セキュリティ
セキュリティ関係の問題をWatchしていく。 最初は情報が少ないけど、... セキュリティと一口にいっても多種多様だ。 Virus, 不正アクセスといった対外問題。 Network,Internet,TCP/IPの経路問題、 Windows/Linux等OS。 対応面でも、NTFSなどファイルシステム、Password, Firewall ,各種ツール... 実は、Frontpage Server Extension, WEB server(Apache, IIS) , DB (Filemaker, Access) など主にサーバー設定で、セキュリティ設定が必ず問題になる。 その設定が正しくない 場合、サーバーそのものが作動しないケースも多い。 このページで纏めていく。 Virus, 不正アクセスといった対外問題は、以下の資料に別にした。 ウイルスワクチンソフト --- ソフト製品主体 ファイアウォール製品 --- ソフト製品主体 社内ネットワークフィルタ[PC監視] --- Toolなど セキュリティ(クラッカー対策) --- ソフト・ツール中心 Windows パスワード --- Toolなど
■Windows NTセキュリティのまとめ
●全般 Windows NTシステム下でのセキュリティ管理は 1) Windows NTユーザー ...ドメインユーザーマネージャー 2) Windows NTファイルシステム...[共有]、[WEB共有]、[セキュリティ] の2つが基本。 IISにおいても、これをベースとする。
●ユーザー管理 1)[スタート]-[プログラム]-[管理ツール (共通)]-[ユーザーマネージャ] (または、ド メインユーザーマネージャー) を選択。
●HDD管理 ●共有フォルダ[共有リソース]のアクセス制限 1)[スタート]-[プログラム]-[管理ツール (共通)]-[ユーザーマネージャ] (または、ド メインユーザーマネージャー) を選択。 2)[原則] メニューから [ユーザーの権利] を選びます。 3)ダイアログボックスで [権利] ドロップダウンボックスから「ネットワーク経由でコ ンピュータにアクセス」を選び、 [追加] ボタンを押します。 [既定値]Everyone グループと Administrators グループに与えられています。 ・ アクセス権の設定は、グループ毎のほうが簡単。 ・ 共有のアクセス権はネットワーク経由でアクセスしたときにしか適用されず、Window s NT Serverにローカルログオンしたときには適用されません。
●NTFS より強固なセキュリティを設定したいのであれば、セキュリティタブから設定できるNTFSのアクセス権を利用すべきです。 ●参考 Technet:NTFS セキュリティ 第 1 部 : Web サイトにおける NTFS の標準権限の実装[Microsoft] Technet:NTFS セキュリティ 第 2 部:Web サイトにおけるNTFS の特殊な権限の実装[Microsoft]5p
●IIS等WEBサーバー インターネット サービス マネージャ (MMC) を開き、[既定の Web サイト] (または該当 する Web サイト) を右クリックし、[プロパティ] をクリックします。[ディレクトリ セ キュリティ] タブを選択し、[匿名アクセスおよび認証コントロール] で [編集] ボタン をクリックします。[認証方法] ダイアログ ボックスで認証方法を少なくとも 1 つ選択します。 [匿名アクセス] が選択されているにもかかわらずこのエラー メッセージが表示される場 合は、[認証方法] ダイアログ ボックスの [編集] ボタンをクリックして [匿名ユーザー アカウント] の情報を表示します。指定されているユーザー名が有効である (デフォル トでは IUSR_マシン名) ことを確認します。 ●参考 [VI60] Visual InterDev 6.0 における接続問題のトラブルシューティング [Microsoft] 3.6.2 Microsoft Webサービスのセキュリティ設定 ●IIS の認証方法 ---IIS は、匿名認証、基本認証、Windows NT 暗号化認証、およびダイジェスト アクセス 認証をサポート。 [匿名認証]WWW,FTP...Windows NTアカウントを使って匿名要求を処理。 IIS... IUSR_コンピュータ名 というアカウントを作成 註)既定のWebサイト[プロパティ]で設定 ●IIS での HTTP 要求の認証方法 ---ファイルの NTFS ACL が Web サーバーによって偽装されたアカウントに正しい権限 を与えている場合にのみ、IIS は Web サーバーのファイルにアクセスできます。 ●Technet : IIS&IIS5[Microsoft] Web セキュリティのしくみ : IIS セキュリティの活用[10p] IIS 4.0 セキュリティの基本[5p] IIS 4.0 の認証の構成[] IIS 4.0 および IIS 5.0 の認証方法一覧 Internet Information Server のトラブルシューティング[68p]
●その他
■WEB認証サービス
●個人認証 WEB上で代金決済を伴う、Shopping, Auctionなどでは、法人・個人の認証は不可欠だ。 ●Microsoft 「.NET Passport」 自社の認証サービスだが、積極的に、デファクトスタンダード(業界標準)にすべく働き かけを行ってきた。 現在、MSN, E-Bay, Expediaなど100以上のWEBサイトが採用済み。 登録ユーザーは2億人を超えた。 更にWindows XPにはPassport機能を標準搭載した。 ★個人の手続きとサイトの手続きは? (調査中) ●Microsoft 対抗 Liberty Alliance Project なんだけど、1年半かかるといっているし、連合軍なので、どうなるかわからない。 ●参考 Liberty Alliance Project --- 2001.9 Sun Microsystems, SONY, NTT Docomo等33社を中心に設立。 認証サービスの標準仕様策定を目的。 2001.12 AOL TimeWarner, Hulett Packard, General Motorsなど7社も参加。 米Microsoftに対抗して結成。
●WEBサイト認証 Verisign有名だが、 ・他にどんな会社があるのか?
