現在オフラインです。再接続するためにインターネットの接続を待っています

セキュリティ構成ガイダンスのサポートについて

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

概要
マイクロソフト、Center for Internet Security (CIS)、米国国家安全保障局 (NSA)、米国国防情報システム局 (DISA)、および米国国立標準技術研究所 (NIST) は、Microsoft Windows 用の "セキュリティ構成ガイダンス" を公開しています。

このガイダンスの一部に記載されている高度なセキュリティ レベルによって、システムの機能が大幅に制限される場合があります。このため、ガイダンスの推奨事項を実践する前に十分なテストを行う必要があります。以下の作業を実施するときは、特に注意する必要があります。
  • ファイルおよびレジストリ キーのアクセス制御リスト (ACL) を編集する
  • "Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う" ポリシーを有効にする
  • "ネットワーク セキュリティ : 次のパスワードの変更で LAN マネージャのハッシュの値を保存しない" ポリシーを有効にする
  • "システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う" ポリシーを有効にする
  • 自動更新サービスまたはバックグラウンド インテリジェント転送サービス (BITS) を無効にする
  • NetLogon サービスを無効にする
  • NoNameReleaseOnDemand レジストリ値を有効にする
マイクロソフトは、高度なセキュリティが求められる分野を対象としたセキュリティ ガイダンスを提供する業界団体の活動を強力にサポートします。ただし、ユーザーは対象となる環境でガイダンスを十分にテストする必要があります。既定の設定より高度なセキュリティ設定を追加する必要がある場合は、マイクロソフトが発行したガイドを参照してください。このガイドは、所属する組織におけるセキュリティ要件の出発点として使用できます。サードパーティのガイダンスに関するサポートまたは質問については、ガイダンスを発行した団体にお問い合わせください。
はじめに
マイクロソフト、Center for Internet Security (CIS)、米国国家安全保障局 (NSA)、米国国防情報システム局 (DISA)、および米国国立標準技術研究所 (NIST) などの多数の組織が、過去数年間にわたって Windows 用の "セキュリティ構成ガイダンス" を公開してきました。他のセキュリティ ガイダンスと同様、必要なセキュリティ設定を追加すると、使い勝手に支障が出ることがあります。

マイクロソフト、CIS、および NIST などが発行するいくつかのガイドでは、さまざまなレベルのセキュリティについて説明しています。これらのガイドには、以下を意図したセキュリティ レベルが含まれていることがあります。
  • 以前のバージョンのオペレーティング システムとの相互運用性
  • 企業環境
  • 機能の制限を伴うセキュリティ強化

    : このセキュリティ レベルは、"特殊なセキュリティ制限付き機能" レベルまたは "高セキュリティ" レベルとも呼ばれます。
"高セキュリティ" レベル ("特殊なセキュリティ制限付き機能" レベル) は、攻撃を受ける危険性が非常に高い、きわめて厳しい環境で使用することを特に意図したものです。このレベルは、政府機関で必要とされる情報など、考えられる最も重要な情報を保護するためのものであり、Windows を実行しているシステムの大多数は、公開されているほとんどのガイダンスの "高セキュリティ" レベルに適していません。汎用のワークステーションに対して "高セキュリティ" レベルのセキュリティを適用することはお勧めできません。"高セキュリティ" レベルは、セキュリティが侵害されることによって生命、きわめて重要な情報、または財産が失われるおそれのあるシステムに対してのみ適用することをお勧めします。

いくつかの団体とマイクロソフトは共同でこれらのセキュリティ ガイドを作成しました。多くの場合、これらのガイドのすべてが同じような危機に取り組んでいます。ただし、法的な要件、地域の政策、および機能上の必要条件により、各ガイドには若干の相違点があります。このため、推奨されるセキュリティの設定がガイドによって異なっていることがあります。各セキュリティ ガイドの概要については、この資料の「セキュリティ ガイダンスを一般に公開している組織」で説明します。
詳細

