重要なアカウントおよびサービス アカウントをセキュリティ保護する

公開日: 2006年12月25日

ダウンロード

重要なアカウントおよびサービス アカウントをセキュリティ保護する』(英語) をダウンロードする

トピック

はじめに

定義

課題

ソリューション

概要

付録 A : 共通サービス

はじめに

中規模ビジネス ネットワークをセキュリティ保護するための第 1 歩は、攻撃者が利用する可能性が高い脆弱性が何かを理解することです。 ネットワークに侵入した攻撃者の主な作業は特権の昇格を開始することであり、これにより攻撃者は侵入場所を足掛かりに、さらに多くのアクセス権を取得しようとします。 特権の昇格が成功してしまうと、攻撃してきた侵入者を食い止める手段はほとんどありません。 特権の昇格を行うために攻撃者が利用するメカニズムは多数存在しますが、主要な方法は既存のアカウント、特に管理者特権に相当するアカウントに攻撃を仕掛けることです。

中規模ビジネス ネットワークでは、標準のユーザー アカウントに何らかのセキュリティ管理の手段を採用することがよくありますが、サービス アカウントを十分に管理しない場合が多いため、このようなアカウントは脆弱性の影響を受け、攻撃者の標的となります。 攻撃者がネットワークを攻撃して、高い特権を持つ重要なアカウントがセキュリティ侵害されると、ネットワーク全体を最初から完全に再構築しない限り、完全に信頼することはできなくなります。 このため、あらゆる種類のアカウントに対するセキュリティのレベルは、どのようなネットワーク セキュリティ イニシアチブでも非常に重要な側面となっています。

中規模ビジネス ネットワークに対して外部の脅威がもたらすリスクに加えて、内部の脅威も大きな被害の原因となる場合があります。 内部の脅威には、悪意のあるユーザーだけでなく、意図せずに被害をもたらすユーザーも含まれます。 リソースにアクセスしようとするユーザーがセキュリティ対策を回避しようとする、一見無害な試みも 1 つの例です。 利便性を理由に、ユーザーやサービスに必要以上の特権に対するアクセス権を認めてしまうことがよくあります。 このアプローチでは、確かにユーザーは業務に必要なリソースにアクセスできますが、ネットワークへの攻撃が成功するリスクも増加します。

要点

導入の章で述べたとおり、ネットワークですべての種類のアカウントに対してセキュリティを管理する問題は、中規模ビジネス ネットワークでリスクを管理する上で非常に重要です。 まず、内部および外部の脅威を考慮する必要があり、さらにこれらの脅威に対処する、セキュリティと組織のネットワーク リソース使用の利便性のバランスの取れたソリューションが中規模ビジネスには必要とされます。

この文書は、中規模ビジネスの従業員が、管理者、サービス、アプリケーション関係および既定の各アカウントに関連するリスクが理解できるようにサポートします。 次に、こうしたリスクを軽減するために中規模ビジネスで採用できる工程を開発し、導入する基盤となる背景を説明します。 そのためには、これらのアカウントの性質、識別方法、機能するために求められる適切なアクセス許可の決定方法、および昇格したサービス アカウントや管理者レベル アカウントに内在するリスクを軽減する方法を検討する必要があります。

マイクロソフトの「信頼できるコンピューティング」イニシアチブの一環として、Microsoft® Windows Server™ 2003 では、既定の設定で多数のさまざまな脅威に対して、Active Directory® ディレクトリ サービスをセキュリティ保護するように設計されていますが、中規模ビジネス ネットワーク環境では、セキュリティのレベルを高めるために、管理者アカウントの設定をさらに強化することができます。 また、他のアプリケーションにインストールされた Windows Server 2003 オペレーティング システムで提供されないサービスも同様にセキュリティ保護する必要があります。 この文書では、管理者特権の導入と管理の方法を制御するためのベスト プラクティスに加え、こうしたアカウントおよびサービスをセキュリティ保護する方法についても説明します。

概要

この文書は主に 4 つのセクションで構成されています。それぞれのセクションは、中規模ビジネス環境で管理者アカウントおよびサービス アカウントをセキュリティ保護することに関する情報を提供しています。 最初のセクションは、現在お読みになっている「はじめに」です。 後の 3 つのセクションは、次のように構成されています。

  • 定義。 このセクションでは、この文書で使用されている専門用語の背景情報と詳細について説明します。

  • 課題。 このセクションでは、アカウントをセキュリティ保護する必要がある理由、および管理者アカウントおよびサービス アカウントのセキュリティ保護に関連する問題を決定する際に、中規模ビジネスが直面する可能性がある共通の問題について説明します。

  • ソリューション。 このセクションは、3 つのサブセクションに分かれており、中規模ビジネスで重要なアカウントおよびサービス アカウントをセキュリティ保護するためのアプローチの各段階を説明しています。 サブセクションには、次のようなものがあります。

    • 評価。 このサブセクションでは、重要なアカウントおよびサービス アカウントをセキュリティ保護することについての基本的な考え方を説明し、ソリューションの計画を立てるための基礎を据えます。

    • 開発。 このサブセクションでは、「評価」サブセクションで検討した情報に基づいて、重要なアカウントおよびサービス アカウントのセキュリティを強化する計画の立案をサポートするソリューションを説明します。

    • 展開と管理。 このサブセクションでは、中規模のビジネス環境でセキュリティ保護された管理者アカウントおよびサービス アカウントを実装するための推奨方法を説明します。

対象読者

この技術文書は、Microsoft ネットワーク上のサービス、アプリケーション、および管理者レベルの各アカウントのセキュリティについて懸念を抱いている技術の専門家および技術管理者をサポートすることを目的としています。 専門知識を持たない読者の方でも、この文書を読むことで、セキュリティの高いアカウント管理の原則について理解を深めることができますが、この文書で説明する題材について完全に理解し、応用するためには、Microsoft Windows® および Active Directory アカウント管理の概念および手順を理解している必要があります。

ページのトップへ

定義

このセクションでは、この文書で使用する多数の用語のうち、説明が必要と思われるものの定義を示します。

  • サービス。 サービスとは、起動時に動作する実行可能ファイル、またはその他のイベントやスケジュールされたインスタンスにより開始される実行可能ファイルです。 サービスは通常、ユーザーへの確認やユーザー入力がほとんど必要とされず、バックグラウンドで動作します。

  • サービス アカウント。 簡単に言うと、サービス アカウントは、通常、実在のユーザーに対応しない任意のアカウントと表されます。 アクティビティを実行するために必要なリソースにアクセスするためにサービスが使用するビルトイン アカウントである場合もあります。 ただし、サービスには、特定の機能を実行するために実在のユーザー アカウントが必要なものもあり、多くのビジネスでは、サービスを実行するためにドメイン アカウントを使用する習慣が続いています。

  • 管理者アカウント。 新しくインストールした Microsoft Windows や Active Directory ドメインには、既定で作成された Administrator アカウントがありますが、管理者アカウントという用語は、管理者レベルの特権を許可された任意のアカウントを表すために一般的な意味で使用される場合もあります。 この文書では、混乱を避けるため、両者を区別します。

  • 管理グループ。 これらのグループは、インストールされているサービスにより異なりますが、Builtin コンテナと Users コンテナで自動的に作成されたグループが含まれます。 こうしたグループには、作成されて管理者特権を許可されたグループも含まれます。

  • 重要なアカウント。 この文書では、高いレベルの特権があるため、または広範囲に使用されるために、高いリスクの原因となると考えられる既定のアカウントを表すために、「重要なアカウント」という用語を使用します。

  • 制限付きアカウント。 制限付きアカウントとは、管理グループのメンバではなく、ローカルまたはドメインの管理者アカウントに相当する、昇格された特権を持たないアカウントです。 通常、制限付きアカウントは、Domain Users グループまたはローカルの Users グループのメンバです。

  • 必要最小限の特権の原則。 米国国防総省の『Trusted Computer System Evaluation Criteria (DOD-5200.28-STD)』または『オレンジブック』は、コンピュータ セキュリティで標準として認められています。 この出版物では、最小限の特権の原則を、「システム内の各人に、承認済みタスクの実行に必要な一連の特権を最大限に制限 (または最小限に認可) して許可することとする原則。 この原則を適用することにより、事故、過失、または承認されない使用による損害を制限します」と定義しています。

ページのトップへ

課題

前のセクションで説明したとおり、セキュリティ保護されていない管理者レベル アカウントおよびサービス アカウントは、中規模ビジネス ネットワークのセキュリティに重大なリスクをもたらします。 ネットワーク環境の複雑さと多くのビジネス ネットワークが経験している急速な成長のため、重大な脆弱性を持つアカウント管理の習慣を目にするのは珍しいことではありません。 これらの要素が、ネットワークで実行されている重要なアカウントやサービスのセキュリティ保護が膨大なタスクになってしまっている原因になっています。

こうしたセキュリティ上の懸念に対応する方法を検討してみると、中規模ビジネスが直面する共通の問題には次のようなものがあることがわかります。

  • アカウント管理および手順を回避しようとする従業員に関連した内外の脅威からどのようにネットワークを保護するか。

  • ネットワークおよびローカル コンピュータで使用されているすべてのサービスおよびアプリケーション アカウントをどのように識別するか。

  • 機密性の高いサービス、管理者、およびアプリケーションに関係したアカウントをどのようにセキュリティ保護するか。

  • サービスおよびアプリケーションと関連付けられたアカウントをどのように特定するか。

  • サービス アカウントをユーザー アカウントのパスワード ポリシーからどのように分離するか。

ページのトップへ

ソリューション

この文書に記載されたソリューションは、サービス アカウント、管理者アカウント、および重要なアカウントを管理するための最小特権の原則および特権が最も低いユーザー アカウント (LUA) のアプローチに従っています。

必要最小限の特権の原則は、ほとんどのセキュリティ関連のトレーニングや文書で触れられています。 この原則は比較的容易に理解できるうえ、実施すれば、どのような形態のビジネスにも、大幅なビジネスのセキュリティ プロファイルの向上をもたらします。 簡単に言うと、この原則の内容は、すべてのアカウントには、現在のタスクの完了に必要な特権以外には何もない最小限の特権のみを付与する、というものです。 この原則は、ユーザーだけでなく、コンピュータやコンピュータ上で実行されるサービスにも適用されます。

このような原則に従うことは、悪意のある攻撃者やマルウェアに対する保護になるだけでなく、技術専門家がユーザー、コンピュータ、およびアプリケーションに必要なアクセス特権を特定するための広範な調査を行うことにより、セキュリティ侵害のセキュリティ プロファイルを向上することにもなります。 この情報を理解することで、セキュリティ保護されておらず、さらに保護が必要なプロセスや設定はどれかを知ることができるため、セキュリティ イニシアティブを成功させるための重要な工程となります。

たとえば、必要最小限の特権の原則に従えば、ドメイン管理者の役割を持つユーザーは、タスクの実行に必要な場合のみドメイン管理者レベルの特権でアクセスすることになります。 それ以外の場合で、高いレベルの特権を必要とするタスクを実行しないときには、管理者も通常のアクセス権があるアカウントを使用する必要があります。 こうした習慣は、人為的な過失に基づくセキュリティの脅威を削減し、万一管理ワークステーションがマルウェアに感染しても被害を抑えることができます。

