トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・レベル1セキュリティ構成(Windows Server 2016) のバックアップ(No.4)

IPAセキュリティPT評価版?

管理者

ポリシー設定ポリシー値説明
管理特権を持つユーザー管理業務と通常の運用タスクのためにアカウントを分ける特権アカウントを使用してルーチン機能を実行すると、完全な特権が付与されたセッション中に意図せず導入された悪意のあるソフトウェアに対してコンピューターが脆弱になります。
ドメインコントローラーを担当する管理者標準ユーザーアカウントがローカル管理者グループに存在していないこと
メンバーサーバー、ワークステーションの管理者グループに存在しないこと		管理者の職務を持たないアカウントは、管理者権限を持ってはなりません。このような権限により、アカウントはそのマシンに必要なセキュリティ制限をバイパスまたは変更し、攻撃に対して脆弱になります。
ドメインコントローラーのシステム管理者は、必要最小限の権限を持つアカウントのみを使用してシステムにログオンする必要があります。また、メンバーサーバ管理者グループ、ワークステーション管理者グループに属さないようにしてください。
標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。
メンバーサーバーを担当する管理者標準ユーザーアカウントがローカル管理者グループに存在していないこと
ドメインコントローラー、ワークステーションの管理者グループに存在しないこと		管理者の職務を持たないアカウントは、管理者権限を持ってはなりません。このような権限により、アカウントはそのマシンに必要なセキュリティ制限をバイパスまたは変更し、攻撃に対して脆弱になります。
メンバーサーバーのシステム管理者は、必要最小限の権限を持つアカウントのみを使用してシステムにログオンする必要があります。また、ドメインコントローラー管理者グループ、ワークステーション管理者グループに属さないようにしてください。
標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。
ワークステーションを担当する管理者標準ユーザーアカウントがローカル管理者グループに存在していないこと
ドメインコントローラー、メンバーサーバーの管理者グループに存在しないこと		管理者の職務を持たないアカウントは、管理者権限を持ってはなりません。このような権限により、アカウントはそのマシンに必要なセキュリティ制限をバイパスまたは変更し、攻撃に対して脆弱になります。
ワークステーションのシステム管理者は、必要最小限の権限を持つアカウントのみを使用してシステムにログオンする必要があります。また、ドメインコントローラー管理者グループ、メンバーサーバー管理者グループに属さないようにしてください。
標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。
Built-in Administratorアカウントのパスワード変更60日ごとに変更するBuilt-in Administrator はロックアウトされないためブルートフォース攻撃の危険性が存在します。LAPSを導入している場合は30日ごとに変更してください。
管理者アカウントでの禁止事項Webサイトやメールなどのインターネット接続するアプリケーションを使用しないインターネットにアクセスするアプリケーション、または管理者権限を使用して潜在的なインターネットソースを持つアプリケーションを使用すると、システムが危険にさらされます。特権ユーザーとして実行中にアプリケーションの欠陥が悪用されると、システム全体が危険にさらされる可能性があります。Webブラウザーと電子メールは、悪意のあるコードを導入するための一般的な攻撃ベクトルであり、管理者アカウントで実行しないでください。
Backup Operatorsバックアップ業務を実行するための個別のアカウントが必要Backup Operators はシステム内の任意のファイルを読み書きできるため、通常業務のアカウントとは別のアカウントにしてください。
手動で管理されるアプリケーションアカウントのパスワード設定15文字以上、1年に1回は変更する
システム管理者が退職した場合は変更する		可能な限りSPN (サービス プリンシパル名) を使用してください。

アカウント

ポリシー設定ポリシー値説明
共有ユーザーアカウント使用しない共有アカウント(2人以上が同じユーザーIDでログオンするアカウント)では、適切な識別と認証が提供されません。システムへのアクセスとリソースの使用に対する否認防止または個別の説明責任を提供する方法はありません。
プリンター共有非管理者アカウントおよびグループにはプリンタ共有に印刷権限のみを設定する共有プリンターのアクセス許可を構成して、標準ユーザーが印刷アクセス許可のみを持つように制限します。
古いアカウント、未使用のアカウント不要な場合は削除
必要な場合は無効にする		アカウントを定期的に確認して、アカウントがまだアクティブかどうかを判断します。

パスワード

ポリシー設定ポリシー値説明
アカウントのパスワードすべてのアカウントにはパスワードを設定するパスワード保護がないと、誰でもシステムにアクセスできるため、攻撃者がシステムや他のリソースを侵害するバックドアとして機能します。
パスワードの有効期限有効なすべてのアカウントのパスワードの有効期限を設定するドメインアカウントの Active Directory ユーザーとコンピューターのすべての有効なユーザーアカウントと、メンバーサーバーとスタンドアロンシステムのコンピューターの管理のユーザーの「パスワードは無期限です」のチェックを外します。例外は文書化します。

共有

ポリシー設定ポリシー値説明
システム以外のファイル共有ファイル共有は必要とするグループだけがアクセスできるように制限するファイル共有は必要としているグループ、アカウントだけにし、不要な共有は削除します。

証明書

ポリシー設定ポリシー値説明
証明書インストールファイルすべてのドライブで*.p12、*.pfxファイルは削除する必要があります。P12形式の証明書ファイルが窃取されると、サーバーのなりすましが可能となるため、CD-ROM等でオフラインで保管する必要があります。P12形式でない拡張子がp12のファイルは除外し、文書で管理します。

