID イベントの説明
ID 説明
566 汎用オブジェクト操作が実行されました。
[](#mainsection)[ページのトップへ](#mainsection) ### ユーザー権利の割り当ての設定 DCBP は、ドメイン コントローラに対してさまざまなユーザー権利の割り当てを指定します。このガイドで定義している 3 種類の環境におけるドメイン コントローラのセキュリティを強化するために、既定の設定以外にいくつかのユーザー権利が変更されています。 ここでは、DCBP について規定されているユーザー権利の設定のうち、MSBP と異なるものについて説明します。ここで説明する規定の設定の概要については、このガイドのダウンロード バージョンに付属の Microsoft Excel ブック「Windows Server 2003 Security Guide Settings」を参照してください。 次の表は、DCBP に関する、ユーザー権利の割り当ての推奨設定を示します。各設定についての追加情報については、表に続いて説明します。 **表** **5.4** **ユーザー権利の割り当ての推奨設定**

設定 レガシ クライアント環境 エンタープライズ クライアント環境 セキュリティ強化 - 機能制限環境
ネットワーク経由でコンピュータへアクセス 未定義 未定義 Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS
ドメインにワークステーションを追加 未定義 未定義 Administrators
ローカル ログオンを許可する Administrators、Server Operators、Backup Operators Administrators、Server Operators、Backup Operators Administrators
ターミナル サービスを使ったログオンを許可する Administrators Administrators Administrators
システム時刻の変更 Administrators Administrators Administrators
コンピュータとユーザー アカウントに委任時の信頼を付与 未定義 未定義 Administrators
デバイス ドライバのロードとアンロード Administrators Administrators Administrators
ファイルとディレクトリの復元 Administrators Administrators Administrators
システムをシャットダウンする Administrators Administrators Administrators
#### ネットワーク経由でコンピュータへアクセス このポリシー設定では、ネットワーク経由でドメイン コントローラに接続できるユーザーとグループを指定します。ネットワーク経由でのドメイン コントローラへの接続は、ドメイン コントローラ間での Active Directory のレプリケーション、ユーザーおよびコンピュータからドメイン コントローラへの認証要求、共有フォルダと共有プリンタへのアクセスなど、数多くのネットワーク処理で必要になります。 Windows Server 2003 SP1 では、\[Everyone\] セキュリティ グループにアクセス許可が付与されていても、匿名ユーザーにはアクセス許可が付与されなくなりました。ゲスト用のグループとアカウントには、\[Everyone\] セキュリティ グループを介してアクセス許可が付与されます。 この理由で、SSLF 環境向けの DCBP では、\[ネットワーク経由でコンピュータへアクセス\] ユーザー権利からは、\[Everyone\] セキュリティ グループが削除されています。Everyone グループを削除することで、ドメインへのゲスト アクセスをねらった攻撃に対する防御がさらに強化されます。LC 環境と EC 環境では、このポリシー設定は \[未定義\] に設定されています。 #### ドメインにワークステーションを追加 このポリシー設定では、特定のドメインにコンピュータ ワークステーションを追加できるユーザーを指定します。このポリシー設定を有効にするには、このポリシー設定をドメインの既定のドメイン コントローラ ポリシーの一部としてユーザーに割り当てる必要があります。このユーザー権利を与えられたユーザーは、最大 10 台のワークステーションをドメインに追加できます。OU または Active Directory の Computer コンテナに対する\[コンピュータ オブジェクト作成\] アクセス許可が割り当てられたユーザーは、\[ドメインにワークステーションを追加\] ユーザー権利を割り当てられているかどうかに関係なく、ドメインにコンピュータを無制限に追加できます。 既定では、\[Authenticated Users\] グループのすべてのユーザーは、Active Directory ドメインに最大 10 台のコンピュータを追加できます。これらの新しいコンピュータ アカウントは、Computers コンテナに作成されます。 Windows ベースのネットワークでは、*セキュリティプリンシパル*という用語は、リソースへのアクセスを制御するためにセキュリティ識別子が自動的に割り当てられるユーザー、グループ、またはコンピュータとして定義されています。Active Directory ドメインでは、各コンピュータ アカウントは、ドメイン リソースに対する認証およびアクセスが可能なフル セキュリティ プリンシパルです。組織によっては、コンピュータの追跡、作成、および管理を一貫して行うことができるように、Active Directory 環境内のコンピュータ数を制限する必要がある場合があります。ユーザーがドメインにコンピュータを追加できる場合、追跡と管理の作業に支障をきたします。また、許可されていないドメイン コンピュータをユーザーが追加作成できることから、追跡がさらに難しいアクティビティをユーザーが実行する可能性もあります。 こうした理由から、SSLF 環境向けの DCBP では、\[ドメインにワークステーションを追加\] ユーザー権利は \[Administrators\] グループだけに割り当てられています。LC 環境と EC 環境では、このポリシー設定は \[未定義\] に設定されています。 #### ローカル ログオンを許可する このポリシー設定では、ドメイン コントローラでセッションを対話的に開始できるユーザーを指定します。この権利を持っていないユーザーでも、\[ターミナル サービスを通したログオンを許可する\] ユーザー権利が割り当てられていれば、ドメイン コントローラでリモート セッションを対話的に開始できます。 ドメイン コントローラ コンソールにログオンできるアカウントの数を制限して、ドメイン コントローラ ファイル システムおよびシステム サービスへの権限のないアクセスの防止に役立ててください。ドメイン コントローラのコンソールにログオンできるユーザーは、システムを悪用し、コンピュータ、さらにはフォレスト全体やドメイン全体のセキュリティを損なう可能性があります。 既定では、ドメイン コントローラに対する\[ローカル ログオンを許可する\] ユーザー権利は、\[Account Operators\]、\[Backup Operators\]、\[Print Operators\]、\[Server Operators\] の各グループに与えられます。これらのグループのユーザーは、管理タスクを実行するためにドメイン コントローラにログオンする必要はなく、他のワークステーションで必要な作業を実行できます。ドメイン コントローラで保守タスクを実行する必要があるのは、\[Administrators\] グループのユーザーだけです。 **\[**ローカル ログオンを許可する\] ユーザー権利を \[Administrators\] グループだけに割り当てることで、ドメイン コントローラに物理的かつ対話的にアクセスすることが信頼の厚いユーザーだけに限られるため、セキュリティが強化されます。こうした理由から、SSLF 環境向けの DCBP では、\[ローカル ログオンを許可する\] ユーザー権利は \[Administrators\] グループだけに割り当てられています。LC 環境と EC 環境では、このポリシー設定は \[Server Operators\] グループと \[Backup Operators\] グループに割り当てられています。 #### ターミナル サービスを使ったログオンを許可する このポリシー設定は、リモート デスクトップ接続を介してドメイン コントローラにログオンできるユーザーを指定します。 ドメイン コントローラ コンソールにターミナル サービスを使用してログオンできるアカウントの数を制限して、ドメイン コントローラ ファイル システムおよびシステム サービスへの権限のないアクセスの防止に役立ててください。ドメイン コントローラのコンソールにターミナル サービスを使用してログオンできるユーザーは、そのコンピュータを悪用する可能性があるため、ドメイン全体またはフォレスト全体のセキュリティが損なわれる危険性があります。 \[ターミナル サービスを使ったログオンを許可する\] ユーザー権利を \[Administrators\] グループだけに割り当てることで、ドメイン コントローラへの対話的アクセスは信頼の厚いユーザーだけに限られるため、セキュリティが強化されます。