5.1 OSのセキュア化
前のページへ
次のページへ

5.1.2 セキュア化のための設定

システムをさまざまな脅威から保護するには、システムの設定をセキュアに変更したり、セキュリティ対策機能を追加したりするなどの作業が必要になる。このようなセキュア化を実施しないと、「3.2.3 セキュリティ脅威の洗い出しと評価」で解説したようなセキュリティ脅威にさらされることになる。

このような脅威からシステムを保護するために行う作業を、本モデルでは「セキュア化」と呼び、次のような作業を行いシステムのセキュア化を実施する。

Windows 2000のセキュア化の参考資料として、本コンテンツ以外にも、Microsoft社から「Windows 2000 Server ベースライン セキュリティ チェックリスト」が公開されている。

 参考資料
  Microsoft TechNet
  「Windows 2000 Server ベースライン セキュリティ チェックリスト」:
   http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/w2ksvrcl.asp

1) アクセス権の適用

インストールした直後のWindows 2000は、各ドライブのルートディレクトリに「Everyone:フルコントロール」のアクセス権が与えられている。これは、アクセスするユーザやグループに関係なく、ローカルディスクのファイル操作が可能になってしまう。このようなデフォルトの設定状態のままであったり、不適切な設定を与えてしまうと、「4.1.2 セキュア化のための設定」のコラムで解説したような攻撃により、Webページの改ざんなどの被害が発生してしまう可能性がある。

上記のような被害を防止するためにも、必要最低限のアクセス権限のみを各ディレクトリに与えるように設定する。本モデルにおける適切なアクセス権は、Table 5.1に示すものとする。

Table 5.1 ユーザとアクセス権限

ユーザ アクセス権 ユーザ解説
Administrators フルコントロール ビルトインローカルグループ。そのシステム上に存在するすべての権限が与えられているグループ。
SYSTEM フルコントロール ビルトイン特殊グループ。OSの機能そのものを制御するためのグループ。
Authenticated Users 読み取りと実行 ビルトイン特殊グループ。ドメイン、もしくはローカルシステムにおいて認証された全てのユーザが含まれるグループ(Guestと匿名ユーザは含まない)。
フォルダの内容の一覧表示
読み取り

アクセス権の適用に関する設定方法は、ア)からウ)で実施する。ここでは、Cドライブの設定方法を解説する(Dドライブも同様に設定する)。

ア) ユーザの追加

「マイコンピュータ」内の、システムが格納されているCドライブのプロパティを開く。「セキュリティタブ」をクリックすると、アクセス権限の対象ユーザとそのアクセス許可を設定するダイアログボックスが表示される。そのダイアログボックスの「追加」ボタンをクリックして、「Everyone」ユーザを削除後、本モデルにおける設定対象ユーザを追加する(Table 5.1参照)。この設定後のダイアログボックスは、Fig. 5.7のようになる。

Fig. 5.7 Cドライブのプロパティ画面(ユーザ設定後)

イ) アクセス権の追加と変更

追加した各ユーザに対して、アクセス権を設定する。設定方法は、「ローカル ディスク(C:)のプロパティ」ダイアログボックス下段の「詳細」ボタンをクリック後、Fig. 5.8が表示されるので、設定したいユーザをアクティブにし、「表示/編集」ボタンをクリックする。

Fig. 5.8 アクセス制御の設定ダイアログボックス

「SYSTEM(C:)のアクセス制御のエントリ」ダイアログボックスが表示されるので、「適用先」プルダウンメニューから「このフォルダとファイル」を選択し、ダイアログボックス下段の「これらのアクセス許可を、このコンテナの中にあるオブジェクトやコンテナにのみ適用する」のチェックボックスをチェックし(Fig. 5.9)、その後、Table 5.1にしたがい、各設定を行う。

Fig. 5.9 アクセス制御のエントリ画面

この設定を有効化することで、Cドライブの下にフォルダを新規作成しても「Authenticated Users」にはアクセス権が与えられない設定になる。つまり、管理者が各フォルダにアクセス権を明示的に与えない限り、管理者とシステムしか各フォルダにはアクセスできない状態になる。