評価

重要なアカウントおよびサービス アカウントをセキュリティ保護するには、これらのアカウントが何かを識別すると共に、関連した脅威を識別することも必要です。 ただし、これらのアカウントを変更することに伴う結果が理解されるようにして、ビジネスへの影響が許容範囲にとどまるようにすることも重要です。

管理者アカウントおよび重要なアカウント管理

管理者アカウントおよび重要なアカウント、または関連グループをセキュリティ保護するには、この基準に適合するアカウントおよびグループを知る必要があります。 また、管理者レベル特権の範囲、および、特にドメイン コントローラを管理する場合、どのシステムに影響するかを理解することも重要です。

このため、この文書を読む際には、管理対象となるすべてのドメイン コントローラとアカウントの知識と共に、環境内の管理者レベル アカウントについて詳細に理解していることが重要です。

管理者アカウントおよびグループ

Active Directory ネットワークの管理者レベル アカウントには、次のものがあります。

  • 既定の Administrator アカウント。Active Directory をドメイン内の 1 台目のドメイン コントローラにインストールしたときに作成されます。 このアカウントはドメインで最も強力なアカウントで、作成時にはパスワードの設定が必要です。

  • 後から作成されたアカウントで、管理者特権を直接許可されたもの、または管理グループに配置されたことにより管理者特権を付与されたもの。

Active Directory ドメイン内に作成される管理者グループは、ドメイン内にインストールしたサービスによって異なります。 基本的な Active Directory ドメインには、次のものがあります。

  • Builtin コンテナ内に自動的に作成される管理者グループ。

  • Users コンテナ内に自動的に作成される管理者グループ。

  • 後から作成されたグループで、管理者特権があるグループに配置されたもの、または割り当てられた管理者特権を持つもの。

サービス管理者とデータ管理者

Windows Server 2003 Active Directory 環境には、 サービス管理者とデータ管理者の 2 つの種類の管理者特権があります。

  • サービス管理者アカウントは、ディレクトリ サービスのメンテナンスおよび配信を管理します。これには、ドメイン コントローラおよび Active Directory の管理が含まれます。

  • データ管理者アカウントは、ディレクトリ サービスに格納されたデータ、ドメインのメンバ サーバーおよびドメインのワークステーション上のデータを管理します。

任意の環境で個人が両方の役割を担当する場合もありますが、ここで対象としているサービス管理者である既定のアカウントおよびグループを理解することが重要です。 サービス管理者アカウントはネットワーク環境で非常に大きな特権を持つため、最も厳重な管理を必要とします。 これらのアカウントは、ディレクトリごとの設定、ソフトウェアのインストールとメンテナンス、オペレーティング システムのサービス パックの適用、ドメイン コントローラ上での更新などの作業を担当します。

表 1. 既定のサービス管理者グループ/アカウント

名前 コンテナ 説明
Administrators Builtin このグループは、すべてのドメイン コントローラおよびドメインに含まれるすべてのディレクトリ コンテンツにフル アクセスできます。 このグループは最も強力なサービス管理者グループであり、他のすべての管理者グループのメンバシップを変更できます。
Enterprise Admins Users このグループは、すべてのドメインの Administrators グループに自動的に追加され、すべてのドメイン コントローラ構成に対するアクセス権があります。
Domain Admins Users このグループは、フォレスト内の各ドメインの Administrators グループに自動的に追加されます。 このため、Domain Admins は、すべてのドメイン コントローラとドメインのディレクトリに含まれるデータに対する特権があり、どの管理グループのメンバシップでも変更できます。
Schema Admins Users このグループは、Active Directory スキーマに対して完全な管理者特権を保持します。
Account Operators Builtin このグループは、ドメイン内のアカウントおよびグループを作成および管理する特権はありますが、サービス管理者アカウントを管理する特権はありません。 このグループには、既定ではメンバがないため、管理委任には使用しないことがベスト プラクティスです。
Backup Operators Builtin このグループは、ドメイン コントローラ上でバックアップおよび復元操作を実行する特権を許可し、既定ではメンバがありません。
Server Operators Builtin このグループは、ドメイン コントローラ上で保守タスクを実行でき、既定ではメンバがありません。
DS Restore Mode Administrator Active Directory 内には格納されない このアカウントは Active Directory のインストール プロセスの間に作成されます。 このアカウントは、ドメイン コントローラをディレクトリ サービス復元モードで開始するときに使用します。Administrator アカウントとは異なりますが、ドメイン コントローラがディレクトリ サービス復元モードになっている場合は、フル アクセスできます。

上の表に示したサービス管理者グループおよびアカウントは、特定のセキュリティ記述子を定期的にチェックして適用するバックグラウンド プロセスによって保護されます。このセキュリティ記述子には、保護対象オブジェクトに関連するセキュリティ情報が含まれています。 このプロセスは、サービス管理者グループの任意のメンバにも及び、管理グループ メンバの記述子を変更しようとする不正な試行が成功した場合、セキュリティ記述子のデータ構造体が備えている保護設定で、上書きされます。

このセキュリティ記述子のデータ構造体は、AdminSDHolder オブジェクトに存在しています。 したがって、サービス管理者グループまたは同グループ内のメンバ アカウントのアクセス許可情報を変更するには、AdminSDHolder オブジェクトのセキュリティ記述子を変更して不整合が起こらないようにする必要があります。 セキュリティ記述子を変更すると、すべての保護された管理アカウントに適用される既定の設定が変更されるため、このようにアクセス許可を変更する場合は、注意が必要です。

サービス管理者アカウントのアクセス許可情報の変更に関する詳細については、「Best Practice Guide for Securing Active Directory Installations」(英語) を参照してください。

サービスおよびアプリケーション アカウント管理

サービスは、ユーザーの操作を介せず動作する実行可能ファイルで、オペレーティング システムの起動時に自動的に起動するため、サービスやサービス アカウントがビジネス ネットワークで固有のセキュリティ リスクとして見過ごされることがよくあります。 セキュリティ リスクを理解していても、単純なパスワード変更でさえ、サービス停止のリスクを回避するために、他のさまざまな変更が必要になることを考えると、サービス アカウント管理は比較的複雑で手のかかる作業であると言えます。

Windows Server 2003 では、脅威からセキュリティ保護されたサービスやサービス アカウントが既定で提供されますが、多くのサードパーティのサービスや他の Microsoft サービスも、サービス アカウントを正常に機能させるためにセキュリティ保護される必要があります。 Microsoft Systems Management Server や IBM Tivoli などのエンタープライズ管理ツールでは、ドメイン全体および信頼関係にある他のドメインに対する特権を持つアカウントを使用することが必要になる場合もあるため、この要件が特に当てはまります。

サービスを実行するためにドメイン アカウントを使用すると、個別のサーバーではなくドメイン全体でサービスを容易に管理できるため、この習慣にはセキュリティ リスクが伴うにもかかわらず、依然として一般的に採用されています。 サービスでは、ローカル アカウントを使用するかドメイン アカウントを使用するかにかかわらず、使用するユーザー アカウントおよびパスワード情報をレジストリに保存します。 1 台のコンピュータがセキュリティ侵害されただけでも、サービスでドメイン アカウントを使用していると、攻撃者はこの情報を使用して特権を昇格できます。 サービスで管理者レベルのドメイン アカウントを使用している場合、こうした状況はネットワーク全体に脅威をもたらします。

サービス アカウントの脆弱性のシナリオ

認証にドメイン アカウントを使用するようにサービスを構成する習慣は、セキュリティの危険を招く可能性があります。 セキュリティ リスクの危険度は、次のような要因によって変化します。

  • サービス アカウントを使用するように構成されているサービスがあるサーバーの数。 ネットワークの脆弱性プロファイルは、ドメイン アカウントに承認されたサービスを実行しているサーバーごとに増加します。 このようなサーバーが 1 台存在するごとに、攻撃者がサーバーをセキュリティ侵害して、特権の昇格に利用し、ネットワーク上の他のリソースを攻撃する可能性が増加します。

  • サービスが使用するドメイン アカウントの特権の範囲。 サービス アカウントが持つ特権の範囲が広いほど、アカウントによってセキュリティ侵害される可能性があるリソースの数が多くなります。 ドメイン管理者レベルの特権は、脆弱性の範囲がドメイン コントローラを含め、ネットワーク上のあらゆるコンピュータを含むため、特にリスクが高くなります。 こうしたアカウントにはすべてのメンバ サーバーに対する管理者特権があるため、このようなアカウントのセキュリティ侵害は重大であり、ドメインにあるすべてのコンピュータとデータが疑われることになります。

  • 任意のサーバーでドメイン アカウントを使用するように構成されているサーバーの数。 一部のサービスには固有の脆弱性があり、攻撃の影響を受けやすくなっています。 攻撃者は通常、最初に既知の脆弱性を利用しようとします。 脆弱性のあるサービスがドメイン アカウントを使用すると、単一のサーバーに分離しない限り、他のシステムへの拡大のリスクが高まります。

  • ドメインでサービスを実行するために使用するドメイン アカウントの数。 サービス アカウントのセキュリティの監視と管理は、通常のユーザー アカウントの場合より厳密に行う必要があり、サービスが使用するドメイン アカウントが増えるごとに、アカウントの管理は複雑になります。 不審な活動を検出するには、管理者およびセキュリティ管理者が各サービス アカウントが使用されている場所を把握する必要があることを考慮すると、アカウントの数を最小限にとどめる必要があることは明らかです。

上述の要因から、存在する可能性がある脆弱性のシナリオがいくつか導かれます。それぞれのシナリオでセキュリティ リスクのレベルは異なります。 次の図と表は、これらのシナリオを説明しています。

これらの例については、サービス アカウントはドメイン アカウントであり、各アカウントには、各サーバーを認証に使用するサービスが少なくとも 1 つあることを想定しています。 次の情報は、以下の図に示すドメイン アカウントを説明しています。

