技術者のためのWindows2000 Server セキュリティ完全対策
2002年9月26日紙版発売
吉永昇監修小林林広,好田崇志,山後正孝,大塚慎太郎 著
B5変形判/480ページ
定価3,278円(本体2,980円+税10%)
ISBN 4-7741-1580-0
ただいま弊社在庫はございません。
書籍の概要
この本の概要
Windows2000 ServerはGUIツールによって,非常に扱いやすいOSとして人気がありますが,使いやすい半面,セキュリティ上,危険な状態となっている場合があります。
本書は,Webサーバーからイントラネット用のサーバー用途まで,セキュリティ対策を網羅した決定版です。
こんな方におすすめ
- Windows 2000 Serverを使っている人全般
- 特に、Windows 2000 Serverを使っているシステム管理者
目次
第1章 インターネットセキュリティ
- 1.1 コンピュータとセキュリティ
- 1.1.1 セキュリティ対策の必要性
- 1.1.2 不正アクセス
- 1.1.3 脆弱性(セキュリティホール)の原因
- 1.1.4 デフォルトインストールの危険性
- 1.2 コンピュータ社会での脅威
- 1.2.1 Webサイトを閲覧する際の危険性
- 1.2.2 電子メールでの危険性
- 1.2.3 ソーシャルエンジニアリング
- 1.2.4 情報発信する際の注意点
- 1.3 セキュリティ対策概要
- 1.3.1 セキュリティ情報収集の必要性
- ・コンピュータ緊急対応センター(JPCERT)
- ・情報処理振興事業協会(IPA)
- ・Microsoft TechNet セキュリティ センター
- ・CERT/CC Advisories(米国)
- ・SecurityFocus(米国)
- 1.3.2 セキュリティ対策手順
- 1.3.3 セキュリティポリシーの策定
- 1.3.4 マシンの要塞化
- 1.3.5 セキュリティホールの検査
- 1.3.6 不正アクセスの継続的な監視
- 1.4 クラッカーの手口
- 1.4.1 はじめに
- 1.4.2 攻撃までの手順
- 1.4.3 情報収集(OSやソフトウェアに関する情報収集)
- ・PortScanによる情報収集
- ・ICMPの特性を利用した情報収集
- ・サーバーアプリケーションのヘッダ情報収集
- ・クライアントのヘッダ情報収集
- 1.4.4 情報収集(アカウント情報収集)
- ・ユーザーIDの取得
- ・パスワードの取得
- ・その他のアカウント収集
- 1.4.5 情報収集(盗聴)
- ・リモート盗聴
- ・ローカル盗聴
- 1.4.6 なりすまし
- ・パケット情報:Source Addressの偽造
- ・IPプロトコルのオプションを使用した偽造
- ・シーケンス番号によるセッションハイジャック
- ・Cookieによるセッションハイジャック
- ・DNSによるサーバーのなりすまし
- ・暗号化による秘密鍵奪取による偽造
- 1.4.7 DoS攻撃/DDoS攻撃
- ・SynFlood攻撃
- ・Smurf攻撃
- ・UDP Flood攻撃
- ・メール爆弾
- ・DDoS攻撃
- ・その他のDoS攻撃
- 1.4.8 侵入(攻撃実行)
- ・盗難アカウントによるログイン
- ・セキュリティホール(仕様バグ)によるコマンド実行
- ・セキュリティホール(メモリ書き換え)によるコマンド実行
- ・バックドアによる侵入
- 1.4.9 受動的攻撃
- ・悪意あるスクリプトを含むWebページ
- ・悪意あるメール
- 1.4.10 その他
- ・トロイの木馬
- ・スパイウェア
- ・SPAM メール
- ・メールの不正中継
第2章 セキュリティパッチの適用
- 2.1 セキュリティパッチとは
- 2.1.1 セキュリティパッチの基本
- 2.1.2 パッチ適用の注意点
- 2.2 セキュリティパッチの適用
- 2.2.1 Service Packレベルの確認
- 2.2.2 Service Packの適用
- 2.2.3 Hotfixの適用
第3章 アカウントの管理とアクセス権の変更
- 3.1 アカウントの管理
- 3.1.1 不要なアカウントの削除
- 3.1.2 パスワードの強化
- 3.1.3 ビルトインアカウント名の変更
- 3.1.4 アカウントポリシー
- ・パスワードの長さ
- ・パスワード変更禁止期間
- ・パスワードの有効期間