ウ) ゴミ箱のアクセス権変更

上記の「イ) アクセス権の追加と変更」設定のままだと、管理者以外のユーザがゴミ箱を使用できない状態なので、以下の手順で使用できるように設定する。

「マイコンピュータ」内の各ドライブを開き、RECYCLERフォルダのプロパティを開く。「セキュリティタブ」をクリックし、ダイアログボックス下段の「継承可能なアクセス権を親からこのオブジェクトに継承できるようにする」のチェックをはずす。以下のダイアログボックスが表示されるので、「コピー」をクリックする。

Fig. 5.10 継承可能なアクセス権の設定

ダイアログボックスには、上段にアクセス権が与えられているユーザ名(またはグループ名)、下段にアクセス権の種類が表示されており、「追加」ボタンをクリックし、「ユーザー、コンピュータ、またはグループの選択」ダイアログを表示する。一覧から「Authenticated Users」を選択し「追加」ボタンをクリックし、「Authenticated Users」ユーザに「変更」のアクセス権を許可する(Fig. 5.11)。

Fig. 5.11 RECYCLERフォルダの設定画面

2) セキュリティポリシーの設定

Windows 2000には、システムのセキュリティポリシーを設定するために「セキュリティ構成ツール」が用意されている。しかしながら、多くのセキュリティポリシーの設定が無効であるので、このままの状態ではセキュリティの意味をなさない。そこでここでは、本モデルで必要なポリシーを有効にする設定を行う。 セキュリティポリシーの設定方法は、ア)からウ)で実施する。

ア) セキュリティ構成ツールの起動方法

「コントロールパネル」から「管理ツール」を開き、「ローカルセキュリティポリシー」を開く。左ペインに項目名がツリー構造で表示され、右ペインに各項目の設定内容と現在の設定内容が表示される。

Fig. 5.12 ローカルセキュリティポリシーの設定画面

本モデルでは、以下のポリシーを設定する。

イ) アカウントポリシーの設定

アカウントポリシーの設定は、以下に記したTable 5.2、5.3の値にしたがい設定する。各Tableには設定する項目のみ記述している(「-」は、デフォルトのままとする)。

Table 5.2 パスワードのポリシー設定項目

項目名 設定可能値 設定値
パスワードの長さ 0〜14文字 8以上
パスワードの有効期限 0(無期限)〜999日 -
パスワードの履歴を記録する 0(記録しない)〜24パスワード -
パスワードは要求する複雑さを満たす 有効、無効 有効
暗号化を元に戻せる状態でドメインの全てのユーザーのパスワードを保存する 有効、無効 無効

Table 5.3 アカウントロックのポリシー(注1)

項目名 設定可能値 設定値
アカウントロックアウトのしきい値 0(ロックアウトしない)〜999回 -
ロックアウトカウンタのリセット 1〜99999分 -
ロックアウト期間 0(管理者が解除するまでロックする)〜99999分 -

  (注1) アカウントロックのポリシーは管理者アカウントには適用されない。  

ウ) ローカルポリシーの設定

ローカルポリシーの設定は、以下に記したTable 5.4、5.5の値にしたがい設定する。各Tableには設定する項目のみ記述している(「-」は、デフォルトのままとする)。

Table 5.4 監査ポリシー

項目名 設定可能値 設定値
アカウント ログオン イベントの監査 成功、失敗 失敗
監査しない
アカウント管理の監査 成功、失敗 監査しない
監査しない
オブジェクト アクセスの監査 成功、失敗 失敗
監査しない
システム イベントの監査 成功、失敗 失敗
監査しない
ディレクトリ サービスのアクセスの監査 成功、失敗 監査しない
監査しない
プロセス追跡の監査 成功、失敗 監査しない
監査しない
ポリシーの変更の監査 成功、失敗 失敗
監査しない
ログオン イベントの監査 成功、失敗 失敗
監査しない
特権使用の監査 成功、失敗 失敗
監査しない