こうした理由から、このガイドで定義している 3 種類の環境すべての DCBP で、\[ターミナル サービスを使ったログオンを許可する\] ユーザー権利は \[Administrators\] グループだけに割り当てられています。ターミナル サービス経由でドメイン コントローラにログオンするには、既定では管理者のアクセス権が必要ですが、このポリシー設定により、ネットワークに悪影響を与えるような、不注意による、または意図的な不正行為を防ぐことができます。 さらにセキュリティを強化するため、DCBP では既定の Administrator アカウントに対して、\[ターミナル サービスを使ったログオンを許可する\] ユーザー権利が割り当てられていません。この設定は、悪意のあるユーザーが既定の Administrator アカウントを使用してドメイン コントローラにリモートから侵入しようとするのを防ぎます。このポリシー設定の詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。 #### システム時刻の変更 このポリシー設定は、コンピュータの内蔵クロックの時刻を調整できるユーザーを指定します。ただし、タイムゾーンや、その他のシステム時刻の表示方法の変更には、この特権は不要です。 Active Directory の運用には、システム時刻の同期化が不可欠です。Active Directory のレプリケーションおよび Kerberos 認証プロトコルで使用される認証チケットの生成には、時刻が環境内で同期されていることが前提とされています。 ドメイン コントローラのクロックが環境内の他のドメイン コントローラのシステム時刻と同期されていないと、ドメイン サービスの処理が妨げられる可能性があります。システム時刻の変更を管理者だけに許可することで、ドメイン コントローラに正しくないシステム時刻が設定される可能性が最低限に抑えられます。 既定では、ドメイン コントローラのシステム時刻を変更する権利は \[Server Operators\] グループにも与えられています。このグループのメンバによってドメイン コントローラのクロックに誤った時刻が設定され問題が生じる可能性があるため、\[システム時刻の変更\] ユーザー権利は、このガイドで定義している 3 種類の環境すべての DCBP で \[Administrators\] グループだけに割り当てられています。 Microsoft Windows タイム サービスの詳細については、https://technet2.microsoft.com/windowsserver/en/library/a0fcd250-e5f7-41b3-b0e8-240f8236e2101033.mspx の「[Windows タイム サービス](https://technet2.microsoft.com/windowsserver/en/library/a0fcd250-e5f7-41b3-b0e8-240f8236e2101033.mspx)」を参照してください。 #### コンピュータとユーザー アカウントに委任時の信頼を付与 このポリシー設定では、ユーザーが Active Directory 内のユーザー オブジェクトまたはコンピュータ オブジェクトの \[委任に対する信頼\] の設定を変更できるかどうかを指定します。認証の委任は、複数層クライアント/サーバー アプリケーションで使用される機能です。これにより、アプリケーションなどのフロントエンド サービスは、クライアントの資格情報を使用してデータベースなどのバックエンド サービスを認証できます。この認証を可能にするには、クライアントとサーバーが両方とも委任に対して信頼されているアカウントで実行されている必要があります。 このユーザー権利が不正に使用されると、認証されていないユーザーがネットワーク上で他のユーザーに偽装される可能性があります。攻撃者がこのユーザー権利を悪用し、他のユーザーを装ってネットワーク リソースにアクセスした場合、セキュリティの問題が起こってから詳細を調べることが困難になります。 \[コンピュータとユーザー アカウントに委任時の信頼を付与\] ユーザー権利は、SSLF 環境ではドメイン コントローラの \[Administrators\] グループだけに割り当てられています。LC 環境と EC 環境では、このポリシー設定は \[未定義\] に設定されています。 **注** :既定のドメイン コントローラ ポリシーでは、\[Administrators\] グループにこのユーザー権利を割り当てますが、これは本来 MSBP に基づいているため、DCBP ではこのユーザー権利が SSLF 環境にのみ適用されています。MSBP ではこの権利に NULL 値が割り当てられています。 #### デバイス ドライバのロードとアンロード このポリシー設定では、デバイス ドライバのロードとアンロードを実行できるユーザーを指定します。このユーザー権利は、プラグ アンド プレイ デバイスのロードとアンロードに必要です。 ドメイン コントローラのデバイス ドライバ管理が疎かになると、バグまたは悪質なコードによりドメイン コントローラの動作に悪影響が及ぶ可能性があります。デバイス ドライバをロードおよびアンロードできるアカウントを DCBP を使用して最も信頼できるユーザーに限定することで、デバイス ドライバの使用によってドメイン コントローラに悪影響が及ぶ可能性を最小限に抑えることができます。 既定では、\[デバイス ドライバのロードとアンロード\] ユーザー権利は \[Print Operators\] グループに割り当てられています。前述したように、ドメイン コントローラにプリンタ共有を作成することはお勧めしません。作成しないことにより、\[Print Operators\] によるデバイス ドライバのロードとアンロードの必要性がなくなります。こうした理由から、このガイドで定義している 3 種類の環境すべての DCBP で、\[デバイス ドライバのロードとアンロード\] ユーザー権利は \[Administrators\] グループだけに割り当てられています。 #### ファイルとディレクトリの復元 このポリシー設定では、復元処理中にファイルとディレクトリの権限が回避できるユーザーを指定します。有効なセキュリティ プリンシパルは、オブジェクトの所有者として設定できます。 ファイルとディレクトリをドメイン コントローラのファイル システムに復元する権限のあるアカウントは、実行可能ファイルを簡単に変更できます。悪意のあるユーザーがこの権限を悪用すれば、ドメイン コントローラが機能しなくなるだけでなく、ドメインまたはフォレスト全体のセキュリティにも悪影響を与える可能性があります。 既定では、\[ファイルとディレクトリの復元\] ユーザー権利は \[Server Operators\] グループと \[Backup Operators\] グループに割り当てられています。このユーザー権利をこれらのグループから削除して \[Administrators\] グループだけに割り当てることで、ファイル システムの不適切な変更によってドメイン コントローラが悪影響を受ける可能性を低減させることができます。こうした理由から、このガイドで定義している 3 種類の環境すべての DCBP で、\[ファイルとディレクトリの復元\] ユーザー権利は \[Administrators\] グループだけに割り当てられています。 #### システムをシャットダウンする このポリシー設定では、ローカル コンピュータをシャットダウンできるユーザーを指定します。 悪意のあるユーザーが、ドメイン コントローラをシャットダウンすることができると、ドメイン全体またはフォレスト全体に深刻な影響を与える可能性があるサービス拒否 (DoS) 攻撃を簡単に開始できます。攻撃者はこのユーザー権利を悪用し、ドメイン コントローラのアカウントに対して、サービスの再起動時に特権の昇格攻撃を開始できます。ドメイン コントローラに対する特権の昇格攻撃が成功すると、ドメインまたはフォレスト全体のセキュリティに悪影響を与えます。 既定では、\[システムをシャットダウンする\]ユーザー権利は \[Administrators\]、\[Server Operators\]、\[Print Operators\]、\[Backup Operators\] の各グループに割り当てられています。セキュリティで保護された環境では、\[Administrators\] グループ以外のすべてのグループには、管理タスクを実行するためのこの権利は必要ありません。こうした理由から、このガイドで定義している 3 種類の環境すべての DCBP で、\[システムをシャットダウンする\]ユーザー権利は \[Administrators\] グループだけに割り当てられています。 [](#mainsection)[ページのトップへ](#mainsection) ### セキュリティ オプション ドメイン コントローラのセキュリティ オプション設定のほとんどは、MSBP で指定される設定と同じです。詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。ここでは、MSBP と DCBP で異なる点について説明します。 #### ドメイン コントローラ設定 **表** **5.5** **セキュリティオプション** **:ドメインコントローラに関する推奨設定**