セキュリティ ガイダンスを一般に公開している組織

Microsoft Corporation

マイクロソフトは、マイクロソフト自身が提供するオペレーティング システムのセキュリティ強化に役立つガイダンスを提供しています。以下の 3 つのレベルに関するガイダンスを作成しました。
  • エンタープライズ クライアント (EC)
  • スタンドアロン (SA)
  • 特殊なセキュリティ制限付き機能 (SSLF)
このガイダンスは、さまざまなユーザー環境におけるシナリオについて十分にテストされており、Windows コンピュータのセキュリティ強化を目指すすべての組織に適しています。

このガイダンスの内容については、マイクロソフトのアプリケーション互換性テスト環境で詳細なテストが実施されました。そのため、これらのガイドは完全にサポート対象となります。マイクロソフトが公開しているガイドをダウンロードするには、以下のマイクロソフト Web サイトを参照してください。マイクロソフトのセキュリティ ガイドの内容を実践した結果発生した問題やお気付きの点については、電子メール メッセージにフィードバック内容を記入し、secwish@microsoft.com に送信してください (英語のみ)。

Center for Internet Security (CIS)

CIS では、特定のセキュリティ対策を実施するかどうかについて組織が情報に基づく決定を行うときに利用できるベンチマークを開発しました。以下の 3 つのレベルのセキュリティ ベンチマークが公開されています。
  • レガシ
  • エンタープライズ
  • 高セキュリティ
CIS のベンチマーク設定を採用した結果発生した問題やお気付きの点については、電子メール メッセージを win2k-feedback@cisecurity.org に送信して CIS にお問い合わせください (英語のみ)。

: マイクロソフトが当初この資料を公表した時点 (2004 年 11 月 3 日) から CIS のガイダンスは変更されています。CIS の現在のガイダンスは、マイクロソフトが提供するガイダンスと類似しています。マイクロソフトが提供するガイダンスの詳細については、この資料の「Microsoft Corporation」を参照してください。

米国国立標準技術研究所 (NIST)

NIST は、米国連邦政府向けのセキュリティ ガイダンスの作成を担当しています。NIST で作成されたセキュリティ ガイダンスは次の 4 つのレベルに分かれており、米国連邦政府関連機関、民間団体および公共団体を対象としています。
  • SOHO
  • レガシ
  • エンタープライズ
  • 特殊なセキュリティ制限付き機能
NIST セキュリティ テンプレートを採用した結果発生した問題やお気付きの点については、電子メール メッセージを itsec@nist.gov に送信して NIST にお問い合わせください (英語のみ)。

: マイクロソフトが当初この資料を公表した時点 (2004 年 11 月 3 日) から NIST のガイダンスは変更されています。NIST の現在のガイダンスは、マイクロソフトが提供するガイダンスと類似しています。マイクロソフトが提供するガイダンスの詳細については、この資料の「Microsoft Corporation」を参照してください。

米国国防情報システム局 (DISA)

DISA では、米国国防総省で使用されるガイダンスを特別に作成しています。米国の国防総省関係者は、DISA 構成ガイダンスを実施した結果発生した問題やお気付きの点について、電子メール メッセージを fso_spt@ritchie.disa.mil に送信して DISA にお問い合わせください (英語のみ)。

: マイクロソフトが当初この資料を公表した時点 (2004 年 11 月 3 日) から DISA のガイダンスは変更されています。DISA の現在のガイダンスは、マイクロソフトが提供するガイダンスと類似点や共通点があります。マイクロソフトが提供するガイダンスの詳細については、この資料の「Microsoft Corporation」を参照してください。

米国国家安全保障局 (NSA)

NSA は、米国国防総省におけるリスクの高いコンピュータのセキュリティ強化に役立つガイダンスを作成しました。NSA で作成されたガイダンスは単一のレベルであり、これは他の組織で作成されている "高セキュリティ" レベルとほぼ一致します。

