ネットワーク構築マニュアルTOPへ
     
お金をかけずないでセキュリティ対策は出来ないの?
お金をかけずないでセキュリティ対策は出来ないの?
 

セキュリティ対策をする上ではある程度の投資は必要です。しかし情報システムに限ればOSの標準機能+運用で回避をすることも可能です。

Windowsの標準機能を利用したセキュリティ対策

 Windows2000Professinal Windows XP professinalでは個々のパソコンでポリシー設定といいセキュリティの設定を行うことができます。

 以下はWindows XP professional を用いた各セキュリティ対策の項目を設定する方法になります。
  
  パスワード設定
      パスワードの長さの設定
      パスワードの有効期間
      パスワードの履歴管理
      パスワードの変更禁止期間
      複雑なパスワードの強制
      ログオン失敗回数の設定
   スクリーンセーバ設定
   監査ポリシー設定
   ファイルの暗号化
   アクセス権設定   
   WindowsOS標準のバックアップユーティリティーの利用

パスワード設定


(1)画面左下『スタート』ボタンをクリックし、『ファイル名を指定して実行』を選択します。

 


(2)『名前』ボックスに『Gpedit.msc』と入力し、『OK』ボタンをクリックします。


(3)『グループポリシーエディタ』ウィンドウが開きます。目的のポリシー設定を含むフォルダを表示します。ポリシー項目は、グループポリシーエディタスナップインの右側のウィンドウに表示されます。


(4)パスワードのポリシーを設定するには、『コンピュータの構成』−『Windowsの設定』−『セキュリティの設定』−『アカウントポリシー』―『パスワードのポリシー』を展開します。右側のウィンドウより設定したいポリシーを選択して、ダブルクリックします。


(5)選択したポリシーのプロパティウィンドウが開きます。値を入力して『OK』ボタンをクリックします。下記の表は、パスワードのポリシーについて説明します。

内容

設定

パスワードの長さ

ユーザー アカウントのパスワードに使用できる最小文字数を決定します。1 〜 14 文字に設定するか、文字数を 0 に設定してパスワードを不要にします。

パスワードの

変更禁止期間

パスワードを変更できるようになるまでの期間 (日数) を決定します。この期間内は、同じパスワードを使わなければなりません。1 から 999 までの日数を指定するか、または日数を 0 に設定してすぐに変更できるようにします。

パスワードの

有効期間

パスワードを使用できる期間 (日数) を決定します。この期間を過ぎると、システムから変更するよう要求されます。有効期間として 1 から 999 までの日数を指定するか、日数を 0 に設定してパスワードの有効期限が切れないように指定します。

パスワードの

履歴を記録する

以前使ったことがあるパスワードをもう一度使用できるようになるまでに、ユーザー アカウントに関連付ける必要がある一意の新しいパスワードの数を決定します。0 から 24 までの値を指定してください。

パスワードは要求する

複雑さを満たす

パスワードが要求する複雑さを満たす必要があるかどうかを決定します。

有効な場合、パスワードは次の最小要件を満たす必要があります。

・ユーザーのアカウント名の全部または一部を使用しない。

・長さは 6 文字以上にする。

・次の 4 つのカテゴリのうち 3 つから文字を使う。

英大文字 (A 〜 Z) / 英小文字 (a 〜 z)

10 進数の数字 (0 〜 9) / 英数字以外の文字 (!、$、#、% など)

暗号化を元に戻せる状態

でドメインのすべての

ユーザーのパスワードを

保存する

Windows 2000 Server、Windows 2000 Professional、Windows XP Professional で暗号化を元に戻せる状態でパスワードを保存するかどうかを決定します。


(6)アカウントロックアウトのポリシーを設定するには、『コンピュータの構成』−『Windowsの設定』−『セキュリティの設定』−『アカウントポリシー』―『アカウントロックアウトのポリシー』を展開します。右側のウィンドウより設定したいポリシーを選択して、ダブルクリックします。


(7)選択したポリシーのプロパティウィンドウが開きます。値を入力して『OK』ボタンをクリックします。下記の表は、アカウントロックアウトのポリシーについて説明します。

内容

説明

アカウントのロックアウトのしきい値

ユーザー アカウントがロックアウトされる原因となるログオン失敗回数を決定します。ロックアウトされたアカウントは、管理者がリセットするか、そのアカウントのロックアウト期間が過ぎるまで使用できません。ログオンを失敗できる回数として 1 〜 999 の値を設定するか、0 を設定してアカウントがロックアウトされないように指定します。

ロックアウト カウントの

リセット

ログオン失敗後、ログオン失敗のカウンタが 0 にリセットされるまでに必要な時間を分単位で指定します。設定できる時間は、1 〜 99999 分です。

ロックアウト期間

ロックアウトされたアカウントが自動的にロック解除されるまでのロックアウト期間を分単位で指定します。設定できる期間は、1 から 99999 分までです。管理者が明示的にロック解除するまでアカウントがロックされるように指定するには、値を 0 に設定します。