設定 レガシ クライアント環境 エンタープライズ クライアント環境 セキュリティ強化 - 機能制限環境
サーバー オペレータがタスクのスケジュールを割り当てるのを許可する 無効 無効 無効
LDAP サーバー署名必須 未定義 未定義 署名必須
コンピュータ アカウントのパスワードの変更を拒否する 無効 無効 無効
##### ドメイン コントローラ:サーバー オペレータがタスクのスケジュールを割り当てるのを許可する このポリシー設定では、\[Server Operators\] グループのメンバに AT スケジュール機能を使用したジョブの送信を許可するかどうかを指定します。 \[ドメイン コントローラ: サーバー オペレータがタスクのスケジュールを割り当てるのを許可する\]は、このガイドで定義している 3 種類の環境すべての DCBP で \[無効\]に設定されています。大半の企業では、このポリシー設定の影響はほとんどありません。ユーザー (\[Server Operators\] グループを含む) は、タスク スケジューラ ウィザードを使用してジョブを作成できますが、これらのジョブは、ジョブ設定時にユーザーが認証に使用したアカウントのコンテキストで実行されます。 **注** :AT サービスのアカウントを変更すると、LOCAL SYSTEM アカウント以外のアカウントを選択できます。アカウントを変更するには、\[システム ツール\] を開いて \[タスク\]をクリックし、\[アクセサリ\]フォルダをクリックします。次に、\[詳細\]メニューの \[AT サービスのアカウント\]をクリックします。 ##### ドメイン コントローラ:LDAP サーバー署名必須 このポリシー設定では、LDAP サーバーが署名を要求してから LDAP クライアントとネゴシエートするかどうかを指定します。署名も暗号化もされていないネットワーク トラフィックは、仲介者攻撃を受けやすくなっています。仲介者攻撃とは、侵入者がサーバーからクライアントに送信されるパケットを途中で取り込み、そのパケットを改ざんしてからクライアントに転送することです。LDAP サーバーの場合、攻撃者が LDAP ディレクトリの不正なレコードを作成すると、クライアントはそのレコードに基づいて誤った処理を行う可能性があります。 すべてのドメイン コントローラが Windows 2000 または Windows Server 2003 が実行している場合は、\[ドメイン コントローラ: LDAP サーバー署名必須\]を \[署名必須\]に設定します。そうでない場合は、このポリシー設定を \[未定義\]のままにします。LC 環境と EC 環境の DCBP ではこの値が設定されています。SSLF 環境の場合、すべてのコンピュータが Windows 2000 または Windows Server 2003 を実行しているため、DCBP のこのポリシー設定は \[署名必須\]に設定されています。 ##### ドメイン コントローラ:コンピュータ アカウントのパスワードの変更を拒否する このポリシー設定では、ドメイン コントローラがメンバ コンピュータからのコンピュータ アカウント パスワードの変更要求を拒否するかどうかを指定します。ドメイン内のすべてのドメイン コントローラでこのポリシー設定を有効にすると、ドメイン メンバのコンピュータ アカウント パスワードを変更できなくなり、攻撃を受けやすい状態になります。 このため、このガイドで定義している 3 種類の環境すべての DCBP で、\[ドメイン コントローラ: コンピュータ アカウントのパスワードの変更を拒否する\] は \[無効\] に設定されています。 #### ネットワーク セキュリティの設定 **表** **5.6** **セキュリティオプション** **:ネットワークセキュリティに関する推奨設定**

設定 レガシ クライアント環境 エンタープライズ クライアント環境 セキュリティ強化 - 機能制限環境
次のパスワードの変更で LAN Manager のハッシュの値を保存しない 有効 有効 有効
#### ネットワーク セキュリティ:次のパスワードの変更で LAN Manager のハッシュの値を保存しない このポリシー設定では、パスワードの変更時に新しいパスワードの LAN Manager (LM) ハッシュ値を保存するかどうかを指定します。暗号強度の高い Windows NT ハッシュに比べて、LM ハッシュは比較的弱く攻撃を受けやすくなっています。 このことから、\[ネットワーク セキュリティ: 次のパスワードの変更で LAN Manager のハッシュの値を保存しない\]は、このガイドで定義している 3 種類の環境すべての DCBP で\[有効\]に設定されています。 **注** :このポリシー設定を有効にすると、古いオペレーティング システムおよび一部のサードパーティ アプリケーションでエラーが発生することがあります。たとえば、Active Directory Client Extension がインストールされていない Windows 95 と Windows 98 では、エラーが発生します。また、このポリシー設定を有効にすると、すべてのアカウントでパスワードの変更が必要になります。 [](#mainsection)[ページのトップへ](#mainsection) ### イベント ログの設定 ドメイン コントローラのイベント ログの設定は、MSBP で設定する場合と同じです。詳細については、「第 4 章 メンバ サーバー ベースライン ポリシー」を参照してください。DCBP のベースライン設定により、ディレクトリ サービス アクセスなど、関連するすべてのセキュリティ監査情報がドメイン コントローラ上でログに記録されます。 [](#mainsection)[ページのトップへ](#mainsection) ### 制限されたグループ 前の章で説明したように、\[制限されたグループ\]設定を使用すると、Windows Server 2003 SP1 のグループのメンバシップを Active Directory グループ ポリシー で管理できます。制限するグループを決定するには、まず組織のニーズを確認する必要があります。ドメイン コントローラについては、このガイドで定義している 3 種類の環境すべてで、\[Server Operators\] グループと \[Backup Operators\] グループは制限されています。\[Server Operators\] グループと \[Backup Operator\] グループのメンバに与えられるアクセス許可は、\[Administrators\] グループのメンバに比べるとレベルは低いですが、それでもその権限は強力です。 **注** **:**組織で上記のグループを使用する場合は、各グループのメンバシップを慎重に管理し、\[制限されたグループ\] 設定のガイドは実装しないでください。組織で Server Users グループにユーザーを追加する場合、前の章の「ファイル システムを保護する」で説明しているオプション ファイル システム権限を実装してください。 **表** **5.7** **制限されたグループに関する推奨設定**

