Win2000 常時接続 セキュリティメモ

• 一般
• ネットワーク
• アカウント
• アクセス管理
• サービス
• 追加ソフトウェア
• セキュリティポリシー
• 参照

一般

1. ファイルシステムを NTFS にする
2. SNMP ツールを無効にする(※SP以前)
3. MMC でセキュリティテンプレートを適用する (hisecweb.inf など）
4. 最新のサービスパック・SRP・hotfixを適用する
5. 高度暗号化パックを適用する(※SP1以前)
6. HFNetChk でパッチを確認する

ネットワーク

• NetBIOS over TCP/IP を無効にする
• "管理共有"を無効にする
• "匿名接続(Null 接続)"を無効にする
• LM 認証を許可しない、NTLM v1(v2) 認証に変更する
• Routing and Remote Access サービスによるパケットフィルタリングを有効にする (netsh)
• ICMP Echo
• TCP 23 - Telnet
• TCP/UDP 135 - Location サービス (RPC)
• TCP/UDP 137 - NetBIOS 名前サービス
• UDP 138 - NetBIOS データグラム
• TCP 139 - NetBIOS セッション
• TCP 445 - Direct Hosting SMB (Common Internet File System (CIFS)) ※Win2000以降

レジストリメモ

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters]
AutoShareServer=dword:00000000
AutoShareWks=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
RestrictAnonymous=dword:00000001

アカウント

• 複雑でないパスワードを許可しない
• アカウント ロックアウトを有効にする
• ログオン、アカウントログオン、ポリシー変更の監査を有効にする
• Guest アカウントを無効にする
• Administrator, Guest アカウント名を変更する
• ダミー Administrator, Guest アカウントを作成し、ログオンの監査を有効にする

アクセス管理

• ルートドライブ(c:\)のアクセス権を "Everyone: フルコントロール" から "Authenticated User: 読み込みと実行" に変更する
  （適用先を「このフォルダとファイル」に設定し、「これらのアクセス許可を、このコンテナ中にあるオブジェクトやコンテナのみに適 用する」をチェックする）
• %systemroot%/system32 ディレクトリに対する "Everyone" からの "write" アクセスを不可にする　？
• "C:\WINNT" フォルダへのインストールは避ける　？

サービス

• 不要なサービスを無効もしくは手動に切り替える

※太字：特にセキュリティ上停止が望ましいサービス

各サービス停止による影響

• Remote Procedure Call (RPC)
1. ？ DCOM、ひいては OS 全体の機能不全


• Remote Registry Service
1. Routing and Remote Access 管理ツール(netsh 等)が正常に動作しなくなる


• Server
1. ？ユーザーマネージャの機能制限（ユーザー作成ができない）
2. ？サーバーマネージャが起動できない（サーバーサービスの開始を促す）
3. 共有機能を提供できない
4. リモートから IPC$ 経由ではログオンできない
5. リモートからユーザーマネージャで接続できない
6. リモートからレジストリエディタで接続できない
7. リモートからサーバーマネージャで接続できない
8. リモートからイベント ビューアで接続できない
9. リモートからパフォーマンスモニタで接続できない


• Workstation
1. UNC 形式の仮想ルートを利用できない
2. リモートのコンピューターの共有資源に接続できない
3. リモートのコンピューターに NET コマンドを利用できない
4. ネットワークの参照ができない
5. HFNetChk が動作しなくなる


• System Event Notification
1. IE がオンライン状態を感知できなくなる (IE5.0のみ)

追加ソフトウェア

• アンチウィルスソフトを導入する - Norton Antivirus, InoculateIT, Antidote, etc
• 個人向けファイアウォールを導入する - ZoneAlarm, Kerio Personal Firewall, etc
• 侵入検知システム(NIDS)を導入する - Snort for Win32, etc

セキュリティポリシー

• Web ブラウザのセキュリティ設定を適切に設定する
• 最新のバージョン・パッチ・SP を適用する
• ActiveX コントロール、JavaScript を無効に設定する
• cookie 設定を適切に設定する
• スパイウェアに注意する （スパイウェア一覧）
• 極力 APOP を利用する
• 常にセキュリティ情報をニュースサイト、ML 等でチェックする

参照

• マイクロソフト
• TechNet Online - Windows 2000
• TechNet セキュリティ情報一覧
• Windows 2000 Professional ベースライン セキュリティ チェックリスト
• ネットワーク攻撃の認識と対応
• [IIS] 安全な IIS コンピュータの実行に必要なサービスの一覧
• Windows NT、Terminal Server、および Microsoft Exchange サービスの TCP/IP ポートの使用について


• IPA セキュリティセンター
• 小規模サイト管理者向けセキュリティ対策マニュアル Windows2000
• Windows 2000 における基本的セキュリティ設定


• ＠ＩＴ
• 常時接続時代のパーソナル・セキュリティ対策（第1回） ——Windows NT／2000のパケット・フィルタリング機能——
• ポート445（ダイレクト・ホスティングSMBサービス）に注意


• port139.co.jp - NT Security
• 3DSpotlight | Windows 2000 Services Tweak guide - Win2000 サービスの説明
• ↑の和訳
• ↑の和訳2
• Security Akademeia - 基礎 WinNT 防衛講座 ( http://ruffnex.oc.to/ipusiron/kiso_winNT_bouei.htm )

戻る