Table 5.5 セキュリティオプション

項目名 設定可能値 設定値
Administrator アカウント名の変更 任意 任意の推測されないユーザー名に変更
CD-ROM へのアクセスを、ローカル ログオン ユーザーだけに制限する 有効、無効 有効
Guest アカウント名の変更 任意 任意の推測されないユーザー名に変更
LAN Manager 認証レベル NTLM応答のみ送信 NTLMv2応答のみ送信 LMを拒否
NTLMv2応答のみ送信 -
NTLMv2応答のみ送信 LMを拒否 -
NTLMv2応答のみ送信 LMとNTLMを拒否 -
システムのシャットダウン時に仮想メモリのページ ファイルをクリアする 有効、無効 有効
セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする 有効、無効 無効
ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 0(ログオンをキャッシュしない)〜50ログオン 0 ログオン
フロッピーへのアクセスを、ローカル ログオン ユーザーだけに制限する 有効、無効 有効
ログオン画面に最後のユーザー名を表示しない 有効、無効 有効
ログオン時のユーザーへのメッセージのタイトル 任意の文字列 システムの使用者に注意を促すタイトルを入力
ログオン時のユーザーへのメッセージのテキスト 任意の文字列 システムの使用者に注意を促す内容(システムに不正にアクセスした場合は責任を問われる、使用者のシステム上での操作は記録されている事など)
署名されていないドライバのインストール時の動作 警告なしで許可する インストールを許可しない
警告するがインストールは許可する
インストールを許可しない
署名されていないドライバ以外のインストール時の動作 警告なしで許可する 警告するがインストールは許可する
警告するがインストールは許可する
インストールを許可しない
匿名接続の追加を制限する なし 明示的な匿名アクセス権が無い場合アクセスを許可しない
SAMのアカウントと共有の列挙を許可しない
明示的な匿名アクセス権が無い場合アクセスを許可しない

3) 管理共有の削除

Windows 2000では、ネットワークを介したリモート管理やメンテナンス用に管理共有と呼ばれるネットワーク共有が存在する。これらへのアクセスには管理者権限が必要であるが、管理者共有が存在すると、攻撃者にこれを利用してシステムに侵入されてしまう危険性があるので、本モデルでは管理共有を削除する。管理共有の削除は、ア)からウ)で実施する。

ア) 管理共有の確認

コマンドプロンプトからnetコマンドを使用して、管理共有を確認する(Fig. 5.13)。

Fig. 5.13 管理者共有の確認

各ドライブレターに「$」の付いた共有と「ADMIN$」、「IPC$」がデフォルトで作成される管理共有である。

イ) 管理共有の削除

この管理共有を削除するには、レジストリの編集が必要となる。レジストリの編集は、レジストリエディタを使用する。「スタートメニュー」から「ファイル名を指定して実行」を選択し、表示されるダイアログに「regedit」と入力することで、レジストリエディタを起動する。

レジストリのハイブをたどり、 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters下にDWORD値で「AutoShareServer」というレジストリ値を作成し値を「0」に設定する。Fig. 5.14が、この設定を行なった状態である。

Fig. 5.14 レジストリ設定画面

レジストリの設定を有効にするには、システムを再起動する必要があるので、設定後システムを手動で再起動する。

ウ) 管理共有の削除の確認

OSが再起動した後で、コマンドプロンプトから再びnetコマンドを使用して、管理共有が削除されていることを確認する(Fig. 5.15)。

Fig. 5.15 設定の確認

Fig. 5.15では、「IPC$」以外の管理共有が全て削除されている。「IPC$」はプロセス間通信用の管理共有で削除することはできない。

4) NetBIOSの無効化

NetBIOS(Network Basic Input/Output System)は小規模ネットワークの基本的な入出力システムとして開発され、Microsoft Network(Microsoft社の独自LAN規格)で活用されてきたプロトコルである。Windows 2000でもNetBIOSは使用可能であるが、用途が下位互換であるため、現在ではあまり使用されてない。また、本モデルで構築するWindows 2000では、ネットワークへの接続はTCP/IPのみとするので、NetBIOSを削除する。NetBIOSの無効化は、ア)とイ)で実施する。

