Windows Server 2003では、マイクロソフトより「Windows Server 2003 セキュリティ ガイド」が提供されていましたのでそれを元にセキュリティ対策を行っていました。
Windows Server 2003 セキュリティ ガイド
https://technet.microsoft.com/ja-jp/library/cc163140.aspx
このセキュリティガイドには次のものが入っています
- ガイドドキュメント
- セキュリティテンプレート
通常、このガイドドキュメントに添付されているセキュリティテンプレートをベースとして、企業でカスタマイズを行いGPOにインポートを行ってセキュリティ環境を構築するという流れでした。
- では、Windows Server 2008ではどうなっているのか?
Windows Server 2008 セキュリティ ガイド
http://technet.microsoft.com/ja-jp/security/ff708743
Windows Server 2008 セキュリティ ガイドは提供されていますが、セキュリティテンプレートは配布されていません。ではどのようにセキュリティ構成を行うのか?
実はそもそもWindows Server 2008 は初期導入時点でセキュアな状態になっています。それは、必要な役割や機能は自分でインストールをする仕組みになっていることに起因します。
ですので、企業としてのセキュリティ対策をデフォルト状態よりさらに踏み込んで行う際の手引きが Windows Server 2008 セキュリティ ガイドに記載されています。
このガイドに記載されている内容の設定を自分で作る必要があるのか?
実はあるツールを使用することによって、マイクロソフト推奨設定のGPOを作成することができます。
Microsoft Security Compliance Manager
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=5534bee1-3cad-4bf0-b92b-a8e545573a3e&displaylang=en
そのツールが Microsoft Security Compliance Manager になります。ただし英語です。
このツールを使用することによって、マイクロソフト推奨設定の定義ファイルをダウンロードできます。
このファイルをインポートし、カスタマイズすることが可能です。
そこでの問題点としては、英語ということ。
無事カスタマイズが完了したら、GPO Backup 形式を作成できるので、GPMCよりインポートすることが可能になります。
ですので、マイクロソフト推奨設定を自分の企業に適応したいということであれば、簡単に作成することが可能です。
このツールの最大のメリットは・・・・設定内容をエクセルシートに吐き出すことができることでしょうか?SIerの方はお客様に対してセキュリティ対策を行うと思われますが、その設定内容をエビデンスとして提出しなくてはいけないということがあろうかと思われます。それがこのツールを使用すれば自動で作成してくれるのです。
が・・・・英語なんです。残念・・・
このツールの日本語版ができれば、日本のSEのみなさんに感謝されるのではないでしょうかね~
ではマイクロソフト推奨設定は意識せずに、自分の企業にあったセキュアな環境を作成したい場合はどうするか?
これはSCW(セキュリティの構成ウィザード)を使用することになります。ベースとなるサーバー上でSCWを実行して、それをGPOに変換することによって企業内のサーバーセキュリティ対策を行うことができます。