|
|
Windows NTのデフォルトでは、システム関連フォルダにEveryoneの書き込みが許可されているなど、セキュリティ上好ましくない点があります。
高度なセキュリティが要求される環境では、以下のフォルダに対してインストール後にセキュリティ設定を施す必要があります。
| ディレクトリ | アクセス権 |
| \WINNT およびその全てのサブディレクトリ | Administrators: Full Control CREATOR OWNER: Full Control Everyone: Read SYSTEM: Full Control |
上記アクセス権の設定後、WINNTツリー内のフォルダに対して次の設定を行います。
| ディレクトリ | アクセス権 |
| \WINNT\REPAIR | Administrators: Full Control |
| \WINNT\SYSTEM32\CONFIG | Administrators: Full Control CREATOR OWNER: Full Control Everyone: List SYSTEM: Full Control |
| \WINNT\SYSTEM32\SPOOL | Administrators: Full Control CREATOR OWNER: Full Control Everyone: Read Power Users: Change SYSTEM: Full Control |
| \WINNT\COOKIES \WINNT\FORMS \WINNT\HISTORY \WINNT\OCCACHE \WINNT\PROFILES \WINNT\SENDTO \WINNT\Temporary Internet Files |
Administrators: Full Control CREATOR OWNER: Full Control Everyone: Special Directory Access - Read, Write and Execute, Special File Access - None System : Full Control |
C2レベルのセキュリティを満たすためには、以下のファイルアクセス権の設定も必要です。
| ファイル | アクセス権 |
| \Boot.ini \Ntdetect.com \Ntldr |
Administrators: Full Control SYSTEM: Full Control |
| \Autoexec.bat \Config.sys |
Everybody: Read Administrators: Full Control SYSTEM: Full Control |
| \TEMP ディレクトリ | Administrators: Full Control SYSTEM: Full Control CREATOR OWNER: Full Control Everyone: Special Directory Access - Read, Write and Execute, Special File Access - None |
CACLSまたはエクスプローラーなどのACLエディタを用いて設定を行います。
「ファイルシステム」で必要なフォルダ、ファイルのアクセス権を設定します。
SCMに標準で含まれるテンプレートを利用し、ファイルシステムに関する設定のみ行いたい場合には、Scedit.exe の FILESTORE オプションを用ます。
RISCシステムにおいてブートパーティションの保護を行いたい場合には、「システムパーティションの保護(RISC) 」を参照してください。