Windows 2000 セキュリティ強化ガイド

第 3 章 ‐ オペレーティング システムのインストール

最終更新日: 2004年1月20日

トピック

インストールの準備
Windows 2000 のインストール プロセス
適切なパスワードの選択
Windows 2000 Service Pack に関する考慮事項

この章では、Windows 2000 ファミリのオペレーティングシステムの初期インストール手順を説明します。

インストールの準備

インストール時は、セットアッププログラムにより、Windows 2000 のインストールおよび構成方法の情報の入力を求められます。インストールプロセスの開始前にハードウェアの情報を収集し、構成を確立して Windows 2000 オペレーティングシステムのインストール準備を行います。次のチェックリストは、インストールプロセスの開始前に定義が必要な情報に関するガイドラインになります。

表 3.1 Windows 2000 インストール前のチェックリスト

説明
ハードウェア互換性 : すべてのハードウェアについて Windows 2000 オペレーティングシステムとの互換性があることを確認します。ハードウェアコンポーネントには、マザーボード、ネットワークアダプタ、ビデオカード、サウンドカード、CD-ROM ドライブなどがあります。「Windows 2000 ハードウェア互換性リスト (HCL)」は、下記のサイトにあります。 http://www.microsoft.com/japan/whdc/hcl/default.mspx
ディスク領域 : システムに十分なディスク領域があることを確認します。Windows 2000 のインストールに推奨される最小のディスク空き容量は 2 ギガバイト (GB) です。
ディスクパーティション : Windows 2000 オペレーティングシステムのインストールに推奨される最小のディスク空き容量に注意してディスクパーティションの要件を決定します。
ファイルシステム : ファイルシステムは、セキュリティの構成を可能にするため、NTFS で構成する必要があります。FAT パーティションで実行しているシステムのほうが回復が容易であるという誤解が広がっています。これは真実ではありません。FAT ではセキュリティ性が低くなるだけで、回復も容易ではありません。
インストール方法 : Windows 2000 オペレーティングシステムをセットアップブートディスク、CD-ROM、ネットワークのいずれからインストールするかを決定します。
このドキュメントでは、ブートディスクまたは CD-ROM からのインストールを説明します。
サービスコンポーネント : インストール前に、インストール後のオペレーティングシステムに必要なサービスを決定します。サーバーインストールの場合は、Active Directory、DNS、WINS、DHCP などについて検討しておく必要があります。 

ページのトップへ

Windows 2000 のインストール プロセス

インストール方法

Windows 2000 は、既存の Windows オペレーティングシステムのアップグレードとしても、新たなオペレーティングシステムインストールとしても、インストールすることができます。Windows 2000 のセキュリティを確実に保護するには、コンピュータ上の唯一のオペレーティングシステムとしてクリーンなパーティションにインストールする必要があります。言い換えると、Windows 2000 のインストール時は事前にコンピュータ内のすべてのハードディスクパーティションから以前のオペレーティングシステムを消去し、クリーンアップする必要があります。

Windows 2000 オペレーティングシステムのインストールで利用できる方法は、次のように 3 種類あります。

  • セットアップブートディスク - この方法は、ブート可能な CD-ROM ディスクをサポートしていない旧型のコンピュータでの使用を目的としています。詳細は省略します。

  • CD-ROM

  • ネットワークから - 安全なネットワークだと保証できる環境を除き、この方法はお薦めできません。

ブート可能な CD-ROM からインストールを開始する

Windows 2000 のインストールでは、ブート可能な CD-ROM を使用する方法が簡単で迅速です。ただし、セットアップの際に障害が生じないようにするため、セットアップが完了し、最新のサービスパックがインストールされるまで、ネットワークの接続は切断しておくように強くお薦めします。

ブート可能 CD-ROM からは次のようにセットアップを開始します

  1. CD-ROM をドライブに挿入します。

  2. コンピュータを再起動し、セットアップのダイアログボックスが表示されるのを待ちます。多くのコンピュータは、ブートプロセスで CD-ROM からブートする際にいずれかのキーを押すことが必要になります。