ローカル グループ レガシ クライアント環境 エンタープライズ クライアント環境 セキュリティ強化 - 機能制限環境
Backup Operators メンバなし メンバなし メンバなし
Server Operators メンバなし メンバなし メンバなし
Windows Server 2003 SP1 では、グループ ポリシー オブジェクト エディタの以下の場所で \[制限されたグループ\]設定を構成できます。 **コンピュータの構成\\Windows** **の設定\\セキュリティの設定\\制限されたグループ\\** 制限されたグループを GPO に構成するために、目的のグループを GPO の名前空間にある\[制限されたグループ\] ノードに直接追加できます。 制限されたグループには、そのグループに属するメンバおよび他のグループを定義できます。グループ メンバを指定しない場合には、グループは完全に制限されたままになります。グループを制限するには、セキュリティ テンプレートを使用する必要があります。 **\[制限されたグループ\]** **設定を表示または変更するには** 1. \[セキュリティ テンプレートの管理コンソール\] を開きます。 **注** :既定では、\[セキュリティ テンプレートの管理コンソール\] は \[管理ツール\] メニューに追加されていません。\[セキュリティ テンプレートの管理コンソール\] を追加するには、Microsoft 管理コンソール (mmc.exe) を起動して、\[セキュリティ テンプレートのアドイン\] を追加します。 2. 構成ファイルのディレクトリをダブルクリックして、構成ファイルをダブルクリックします。 3. \[制限されたグループ\]の項目をダブルクリックします。 4. \[制限されたグループ\]を右クリックします。 5. \[グループの追加\]を選択します。 6. \[参照\]、\[場所\]を順にクリックして、参照する場所を選択し、\[OK\]をクリックします。 **注** :この操作を行うと、通常、ローカル コンピュータがリストの先頭に表示されます。 7. \[選択するオブジェクト名を入力してください\]ボックスにグループ名を入力し、\[名前の確認\] をクリックします。 または \[詳細設定\]、\[検索開始\]を順にクリックし、使用可能なグループをすべて表示します。 8. 制限するグループを選択し、\[OK\]をクリックします。 9. \[グループの追加\]ダイアログ ボックスで \[OK\]をクリックし、ダイアログ ボックスを閉じます。 このガイドでは、\[Server Operators\] グループと \[Backup Operators\] グループのすべてのメンバ (ユーザーとグループ) が削除されており、これらのグループはどちらの環境でも完全に制限されています。また、SSLF 環境では、\[Remote Desktop Users\] グループからもすべてのメンバが削除されています。組織で使用しないビルトイン グループはすべて制限することをお勧めします。 **注** :ここで説明している制限されたグループの構成は単純です。Windows Server 2003 と同様に、Windows XP の SP1 と SP2 でも複雑な構成をサポートしています。詳細については、https://support.microsoft.com/default.aspx?kbid=810076 のマイクロソフト サポート技術情報「[ユーザー定義のローカル グループの制限されたグループ ("所属するグループ") の動作に対する更新プログラム](https://support.microsoft.com/default.aspx?kbid=810076)」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### 追加のセキュリティ設定 ここでは、DCBP に対して手動で行う必要がある変更、およびグループ ポリシーでは実装できないその他の設定および対処方法について説明します。 #### ユーザー権利の割り当てに独自のセキュリティ グループを手動で追加する DCBP から適用されるユーザー権利の割り当てのほとんどは、このガイドに付属のセキュリティ テンプレートで適切に指定されています。ただし、テンプレートに含まれていないアカウントとセキュリティ グループもいくつかあります。これらのセキュリティ識別子 (SID) はそれぞれの Windows Server 2003 のドメインに固有のものであるためです。手動で設定する必要があるユーザー権利の割り当てを以下の表に示します。 **警告** :次の表には、ビルトイン Administrator アカウントの記載があります。このアカウントと、ビルトイン \[Administrators\] セキュリティ グループを混同しないように注意してください。以下のアクセス拒否のユーザー権利のいずれかに \[Administrators\] セキュリティ グループを追加した場合、ローカルにログオンしてその間違いを修正する必要があります。 また、「第 4 章 メンバ サーバー ベースライン ポリシー」の推奨に従ってビルトイン Administrator アカウントの名前を変更した場合は、アカウントをいずれかのアクセス拒否ユーザー権利に追加する際に、名前を変更した新しい管理者アカウントを選択するように注意してください。 **表** **5.8** **手動で追加されるユーザー権利の割り当て**

設定 レガシ クライアント環境 エンタープライズ クライアント環境 セキュリティ強化 - 機能制限環境
ネットワーク経由でコンピュータへアクセスを拒否する ビルトイン Administrator、Support_388945a0、 Guest、すべての非オペレーティング システム サービス アカウント ビルトイン Administrator、Support_388945a0、 Guest、すべての非オペレーティング システム サービス アカウント ビルトイン Administrator、Support_388945a0、 Guest、すべての非オペレーティング システム サービス アカウント
バッチ ジョブとしてログオンを拒否する Support_388945a0 および Guest Support_388945a0 および Guest Support_388945a0 および Guest
ターミナル サービスを使ったログオンを拒否する ビルトイン Administrator、すべての非オペレーティング システム サービス アカウント ビルトイン Administrator、すべての非オペレーティング システム サービス アカウント ビルトイン Administrator、すべての非オペレーティング システム サービス アカウント
**重要** :"すべての非オペレーティング システム サービス アカウント" には、企業全体において特定のアプリケーションで使用されるサービス アカウントが該当しますが、LOCAL SYSTEM アカウント、LOCAL SERVICE アカウント、および NETWORK SERVICE アカウント (オペレーティング システムが使用するビルトイン アカウント) は該当しません。 #### ディレクトリ サービス Windows Server 2003 SP1 を実行するドメイン コントローラにはディレクトリ データが保存され、ユーザー ログオン プロセス、認証、ディレクトリ検索などのユーザーとドメインとの間の処理が管理されます。 ##### データを再配置する Active Directory データベースおよびログ ファイル ディレクトリの整合性と信頼性を維持するには、Active Directory データベースとログ ファイルを保護することが重要です。 Ntds.dit、Edb.log、および Temp.edb ファイルは、既定の場所から移動できます。こうすることで、ドメイン コントローラに侵入された場合に攻撃者からこれらのファイルを隠すことができます。これらのファイルをシステム ボリュームから別の物理ディスクに移動すると、ドメイン コントローラのパフォーマンスが向上します。 このため、このガイドでは、ドメイン コントローラの Active Directory データベースおよびログ ファイルを、オペレーティング システムが格納されていないストライプまたはストライプ/ミラー ディスク ボリュームに移動することをお勧めします。これらのファイルは、このガイドで定義している 3 種類の環境すべてで移動してください。 ##### Active Directory ログ ファイルのサイズを変更する Active Directory の整合性、信頼性、および可用性を効果的に監視および維持するには、適切な量の情報が記録される必要があります。情報は、環境内のすべてのドメイン コントローラから取得する必要があります。 この処理をサポートするために、ログ ファイルの最大サイズを大きくすることができます。ログの情報が多いほど、管理者はハッカーによる攻撃が発生した場合に有効な監査を実施できます。 このガイドでは、このガイドで定義している 3 種類の環境内のドメイン コントローラでは、ディレクトリ サービスとファイル複製サービスのログ ファイルの最大サイズを既定の 512 KB から 16 MB に増やすことをお勧めします。 ##### Syskey を使用する ドメイン コントローラでは、パスワード情報は Active Directory に格納されます。パスワード解読ソフトウェアが、セキュリティ アカウント マネージャ (SAM) データベースまたはディレクトリ サービスをねらってユーザー アカウントのパスワードにアクセスするのは、珍しいことではありません。 システム キー ユーティリティ (Syskey) は、オフライン パスワード解読ソフトウェアに対する防御のための特別な機能を追加します。Syskey は、強力な暗号化技術を使用して、ドメイン コントローラ上の SAM に保存されているアカウントのパスワード情報を保護します。 **表** **5.9 Syskey** **モード**