  • アカウント A には管理者相当の特権が複数のドメイン コントローラに存在します。

  • アカウント B には管理者相当の特権がすべてのメンバ サーバーに存在します。

  • アカウント C では管理者相当の特権がサーバー 2 およびサーバー 3 に存在します。

  • アカウント D では管理者相当の特権がサーバー 4 およびサーバー 5 に存在します。

  • アカウント E では管理者相当の特権は、単一のメンバ サーバーにしか存在しません。

    図 1. ドメイン サービス アカウントの脆弱性のシナリオ

次の表には、前述の図とテキストで説明したシナリオが記載されており、脆弱性の度合いによってランク付けされています。

表 2. セキュリティ脆弱性シナリオのランク付け

シナリオ 説明 リスク レベル
1 アカウント A は、サーバー 1 のサービスが利用しています。サーバー 1 がセキュリティ侵害されると、アカウント A の認証情報が知られてしまいます。 この情報が知られると、攻撃者は DC1 ドメイン コントローラにアクセスでき、そこからドメインにあるリソースと含まれる情報のすべてが脆弱性の影響を受けることになります。 この状況は、重大なリスクのシナリオをもたらします。 ドメインまたはドメイン コントローラに対して管理者相当の特権を持つドメイン アカウントは、メンバ サーバーでサービスを実行するために使用しないようにする必要があります。 緊急
2 アカウント B は、サーバー 2 のサービスが利用しています。アカウント B は、アカウント A がサービスを実行しているサーバー 1 にも特権があります。 サーバー 2 でアカウント B がセキュリティ侵害されると、攻撃者はシナリオ 1 で説明したものと同じアクセス権を取得するため、ドメイン コントローラとドメイン全体が危険にさらされます。 アカウント C では、サーバー 3 に仕掛けた攻撃からサーバー 2 をセキュリティ侵害することができるため、ネットワークを同じレベルのリスクにさらすことになり、アカウント A も知られてしまうため、ドメイン全体が危険にさらされることになります。 これらは高リスクなシナリオとなっていますが、シナリオ 1 で示されている潜在的な脅威に対応することで解決できます。
3 アカウント D は、サーバー 4 およびサーバー 5 で実行されているサービスが利用しています。アカウント D がセキュリティ侵害されると、攻撃者はアカウント D が特権を持つすべてのサーバーへのアクセス権を取得します。 これらのサーバーに、高い特権や多くの特権があるアカウントを使用するサービスが含まれていなければ、このシナリオにはシナリオ 2 に存在する推移する脆弱性がないため、優先度「中」のリスクになります。
4 アカウント E は、単一のサーバーであるサーバー 5 のサービスが利用しており、他の特権やサービスの関連付けは何もありません。 このシナリオでは、単一のサーバー以上に特権の昇格ができないため、リスクは低くなっています。 注意

上記のシナリオでのリスク レベルは、次のようにわかりやすく説明できます。

  • 重大なリスク レベル。 ネットワークとビジネス全体のセキュリティがただちに損なわれる可能性があるリスクです。

  • 高リスク レベル。 ネットワーク全体のセキュリティを侵害する可能性があるリスクですが、重大なリスクほど緊急ではありません。

  • 中リスク レベル。 対応が必要なリスクであり、複数のサーバーに影響する可能性がありますが、重要なサーバーを脆弱性にさらすことはありません。

  • 低リスク レベル。 このリスクにより 1 台のサーバーがセキュリティ侵害される可能性はありますが、重要なサーバーが危険にさらされることはありません。

システム アカウント

サービスは、動作しているオペレーティング システムが管理するリソースとオブジェクトにアクセスするためにアカウントが必要です。 サービスが使用するアカウントの特権が十分ではなく、ログオンできない場合、Microsoft 管理コンソール (MMC) のサービス スナップインが、そのアカウントに対して、管理を行っているコンピュータ上で「サービスとしてログオン」するために必要なユーザー特権を自動的に許可します。

Windows Server 2003 には、さまざまなシステム サービス用のログオン アカウントとして使用するローカル アカウントとして次の 3 つが組み込まれています。

  • ローカル システム。 ネットワークでは、DOMAIN\<コンピュータ名>$ と表示され、ローカルには NT AUTHORITY\System と表示されるローカル システム アカウントは、定義済みのローカル アカウントであり、サービスを開始して、そのサービスにセキュリティ コンテキストを提供できます。 この強力なアカウントは、ドメイン コントローラ上で使用するディレクトリ サービスを含め、ローカル コンピュータに対する完全なアクセス権があります。 Windows Server 2003 では、既定でこのアカウントを使用するように構成されるサービスもありますが、特にドメイン コントローラに明らかなセキュリティ リスクをもたらすため、それ以外の場合は使用しないようにする必要があります。

  • ローカル サービス。 ローカル サービス アカウント (NT AUTHORITY\LocalService) は、認証済みのユーザー アカウントに似た、少ない特権を持つビルトイン アカウントです。 この低減されたアクセス権は、使用しているサービスやプロセスがセキュリティ侵害された場合に、セーフガードとして機能します。 ローカル サービス アカウントとして実行するサービスは、NULL セッションとしてネットワーク リソースにアクセスします。つまり、匿名の資格情報を使用します。

  • ネットワーク サービス。 ネットワーク サービス アカウント (NT AUTHORITY\NetworkService) も、ローカル サービス アカウントと同様に、特権が少ないビルトイン アカウントです。 このアカウントを使用するサービスは、匿名の資格情報を使用する代わりに、コンピュータ アカウントの資格情報を使用してネットワーク リソースにアクセスします。

既定のサービス設定を変更すると、主要なサービスが正しく実行されない場合があります。 既定で自動的に開始されるように設定されているサービスの [スタートアップの種類] と [ログオン方法] 設定を変更するときは、特に注意が必要です。

Windows Server 2003 サービスの既定のセキュリティ設定

Windows XP および Windows Server 2003 以前には、オペレーティング システムが作成するほぼすべてのサービスは、既定でローカル システム アカウントを使用していました。 このようなサービスは、ローカル コンピュータに無制限の特権を許可するため、この機能は明らかにセキュリティ リスクの原因になっていました。 オペレーティング システム自体のセキュリティを向上させるために、既定の設定は Windows Server 2003 の開発時に変更されました。 結果的に、現在では多くの同じサービスで既定でローカル サービス アカウントかネットワーク サービス アカウントを使用しており、脆弱性プロファイルは低くなっています。

Automatic Updates、Computer Browser、Messenger、および Windows インストーラ サービスを含め、ローカル システム アカウントを使用する必要があるサービスは依然として存在します。 現在も認証にローカル システムを使用しているサービスは、他のアカウントを使用するように変更しないでください。 変更すると深刻な問題の原因となる場合があり、こうしたサービスが正しく動作しなくなる可能性があります。

次の表には、Windows Server 2003 でローカル システム アカウントを使用していないサービス アカウントの一覧と、現在使用しているアカウントの種類を記載しています。

表 3. Windows Server 2003 の新しいサービス アカウント設定

サービス ログオン方法
Alerter ローカル サービス
Application Layer Gateway Service ローカル サービス
Remote Registry ローカル サービス
Smart Card ローカル サービス
TCP/IP NetBIOS Helper ローカル サービス
Telnet ローカル サービス
Uninterruptible Power Supply ローカル サービス
WebClient ローカル サービス
Windows Image Acquisition ローカル サービス
Windows Time ローカル サービス
WinHTTP Web Proxy Auto-Discovery Service ローカル サービス
DHCP Client ネットワーク サービス
Distributed Transaction Coordinator ネットワーク サービス
DNS Client ネットワーク サービス
License Logging ネットワーク サービス
Performance Logging ネットワーク サービス
Remote Procedure Call (RPC) Locator ネットワーク サービス

開発

管理者アカウントおよび機密性の高いアカウントのセキュリティを保護する計画を作成するには、すべてのベスト プラクティスが基盤としている基本的な要素を理解することが重要です。 アカウントおよびサービスのセキュリティを保護するために採用する手順には、同じ基本原則が含まれており、またこれらの原則もすべてのベスト プラクティスのプロセスおよび手順の一部です。 このセクションでは、これらの原則と主要な考慮点を確認します。

管理者アカウントおよび重要なアカウント管理

Windows Server 2003 で管理者アカウントのセキュリティを保護するためのベスト プラクティスのガイドラインは、必要最小限の特権の原則の適用、および制限付きのユーザー アカウント アプローチの使用に基づいています。 このプロセスでの最初の手順は、現在の環境を徹底的に理解することです。 次の 3 つの基本的な項目は、管理者アカウントおよび重要なアカウントのセキュリティを向上するための効果的な計画を作成するための鍵となります。

  • 環境を理解し文書化する

  • 必要最小限の特権の原則を適用する

  • 最小限の特権を付与したユーザー アカウント アプローチを採用する

環境を理解し文書化する

一見自明の理と思えるステップですが、管理者相当のアカウントのセキュリティを向上するための、この 1 番目の最も重要なステップは、このプロセスで最も困難なステップになる場合があります。 管理者レベルの特権の使用に関して組織が制限せず、文書化していない場合、管理者レベルの特権がどこで効果があるのかを判別するのは困難です。特に、ローカル アカウントが関連する場所では非常に難しくなります。

管理者レベルおよびその他の機密性の高いアカウントについては、ネットワーク環境の理解と文書化には、だれ、なぜ、何、およびどこについての情報が関係します。 つまり、管理者アカウントの使用を承認されているのはだれか、その従業員が管理者アカウントへのアクセス権を持っているのはなぜか、管理者の資格を使用するのに適切なタスクはか、資格を使用するのに安全な場所はどこか、ということです。

この情報を文書化する際に最も重要な側面は、管理者アカウントがどこで使用され、なぜ使用され、だれが使用し、使用されたときに何が行われたかを監査するプロセスと手順を確立することです。 この情報は、タスクが完了する前にアクティビティを承認して記録する、プロビジョニング、変更管理、およびインシデント管理プロセスにより、予防的に記録するのが理想的です。 このようなプロセスにより、管理者特権の使用を注意深く監査することが可能になり、不審な活動を見極めるのが容易になります。

この文書の後半で述べますが、ネットワーク環境の理解と文書化は、重要なアカウントのセキュリティの改善のための最も重大なステップです。 機密性の高いアカウントの使用と発行に対するベスト プラクティス プロセスと手順を確立することは、このプロセスの基本的な部分であり、この文書に記載された他のガイダンスに基づくソリューションの実施に先立って行う必要があります。

必要最小限の特権の原則を適用する

必要最小限の特権の原則に従うことは、ネットワーク環境のセキュリティを向上するために組織が採用できる最も重大なステップの 1 つです。 管理者レベルの特権を許可することは、複雑な特権や権利に関連する問題を解決する最も簡単かつ迅速な方法ですが、同時に最もリスクの大きい方法でもあります。 また、システム管理者は、いつも管理者レベルの特権を持つアカウントを使用する方が簡単ですが、このような習慣は、管理者が担当しているネットワークのリスク プロファイルを高めることにもなります。

この原則の最も基本的な適用方法は、管理者レベルの特権は、作業中のタスクを実行するために、これらの昇格した特権に固有の機能が必要な場合のみ、特権のある担当者の使用に制限する、というものです。 この考え方を取り入れた習慣を実施することはわずらわしいと思えるかもしれませんが、この原則に従わないことにより組織が直面するリスクのレベルは、無視できないほど多大です。

この原則を適用することで、ネットワークが直面する可能性がある最も一般的な脆弱性に対するリスクのレベルは低くなります。 これらの脆弱性には次のような例があります。

  • カーネル モードの Rootkit

  • システムレベルのキー ロギング プログラム

  • パスワード盗難の試行

  • スパイウェアおよびアドウェアのインシデント

  • データに対する不正なアクセス

  • トロイの木馬のインストール

  • イベント ログの操作

管理者レベル アカウントの使用が減少すると、悪意のある活動に対してこれらのアカウントに固有の昇格した特権を使用する機能も減少するため、ネットワークのセキュリティ プロファイルを強化することができます。 また、オペレーティング システムに重大な変更を加える能力を取り除くことで、マルウェアやスパイウェアがインストールされ、実行される能力も低減されます。 こうした理由により、必要最小限の特権の原則を適用することにより、ネットワークのセキュリティに多くの利点がもたらされます。