ア) Microsoftファイル共有の停止

「スタートメニュー」->「設定」-> 「ネットワークとダイヤルアップ接続」を開き、「ネットワークとダイヤルアップ接続」画面を表示する。その画面にある「ローカル エリア接続」のプロパティを表示する。

プロパティ画面中段のコンポーネントのチェックリスト中で、以下の項目のチェックを外し、Microsoftファイル共有の停止を実施する(Fig. 5.16)。

Fig. 5.16 Microsoftファイル共有の停止

イ) ダイレクトホストの停止

TCP/445とUDP/445を利用したSMB通信を無効化する。これによりTCP/445とUDP/445のLISTEN Portが削除される。

「マイコンピュータ」のプロパティを開き、「ハードウェア」タブを選択し、画面中段の「デバイスマネージャ」ボタンをクリックすると「デバイスマネージャ」ダイアログボックスが表示される(Fig. 5.17)。

Fig. 5.17 デバイスマネージャダイアログボックス

デバイスマネージャの「表示」メニューから、「非表示デバイスの表示」をクリックする(Fig. 5.18)。

Fig. 5.18 「非表示デバイスの表示」

「プラグアンドプレイではないドライバ」ツリー配下にある「NetBios over Tcpip」を削除する(Fig. 5.19)。

Fig. 5.19 「NetBios over Tcpip」の削除

5) セキュリティログの設定

システムのログ出力(動作状況や問題発生時などの情報を記録すること)は、運用管理や問題発生時の資料またはトラブルシューティングに必要不可欠なものである。ログの運用に関しては「8.2.1 ログの運用」を参照する。

Windows 2000にはログ出力機能があり、システムの各種ログを記録することができる。しかし、デフォルトの状態ではセキュリティ関連のログは記録されないので、システム運用に適した設定にする必要がある。ログ記録の設定は「5.1.2 Windows 2000の設定」の「2) セキュリティポリシーの設定」を参照して設定する。ここでは、ログ出力のオプションの設定方法を解説する。

「管理ツール」から「イベントビューア」を開く(Fig. 5.20)。

Fig. 5.20 イベントビューア

左ペインウィンドウの「セキュリティログ」のプロパティを開き、「ログサイズ」の各プロパティで「最大ログサイズ」を「2048MB」に設定し、「必要に応じてイベントを上書きする」を選択する。この設定を適用させ、セキュリティログのプロパティ値を有効にする。

Fig. 5.21 セキュリティログのプロパティ設定

6) パケットフィルタリングの設定

システムへのネットワークアクセスを制限し、必要な通信のみ通過可能になる仕組みをパケットフィルタリングという。パケットフィルタリングは送信元ホストや送信先ホストの、IPアドレス、ポート番号、パケットの方向などを組み合わせて、フィルタを設定し、ネットワークを出入りするパケットのアクセス制御(通過または遮断を判断)を行うことができる。

ここでは、本モデルのWebサーバー(IIS/Windows 2000 Server)を対象としWebサービス用にHTTP(80/TCP)とHTTPS(443/TCP)、コンテンツアップロード用にFTP(20、21/TCP)(注2) 、時刻問い合わせようにNTP(123/UDP)通信を特定条件下で許可し、それ以外の通信を拒否する設定である。フィルタリングの内容はシステムの運用環境によって異なってくるので、他のサーバーでRRASを提供する場合には、フィルタリングの内容を変更する必要がある。

  (注2) ここでは、Webコンテンツのアップロードを行うために、FTPを利用することを前提とする。Webコンテンツをアップロードするには、FTP以外にもいろいろな方法が存在しており、この詳細に関しては、「7. セキュアなWebコンテンツアップロード」を参照する。  