システム キー オプション セキュリティ レベル 説明
モード 1:システムによって自動生成されるパスワード、ローカルにスタートアップ キーを保存する セキュリティ保護 コンピュータが生成したランダム キーをシステム キーとして使用し、暗号化されたキーをローカル コンピュータに保存します。このオプションでは、レジストリ内のパスワード情報を強力に暗号化します。ユーザーは、管理者によるパスワードの入力やディスクの挿入なしでコンピュータを再起動できます。
モード 2:Administrator が生成したパスワード、パスワード スタートアップ より高いセキュリティ保護 コンピュータが生成したランダム キーをシステム キーとして使用し、暗号化されたキーをローカル コンピュータに保存します。キーは管理者が選択したパスワードによっても保護されます。コンピュータが初期スタートアップ シーケンスを実行中に、システム キーのパスワードの入力が求められます。システム キー パスワードは、コンピュータ上には保存されません。
モード 3:システムによって自動生成されるパスワード、フロッピー ディスクにスタートアップ キーを保存する 最も高いセキュリティ保護 コンピュータが生成したランダム キーを使用します。キーはフロッピー ディスクに保存されます。コンピュータを起動するには、システム キーを保存したフロッピー ディスクが必要です。また、スタートアップ シーケンスの実行中に、メッセージに従ってそのフロッピー ディスクを挿入する必要があります。システム キーは、コンピュータ上には保存されません。
Syskey は、すべての Windows Server 2003 SP1 サーバーでモード 1 (暗号化されたキー) が有効になっています。セキュリティの観点からは、この構成でよさそうに見えるかもしれません。しかし、モード 1 の Syskey では、攻撃者によるディレクトリの内容の読み取りと変更が可能であり、攻撃者が物理的にアクセス可能な場合にはドメイン コントローラは脆弱性は非常に高くなります。 物理的なセキュリティの脅威にさらされているドメイン コントローラで、Syskey をモード 2 (コンソール パスワード) またはモード 3 (Syskey パスワードのフロッピー保存) で使用することを推奨するには、いくつか理由があります。ただし、運用上、ドメイン コントローラの再起動が必要になるため、Syskey モード 2 またはモード 3 はサポートが困難です。これらの Syskey モードで提供される追加保護機能を利用するには、ドメイン コントローラの固有の可用性の要件を満たすように、適切な運用プロセスを環境内で実装する必要があります。 Syskey パスワードまたはフロッピー ディスク管理のロジスティックスは、特に支店の場合はきわめてに複雑になります。たとえば、支店長またはローカル管理スタッフがオフィスに午前 3 時に来て、パスワードを入力するか、フロッピーを挿入して、ユーザーがアクセスできるようにすることは、費用がかかり、可用性の高いサービス品質保証制度 (SLA) を実現することが非常に困難になります。 その代わりに、IT 運用を一任された社員が Syskey パスワードをリモートから入力できるようにすることにした場合は、別のハードウェアが必要になります。一部のハードウェア ベンダは、そうしたリモートからのサーバー コンソールへのアクセスを可能にするアドオン ソリューションを提供しています。 結局、Syskey パスワードまたはフロッピー ディスクを失うと、ドメイン コントローラを再起動できなくなってしまいます。Syskey パスワードまたはフロッピー ディスクを紛失した場合、ドメイン コントローラを復旧する手段はありません。このような場合は、ドメイン コントローラを再構築する必要があります。 適切な操作手順が定められていれば、Syskey によって、ドメイン コントローラ上の機密性の高いディレクトリ情報を保護できる、高レベルのセキュリティを実現できます。以上の理由から、Syskey モード 2 またはモード 3 は、物理的に強力なセキュリティ対策が施されていない場所にあるドメイン コントローラで使用することをお勧めします。このガイドで定義している 3 種類の環境すべてのドメイン コントローラには、この構成が適用されています。 **システムキーを作成または更新するには** 1. \[スタート\]ボタンをクリックし、\[ファイル名を指定して実行\]をクリックします。次に、「**syskey**」と入力して、\[OK\]をクリックします。 2. \[暗号化を有効にする\]をクリックして、\[更新\]をクリックします。 3. 必要なオプションをクリックして、\[OK\]をクリックします。 #### Active Directory 統合 DNS このガイドで定義している 3 種類の環境では、Active Directory 統合 DNS の使用をお勧めします。お勧めする理由の 1 つは、Active Directory のゾーンを統合するときに、Active Directory 統合 DNS を使用している環境の方が、それを使用しない環境よりも、DNS インフラストラクチャのセキュリティ保護が簡略化されるからです。 ##### DNS サーバーを保護する Active Directory 環境では DNS サーバーを保護することが重要です。ここでは、DNS サーバーを保護する方法について、いくつかの推奨事項について説明します。 DNS サーバーが攻撃されるとき、攻撃者の目的の 1 つとして考えられるのが、DNS クライアントのクエリに対して返される DNS 情報を制御することです。攻撃者がこの情報を制御した場合、クライアントは承認されていないコンピュータに知らないうちにリダイレクトされる可能性があります。この種類の攻撃には、IP 偽装やキャッシュ ポイズニングなどがあります。 IP 偽装では、コンピュータまたはネットワークにアクセスするために、承認したユーザーの IP アドレスが転送に使用されます。キャッシュ ポイズニング攻撃では、許可されていないホストが DNS サーバーのキャッシュに別のホストに関する誤った情報を転送します。この攻撃により、クライアントは承認されていないコンピュータにリダイレクトされます。 クライアント コンピュータが、承認されていないコンピュータと通信可能になると、承認されていないコンピュータはクライアント コンピュータ上の情報にアクセスしようとします。 すべての攻撃が DNS サーバーの偽装を試みるわけではありません。一部の DoS 攻撃は、クライアントのクエリへの応答で無効なアドレスを提供するよう、正規の DNS サーバー内の DNS レコードを変更することがあります。DNS サーバーが無効なアドレスを使用して応答するようになると、クライアントとサーバーは、ドメイン コントローラ、Web サーバー、ファイル共有など、機能に必要なリソースを見つけることができなくなります。 このため、このガイドで定義している 3 種類の環境で使用されるルーターは、偽装 IP パケットを排除するよう構成されており、他のコンピュータが DNS サーバーの IP アドレスを偽装できないようにしています。 ##### セキュリティで保護された動的な更新を構成する Windows Server 2003 SP1 の \[DNS クライアント\] サービスでは、DNS の動的な更新がサポートされています。これにより、クライアント コンピュータは DNS レコードを直接データベースに追加できます。動的な DNS サーバーがセキュリティで保護されていない更新を受け付けるように構成されている場合、攻撃者は DNS 動的更新プロトコルをサポートしているクライアント コンピュータから、悪意のある更新または承認されていない更新を送信する可能性があります。 少なくとも、攻撃者は DNS データベースに偽のエントリを追加する可能性があります。最悪の場合、攻撃者は DNS データベースの正当なエントリを上書きまたは削除する可能性があります。この場合には、攻撃者は次のいずれかを実行できます。 - **クライアントが、承認されていないドメインコントローラに接続されます**。ドメイン コントローラのアドレスを探すためにクライアントが DNS クエリを送信すると、攻撃を受けた DNS サーバーは、許可されていないサーバーのアドレスを返すように指示される可能性があります。そうなると、DNS 関連ではない別の攻撃により、クライアントは承認されていないサーバーにセキュリティで保護された情報を誤って送信する可能性があります。 - **DNS** **クエリに無効なアドレスで応答します**。クライアントとサーバーがお互いを見つけることができなくなります。クライアントが、サーバーを見つけることができない場合、ディレクトリにアクセスできません。ドメイン コントローラが他のドメイン コントローラを見つけることができない場合、ディレクトリ レプリケーションが停止して、DoS 状態に陥り、フォレスト内のユーザーに影響を与える可能性があります。 - **DoS** **状態になります**。ダミー レコードでゾーン ファイルのサイズを大きくしたり、大量のエントリによりレプリケーションの速度を低下させることで、サーバーの空き容量がなくなる可能性があります。 セキュリティで保護された動的 DNS 更新を使用すると、登録要求は、Active Directory フォレスト内の有効なクライアントから送られた場合のみ処理されるようになります。これにより、攻撃者が DNS サーバーの整合性に悪影響を与える可能性が大幅に低くなります。 これらの理由から、このガイドで定義している 3 種類の環境では、セキュリティで保護された動的な更新のみを受け付けるよう Active Directory DNS サーバーを構成することをお勧めします。 ##### 承認済みシステムへのゾーン転送を制限する ゾーンは DNS で重要な役割を果たすので、名前のクエリを解決するときの適切な可用性とフォールト トレランスを実現するには、ネットワーク上の複数の DNS サーバーでゾーンが使用できる必要があります。追加サーバーがゾーンをホストする場合、ゾーンをホストするように構成されているサーバーごとにゾーンのすべてのコピーをレプリケートし同期するために、ゾーン転送が必要になります。 また、ゾーン転送を要求できるユーザーを制限していない DNS サーバーには、ゾーン転送を要求したユーザーに DNS ゾーン全体を転送するという脆弱性があります。このような転送は、Nslookup.exe などのツールを使えば簡単に実行できます。このようなツールにより、ドメイン コントローラとして機能しているホスト、ディレクトリ統合 Web サーバーとして機能しているホスト、Microsoft SQL Server データベースとして機能しているホストなどの情報を含む、ドメインの DNS データセット全体が公開されます。 これらの理由から、このガイドで定義している 3 種類の環境の Active Directory 統合 DNS サーバーでは、ゾーン転送は許可し、転送を要求できるコンピュータを制限するようお勧めします。 ##### イベント ログおよび DNS サービス ログのサイズを変更する DNS サービスを効果的に監視および維持するには、適切な量の情報が記録される必要があります。情報は、環境内のすべてのドメイン コントローラから取得する必要があります。 DNS サービスのログ ファイルの最大サイズを増やしておくと、攻撃を受けたときに、管理者が有効な監査を実行できます。 このガイドでは、このガイドで定義している 3 種類の環境のドメイン コントローラで、DNS サービス ログ ファイルの最大サイズを 16 MB 以上に増やすことをお勧めします。また、DNS サービスの \[必要に応じてイベントを上書きする\]オプションを選択し、保存されるログ エントリの量を最大限に高めてください。 #### 既知のアカウントを保護する Windows Server 2003 SP1 には、削除できず、名前だけ変更できるビルトイン ユーザー アカウントがいくつかあります。Windows 2003 の最も一般的なビルトイン アカウントには、Guest と Administrator があります。 既定では、Guest アカウントはメンバ サーバーとドメイン コントローラでは無効になっています。この設定は変更しないでください。悪意のあるコードの多くは、サーバーへの侵入で最初の試みとしてビルトイン Administrator アカウントを使用します。この理由から、ビルトイン Administrator アカウントの名前と説明を変更して、攻撃者がよく知られているアカウントを使用してリモート サーバーへ侵入することを防止してください。 ビルトイン Administrator アカウントのセキュリティ識別子 (SID) を指定し、その本当の名前を調べてサーバーに侵入しようとする攻撃ツールが出現して以来、この構成変更の価値はここ数年間で減少しています。SID は、各ユーザー、グループ、コンピュータ アカウント、およびネットワークのログオン セッションをそれぞれ識別する値です。このビルトイン アカウントの SID を変更することはできません。ただし、Administrator アカウント名を一意の名前に変更すると、運用グループが Administrator アカウントに対する攻撃を簡単に監視できるようになります。 ドメインおよびサーバーのよく知られたアカウントをセキュリティで保護するには、以下の手順を実行します。 - すべてのドメインやサーバーで、Administrator アカウントと Guest アカウントの名前を変更し、パスワードを長く複雑な値に変更します。 - 各サーバーで異なる名前とパスワードを使用します。すべてのドメインおよびサーバーで同じアカウント名とパスワードを使用すると、1 台のメンバ サーバーへのアクセスに成功した攻撃者は、同じアカウント名とパスワードを使用して他のすべてのサーバーにもアクセスできるようになります。 - アカウントを容易に識別できないように、アカウントの説明を既定以外に変更します。 - 変更した内容を安全な場所に記録します。 **注** :ビルトイン Administrator アカウントは、グループポリシーを使用して変更できます。このアカウントには各組織が固有の名前を指定する必要があるので、このガイドに付属のセキュリティ テンプレートではこのポリシー設定は構成していません。ただし、このガイドで定義している 3 種類の環境すべてでは、\[アカウント: Administrator アカウント名の変更\]設定を使用して、Administrator アカウント名を変更できます。このポリシー設定は、GPO のセキュリティ オプション設定に含まれています。 #### サービス アカウントをセキュリティ保護する 避けられない場合を除いて、ドメイン アカウントのセキュリティ コンテキストでサービスを実行するようには構成しないでください。サーバーに物理的にアクセスされた場合、LSA シークレットをダンプすることで、ドメイン アカウントのパスワードが容易に取得されます。サービス アカウントのセキュリティを保護する方法の詳細については、https://www.microsoft.com/japan/technet/security/topics/serversecurity/serviceaccount/default.mspx の「[サービスおよびサービス アカウントのセキュリティ計画ガイド](https://www.microsoft.com/japan/technet/security/topics/serversecurity/serviceaccount/default.mspx)」を参照してください。 #### ターミナル サービスの設定 **表** **5.10** **ターミナルサービスに関する推奨設定**