Windows XP 用の NSA セキュリティ ガイドの内容を実践した結果発生した問題やお気付きの点については、電子メール メッセージにフィードバック内容を記入し、XPGuides@nsa.gov に送信してください (英語のみ)。Windows 2000 用のガイドに関する問題やお気付きの点については、電子メール メッセージにフィードバック内容を記入し、w2kguides@nsa.gov に送信してください (英語のみ)。

: マイクロソフトが当初この資料を公表した時点 (2004 年 11 月 3 日) から NSA のガイダンスは変更されています。NSA の現在のガイダンスは、マイクロソフトが提供するガイダンスと類似点や共通点があります。マイクロソフトが提供するガイダンスの詳細については、この資料の「Microsoft Corporation」を参照してください。

セキュリティ ガイダンスに関する問題

この資料で既に説明したように、これらのガイドの一部に記載されている高度なセキュリティ レベルは、システムの機能を大幅に制限することを意図しています。この制限のため、これらのガイドで推奨されている対策を実施する前にシステムを十分にテストする必要があります。

: レガシ、SOHO、またはエンタープライズの各レベルで提供されているセキュリティ ガイダンスに関しては、システムの機能に対する重大な影響はこれまで報告されていません。この資料では主に、最も高度なセキュリティ レベルに関連するガイダンスについて説明しています。

マイクロソフトは、高度なセキュリティが求められる分野を対象としたセキュリティ ガイダンスを提供する業界団体の活動を強力にサポートしており、セキュリティ標準団体と協力して、十分にテストされたセキュリティ強化ガイダンスを今後も作成します。サードパーティによって作成されたセキュリティ ガイドラインは、対象となる高度なセキュリティ環境で十分なテストを実施したうえで発行するように常に厳しく警告されますが、これらの警告が守られているとは限りません。対象となる環境において、あらゆるセキュリティ構成を十分にテストしてください。マイクロソフトが推奨するセキュリティ設定と異なる設定を行うと、オペレーティング システムのテスト手順の一部として実行されるアプリケーション互換性テストの有効性が失われることがあります。また、マイクロソフトおよびサードパーティは、テスト環境ではなく稼働中の運用環境に対して草稿段階のガイダンスを適用しないことを強くお勧めします。

高レベルのセキュリティ ガイドには、実施前に慎重に評価を行う必要のある設定が含まれています。これらの高レベルの設定を使用することにより、さらにセキュリティ上の利点を得ることができる場合がありますが、システムの使い勝手を損なう場合もあります。

ファイル システムおよびレジストリのアクセス制御リスト (ACL) を変更する

Windows Vista、Microsoft Windows XP、および Microsoft Windows Server 2003 ではシステム全体でアクセス許可が大幅に厳しくなっています。そのため、既定のアクセス許可の広範囲な変更は必要ありません。

アクセス制御リスト (ACL) に対してさらに変更を行うと、マイクロソフトによって実施されるほとんどまたはすべてのアプリケーション互換性テストの有効性が失われることがあります。このような変更は、多くの場合、マイクロソフトによる設定を変えた詳細なテストを受けていません。サポートの事例および現場での経験から、ACL を変更するとオペレーティング システムの動作が根本的に変更され、しかも期待どおりに変更されないことが多いことがわかっています。このような変更を行うと、アプリケーションの互換性および安定性に影響が生じ、パフォーマンスおよび可用性の両面で機能が損なわれます。

システムがこのように変更されたため、運用システムのオペレーティング システム上にあるファイルのファイル システム ACL を変更することはお勧めできません。加えようとする ACL の変更が既知の危険性を伴っていないかどうかを確認して、その ACL の変更によって特定の構成で得られる可能性のあるあらゆる利点を理解することをお勧めします。このため、ガイドでは Windows 2000 に対してのみ最小限の ACL 変更を行います。Windows 2000 では、いくつかの小さな変更が必要です。これらの変更については、「Windows 2000 セキュリティ強化ガイド」に記載されています。

レジストリやファイル システム全体にわたるアクセス許可の広範囲な変更は、取り消すことができません。ユーザー プロファイル フォルダなど、オペレーティング システムのインストール直後にはなかった新しいフォルダが変更の影響を受ける可能性があります。このため、ACL を変更するグループ ポリシー設定を削除したり、システムの既定の設定を適用したりしても、ACL の設定を元に戻すことはできません。

