出版社内容情報
Windows 2000のセキュリティモデルは、これまでの製品とくらべ、大きく進化を遂げています。Active Directoryをはじめ、最新の技術を積極的に導入した結果です。本書では、Active Directoryはもちろん、Kerveros、PKI、グループポリシーオブジェクト、IPSec、暗号化ファイルシステム、セキュリティ構成ツールなど、Windows 2000の最新のセキュリティ技術と理論、また使用方法を余すところなく解説しています。ネットワーク通信のセキュリティをより堅牢なものにしたい場合はもちろん、日常の運用にも十分役立てていただけます。本書では、Windows 2000セキュリティモデルを理解するためにWindows NTのセキュリティから解説していますので、アップグレードを検討している管理者にもご活用いただけます。
[目次詳細]
はじめに
本書の表記について
第1章 Windows 2000セキュリティの概要
1.1 Windows 2000のバージョン
1.2 Windows 2000の新しいセキュリティ機能
1.2.1 Active Directory
1.2.2 グループポリシーオブジェクト
1.2.3 インターネットプロトコルのセキュリティ
1.2.4 暗号化ファイルシステム
1.2.5 セキュリティ構成ツール群
1.3 まとめ
第2章 Windows NT 4.0のセキュリティ概説
2.1 総合的なシステムセキュリティデザイン
2.1.1 安全なログオンプロセス
2.1.2 LSA
2.1.3 セキュリティリファレンスモニタ
2.1.4 オブジェクトマネージャ
2.1.5 SAM
2.1.6 随意アクセス制御
2.1.7 セキュリティ記述子
2.1.8 セキュリティアクセストークン
2.1.9 アクセス制御リスト
2.1.10 オブジェクトへのアクセス
2.2 ワークグループ、ドメイン、信頼関係
2.2.1 ワークグループ
2.2.2 ドメインへの参加
2.2.3 ドメイン
2.2.4 信頼関係
2.3 アクセス制御
2.3.1 ファイルシステムのアクセス制御
2.3.2 レジストリのアクセス制御
2.3.3 プリンタのアクセス制御
2.4 セキュリティイベントのログ
2.5 ユーザーとグループ
2.6 ユーザー権利と特権
2.6.1 アカウントの原則
2.7 ポリシー
2.8 まとめ
第3章 Windows 2000のセキュリティモデルとサブシステム
3.1 セキュリティモデルの概要
3.2 セキュリティプリンシパルの概要
3.2.1 ユーザーアカウントとコンピュータアカウント
3.2.2 セキュリティプリンシパルの命名
3.2.3 ユーザーアカウント
3.2.4 コンピュータアカウント
3.2.5 グループアカウント
3.3 ドメインの信頼関係
3.3.1 一方向の信頼関係
3.3.2 非推移的信頼関係
3.4 分散セキュリティ機能
3.4.1 ユーザー認証
3.4.2 偽装
3.4.3 アクセストークン
3.4.4 アクセス制御
3.4.5 公開キー基盤
3.4.6 暗号化ファイルシステムの概要
3.5 新しいローカルセキュリティ機能の概要
3.5.1 NTFS
3.5.2 セカンダリログオン
3.6 セキュリティサブシステムの概要
3.6.1 ユーザー権利
3.6.2 ローカルセキュリティポリシー
3.6.3 グループポリシー
3.6.4 システムサービスによるセキュリティ機能の実装
3.7 まとめ
第4章 Active Directory
4.1 Active Directoryとディレクトリサービスの基礎
4.1.1 ディレクトリサービスが必要な理由
4.1.2 Active Directoryのしくみ
4.1.3 Active Directoryの利点
4.2 Active Directoryのアーキテクチャ
4.2.1 Active Directoryとドメインネームシステム(DNS)
4.2.2 Active Directoryとドメインコントローラ
4.3 Active Directoryオブジェクト
4.3.1 スキーマ
4.3.2 オブジェクトの命名規則
4.3.3 Active Directoryオブジェクトの詳細
4.3.4 オブジェクトの公開
4.3.5 相互運用性
4.3.6 内部参照と外部参照
4.4 Windows 2000のドメイン
4.4.1 混在モードドメインとネイティブモードドメイン
4.5 サイト
4.5.1 Active Directoryがサイト情報を使用するしくみ