最小特権の特権を付与したユーザー アカウント アプローチを使用する

多くのビジネス環境では、特にポータブル コンピュータの場合、ユーザー自身が使用するコンピュータに対して定期的に管理者特権を許可されています。 このような特権を拡大的に許可することに正当な理由があるとしても、こうした取り決めによりセキュリティ侵害はより高いリスク レベルにさらされています。

特権が最も低いユーザー アカウント (LUA) アプローチを使用すると、組織が Windows XP ベースのコンピュータを操作するために、非管理者アカウントを使用できるようにするというベスト プラクティスの推奨事項と組み合わせることになります。 こうした慣例の結果として、Windows XP クライアント デバイスに適用した形で、必要最小限の特権の原則を実際的に適用していることになります。

この文書では、管理者アカウントの問題を高いレベルから検討しており、ネットワーク レベルの特権に特に注目していますが、ワークステーションでのローカル ユーザー アカウントの影響を考慮することも重要です。 このように焦点を絞ったアプローチはこの文書では取り扱いません。マイクロソフトの Web サイトで LUA についての詳細な説明を参照できます。 詳細については、ホワイト ペーパー「Windows XP でユーザー アカウントに最小特権の原則を適用する」および「Using a Least-Privileged User Account」(英語) を参照してください。

サービス アカウント管理

管理者アカウントおよび重要なアカウントの管理と同様、中規模ビジネス環境でサービスのセキュリティを強化できる計画の立案を成功させるには、3 つの基本的な項目があります。 開発段階で次の 3 つの項目に対応し、セキュリティ ポリシー手順に組み込むことが重要です。

  • 環境を理解し文書化する

  • 必要最小限の特権の原則を適用する

  • 必要最小限のサービスの原則を適用する

環境を理解し文書化する

この推奨ステップは一見自明の理と思えるでしょうが、多くの組織は、自社のネットワーク環境に存在するすべての役割やサービスを十分に認識していません。 認識と文書化の不備不足には多くの原因がありますが、通常、ネットワーク環境が急速に拡大したことや、文書化の必要性に十分な注意を向けるための時間やリソースが欠如していることが原因と考えられます。

コンピュータがセキュリティ保護されているかどうかを把握するには、コンピュータでどのようなサービスが実行されているか、またサービスのプロパティに何が必要かを理解する必要があります。 この情報は、サーバーとサービス、およびサービスが必要とする可能性があるアカウントをセキュリティ保護するために重要です。 サービス、サービスのプロパティ、およびサービスを使用するコンピュータの一覧表を作成すると、この作業の役に立ちます。 このような表を作成することは大変な作業と思われますが、取り組みが報われる結果が得られます。 また、表を作成し、サーバー構築やアプリケーション導入プロセスの一部に組み込めば、表を最新の状態に保つことは比較的容易です。

ネットワーク上のサービスとプロパティの文書化をサポートするツールが複数存在します。 いくつかのツールを次に挙げます。

  • Service Controller ツール (sc.exe)。 このコマンド ライン ユーティリティは、Windows Server 2003 および Windows XP に搭載されています。 このツールを使用すると、コマンド ラインから簡単に Service Control Manager コンポーネントと通信して、クエリやサービスのプロパティの設定ができます。

  • Service Controller List ツール (sclist.exe)。 Windows 2000 Server リソース キットには、ローカルまたはリモート コンピュータで実行中のサービスおよび停止したサービスの一覧を作成できるツールが付属しています。Sclist.exe を使用すると、モニタがないリモート サーバーや管理者から地理的に離れているリモート サーバーで実行されているサービスを識別することができます。

  • Windows Management Instrumentation (WMI)。 このコンポーネントは、Windows Server 2003 および Windows XP に付属しており、管理情報やエンタープライズ環境での制御が利用できます。 管理者は、WMI を使用して、コンピュータ、ネットワーク、アプリケーション、およびサービスでクエリや情報設定ができます。 管理タスクを管理するためのスクリプトを使用できることに加え、WMI を使用すると管理者はサービスの依存関係や、サービスが依存しているサービスを識別できます。

  • Windows Management Instrumentation Command Line (WMIC)。 WMI には、コマンド ライン ツール WMIC もあり、WMI の簡単なコマンド ライン インターフェイスを使用して、クエリとリモート コンピュータ管理が行うことができます。 WMIC のクエリは、Internet Explorer などのブラウザで表示できる見やすい HTML 形式の表に出力することが可能です。

必要最小限の特権の原則に従う

マイクロソフトは、セキュリティの重要性と必要最小限の特権の原則がネットワーク環境のセキュリティを保護する上で果たす重要な役割を果たすことを認識しています。 マイクロソフトは、必要最小限の特権の原則を Windows Server 2003 の開発に適用して、コア オペレーティング システム サービスでは既に最小特権のアカウントが使用されているため、サービスをさらに構成する必要がありません。 このアプローチの焦点は、Microsoft SQL Server、Microsoft Operations Manager などの製品やその他のサードパーティ ソフトウェア製品などのコンポーネントとして提供されるサービスで、オペレーティング システムの一部ではないサービスのセキュリティを保護することです。

したがって、新しい製品を実装する場合、高いレベルの特権を許可してしまう方が簡単な場合でも、他のサービスを実行するときには、必要最小限の特権の原則に従う必要があります。 たとえば、可能な限りサービスでローカル サービス アカウントを使用し、ローカル コンピュータへの攻撃が成功しても、ドメイン全体を攻撃できないようにします。 認証済みネットワーク アクセスが必要なサービスは、可能なときは常にネットワーク サービスを使用するようにします。 多くの特権が必要なサービスには、ローカル システム アカウントを使用します。 最後に、サービスにドメインレベルの管理者アカウントが必要な場合は、サービスを実行する 1 台または複数のサーバーは、他の機密または重要なネットワーク リソースおよびドメイン コントローラと同様に保護された高セキュリティ システムとして扱う必要があります。

グループ ポリシーを使用して、コンピュータでの実行が許可される特定のサービスを制御することもできます。 コンピュータの構成\Windows の設定\セキュリティの設定\システム サービスに移動して、サービスの [プロパティ] ページを開くと、複数のプロパティを制御できます。 スタートアップ モードなどの設定やサービスで実行する特定の操作 (開始や停止など) に使用するアカウントに対するアクセス許可を変更できます。

必要最小限の特権の原則を適用する場合、まず組織環境のシステムを理解することが必須です。 これら 2 つの主要な概念を組み合わせることで、コンピュータで動作しているサービス、そのステータス、およびそれぞれのサービスとサーバーに使用している資格を評価することができます。 このような評価があって初めて、適切な変更管理プロセスを通じて、継続して機能を利用するために必要な最小特権を使用するように、各サービスを効果的で体系的に削減することができ、それにより環境を継続的に文書化するのも容易になります。

必要最小限のサービスの原則に従う

最後に、必要最小限のサービスの原則では、ネットワーク リソースで使用できるオペレーティング システムとネットワーク プロトコルは、ビジネスをサポートするために必要なサービスとプロトコルのみを実行する必要があると述べています。 たとえば、サーバーが Web アプリケーションをホストする必要がない場合、World Wide Web サービスは無効にするか削除する必要があります。

多くのオペレーティング システムやプログラムでは、一般的な使用のシナリオに対して、必要以上に多くのサービスやプロトコルが既定の構成でインストールされています。 このため、可能な場合はカスタム インストール プロセスを使用して、アプリケーション プロセスで有効にされる、またはインストールされるサービスやプロトコルを制御します。 このアプローチでは、インストール中にどのプロセスが作成されたかを文書化することができ、インストール中に作成されたサービスが後から不要になった場合に備えることができます。

新しいサーバーの導入時やサーバー イメージの作成中は、オペレーティング システムが要求する必須サービス以外をシステム管理者がシャットダウンする手順を含めておくのがベスト プラクティスです。 無効にしたサービスは、サーバーで実行する必要が生じたアプリケーションで必要になったときに有効にできます。 たとえば、Windows Server 2003 以前の Windows オペレーティング システムでは、Alerter や Messenger サービスは通常不要であるため、無効にするのが一般的です。 こうしたサービスを無効にすると、機能性を損なうことなく、導入するサーバーのセキュリティ プロファイルを高めることができます。

サービスを適切に配置することもこの原則の重要な部分です。 たとえば、ルーティングとリモート アクセス サービスや Internet Information Service などのバックグラウンド サービスは、ドメイン コントローラの脆弱性プロファイルを増加させるため、決してドメイン コントローラに配置しないようにします。 ドメイン コントローラがセキュリティ侵害されると、ドメインの他の部分に無制限のアクセス権を許可する可能性があります。 このため、マイクロソフトのベスト プラクティスでは、ドメイン コントローラの正常な動作に不可欠なサービス以外のサービスは、ドメイン コントローラに導入しないことをお勧めします。

展開と管理

主な考慮事項と基本的な原則について検討すると、それらの概念に基づいた多くの推奨事項について検討できます。 これらの対策に個別に取りかかることで、ビジネス ネットワークのセキュリティを強化できますが、組み合わせれば、中規模ビジネス ネットワークの脆弱性を大幅に削減できる包括的なセキュリティ フレームワークの一部になります。

管理者アカウントおよび重要なアカウント管理

多くのベスト プラクティス アプローチで、Microsoft Windows ネットワークの管理者アカウントをセキュリティ保護するように実装できます。 そのようなアカウントに関する脆弱性を削減できる次のような方法が認知されており、中規模ビジネス ネットワークで一般的に使用されています。

ドメイン管理者とエンタープライズ管理者の役割を区別する

エンタープライズ管理者という役割には、Active Directory フォレストで最も強力な特権が付与されています。 手順を実行する場合、この種類のアカウントをセキュリティ保護し、その使用を慎重に規制する必要があります。 この種類のアカウントを管理する方法には次の 2 つがあります。

  • 制御された単一アカウント。 1 つ目のアプローチは、厳重に監視および制御される単一アカウントにこの役割を制限することです。このアカウントの使用だけが、このアカウントを使用する必要のあるタスクに対して許可された変更制御要求と同時に発生するようにします。 このアカウントの名前において発生するあらゆる監視対象イベントでは、ただちに調査する必要があり、許可された変更要求イベントが伴う必要があります。

  • 一時アカウント。 もう 1 つのアプローチは、許可されたタスクを完了するために必要になるまで、そのようなアカウントを設定しないことです。 許可されたタスクの必要性が生じたら、一時アカウントを作成し、使用してタスクを完了し、その後削除します。 このような強力なアカウントが必要になるのはまれなので、このような手順による管理オーバーヘッドが大幅に追加されることはありません。

ユーザー アカウントと管理者アカウントを別にする

一般に、アカウントはユーザーと関連しています。 特権を最小限にする原則を使用する場合、特に管理機能を考えるときには、アカウントは単に役割ではなくタスクに関連させることができます。 管理者の役割を担うユーザーの場合は、2 つのアカウントを用意しなければなりません。日常的に使用する一般的なユーザー アカウントと、管理ワークステーションで管理タスクを行うときに限り使用する管理特権を持つアカウントです。

管理アカウントの使用は、管理タスクと、ドメイン コントローラと同様の信頼されているネットワークの一部である管理ワークステーションに限定する必要があります。 管理者アカウントとそのアカウントに関連するワークステーションを使用して、電子メールやインターネットにアクセスしたり、必要のないときにログ オンしたりするべきではありません。 管理者は、通常使用するアカウントと管理者アカウントとで異なるパスワードを使用する必要があります。また、管理者パスワードの強度は、ネットワークで可能な最高レベルにする必要があります。

