Q 質問 Windows 2000をインターネット接続する際に必要なセキュリティ設定について教えてほしい。ADSLモデムなどで,ルーターを使わない接続を考えている。

A 回答 修正ファイルの適用などで代表的なセキュリティ・ホールをふさぎ,不要なサービスなどを停止します。

 2001年2月,WWWの改ざんが多発し,不正アクセスの危険が改めて認識されています。

 しかし,無差別に改ざんを試みるようなクラッカは,代表的なセキュリティ・ホールを狙って侵入してきますので,基本的な対策を施せば,ほとんど防ぐことができます。以下,必要な対策を優先度順に示します。

1.修正ファイルの適用

 最も重要なことは,最新の修正ファイルを適用することです。Windows 2000であれば,最新のサービスパック(現在はSP1)を適用します。Windows NT 4.0にはSP6aを適用しましょう。

 さらに,サービスパック公開後に出た修正ファイルも適用する必要があります。表1に挙げた「マイクロソフト セキュリティ情報」を参照して,修正ファイルを適用します。

 特にセキュリティ情報にある「MS00-086:Webサーバーによるファイル要求の解析」は危険度が高いので,絶対に修正ファイルを適用しましょう。

 セキュリティ関連サービスを提供するport139は,表1に挙げたサイトで,サービスパック公開後に配布された修正ファイルをまとめたExcelファイルを公開していますので,チェック・リストとして利用するとよいでしょう。

マイクロソフトセキュリティ情報 最新のセキュリティ・ホール情報や修正ファイルがある
(http://www.microsoft.com/japan/technet/ security/current.asp)
Internet Information Services 5 セキュリティのチェックリスト インターネットに公開する場合にやっておくべき設定
(http://www.microsoft.com/japan/technet/ security/iis5chk.asp)
Microsoft Internet Information Server 4.0 セキュリティチェックリスト 上記のIIS 4.0 版
(http://www.microsoft.com/JAPAN/technet/ security/checklist.asp)
Win セキュリティ虎の穴 山下 眞一郎氏による最新情報やリンク集
(http://winsec.toranoana.ne.jp/)
port139 NT セキュリティ セキュリティ関連サービスを手がけるport139による技術文書など
(http://www.port139.co.jp/ntsec_iischeck.htm)
表1●読んでおくべきインターネット上の情報源

2.不要な仮想ディレクトリを削除

写真1●不要な仮想ディレクトリを削除

 インターネットサービスマネージャを使い,Internet Information Severの不要な仮想ディレクトリを削除します(写真1[拡大表示])。特に,NT 4.0に含まれるMicrosoft Data Access Components(MDAC)には,コマンド実行が可能なセキュリティ問題が報告されています。MDACを使ったサンプルを含む仮想ディレクトリmsadcを削除しましょう。MDACを使わなければならない場合は,マイクロソフトの技術文書「J049349:[IIS]Microsoft Security Bulletin MS99-025のFAQ」を参照して,レジストリ設定によりMDACを「セーフモード」にしてください。

 またそのほかのサンプル・プログラムの仮想ディレクトリも削除しておきましょう。IISHelp,IISSamples,Printersは通常必要ありません。

 また最近,htr拡張子を持つファイルが悪用されるセキュリティ・ホールが報告されました。使わないアプリケーションと拡張子の関連付けは無効にしておきます。

3.NetBIOS機能の停止

 インターネットにファイル共有やプリンタ共有を提供すべきではありません。[コントロールパネル]の[ネットワーク]で,プロトコルはTCP/IPのみに設定し,NetBIOSがあれば削除します。TCP/IPを使ったNetBIOSサービスも停止します。[ネットワーク]のサービスからNetBIOSインタフェースを削除してください。例え何も共有していなくても,パスワードを総当たりで試されたり,クラッカに情報を与えてしまう恐れがあります。

4.パスワードの設定

 レジストリから暗号化されたパスワードを抜き取り,解読するツールが出回っています。推測しやすいパスワードを使用しないようにしましょう。辞書にある単語の使用は避けます。NT/2000での暗号化方式の特性により,9文字以上であれば解読は格段に難しくなります。英字だけではなく数字や記号も含むとさらに安全です。

5.Administratorの変更

 NT/2000の管理者ユーザーであるAdministratorの名前は,変更できます。ドメインユーザマネージャで別の名前に変えておきましょう。クラッカは,Administratorのパスワードを手当たり次第に試して,不正にログインしてくることがあります。

6.不要なIPポートをふさぐ

20 FTP-DATA(ファイル転送データ)
21 FTP(ファイル転送)
25 SMTP(メール転送)
53 DNS(ドメイン・ネーム・サービス)
67 DHCP(IPアドレス割り当て)
68 DHCP(IPアドレス割り当て)
80 HTTP(WWW)
110 POP3(メール・クライアント接続)
137 NetBIOS-NS(NetBIOSネーム・サービス)
138 NetBIOS-DGM(NetBIOSデータグラム・サービス)
139 NetBIOS-SSN(NetBIOSセッション・サービス)
443 HTTPS(暗号化WWWアクセス)
表2●主なサービスが使用するTCP/IPのポート番号

 必要なIPポートだけに通信を許すようにすれば,不要なサービスからの侵入を防止できます。ポートの制限は,通常ルーターで行いますが,ADSLモデムで接続するなどルーターを使わない場合は,OSでも設定できます。

 コントロールパネルの[ネットワーク]から[プロトコル]-[TCP/IP]を選び,[詳細]ボタンを押し[セキュリティ処理を行う]チェックボックスをチェックし,[構成]ボタンを押します。HTTPのみを使用する場合は,TCPのポート80を,SSL(Secure Sockets Layer)を使うならば443も許可するようにします。他にサービスを使用する場合は,表2やマイクロソフトの技術文書「J045207:[NT]TCP/IPポートの使用について」を参考に,必要なポートを開けてください。

 Windows 2000 Professionalなどクライアントの場合は,IISに関する部分以外の,該当する操作を実行します。

 さらに厳重を期す場合は,表1の情報を参考に対策を施してください。

(本誌)