4.5.2 Default-First-Site-Name
4.6 組織単位
4.7 Active Directoryの複製
4.7.1 サイト内での複製
4.7.2 サイト間の複製
4.8 プランニングとロールアウトの問題
4.8.1 Active Directoryのプランニング
4.8.2 フォレスト構造のプランニング
4.9 ドメイン構造のプランニング
4.9.1 組織単位の構造のプランニング
4.9.2 サイト構造のプランニング
4.9.3 DNS構造のプランニング
4.9.4 DNSサーバーの配置のプランニング
4.9.5 信頼関係のショートカットによる認証の最適化
4.10 Active Directoryの使い方
4.10.1 [Active Directoryドメインと信頼関係]スナップイン
4.10.2 [Active Directoryユーザーとコンピュータ]スナップイン
4.10.3 [Active Directoryサイトとサービス]スナップイン
4.11 Active Directoryの管理
4.11.1 制御の委任
4.12 まとめ
第5章 認証
5.1 概要
5.2 対話ログオンとネットワーク認証
5.2.1 対話ログオン
5.2.2 認証パッケージ
5.2.3 LSA
5.2.4 ローカルコンピュータへの対話ログオン
5.2.5 ドメインアカウントへの対話ログオン
5.2.6 セキュリティサポートプロバイダ
5.3 ネットワーク認証
5.4 Kerberos V5
5.4.1 Kerberos V5が動作するしくみ
5.4.2 Kerberos V5認証の有効化
5.4.3 Kerberos V5ポリシー
5.4.4 Kerberos V5のアプリケーション
5.5 NTLM
5.6 スマートカードを使ったログオン
5.6.1 スマートカードとは何か
5.6.2 スマートカードの長所
5.6.3 スマートカードリーダー
5.6.4 スマートカードの有効化
5.6.5 スマートカードの使用
5.7 SSL(Secure Sockets Layer)
5.8 まとめ
第6章 暗号化とMicrosoft公開キー基盤
6.1 PKIの概要
6.1.1 Windows 2000のPKIで提供される機能
6.2 暗号化の基礎
6.2.1 機密性
6.2.2 エンティティ認証
6.2.3 データの整合性
6.2.4 非否認
6.2.5 PKIの基礎
6.2.6 複数のCAと発行ポリシー
6.3 暗号化サービス
6.3.1 対称暗号化アルゴリズム
6.3.2 非対称暗号化アルゴリズム
6.3.3 非対称署名アルゴリズム
6.3.4 非対称キー交換
6.3.5 ハッシュ
6.3.6 暗号化サービス
6.3.7 認証とキー交換
6.4 Microsoft PKI
6.4.1 PKIを使う理由
6.4.2 証明書サービス
6.4.3 証明書の有効期間
6.4.4 公開キーのポリシー
6.4.5 Active Directory
6.5 公開キー基盤の設計
6.5.1 証明書の要件を確定する
6.5.2 証明書の発行規則を定義する
6.5.3 CAの信頼を設定する手順
6.5.4 CAサーバーのセキュリティ要件を定義する
6.5.5 証明書の有効期間を定義する
6.5.6 登録と書き換えの手順を定義する
6.5.7 失効ポリシーを定義する
6.5.8 メンテナンスと災害復旧の手順を定義する
6.5.9 設計を文書化する
6.6 まとめ
第7章 アクセス制御モデル
7.1 アクセス制御の基礎
7.1.1 アクセス制御の概要
7.1.2 アクセス許可
7.1.3 アクセス許可の継承
7.1.4 ユーザー権利
7.1.5 セキュリティ識別子
7.1.6 所有権
7.1.7 アクセストークン
7.1.8 アクセス制御リスト
7.1.9 セキュリティ記述子
7.1.10 継承
7.1.11 アクセスチェック
7.1.12 監査の生成
7.2 アクセス制御の設定を編集する
7.2.1 セキュリティのプロパティ
7.2.2 詳細なアクセス制御の設定
7.3 NTFSの設定
7.3.1 フォルダの共有
7.3.2 ディスククォータ
7.3.3 暗号化ファイルシステム
7.4 まとめ
第8章 グループポリシー
8.1 グループポリシーの概要
8.1.1 グループポリシーのインフラストラクチャ
8.1.2 グループポリシーを使用するための必要条件
8.1.3 [グループポリシー]スナップインの拡張
8.1.4 Windows NT 4.0のポリシーとWindows 2000のポリシー