こうした簡単な予防措置により、管理者アカウントが外部にさらされる機会も減り、管理者アカウントを使用する時間が制限されるため、管理者アカウントに存在する脆弱性のリスクが大幅に低下します。

Secondary Logon サービスを使用する

Microsoft Windows 2000 では、Run as サービスを使用して現在ログオン中のアカウント以外のアカウントでプログラムを実行することが可能です。 Windows Server 2003 および Windows XP Professional では、同じ機能が Secondary Logon サービスという名前になりました。

Secondary Logon を使用すると、管理者はコンピュータに管理者以外のアカウントでログオンでき、ログオフせずに管理者の資格情報を使用して信頼できる管理タスクを実行して、管理作業を実施することができます。 この機能により、ユーザーと管理者のアカウントを別にするという前述の概念を適用することで、管理者の資格情報を使用する際のリスクが低下します。

管理を行う場合は別のターミナル サービス セッションを実行する

ターミナル サービスとリモート デスクトップ接続は、サーバー コンソールに物理的にアクセスせずにサーバーを管理するために、一般的に使用されます。 このアプローチは効率的であるだけでなく、特に接続を確立したコンピュータで管理者レベルのアカウントを使用しない場合は、管理者アカウントを使用してサーバーに対話的にログオンする場合よりも安全です。 管理タスクを完了したら、管理者アカウントをログオフして、セッションは切断されるようにします。

既定の Administrator アカウントの名前を変更する

既定の管理者アカウントの名前を変更することは、多くの中規模ビジネスでも一般的であり、管理者アカウントの脆弱性をある程度減らすことができます。 ただし、攻撃者がビルトインの Administrator アカウントを判別できる多くのツールや手法が存在するため、この方法で防ぐことができる攻撃はわずかしかありません。 既定のアカウント名を変更することはそれなりに有効ですが、代わりの管理者アカウントを作成して、元のビルトイン アカウントを無効にするほうが実際には効果的です。

おとりの Administrator アカウントを作成する

特定のアカウント アクティビティについて検出して警告を送信できる侵入防衛メカニズムとともに、おとりの Administrator アカウントを使用すると、ネットワークで試行された攻撃に対する防衛手段を効果的に強化できます。 この手法だけでも、通常のアカウントよりも多くのアカウントロックアウト試行回数を許可し、強力なパスワードを指定すれば、攻撃者は攻撃に時間がかかるようになります。 おとりの管理者アカウントは、特権を持つどのセキュリティ グループのメンバにも設定してはいけません。また、あらゆるアクティビティを監視する必要があります。 おとりの管理者アカウントの使用を試みる動きが見られたら、直ちに調査を開始する必要があります。

代わりの管理者アカウントを作成してビルトイン アカウントを無効にする

管理者の役割を担う各ユーザーに固有の、管理タスクに使用する管理者と同等のアカウントが与えられていない場合、ターミナル サービスがサーバー管理に使用されない場合であっても、やはり代わりの管理者アカウントを作成することをお勧めします。 代わりの管理者アカウントは、プライマリの管理者アカウントに対するフェールセーフとして機能し、ビルトイン管理者アカウントを無効にする前に作成する必要があります。

ビルトイン Administrator アカウントを無効にする前に、適切な管理者特権を持つ別のアカウントが作成されたことを確認することが重要です。 別の同等アカウントが存在することを確認せずにビルトイン管理者アカウントを無効にすると、ドメインに対する管理アクセスが失われる可能性があり、修正するにはシステムのリストアや再インストールが必要になることがあります。

リモートでの管理者ログオンに対してアカウントのロックアウトを有効にする

ビルトイン管理者アカウントはロックアウトできませんが、管理者アカウントを使用するリモート ログオンをロックアウトすることはできます。 Microsoft Windows 2000 Server リソース キットには、このタスクを実行するために、リモート ログインに対するアカウント ロックアウトを有効にできるコマンドライン プログラム Passprop.exe が含まれています。 このコマンドライン ツールで /ADMINLOCKOUT スイッチを指定すると、管理者アカウントの対話的なログインとリモート ログインの両方に対して Windows 2000 Server の既存のロックアウト ポリシーを適用できます。

Windows Server 2003 で Passprop.exe /ADMINLOCKOUT を使用すると、管理者アカウントのリモート ログインと対話的なログインに影響があります。 管理者アカウントがロックアウト状態になると、サーバーを管理するために管理者アカウントを使用することが不可能になるため、この機能を使用するときは注意が必要です。

強力な管理者パスワードを作成する

他に、ビルトイン管理者アカウントだけでなく、管理者と同等のアカウントにも強力なパスワードを使用する方法も推奨されます。 強力なパスワードは、攻撃者が特権を昇格させるために行うブルート フォース攻撃の可能性を低減します。 強力なパスワードの条件は、一般に次のとおりです。

  • 15 文字以上。

  • アカウント名、実名、会社名がどんな形でも含まれていない。

  • 完全な単語、俗語、またはその他のすぐに分かるような用語が含まれていない。

  • 以前のパスワードと内容が大幅に異なり、数字が増えるだけのものではない。

  • 次の文字の種類のうち 3 つ以上を使用している。

    • 大文字 (A、B、C...)

    • 小文字 (a、b、c...)

    • 数字 (0、1、2...)

    • 英数字以外の記号 (@、&、$...)

    • Unicode 文字 (€、ƒ、? など)

弱いパスワードを自動的に検出する

弱いパスワードや空のパスワードが使用されているかどうかをチェックするために、パスワードのスキャン ツールで用いられる基本的なアプローチには、 次の 2 つがあります。

  • オンラインでパスワード スキャンを実行する。 オンライン スキャンでは、一般的な弱いパスワード (たとえばパスワードとして「password」という語を使用したり、空のパスワードを使用したりする) を使用して複数回ログオンを試みます。 Microsoft Baseline Security Analyzer (MBSA) は、この方法を使用するツールの例です。

  • オフラインでパスワード スキャンを実行する。 オフライン スキャンには、キャッシュされた資格情報を使用して、さまざまなアカウントのパスワードの強度をテストし、ランク付けまで行う各種のメカニズムがあります。 このアプローチを使用するツールには、前者の方法よりも利点がありますが、サードパーティのソフトウェアを使用する必要があります。

サードパーティのツールでも弱いパスワードをスキャンできますが、マイクロソフトでは、無償でダウンロードできる Microsoft Baseline Security Analyzer (MBSA) を提供しております。 MBSA では、次のような脆弱なパスワードがないかチェックするためにすべてのユーザー アカウントを列挙し、その際に検出された無効またはロックされたアカウントを通知できます。

  • 空のパスワード

  • ユーザー名をパスワードに使用している

  • コンピュータ名をパスワードに使用している

  • 「password」、「admin」、または「administorator」をパスワードに使用している

詳細については、Microsoft Baseline Security Analyzer を参照してください。

管理タスクを信頼されたコンピュータに制限する

管理者の資格情報は、侵入を試みる攻撃者にとって格好のターゲットです。その上、管理者の資格情報へのアクセスを取得するために使用される方法は、検出が非常に困難な場合があります。 このような機密性の高い情報を得るために使用される典型的なツールとして、キーストローク ロガーやスクリーン スクレイパーがあり、セキュリティ侵害されたコンピュータでキーストロークや入力文字がキャプチャされます。 このような形態のマルウェアは、動作が気づかれにくく、いったんコンピュータにインストールされれば、削除するどころか検出することすら困難です。

この種の脅威に対する脆弱性を削減するために、管理者と同等のアカウントは、できるだけ少ないコンピュータで使用するように制限することをお勧めします。 また、管理アカウントが使用されなければならないリソースを制限する場合は、そのようなシステムが信頼されていて、十分に保護されていることを確認することが重要です。 機密性の高い資産を保護できるさまざまな技術があります。たとえば IPsec を使用したネットワーク分離では、ネットワーク自体の利便性には影響を与えずに、特定のデバイスのセキュリティを強化します。

IPSec を使用してドメインおよびサーバーを分離する詳細については、マイクロソフト Web サイト テクノロジ センターの「Server and Domain Isolation」(英語) を参照してください。

アカウントおよびパスワードを監査する

定期的にアカウントを監査することで、特権昇格攻撃に対するドメインのセキュリティの完全性を確保できます。 攻撃者が管理者レベルのアカウントに対するアクセスを得ると、脆弱性が生じたり、セキュリティ対策が回避されたりする可能性があります。 たとえば管理者と同等のアカウントに対するアクセスを得た攻撃者は、プロキシ ユーザー アカウントの作成やアカウント メンバシップの変更、さらにはイベント ログを変更して攻撃者の痕跡を隠すことすらできます。

すべてのドメインレベルの管理ユーザーおよびグループ、機密性の高いサーバー上のすべてのローカル管理者アカウントおよびグループは、定期的に監査される必要があります。 このような管理者資格情報は、内部ポリシーで設定されたガイドラインの範囲内で、策定され十分に文書化された内部プロセス (変更制御プロセスなど) に従って使用されていることを確認するために、使用を監査される必要があります。 定期的なアカウント監査を使用することで、管理タスクの過程で適切な手続きが取られたことや、パスワードの強度に関するポリシーに従っていることをチェックすることも確認できます。

イベント ログを改ざんされないようにセキュリティ保護する手順を行った場合、イベント ビューアは監査プロセスで使用できる便利なツールです。 イベント ログを使用してネットワーク セキュリティを監視する方法や、イベント ログのデータをセキュリティ保護する方法については、「セキュリティの監視および攻撃検出計画ガイド」を参照してください。

アカウントの委任を禁止する

認証の委任は、ネットワーク サービスがユーザーからの要請を受け付け、そのユーザーの ID により別のネットワーク サービスとの接続が新たに開始されると想定された時点で発生します。 認証の委任には、ネットワークでシングル サインオン機能を使用する多層アプリケーションで利用すると便利なアプリケーションがあります。 Microsoft Outlook Web Access (OWA) は、このメカニズムを使用した、別のコンピュータ上のデータベースとのインターフェイスを備えています。

管理者アカウントは、[アカウントは重要なので委任できない] に指定する必要があります。 このアプローチでは、[委任に対して信頼されている] にチェックが付いているサーバーを使用して、管理者と同等の資格情報の偽装を防ぐことができます。 物理的に安全でないコンピュータに相当する Active Directory のコンピュータ アカウントに対して、認証の委任に参加する権利が拒否される必要があります。 また、ドメイン管理者アカウントはネットワークで機密性の高い情報やリソースにアクセスできるため、ドメイン管理者アカウントに対して、認証の委任に参加する権利が拒否される必要があります。

アカウントの委任の詳細については、「Enabling Delegated Authentication」(英語) を参照してください。

管理者アカウントに多元的な認証を使用する

Administrators、Enterprise Admins、および Domain Admins の各グループは、ビジネス ネットワーク内で最も強力なアカウントです。 したがって、これらのアカウントは最も厳密に保護される必要があります。

