SE の雑記

<[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 4

初期インストール後は [Default Web Site] という Web サイトがポート 80 で作成されています。
デフォルトではシステムドライブにファイルが格納されるようになっていますのでできるだけシステムドライブにファイルは
格納しないように変更したいと思います。
# Windows ServerR 2008 Security Guide にも [Move root directories to a separate data partition] と書かれています。

IIS 系の作業はすべて [インターネット インフォメーション サービス (IIS) マネージャ] で実行します。

[コンテンツディレクトリの変更]

サイトのコンテンツは [%SystemDrive%inetpubwwwroot] に配置されています。
システムドライブにコンテンツを配置したくないので、今回は [E:Web] に移動したいと思います。

1. [サイト] → [Default Web Site] → [Web サイトの管理] → [詳細設定] をクリックします。
   
2. [物理パス] を変更し、[OK] をクリックします。
   ?

以上でコンテンツディレクトリの変更は終了です。
アクセス権の設定は別途まとめたいと思いますので今回は省略で。

[ログディレクトリの変更]
IIS のアクセスログも初期インストール後はシステムドライブ (%SystemDrive%inetpublogsLogFiles) に出力されます。
ログは [E:WebLog] に出力されるように変更したいと思います。

1. [Default Web Site] を選択します。
2. [Default Web Site] の [機能ビュー] をクリックします。
   ?
3. [ログ記録] をダブルクリックします。
   
4. ディレクトリを変更し、[適用] をクリックします。
   ?

以上でログディレクトリの変更は終了です。

[ホストヘッダーの設定]

Windows ServerR 2008 Security Guide を読んでいたところ、[Configure a Unique Binding] についての記載がありました。
セキュリティ上は Web サイトをホストする IP とホスト名 (以前のバージョンのホストヘッダー) は指定したほうがよさそうでした。

以下の手順で設定できます。

1. [Default Web Site] を右クリックして、[バインドの編集] をクリックします。
   
2. デフォルトでは [http] のみ設定されていますので、これを選択して [編集] をクリックします。
   
3. IP アドレスが複数ある場合はどの IP を使用するか選択します。
   ホスト名には公開する DNS 名を設定します。
   設定が終了した [OK] をクリックします。
   # 以下の例の場合は http://webkit.local でアクセスすることを想定しています。
   ?
   # デフォルトでは [未使用の IP アドレスすべて] になっていますのでコンピュータ上の全 IP でアクセスできるようになっています。
   

ホスト名を設定すると IP アドレスでサイトにアクセスしようとしても [404] エラーとなります。
?
設定変更できる DNS がある場合は DNS の [A レコード] か [CNAME レコード] を設定すればよいのですが、
お手軽にテストをするにはHOSTS ファイルを変更するのが手っ取り早いです。

[C:WindowsSystem32driversetchosts] をメモ帳で開き以下のような設定を追加します。
?

これでホスト名に設定した URL でアクセスができるようになります。

デフォルトサイトを使用する場合はこのあたりの設定は変えたほうがよさそうですね。
# デフォルトサイトをそのまま使用する人は少ないかもしれないですけど。

Web サイト用のソフトを入れる時には大抵データベースが必要になりますので次は SQL Server Express を
インストールしたいと思います。

>[Web サーバー立ち上げ体験日記]SQL Server 2008 Express のインストール

<[Web サーバー立ち上げ体験日記]Web Server 2008 にインストールできる無償のウイルス対策ソフトは？

セキュリティでひとつ思い出したことがあったので投稿。
順番がばらばらになり読みづらいかもしれませんがご容赦を。

Windows Server には [セキュリティの構成と分析] という機能があったことをふと思い出しました。
Windows Server 2008 でも MMC のスナップインとして [セキュリティの構成と分析] があります。

Windows Server 2003 では [C:WindowsSecurityTemplates] セキュリティのテンプレートが用意されていました。
?
しかし、Windows Server 2008 ではデフォルトで用意されているテンプレートはありません。

TechNet にもこのことは明記されています。
Windows Server 2008 のサーバーのセキュリティ ポリシーの管理

そうはいってもテンプレートがないと参考値がわからないですよね…。
試してみたところ Windows Server 2003 の定義済みのセキュリティテンプレートをそのまま利用することができました。
[セキュリティの構成と分析] は以下の操作で実行することができます。
# 事前に Windows Server 2003 の [C:WindowsSecurityTemplates] を Windows Server 2008 にコピーしています。

1. [mmc.exe] を実行します。
2. [ファイル]→[スナップインの追加と削除] を実行します。
3. [セキュリティの構成と分析] を選択し、[追加]をクリックし、[OK] をクリックします。
   
4. [セキュリティの構成と分析] を右クリックし、[データベースを開く] を選択します。
   
5. [ファイル名] に適当な名称を入力し、[開く] をクリックします。
6. [テンプレートのインポート] が表示されるので Windows Server 2003 からコピーしたテンプレートを選択します。
   