8.2 グループポリシーのコンテナとオブジェクト
8.2.1 ローカルと非ローカルのグループポリシーオブジェクト
8.2.2 グループポリシーオブジェクトの編成
8.2.3 グループポリシーコンテナ
8.2.4 グループポリシーテンプレート
8.3 グループポリシーの領域
8.3.1 コンピュータの構成
8.3.2 ユーザーの構成
8.4 グループポリシーの適用
8.4.1 ポリシーの継承と優先権
8.4.2 セキュリティポリシーの優先順位
8.4.3 スタートアップとログオン
8.4.4 アプリケーションとグループポリシー
8.5 グループポリシーツールの使い方
8.5.1 グループポリシーによるドメインセキュリティ構造の構成
8.5.2 グループポリシーへのアクセス
8.5.3 Active Directory関連のスナップイン拡張
8.5.4 セキュリティポリシーツール
8.6 グループポリシーの管理
8.6.1 ネットワークにおけるグループポリシーの管理
8.6.2 グループポリシーのセキュリティ
8.6.3 Microsoft管理コンソールのポリシー
8.6.4 移行の問題
8.6.5 管理用テンプレートの役割
8.6.6 システムポリシーエディタの役割
8.6.7 Windows NT 4.0のシステムポリシー
8.7 まとめ
第9章 セキュリティの構成と監視
9.1 セキュリティ構成ツールセット
9.1.1 セキュリティ構成ツールセットのコンポーネント
9.1.2 セキュリティ構成ツールセットのユーザーインターフェイス
9.2 セキュリティテンプレート、データベース、ポリシー
9.2.1 セキュリティテンプレート
9.2.2 定義済みのセキュリティテンプレート
9.2.3 セキュリティデータベース
9.2.4 セキュリティポリシー
9.3 [セキュリティテンプレート]スナップイン
9.3.1 [セキュリティテンプレート]スナップインの追加
9.3.2 テンプレートの新規作成
9.3.3 テンプレートを新規作成する方法
9.3.4 アカウントポリシーの修正
9.3.5 ローカルポリシーの修正
9.3.6 イベントログ設定の修正
9.3.7 制限されたグループポリシーの作成
9.3.8 システムサービスのアクセス許可の設定
9.3.9 レジストリ設定の構成
9.3.10 ファイルシステムディレクトリのアクセス許可の構成
9.3.11 ポリシーの変更の継承、上書き、無視
9.3.12 セキュリティテンプレートの管理
9.3.13 テンプレートコンソールの保存
9.4 [セキュリティの構成と分析]スナップイン
9.4.1 [セキュリティの構成と分析]スナップインの追加
9.4.2 テンプレートのインポートとエクスポート
9.4.3 データベースの作成
9.4.4 分析の実行
9.4.5 分析結果の検討
9.4.6 基準分析設定の修正
9.4.7 システムセキュリティの構成
9.4.8 更新された設定の表示
9.4.9 更新されたレジストリ設定の表示
9.4.10 更新されたファイルシステムセキュリティ設定の表示
9.5 [グループポリシー]スナップインの[セキュリティの設定]拡張
9.5.1 [セキュリティの設定]拡張の追加
9.5.2 [セキュリティの設定]拡張内での設定の編集
9.6 secedit.exeコマンドラインツール
9.6.1 secedit.exeによるセキュリティの構成
9.6.2 secedit.exeによるセキュリティ分析の実行
9.7 セキュリティ構成ツールセットのカスタマイズ
9.7.1 レジストリ拡張
9.7.2 レジストリの編集
9.7.3 レジストリ値の修正
9.7.4 新しい設定の実装
9.8 セキュリティ記述子定義言語
9.9 エンタープライズ構成のロールアウト
9.10 まとめ
第10章 監査
10.1 効果的な監査
10.2 監査方針
10.3 Windows 2000の監査機能
10.3.1 監査ログのファイルポリシー
10.3.2 監査ポリシーの構成
10.3.3 オブジェクト監査の構成
10.3.4 プリンタの監査
10.3.5 ローカルドライブの監査
10.3.6 レジストリの監査
10.3.7 ユーザーアカウント管理の監査
10.3.8 監査ログのカテゴリ
10.3.9 フル特権監査
10.3.10 監査用のアクセス許可の設定
10.4 監査とグループポリシー
10.4.1 ローカルポリシーとグループポリシー
10.5 イベントログサブシステム
10.5.1 イベントレコード
