ニュース
2004/03/15 22:38 更新
ADのグループポリシーが有効、サーバとクライアントセキュリティ対策
マイクロソフトの無償セキュリティトレーニング「SECURE SYSTEM Training Tour 2004」。ITプロ向けのコースでは、ADのグループポリシーを活用してホストのセキュリティを確保する方法が紹介されている。
マイクロソフトの無償セキュリティトレーニング「SECURE SYSTEM Training Tour 2004」。3月9日から行われているITプロフェッショナル向けのコースでは、「多層防御」の考え方に基づき、セキュリティ対策を解説している。サーバセキュリティやクライアントセキュリティの面では、Active Directory(AD)のグループポリシーを活用してセキュリティを確保する方法が紹介されている。
サーバセキュリティの基本作業は、(1)セキュリティ更新プログラムの適用、(2)ADのグループポリシー設定でサーバを強化する、(3)サーバへの物理的アクセスとネットワークアクセスの制限、の3つが基本となるという。
トレーナーの山口希美氏(グローバル ナレッジ ネットワークス マイクロソフト認定eTECトレーナー)は、「セキュリティ更新プログラムの適用はなんでもかんでもすればよいというのでなく、利用しているサービスのものを適用するようにする」と説明する。セキュリティ更新プログラムがもとで不具合を起こしてしまうことがあるからだ。そのため、検証作業が必要になるが、適用作業にはできるだけ人手を返さず、Windows UpdateやSoftware Update Services(SUS)などといったツールで自動化するのがポイントという。
コンシューマーやWindowsサーバを利用していない小規模企業であればWindows Updateを活用し、Windowsサーバを利用しIT管理者が存在するような規模になるならSUSを利用することを勧める。さらに高度なソリューションを必要とするなら、Systems Management Server (SMS)を利用するとよいようだ。
ADを活用するにも、まずADに対する脅威を特定する必要がある。例えば、ユーザー名やパスワード情報を格納しているドメインコントローラ(DC)が本社だけでなく、支社にもあるような場合は本社をガチガチに固めたとしても意味がない、ということになる。「DCは会社の資産として物理的に別管理にしなければいけない」ほど、重要だ。脅威に対するセキュリティ対策をしっかり検討して、構成を考える必要がある。
ADのフォレストという概念は、セキュリティ上の境界を作り出すことができる。これを利用すれば、研究部門など特別なセキュリティを必要とする部門を厳密に区分して対策が行える。ドメインについては、既定の設定を強化することで、さらに高度な保護が可能になる。
もっともサーバセキュリティという面では、OUの階層構造を利用するのも賢いやり方という。OUの管理は、特定の管理グループに委任が可能なため、セキュリティの問題を簡素化できるメリットがある。山口氏によると、共通的なセキュリティ用件についてはメンバーサーバOUをドメインの直下に構成し、メンバーサーバOUの下に、プリントサーバ、ファイルサーバなど役割に応じたOUを作ることで、グループポリシーオブジェクト(GPO)を利用したセキュリティポリシーの設定が柔軟かつ容易になる。
「Windows Server 2003セキュリティガイド」では、サーバの役割に応じたセキュリティテンプレートが提供されているので、これを利用してポリシーをカスタマイズすると便利という。ただし、「無条件に適用することは避け、セキュリティテンプレート管理ツールなどのツールで、確認・テストを行ってから利用する必要がある」(山口氏)。
WebサーバIIS5.0環境では、不要なコンポーネントを無効にするIIS Lockdownツールを利用することも紹介されている。そのほか、サーバ強化のための推奨事項とされているのは、有名すぎるAdministratorやGuestといったビルトインアカウントを変更すること。これらビルトインアカウントやサービスアカウントについては、システムへのアクセスを制限する必要もある。ドメインアカウントを使ってログオンするようなサービスも構成しないほうがよい。またNTFSでファイルやフォルダを保護するのも推奨事項だ。
クライアントもADのグループポリシーで
クライアントセキュリティにおいても、ADは活躍する。例えば、ルートドメインの下に部署OUを作り、その下にユーザー用のOU と、OS別OUを構成、OS別OUの下にさらにコンピュータアカウント用のデスクトップOU、ラップトップOUを設けるといった三階層構造を紹介した。また「Windows XPセキュリティガイド」にもセキュリティテンプレートが含まれておりこれを編集して、GPOに利用するといいという。
クライアントでのセキュリティ設定項目としては、上位8項目として、リムーバブルメディアの取り出し、SAMアカウントの匿名列挙、LAN Manager(LM)認証レベル、パスワードポリシー、監査の有効化、LMのハッシュの削除、SMV署名オプションといったものが挙げられている。
また、Internet Explore(IE)のゾーン設定やソフトウェア制限に関してもADのグループポリシーを利用することができる。
セキュリティ更新プログラムについてもサーバと同様、Windows Update、SUS、SMSの利用を紹介している。
関連記事
朝から夕までセキュリティ三昧、MSの無償セキュリティトレーニング経産省担当者がSECURITY SUMMIT 2004で語った「システム管理者の困難な時代」マイクロソフト、自虐的演出でセキュリティへの取り組みに決意マイクロソフト、2万人の技術者を対象にした無償セキュリティトレーニングツアーを発表関連リンク
SECURE SYSTEM Training Tour 2004マイクロソフト[堀 哲也,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