Windows 2000では、以下の2種類の方法でパケットフィルタリングを行うことができる。

本モデルでは、上記2種類のパケットフィルタリングを利用してパケットフィルタリングを実現する。これは、RRASはサービスとして機能するため、障害等でサービスが停止してしまうと、フィルタリングの機能が停止されてしまい、その停止期間中に、不正アクセスを受けてしまう危険がある。そこで、RRASサービスが停止してしまった場合でも、TCP/IPフィルタリング機能でパケットフィルタリングの機能を維持するためである。RRASの設定方法をア)で、TCP/IPフィルタリングの設定方法をイ)で解説する。

ア) RRASの設定

「管理ツール」から「サービス」を開き、右ペインウィンドウの「Routing and Remote Access」をダブルクリックする。「Routing and Remote Access」のプロパティダイアログボックスが表示されるので、「スタートアップの種類」を「自動」に設定し、サービスの状態で「開始」ボタンをクリックしてサービスを起動する。ダイアログの「適用」をクリックして「OK」をクリックする。設定後、Fig. 5.22のようになる。

Fig. 5.22 RRASサービスの起動方法の設定

この設定により、RRASサービスがOS起動時に自動的に起動するようになる。

フィルタリングの設定(フィルタリングルールの設定)は、netshコマンドでコマンドプロンプト上から設定する。ここでは設定環境例として、以下のようなネットワーク環境での設定を行う。

また、RRASの設定方針はTable 5.6、設定内容の一覧はTable 5.7のとおりである。

Table 5.6 パケットフィルタリングの設定方針

対象サービス 設定するフィルタの内容
デフォルト受信拒否

デフォルトですべてのパケット受信を拒否する

デフォルト送信拒否 デフォルトですべてのパケット送信を拒否する
WWW 不特ホストからのWWWサービスへのアクセス(80、443/TCP)を許可する
NTP NTPサーバーとの時刻問い合わせアクセス(全ポート/UDP)のためを許可する(注3)
FTP Webコンテンツアップロード用に特定のホストからのFTPアクセス(20、21/TCP)を許可する(注4)

  (注3) RRASでは「ip filter」の「keep state」に相当する機能がなく、またポートの範囲指定もできないため、転送元ホストを限定してUDPの全ポートへの接続を許可する必要がある。  
  (注4) RRASでFTP通信を許可するには、データ転送用に20番ポート、制御用に21番ポートを許可する必要がある。  

Table 5.7 パケットフィルタリングの詳細設定

通信方向 送信元IPアドレス/
ネットマスク
送信先IPアドレス/
ネットマスク
プロトコル 送信元ポート 送信先ポート
input 0.0.0.0/
0.0.0.0
192.168.0.1/
255.255.255.255
TCP 0 80
input 0.0.0.0/
0.0.0.0
192.168.0.1/
255.255.255.255
TCP 0 443
input 192.168.0.123/
255.255.255.255
192.168.0.1/
255.255.255.255
UDP 123 0
input 192.168.0.10/
255.255.255.255
192.168.0.1/
255.255.255.255
TCP 0 20
input 192.168.0.10/
255.255.255.255
192.168.0.1/
255.255.255.255
TCP-EST 0 21
output 192.168.0.1/
255.255.255.255
0.0.0.0/
0.0.0.0
TCP 80 0
output 192.168.0.1/
255.255.255.255
0.0.0.0/
0.0.0.0
TCP 443 0
input 192.168.0.1/
255.255.255.255
192.168.0.123/
255.255.255.255
UDP 0 123
output 192.168.0.1/
255.255.255.255
192.168.0.10/
255.255.255.255
TCP 20 0
output 192.168.0.1/
255.255.255.255
192.168.0.10/
255.255.255.255
TCP 21 0