10.5.2 イベントログのプロパティ
10.5.3 イベントのフィルタリング
10.5.4 セキュリティイベントレコード
10.5.5 ログに記録されたイベントの検索
10.5.6 フィルタイベント
10.5.7 イベントの詳細の表示
10.6 動的ホスト構成プロトコルの監査
10.6.1 監査ログ機能のしくみ
10.6.2 監査ログファイルの命名
10.6.3 曜日別監査ログの開始
10.6.4 サーバーログファイルの分析
10.6.5 DHCP Serverのログファイルの形式
10.7 メッセージキューの監査
10.7.1 監査の構成
10.7.2 監査メッセージ
10.8 IPセキュリティの監査ログ
10.8.1 IPSECセキュリティの検証
10.8.2 イベントビューアとセキュリティ監査ログ
10.8.3 TCP/IPのプロパティ
10.9 イベントの識別と説明
10.10 DHCPサーバーのログの一般的なイベントコード
10.11 まとめ
第11章 ネットワークのセキュリティ
11.1 IP通信の保護
11.1.1 パケットの捕捉
11.1.2 データの改ざん
11.1.3 スプーフィング
11.1.4 パスワードの漏洩
11.1.5 サービス拒否攻撃(DoS)
11.1.6 キーの漏洩
11.1.7 アプリケーション層攻撃
11.1.8 IPSec標準
11.1.9 IPSecプロトコル
11.1.10 IPSecのコンポーネント
11.1.11 IPSecの配備
11.2 DHCPセキュリティの問題
11.2.1 DHCPとIPSec
11.2.2 不正DHCPサーバー
11.3 動的DNSの保護
11.3.1 DNSセキュリティ標準
11.3.2 保護された動的更新の手順
11.3.3 DNSサーバーのセキュリティデフォルト値の変更
11.3.4 DNSクライアントのセキュリティデフォルト値の変更
11.3.5 ダウンレベルクライアントの使用
11.4 DFSセキュリティ
11.5 リモートアクセスのセキュリティ
11.5.1 拡張可能な認証プロトコルのサポート
11.5.2 EAP-MD5
11.5.3 EAP-TLS
11.6 まとめ
第12章 ターミナルサービス
12.1 動作モード
12.1.1 アプリケーションサーバーモード
12.1.2 リモート管理モード
12.2 ターミナルサービスの統合
12.2.1 RDP
12.3 ターミナルサービスの準備
12.3.1 セキュリティ監査
12.3.2 ファイアウォール
12.3.3 WANとリモートアクセスの考慮事項
12.3.4 グループポリシーとターミナルサービス
12.4 ターミナルサービスの有効化
12.5 [ターミナルサービス構成]ツール
12.5.1 接続の構成
12.5.2 接続プロパティの設定
12.5.3 サーバー設定の構成
12.6 ターミナルサービスユーザーの構成
12.6.1 ユーザーアクセス許可
12.6.2 [Active Directoryユーザーとコンピュータ]の[ターミナルサービス]拡張
12.7 ターミナルサービスクライアントの構成
12.7.1 ターミナルサービスクライアントのインストール
12.7.2 ターミナルサービスが実行されたサーバーへの接続
12.7.3 ターミナルサービスクライアント構成マネージャ
12.8 [ターミナルサービスマネージャ]
12.8.1 コンソールセッション
12.8.2 リスナセッション
12.8.3 アイドルセッション
12.8.4 [ターミナルサービスマネージャ]の使い方
12.8.5 セッションの管理
12.9 まとめ
第13章 インターネットインフォメーションサービス5.0とInternet Explorer 5.0
13.1 インターネットインフォメーションサービス
13.2 IISのセキュリティ要件
13.2.1 接続要件
13.2.2 サーバーのセキュリティ要件
13.3 新しい機能
13.3.1 アクセス許可の継承
13.3.2 セキュリティテンプレート
13.3.3 Active Directoryのディレクトリサービス
13.3.4 証明書サービス
13.3.5 Kerberos認証
13.3.6 IPSec
13.3.7 High Encryption Pack
13.4 IISセキュリティのチェックリスト
13.4.1 Windowsのセキュリティ
13.4.2 インターネットインフォメーションサービスのセキュリティ
13.5 IISのセキュリティ機能