●サービス一覧
日本国内で証明書の発行サービスを利用したいときに下記のサービスベンダから証明書を発行してもらうことができる。from ●第3回 電子署名導入プラン サーバ編その1[atmarkit]
日本ベリサイン 世界的なデジタル証明書ブランドである。少なくとも国内では実績ナンバーワンなのは間違いないだろう。オーダーメイドサービスのベリサインオンサイトをはじめ、サービス内容も多岐に渡り、PKI利用アプリケーションとの連携を取るGo Secure!シリーズのサービスも開始している。 セコムトラストネット 日本のセキュリティのブランドで、ご存じ「セコムしてますか?」のセコムグループであるセコムトラストネットのサービス。エントラストの主要な株主の1つがセコムということもあり、密接な関係と技術力を背景にIdentrus対応のCA構築運営の実績を持つ。セコムパスポートfor WebのルートはEntrust.netを提供。 日本ボルチモアテクノロジーズ 日本ボルチモアテクノロジーズは、PKI製品Unicertの販売以外にもPKIホスティングを提供。もともとデジタル証明書の発行サービスはGTE サイバートラストの業務であったが、2000年にGTE サイバートラストが吸収合併されて現在に至っている。 日本認証サービス(JCSI) 日本認証サービスは、富士通、日立製作所、日本電気の3社が1997年9月に共同で設立、49社が出資している電子認証専門サービス会社。特定認証業務の証明書(AccreditedSign)も発行しており、個人での取得も可能。 帝国データバンク 帝国データバンクのデジタル証明書発行サービスやCA/IAの運営は、日本ベリサインと日本ボルチモアテクノロジーズが担当している。会社の信用情報、調査会社のトップブランドを付加価値としてRA業務を行っている。全国に調査網を持つ同社の調査ノウハウを生かして、会社の実在性の保証と会社信用情報のサービスを組み合わせたビジネスモデルを展開。 綜合警備保障 2001年9月にサービスを開始したばかり。同社のサービスもボルチモアテクノロジーズがCA/IAを担当し、英ボルチモアテクノロジーズ(GTEサイバートラスト)のルートを利用。セキュリティの総合サービスの一環としてセコムトラストネットに対抗。
・認証マークを獲得するための基準やコスト 日本ベリサインの場合だと、SSLサーバ証明書(Global Server ID \138,000又は) Secure server ID \81,000(各1年間、税別)を発行して貰い、SSL暗号化通信を行う。 各WEB Server毎に用意されているSecure IDをインストールする。 詳細→サーバIDヘルプデスク [日本ベリサイン]
●ニュース・解説 ZDNN:勝利の女神は影の帝国VeriSignに微笑む[01.9.28] ---
●リソース ●主要サイト 日本ベリサイン --- --- ●リンク集 Lycos : 電子認証 --- --- ●リソース ★atmarkit: Security&Trust --- http://www.atmarkit.co.jp/fsecurity/index.html 電子認証に関する関連リンク集、標準化団体、ドキュメントなど 連載 電子署名導入指南 第1回 電子署名で何が変わる? 第2回 導入プランを立てよう! 第3回 電子署名導入プラン サーバ編その1 第4回 電子署名導入プラン サーバ編その2 第5回(最終回)電子署名導入プラン クライアント編 ---
●セキュリティ関連リソース
■セキュリティ関連サイト総合
●団体・メーカー マイクロソフトTechNet セキュリティセンター ---http://www.microsoft.com/japan/technet/security/
●リソース ●Biztech WebGuide*セキュリティー セキュリティー全般 UNIXセキュリティ Windows NTセキュリティ 侵入検出,セキュリティ診断 WWW,CGIセキュリティ 組織,標準,ガイドライン セキュリティ関連ニュース 暗号 | 認証 | ウイルス | ファイアウォール
●リンク集
●解説 Japan Windows NT Users Group(JWNTUG) - NT Risks
●その他
■Windows NTセキュリティリソース
●リソース ●Biztech WebGuideセキュリティー全般 UNIXセキュリティ | Windows NTセキュリティ
●主要サイト Microsoft TechNet セキュリティ・センター http://www.microsoft.com/japan/technet/security/