  3. 画面に表示されるセットアップ指示に従って操作します。

次に、最もセキュリティが保護されるシステムのインストール方法を説明します。セットアッププロセスを手順ごとに詳しく説明するものではありません。

ディスク パーティションの構成

システムの最初のテキストモードのセットアップ時は、セットアッププログラムから、Windows 2000 をインストールする場所の確認が求められます。「図1」は、表示されるダイアログです。パーティションやハードディスクが複数ある場合は、それらが表示されます。下記の「図1」の例は、パーティションに分けられていない 16 GB のハードディスクを示しています。セキュリティを保護するため、このダイアログを使用して、他のすべてのオペレーティングシステムをシステムから削除することを強くお薦めします。ワークステーションの場合は、ディスク上のすべての領域をインストール パーティションに使用するようにお薦めします。サーバーの場合は、1 つのディスク上の約 4 GB の領域をオペレーティング システムに使用するようにお薦めします。システムの残りの領域は、データ ファイル、サービス、ユーティリティなどのために確保しておきます。ユーザーのデータ ファイルをサーバー上のブート パーティションに保存することは、まったくお薦めできません。ただし、ワークステーションの場合は、ユーザー各自がデータの保存場所の確認が容易になり、承認できる方法です。

図 1: ディスク パーティションの選択

拡大表示する

パーティション作成後に行う操作手順は、パーティションのフォーマットです。セキュリティが要求されるシステムはすべて、全パーティションを NTFS でフォーマットする必要があります。システムに NTFS を使用することが、合理的なセキュリティを確保するための前提条件です。

Administrator アカウントのパスワードを割り当てる

図2の [コンピュータ名と Administrator のパスワード] ダイアログボックスには既定の Administrator アカウントのパスワード設定方法が記載されています。適切なパスワードの設定方法の詳細については、「3.3、適切なパスワードの選択」を参照してください。セットアップの際にビルトインの Administrator アカウントに適切なパスワードを設定することは、非常に重要です。

図 2: [コンピュータ名と Administrator のパスワード] ダイアログ

拡大表示する

Windows 2000 サーバー製品のサービスコンポーネントを選択する

[Windows 2000 コンポーネント] ダイアログボックスで、インストールしているサーバーに必要なコンポーネントを選択します。このダイアログボックスを使用すると、インストール時にコンポーネントの追加と削除ができます。Windows 2000 Professional の既定の構成はそのまま受け入れられますが、Windows 2000 Server の場合はインストール時に変更が必要です。

  1. システムのセキュリティが低下するため選択をやめるコンポーネントが複数あります。これは、簡易 TCP/IP サービスSNMP プロトコルです。

  2. サーバーインストールの場合、[Windows 2000 コンポーネント] ダイアログボックスでは既定で [インデックスサービス][インターネットインフォメーションサービス (IIS)][スクリプトデバッガ] のインストールが選択されています。しかし、ほとんどのシステムで、これらのコンポーネントの選択は必要ありません。Web サーバー以外のサーバーでは、[インターネットインフォメーションサービス (IIS)][スクリプトデバッガ] の選択を解除します。ファイルの検索にファイルインデックスを必要としないシステムでは、図3 のように [インデックスサービス] の選択を解除します。Microsoft Exchange 2000 Server を実行するシステムでは IIS の一部をインストールする必要があることに注意してください。ただし、このガイドでは Exchange 2000 Server のセキュリティ構成を扱いません。

ネットワークのほとんどでセキュリティが保護されていないシステムを不当に使用するワームに感染するのを防ぐため、IIS を実行するシステムを分離ネットワークセグメントにインストールするか、Service Pack 3 以降がインストールされるまでネットワークケーブルを接続しないように強くお薦めします。

図 3: Windows 2000 コンポーネントの選択

拡大表示する

Windows 2000 Server をドメインコントローラに変換する

ドメインコントローラを作成するには、まず、Windows 2000 Server ファミリ製品のいずれかをインストールしてから、システムをドメインコントローラに昇格させます。これは、DCPromo.exe ツールで実行できます。昇格の際は、[アクセス許可] というダイアログが表示されます (「図4」を参照してください)。このダイアログでは、Windows 2000 以前と互換性のあるアクセス許可のラジオボタンが既定で選択されています。このオプションが選択されていると、Everyone グループが Pre-Windows 2000 Compatible Access グループのメンバになります。Pre-Windows 2000 Compatible Access グループには、Active Directory の全オブジェクトのすべての属性に対する読み取りアクセス権があります。これにより、重大なセキュリティリークの恐れが発生します。すでに昇格されているシステムがある場合は、Pre-Windows 2000 Compatible Access グループのメンバシップを確認して、このチェックボックスが選択されているかどうかを確認できます。Everyone がこのグループのメンバである場合は削除して、すべてのドメインコントローラを再起動します。このアクセスを規定するアクセストークンがブート時に作成されるため、再起動の必要があります。

