4月 13, 2013

セキュリティ コンピュータセキュリティ強化

Categories:  MCA Security

1.ファイルシステムへのセキュリティ強化

ファイルシステムの選択にはセキュリティ機構のある NTFSを使用するのが基本です。その他セキュリティを強化する上で注意する点として不要なコンポーネットは組み込まないようにすること、Administratorパスワード設定を行うことが必要です。
不必要なコンポーネントを組み込まないことの理由としては使用していない機能には注意がおろそかになりやすい為です。Administratorパスワードの設定を頻繁に行うことでハッカーからの総当たり攻撃などの脅威を防ぐことができます。
また、セキュリティを狙ってくるハッカーからの攻撃手法としては総当たり攻撃(辞書攻撃、ブルートフォース攻撃)と呼ばれる攻撃があり、これはさまざまな単語を手当たり次第試し、繰り返しログオンを試みる手法などがあります。

①NTFSファイルシステムの利点
・アクセス権設定などのセキュリティ機構がある
・ファイル操作の場合のログ機能により修復手段があることから耐障害性の面で優れている。

②Administratorパスワード設定を行う意義
・操作を実行できる権限を持つユーザーの資格情報の奪取を防ぐ
・ドメイン全体への攻撃、不正侵入を防ぐ

③不必要なコンポーネントを組み込まないことの意義
・セキュリティホールができるのを防ぐ(ウィルス感染を防ぐ)

 

 

2.ユーザーアカウントの管理

(1)セカンダリログオン

Windows2000から追加された機能であり、ログオン中のユーザーアカウントとは別のユーザーアカウントの資格を使ってアプリケーションを実行する機能です。 RUNASコマンドを使用する方法と別のユーザーアカウント使用する方法の2種類があります。
下の構文はRUNASを使用してmsa.mmcという名前のMMC管理コンソールをDOMAIN\Administratorユーザー資格で実行しています。Windows vistaではパスワードが設定されていないアカウントでは RUNASコマンドを実行することはできないので必ずパスワードを設定する必要があります。

■構文  RUNAS/USER:<ユーザー名>/profile”コマンド”
■使用例  RUNAS/USER:DOMAIN\administrator/profile”mmc c:\windows\system32\msa.mmc”

 

(2)ユーザーアカウント制御

WindowsVistaではシステムを保護する目的でユーザーアカウント制御という新しいセキュリティ機能が追加されています。ユーザーアカウント制御が有効になっている場合は Administratorsグループであってもほとんどのアプリケーションを標準ユーザーと同様に最小限の権限で実行が可能となっています。
また承認して管理者特権をもつ権限をえてから実行する場合を昇格と呼んでいます
ユーザーアカウントについては使用していないアカウントは不正侵入に悪用されやすいため、無効化しておくことをお勧めします。

 

 

3.セキュリティ基礎用語

①NTFS

セキュリティ機構のあるファイルシステムのこと。

②アクセス権

重要なファイル /フォルダに対して、特定のユーザー、グループ以外アクセスできないように設定すること。

③ブルートフォース攻撃

様々な単語を手当たり次第に試しながら繰り返しログオンを試みる攻撃手法のこと。ブルートフォース攻撃、辞書攻撃とよばれる。

④ビルトインユーザー

ビルトインは組み込み済み、備え付けの意味を持ち Windowsセットアップ時に自動的に作成され、削除できないユーザーアカウントやグループのこと。

⑤Administrator

管理者権限を持つユーザーアカウント。

⑥ユーザーアカウントの無効化

使われなくなったユーザーアカウントは不正侵入に悪用されやすい為、使われなくなったアカウントは無効化しておいたほうがよい。

⑦ SID

Windowsの内部ではユーザーアカウントは SIDという一意の識別子で識別されており、表示される名前を変更しても Windows内部では同一のユーザーアカウントとして扱われる。

⑧セカンダリログオン

Windows2000 から追加された機能であり、ログオン中のユーザーアカウントとは別のユーザーアカウント資格を使ってアプリケーションを実行する機能である。

⑨RUNASコマンド

RUNASコマンドはコマンドプロンプトで使用するコマンドでありセカンダリログオンの為に使用される。

⑩ユーザーアカウント制御 (UAC:User Account Control)

Windows Vista以降で追加された機能であり、システムを保護する目的で Administratorsグループユーザーであっても標準ユーザと同様に最小限の権限で実行することができる。管理者の特権が必要なアプリケーションを実行する場合はユーザーに対して許可を求める画面が表示される為、承認して管理者特権を持つ権限をえてから実行可能となる、この管理者特権を持つ権限を得ることを昇格と呼ぶ。

⑪管理者として実行

管理者特権を持つ権限を得ること(昇格)。

⑫System

サービスがどのユーザー資格で動作するかを指定する為に使用されるアカウントのこと。

⑬依存関係

サービスによっては別のサービスが動作していないと起動できないものがありこれを依存関係と呼ぶ。

⑭サービス

サービスとは OSが提供する機能を実現する為のプログラムであり、画面に表示されないバックグラウンドで動作する。

⑮ローカルセキュリティポリシー

個々のコンピュータごとに行うセキュリティ設定であり、ローカルセキュリティポリシーで設定できる主要な項目は以下の通り。

・アカウントポリシー:ユーザーアカウントに関連する設定
・ローカルポリシー:セキュリティ監査、ユーザー権利の制限などの設定
・セキュリティが強化された Windowsファイアウォール
・公開キーのポリシー:暗号化機能やデジタル証明書、暗号化ファイルシステム関連の設定
・ソフトウェア制限ポリシー:実行を許可するソフトウェアの識別と指定
・IPsecに関する設定

⑯IPsec

IPパケットに対して暗号化と認証(出自の証明と改ざん検出)機能を提供する為の使用であり、 OSによって提供される。これにより第三者が通信路の途上でパケットを傍受しても内容をしることができない。

⑰グループポリシー

グループポリシーはActive Directoryドメイン、Active Directory ドメイン内の OU(組織単位) に対して設定するセキュリティポリシーであり、設定項目が [コンピュータの構成]と [ユーザー構成]に分かれている。

⑱OU(組織単位)

組織単位でのグループのこと。

⑲GPMC

WindowsServer2003で単独で動作するグループポリシー専用の管理ツールである。

㉑ポリシーオブジェクト

一つのドメインあるいは OUに対して複数のポリシー設定(ポリシーオブジェクト)を登録することができる。

㉑ロックアウト

頻繁にログオンに失敗したユーザーに対してログオンを拒否することをロックアウトという。

㉒セキュリティポリシーテンプレート

作成したローカルセキュリティポリシー設定内容に関する情報を .INFという拡張子を持つファイルの形で保持するもの。このファイルをエクスポートし他のコンピュータにインポートして適用すると同じセキュリティポリシー設定を再現できる。

Leave a Comment

You must be logged in to post a comment.