SE の雑記

<[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 3

そろそろ公開に向けての手順を投稿しようと思っていたのですが、ウイルス対策についてまだ投稿をしていないことに気付きました。
そこで Web Server 2008 に無償で入手できるウイルス対策ソフトは何がインストールできるか試してみました。

サーバー OS にインストールできるものは少ないですね。
# Kingsoft は x86 のみインストール可能でした。

有名どころの有償クライアント製品も試してみました。

各メーカーでサーバー用の製品を出しているぐらいですのでクライアント製品はサーバー OS にインストールできませんでした。

やはりサーバー用の製品を入れないとウイルス対策は難しそうですね～。
他にもインストールできそうなウイルス対策ソフトが見つかったら再度投稿したいと思います。

>[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 4

MED-V のクライアントのアップグレード手順になります。と思って試してみたところ、クライアントはアップグレードできませんでした…。
再インストール必須みたいですね。

一度削除して再インストールしてみました。

1. MDOP 2009 のメディアを挿入します。
2. [Microsoft Enterprise Desktop Virtualization 1.0] をクリックします。
   
3. [Microsoft Enterprise Desktop Virtualization のクライアント コンポーネントのインストール] をクリックします。
   
4. [Next] をクリックします。
   
5. [I accept the terms in the license agreement] を選択し、[Next] をクリックします。
   
6. [Next] をクリックします。
   
7. [Install the MED-V management application.] を選択し、[Server address] に MED-V サーバー名を入力し、
   [Next] をクリックします。
   # MED-V の管理用端末を別に用意する場合は [Install ～] は選択する必要はありません。
   
8. [Install] をクリックしインストールを実行します。
   ?
   インストール中に UAC の認証が入ります。
   
9. [Finish] をクリックしてインストールを完了します。
   ?

これでインストールは完了です。

MED-V の管理情報についてはサーバー上で保存されていますのでクライアントを再インストールしても影響はありません。

MED-V のイメージ作成、展開の手順は改めてまとめてみたいと思っています。
パックしたイメージをダウンロードするのは問題ないのですが、ダウンロードしたイメージを展開した後の操作が
いまいちわかっていないんですよね。

RTM になったのでこの辺の情報も集めやすくなるのではと期待しています。

今まで Beta 版を使用していた MED-V Beta を MED-V 1.0 にアップグレードしてみました。

まずはサーバー編です。

1. MDOP 2009 のメディアを挿入します。
2. [Microsoft Enterprise Desktop Virtualization 1.0] をクリックします。
   ?
3. [Microsoft Enterprise Desktop Virtualization (64 ビット) のサーバー コンポーネントのインストール] をクリックします。
   # MED-V サーバーは 64 ビット版を使用していました。
   
4. [Next] をクリックします。
   
5. [I accept the terms in the license agreement] を選択し、[Next] をクリックします。
   
6. [Next] をクリックします。
   
7. デフォルトで [Save ～] のチェックボックスが有効になっていますので [Next] をクリックします。
   
8. [Install] をクリックします。
   
9. [Finish] をクリックしてインストールを完了します。
   
10. MED-V の管理コンソールが起動するので [OK] をクリックします。
    # [OK] をクリックすると MED-V サーバーのサービスが再起動します。
    

MED-V の診断ツールを実行したところバージョンが [1.0.72] になっていますので RTM 版にバージョンアップしています。
# Beta 版は [1.0.66] になります。

クライアント側は Beta 版でも正常につながりました。
サーバー側の設定も変わってなさそうですので以前作成した手順はそのまま使えそうです。

クライアント側のアップグレードにも挑戦してみたいと思います。

今まで SCVMM 2007 で管理していた Windows Server 2008 のHyper-V のホストを SCVMM 2007 R2 Beta で
管理しようとしたところ以下のエラーが発生してしまいました。

ファイアウォールで [ファイルとプリンタの共有 (SMB 受信)] のドメインプロファイルの規則を有効にしたところ
正常に追加できるようになりました。

SCVMM 2007 では正常に管理できていたので DCOM の設定も問題はないはずなのですがファイアウォールの
設定をしないと追加できませんでした…。

Exchange Server 2010 Beta が公開されていました。
Microsoft Exchange Server 2010 Beta

TechCenter にもカテゴリが追加されていますね。
Microsoft Exchange Server 2010 (Beta)

英語の情報しかないですが…。

今まで Beta 版で検証していた MED-V サーバーを RTM で再構築しようと準備しているのですがその前に
Windows 7 に MED-V 1.0 のクライアントがインストールできるかを試してみました。

結果は Beta の時同様 NG でした…。残念です。

?

