・レベル1セキュリティ構成(Windows Server 2016)
Last-modified: 2020-08-28 (金) 09:55:50
Top/・レベル1セキュリティ構成(Windows Server 2016)
・レベル1セキュリティ構成(Windows Server 2016)
管理者 †
ポリシー設定 | ポリシー値 | 説明 |
管理特権を持つユーザー | 管理業務と通常の運用タスクのためにアカウントを分ける | 特権アカウントを使用してルーチン機能を実行すると、完全な特権が付与されたセッション中に意図せず導入された悪意のあるソフトウェアに対してコンピューターが脆弱になります。 |
ドメインコントローラーを担当する管理者 | 標準ユーザーアカウントがローカル管理者グループに存在していないこと メンバーサーバー、ワークステーションの管理者グループに存在しないこと | 管理者の職務を持たないアカウントは、管理者権限を持ってはなりません。このような権限により、アカウントはそのマシンに必要なセキュリティ制限をバイパスまたは変更し、攻撃に対して脆弱になります。 ドメインコントローラーのシステム管理者は、必要最小限の権限を持つアカウントのみを使用してシステムにログオンする必要があります。また、メンバーサーバ管理者グループ、ワークステーション管理者グループに属さないようにしてください。 標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。 |
メンバーサーバーを担当する管理者 | 標準ユーザーアカウントがローカル管理者グループに存在していないこと ドメインコントローラー、ワークステーションの管理者グループに存在しないこと | 管理者の職務を持たないアカウントは、管理者権限を持ってはなりません。このような権限により、アカウントはそのマシンに必要なセキュリティ制限をバイパスまたは変更し、攻撃に対して脆弱になります。 メンバーサーバーのシステム管理者は、必要最小限の権限を持つアカウントのみを使用してシステムにログオンする必要があります。また、ドメインコントローラー管理者グループ、ワークステーション管理者グループに属さないようにしてください。 標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。 |
ワークステーションを担当する管理者 | 標準ユーザーアカウントがローカル管理者グループに存在していないこと ドメインコントローラー、メンバーサーバーの管理者グループに存在しないこと | 管理者の職務を持たないアカウントは、管理者権限を持ってはなりません。このような権限により、アカウントはそのマシンに必要なセキュリティ制限をバイパスまたは変更し、攻撃に対して脆弱になります。 ワークステーションのシステム管理者は、必要最小限の権限を持つアカウントのみを使用してシステムにログオンする必要があります。また、ドメインコントローラー管理者グループ、メンバーサーバー管理者グループに属さないようにしてください。 標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。 |
Built-in Administratorアカウントのパスワード変更 | 60日ごとに変更する | Built-in Administrator はロックアウトされないためブルートフォース攻撃の危険性が存在します。LAPSを導入している場合は30日ごとに変更してください。 |
管理者アカウントでの禁止事項 | Webサイトやメールなどのインターネット接続するアプリケーションを使用しない | インターネットにアクセスするアプリケーション、または管理者権限を使用して潜在的なインターネットソースを持つアプリケーションを使用すると、システムが危険にさらされます。特権ユーザーとして実行中にアプリケーションの欠陥が悪用されると、システム全体が危険にさらされる可能性があります。Webブラウザーと電子メールは、悪意のあるコードを導入するための一般的な攻撃ベクトルであり、管理者アカウントで実行しないでください。 |
Backup Operators | バックアップ業務を実行するための個別のアカウントが必要 | Backup Operators はシステム内の任意のファイルを読み書きできるため、通常業務のアカウントとは別のアカウントにしてください。 |
手動で管理されるアプリケーションアカウントのパスワード設定 | 15文字以上、1年に1回は変更する システム管理者が退職した場合は変更する | 可能な限りSPN (サービス プリンシパル名) を使用してください。 |
アカウント †
ポリシー設定 | ポリシー値 | 説明 |
共有ユーザーアカウント | 使用しない | 共有アカウント(2人以上が同じユーザーIDでログオンするアカウント)では、適切な識別と認証が提供されません。システムへのアクセスとリソースの使用に対する否認防止または個別の説明責任を提供する方法はありません。 |
プリンター共有 | 非管理者アカウントおよびグループにはプリンタ共有に印刷権限のみを設定する | 共有プリンターのアクセス許可を構成して、標準ユーザーが印刷アクセス許可のみを持つように制限します。 |