7. [セキュリティの構成と分析] を右クリックし、[コンピュータの分析] を選択します。
   
8. [OK] をクリックします。
   
9. テンプレートの内容と現状の設定を比較することができます。
   

これを使用するとセキュリティの考慮事項が見えるかと思います。
# [コンピュータの構成] を選択するとテンプレートの内容を実際に設定してくれます。
??? 確認のメッセージボックスは表示されずにいきなり設定されますのでご注意ください。

Windows Server 2008 のセキュリティテンプレートですが
Get the Windows Server 2008 Security Guide
にサンプルが含まれています。
このガイドには IIS についても記載がありますので、IIS のセキュリティ設定で参考にしたいと思います。

ぼちぼち IIS の設定を少ししてから公開のための作業手順をまとめたいと思います。

>[Web サーバー立ち上げ体験日記]IIS のデフォルトサイトの設定変更

<[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 3

そろそろ公開に向けての手順を投稿しようと思っていたのですが、ウイルス対策についてまだ投稿をしていないことに気付きました。
そこで Web Server 2008 に無償で入手できるウイルス対策ソフトは何がインストールできるか試してみました。

サーバー OS にインストールできるものは少ないですね。
# Kingsoft は x86 のみインストール可能でした。

有名どころの有償クライアント製品も試してみました。

各メーカーでサーバー用の製品を出しているぐらいですのでクライアント製品はサーバー OS にインストールできませんでした。

やはりサーバー用の製品を入れないとウイルス対策は難しそうですね～。
他にもインストールできそうなウイルス対策ソフトが見つかったら再度投稿したいと思います。

>[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 4

MED-V のクライアントのアップグレード手順になります。と思って試してみたところ、クライアントはアップグレードできませんでした…。
再インストール必須みたいですね。

一度削除して再インストールしてみました。

1. MDOP 2009 のメディアを挿入します。
2. [Microsoft Enterprise Desktop Virtualization 1.0] をクリックします。
   
3. [Microsoft Enterprise Desktop Virtualization のクライアント コンポーネントのインストール] をクリックします。
   
4. [Next] をクリックします。
   
5. [I accept the terms in the license agreement] を選択し、[Next] をクリックします。
   
6. [Next] をクリックします。
   
7. [Install the MED-V management application.] を選択し、[Server address] に MED-V サーバー名を入力し、
   [Next] をクリックします。
   # MED-V の管理用端末を別に用意する場合は [Install ～] は選択する必要はありません。
   
8. [Install] をクリックしインストールを実行します。
   ?
   インストール中に UAC の認証が入ります。
   
9. [Finish] をクリックしてインストールを完了します。
   ?

これでインストールは完了です。

MED-V の管理情報についてはサーバー上で保存されていますのでクライアントを再インストールしても影響はありません。

MED-V のイメージ作成、展開の手順は改めてまとめてみたいと思っています。
パックしたイメージをダウンロードするのは問題ないのですが、ダウンロードしたイメージを展開した後の操作が
いまいちわかっていないんですよね。

RTM になったのでこの辺の情報も集めやすくなるのではと期待しています。

今まで Beta 版を使用していた MED-V Beta を MED-V 1.0 にアップグレードしてみました。

まずはサーバー編です。

1. MDOP 2009 のメディアを挿入します。
2. [Microsoft Enterprise Desktop Virtualization 1.0] をクリックします。
   ?
3. [Microsoft Enterprise Desktop Virtualization (64 ビット) のサーバー コンポーネントのインストール] をクリックします。
   # MED-V サーバーは 64 ビット版を使用していました。
   
4. [Next] をクリックします。
   
5. [I accept the terms in the license agreement] を選択し、[Next] をクリックします。
   
6. [Next] をクリックします。
   
7. デフォルトで [Save ～] のチェックボックスが有効になっていますので [Next] をクリックします。
   
8. [Install] をクリックします。
   
9. [Finish] をクリックしてインストールを完了します。
   
10. MED-V の管理コンソールが起動するので [OK] をクリックします。
    # [OK] をクリックすると MED-V サーバーのサービスが再起動します。
    

MED-V の診断ツールを実行したところバージョンが [1.0.72] になっていますので RTM 版にバージョンアップしています。
# Beta 版は [1.0.66] になります。

クライアント側は Beta 版でも正常につながりました。
サーバー側の設定も変わってなさそうですので以前作成した手順はそのまま使えそうです。

クライアント側のアップグレードにも挑戦してみたいと思います。

今まで SCVMM 2007 で管理していた Windows Server 2008 のHyper-V のホストを SCVMM 2007 R2 Beta で
管理しようとしたところ以下のエラーが発生してしまいました。

ファイアウォールで [ファイルとプリンタの共有 (SMB 受信)] のドメインプロファイルの規則を有効にしたところ
正常に追加できるようになりました。

SCVMM 2007 では正常に管理できていたので DCOM の設定も問題はないはずなのですがファイアウォールの
設定をしないと追加できませんでした…。

Exchange Server 2010 Beta が公開されていました。
Microsoft Exchange Server 2010 Beta

TechCenter にもカテゴリが追加されていますね。
Microsoft Exchange Server 2010 (Beta)

英語の情報しかないですが…。

今まで Beta 版で検証していた MED-V サーバーを RTM で再構築しようと準備しているのですがその前に
Windows 7 に MED-V 1.0 のクライアントがインストールできるかを試してみました。

結果は Beta の時同様 NG でした…。残念です。

?

