低消費・静音化サーバー
No.10 Windows2000の設定
OSのセキュリティ強化
2002,10/06 完成
2002,12/23 追加
2003,1/13 コメント追加。ここここ

Windowsと言えば色々なウィルスやらワームやらのターゲットとなっているわけで、OSのインストールが
終わったとこで安心せずに速攻でOS自体のセキュリティを強化することにしました。

1.マイクロソフトのサイトのセキュリティ・パッチを適用しよう
 1)サービスパックの適用
  何はなくともサービスパックを適用するってもんですね。
  サービスパックはマイクロソフトのこのページでゲット!(2002,10/06現在SP3が最新版です。)
  インストール→再起動 で無事インストールが終わりました。

  ※ ちなみにこのサービスパックは新しいソフトをインストールするたびに再インストールしなきゃ
    いけないみたいです。(めんどくさいけど仕方なし・・・)
                   ↓2003,1/13 追加
    ”再インストール”しなきゃいけないというのはどこかWeb上の記事で見かけたのですが
    このサイトを読んでいただいているnishimuraさんより「Windows2000以降は、
    \WINNT\ServicePackFilesにサービスパックのファイルがすべてコピーされているので
    再インストールの必要はない。」
というご指摘を受けました。(2003,1/13)


 2)お次はWindows Updateの適用だ
  さらにSP以降のセキュリティパッチをWindows Updateで調べて自動でインストールしときます。
  Windows Updateは、
    スタート →Windows Update
  から実行するかこのサイトから実行します。

 3)追加でHotfixの適用だ
  さらにさらにWindows Updateでサポートされる以前のセキュリティパッチを適用するには、
  Microsoft セキュリティのページで最新版を調べてダウンロードします。
  (これをHotfixというらしい、、、違ってたらすいません。)
  で、私もそうなんですがどのセキュリティパッチを当てたか当ててないのかわけがわからなく
  なった
人のためにHFNetChkというありがたいツールが提供されています。
  これを使うとまだ適用していないパッチを教えてくれるそうな。それがわかったところで
  改めて手動でパッチを当てるというわけです。
  (でも、DOS窓を使って操作しなきゃいけなかったりしてけっこうめんどーです。)

とまぁ、パッチの当て方にも3階層あってめんどうくさいです。 (^_^;)
最初、どのパッチがどういう意味があるのかわけがわからず困ってしまいましたが
Windows Insiderセキュリティ・パッチの3つのレベルセキュリティ・パッチの適用状況を調べる
という記事がためになりました。


2.お次はWindows2000の設定値の見なおしだ!
 セキュリティパッチを当てて安心するのもつかの間、引き続きWindows2000の設定値を見なおす
 事にしました。
 私も全然知らなかったのですがWindows2000のインストール直後の設定値は使いやすさを優先する
 ためにセキュリティ的に甘くなっているところがあるそうで、スタンドアロンで使っているならまだしも
 サーバーとして外部に公開するにはまずい部分がざくざくあるようです。
 これらを一つ一つつぶしていくことにしました。

 1)Windows2000Pro工房を参考にしよう
 Windows2000の設定に当ってはSUPER LABORATORY(スーパー工房、略称SL)Windows2000Pro工房
 がむちゃくちゃためになりました。(教えていただいたBHLさんありがとうございます。)
 説明もわかりやすいし考え方も共感できるし必見のサイトです。
 まずは、このWindows2000Pro工房の”#8 セキュリティの第一歩 ”の内容にそってOSの設定を変更します。
 詳細はWindows2000Pro工房を見ていただくとしてここでは変更する項目だけ書いておきます。

 ■Guestアカウントを無効にする。
 ■Administratorアカウントの名前を変更する。
 ■ログオン画面のデフォルト表示を変更する。
 ■パスワードの長さを指定する。
 ■ロックアウト機能をオンにする。
 ■イベントの監査機能をオンにする。
 ■ネットワーク経由でアクセスできるユーザを制限する。
 ■不要なサービスを停止する。
 ■ログオン画面のデフォルト表示を変更する。

 ■前回ログオンした人のアカウント名を表示しない 2002,12/23追加
  上記の設定でCtl+Alt+Delを押さないとログオンの画面が出てこないようにしましたが
  前回ログオンした人のアカウント名が表示されており、パスワードだけ入力すればログオン
  できるようになっています。
  これはログオンする人には便利な機能ですがクラッカーにとっても便利な機能です。
  ここは便利さを犠牲にしてでも前回ログオンしたアカウント名を非表示にしてしまいましょう。
  具体的には、
   グループポリシー→ローカルコンピューターポリシー→コンピューターの構成
   →Windowsの設定→セキュリティの設定→ローカルポリシー→セキュリティオプション
  を開いて(やったら深いな、この設定。ゼイゼイ)「ログオン画面に最後のユーザー名を表示しない」
  の設定を有効にします。
                     ↓2003,1/13 追加
  これもこのサイトを読んでいただいているnishimuraさんから、「”Ctl+Alt+Delを押さないとログオンの
  画面が出てこないようにする”というのはキーボードにモノを置いたりした際の誤動作防止であり、
  ”前回ログオンした人のアカウント名を表示しない”というのはネットワーク側からのアクセスには無関係。
  いずれも”ローカルのセキュリティ”であり、”ネットワークアクセスのセキュリティ”とは別物である。」

