<[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 2
Windows Server 2008 はローカルセキュリティポリシーでアカウントポリシーは以下の設定がされています。
OS のインストール後の Administrator のパスワード設定にもこのポリシーが適用されますので、パスワードは以下の規則を
守る必要があります。
|
ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。 |
インストール後の Administrator のパスワード設定で何を設定すればよいかがわからずに困る方が結構いらっしゃるみたいですね。
立ち上げ体験日記のインストールの投稿にこの情報も載せておきたいと思います。
Administrator にもこのポリシーが設定されますので、既定ではパスワードは 42 日ごとに変更する必要があります。
Administrator のパスワードは定期的に変更することが望ましいと思いますのでこのポリシーは変更しないほうがよさそうですね。
パスワードの無期限設定もデフォルトでは無効になっていますので、初期のポリシーとしても変えることをデフォルトとして
運用してもらいたいのだと思います。
Administrator のユーザー名も変更したほうがよいのでしょうね。
Administrator を無効にすることもできますので、Administrators グループのメンバーを一つ作成してから無効にするのも効果的かも。
また、その 2 で [オブジェクト アクセスの監査] の監査ポリシーについて投稿しましたが、このポリシーだけでは効果がありません。
オブジェクト アクセスの監査をするためにはファイル / ディレクトリ / レジストリ で監査の設定を明示的にする必要があります。
[ファイル / ディレクトリの監査]
- 監査対象のファイル / フォルダのプロパティを開きます。
- [セキュリティ] タブの [詳細設定] をクリックします。
- [監査] タブの [編集] をクリックします。
- [追加] をクリックして監査対象のユーザーを登録します。
[レジストリの監査]
- [regedit.exe] を実行します。
- 対象のキーを右クリックして [アクセス許可] をクリックします。
- [詳細設定] をクリックします。
- [追加] をクリックして監査対象のユーザーを登録します。
どの個所の監査を取得すればよいかは検討する必要がありますが、変更されたくないフォルダ / ファイル / レジストリは
監査設定するのがセキュリティ的に良いのでしょうね。
セキュリティはこれをすれば大丈夫という正解はないと思いますので運用をしながらいろいろと試さないといけないですね。
そろそろ公開のための設定についてまとめてみたいと思います。