SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 3

leave a comment

<[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 2

Windows Server 2008 はローカルセキュリティポリシーでアカウントポリシーは以下の設定がされています。

image

OS のインストール後の Administrator のパスワード設定にもこのポリシーが適用されますので、パスワードは以下の規則を
守る必要があります。

ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。
長さは 6 文字以上にする。
次の 4 つのカテゴリのうち 3 つから文字を使う。
英大文字 (A ~ Z)
英小文字 (a ~ z)
10 進数の数字 (0 ~ 9)
アルファベット以外の文字 (!、$、#、% など)
複雑さの要件は、パスワードの変更時または作成時に強制的に適用されます。

インストール後の Administrator のパスワード設定で何を設定すればよいかがわからずに困る方が結構いらっしゃるみたいですね。
立ち上げ体験日記のインストールの投稿にこの情報も載せておきたいと思います。

Administrator にもこのポリシーが設定されますので、既定ではパスワードは 42 日ごとに変更する必要があります。
Administrator のパスワードは定期的に変更することが望ましいと思いますのでこのポリシーは変更しないほうがよさそうですね。
パスワードの無期限設定もデフォルトでは無効になっていますので、初期のポリシーとしても変えることをデフォルトとして
運用してもらいたいのだと思います。

Administrator のユーザー名も変更したほうがよいのでしょうね。
Administrator を無効にすることもできますので、Administrators グループのメンバーを一つ作成してから無効にするのも効果的かも。

また、その 2 で [オブジェクト アクセスの監査] の監査ポリシーについて投稿しましたが、このポリシーだけでは効果がありません。
オブジェクト アクセスの監査をするためにはファイル / ディレクトリ / レジストリ で監査の設定を明示的にする必要があります。

[ファイル / ディレクトリの監査]

  1. 監査対象のファイル / フォルダのプロパティを開きます。
  2. [セキュリティ] タブの [詳細設定] をクリックします。
    image
  3. [監査] タブの [編集] をクリックします。
    image
  4. [追加] をクリックして監査対象のユーザーを登録します。
    image

[レジストリの監査]

  1. [regedit.exe] を実行します。
  2. 対象のキーを右クリックして [アクセス許可] をクリックします。
    image
  3. [詳細設定] をクリックします。
    image
  4. [追加] をクリックして監査対象のユーザーを登録します。
    image

どの個所の監査を取得すればよいかは検討する必要がありますが、変更されたくないフォルダ / ファイル / レジストリは
監査設定するのがセキュリティ的に良いのでしょうね。

セキュリティはこれをすれば大丈夫という正解はないと思いますので運用をしながらいろいろと試さないといけないですね。

そろそろ公開のための設定についてまとめてみたいと思います。

>[Web サーバー立ち上げ体験日記]Web Server 2008 にインストールできる無償のウイルス対策ソフトは?

Written by masayuki.ozawa

4月 14th, 2009 at 12:38 pm

Leave a Reply

*