%SystemDrive% の ACL を変更すると、以下のような影響が生じる可能性があります。
  • ごみ箱が仕様どおりに機能せず、ファイルを回復できなくなります。
  • セキュリティが低下し、管理者のごみ箱の中身を管理者以外のユーザーが参照できるようになります。
  • ユーザー プロファイルが期待どおりに機能しなくなります。
  • セキュリティが低下し、読み取りアクセス許可を持つ対話ユーザーがシステム上のユーザー プロファイルの一部またはすべてにアクセスできるようになります。
  • グループ ポリシー オブジェクトに ACL の多数の変更が読み込まれるとき、ログオンに要する時間が長くなる、対象のシステムが繰り返し再起動されるなどのパフォーマンスの問題が発生します。
  • およそ 16 時間おきにグループ ポリシー設定が再適用されるたびに、システムの実行速度低下などのパフォーマンスの問題が発生します。
  • アプリケーションの互換性の問題が発生するか、アプリケーションがクラッシュします。
マイクロソフトでは、ファイルおよびレジストリのアクセス許可に関するこのような最悪の結果を避けるために、ユーザーのサポート契約に従って商業的に合理的な範囲でサービスを提供します。ただし、現時点ではこれらの ACL の変更を元に戻す方法はありません。保証できるのは、ユーザーのハード ディスク ドライブを再度フォーマットし、オペレーティング システムを再インストールすることによって、推奨される出荷直後の状態に戻すことができるということだけです。

たとえば、レジストリの ACL を変更すると、レジストリ ハイブの大部分に影響が生じ、多数のシステムが正常に機能しなくなることがあります。1 つのレジストリ キーの ACL のみを変更した場合、多くのシステムに及ぼす影響は小さくなります。ただし、このような変更を行う場合は、事前に十分に検討およびテストを行うことを推奨します。繰り返しますが、保証できるのは、ユーザーのハード ディスク ドライブを再度フォーマットし、オペレーティング システムを再インストールすることによって、推奨される出荷直後の状態に戻すことができるということだけです。

Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う

この設定を有効にすると、サーバー メッセージ ブロック (SMB) 署名の不要なサーバーにアクセスする場合でも、クライアントが SMB トラフィックに署名します。これにより、クライアントでのセッション ハイジャック攻撃の脆弱性が低減されます。これは大きな利点ですが、これに対応するサーバー側の設定 "Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う" または "Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う" を有効にしないと、クライアントはサーバーと正常に通信できません。

"ネットワーク セキュリティ : 次のパスワードの変更で LAN マネージャのハッシュの値を保存しない" ポリシーを有効にする

この設定を有効にすると、新しいパスワードの LAN Manager (LM) ハッシュ値が、パスワードの変更時に保存されなくなります。LM ハッシュは攻撃に比較的弱く、より強力な暗号化を行う Windows NT ハッシュより攻撃を受けやすい傾向があります。この設定によって一般的なパスワード解読ユーティリティからの攻撃が防止され、システムのセキュリティが強化されますが、一部のアプリケーションが正常に起動または動作しなくなる場合があります。

"システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う" ポリシーを有効にする

この設定を有効にすると、インターネット インフォメーション サービス (IIS) および Microsoft Internet Explorer で TLS (Transport Layer Security) 1.0 プロトコルのみが使用されます。IIS を実行しているサーバーでこの設定を有効にすると、TLS 1.0 をサポートする Web ブラウザのみが接続できます。Web クライアントでこの設定を有効にすると、このクライアントは TLS 1.0 プロトコルをサポートするサーバーにのみ接続できます。この要件は、クライアントが SSL (Secure Sockets Layer) を使用する Web サイトにアクセスする機能に影響することがあります。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
811834 [PRB] FIPS 準拠暗号化を有効にした後 SSL サイトにアクセスできない

