概要
SIerだと業務ではWindowsが使われていて、LinuxサーバではなくWindowsサーバを立てる場合があります。Windows Serverは様々な機能があるので、余計なサービスを止めたり、ポリシーをきちんと設定しないとセキュリティを保てません。そこでWindows Serverのセキュリティ対策を行います。
環境
Windosw Server2012R2(AWS)
参考
この記事では紹介しませんが次のようなものもあります。
https://i-think-it.net/windows2012r2-setup-13/
手順
サービス停止
コントロール パネル\システムとセキュリティ\管理ツール\サービス を開きます。該当するサービスを停止します。
DNS Client
停止して手動にします。
Print Spooler
プリンタにつながってないので不要です。停止して無効にします。
Shell Hardware Detection
USBメモリ、デジタルカメラの画像保存やCD/DVD挿入時のプログラム実行など行わないので不要です。停止して無効にします
Windows Image Acquition
あれば停止して無効にします。
グループポリシー
コントロール パネル\システムとセキュリティ\管理ツール\ローカル セキュリティポリシー から設定します。
[アカウントポリシー]-[パスワードのポリシー]
- パスワードの長さ → 8文字以上
- パスワードの有効期間 → 42日間
- パスワードの履歴を記録する → 3回
- 複雑さの要件を満たすパスワード → 有効
[アカウントポリシー]-[アカウントロックアウトのポリシー]
- アカウントロックアウトのしきい値 → 5回
- ロックアウトカウンターのリセット期間 → 30分
- ロックアウト期間 → 30分
[ローカルポリシー]-[セキュリティオプション]
- アカウント:Administratorアカウントの状態 → 無効
- ネットワークセキュリティ:LAN Manager認証レベル → NTLMv2応答のみを送信(LMとNTLMを拒否する)
- 対話型ログオン:Ctrl+Alt+Delを必要としない → 無効
- 対話型ログオン:最後のユーザー名を表示しない → 有効
- ネットワークアクセス:リモートからアクセスできるレジストリのパス → レジストリを削除する
- ネットワークアクセス:リモートからアクセスできるレジストリのパスおよびサブパス → レジストリを削除する
- ネットワークアクセス:匿名でアクセスできる共有 → 未定義
- DCOM:セキュリティ記述子定義言語(SDDL)構文でのコンピューターアクセス制限 → 未定義
- DCOM:セキュリティ記述子定義言語(SDDL)構文でのコンピューター起動制限 → 未定義
- 監査:監査ポリシーサブカテゴリーの設定 → 有効
ユーザーアカウント
[スタート]+Rを押して、[ファイル名を指定して実行]の検索窓に"netplwiz"を入力し検索。ユーザーアカウント設定画面にある、[ユーザーがこのコンピュータを使うには、ユーザー名とパスワードの入力が必要]のチェックボックスをONにする。
ファイル共有の無効化
コントロール パネル\ネットワークとインターネット\ネットワークと共有センターからローカルエリア接続などを選択し、[Micorosoftネットワーク用ファイルとプリンター共有]のチェックを外す。
SMB1.0無効化
サーバーマネージャーの[管理]メニューから[役割と機能の削除]をクリックし、[役割と機能の削除ウィザード]-[機能]にて「SMB 1.0/CIFS ファイル共有のサポート」のチェックを外す。