セキュリティ
| セキュリティについて |
|
サーバーを公開する場合、心配事が色々とあると思います。
・動作の安定性
・ハッキングなど、セキュリティ対策
・電気代
・その他、もろもろの諸経費
そんな中でも、ここではセキュリティについてチラッと触れてみます。
といっても、管理人は実際にはまったく神経質になっていません。
個人でできる対策なんてたかが知れてると思いますし、プロの手に掛かればどんな対策をしていてもダメな時はダメです。それに、外に漏れて困るような情報はサーバーにおいていません。必要なデータのバックアップをしっかりしていれば、起動不能な状態になってもなんとか復旧できます。
ということで、気休め程度のセキュリティ対策しかしていませんが、管理人の行った対策のメモです。
|
| 大切なデータは置かない |
|
まずは、基本的なことです。
どんなにセキュリティ対策をがんばっても、ダメな時はダメです。ということで、サーバーには大切なデータは置かないようにしてください。大切なものといえば、とりあえず住所録やメーラーのアドレス帳などですね。
理想は、サーバー専用機としてOS+各種サーバー設定+ホームページのデータぐらいにできればいいと思います。
|
| バックアップをしっかり取る |
|
何もサーバーに限ったことではないですが、バックアップは大切です。
パソコンは所詮機械です。ハッキングやウィルスでデータが壊れることもあれば、ハードディスクやその他機器の物理的なトラブルもいつ起こるかわかりません。
ネットワーク経由で別のパソコンにバックアップする、CD/DVD メディアや MO などのリムーバブルメディアに保存するなどさまざまな方法があります。
バックアップ対象も必要なデータのみであれば簡単ですし、Windows2000 標準のバックアップや専用のユーティリティソフトでシステムを丸ごとバックアップすることで、いざと言うときに簡単に復元できる方法もあります。
方法や対象ファイルは、個人の都合で判断してください。
|
| ユーザー/パスワードの管理をする |
|
これまでと違って、ちょっと本格的です(笑)
Windowsをインストールした状態では必ずAdministratorというユーザーが存在します。しかも、Administratorはすべての機能を利用できるスーパーユーザーです。
そしてこの事はハッカーももちろん知っていますので、パソコンにアクセス(攻撃)するときはこのユーザーを利用しようとします。ハッカーの立場からすると、英数字の組み合わせで作られた無数のユーザーと無数のパスワードの組み合わせに大変な労力を費やすより、ユーザー「Administrator」に対してパスワードを探っていくほうがずっと労力は少なくて済みますよね。
というわけで、守る側からすればハッカーにヒントを与えるような「Administrator」というユーザーを削除して、Administratorと同程度のアクセス権限をもった別ユーザーで管理すればいいのです。
| 1. |
[スタート]-[プログラム]-[管理ツール]-[コンピューターの管理]とたどって「コンピュータの管理」を開きます。 |
| 2. |
「コンピュータの管理」の左のウィンドウのツリーから[ローカルユーザーとグループ]-[ユーザー]をクリック、右のウィンドウのAdministratorを確認します。 |
| 3. |
Administrator を右クリックしてメニューから[名前の変更]をクリック、任意の名称に変更します。 |
| 4. |
(旧)Administrator を右クリックしてメニューから[パスワードの設定]をクリック、「パスワードの設定」ウィンドウが表示されるので任意のパスワードを入力します。 |
| 項目 |
変更前 |
変更後 |
| アカウント |
Administrator |
英数字まじりで長めの方が良い。管理人の名前や生年月日、何かの名称などはばれやすいので止めたほうが吉
|
| パスワード |
OSインストール時に設定 |
(Active Directoryドメインコントローラーの場合はActive Directoryユーザーとコンピューターから設定します。)
続いては、Guestアカウントのログオン制限です。
GuestもAdministratorと同様、Windowsのインストール時に存在しています。Administratorに比べるとアクセス権限が制限されているのでできることは少ないですが、それでもやっぱりアクセスできることには変わりありません。
ということで、Guestアカウントを利用不可能に設定します。(無効になっているはずなので確認です)
| 1. |
[スタート]-[プログラム]-[管理ツール]-[コンピューターの管理]とたどって「コンピュータの管理」を開きます。 |
| 2. |
「コンピュータの管理」の左のウィンドウのツリーから[ローカルユーザーとグループ]-[ユーザー]をクリック、
右のウィンドウのGuestを確認します。 |
| 3. |
Guestをダブルクリックしてプロパティウィンドウを開きます。 |
| 4. |
「全般」タブに「アカウントのを無効にする」というチェックボックスがあるので、ちぇっくを入れます。 |
(Active Directoryドメインコントローラーの場合はActive Directoryユーザーとコンピューターから設定します。)
|
| イベントビューアを活用する |
|
サーバーにどんなアクセスがあったのか、イベントビューアに記録を残しておけば何かの際に役立つ(はず)ということで、ログオン関係のログを残すように設定を変更します。
残る場所はイベントビューアのセキュリティの項目です。ここは標準では何も記録されません。
| 1. |
[スタート]-[プログラム]-[管理ツール]-[ローカルセキュリティポリシー]とたどって「ローカルセキュリティポリシ設定」を開きます。 |
| 2. |
「ローカルセキュリティポリシ設定」の左のウィンドウのツリーから[ローカルポリシー]-[監査ポリシー]をクリック、右のウィンドウの項目から以下のそれぞれの項目を確認します。 |
| 3. |
変更したい項目をダブルクリックして「xxxxx の設定」というウィンドウが開いたら「ローカルポリシーの設定」という項目の「成功」「失敗」にチェックを付けて「OK」をクリックします。 |
| 項目 |
変更前 |
変更後 |
| アカウントログオンイベントの監査 |
監査しない |
成功、失敗 |
| アカウント管理の監査 |
監査しない |
成功、失敗 |
| ポリシー変更の監査 |
監査しない |
成功、失敗 |
| ログオンイベントの監査 |
監査しない |
成功、失敗 |
|
| Windows Update を実行する |
|
Windowsを使っている限り、セキュリティホールは避けては通れない道です。それなら上手く共存するとしましょう(笑)
ということで、Microsoft が公開するセキュリティホールの修正プログラムをマメにチェックして適用するようにしましょう。
|
| ファイアウォールを導入する |
|
外部からの不正アクセスを発見・阻止するためにファイアウォールの導入を検討する必要があります。
ファイアウォールには、無料のものから有料のものまでさまざまなものが存在します。有名どころでは ZoneLABS 社製 「 ZoneAlarm 」 、Sygate 社製 「 Personal Firewall 」 、Tinysoftware 社製 「 Personal Firewall 」 などがあります。
設定が簡単なものから、設定がこまかくて仕様に一苦労のものまであるようですので、利用目的にあわせて選択してください。
|
2004.02.09 17:55:24