ハードウェア構成

ポリシー設定ポリシー値説明
Trusted Platform Module (TPM)有効にするCredential Guardは、仮想化ベースのセキュリティを使用して、侵害された場合に資格情報の盗難攻撃で使用される可能性のあるデータを保護します。Credential Guardを適切に構成して有効にするには、いくつかのシステム要件を満たす必要があります。TPMを有効にして使用できる状態にしない場合、Credential Guardキーはソフトウェアを使用した安全性の低い方法で保存されます。

セキュリティシステム

ポリシー設定ポリシー値説明
ウイルス対策ソフト導入され、最新版に更新されて稼働しているウイルス対策ソフトは必ず導入してください。
ホストベースの侵入検知システム導入され、稼働しているサーバーには、サーバー上で動作する侵入検知システムを導入してください。これによって、不正アクセスの試行の検知や停止ができます。
NTFSローカルディスクはNTFSでフォーマットする適切なアクセス許可と監査ためにNTFSでボリュームをフォーマットする必要があります。ReFSは使用しないでください。リカバリやEFIシステムパーティションは除外されます。

アクセスコントロール

ポリシー設定ポリシー値説明
システムドライブのルートディレクトリ(通常はC:\)のアクセス許可C:\Windows\system32>icacls C:\
C:\ NT AUTHORITY\SYSTEM:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
BUILTIN\Users:(OI)(CI)(RX)
BUILTIN\Users:(CI)(AD)
BUILTIN\Users:(CI)(IO)(WD)
CREATOR OWNER:(OI)(CI)(IO)(F)		「コマンドプロンプト(管理者)」を開きます。「icacls」に続けてディレクトリを入力します。
プログラムファイルディレクトリのアクセス許可C:\program files
NT SERVICE\TrustedInstaller:(F)
NT SERVICE\TrustedInstaller:(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(M)
NT AUTHORITY\SYSTEM:(OI)(CI)( IO)(F)
BUILTIN\Administrators:(M)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
BUILTIN\Users:(RX)
BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(OI)(CI)(IO)(F)
Application Package AUTHORITY\ALL APPLICATION PACKAGES:(RX)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(OI)(CI)(IO)(GR,GE )
アプリケーションパッケージAUTHORITY\制限されたすべてのアプリケーションパッケージ:(RX)
アプリケーションパッケージAUTHORITY\制限されたすべてのアプリケーションパッケージ:(OI)(CI)(IO)(GR、GE)		「コマンドプロンプト(管理者)」を開きます。「icacls」に続けてディレクトリを入力します。icacls "C:\program files" および icacls "c:\Program Files (x86)" それぞれで、左の結果となることを確認します。
Windowsディレクトリのアクセス許可C:\windows NT SERVICE\TrustedInstaller:(F)
NT SERVICE\TrustedInstaller:(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(M)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Administrators:(M)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
BUILTIN\Users:(RX)
BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(OI)(CI)(IO)(F)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(RX)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(OI)(CI)(IO)(GR,GE)
APPLICATION PACKAGE AUTHORITY\制限されたすべてのアプリケーション パッケージ:(RX)
APPLICATION PACKAGE AUTHORITY\制限されたすべてのアプリケーション パッケージ:(OI)(CI)(IO)(GR,GE)
HKEY_LOCAL_MACHINEのアクセス許可HKEY_LOCAL_MACHINE\SECURITY
[種類]-すべてのプリンシパルで [許可]
[継承元]-すべてのプリンシパルに [なし]
[アクセス]
[SYSTEM]-[フルコントロール]-[このキーとサブキー]
[Administrators]-[特殊]-[このキーとサブキー]

HKEY_LOCAL_MACHINE\SOFTWARE
[種類]-すべてのプリンシパルで [許可]
[継承元]-すべてのプリンシパルに [なし]
[アクセス]
[Users]-[読み取り]-[このキーとサブキー]
[Administrators]-[フルコントロール]-[このキーとサブキー]
[SYSTEM]-[フルコントロール]-[このキーとサブキー]
[CREATOR OWNER]-[フルコントロール]-[このキーとサブキー]
[ALL APPLICATION PACKAGES]-[読み取り]-[このキーとサブキー]

HKEY_LOCAL_MACHINE\SYSTEM
[種類]-すべてのプリンシパルで [許可]
[継承元]-すべてのプリンシパルに [なし]
[アクセス]
[Authenticated Users]-[読み取り]-[このキーとサブキー]
[Administrators]-[フルコントロール]-[このキーとサブキー]
[SYSTEM]- フルコントロール-[このキーとサブキー]
[CREATOR OWNER]-[フルコントロール]-サブキーのみ
[ALL APPLICATION PACKAGES]-[読み取り]-[このキーとサブキー]		「コマンドプロンプト(管理者)」を開きます。「regedit」を実行します。HKEY_LOCAL_MACHINEハイブのキーのレジストリ許可を確認します。Everyone、Users、Authenticated Usersなどの非特権グループに読み取り権限よりも大きい権限がある場合は、修正します。

プログラム

ポリシー設定ポリシー値説明
承認されたソフトウェアプログラムの実行の許可AppLockerによる拒否・例外ルール(ホワイトリスト)を設定するホワイトリストを使用すると、構成管理方法が提供され、承認されたソフトウェアのみを実行できます。許可されたソフトウェアのみを使用すると、潜在的な脆弱性の数が制限されるため、リスクが減少します。
組織は、許可されたソフトウェアプログラムを識別し、許可されたソフトウェアの実行のみを許可する必要があります。組織情報システムでの実行が許可されているソフトウェアプログラムの識別に使用されるプロセスは、一般にホワイトリストと呼ばれます。

監視

ポリシー設定ポリシー値説明
システムファイルの監視毎週、システムファイル(*.exe、*.bat、*.com、*.cmd、および *.dll)に不正な変更がないか監視する整合性のチェック? を参照してください。