13.5.1 リソースの階層とプロパティの継承
13.5.2 認証
13.5.3 アクセス制御
13.5.4 暗号化と証明書
13.5.5 監査
13.6 Internet Explorer 5.0
13.7 Internet Explorer 5.0のセキュリティ問題
13.7.1 悪意のあるアクティブコンテンツ
13.7.2 実行可能ファイルとドキュメント
13.7.3 機密性と完全性
13.7.4 パスワードの機密性
13.7.5 サーバーのなりすまし
13.7.6 Cookieによるプライバシの侵害
13.7.7 不適切なコンテンツへのアクセス
13.8 Internet Explorerのセキュリティ要件
13.8.1 ブラウザでアクセス(実行)できるコードの承認
13.8.2 コンテンツへのアクセスの承認
13.8.3 セッションの整合性と機密性
13.8.4 ユーザーのプライバシ
13.9 Internet Explorer 5.0のセキュリティ機能
13.9.1 セキュリティゾーン
13.9.2 ゾーンセキュリティ設定
13.9.3 クライアント/サーバー通信のセキュリティ保護
13.9.4 チャンネルのセキュリティ保護
13.9.5 Authenticode
13.9.6 コンテンツアドバイザ
13.9.7 Internet Explorer管理者キットとグループポリシー
13.9.8 そのほかのセキュリティ設定
13.9.9 プロファイルアシスタント
13.9.10 セキュリティゾーンとセキュリティ設定の構成
13.9.11 セキュリティで保護されたクライアント/サーバー通信の構成
13.9.12 Authenticodeの構成
13.9.13 コンテンツの格付けの構成
13.9.14 Internet Explorer管理者キットとグループポリシーの構成
13.9.15 そのほかのセキュリティ設定の構成
13.9.16 プロファイルアシスタントの構成
13.10 まとめ
付録A Microsoft Windows 2000リソースキットのツール
A.1 Appsec.exe:Application Security
A.2 Auditpol.exe:Audit Policy
A.3 Dsstore.exe:Directory Services Store
A.4 Dumpel.exe:Dump Event Log
A.5 Efsinfo.exe:Encrypting File System Information
A.6 Elogdmp.exe:Event Log Dump
A.7 Floplock.exe:Lock Floppy Disk Drives
A.8 Gpolmig.exe:Group Policy Migration
A.9 Gpotool.exe:Group Policy Verification
A.10 Gpresult.exe:Group Policy Results
A.11 Ipsecpol.exe:Internet Protocol Security Policies
A.12 Logevent.exe:Event Logging Utility
A.13 Klist.exe:Kerberos List
A.14 Kerbtray.exe:Kerberos Tray
A.15 Netset.exe:NetSet
A.16 Sectemplates.mmc:Security Configuration And Analysis Tool IIS
Templates
A.17 Tracelog.exe:Trace Log
A.18 Tracedmp.exe:Trace Dump
A.19 Usrtogrp.exe:Add Users To A Group
付録B セキュリティテンプレート
索引
内容説明
本書は、Windows2000で新たに導入されたセキュリティ関連の機能や構成ツールのほか、WindowsNT4.0から変更があった機能を含めて詳細に解説しています。管理者は、これらを理解することにより、Windows2000を適切に展開し運用することができ、ネットワーク通信のセキュリティをより堅牢なものに向上させることができます。
目次
Windows2000セキュリティの概要
WindowsNT4.0のセキュリティ概説
Windows2000のセキュリティモデルとサブシステム
Active Directory
認証
暗号化とMicrosoft公開キー基盤
アクセス制御モデル
グループポリシー
セキュリティの構成と監視
監査〔ほか〕