App-V 4.5 のように CU1 で Windows 7 に対応されることを期待しています！

<[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 2

Windows Server 2008 はローカルセキュリティポリシーでアカウントポリシーは以下の設定がされています。

OS のインストール後の Administrator のパスワード設定にもこのポリシーが適用されますので、パスワードは以下の規則を
守る必要があります。

インストール後の Administrator のパスワード設定で何を設定すればよいかがわからずに困る方が結構いらっしゃるみたいですね。
立ち上げ体験日記のインストールの投稿にこの情報も載せておきたいと思います。

Administrator にもこのポリシーが設定されますので、既定ではパスワードは 42 日ごとに変更する必要があります。
Administrator のパスワードは定期的に変更することが望ましいと思いますのでこのポリシーは変更しないほうがよさそうですね。
パスワードの無期限設定もデフォルトでは無効になっていますので、初期のポリシーとしても変えることをデフォルトとして
運用してもらいたいのだと思います。

Administrator のユーザー名も変更したほうがよいのでしょうね。
Administrator を無効にすることもできますので、Administrators グループのメンバーを一つ作成してから無効にするのも効果的かも。

また、その 2 で [オブジェクト アクセスの監査] の監査ポリシーについて投稿しましたが、このポリシーだけでは効果がありません。
オブジェクト アクセスの監査をするためにはファイル / ディレクトリ / レジストリ で監査の設定を明示的にする必要があります。

[ファイル / ディレクトリの監査]

1. 監査対象のファイル / フォルダのプロパティを開きます。
2. [セキュリティ] タブの [詳細設定] をクリックします。
   
3. [監査] タブの [編集] をクリックします。
   
4. [追加] をクリックして監査対象のユーザーを登録します。
   

[レジストリの監査]

1. [regedit.exe] を実行します。
2. 対象のキーを右クリックして [アクセス許可] をクリックします。
   
3. [詳細設定] をクリックします。
   
4. [追加] をクリックして監査対象のユーザーを登録します。
   

どの個所の監査を取得すればよいかは検討する必要がありますが、変更されたくないフォルダ / ファイル / レジストリは
監査設定するのがセキュリティ的に良いのでしょうね。

セキュリティはこれをすれば大丈夫という正解はないと思いますので運用をしながらいろいろと試さないといけないですね。

そろそろ公開のための設定についてまとめてみたいと思います。

>[Web サーバー立ち上げ体験日記]Web Server 2008 にインストールできる無償のウイルス対策ソフトは？

<[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 1

Windows のセキュリティチェックをするツールとして Microsoft Baseline Security Analyzer (MBSA) があります。

Microsoft Baseline Security Analyzer 2.1
ダウンロードはこちらから↓
Microsoft Baseline Security Analyzer 2.1 (for IT Professionals) – 日本語

MBSA 2.1 から Windows Server 2008 をサポートしていますので、サーバーを公開する前にこのツールを使用して
セキュリティチェックをすると安全性が増すかと思います。

MBSA では以下の内容をチェックすることができます。

• Windows の管理上の脆弱性をチェックする
• 脆弱なパスワードをチェックする
• IIS の管理上の脆弱性をチェックする
• SQL Server の管理上の脆弱性をチェックする
• セキュリティ更新プログラムをチェックする

[IIS の管理上の脆弱性をチェックする] を実行するためには [IIS 6 メタベース互換] の役割サービスをインストールしておく必要があります。
?

ログオン監査については見落としがちなのでこのツールでチェックしたほうがよいかと思います。
?

監査ポリシーは [管理ツール] → [ローカル セキュリティ ポリシー] の [ローカル ポリシー] → [監査ポリシー] で設定することができます。

デフォルトでは監査ポリシーはすべて [監査しない] になっているのでもしもサーバーに不正ログインされた場合に、
後追いで調べることができません。
なにかあった際に調べる術として監査系の設定はしておいたほうが良いとおおみます。
?
簡単に実行できるツールでセキュリティの考慮事項がわかりますので公開前に実行されてみてはいかがでしょう。

MBSA は以下のファイルのもコピーすることによってインストールをしないでも使用することができます。
# インストールした環境から以下のファイルをコピーして使用します。

• mbsacli.exe
• wusscan.dll

オフラインのカタログファイル (wsusscn2.cab) が必要になりますが、以下の URL からダウンロードすることことができます。
http://go.microsoft.com/fwlink/?LinkId=76054

これらのファイルを使用して以下のようなコマンドを実行することによりコマンドラインからセキュリティプログラムの適用状況を
調べることも可能です。

出力された xml ファイルの内容の先頭に <?xml version="1.0"?> をつけると EXCEL で開けますので見やすくなると思います。

オフライン実行もできますので方法は以下の URL をご参照ください。
オフライン実行できると実際に運用している企業のサーバーでも実行できて便利だと思います。
MBSAをオフラインで実行する － ＠IT