古いアカウント、未使用のアカウント | 不要な場合は削除 必要な場合は無効にする | アカウントを定期的に確認して、アカウントがまだアクティブかどうかを判断します。 |
パスワード †
ポリシー設定 | ポリシー値 | 説明 |
アカウントのパスワード | すべてのアカウントにはパスワードを設定する | パスワード保護がないと、誰でもシステムにアクセスできるため、攻撃者がシステムや他のリソースを侵害するバックドアとして機能します。 |
パスワードの有効期限 | 有効なすべてのアカウントのパスワードの有効期限を設定する | ドメインアカウントの Active Directory ユーザーとコンピューターのすべての有効なユーザーアカウントと、メンバーサーバーとスタンドアロンシステムのコンピューターの管理のユーザーの「パスワードは無期限です」のチェックを外します。例外は文書化します。 |
共有 †
ポリシー設定 | ポリシー値 | 説明 |
システム以外のファイル共有 | ファイル共有は必要とするグループだけがアクセスできるように制限する | ファイル共有は必要としているグループ、アカウントだけにし、不要な共有は削除します。 |
証明書 †
ポリシー設定 | ポリシー値 | 説明 |
証明書インストールファイル | すべてのドライブで*.p12、*.pfxファイルは削除する必要があります。 | P12形式の証明書ファイルが窃取されると、サーバーのなりすましが可能となるため、CD-ROM等でオフラインで保管する必要があります。P12形式でない拡張子がp12のファイルは除外し、文書で管理します。 |
ハードウェア構成 †
ポリシー設定 | ポリシー値 | 説明 |
Trusted Platform Module (TPM) | 有効にする | Credential Guardは、仮想化ベースのセキュリティを使用して、侵害された場合に資格情報の盗難攻撃で使用される可能性のあるデータを保護します。Credential Guardを適切に構成して有効にするには、いくつかのシステム要件を満たす必要があります。TPMを有効にして使用できる状態にしない場合、Credential Guardキーはソフトウェアを使用した安全性の低い方法で保存されます。 |
セキュリティシステム †
ポリシー設定 | ポリシー値 | 説明 |
ウイルス対策ソフト | 導入され、最新版に更新されて稼働している | ウイルス対策ソフトは必ず導入してください。 |
ホストベースの侵入検知システム | 導入され、稼働している | サーバーには、サーバー上で動作する侵入検知システムを導入してください。これによって、不正アクセスの試行の検知や停止ができます。 |
NTFS | ローカルディスクはNTFSでフォーマットする | 適切なアクセス許可と監査ためにNTFSでボリュームをフォーマットする必要があります。ReFSは使用しないでください。リカバリやEFIシステムパーティションは除外されます。 |
アクセスコントロール †
ポリシー設定 | ポリシー値 | 説明 |
システムドライブのルートディレクトリ(通常はC:\)のアクセス許可 | C:\Windows\system32>icacls C:\ C:\ NT AUTHORITY\SYSTEM:(OI)(CI)(F) BUILTIN\Administrators:(OI)(CI)(F) BUILTIN\Users:(OI)(CI)(RX) BUILTIN\Users:(CI)(AD) BUILTIN\Users:(CI)(IO)(WD) CREATOR OWNER:(OI)(CI)(IO)(F) | 「コマンドプロンプト(管理者)」を開きます。「icacls」に続けてディレクトリを入力します。 C:\>icacls C:\ 左のポリシーと同じであることを確認します。異なる場合は、至急、修正してください。 |
プログラムファイルディレクトリのアクセス許可 | C:\program files NT SERVICE\TrustedInstaller:(F) NT SERVICE\TrustedInstaller:(CI)(IO)(F) NT AUTHORITY\SYSTEM:(M) NT AUTHORITY\SYSTEM:(OI)(CI)( IO)(F) BUILTIN\Administrators:(M) BUILTIN\Administrators:(OI)(CI)(IO)(F) BUILTIN\Users:(RX) BUILTIN\Users:(OI)(CI)(IO)(GR,GE) CREATOR OWNER:(OI)(CI)(IO)(F) Application Package AUTHORITY\ALL APPLICATION PACKAGES:(RX) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(OI)(CI)(IO)(GR,GE ) アプリケーションパッケージAUTHORITY\制限されたすべてのアプリケーションパッケージ:(RX) アプリケーションパッケージAUTHORITY\制限されたすべてのアプリケーションパッケージ:(OI)(CI)(IO)(GR、GE) | 「コマンドプロンプト(管理者)」を開きます。 「icacls」に続けてディレクトリを入力します。 C:\>icacls "C:\program files" C:\>icacls "c:\Program Files (x86)" それぞれで、左のポリシーと同じであることを確認します。異なる場合は、至急、修正してください。 |