- ・パスワードの履歴を記録する
- ・アカウントのロックアウトのしきい値
- ・ロックアウト カウントのリセット
- ・ロックアウト期間
- 3.1.5 Syskey
- 3.2 アクセス権の変更
- 3.2.1 すべてのファイル,フォルダの表示
- 3.2.2 ファイル,フォルダのアクセス権の変更方法
- 3.2.3 ファイルのアクセス権
- 3.2.4 フォルダのアクセス権
- 3.2.5 レジストリのアクセス権の設定方法
第4章 セキュリティ監査
- 4.1 ファイル/フォルダへの監査
- 4.1.1 ファイル/フォルダへの監査
- 4.1.2 監査の設定
- 4.1.3 アクセス権の強化
- 4.2 レジストリの監査
- 4.2.1 レジストリの監査
- 4.2.1 レジストリ監査の設定
- 4.3 イベントの監査
- 4.3.1 監査ポリシー
- 4.3.2 ログの管理
第5章 サービス
- 5.1 不要サービスの停止
- 5.1.1 サービスの設定
- 5.1.2 停止前の準備
- 5.1.3 サービスの停止
- 5.1.4 スタートアップの種類の変更
- 5.1.5 デフォルトで提供されるサービスの種類
- 5.1.6 停止すべきサービス
- 5.2 NetBIOSの無効化
- 5.2.1 NetBIOSの危険性
- 5.2.2 ファイル共有の無効化
- 5.3 Task Schedulerの危険性
- 5.4 サービス停止作業の注意点
- 5.5 Telnet
- 5.5.1 Telnetとは
- 5.5.2 Telnetの弱点
- 5.5.3 Telnetの認証方式の変更
- 5.6 DNS
- 5.6.1 ゾーン転送の危険性
- 5.6.2 ゾーン転送先の制限
- 5.7 Exchange Server
- 5.7.1 メールの不正中継
- 5.7.2 メール中継の制限
- 5.7.3 メール中継の停止
- 5.7.4 アクセス制限
第6章 ポリシー
- 6.1 ローカル/ドメインセキュリティポリシー
- 6.1.1 ネットワーク経由でのアクセス権
- 6.1.2 FTP匿名接続の禁止
- 6.1.3 セキュリティオプションの設定
- 6.2 フィルタリング
- 6.2.1 TCP/IPフィルタリング
- 6.2.2 IPセキュリティポリシー
- 6.2.3 IPセキュリティポリシーを用いたフィルタリング
第7章 IIS
- 7.1 デフォルトインストールの危険性
- 7.1.1 インストールにおける注意点
- 7.1.2 IISインストール後の諸設定
- 7.2 Webサーバーの設定
- 7.2.1 ホームディレクトリ
- 7.2.2 ディレクトリ参照
- 7.2.3 親パス
- 7.2.4 仮想ディレクトリの設定
- 7.2.5 不要な仮想ディレクトリ
- 7.2.6 サンプルアプリケーションの脆弱性
- 7.2.7 IISADMPWD(IIS4.0からのアップデートの場合のみ)
- 7.2.8 FrontPage Server Extensions
- 7.2.9 RDS機能
- 7.2.10 不要なスクリプトマッピングの脅威と対策
- 7.2.11 ログ収集のカスタマイズ設定
- ・NCSA共通ログファイル形式
- ・Microsoft IISログファイル形式
- ・W3C拡張ログファイル形式
- 7.2.12 IISの認証方式
- 7.2.13 内部IPアドレスの漏洩
- 7.2.14 Web DAV
- 7.3 FTPサーバーの設定
- 7.3.1 FTP匿名接続
- 7.3.2 匿名接続のアカウント変更
- 7.3.3 FTPサーバーのセッション数
- 7.4 Hisecweb.inf セキュリティテンプレート
第8章 クライアントセキュリティ
- 8.1 セキュリティ対策の基本
- 8.1.1 最新バージョンのアプリケーションを利用する
- 8.1.2 既知のセキュリティホールを修正する
- 8.1.3 Windows Update
- 8.1.4 Windows自動更新機能
- 8.2 各アプリケーションのセキュリティ設定を行う
- 8.2.1 ブラウザのセキュリティ
- ・ActiveX/Java/JavaScriptの制限
- ・重要情報の暗号化
- ・サイトごとでのセキュリティ対策
- 8.2.2 Internet Explorer6.0の設定
- 8.2.3 Netscapeの設定
- 8.2.4 メールソフトのセキュリティ
- 8.2.5 HTMLメールの対応