新規インストールでは、Windows 2000 以外のサーバーおよびクライアントからのアクセスが要件ではない場合にこのオプションを選択します。これは、下位互換性をなくしてセキュリティを大幅に強化できることを示す最初の実例に過ぎません。

図 4: Active Directory の [アクセス許可] ダイアログ

拡大表示する

ページのトップへ

適切なパスワードの選択

システムのセキュリティは、適切なパスワードを選択しているかどうかによって左右されます。ここでは適切なパスワードについて詳細に説明します。しかし、Windows 2000 で適切なパスワードを選択する方法を理解するには、オペレーティングシステムでパスワードがどのように保存されるかについての基本的な理解が必要です。

Windows 2000 のパスワードの表記

Windows 2000 では、既定でクリアテキストのパスワードが保存されることはありません。パスワードは、一般に「ハッシュ」と呼ばれる 2 種類のパスワード表記を使用して保存されます。2 つの表記を使用することによって、下位互換性を保持します。

LMHash

LMHash は LAN Manager ハッシュとも呼ばれていますが、厳密にはハッシュではありません。次のように処理されます。

  1. パスワードの小文字すべてを大文字に変換します。

  2. 長さが 14 文字になるまでパスワードに NULL 文字を埋め込みます。

  3. パスワードを 7 文字のまとまりに分割します。

  4. まとまりのそれぞれを別個に特定の文字列を暗号化する DES キーとして使用します。

  5. 2 つの暗号テキストを 128 ビットの文字列に連結したものを保存します。

LMHash の生成に使用されるアルゴリズムでは、ハッシュの解読が非常に容易です。まず、8 文字より長いパスワードでも、分離した 2 つのまとまりで容易に攻撃されます。さらに、設定された小文字はすべて無視することができます。このことは、パスワード解読ツールのほとんどが LMHash の解読から始め、解読されたパスワードのアルファベットを変更するだけで大文字と小文字が区別されるパスワードを生成できることを意味します。リモート、ローカルを問わず、Windows 2000 システムにログオンするには、大文字と小文字の区別が保持されるパスワードを使用する必要があることに注意してください。

NTHash

NTHash は、Unicode 文字セットすべてをサポートするため、Unicode ハッシュともいいます。NTHash は、プレーンテキストのパスワードを取得して、その MD4 ハッシュを生成することで、導出されます。MD4 ハッシュが保存されます。NTHash は、LMHash に比較して総当り攻撃に対する抵抗力が大きくなります。同じパスワードの場合、NTHash に対する総当り攻撃は、LMHash に対する総当り攻撃と比較して、解読にかかる時間が桁ちがいに大きくなります。

適切なパスワードの構成とは

合理的なパスワードを構成するための一般的なガイドラインが次のようにいくつかあります。

  • 7 文字より長いこと (7 文字以下の場合、LMHash の後半が NULL パスワードを使用した暗号になります)。

  • 次の 4 つの文字セットから、少なくとも 3 つの要素を使用すること。

    • 大文字

    • 小文字

    • 数字

    • 英数字以外の文字

  • ユーザーの姓名やユーザー アカウント名、一般的な単語を使用しないこと。

パスワード フィルタによってこの複雑性が強制され、オプションでグループポリシーの使用を要求することもできます。ポリシーによる複雑さの要件の詳細については、「5.1.1」を参照してください。さらに、管理者は、独自のパスワードフィルタを作成して複雑さの要件をカスタマイズできます。独自のフィルタでは、たとえば、パスワードに社名を使用しないように強制したり、複雑さを高めることなどができます。このフィルタの作成方法の詳細については、http://msdn2.microsoft.com/en-us/library/ms722439.aspx のサイトにある『Microsoft Windows Development Kit (SDK)』の「Password Filters」 (英語) を参照してください。