Windowsディレクトリのアクセス許可 | C:\windows NT SERVICE\TrustedInstaller:(F) NT SERVICE\TrustedInstaller:(CI)(IO)(F) NT AUTHORITY\SYSTEM:(M) NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F) BUILTIN\Administrators:(M) BUILTIN\Administrators:(OI)(CI)(IO)(F) BUILTIN\Users:(RX) BUILTIN\Users:(OI)(CI)(IO)(GR,GE) CREATOR OWNER:(OI)(CI)(IO)(F) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(RX) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(OI)(CI)(IO)(GR,GE) APPLICATION PACKAGE AUTHORITY\制限されたすべてのアプリケーション パッケージ:(RX) APPLICATION PACKAGE AUTHORITY\制限されたすべてのアプリケーション パッケージ:(OI)(CI)(IO)(GR,GE) | 「コマンドプロンプト(管理者)」を開きます。 「icacls」に続けてディレクトリを入力します。 icacls %systemroot% 左のポリシーと同じであることを確認します。異なる場合は、至急、修正してください。 |
HKEY_LOCAL_MACHINEのアクセス許可 | HKEY_LOCAL_MACHINE\SECURITY [種類]-すべてのプリンシパルで [許可] [継承元]-すべてのプリンシパルに [なし] [アクセス] [SYSTEM]-[フルコントロール]-[このキーとサブキー] [Administrators]-[特殊]-[このキーとサブキー] HKEY_LOCAL_MACHINE\SOFTWARE [種類]-すべてのプリンシパルで [許可] [継承元]-すべてのプリンシパルに [なし] [アクセス] [Users]-[読み取り]-[このキーとサブキー] [Administrators]-[フルコントロール]-[このキーとサブキー] [SYSTEM]-[フルコントロール]-[このキーとサブキー] [CREATOR OWNER]-[フルコントロール]-[このキーとサブキー] [ALL APPLICATION PACKAGES]-[読み取り]-[このキーとサブキー] HKEY_LOCAL_MACHINE\SYSTEM [種類]-すべてのプリンシパルで [許可] [継承元]-すべてのプリンシパルに [なし] [アクセス] [Authenticated Users]-[読み取り]-[このキーとサブキー] [Administrators]-[フルコントロール]-[このキーとサブキー] [SYSTEM]- フルコントロール-[このキーとサブキー] [CREATOR OWNER]-[フルコントロール]-サブキーのみ [ALL APPLICATION PACKAGES]-[読み取り]-[このキーとサブキー] | 「コマンドプロンプト(管理者)」を開きます。「regedit」を実行します。HKEY_LOCAL_MACHINEハイブのキーのレジストリ許可を確認します。Everyone、Users、Authenticated Usersなどの非特権グループに読み取り権限よりも大きい権限がある場合は、修正します。 |
プログラム †
ポリシー設定 | ポリシー値 | 説明 |
承認されたソフトウェアプログラムの実行の許可 | AppLockerによる拒否・例外ルール(ホワイトリスト)を設定する | ホワイトリストを使用すると、構成管理方法が提供され、承認されたソフトウェアのみを実行できます。許可されたソフトウェアのみを使用すると、潜在的な脆弱性の数が制限されるため、リスクが減少します。 組織は、許可されたソフトウェアプログラムを識別し、許可されたソフトウェアの実行のみを許可する必要があります。組織情報システムでの実行が許可されているソフトウェアプログラムの識別に使用されるプロセスは、一般にホワイトリストと呼ばれます。 |
監視 †
ポリシー設定 | ポリシー値 | 説明 |
システムファイルの監視 | 毎週、システムファイル(*.exe、*.bat、*.com、*.cmd、および *.dll)に不正な変更がないか監視する | ・整合性のチェック を参照してください。 |