多元的な認証方法では、承認されたユーザーからの識別情報がさらに要求されるため、ログオン プロセスのセキュリティが向上し、攻撃者がアカウントをリスクにさらすために取得しなければならない情報の量が増えます。 名前からわかるとおり、多元的な認証方法では、複数の識別情報が必要です。 一般的にこの方法で必要とされるものは次のとおりです。

  • ユーザーが所持する物 (スマート カードなど)。

  • ユーザーが知識として持つもの (個人識別番号 (PIN) など)。

  • ユーザーの一部 (通常、バイオメトリクスと呼ばれる)。 指紋スキャナを使用して認証する場合と同じくらい簡単です。

多元的な認証で、アカウント所有者を識別するランダムに生成されたコードが格納されたスマート カードを使用することにより、クリアテキストのユーザー名およびパスワードに基づいた認証方法の脆弱性が取り除かれます。 それぞれのカードには、認証情報の一意性を保証する固有の秘密キーが格納されます。

さらに、スマート カードを使用するには、スマート カードの PIN を使用する必要があります。PIN は、もう 1 つの暗号化コードで、カード所有者が設定し、カードに格納します。 この PIN により、カードに格納されている秘密キーが認証時に使用可能になります。PIN を使用しないと、キーは暗号化されたままで使用できません。

多元的な認証とスマート カードの詳細については、「スマート カードを使用した安全なアクセス計画ガイド」を参照してください。

サービスおよびアプリケーション アカウント管理

サービスおよびサービス アカウントのセキュリティを高めることのできるベスト プラクティスに基づいた方法も多数あります。 ここでは、現実のネットワーク環境でサービスのセキュリティを高めることがわかっている方法について説明します。 これらのメソッドすべてを組み合わせて使用すれば、中規模ビジネス ネットワークのセキュリティを大幅に高めることができますが、固有のビジネス環境それぞれで最適な方法の組み合わせを判断するために、個別の方法を検証することをお勧めします。

基本的なプロパティの監査サービス

上で説明したとおり、組織の環境でサービスをセキュリティ保護する計画を策定するための最初の手順は、サービスと、そのサービスが利用される場所と理由を完全に理解することです。 これは比較的簡単な作業のように思えますが、各コンピュータで実行されるサービスと、それらのサービスで必要とされる管理の程度を判断することは、予想外に困難な場合があります。

環境内の各サーバーについて文書化し、サーバーで実行しているすべてのサービスとそのサービスが認証に使用するログオン資格情報を判断できるように監査する必要があります。 管理者がこの作業を行うために利用できるツールは、次のように多数あります。

  • Microsoft Windows Server 2003 のシステム情報。システム情報では、ローカル コンピュータで実行しているすべてのサービスに関するプロパティの包括的なリストが提供されます。 ただし、このツールでは、大量のサーバーを非常に効率よく監査することはできません。

  • [サービス] 管理コンソール。 [サービス] 管理コンソールで、サービスの [プロパティ] ページの [ログオン] タブを使用すると、サービスが認証に使用するアカウントを判断できます。 [依存関係] タブでは、そのサービスが依存するサービス、および表示しているサービスに依存するサービスを識別することもできます。 しかしこの方法も、大量のサーバーを監査するには効率よくありません。

  • Windows Management Instrumentation (WMI)。 WMI を使用すると、ネットワーク上のすべてのサーバーで実行されるサービスについて、情報を取得できます。 スクリプトやその他のプログラミング ツールと組み合わせて WMI を使用すると、ネットワークのコンピュータのほとんどの点に関する設定の詳細を取得したり、そのようなコンピュータに対して変更を加えたりすることができます。

  • Windows Management Instrumentation Command Line (WMIC)。 WMIC は、WMI と同じ機能を備えたコマンドライン ツールで、既存のシェルや、スクリプトおよびその他のアプリケーションで拡張可能な他のユーティリティ コマンドと相互運用できます。

    WMIC サービスを使用すると、ネットワークで実行しているサービスに関して、次のような各種の情報を取得できます。

    • Description

    • DisplayName

    • ErrorControl

    • InstallDate

    • PathName

    • ProcessId

    • StartMode

    • StartName

    • Status

    • Scripts

      上で説明したとおり、スクリプトを使用してリモートおよびローカルのコンピュータの管理を自動化するために、WMIC を活用できます。

  • その他のエンタープライズ管理ツール。 サーバー サービスの監査を支援するために使用できる管理ツールは、他にもいくつかあります。

    • Microsoft Systems Management Server (SMS)

    • IBM Tivoli

    • HP OpenView

    • Lieberman Software Service Account Manager

必要なサービスを把握する

Windows Server 2003 では、最初のインストール時に既定のサービスが作成され、コンピュータの起動時に実行するように設定されます。 これらの既定のサービスには、アプリケーション互換性、クライアント互換性、または容易なシステム管理が備わっています。 ただし、すべての環境でこれらすべてのサービスを使用する必要があるわけではありません。 これらのサービスを実行するサーバーの脆弱性プロファイルを削減できるように、すべてのサービスを検証してこれらを無効にできるかどうかを判断する必要があります。

必要なサービスと無効にできるサービスを定義する作業は、複雑になることがあります。 サービスによっては、明らかに必要なものもあれば、必要か不要かはっきり分からないものもあります。 無効にできるサービスを判別するときに使用できる基準には、主に 2 つあります。

  • 特定のサービスを使用する理由がない場合は、そのサービスを無効にできる。

  • 現在ではなく将来、サービスの使用が必要になる可能性がある場合は、そのサービスが必要になるまで無効にできる。

特定のサーバーで必要なサービスは、主にそのサーバーの役割によって異なります。 たとえばインターネット インフォメーション サービス (IIS) は、Web サーバー、または Web ベースの配布メカニズムを使用するアプリケーション サーバーのみで使用される必要があります。 Telnet サービスやリモート アクセス サービスを利用しない場合は、これらのサービスをそのサーバーで無効にする必要があります。

ソフトウェアをサーバーにインストールすると、ソフトウェア固有のサービスもインストールされることがあります。 たとえば Microsoft Systems Management Services は、Wuser32 Remote Control Agent サービスをインストールして、ソフトウェア更新またはリモート管理用のリモートクライアント機能を提供します。 無効にするサービスを判別するときは、ソフトウェア パッケージでインストールされるサービスや、機能を実行するために基礎となるサービスを理解することが重要です。

Security Configuration Wizard を使用する

Windows Server 2003 Service Pack 1 (SP1) に付属の Security Configuration Wizard (SCW) を使用すると、脆弱性を最小限に抑えるようにセキュリティ ポリシーを作成しながら、Web サーバーやドメイン コントローラなどの機能要件に基づいてサーバーを簡単に設定できます。 SCW は、ネットワークのサーバーで実行しているサービス、およびそれらのサービスの依存関係を検出するために使用できます。

Windows Server 2003 サーバーに SCW をインストールするには

  1. コントロール パネルを開きます。

  2. [プログラムの追加と削除] をダブルクリックします。

  3. [Windows コンポーネントの追加と削除] をクリックします。

  4. [Windows コンポーネント] 画面の [コンポーネント] の下にある [セキュリティの構成ウィザード] チェック ボックスをオンにします。

  5. [次へ] をクリックします。

  6. インストールが完了したら [完了] をクリックします。

SCW を使用すると、SP 1 のインストールされた Windows Server 2003 を実行しているコンピュータから攻撃される可能性のある箇所を減らすことができます。管理者は SCW の指示に従って、指定されたサーバーの役割に基づいてセキュリティ ポリシーを作成する手順を簡単に実施できます。 サーバーの役割という語は、コンピュータがネットワーク内で実行する主な機能を定義します。必要なサービス、受信側ポート、および設定は、サーバーが実行する役割によって異なります。 ポリシーを作成したら、そのポリシーの設定に基づいてサーバーに適用できます。

サービスにドメイン管理者アカウントを使用することを避ける

サーバーの監査が終了すると、サービスの認証に使用されるドメイン管理者アカウントのすべての可能なインスタンスを識別し、削除するための十分な情報が入手でき、環境が整います。 サービスは、できるだけ Local Service、Network Service、または Local System アカウントを使用して再展開してください。

サービスによって管理者と同等のアカウントの使用が修正されようとしている場合、特に次の状況に注意する必要があります。

  • 管理者と同等の特権を持つユーザー アカウントがサービスとしてログオンする場合。

  • ビルトイン管理者アカウントがサービスとしてログオンする場合。

  • ドメイン管理者アカウントが、セキュリティの低いコンピュータでサービスとしてログオンする場合。

サービスの展開で最小特権階層を使用する

上で説明したとおり、サービスでは、そのサービスを実行するために必要な最小特権アカウントを常に使用する必要があります。 必要以上の特権を持つあらゆるサービスは、それよりも低い特権のアカウントを使用して再展開する必要があります。

最小特権階層では、サービスが使用するアカウントについて、優先順位の高い順に示すと次のようになります。

  • ローカル サービス

  • ネットワーク サービス

  • 固有のローカル ユーザー アカウント

  • 固有のドメイン ユーザー アカウント

  • ローカル システム

  • ローカル管理者アカウント

  • ドメイン管理者アカウント

例外に対する高セキュリティのサーバー グループを作成する

高セキュリティ サーバーは、基本的に、業務で必要とされるリソースの保持やサービスの提供を行うサーバー、または高いセキュリティ リスクをもたらすサーバーのことです。 通常、このような条件を満たすサーバーは、次のとおりです。

  • ドメイン コントローラ。

  • 実行するためにドメイン管理者アカウントの認証が必要なサービスを使用するサーバー。

  • フォレストで委任に対して信頼されているサーバー。

  • 機密性の高い業務上のグループで使用されるサーバー、または重要な業務データを保持するサーバー (給与情報などを保持する人事サーバーなど)。

  • Windows Server 2003 の制限付き委任を使用して、フォレスト内で委任に対して信頼されたサービスを実行するサーバー。

高セキュリティのサーバー グループを作成するには、一般に次の手順を実行します。

  1. 高セキュリティ サーバーとして指定するサーバーを識別します。

  2. 各フォレストで High Security Servers ユニバーサル セキュリティ グループを作成します。

  3. 作成したユニバーサル グループに、指定したサーバーのコンピュータ アカウントを配置します。

  4. 各ドメインで Domain Admin Accounts ローカル グループを作成します。

  5. 作成したローカル グループに、ドメイン管理者と同等のユーザー アカウントすべてを配置します。

  6. すべてのコンピュータ上のサービスに対してドメインレベルの管理者アカウントの使用を制限している各ドメインで、グループ ポリシー オブジェクトを作成します。作成した Domain Admin Accounts ドメイン ローカル グループに対して、[サービスとしてログオンを拒否する] および [バッチ ジョブとしてログオンを拒否する] の各ユーザー特権を割り当て、GPO で、作成された Domain Admins アカウント ドメイン ローカル グループに [Allow-Read] と [Allow-Apply] の特権を与えます。

  7. 各 GPO で High Security Servers グループに対してグループ ポリシーのフィルタを使用して、そのグループのメンバがサービスに対してドメイン管理者を使用し続けることができるようにします。 この機能を実行するには、GPO で High Security Servers グループに対して [Allow-Read] および [Deny-Apply] 特権を適用します。