- ・HTMLメールの表示方法
- ・HTML形式のメールを送信しない
- 8.2.6 暗号化への対応
- ・受信時の認証を暗号化
- ・送信時の暗号化
- 8.2.7 ウイルス添付メールへの対応
- ・セキュリティホールの発生率とベンダーサポート
- ・メールの保存形式
- 8.2.8 Outlook Express6.0の設定
第9章 暗号化
- 9.1 暗号化
- 9.1.1 はじめに
- 9.1.2 暗号化の仕組み
- 9.1.3 共通鍵暗号方式
- ・DES(Data Encryption Standard)
- ・3DES(Triple DES)
- ・AES(Advanced Encryption Standard)
- 9.1.4 公開鍵暗号方式
- ・RSA
- 9.1.5 複数の暗号方式の利用
- 9.1.6 電子署名
- ・MD5
- ・SHA-1
- 9.1.7 CAの役割
- 9.1.8 電子メールでの鍵の利用
- ・PGP(Pretty Good Privacy)
- ・S/MIME(Secure Multipurpose Internet Mail Extensions)
- 9.1.9 ホームページの信頼性
- 9.1.10 SSH(Secure SHell)
- ・ホスト認証
- ・通信内容の暗号化
- ・ユーザー認証
- 9.2 IISの暗号化設定
- 9.2.1 スタンドアロンルートCAの構築
- 9.2.2 サーバー証明書の要求の作成
- 9.2.3 サーバー証明書の作成
- 9.2.4 サーバー証明書のインストール
- 9.2.5 IISのSSL有効化
- 9.2.6 クライアント証明書の発行
第10章 ファイアウォールによるセキュリティ
- 10.1 はじめに
- 10.2 ファイアウォールの仕組み
- 10.2.1 情報収集
- 10.2.2 フィルタリング(制御)
- 10.3 ファイアウォールの種類
- 10.3.1 パケットフィルタリング方式
- 10.3.2 アプリケーションゲートウェイ方式
- 10.4 CheckPoint FireWall-1
- 10.4.1 FireWall-1とは
- ・構成
- ・特徴
- 10.5 ポリシーと想定ルール作成
- 10.5.1 ポリシーと想定ルールについて
- 10.6 CheckPoint FireWall-1の導入と設定
- 10.6.1 OSのセキュア化とネットワークチューニング
- 10.6.2 FW ModuleとFW Managementのインストール
- 10.6.3 ServicePack導入
- 10.6.4 GUI Clientのインストール
- 10.6.5 環境の設定
- ・環境変数の設定
- ・ルーティングの有効化
- 10.6.6 ライセンスの設定
- 10.6.7 GUIの接続確認
- 10.6.8 Objectsの作成
- ・NetworkObjects
- ・ServiceObjects
- 10.6.9 ルール設定とインストール(ルール適用)
- ・ルール設定
- ・インストール(適用)
- 10.7 NAT
- 10.7.1 NATとは
- ・Hide NAT
- ・Static NAT
- 10.8 Implied Rules
- 10.8.1 Implied Rulesとは
- 10.8.2 Implied Rulesを削除する
- 10.8.3 削除したルールのうち必要なルールを意識的に追加する
- 10.9 運用
- 10.9.1 設定ファイルのバックアップ
- 10.9.2 パッチ適用
- 10.9.3 ログ運用
- 10.10 FireWall-1 NextGeneration
- 10.10.1 呼び名
- 10.10.2 変更点
- ・カーネルに関する変更
- ・インストール手順の変更
- ・ライセンスに関する変更
- ・GUI Client画面の変更
- ・ロギング方式に関する変更
- ・NATに関する変更
- ・VPNに関する変更
- ・その他の変更
第11章 IDS
- 11.1 侵入検知システム(Intrusion Detection System)
- 11.1.1 IDSとは
- 11.2 IDSの種類
- 11.2.1 監視対象データによる分類
- 11.2.2 検知方法による分類
- 11.3 IDSにできること,できないこと
- 11.3.1 誤検知
- 11.3.2 すべての脅威に対処できるのではない