●解説 Japan Windows NT Users Group(JWNTUG) - NT Risks IT技術者を目指して: Windows NT編 初心者によるWindowsNT セキュリティ・運用メモ[sanaki] TechNet Online - セキュリティ ツール と チェックリスト[Microsoft] ---各種文書とツール。 明細別記 http://www.microsoft.com/japan/technet/security/tools/tools.asp TechNet Online - セキュリティ[Microsoft] ---http://www.microsoft.com/japan/technet/security/ Microsoft - Security[Microsoft] --- http://www.microsoft.com/japan/security/ ; 新オープン [Microsoft]
●小規模オフィスにおけるWindows NT Serverの導入例[Microsoft][70p] 3-3:ユーザーの登録[4p] ---ドメインユーザーマネージャー 3-4:グループの作成 ---ローカルグループ(通常)とグローバルグループ(複数ドメイン時)。 ファイル共有 5-1:データ領域の作成[6p] ---ディスクアドミニストレータ 5-2:共有フォルダの作成[3p] ---Partition作成、ファイルシステム(FAT,NTFS)、Formatなど 5-3:共有フォルダの利用方法[3p] 5-4:共有フォルダへのアクセス権設定[5p]
●Windows NT Server 技術情報[Microsoft] Windows NT 4.0 のMicrosoft セキュリティ構成マネージャ(Word:284 KB) Windows NT 4.0 Service Pack 4 のMicrosoft セキュリティ構成マネージャについて説明。 Microsoft管理コンソール (MMC) スナップインツールです。 ★Windows NT Server のセキュリティ Windows NTが備える高度なセキュリティ機能とそれを補完する運用の指針、また、Window s NTのセキュリティ問題に関するマイクロソフトの見解をご覧になれます。 ●連載企画: Active Directoryへの近道 第6回 Windows 2000の認証メカニズム(Word:339 KB) オブジェクトに対するアクセス制限と属性に対するアクセス制限がある; 権限の継承機能 を利用すれば管理作業が容易になる; Windows 2000は標準でKerberosを使ってユーザーを 認証する: Kerberos認証をマルチプラットフォーム環境で使用する場合には要注意 「Windows NT World」1999年7月号抜粋。 実践編第2回 Active Directory 環境におけるユーザー/グループ管理(Word:213 KB) Windows 2000出荷までに基本的な操作をマスターしよう; Active Directory 活用の第一 歩として、ユーザーアカウントの登録、グループ管理、簡単なセキュリティ設定について の解説「Windows NT World」1999年10月号抜粋。 実践編第3回 セキュリティ構成のカギを握るグループ ポリシーの構成(Word:100 KB) Windows 2000出荷までに基本的な操作をマスターしよう; Windows 2000 からセキュリテ ィ構成において完成されたポリシーベースの管理についての解説 「Windows NT World」1999年11月号抜粋。
●TechNet Online - Windows NT:セキュリティ[Microsoft] http://www.microsoft.com/japan/technet/prodtechnol/winntas/default.asp Windows NT 4.0 コンピュータのセキュリティ対策[15p] --- ユーザーアカウントとグループ、管理者・ユーザー・Guestらと各権限の範囲 ファイルとディレクトリの保護など、一番明快な資料だと思う Windows NT 外部セキュリティの設計と計画 Windows NT による内部セキュリティの設計と計画 --- Windows NT のセキュリティ設定の表では、[項目][設定方法][Windows NTの規定値][コメント]が非常に参考になる MS Security Configuration Manager for Windows NT 4 Windows NT 4.0 ドメイン コントローラ構成チェックリスト Windows NT 4.0 メンバ サーバー構成チェックリスト Windows NT 4.0 Workstation 構成チェックリスト Windows NT C2 構成のチェックリスト
●Microsoft - Security[Microsoft] --- http://www.microsoft.com/japan/security/ ; 新オープン ●IT Pro 向け TechNet セキュリティ セキュリティ情報一覧 ツールとチェックリスト ●開発者向け MSDN セキュリティ サイト ●ホームユーザー向け セキュリティ対策ガイド
●Microsoft TechNet Online:Windows NTヒント集 http://support.microsoft.com/intl/japan/support/kblight/cont.asp?app=wnt&all=true
ネットワーク共有