High Security Servers グループのメンバシップ管理では、グループへの追加要求を評価する内部ワークフロー プロセスを使用する必要があります。 このプロセスには、要求を確認し、サーバーがグループに追加される場合に関連するセキュリティ リスクを評価する手順を含めるようにしてください。 このプロセスの基盤は、指定アカウントに対して電子メールで要求を送るような単純なものから、ゼロタッチ プロビジョニング (ZTP) のようにプロビジョニング ツールをいくつも使用した高度な自動化プロセスまで、さまざまなものがあります。

ZTP は、大規模エンタープライズ環境を対象としたツールであるため、この文書では取り扱いません。 ZTP および同様のツールの詳細については、「デスクトップ展開」を参照してください。

サービス アカウントのパスワード変更を管理する

サービスにアカウントを割り当てるときは、サービス コントロール マネージャ (SCM) でそのアカウントに適切なパスワードを指定してから、割り当てる必要があります。 間違ったパスワードを指定すると、SCM が割り当てを拒否します。 Local System、Local Service、または Network Service アカウントを使用するようにサービスを設定する場合は、アカウントのパスワードを管理する必要はなくなり、オペレーティング システムによって代わりに管理されます。

その他のサービス アカウントの場合は、SCM はアカウントのパスワードをサービス データベースに格納します。 パスワードが割り当てられた後は、SCM はデータベースに格納されたこのパスワードを検証せず、Active Directory でユーザー アカウントに割り当てられたパスワードが引き続き一致します。 このため、次のような状況では、問題が発生する可能性があります。

  1. 特定のユーザー アカウントを使用するようにサービスを設定します。

  2. そのアカウントと現在のパスワードを使用してサービスを開始します。

  3. サービスが実行されているときに、そのユーザー アカウントのパスワードを変更します。

  4. サービスは停止されるまで実行し続けます。 停止後、SCM は今までどおり古いパスワードを使用しようとするため、サービスを再起動できません。 Active Directory でパスワードを変更しても、サービス データベースに格納されたパスワードとは同期されません。

標準のドメインまたはローカル ユーザー アカウントのパスワードを変更するたびに、そのアカウントを使用するすべてのサービスを新しい認証情報で更新する必要があります。 サービスおよびサービスで使用されるアカウントが適切に文書化されていない場合は、この処理に多大な時間がかかることがあります。

もちろん、すべてのサーバーで使用されるすべてのサービスのアカウント情報を格納したドキュメントが存在する場合は、固有のセキュリティ リスクが存在します。そのため、そのようなドキュメントをセキュリティ保護する手順を実施する必要があります。 大規模な組織では、オフライン化され安全な場所に格納された暗号化ファイルにこの情報を記録することもできるでしょう。 しかし、小規模な組織では、このような情報を紙に記録してバインダにとじ、金庫などの安全な場所に鍵をかけて保管するだけの場合もあります。

Exchange Server や SQL Server™ などのアプリケーションではサービス アカウントのパスワードを使用することもあるため、そのような場合にアプリケーションのインターフェイスで関連するパスワードを変更する際は注意してください。

サービス アカウントのパスワードの変更処理を自動化するツールを作成する方法については、「Changing the Password on a Service’s User Account」(英語) を参照してください。

強力なパスワードの使用を強制する

管理者アカウントに関するセクションで説明したとおり、管理者と同等のアカウントとサービス アカウントのすべてに対して、強力なパスワード ポリシーの使用を厳密に強制する必要があります。 この規則を強制するために、グループ ポリシーを使用して、パスワードの有効期限や最低文字数の制限などの強力なパスワードの規則を適用することができます。

強力なパスワード ポリシーの詳細については、ホワイト ペーパー「Account Passwords and Policies」(英語) を参照してください。

強力なパスワードの使用を強制する方法の詳細については、「Windows Server 2003 セキュリティ ガイド」を参照してください。

弱いパスワードはネットワークで最も一般的な脆弱性の 1 つであり、管理者と同等のアカウントで弱いパスワードを使用すると、攻撃者はネットワーク リソースへのアクセスを簡単に取得できます。 ネットワークのセキュリティと管理に責任を持つ担当者は、自動的なテスト ツールを使用して、弱いパスワードを使用している管理者と同等のアカウントを検出するタスクを定期的に行うようにスケジュールを組む必要があります。

Microsoft Baseline Security Analyzer (MBSA) は、ネットワーク上のすべてのコンピュータをスキャンして弱いパスワードを検索し、このタスクを実行します。 MBSA はすべてのユーザー アカウントを列挙して、次のようなパスワードの脆弱性をチェックすることができます。

  • 空のパスワード

  • ユーザー アカウント名と一致するパスワード

  • コンピュータ名と一致するパスワード

  • 「password」、「admin」、または「administrator」の語句を使用するパスワード

MBSA は、上のすべての弱いパスワードを使用してアカウントのパスワードの変更を試みます。 そして弱いパスワードが検出されると、パスワードは変更されませんが、そのパスワードにセキュリティ リスクがあることが報告されます。 MBSA は、無効になっているアカウントやロックアウトされたアカウントも報告します。

MBSA では、不適切なパスワードによくある特徴が検出されますが、完全な機能を備えたパスワード監査は提供されません。 完全な機能を備えたパスワード監査が必要な場合、市販されているサードパーティ製のオフライン スキャン用ツールおよびアプリケーションを使用することもできます。

MBSA の詳細およびダウンロードについては、「http://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx」 を参照してください。

MBSA によるスキャン処理中、ドメイン コントローラとして指定されたコンピュータで検出されたアカウント ロックアウト ポリシーは、リセットされます。 また、MBSA は、ドメイン コントローラとして指定されたコンピュータのパスワード スキャンを実行できません。

ページのトップへ

概要

中規模ビジネス ネットワークにおいて、重要なアカウントやサービス アカウントのセキュリティを強化するためには、多くの手順を踏む必要があることが明らかです。 しかし、基本的には、これらのすべてのアプローチは、最小特権の原則に従って詳細に文書化されたプロセスと導入プラクティスの確立など、わずかな主要概念に基づいています。 そのため、これらの少ない主要概念を理解してアカウント管理の基盤として使用することで、あらゆるネットワークのセキュリティを大幅に強化できます。

この文書で説明したこれらのベスト プラクティス テクニックは、業務要件に適していると見なすことができれば、いくつでも中規模ビジネス環境で採用できます。 これらのプラクティスをすべて組み合わせれば、どのようなネットワークのセキュリティも間違いなく向上しますが、それぞれのプラクティスがビジネス ネットワークに与える潜在的な影響を分析して、最も問題の少ないアプローチの組み合わせを判断することをお勧めします。

ページのトップへ

付録 A : 共通サービス

Windows Server 2003 および Windows XP で共通するサービスについて、次の表にアルファベット順で示します。 このリストには既定のサービスとコンピュータに追加できるサービスの両方が含まれていますが、コンピュータにインストールできるすべてのサービスを網羅したリストではありません。サードパーティ製ソフトウェア パッケージによってインストールされる可能性のあるサービスは含まれていません。