(8)監査ポリシーを設定するには、『コンピュータの構成』−『Windowsの設定』−『セキュリティの設定』−『ローカルポリシー』―『監査ポリシー』を展開します。
右側のウィンドウより設定したいポリシーを選択して、ダブルクリックします。


(9)選択したポリシーのプロパティウィンドウが開きます。『成功』と『失敗』のチェック ボックスを選択して『OK』ボタンをクリックします。下記の表は、監査ポリシーについて説明します。

内容

設定

アカウント ログオン イベントの監査

アカウントを検証するためにこのコンピュータが使用される別のコンピュータにログオンまたはログオフするユーザーの各インスタンスを監査するかどうかを決定します。

アカウント管理の監査

コンピュータでのアカウント管理の各イベントを監査するかどうかを決定します。アカウント管理イベントには次のものがあります。

・ユーザー アカウント、またはユーザー グループが作成、変更、削除

された。

・ユーザー アカウントの名前が変更された。ユーザー アカウントが

無効、または有効になった。

・パスワードが設定、または変更された。

オブジェクト アクセスの監査

独自のシステム アクセス制御リスト (SACL) が指定されているオブジェクト (ファイル、フォルダ、レジストリ キー、プリンタなど) にアクセスするユーザーのイベントを監査するかどうかを決定します。

システム イベントの監査

コンピュータの再起動またはシャットダウン時や、システム セキュリティまたはセキュリティ ログに影響するイベントの発生時に監査を行うかどうかを決定します。

ディレクトリ サービスのアクセスの監査

独自のシステム アクセス制御リスト (SACL) が指定されている Active Directory オブジェクトにアクセスするユーザーのイベントを監査するかどうかを決定します。

プロセス追跡の監査

プログラムのアクティブ化、プロセスの終了、ハンドルの重複、間接的なオブジェクト アクセスなどのイベントについての詳細な追跡情報を監査するかどうかを決定します。

ポリシーの変更の監査

ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーに対するすべての変更を監査するかどうかを決定します。

ログオン イベントの監査

このコンピュータに対するユーザーのログオン、ログオフ、ネットワーク接続の作成の各インスタンスを監査するかどうかを決定します。

特権使用の監査

ユーザー権利を使用するユーザーの各インスタンスを監査するかどうかを決定します。

スクリーンセーバ


(1)スクリーンセーバを設定するには、『ユーザーの構成』−『管理用テンプレート』−『コントロールパネル』−『画面』を展開します。右側のウィンドウより設定したい設定項目を選択して、ダブルクリックします。


(2)選択した設定項目のプロパティウィンドウが開きます。有効にしたい項目を選択して『OK』ボタンをクリックします。下記の表は、スクリーンセーバーについて説明します。

内容

設定

スクリーンセーバーを

使用する

デスクトップのスクリーン セーバーを有効にします。この設定を無効にした場合、スクリーン セーバーは実行されません。また、コントロール パネルの [画面] アプレットの [スクリーン セーバー] タブにある [スクリーン セーバー] 項目は利用できなくなります。

この結果、ユーザーはスクリーン セーバーのオプションを変更できなくなります。

スクリーンセーバーの

実行可能ファイル名

ユーザーのデスクトップに使用されるスクリーン セーバーを指定します。

この設定を有効にした場合、指定されたスクリーン セーバーがユーザーのデスクトップに表示されます。また、コントロール パネルの [画面] アプレットの [スクリーン セーバー] タブにあるスクリーン セーバーのドロップダウン リストは利用できなくなります。

この設定を無効にした場合、または構成しなかった場合は、ユーザーは好みのスクリーン セーバーを選択することができます。

スクリーンセーバー

パスワードで保護する

コンピュータがパスワードで保護されているときにスクリーン セーバーを使うかどうかを決定します。

この設定を有効にした場合、スクリーン セーバーはすべてパスワード保護されます。この設定を無効にした場合、スクリーン セーバーにパスワード保護を設定できません。

この設定は、コントロール パネルの [画面] アプレットの [スクリーン セーバー] タブにある [パスワードによる保護] チェックボックスも無効にします。

この設定を構成しなかった場合は、スクリーン セーバーにパスワード保護を使うかどうかをユーザーが決定できます。

スクリーンセーバーの

タイムアウト

コンピュータがアイドル状態になってからスクリーン セーバーが起動されるまでの時間を指定します。

アイドル時間が構成されている場合は、1 秒から 86400 秒 (24 時間) の間の数値を指定できます。値を 0 に設定した場合は、スクリーン セーバーは起動されません。

この設定は次のような状況では何も影響しません:

- 設定が無効になっているか、構成されていない

- 待ち時間が 0 に設定されている

- [スクリーン セーバーなし] 設定が有効になっている

−[スクリーン セーバーの実行可能ファイル名] 設定、およびクライ

アント コンピュータにある [画面のプロパティ] の [スクリーン

セーバー] タブで、クライアント上にある有効なスクリーン

セーバー プログラムの名前が指定されていない。

この設定を構成しなかった場合は、クライアント コンピュータの [画面のプロパティ] の [スクリーン セーバー] タブで指定された待ち時間が使用されます。