ただし、このようにしたパスワードもほとんどが容易に解読されます。次のようにパスワードの解読をさらに困難にする手順がいくつかあります。

  • キーボードの「上段の文字」以外の非英数字を使用します。上段の文字とは、Shift キーを押しながらいずれかの数字キーを押して入力する文字のことです。パスワード解読者のほとんどは、キーボードの上段の文字がパスワードにエントロピーを追加する最も一般的な方法であることを認識しているため、これらの文字から解読を始めます。

  • ALT キーによる文字を使用します。ALT キーによる文字は、ALT キー (ラップトップの場合は FN キーと ALT キー) を押しながら、テンキー (ラップトップでは数字オーバーレイキー) の場合は 3 桁または 4 桁の数値の入力によって入力する文字です。パスワード解読者のほとんどは、非常に多様な ALT キーによる文字をテストすることができません。

  • LMHash の保存を許可しないようにします。

LMHash の保存を防ぐ方法は多数あります。システム全体に対する方法については「5.2.4.1.8 LMHash の作成を無効にする」で説明します。しかし、LMHash の作成は、一定の方法でパスワードを構成することでアカウントごとに制御することができます。

まず、パスワードが 14 文字より長い場合、システムでは LMHash を生成できません。Windows 2000 では、127 文字までのパスワード設定できます。

さらに、パスワードに ALT キーによる文字が含まれていると、システムでは LMHash を生成できなくなります。この点には注意を要します。ALT キーによる文字の一部は LMHash を削除することによりパスワードのセキュリティを大幅に強化しますが、文字によっては、保存前に通常の大文字に変換されるため、セキュリティが弱くなることもあります。しかし、パスワードを強化する文字は多数あります。「表2」は、LMHash が生成されないようにするコード 1024 以下の文字のすべてを示しています。

表 1 LMHash を消去する ALT キー使用文字

0128-0159 0306-0307 0312 0319-0320
0329-0331 0383 0385-0406 0408-0409
0411-0414 0418-0424 0426 0428-0429
0433-0437 0439-0447 0449-0450 0452-0460
0477 0480-0483 0494-0495 0497-0608
0610-0631 0633-0696 0699 0701-0707
0709 0711 0716 0718-0729
0731 0733-0767 0773-0775 0777
0779-0781 0783-0806 0808-0816 0819-0893
0895-0912 0914 0918-0919 0921-0927
0929-0930 0933 0935-0936 0938-0944
0947 0950-0955 0957-0959 0961-0962
0965 0967-1024

多くの環境において、システム全体で LMHash を無効にすることはできません。これは、オペレーティングシステムがネットワークを介して DOS ディスクをブートしてインストールされる環境などが例として挙げられます。DOS では、NT ハッシュアルゴリズムがサポートされないため、LMHash の存在が必要になります。DOS では、パスワードに ALT キーによる文字も使用できません。可能であれば、すべての環境のシステム全体で LMHash を無効にするようにお薦めしますが、上記の手法を使用して、環境すべてのパスワードを個別に強化することもできます。

サービスアカウントや管理アカウントなど、セキュリティが重要なアカウントには ALT キーによる文字を使用するように特にお薦めします。一般に、これらのアカウントは、通常のユーザーアカウントより必要な保護の程度が高く、このアカウントを使用するユーザーは自発的に非常に複雑なパスワードを使用します。ただし、パスワードに ALT キーによる文字が使用されると、回復コンソールが中断します。ALT キーによる文字でパスワードを設定する際はこのことに注意が必要です。

ページのトップへ

Windows 2000 Service Pack に関する考慮事項

Windows 2000 Professional、Windows 2000 Server および Windows 2000 Advanced Server に使用される Windows 2000 Service Pack は、Windows 2000 オペレーティングシステムの最新の修正プログラムを提供します。この修正プログラムは、アプリケーション互換性、オペレーティングシステムの信頼性、セキュリティ、およびセットアップの各分野の修正のコレクションです。Service Pack 修正プログラムのそれぞれは累積的で、それまでの Windows 2000 Service Pack に収録された修正プログラムすべてが含まれています。

Windows 2000 post Service Pack 修正プログラムは、サービスパックビルド間に発生した特定の問題を解決する修正プログラムを提供します。一般に修正プログラムはすべて、後続のサービスパックビルドのそれぞれにまとめられます。たとえば、 Windows 2000 Service Pack 3 には、Service Pack 2 の修正プログラムと、post Service Pack 2 の修正プログラムのすべてが収録されます。