- 11.3.3 Windowsで利用できるIDS
- 11.4 Snort
- 11.4.1 Snort概要
- 11.4.2 GNUライセンス
- ・GNU Public License (GPL)
- 11.4.3 Snortのインストール
- 11.4.4 IDSCenterのインストール
- 11.4.5 General Setup
- 11.4.6 IDS rules
- 11.4.7 snort.conf
- 11.4.8 ルールファイル
- 11.4.9 ログファイルの設定
- 11.4.10 アラートの設定
- 11.4.11 Snortの起動
- 11.4.12 シグネチャの作成
- ・ルールヘッダ
- ・ルールオプション
- 11.5 RealSecure
- 11.5.1 RealSecure概要
- 11.5.2 RealSecure Workgroup Managerを構成するコンポーネント
- 11.5.3 Workgroup Manager
- ・Workgroup Managerのインストール
- 11.5.4 Network Sensor
- ・ステルスモード
- ・ポリシー
- 11.5.5 Server Sensor
- ・ポリシー
- 11.5.6 RealSecureの運用
- ・レポート機能
第12章 ウイルスに対するセキュリティ
- 12.1 はじめに
- 12.2 ウイルスの歴史
- 12.2.1 第1期 外部記憶媒体を介した感染
- 12.2.2 第2期 ネットワークを介した感染
- 12.2.3 第3期 クライアント/サーバーを利用した感染
- 12.3 ウイルスの定義
- 12.3.1 経済産業省の定義
- 12.3.2 ウイルスの3つの特徴
- 12.3.3 感染経路
- 12.4 ウイルスの種類
- 12.4.1 感染対象による分類
- 12.4.2 ウイルスの活動による分類
- 12.4.3 メモリに常駐するかどうかによる分類
- 12.4.4 ファイルタイプによる分類
- 12.5 ウイルスの紹介
- 12.5.1 Happy99
- 12.5.2 ILOVEYOU
- 12.5.3 CodeRed
- 12.5.4 CodeRed?
- 12.5.5 Sircam
- 12.5.6 Nimda
- ・電子メールを介しての感染
- ・Windowsの共有フォルダを介しての感染
- ・Webページを閲覧した際の感染
- ・IISの脆弱性を悪用された感染
- 12.6 対策
- 12.6.1 添付ファイルへの対策
- 12.6.2 ブラウザとメールソフトのバージョンアップ
- 12.6.3 Windows Updateの使用
- 12.6.4 ファイルタイプの表示
- 12.6.5 マクロの警告
- 12.7 ワクチンソフト
- 12.7.1 レイヤーによる分類
- ・クライアントにおける対策
- ・ゲートウェイにおける対策
- ・サーバーマシンにおける対策
- 12.7.2 ウイルス定義情報
- 12.7.3 未知のウイルスの検出方法
- ・スタテックヒューリステック法
- ・ダイナミックヒューリステック法
- 12.7.4 Norton AntiVirus 2002
- 12.7.5 ウイルスバスター2002
- 12.7.6 VirusScan4.5.1
- 12.7.7 InterScanVirusWall
- 12.7.8 オンラインスキャン
- ・Symantec Security Check
- ・ウイルスバスター On-Line Scan
第13章 安全なプログラム
- 13.1 危険なプログラムとは
- 13.2 バッファオーバーフロー
- 13.3 C言語における注意点
- 13.3.1 strcpy関数
- 13.3.2 その他の標準関数
- 13.4 Perlにおける注意点
- 13.4.1 ディレクトリトラバーサル
- 13.4.2 ダイレクトOSコマンドインジェクション
- 13.4.3 対策
Appendix 付録
- Appendix A Windows2000ネットワーク標準コマンド一覧
- Appendix B Windows2000のデフォルトポート
この本に関連する書籍
-
インターネットセキュリティ 500の技
本書はセキュリティに関するテクニック集です。インターネット技術は数年のうちに急速に普及し,今やそのセキュリティの重要性が叫ばれる時代となりました。インターネ...