はじめに
私はどちらかというとLinuxをよく利用しているのですが、SoftLayer上でWindowsを利用されている方に、どうやってWindowsを保護すればよいのかを聞かれることもよくあります。
ググれば一杯出てきそうなものですが、典型的なものをまとめておくのは有用であろうと考えたため、今回自分がWindows環境を利用している際のセキュリティー設定を幾つかまとめて行きたいと思います。
あと、ハードニング以前の問題ですが、パスワードを簡易なものとかに変更するなんて論外ですからね!? インターネット上に晒されているということを常に意識して運用しましょう。
1. SoftLayerのHardware firewallを購入する。
SoftLayerには、Standard Hardware firewall(1台のサーバーだけ保護。ただし、Portable IPは保護不可)と、Dedicated Hardware firewall(VLANレベルで保護)の2つがあります。もし可能であれば、このHardware firewallの配下にサーバーを配置しましょう。特にRemote Desktopは既知のポートなので、攻撃の的になります。できたらPrivate側からのみ通信を許可するようにして、Public側からは通信しないように防御した方が良いと思います。他にもVyattaやFortigate Security Applianceを利用する方法もありますが、どちらも有料です。予算があまりない環境でちょっとした環境を作りたいだけであれば、OSレベルでのfirewall設定をしっかり実施しましょう(この後紹介)
2. IISのRoleを外す or 停止する
SoftLayerのWindowsでは、IISが自動起動されて80番でWebサーバーが公開されているようです。使う予定がないのであれば、IISのRoleを削除するか停止(自動起動も停止)しましょう。
ちなみに、ログインする度にServer Managerが自動起動してくると鬱陶しいので、私はこのタイミングでServer Managerを自動起動しないようにしています。
(a) IISを削除する(Roleを外す)
(b) Server Managerを自動起動しないようにする
(参考)
Windows Serverへのログオン時にサーバーマネージャーを自動起動させないようにする
http://www.atmarkit.co.jp/ait/articles/1501/16/news085.html
3. ライセンス認証を確認しWindows Updateを実施する
ライセンスが正しく登録されて、Windows Updateが利用可能な状況であることを確認します。
- Control Panel -> System and Security -> System
ライセンス認証が登録されていなかったり、Windows Updateに失敗する他によくあるケースは以下のとおりです。
- private側のインターフェースが落ちていた(WSUSはPrivate側にあります)。
- Vyatta gateway applianceと組み合わせており、vyattaでPrivate側の通信が遮断されていた。
- OSの時間が正確な時刻と大きくずれていた。
- McAfeeがWindows Updateをブロックしてしまっていた。 McAfeeを一時的に停止するためには、Start画面からVirusScan Consoleを開き、Access Protectionを一時的にDisabledに変更します。
(参考)https://support.microsoft.com/ja-jp/kb/968003/ja
エラー 0x80070005 が Windows Update で更新プログラムをインストールしようとすると表示される