SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Windows Server 2008 以降で定義済みのセキュリティテンプレート相当のポリシーを検討

leave a comment

Windows Server 2003 までは、定義済みのセキュリティテンプレート で hisecws.inf 等を使用してセキュリティを強化した設定を適用することがあったかと思います。

Windows Server 2008 以降で同等のことを実施するための方法を調べたので少しまとめてみたいと思います。
MCTの憂鬱 さんの Security Compliance Manager の使用方法 がとても参考になります。

今回は Windows Server 2012 R2 のドメインコントローラーを使用しています。

シンプルな方法としては 2 種類あるかと思います。

一つがスターター GPO を使用する方法となります。

スターター GPO から [スターター GPO フォルダーの作成] をクリックすると、スターター GPO が作成されます。
image
image

スターター GPO には Windows Vista セキュリティ ガイド のポリシーが含まれています

この中に、

  • エンタープライズ クライアント (EC) 環境
  • セキュリティ特化 ? 機能制限 (SSLF) 環境

のポリシーが含まれていますので、そちらをベースにセキュリティ設定を考慮することができるかと。

もう一つが、Microsoft Security Compliance Manager (SCM) を使用する方法になります。 
# SCM を使用するためには SQL Server Express Edition のような SQL Server が必要となるようです。

投稿を書いている時点では、以下の画像のようなベースラインのポリシーが設定されています。
image

このツールでは各設定を [GPO Backup] としてエクスポートすることができます。
image

エクスポートしたファイルをグループポリシー管理コンソールからインポートすることでドメインで使用することができるようになります。
# GPMC を使用してグループ ポリシー オブジェクトをインポートする に記載されているように、一度空のグループポリシーを作成して、そのグループポリシーにインポートすることで、SCM から出力した内容を使用することができます。

どのような設定をしているのかは一度ざっくりと眺めておきたいですね。

Share

Written by Masayuki.Ozawa

7月 15th, 2014 at 10:27 pm

Posted in Active Directory

Tagged with

Leave a Reply