Windows 2000 Service Pack の暗号化

Windows 2000 Service Pack 2 以降では、高度な暗号化 (128 ビット) が既定としてサポートされ、オペレーティングシステムがまだアップグレードされていない場合は、標準の暗号化 (56 ビット) から自動的にアップグレードします。この機能は無効化やアンインストールができません。インストール後にサービスパックを削除した場合も、オペレーティングシステムでは、128 ビットの暗号化の使用が続行され、56 ビットの暗号化に戻ることはありません。

しかし、例外が 1 つあります。Protected Store は、Internet Explorer 4.0 で導入されたデータストアです。Protected Store は、データ保護 API のために非推奨とされるプロセスにあります。しかし、既定では、IE ユーザー名やパスワードなどの保護されたストア内のデータは、強固ではない暗号化によって保護されており、この暗号化は、サービスパックのインストールではアップグレードされません。Protected Store の暗号化をアップグレードするには、Service Pack 2 以降をインストールしてから、次のコマンドを実行する必要があります。

Keymigrt.exe  
Keymigrt.exe -m   

keymigrt.exe ユーティリティには、次のスイッチがあります。

keymigrt [-f] [-v] [-u] [-m] [-s]
CAPI Key upgrade utility
        -f - Force key upgrade
        -e - Force Encryption Settings upgrade
        -v - Verbose
        -u - Allow upgrade of UI protected keys
        -m - Upgrade machine keys
        -s - Show current state, but make no modifications

keymigrt.exe の詳細とツールのダウンロードについては、http://www.microsoft.com/japan/technet/security/bulletin/MS00-032.mspx のサイトの Microsoft のセキュリティ情報 MS00-032 を参照してください。

サービス パックおよび修正プログラムのインストール前に推奨される操作

サービスパックや修正プログラムをインストールする前には、次の手順に従います。

  1. すべてのアプリケーションを閉じます。

  2. システム修復ディスク (ERD) を更新します。

    • [スタート] をクリックして、[プログラム][アクセサリ][システムツール] の順にポイントして [バックアップ] をクリックします。

      拡大表示する

    • [ウィザード] タブで、[システム修復ディスク] をクリックします。

    • [システム修復ディスク] ウィンドウで [修復ディレクトリのレジストリのバックアップも作成する] を選択して、現在のレジストリファイルを %systemroot%\Repair フォルダの \RegBackというフォルダに保存します。これは、障害発生時のシステムの回復に使用できます。

    • [OK] をクリックすると、ERD が作成されます。

    • ERD が作成されると、下記の表に記載されたファイルが %systemroot%\Repair からフロッピーディスクにコピーされます。

      ファイル名 内容
      Autoexec.nt %systemroot%\System32\Autoexec.nt のコピーで、MS-DOS 環境の初期化に使用されます。
      Config.nt %systemroot%\System32\Config.nt のコピーで、MS-DOS 環境の初期化に使用されます。
      Setup.log インストールされたファイルおよび巡回冗長検査 (CRC) 情報のログでシステム修復のプロセスで使用されます。このファイルは、読み取り専用属性、システム属性、隠し属性があり、すべてのファイルが表示されるように構成しない限り表示されません。
  3. レジストリファイルも含めたコンピュータの完全バックアップを実行します。

  4. 更新で要求されるディスクの空き容量が利用可能であることを確認します。一般に付随の Readme ファイルで確認できます。

  5. システムに対して最新の変更が行われている場合は、サービスパックの修正プログラムをインストールする前に、コンピュータの再起動が必要になる場合もあります。

サービス パックと修正プログラムをインストールする

Windows 2000 Service Pack 3 は、サービスパック CD、ネットワークドライブ、下記の Windows 2000 Service Pack の Web サイトからインストールできます。

http://www.microsoft.com/japan/windows2000/downloads/servicepacks/

インストール方法の詳細な手順は、サービスパックの readme ファイルに記載されています。インストールでは、サービスパックプログラムによって、コンピュータにファイルがインストールされ、サービスパックのインストーラが変更したファイルと設定のバックアップが自動的に作成され、バックアップファイルは、%systemroot% フォルダの $NTServicepackUninstall$ フォルダに保存されます。

ページのトップへ

目次

ページのトップへ