設定を行うために使用するnetshコマンドは、パラメータとしてインターフェース名を指定する必要がある。しかし、デフォルトのインターフェース名が「ローカルエリア接続」ではパラメータの指定が煩雑になるため、任意の英字に変更する。本モデルでは、例として「LAN」で設定を行う。

「スタート」 -> 「設定」 -> 「ネットワークとダイヤルアップ接続」を開き、LANインターフェース「ローカルエリア接続」を右クリックし、「名前の変更」を選択することでインターフェース名を変更することができる。変更後の画面はFig. 5.23のようになる。

Fig. 5.23 インタフェース名を「LAN」に変更

コマンドプロンプトからnetshコマンドを以下のパラメータを指定して入力し、Table 5.7のフィルタを設定する(注5)

netsh routing ip set filter "LAN" input drop
netsh routing ip set filter "LAN" output drop
netsh routing ip add filter "LAN" input 0.0.0.0 0.0.0.0 192.168.0.1 255.255.255.255 TCP 0 80
netsh routing ip add filter "LAN" input 0.0.0.0 0.0.0.0 192.168.0.1 255.255.255.255 TCP 0 443
netsh routing ip add filter "LAN" input 192.168.0.123 255.255.255.255 192.168.0.1 255.255.255.255 UDP 123 0
netsh routing ip add filter "LAN" input 192.168.0.10 255.255.255.255 192.168.0.1 255.255.255.255 TCP 0 21
netsh routing ip add filter "LAN" input 192.168.0.10 255.255.255.255 192.168.0.1 255.255.255.255 TCP-EST 0 20
netsh routing ip add filter "LAN" output 192.168.0.1 255.255.255.255 0.0.0.0 0.0.0.0 TCP 80 0
netsh routing ip add filter "LAN" output 192.168.0.1 255.255.255.255 0.0.0.0 0.0.0.0 TCP 443 0
netsh routing ip add filter "LAN" output 192.168.0.1 255.255.255.255 192.168.0.123 255.255.255.255 UDP 0 123
netsh routing ip add filter "LAN" output 192.168.0.1 255.255.255.255 192.168.0.10 255.255.255.255 TCP 21 0
netsh routing ip add filter "LAN" output 192.168.0.1 255.255.255.255 192.168.0.10 255.255.255.255 TCP 20 0

  (注5) input、outputそれぞれに必ず原則として全てのトラフィックを禁止する設定を行う。この設定を実施しないと、フィルタ設定したパケット以外はすべて許可になるので注意が必要である。また、フィルタの順番はinputとoutputで対応していなければ設定は有効にならない。  

フィルタリングの確認方法は、コマンド「netsh routing ip show filter "LAN"」にて確認することができ、設定内容はFig. 5.24のようになる。

Fig. 5.24 パケットフィルタリング設定内容の確認

イ) TCP/IPフィルタリングの設定

ここでは、TCP/IPのプロパティからTCP/IPフィルタリングを設定し、HTTPアクセス用のTCP/80、コンテンツアップ用のTCP/21のみの通信を許可する。

設定を行うには、先に設定したLANインターフェース「LAN」のプロパティから「インターネットプロトコル(TCP/IP)」を選択し、「プロパティ」ボタンをクリックすると「インターネットプロトコル(TCP/IP)のプロパティ」ダイアログボックスが表示される。このダイアログボックス下段の「設定詳細」ボタンをクリックすることで、「TCP/IP詳細設定」ダイアログボックスが表示されるので、そこから「オプション」タブを開く(Fig. 5.25)。

Fig. 5.25 TCP/IP詳細設定のオプションダイアログボックス

「オプション設定」から「TCP/IPフィルタリング」を選択し、「プロパティ」ボタンをクリックし、以下のような設定を行うことで、本モデルでのTCP/IPフィルタリングの設定方針を有効にする。Fig. 5.26が設定済みのダイアログボックスである。

