SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 2

leave a comment

<[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 1

Windows のセキュリティチェックをするツールとして Microsoft Baseline Security Analyzer (MBSA) があります。

Microsoft Baseline Security Analyzer 2.1
ダウンロードはこちらから↓
Microsoft Baseline Security Analyzer 2.1 (for IT Professionals) – 日本語

MBSA 2.1 から Windows Server 2008 をサポートしていますので、サーバーを公開する前にこのツールを使用して
セキュリティチェックをすると安全性が増すかと思います。

MBSA では以下の内容をチェックすることができます。

  • Windows の管理上の脆弱性をチェックする
  • 脆弱なパスワードをチェックする
  • IIS の管理上の脆弱性をチェックする
  • SQL Server の管理上の脆弱性をチェックする
  • セキュリティ更新プログラムをチェックする

image

[IIS の管理上の脆弱性をチェックする] を実行するためには [IIS 6 メタベース互換] の役割サービスをインストールしておく必要があります。
image 

ログオン監査については見落としがちなのでこのツールでチェックしたほうがよいかと思います。
image 

監査ポリシーは [管理ツール] → [ローカル セキュリティ ポリシー] の [ローカル ポリシー] → [監査ポリシー] で設定することができます。
image

image

デフォルトでは監査ポリシーはすべて [監査しない] になっているのでもしもサーバーに不正ログインされた場合に、
後追いで調べることができません。
なにかあった際に調べる術として監査系の設定はしておいたほうが良いとおおみます。
image 
簡単に実行できるツールでセキュリティの考慮事項がわかりますので公開前に実行されてみてはいかがでしょう。

MBSA は以下のファイルのもコピーすることによってインストールをしないでも使用することができます。
# インストールした環境から以下のファイルをコピーして使用します。

  • mbsacli.exe
  • wusscan.dll

オフラインのカタログファイル (wsusscn2.cab) が必要になりますが、以下の URL からダウンロードすることことができます。
http://go.microsoft.com/fwlink/?LinkId=76054

これらのファイルを使用して以下のようなコマンドを実行することによりコマンドラインからセキュリティプログラムの適用状況を
調べることも可能です。

mbsacli.exe /xmlout  /catalog c:tempwsusscn2.cab /unicode > results.xml

出力された xml ファイルの内容の先頭に <?xml version="1.0"?> をつけると EXCEL で開けますので見やすくなると思います。

オフライン実行もできますので方法は以下の URL をご参照ください。
オフライン実行できると実際に運用している企業のサーバーでも実行できて便利だと思います。
MBSAをオフラインで実行する - @IT

セキュリティについてはもう少し考えてみたいと思います。

>[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 3

Written by masayuki.ozawa

4月 12th, 2009 at 2:18 pm

Leave a Reply

*