僕のSecurity設定例(今のところWinNT、2000、IISのみ)


[これだけは知っておきたいコマンド]
 用語等はマイクロソフトのサイトをご覧下さい。
以下の設定はご利用される方の責任においてご利用下さい。 この掲載を他に利用される方は事前にご一報下さい(ご意見下さい)。説明は要点のみ。
2003年12月6日UP

NT4.0+IIS4.0 OR 2000+IIS5.0



基本的に使用するサービスは最小限にして下さい。
インストール方法(IISのインストールは後の方がいいかもしれません。最新spは構築してから充てた方が良いようです。)
初期条件 1.ネットワークに繋がずに行う。2.SystemフォルダとWebフォルダはドライブを分ける。(例:CとD)3.ハードディスクはNTFS形式でフォーマットする。

CドライブにWindowsNT4.0または2000をインストールします。
インストール時条件
基本的にネットワークのインストールは最小限にしてください。
(TCP/IPだけでいいはずです)
※Windows OSのインストール時にネットワークには参加させない。
(NT)バージョン4.0以上のサービスパックを導入する。
(2000)SP3を導入する。
ネットワークのインストールを行う。(TCP/IPのみ)
※WEBの配信は基本的にTCPポート 80です。これは設定変更できます。
またDNSサーバにする場合はポート53を使います。
他のサーバ等とネットワークを組むならポート137〜139。
PINGを受付けるならポート1、ICMPを投げるならポート7、ファイル転送は20、FTPを使用して管理するならポート21、Telnetを使用するならポート23を開くだけでいいです。
メールを配信するのであればポート25を使用します。 これらの設定はNTでは<ネットワーク>→<サービス>→<TCP/IP>→<詳細>→<セキュリティ設定> 、2000ではネットワーク設定の<IPセキュリティ>で行えます。
(NT)OptionPack4.0よりインターネットインフォメーションサーバーをインストールする。その際Web、FTP、SMTPサービスのフォルダはDドライブにする。
(2000)
※必要なサービスだけに留める。
(NT)最新サービスパックの導入(現在NTは6.0a、2000は3.0)Mar.28,2003 UP!
(NT、2000) SRP(セキュリティロールアップパッケージの導入)
各種パッチ類の導入
-----マイクロソフトのサイトの説明準拠です。
<ドメインユーザ管理>

<ルール設定>
パスワード8文字以上。
3回以上ロックアウト。
ロックアウトの解除は管理者が行うまで解除不能。
パスワード履歴は残さない。

<アカウントの設定>
Administratorのアカウント名をロック
別のアカウント名を作成し、管理者権限を設定する。
BIGLOBE_Administrator
Guestアカウントをロック。
IUSRコンピュータ名、IWAMコンピュータ名をロック。
グループでAuthentificated Usersがなければ作成。
グループでLOCAL-USRSを作成。
匿名アクセス用アカウント作成。
BIGLOBE_Anonymous、BIGLOBE_WAManagerなど。

アクセス権利の設定で
権限所属グループ
ローカルログオンLOCAL-USRS
ネットワーク経由接続Authentificated_USERS
その他Everyone、Users、Guestアカウントは全て除去する


アカウントの権利設定
アカウント名所属グループ
BIGLOBE_Administrator Administrators
LOCAL-USRS
(Autentificated_USERS)
BIGLOBE_Anonymous
BIGLOBE_WAManager		 Authentificated_USERS
フォルダアクセス権
ドライブ所属グループ(設定)
C: E:BIGLOBE_Administrator(Full)
Everyone(RX)
System(Full)
C:/winnt/system32/logfiles Administrators(RX)
Everyone(RX)
System(Full)


<IISの設定>
デフォルトにあるフォルダは全て削除するか、IPアドレス制限でローカルのみを設定する。
.htr、.idc、.idqの拡張子のファイルは全て削除。
cgi-binにある.EXEは全て削除する。
匿名アクセスアカウント名はBIGLOBE_Anonymous。
ログはW3CExtendedログ形式でファイル生成は毎日、記録する項目は全てチェックを入れる。
実行権限がいらないフォルダについては<読み取り>だけ設定する。
(意外と一番頭のサービスの設定を変更するのを忘れたりしますので、そこを突かれることもあります。)

<FTPの設定>
(自信がなければ使わずにやった方がいいと思います・・・)
IPアドレス制限をする。
匿名ログオンを前提条件とする。
使用者のポリシーを立て、それに従い各条件を設定する。

ここに記述した例はほんの一例で一部です。あとは自分の立てたポリシーに合っているかどうかをきちんと検証して下さい。

Windows Updateの使用も非常に効果的です。
<落とし穴>
FrontPageサーバエクステンションのセキュリティ設定→カウンタなどの制御に使用する場合は権限の設定に注意してください。通常、<セキュリティを厳しく設定すれば、匿名ユーザに読み取られる可能性はありますが、ファイルを追加、削除は管理者権限のみでしかできないように設定できます。ただし、あるコードを実行すると権限が変更されてしまう恐れがあるので、ローカルネットワーク内だけで使用できるようにした方が良いようです。
SNMP、SMTP、Indexサービスのデフォルトインストールのままの使用は避けた方が良いみたいです。
Windows Updateを活用するとブロードバンド環境では短時間でセットアップできます。ただし、パッチがあたってないと感染してしまうウイルスもあるので、ICMPやSMTP、HTTPの受信はファイアウォールでフィルタリングしてから行ってください。

ご参考になったでしょうか?もっとこれ以上細かい設定について参考いただける時はこちらまでご連絡下さい。なるべく返答します。

<セキュリティ系情報リンク>

マイクロソフトTechNet

IPA

シマンテック

トレンドマイクロ
戻る