Fig. 5.26 TCP/IPフィルタリングの詳細設定

7) 不要なサービスの停止

Windows 2000では、OSが提供するさまざまな機能を維持するためにバックグラウンドで起動しているアプリケーションがあり、これを一般にサービスと呼ぶ。Windows 2000に備わっているサービスには、システム運用上、不必要なサービスが複数存在している。これらのサービスを有効のままにしておくと、不正アクセスを許してしまう原因と成りうる可能性があるので、不要なサービスは無効化する必要がある。

本モデルでは、Webコンテンツの公開に不要で、かつ停止(無効)させたことによりOSの安定性が損なわれないサービスを停止させる。

ア)サービスの停止と無効化の方法

サービスの停止と無効化には「管理ツール」内の「サービス」を使用する。「コントロールパネル」->「管理ツール」->「サービス」を起動する(Fig. 5.27)。

Fig. 5.27 サービスの管理ダイアログ

サービスの停止や開始、無効化を行うには、Fig. 5.27の右ペインのサービス一覧から設定対象サービスをダブルクリックする。ここでは、例として「Alerter」サービスの停止、無効化の設定方法を解説する。ダブルクリック後、「Alerter」サービスのプロパティダイアログボックス、Fig. 5.28が表示される。

Fig. 5.28 「Alerter」サービスのプロパティ設定ダイアログボックス

ダイアログボックスの中段の「スタートアップの種類」を「無効」に変更することで、次回のOS起動時から、このサービスは無効になる(注6) 。また、ただちにサービスを停止したい場合は、「サービスの状態」で「停止」ボタンをクリックする。

 

(注6)

「スタートアップの種類」を「手動」に設定することでも、OS起動時にサービスは自動起動されないようにできる。しかしながら、この設定の場合、コマンドからそのサービスを起動できてしまうため、サービスの完全な無効化にはならない。サービスを無効化する場合は、必ず「無効」に設定する。

 

イ) 停止、無効化するサービス

本モデルでは、Table 5.8に記したサービスを無効にする。記述のないサービスはデフォルトのままとする。

Table 5.8 無効化するサービス一覧

サービス名 サービスの機能
Alerter 指定したユーザーやサーバーに接続しているユーザーに警告メッセージを送信するサービス
ClipBook ネットワークを介してのクリップボード機能が使えるようにするサービス
Computer Browser 停止すると、ネットワークコンピュータアイコンからワークグループやドメイン(マイクロソフトドメイン)のコンピュータ一覧が見られなくなる。ただし、ネットワーク接続そのものは可能
DHCP Client DHCPサーバーからIPアドレスを取得する機能をサポートする
Distributed File System LANもしくはWAN内の論理ボリュームを管理する
FAX Service モデムを使ってFAXを送信するためのサービス
Internet Connection Sharing ダイヤルアップ接続を使用し、外部に接続するサービス
Messenger Alerterサービスが送信するメッセージを送受信するサービス
NetMeeting Remote Desktop Sharing 権限を与えられた人がNetMeetingを使用してリモートからWindowsデスクトップにアクセスすることを許可するサービス
Net Logonサービス ドメインネットワークにログオンするユーザーのために単一のアクセスポイントを提供するサービス
Network DDE&Network DDE DSDMサービス ネットワークを介したDDE(Dynamic Data Exchange)を実現するための、ネットワークトランスポート提供サービス
Print Spooler プリントスプールサービス。プリンタを使用しない場合は不要
Remote Access Auto Connection Manager プログラムがリモートDNS、NetBIOS名またはNetBIOSアドレスを参照するときに、必ずリモートネットワークへの接続を作成する機能
Serverサービス フォルダやファイルの共有を実現するためのサービス
TCP/IP NetBIOS Helperサービス TCP/IPサービスを通してNetBIOSを提供するためのサービス
Terminal Services ターミナルサービスを提供するサービス
Workstationサービス 他のコンピュータの共有リソースを利用するためのサービス

 

前のページへ
目次へ
次のページへ
Windows 2000 Serverのインストール
第5章の目次
IISのインストール


Copyright ©   2002 Information-technology Promotion Agency, Japan.  All rights  reserved.