FTP クライアントがホームディレクトリにアクセスできない
---- デスクトップの [ネットワークコンピュータ] - [プロパティ] -[識別]
●TechNet Online - セキュリティ ツール と チェックリスト[Microsoft] http://www.microsoft.com/japan/technet/security/tools/tools.asp ---各種文書とツール。 明細別記 ●セキュリティ チェックリスト
Windows 2000 Server ベースライン セキュリティ チェックリスト
Windows 2000 Server が動作するコンピュータに基本的なレベルのセキュリティを構成するための必須手順について説明します。これにより、サーバーをセキュリティ保護してください。Windows 2000 Professional ベースライン セキュリティ チェックリスト
Windows 2000 Professional が動作するコンピュータに基本的なレベルのセキュリティを構成するための必須手順について説明します。これにより、コンピュータをセキュリティ保護してください。IIS 5.0 ベースライン セキュリティ チェックリスト
Microsoft Internet Information Services (IIS) 5 で Web を運営しているサーバーに基本的なレベルのセキュリティを構成するための必須手順について説明します。これにより、サーバーをセキュリティ保護してください。Windows NT 4.0 Server ベースライン セキュリティ チェックリスト
Windows NT 4.0 が動作するサーバーに基本的なレベルのセキュリティを構成するための必須手順について説明します。これにより、サーバーをセキュリティ保護してください。Windows NT 4.0 Workstation ベースライン セキュリティ チェックリスト
Windows NT 4.0 Workstation が動作するコンピュータに基本的なレベルのセキュリティを構成するための必須手順について説明します。これにより、コンピュータをセキュリティ保護してください。IIS 4 ベースライン セキュリティ チェックリスト
インターネット上で Microsoft Internet Information Server 4 を運営している Windows NT 4.0 Server に基本的なレベルのセキュリティを構成するための必須手順について説明します。これにより、サーバーをセキュリティ保護してください。Windows NT 4.0 メンバ サーバー構成チェックリスト
このチェックリストは、単独、または Windows NT/Windows 2000 ドメインの一部としてメンバ サーバーの役割を果たしている Windows NT サーバーをセキュリティ保護するために実行するべきステップを概説します。Windows NT 4.0 Workstation 構成チェックリスト
このチェックリストは、単独、または Windows NT/Windows 2000 ドメイン内の Windows NT Workstation コンピュータをセキュリティ保護するために実行するべきステップを概説します。Internet Information Services 5 セキュリティ保護チェックリスト
Microsoft Windows 2000 と Internet Information Services (IIS) 5 を用いて Web を運用しているサーバーをセキュリティ保護するための推奨事項と最良の実践方法です。Windows ドメイン コントローラ チェックリスト
このチェックリストは、Windows NT Server 4.0 ドメイン コントローラ (DC) として動作するサーバーをセキュリティ保護するために実行するべきステップを概説します。IIS 4.0 セキュリティ チェックリスト
この表は、インターネット上で Microsoft Internet Information Server 4.0 を運営している Windows NT 4.0 Server をセキュリティ保護するために実行するべきいくつかのステップを概説します。Windows NT C2 構成チェックリスト
このチェックリストは、Windows NT Server 4.0 で C2 評価に匹敵する環境を構成するために実行するべきステップについて概説します。なお、このチェックリストに従っても、ご使用のインストール環境が C2 に準拠するわけではないことに注意してください。このリストで保証されるのは、ソフトウェア構成が NCSC の評価による構成に合致するということのみとなります。●セキュリティ ツール
IIS Lockdown ツール
このツールを用いると、IIS 4.0 または 5.0 サーバーをセキュリティ保護された構成に即座に構成することができます。このツールは、エクスプレス ロックダウン モードと、Web サイトで提供するサービスの選択が可能なアドバンスト モードの 2 つのモードを備えています。