既定 レガシ クライアント環境 エンタープライズ クライアント環境 セキュリティ強化 - 機能制限環境
クライアント接続の暗号化レベルを設定する
\[クライアント接続の暗号化レベルを設定する\]では、環境内のターミナル サービス クライアント接続の暗号化のレベルを決定します。128 ビットの暗号化を使用する \[高レベル\]設定オプションは、ターミナル サービス セッションがパケット アナライザを使用する攻撃者により盗聴されることを防ぎます。古いバージョンのターミナル サービス クライアントには、この高レベルの暗号化をサポートしていないものがあります。ネットワークにそのようなクライアントがある場合は、そのクライアントでサポートされている最高レベルの暗号化でデータを送受信するように接続の暗号化レベルを設定します。 このガイドで定義している 3 種類のセキュリティ環境の DCBP では、\[クライアント接続の暗号化レベルを設定する\]は \[有効\]に設定されており、また \[高レベル\]暗号化が選択されています。 このポリシー設定は、Windows Server 2003 の場合、グループ ポリシー オブジェクト エディタを使用して、次の場所で指定できます。 **コンピュータの構成\\管理用テンプレート\\Windows** **コンポーネント\\** **ターミナルサービス\\暗号化とセキュリティ** 暗号化で利用可能な 3 つのレベルを、次の表に示します。 **表** **5.11** **ターミナルサービスの暗号化レベル**