セキュリティについてはもう少し考えてみたいと思います。

>[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 3

<[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 3

サーバーを立ち上げるにあたって、Windows のセキュリティ設定はどこまですればよいのかを考えてみました。

ちょうど @IT でセキュリティについての記事がありました。
Windows Web Server 2008 のセキュリティ対策と今回の環境にうってつけの記事です♪
Windows Web Server 2008のセキュリティ対策 － ＠IT

[ファイアウォールを利用する]

まずは Windows ファイアウォールについて書かれていますね。
既定で有効になっていますので手動で無効にしない限りは問題なさそうです。
例外については不要なものが例外設定されていないか確認する必要がありそうですね。

細かい設定に関しては [セキュリティが強化された Windows ファイアウォール] で設定と。

[管理用ポートを許可する]

リモートデスクトップ用の管理ポートについて書かれていました。
接続元が特定できるのであればスコープの設定が有効そうですね。
管理用端末が準備できるのであればそこからのみ接続を許可したほうがよさそうです。
# 公開サーバーとは別に踏み台サーバーを作ってそこからというのが良いのでしょうか。

[Web コンテンツの管理]

ファイル共有は危険と。コンテンツディレクトリを共有にするのはリスクが高そうです。
なるべくポートを開けずとあるので FTP も控えたほうがよいのでしょうかね。
管理共有は以下の KB の逆をすれば停止することができますが、一部のミドルで管理共有を使っていることが
ありますので停止する場合はサーバーで異常がないことを確認しながら設定する必要があるかと。
Windows Server 2008 で共有管理者を削除する方法
# レジストリ設定後に再起動すると管理共有が停止されます。
　 KB にも記述されていますが IPC$ だけは削除することができません。
??? 複数の環境で試してみたところ CD/DVD ドライブの管理共有が削除されないものがありました。

[不要なコンポーネントの無効化]

IIS 7.0 は役割サービスを細かくインストールできますので、意図的に入れない限りは静的コンテンツのコンポーネントのみ
導入された状態になっていると思います。
[使う機能がわからないからすべてインストール!] ということをしなければ不要なコンポーネントは入らなさそうですね。

[定期的なセキュリティパッチの適用]

Windows Update で定期的なパッチ適用を心掛ける必要があります。
夜間にリブートがかかるようなタイミングでの適用がよさそうですね。

ひとまず @IT の記事で何をすればよいかを考えてみました。

次は MBSA を使ったセキュリティチェックをまとめてみたいと思います。

>[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 2

<[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 2

デフォルトではすべてに NIC でポート 3389 を使用してリモートデスクトップをリッスンしています。

その 2 でも書きましたがデフォルトの 3389 ポートは予約済みポートとなっていますので既知のポート番号です。
このままですと、リモートデスクトップを有効にしていると nslookup で DNS 名を確認して、リモートデスクトップで
接続しようとすると単純につなげてしまいますよね。

ポート番号を 3389 から変更すると接続時にリモートデスクトップでポート番号を明示的に指定する必要があります。
この方がセキュアな感じがしますね。

また複数の NIC をサーバーに接続している場合は特定の NIC でのみリモートデスクトップの接続を許可することができます。
うまくセグメントまで分けられればいいのですが、家庭用のルーターでそこまでできるかの検証がとれませんでした。
ひとまず Web サーバーに 172.0.0.12 という IP を持つ NIC を追加したと想定してみます。

??

172.0.0.10 で Web サーバー、172.0.0.12 でリモートデスクトップを提供する構成にしたいと思います。
ポートは Web サーバーが 80 、リモートデスクトップを 56000 として設定してみます。

[ポート番号の変更方法]

ポート番号を 3389 から変更するにはレジストリを変更します。

Microsoft の KB でも情報が掲載されていますね。
リモート デスクトップのリスニング ポートを変更する方法
# Mac 用のリモートデスクトップは 3389 以外はサポートしていないんですね。

1. ファイル名を指定して実行で [regedit.exe] を実行
2. [HKEY_LOCAL_MACHINESSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp] の
   [PortNumber] を開きます。
   
3. ポート番号を変更します。
   # 10 進数で入力したほうがわかりやすいかと。
   
4. この状態ではぱだポート番号は変更されていません。
   # 以前のバージョンの Windows だとすぐに変わった気がするのですが。
   

   C:UsersAdministrator>netstat -an アクティブな接続 ? プロトコル? ローカル アドレス????????? 外部アドレス??????? 状態 ? ～ 省略 ～ ? TCP??? 0.0.0.0:3389?????????? 0.0.0.0:0????????????? LISTENING ? TCP??? [::]:3389??????????????? [::]:0?????????????????? LISTENING ? ～ 省略 ～