また、ターミナル サービスを実行しているサーバーでこの設定を有効にすると、クライアントからこのサーバーに接続するときに RDP クライアント 5.2 以降が強制的に使用されます。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
811833Windows XP 以降のバージョンでセキュリティ設定 [システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] を有効にした場合の影響

自動更新サービスまたはバックグラウンド インテリジェント転送サービス (BITS) を無効にする

マイクロソフトのセキュリティ戦略の中心の 1 つは、システムを最新の状態に保つことです。この戦略にとって重要なコンポーネントは自動更新サービスです。Windows Update サービスおよび Software Update サービスはどちらも自動更新サービスを使用しています。自動更新サービスは、バックグラウンド インテリジェント転送サービス (BITS) に依存しています。これらのサービスが無効になっていると、Windows Update サイト、Software Update サービス (SUS)、または Microsoft Systems Management Server (SMS) の一部のインストールから自動更新サービスを使用して更新プログラムを受信できなくなります。これらのサービスを無効にできるのは、BITS に依存せずに更新プログラムを効率的に配布できるように構築されたシステムのみです。

NetLogon サービスを無効にする

NetLogon サービスを無効にすると、ワークステーションはドメインのメンバとして安定して機能しなくなります。この設定は、ドメインに参加していない一部のコンピュータで有用ですが、適用前に影響を慎重に評価する必要があります。

NoNameReleaseOnDemand レジストリ値を有効にする

この設定を有効にすると、サーバーの NetBIOS 名がネットワーク上の他のコンピュータと重複している場合でも、その NetBIOS 名が解放されません。この設定は、ネーム サーバーなどの重要な役割を実行しているサーバーに対するサービス拒否攻撃の手段を防止するのに有用です。

ワークステーションでこの設定を有効にすると、ワークステーションの NetBIOS 名がより重要なシステム (ドメイン コントローラなど) の NetBIOS 名と重複している場合に、ワークステーションの名前が解放されなくなります。これにより、ドメインの重要な機能が無効になる場合があります。マイクロソフトは、高度なセキュリティが求められる分野を対象としたセキュリティ ガイダンスを提供する業界団体の活動を強力にサポートします。ただし、このガイダンスは、対象となる環境で十分にテストする必要があります。既定のセキュリティ設定をさらに強化する必要のあるシステム管理者には、所属する組織におけるセキュリティ要件の出発点として、マイクロソフトが発行するガイドを使用することを強く推奨します。サードパーティのガイダンスに関するサポートまたは質問については、ガイダンスを発行した団体にお問い合わせください。
関連情報
セキュリティ設定の詳細については、「脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定」を参照してください。このガイドをダウンロードするには、次のマイクロソフト Web サイトを参照してください。重要なセキュリティ設定を追加したことによる影響の関連情報については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
823659セキュリティ設定およびユーザー権利の割り当てを変更すると、クライアント、サービス、およびプログラムの互換性がなくなる
FIPS 準拠暗号化アルゴリズムを要求することによる影響の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
811833Windows XP 以降のバージョンでセキュリティ設定 [システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] を有効にした場合の影響
他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。サードパーティのソフトウェア ベンダへの問い合わせ方法を参照するには、以下のうち該当する「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
65416 ハードウェア関連およびソフトウェア関連のサードパーティ ベンダの問い合わせ先一覧 (A ~ K) (英語)

60781 ハードウェア関連およびソフトウェア関連のサードパーティ ベンダの問い合わせ先一覧 (L ~ P) (英語)

60782 ハードウェア関連およびソフトウェア関連のサードパーティ ベンダの問い合わせ先一覧 (Q ~ Z) (英語)
プロパティ

文書番号:885409 - 最終更新日: 05/16/2011 07:16:00 - リビジョン: 3.0

Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Ultimate, Windows Vista Business, Windows Vista Enterprise, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows XP Professional, Microsoft Windows XP Tablet PC Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional, Microsoft Windows 2000 Advanced Server

  • kbsectools kbhowto kbsecurity KB885409
フィードバック