暗号化レベル 説明
高レベル クライアントとサーバーとの間で送信されるデータが、強力な 128 ビット暗号化を使用して暗号化されます。このレベルは、128 ビット クライアント (リモート デスクトップ接続クライアントなど) のみが存在する環境でターミナル サーバーを実行している場合に使用してください。このレベルの暗号化をサポートしていないクライアントは接続できません。
クライアント互換 クライアントとサーバーとの間で送信されるデータが、そのクライアントでサポートされている最強のキーで暗号化されます。このレベルは、異なる種類のクライアントが混在している環境、またはレガシ クライアントが存在する環境でターミナル サーバーを実行している場合に使用してください。
低レベル クライアントからサーバーに送信されるデータが 56 ビット暗号化を使用して暗号化されます。 重要 :サーバーからクライアントに送信されるデータは暗号化されません。

エラー報告

5.12 エラー報告に関する推奨設定

設定 レガシ クライアント環境 エンタープライズ クライアント環境 セキュリティ強化 - 機能制限環境
Windows エラーの報告をオフにする 有効 有効 有効
このサービスは、Microsoft がエラーを追跡して対処するのに役立ちます。このサービスは、オペレーティング システム エラー、Windows コンポーネント エラー、またはプログラム エラーの報告を生成するように構成できます。このサービスは、Windows XP Professional および Windows Server 2003 でのみ使用できます。 \[エラー報告\]サービスを使用すると、このようなエラーをインターネット経由で Microsoft に報告したり、社内のファイル共有に報告したりできます。エラー報告に重要なデータまたは機密データが格納される可能性がありますが、Microsoft はエラー報告に関するプライバシー ポリシーに従って、そのようなデータを不正に使用しないことを保証します。ただし、データはプレーンテキスト HTTP で転送されるので、第三者によってインターネット上で傍受され、解読される可能性があります。 \[Windowsエラーの報告をオフにする\]設定では、\[エラー報告\]サービスがデータを送信するかどうかを制御します。 このポリシー設定は、Windows Server 2003 の場合、グループ ポリシー オブジェクト エディタを使用して、次の場所で指定できます。 **コンピュータの構成\\管理用テンプレート\\システム\\インターネット通信の管理\\インターネット通信の設定** このガイドで定義している 3 種類の環境すべての DCBP で、\[Windowsエラーの報告をオフにする\]は \[有効\]に設定します。 [](#mainsection)[ページのトップへ](#mainsection) ### SCW を使用してポリシーを作成する 必要なセキュリティ設定を展開するには、セキュリティの構成ウィザード (SCW) と、このガイドのダウンロード バージョンに付属のセキュリティ テンプレートの両方を使用して、ドメイン コントローラ ベースライン ポリシーを作成する必要があります。 独自のポリシーを作成する場合は、\[レジストリ設定\] セクションと \[監査ポリシー\] セクションをスキップします。これらのポリシー設定は、選択された環境のセキュリティ テンプレートで提供されます。この方法は、テンプレートのポリシー要素が SCW によって構成されるポリシー要素より優先されるようにするために必要です。 構成作業を始める際には、オペレーティング システムの新規インストールを使用することをお勧めします。こうすることにより、以前の構成の古い設定やソフトウェアが残っていないことが保証されます。可能であれば、展開に使用するものと同様のハードウェアにオペレーティング システムをインストールすることをお勧めします。これにより、互換性が向上します。このような新規インストールを*参照コンピュータ*と呼びます。 **ドメインコントローラベースラインポリシーを作成するには** ドメイン コントローラ ベースライン ポリシーを作成するには、ドメイン コントローラとして構成されているコンピュータを使用する必要があります。既存のドメイン コントローラを使用するか、参照コンピュータを作成し Dcpromo を使用してそのコンピュータをドメイン コントローラにします。ただし、セキュリティ ポリシーに違反する可能性があるため、ほとんどの組織では、ドメイン コントローラを運用環境に追加するとことは望ましくありません。既存のドメイン コントローラを使用する場合、SCW を使用して設定を適用したり、構成を変更したりしないよう、十分注意してください。 1. \[コントロール パネル\]、\[アプリケーションの追加と削除\]、\[Windows コンポーネントの追加と削除\] の順に選択して、セキュリティの構成ウィザードのコンポーネントをコンピュータにインストールします。 2. SCW GUI を起動し、\[新しいセキュリティ ポリシーの作成\]を選択して、参照コンピュータを指定します。 3. 検出されたサーバーの役割が環境に適していることを確認します。ファイル サーバーの役割を削除しないでください。この役割は、ドメイン コントローラの適切な動作に必要です。 4. 検出されたクライアント機能が環境に適していることを確認します。 5. 検出された管理オプションが環境に適していることを確認します。 **注** :環境内に複数のサイトのドメイン コントローラが存在している場合は、\[メール ベース Active Directory レプリケーション\] が選択されていることを確認してください。 6. ベースラインに必要な追加サービス、たとえばバックアップ エージェントやウイルス対策ソフトウェアが検出されていることを確認します。 7. 環境で指定されていないサービスの扱いを決定します。セキュリティをさらに向上させるため、このポリシー設定を\[無効\] にします。この設定は、運用ネットワークに展開する前にテストしてください。運用サーバーが、参照コンピュータに複製されていない追加サービスを実行する場合に、問題が発生することがあります。 8. \[ネットワーク セキュリティ\] セクションで \[このセクションをスキップする\]チェック ボックスがオフであることを確認し、\[次へ\]をクリックします。前の手順で特定した適切なポートとアプリケーションが、Windows ファイアウォールの例外として構成されます。 **注** **:**\[次が使用するポート: システム RPC アプリケーション\]が選択されていることを確認します。 9. \[レジストリの設定\] セクションで、\[このセクションをスキップする\]チェック ボックスをオンにし、\[次へ\]をクリックします。これらのポリシー設定は、付属の INF ファイルからインポートされます。 10. \[監査ポリシー\] セクションで、\[このセクションをスキップする\]チェック ボックスをオンにし、\[次へ\]をクリックします。これらのポリシー設定は、付属の INF ファイルからインポートされます。 11. 適切なセキュリティ テンプレート (EC-Domain Controller.inf など) を含めます。 12. ポリシーを適切な名前 (Domain Controller.xml など) で保存します。 #### SCW を使用してポリシーをテストする ポリシーを作成して保存したら、テスト環境に展開することを強くお勧めします。テスト サーバーが運用サーバーと同じハードウェアおよびソフトウェア構成であることが理想的です。こうすることで、特定のハードウェア デバイスに予期しないサービスが必要になった場合などの、潜在的な問題を検出して解決できるようになります。 ポリシーのテストには、2 つの方法があります。SCW の展開機能を使用する方法と、GPO を使用してポリシーを展開する方法です。 ポリシーの作成をこれから始める場合には、SCW の展開機能を使用することを検討してください。SCW を使用して、ポリシーをサーバーごとにプッシュするか、Scwcmd を使用してポリシーをサーバーのグループにプッシュします。この展開方法には、SCW から展開したポリシーを簡単にロールバックできるという利点があります。この機能は、テスト プロセスでポリシーの変更を複数行う場合に便利です。 ポリシーをテストする目的は、そのポリシーを対象サーバーに適用しても重要な機能に悪影響が及ばないことを確認することです。構成の変更を適用したら、コンピュータの主要な機能を検証する必要があります。たとえば、証明機関 (CA) として構成されているサーバーの場合は、クライアントが証明書を要求して取得できること、証明書失効リストをダウンロードできることなどを確認します。 ポリシーの構成に問題がないことを確認したら、次に示す手順に従って、Scwcmd を使用して、ポリシーを GPO に変換します。 SCW ポリシーのテスト方法の詳細については、https://technet2.microsoft.com/WindowsServer/ja/Library/5254f8cd-143e-4559-a299-9c723b3669461041.mspx?mfr=true の『[セキュリティの構成ウィザードの展開ガイド](https://technet2.microsoft.com/windowsserver/ja/library/5254f8cd-143e-4559-a299-9c723b3669461041.mspx?mfr=true)』および https://go.microsoft.com/fwlink/?linkid=43450 の「[Security Configuration Wizard Documentation](https://go.microsoft.com/fwlink/?linkid=43450)」(英語情報) を参照してください。 #### ポリシーを変換して展開する ポリシーを徹底的にテストした後、次の手順を実行して、ポリシーを GPO に変換して、展開します。 1. コマンド プロンプトで、次のコマンドを入力します。 
```
scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>   
```