  とのご指摘を受けました。(「 」内の文章はnishimuraさんからのメールを元にたけ がまとめたものです。)
  なるほどーー、てっきりクラッカーがサーバーに進入してくるときはネット経由でCTL+ALT+DELを(電子的に)
  押してLoginの画面を表示させ、その後、画面上に表示されている前回ログオンした人のアカウント名
  を(電子的に)読み取るのかと勝手に思っていたのですが大きな勘違いだったようです。
  これら対策はあくまでサーバーを置いてある場所で物理的にハッキングしようとする人物に対する対策であり
  ネット経由で攻撃してくるクラッカーからの防御とは別物だったのですね。
  この点、今までごっちゃにしていましたがちゃんと切り分けて考えなきゃいけないですね。
  ご指摘ありがとうございました。 >nishimuraさん  (2003,1/13)

  

 ■リモートレジストリへのアクセス制限  2002,12/23追加
  ・スタート→ファイル名を指定して実行→regedt32 を実行
  ・HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winregを選ぶ。
   (これも深いなぁ・・・)
  ・セキュリティ→アクセス許可を選択
  ・Administratorのみアクセス許可にする。
  こうすることによりAdministrator以外はリモートシステムのレジストリ表示と変更ができなくなる。
  (はず、、、自分では試していないので説得力にちょっと欠けます。)


 2)Microsoft Tec Netのベースラインセキュリティリストをチェックする
 Windows2000Pro工房の内容で安心したのもつかの間またかい、 (-_-) )色々調べていくと
 Microsoft Tech Net >セキュリティ >ツールとチェックリスト
 にある「Windows2000Professionalベースライン セキュリティ チェックリスト」の内容をチェックした
 方がいいことに気が付きました。
 半分くらいはWindows2000Pro工房の内容とダブるんですが、

 ■ファイルとディレクトリを保護する。
 ■適切なレジストリ ACL を適用する。
 ■ローカル セキュリティ機関 (LSA) の公開された情報へのアクセスを制限する。
   これはWindowsNTからアップグレードしたときの注意事項のようです。

 ■レジストリを匿名アクセスから保護する。
   Regedt32.exeをいじってリモートアクセス権は管理者だけが持つようにします。

 ■Administrator アカウントを構成する。
  ここの「権限を持たないおとりのAdministratorアカウントを作る。」には笑っちゃいました。
  でも効果ありそう。

 ■不要なファイル共有をすべて削除する。
  共有フォルダーのアクセス権からEveryoneを削除したりする。
  (エクスプローラーでフォルダーを指定→右クリック→プロパティ→共有→アクセス許可 で設定)

 あたりを注意して設定する必要があります。
 ちなみにMicrosoftからWindowsNT系OS向けにSecurity Tool Kitなるものが出されており、
 ここのページでCD-ROMを申し込む事ができます。
 私は月刊Windows2000 World2002年02月号の付録CD-ROMで入手したのですがその後
 無くしてしまいました。 (T_T)
 このツールキットの中のreadme.htmがセキュリティについて色々書いてあってよかったんですけどねぇ。
 オンラインで配布してくれないかなぁ。 >マイクロソフト

 と、OS周りの設定を色々やってみましたがここをこう変えておいた方がより安全という設定は
 探せば探すだけ出て来そうですね。 (^_^;)
 他にもご存知の方いらっしゃいましたら掲示板かメールで教えて下さい。



- ここまでの出費(変わらず) -
 

ハード CPU VIA C3 4300円(送料こみ)
マザーボード ABIT SE6 8000円(送料こみ)
HDD変換機 2.5"→3.5"へ 800円
SDRAM 256MB 3800円
ケース ATX+モバイルケース
+CD-ROM+FDD
5500円(送料こみ)
温度リレー WonderKit 温度センサ 3800円
三端子レギュレーター 7809 60円
ジャンク電源 放熱板取りのため 500円
放熱板置き ケースのフタ 100円
熱伝導ゲルシート PT-R1316 1080円
ソフト OS Windows2000 Proffesional 10500円
合計 38440円!

←戻る 進む→
ホームに戻る