App-V 4.5 のように CU1 で Windows 7 に対応されることを期待しています！

<[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 2

Windows Server 2008 はローカルセキュリティポリシーでアカウントポリシーは以下の設定がされています。

OS のインストール後の Administrator のパスワード設定にもこのポリシーが適用されますので、パスワードは以下の規則を
守る必要があります。

インストール後の Administrator のパスワード設定で何を設定すればよいかがわからずに困る方が結構いらっしゃるみたいですね。
立ち上げ体験日記のインストールの投稿にこの情報も載せておきたいと思います。

Administrator にもこのポリシーが設定されますので、既定ではパスワードは 42 日ごとに変更する必要があります。
Administrator のパスワードは定期的に変更することが望ましいと思いますのでこのポリシーは変更しないほうがよさそうですね。
パスワードの無期限設定もデフォルトでは無効になっていますので、初期のポリシーとしても変えることをデフォルトとして
運用してもらいたいのだと思います。

Administrator のユーザー名も変更したほうがよいのでしょうね。
Administrator を無効にすることもできますので、Administrators グループのメンバーを一つ作成してから無効にするのも効果的かも。

また、その 2 で [オブジェクト アクセスの監査] の監査ポリシーについて投稿しましたが、このポリシーだけでは効果がありません。
オブジェクト アクセスの監査をするためにはファイル / ディレクトリ / レジストリ で監査の設定を明示的にする必要があります。

[ファイル / ディレクトリの監査]

1. 監査対象のファイル / フォルダのプロパティを開きます。
2. [セキュリティ] タブの [詳細設定] をクリックします。
   
3. [監査] タブの [編集] をクリックします。
   
4. [追加] をクリックして監査対象のユーザーを登録します。
   

[レジストリの監査]

1. [regedit.exe] を実行します。
2. 対象のキーを右クリックして [アクセス許可] をクリックします。
   
3. [詳細設定] をクリックします。
   
4. [追加] をクリックして監査対象のユーザーを登録します。
   

どの個所の監査を取得すればよいかは検討する必要がありますが、変更されたくないフォルダ / ファイル / レジストリは
監査設定するのがセキュリティ的に良いのでしょうね。

セキュリティはこれをすれば大丈夫という正解はないと思いますので運用をしながらいろいろと試さないといけないですね。

そろそろ公開のための設定についてまとめてみたいと思います。

>[Web サーバー立ち上げ体験日記]Web Server 2008 にインストールできる無償のウイルス対策ソフトは？

<[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 1

Windows のセキュリティチェックをするツールとして Microsoft Baseline Security Analyzer (MBSA) があります。

Microsoft Baseline Security Analyzer 2.1
ダウンロードはこちらから↓
Microsoft Baseline Security Analyzer 2.1 (for IT Professionals) – 日本語

MBSA 2.1 から Windows Server 2008 をサポートしていますので、サーバーを公開する前にこのツールを使用して
セキュリティチェックをすると安全性が増すかと思います。

MBSA では以下の内容をチェックすることができます。

• Windows の管理上の脆弱性をチェックする
• 脆弱なパスワードをチェックする
• IIS の管理上の脆弱性をチェックする
• SQL Server の管理上の脆弱性をチェックする
• セキュリティ更新プログラムをチェックする

[IIS の管理上の脆弱性をチェックする] を実行するためには [IIS 6 メタベース互換] の役割サービスをインストールしておく必要があります。
?

ログオン監査については見落としがちなのでこのツールでチェックしたほうがよいかと思います。
?

監査ポリシーは [管理ツール] → [ローカル セキュリティ ポリシー] の [ローカル ポリシー] → [監査ポリシー] で設定することができます。

デフォルトでは監査ポリシーはすべて [監査しない] になっているのでもしもサーバーに不正ログインされた場合に、
後追いで調べることができません。
なにかあった際に調べる術として監査系の設定はしておいたほうが良いとおおみます。
?
簡単に実行できるツールでセキュリティの考慮事項がわかりますので公開前に実行されてみてはいかがでしょう。

MBSA は以下のファイルのもコピーすることによってインストールをしないでも使用することができます。
# インストールした環境から以下のファイルをコピーして使用します。

• mbsacli.exe
• wusscan.dll

オフラインのカタログファイル (wsusscn2.cab) が必要になりますが、以下の URL からダウンロードすることことができます。
http://go.microsoft.com/fwlink/?LinkId=76054

これらのファイルを使用して以下のようなコマンドを実行することによりコマンドラインからセキュリティプログラムの適用状況を
調べることも可能です。

出力された xml ファイルの内容の先頭に <?xml version="1.0"?> をつけると EXCEL で開けますので見やすくなると思います。

オフライン実行もできますので方法は以下の URL をご参照ください。
オフライン実行できると実際に運用している企業のサーバーでも実行できて便利だと思います。
MBSAをオフラインで実行する － ＠IT

セキュリティについてはもう少し考えてみたいと思います。

>[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 3