Enterキーを押します。次にその例を示します。

```  
scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Domain Controller.xml" /g:"Domain Controller Policy"
```

  1. コマンド プロンプトで、次のコマンドを入力します。

    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>

    Enterキーを押します。次にその例を示します。

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Domain Controller.xml" /g:"Domain Controller Policy"

    :コマンド プロンプトに入力する情報が、表示の制限により複数行にわたって表示されることがあります。この情報は、すべて 1 行に入力してください。

  2. グループ ポリシー管理コンソールを使用して、新たに作成した GPO をドメイン コントローラ OU にリンクし、既定のドメイン コントローラ ポリシーより優先度の高い位置に移動して、優先度が最高になるようにします。

SCW セキュリティ ポリシー ファイルに Windows ファイアウォールの設定が含まれている場合、この手順を正常に完了するには、ローカル コンピュータで Windows ファイアウォールが有効になっている必要があります。Windows ファイアウォールが有効であることを確認するには、[コントロール パネル] を開き、[Windows ファイアウォール]をダブルクリックします。

新しく作成した GPO がすべてのドメイン コントローラにレプリケートされるまでには時間がかかります。複数のサイトのドメイン コントローラが存在する環境では特に時間がかかります。GPO が正常にレプリケートされたことを確認したら、最終テストを実行して、GPO が目的のポリシー設定を適用することを確認します。この手順を完了させるために、設定が適切であること、機能がその影響を受けないことを確認します。

ページのトップへ

まとめ

この章では、このガイドで定義している 3 種類の各環境で、Windows Server 2003 SP1 を実行するドメイン コントローラ サーバーをセキュリティ保護する方法について説明しました。説明したポリシー設定のほとんどは、グループ ポリシーを使用して構成および適用されています。既定のドメイン コントローラ ポリシーを補足するドメイン コントローラ ベースライン ポリシー (DCBP) が、ドメイン コントローラ OU にリンクされいます。

DCBP 設定は、あらゆる環境のドメイン コントローラのセキュリティを全般的に強化します。2 つの GPO を使用してドメイン コントローラをセキュリティで保護すると、既定の環境を維持したまま、トラブルシューティングを簡素化できます。

説明した設定のなかには、グループ ポリシーを使用して適用することができないものもあります。そのような設定については、手動で構成する方法について詳しく説明しました。

ドメイン コントローラをセキュリティが強化されるように構成しておくと、他のサーバーの役割のセキュリティをさらに高めることができます。このガイドの以降の章では、その他の個々のサーバーの役割のセキュリティを強化する方法に焦点を当てます。

関連情報

Windows Server 2003 SP1 を実行するドメイン コントローラのセキュリティ強化に関する詳細情報は、以下のリンクから参照できます。

  • Microsoft システム アーキテクチャ : エンタープライズ データ センターの規範的なアーキテクチャの詳細については、https://www.microsoft.com/resources/documentation/msa/edc/all/solution/en-us/pak/pag/default.mspx の「MSA EDC Prescriptive Architecture Guide」(英語情報) ページを参照してください。

  • Active Directory への匿名アクセスを有効にする方法については、https://support.microsoft.com/?kbid=257988 のマイクロソフト サポート技術情報「Dcpromo におけるアクセス許可の選択について」を参照してください。

  • Windows 2000 DNS の詳細については、https://www.microsoft.com/japan/windows2000/techinfo/howitworks/communications/nameadrmgmt/w2kdns.mspx の「Windows 2000 DNS」を参照してください。

  • Windows 2000 DNS の詳細については、https://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx?mfr=true の Windows 2000 Server Resource Kit (英語情報) の「TCP/IP Core Networking Guide」の第 6 章を参照してください。

  • Windows 2003 DNS の詳細については、https://www.microsoft.com/windows2000/remove404.mspx の「Changes to DNS in Windows Server 2003」ページ (英語情報) を参照してください。

  • Active Directory を制限することに関する詳細については、https://support.microsoft.com/kb/224196 のマイクロソフト サポート技術情報「Restricting Active Directory replication traffic to a specific port」を参照してください。

  • FRS レプリケーション トラフィックの詳細については、https://support.microsoft.com/?kbid=319553 のマイクロソフト サポート技術情報「FRS 複製トラフィックを特定の静的ポートへ制限する方法」を参照してください。

  • Windows タイム サービスの詳細については、https://technet2.microsoft.com/WindowsServer/en/Library/a0fcd250-e5f7-41b3-b0e8-240f8236e2101033.mspx の「Windows タイム サービス」を参照してください。

  • IP なりすましの詳細については、www.giac.org/practical/gsec/Victor_Velasco_GSEC.pdf の『Introduction to IP Spoofing』(英語情報) を参照してください。

ページのトップへ

ページのトップへ