<[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 3
サーバーを立ち上げるにあたって、Windows のセキュリティ設定はどこまですればよいのかを考えてみました。
ちょうど @IT でセキュリティについての記事がありました。
Windows Web Server 2008 のセキュリティ対策と今回の環境にうってつけの記事です♪
Windows Web Server 2008のセキュリティ対策 - @IT
[ファイアウォールを利用する]
まずは Windows ファイアウォールについて書かれていますね。
既定で有効になっていますので手動で無効にしない限りは問題なさそうです。
例外については不要なものが例外設定されていないか確認する必要がありそうですね。
細かい設定に関しては [セキュリティが強化された Windows ファイアウォール] で設定と。
[管理用ポートを許可する]
リモートデスクトップ用の管理ポートについて書かれていました。
接続元が特定できるのであればスコープの設定が有効そうですね。
管理用端末が準備できるのであればそこからのみ接続を許可したほうがよさそうです。
# 公開サーバーとは別に踏み台サーバーを作ってそこからというのが良いのでしょうか。
[Web コンテンツの管理]
ファイル共有は危険と。コンテンツディレクトリを共有にするのはリスクが高そうです。
なるべくポートを開けずとあるので FTP も控えたほうがよいのでしょうかね。
管理共有は以下の KB の逆をすれば停止することができますが、一部のミドルで管理共有を使っていることが
ありますので停止する場合はサーバーで異常がないことを確認しながら設定する必要があるかと。
Windows Server 2008 で共有管理者を削除する方法
# レジストリ設定後に再起動すると管理共有が停止されます。
KB にも記述されていますが IPC$ だけは削除することができません。
??? 複数の環境で試してみたところ CD/DVD ドライブの管理共有が削除されないものがありました。
[不要なコンポーネントの無効化]
IIS 7.0 は役割サービスを細かくインストールできますので、意図的に入れない限りは静的コンテンツのコンポーネントのみ
導入された状態になっていると思います。
[使う機能がわからないからすべてインストール!] ということをしなければ不要なコンポーネントは入らなさそうですね。
[定期的なセキュリティパッチの適用]
Windows Update で定期的なパッチ適用を心掛ける必要があります。
夜間にリブートがかかるようなタイミングでの適用がよさそうですね。
ひとまず @IT の記事で何をすればよいかを考えてみました。
次は MBSA を使ったセキュリティチェックをまとめてみたいと思います。