5. [サーバーマネージャ] から [Terminal Service] のサービスを再起動します。
   ?
6. ポートが変わっていることが確認できます。
   

   C:UsersAdministrator>netstat -an アクティブな接続 ? プロトコル? ローカル アドレス????????? 外部アドレス??????? 状態 ? ～ 省略 ～ ? TCP??? 0.0.0.0:56000?????????? 0.0.0.0:0????????????? LISTENING ? TCP??? [::]:56000??????????????? [::]:0?????????????????? LISTENING ? ～ 省略 ～

7. この状態ではファイアウォールのポートの例外が設定されていません。
   # リモートデスクトップ設定時に設定される例外はポート 3389 ですので、設定したポートに対しては手動で設定します。
   [管理ツール] の [セキュリティが強化された Windows ファイアウォール] を起動します。
   
8. デフォルトで作成されている受信の規則の [リモートデスクトップ (TCP 受信)] の内容を確認してみたいと思います。
   ?
   ポートが [3389] になっていて変更できません。
   リモートデスクトップのポートを変更した場合は、新規に受信規則を作成する必要がありますね。
   
9. [操作] から　[新規の規則] をクリックします。
   
10. [ポート] を選択し、[次へ] をクリックします。
11. [TCP] の [56000] を設定し、 [次へ] をクリックします。
    
12. [接続を許可する] を選択し、[次へ] をクリックします。
    
13. 全プロファイルで接続を許可しようと思いますのですべてを選択した状態 (デフォルトの状態) で [次へ] をクリックします。
    
14. [名前] を入力して、[完了] をクリックします。
15. 新しい規則が作成されます。
    

リモートデスクトップ接続する際にポート番号を指定しないと、3389 で接続しに行きますので接続時にはポート番号を
指定する必要があります。

コンピュータ名に [コンピュータ名 (または IP アドレス):ポート番号] の形式で入力します。

これでポート番号を指定しないと接続ができないように設定ができました。
ポートスキャンをされるとリモートデスクトップのポートがわかってしまいそうな気がしますが単純には接続ができなくなります。

[使用する NIC の変更]

デフォルトでは [0.0.0.0] でリモートデスクトップの応答を待っていますので、複数の NIC を使用している場合は全 NIC で
リモートデスクトップの接続を許可していることになります。

企業で 裏 LAN / 運用 LAN / 管理 LAN と呼ばれる管理用の LAN を構築している場合は特定の NIC だけリモートデスクトップを
許可したいということがありますよね。

ポートの変更同様 Microsoft の KB に情報があります。
影響を受けてある製品のいずれかを実行しているコンピュータのリモート デスクトップ セッションは確立できません

レジストリを変更する手順になっているのですが [ターミナル サービス構成] から変更することができます。

1. [管理ツール] → [ターミナルサービス] → [ターミナル サービス構成] を開きます。
   
2. [RDP-Tcp] のプロパティを開きます。
   
3. [ネットワーク アダプタ] タブを選択し、[ネットワーク アダプタ] から使用する NIC を選択します。
   # 下の画像は Hyper-V のゲスト OS を使用し、エミュレーション NIC と Loopback Adapter で複数 NIC の環境にしています。
   今回は [Microsoft Loopback Adapter] でリモートデスクトップを使用したいと思います。(172.0.0.12 の IP です)
   
4. 設定が終了したら、サーバーを再起動します。
   サービスの再起動だけではだめでした。
5. [netstat ?an] でポートの状態を確認してみます。
   特定の IP アドレスにポートが割り当てられているのが確認できます。
   

   C:UsersAdministrator>netstat -an アクティブな接続 ? プロトコル? ローカル アドレス????????? 外部アドレス??????? 状態 ? ～ 省略 ～ ? TCP??? 172.0.0.12:56000?????????? 0.0.0.0:0????????????? LISTENING ? ～ 省略 ～

他の環境で試してみたのですが、ネットワークアダプタを固定すると netstat にポートが上がって来ませんでした…。
[このプロトコルで構成されたすべてのネットワーク アダプタ] にするとポートもきちんと立ち上がるのですが。
ネットワークアダプタを固定すると駄目でした…。
ネットワークアダプタの固定についてはもう少し調査する必要がありそうです。

[ターミナル サービス構成] では他にも同時接続ユーザー数や、1 ユーザーのセッション数制限もすることができますので、
環境に応じていろいろと試してみる必要がありますね。
# 接続に証明書が使えるようですのでここは少し勉強したいです。

運用のためのリモートデスクトップについてはここまでで。

次は Windows のセキュリティ設定について考えてみたいと思います。

>[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 1