表 A.1 Windows XP および Windows Server 2003 のサービスの詳細

サービス サービス名 ログオン方法 説明
6to4 IP Version 6 Helper Service ローカル システム IPv4 ネットワークにおける IPv6 接続を有効にします。
AELookupSvc Application Experience Lookup Service アプリケーションの起動時に、そのアプリケーションのアプリケーション互換性検索要求を処理します。 アプリケーション互換性のソフトウェアが更新されるには、このサービスがアクティブである必要があります。
Alerter Alerter ローカル サービス 選択したユーザーおよびコンピュータに管理警告を通知します。送信は、クライアント コンピュータの Messenger サービスに依存します。
ALG Application Layer Gateway Service ローカル サービス ネットワーク プロトコルがファイアウォールを通過して ICS のバックグラウンドで稼働できるようにするためのプラグインをサポートします。
AppMgmt Application Management ローカル システム Assign、Publish、および Remove などのソフトウェア インストール サービスを提供します。 無効にすると、IntelliMirror® などの Active Directory サービスを使用してアプリケーションをインストールできません。
AppMgr Remote Server Manager ローカル システム リモート管理警告オブジェクトの WMI インスタンス プロバイダ、およびリモート管理タスクの WMI メソッド プロバイダの働きをします。
aspnet_state ASP.NET State Service ネットワーク サービス ASP.NET のプロセス外のセッション状態をサポートします。
AudioSrv Windows Audio ローカル システム Windows ベースのプログラム用のオーディオ デバイスを管理します。
BINLSVC Remote Installation ローカル システム リモート インストール サービス (RIS) の基本コンポーネントで、リモート ブート対応のコンピュータの PXE 要求に応答します。
BITS Background Intelligent Transfer Service ネットワーク サービス キュー マネージャのバックグラウンド ファイル転送メカニズムを提供します。 このサービスが停止すると、自動更新機能を使用できなくなります。
Browser Computer Browser ローカル システム ネットワーク上のコンピュータの最新の一覧を管理します。
CertSvc Certificate Services ローカル システム デジタル証明書の発行と管理を行う、オペレーティング システムの中核となる機能です。
cisvc Indexing Service ローカル システム ファイルの内容とプロパティのインデックスを作成し、クエリ言語を使用してファイルに高速にアクセスできるようにします。
ClipSrv ClipBook ローカル システム クリップブック ビューアが、リモート ユーザーが検討するデータのページを作成および共有できるようにします。
ClusSvc Cluster Services ドメイン アカウント サーバー クラスタ操作を制御し、クラスタ データベースを管理します。
COMSysApp COM+ System Application ローカル システム COM+ ベースのコンポーネントの構成と追跡を管理します。 このサービスが無効にされると、COM+ コンポーネントは正しく機能しません。
CORRTSvc .NET Framework Support Service 指定されたプロセスが Client Runtime Service を初期化するときに購読側のクライアントに通知を出します。
CryptSvc Cryptographic Services ローカル システム Windows ベースのコンピュータの暗号化キー管理サービスを行います。
DcomLaunch DCOM Server Process Launcher ローカル システム RPCSS サービスと組み合わせて使用する、Local System 特権を必要とする RPC サービスの 1 つです。
Dfs Distributed File System ローカル システム ネットワーク上に存在するさまざまなファイル共有を 1 つの論理名前空間に統合します。 SYSVOL 共有の提供に必要です。
DFSR Distributed File System Replication 共通のレプリケーション グループに参加するコンピュータ間で、ファイルやフォルダに対する更新を自動的にコピーします (Windows Server 2003 R2 で追加)。
Dhcp DHCP Client ネットワーク サービス IP アドレスを登録および更新することにより、DHCP ネットワーク構成情報を管理します。
DHCPServer DHCP Server ローカル システム DHCP を管理し、クライアント コンピュータに IP アドレスを割り当てます。
dmadmin Logical Disk Manager Administrative Service ローカル システム ディスク管理要求に対して管理サービスを実行し、ディスクとボリュームを構成します。 そのような構成プロセス中だけ実行されるサービスです。
dmserver Logical Disk Manager ローカル システム 新しいディスク ドライブの検出と監視を行い、dmadmin サービスにボリューム情報を送信します。 動的ディスクを使用している場合は、無効にしないでください。
DNS DNS Server ローカル システム DNS 名の照会要求および更新要求に回答することにより、DNS 名を解決します。
Dnscache DNS Client ネットワーク サービス DNS 名を解決してキャッシュします。DNS 名を解決するすべてのコンピュータで実行されている必要があります。
ERSvc Error Reporting Service ローカル システム 予期しないアプリケーションのエラーまたは終了について、その情報を収集、保存、および報告します。
Eventlog Event Log ローカル システム プログラム、サービス、およびオペレーティング システムから送信されたイベントをログ ファイルに書き込みます。
EventSystem COM+ Event System ローカル システム 登録された COM コンポーネントにイベントを自動的に通知します。
FastUser Switching Compatibility Fast User Switching Compatibility ローカル システム 複数ユーザー環境での支援を必要とするアプリケーションを管理します。
Fax Fax Service ローカル システム TAPI 準拠の FAX 機能を提供します。
Groveler Single Instance Storage Groveler ローカル システム Remote Installation Service (RIS) の必須コンポーネントで、複製ファイルを見つけると、Single Instance Storage に元のファイルをコピーします。
helpsvc Help and Support ローカル システム ヘルプとサポート センター アプリケーションのヘルプ トピックに関するメタデータと情報を含むストアおよびサービスを提供します。
HidServ Human Interface Device Access ローカル システム キーボードやマウスなどの USB デバイスへの一般的な入力アクセスを有効にします。
HTTPFilter HTTP SSL ローカル システム IIS で SSL 機能を実行できるようにします。
IAS Internet Authentication Service ローカル システム ネットワークに接続しているユーザーの集中化認証、承認、監査、およびアカウンティングを実行します。
IASJet IAS Jet Database Access ローカル システム RADIUS プロトコルを使用した認証、承認、およびアカウンティング サービスを実行します。
IISADMIN IIS Admin Service FTP や Web サービス拡張などの IIS コンポーネントを管理できます。
ImapiService IMAPI CD-Burning COM Service ローカル システム IMAPI COM インターフェイスによる CD の作成を管理し、必要に応じて CD-R への書き込みを実行します。
Irmon Infrared Monitor ローカル システム 赤外線接続を使用したファイル共有が可能になります。
IsmServ Intersite Messaging ローカル システム Windows Server を実行するコンピュータ間でメッセージの交換が可能になります。
Kdc Kerberos Key Distribution Center ローカル システム Kerberos 認証プロトコルを使用してユーザーがログオンできるようにします。 このサービスが停止すると、クライアントはドメインにログオンできません。
lanmanserver Server ローカル システム RPC サポート、ファイル、印刷、および名前付きパイプの共有をネットワーク上に提供します。
Lanman workstation Workstation ローカル システム クライアント サービスのネットワーク接続と通信を提供します。
LicenseService License Logging ネットワーク サービス 本来は、Windows NT® Server 3.51 で導入された CAL を管理するためのものです。Microsoft Small Business Server のユーザーだけが有効にすることをお勧めします。
LMHosts TCP/IP NetBIOS Helper Service ローカル サービス NetBIOS over TCP/IP、およびクライアントの NetBIOS 名の解決をサポートします。
LPDSVC TCP/IP Print Server ローカル システム UNIX ベースのプラットフォームで実行している LPD ユーティリティからのドキュメントを受け取ったときに、LPD プロトコルを使用した TCP/IP ベースの印刷を可能にします。
LSASS Local Security Authority ローカル システム ローカル セキュリティ、ドメイン認証、Active Directory のプロセスを管理するインターフェイスです。
MacFile File Server for Macintosh ローカル システム Macintosh ユーザーが Windows Server 2003 上でファイルを保存したりアクセスしたりできるようにします。
MacPrint Print Server for Macintosh ローカル システム Macintosh ユーザーが Windows Server 2003 のプリント サービスを使用できるようにします。
MDM Machine Debug Manager アプリケーションのローカルおよびリモート デバッグを管理します。
Messenger Messenger ローカル システム Alerter サービスとのメッセージの送受信を実行します。 Windows Messenger とは異なります。無効にすると、net send および net name コマンドが使用できなくなります。
mnmsrvc NetMeeting Remote Desktop Sharing ローカル システム 認証されたユーザーは、他のコンピュータから Windows NetMeeting® サービスを使用して、Windows デスクトップにリモートでアクセスできます。
mqds Message Queuing Down Level Clients ローカル システム Message Queuing サービスを使用する古いバージョンの Windows が Active Directory にアクセスできるようにします。
Mqtgsvc Message Queuing Triggers ローカル システム Message Queuing サービスのキューに到着するメッセージをルールに基づいて監視し、メッセージ処理サービスを呼び出します。
MSDTC Distributed Transaction Coordinator ネットワーク サービス 複数のコンピュータ システム、データベース、ファイル システム、メッセージ キュー、およびその他のトランザクション保護のリソース マネージャに分散されたトランザクションを調整します。
MSExchange MTA Microsoft Exchange MTA Stacks 複合モード環境で、下位互換のメッセージ転送サービスを提供します。
MSFTPSVC FTP Publishing Service ネットワーク サービス IIS スナップインを使用して FTP の接続と管理を行います。
MSIServer Windows Installer ローカル システム インストール プロセス時に一元的に定義されたセットアップ ルールを適用して、アプリケーションのインストールと削除を管理します。
msmq Message Queuing ローカル システム Windows プログラム用の分散メッセージングを可能にするための、メッセージング インフラストラクチャおよび開発ツールです。
MSSQL$UDDI MSSQL$UDDI ネットワーク サービス SQL Server データベース エンジンに対して UDDI (Universal Description, Discovery, and Integration) サービスを提供します。
MSSQL SERVER MS SQL Server 構成可能な MS SQL Server サービスを提供します。
MSSQLServer ADHelper MS SQL Server AD Helper ローカル システム SQL Server および SQL Server Analysis Services が、Active Directory に情報を発行できるようにします。
NetDDE Network DDE ローカル システム 同一コンピュータ上または異なるコンピュータ上で実行されているプログラムに対して、DDE のネットワーク トランスポートとセキュリティを提供します。
NetDDEdsdm Network DDE DSDM ローカル システム DDE ネットワーク共有を管理します。
Netlogon Netlogon ローカル システム クライアント コンピュータとドメイン コントローラの間に、サービスとユーザーを認証するための保護されたチャネルを維持します。
Netman Network Connections ローカル システム [ネットワーク接続] フォルダのオブジェクトを管理します。
Network Connections Network Connections ローカル システム [ネットワークとダイヤルアップ接続] フォルダのオブジェクトを管理します。このフォルダから、ネットワークおよびリモート接続を表示できます。
NLA Network Location Awareness ローカル システム ネットワーク構成情報や位置変更情報を収集、保存します。
NntpSvc Network News Transfer Protocol ローカル システム コンピュータを NNTP ニュース サーバーとして動作させることができます。
NtFrs File Replication ローカル システム 共通の FRS レプリカ セットに参加するコンピュータ間で、ファイルやフォルダに対する更新を自動的にコピーします。
NtLmSsp NTLM Security Support Provider ローカル システム ローカル セキュリティ ポリシー オブジェクトの認証と管理を行います。
NWC Workstation Client Service for NetWare ローカル サービス NetWare のファイルおよび印刷リソースへのアクセスを提供します。
nwsapagent SAP Agent ローカル システム IPX SAP プロトコルを使用して IPX ネットワーク上のネットワーク サービスを通知します。
point Microsoft Operations Manager 2000 Agent Microsoft Operations Manager (MOM) 2000 エージェントです。
PlugPlay Plug and Play ローカル システム ユーザーの入力なしで、ハードウェアの変更を認識できるようになります。
PolicyAgent IPsec Service ローカル システム IPSec ポリシーを管理し、IKE を起動して、IP セキュリティ ドライバの IPSec ポリシー設定を調整します。
POP3SVC Microsoft POP3 Service ローカル サービス 電子メールの転送と取得サービスを提供します。
Protected Storage Protected Storage ローカル システム 機密性の高いデータ用に保護されたストレージを提供します。
RasAuto Remote Access Auto Connection Manager ローカル システム プログラムがリモートの DNS 名やアドレス、または NetBIOS 名やアドレスを参照するときに、リモート コンピュータへの接続を作成します。
RasMan Remote Access Connection Manager ローカル システム リモート ネットワークへのダイヤルアップ接続や VPN 接続を管理します。
RDSessMgr Remote Desktop Help Session Manager ローカル システム ヘルプとサポート センター アプリケーション内のリモート アシスタンス機能を管理および制御します。
Remote_ Storage_Server Remote Storage Server ローカル システム セカンダリ記憶域メディアからファイルとの間でファイルを移動または取得します。
Remote_ Storage_User_ Link Remote Storage Notification Remote_Storage_User_Link サービスは、セカンダリ メディア ソースだけから利用可能なファイルをユーザーが読み書きしようとしたときに通知します。
RemoteAccess Routing and Remote Access ローカル システム マルチプロトコルのルーティング サービスを提供し、ダイヤルアップと VPN のリモート アクセス サービスを実現します。
RemoteRegistry Remote Registry Service ローカル サービス リモート ユーザーが適切な特権でレジストリ設定を変更できるようにします。
RpcLocator Remote Procedure Call Locator ネットワーク サービス RPC クライアントが RPC サーバーを探せるように、RPC ネーム サービス データベースを管理します。 既定では無効になっています。
RpcSs Remote Procedure Call ローカル システム RPC エンドポイント マッパーおよび Component Object Model (COM) Service として実行されます。
RSoPProv Resultant Set of Policy Provider ローカル システム Windows ドメイン コントローラに接続し、WMI データベースにアクセスして、グループ ポリシー設定用の RSoP をシミュレートできます。
RSVP QoS RSVP ローカル システム アプリケーションからの Generic Quality of Service API 要求の使用を管理します。
Sacsvr Special Administration Console Helper ローカル システム Stop エラー メッセージが検出されたために Windows Server ファミリ オペレーティング システムが停止した場合に、リモート管理タスクを実行します。
SamSs Security Accounts Manager ローカル システム ユーザーとグループのアカウント情報を管理します。
SCardSvr Smart Card ローカル サービス コンピュータに接続されているスマート カード リーダーに挿入されたスマート カードへのアクセスを管理および制御します。
Schedule Task Scheduler ローカル システム 自動化されたタスクを実行できます。
seclogon Secondary Logon ローカル システム 異なるセキュリティ プリンシパルのコンテキストの中でプロセスを作成できます。
SENS System Event Notification ローカル システム システム イベントおよび電源イベントを追跡し、これらのイベントを COM+ イベント システム サブスクライバに通知します。
SharedAccess Windows Connection Firewall/Internet Connection Sharing ローカル システム インターネット接続共有が有効な場合に、ネットワーク上のすべてのコンピュータに対して、NAT、アドレス割り当て、および名前解決のサービスを提供します。
ShellHW detection Shell Hardware Detection ローカル システム AutoPlay ハードウェア イベントを通知します。
SimpTcp Simple TCP/IP Services ネットワーク サービス Echo、Discard、Daytime、Character Generator、Quote of the Day などの簡易 TCP/IP サービスを提供します。
SMTPSVC Simple Mail Transport Protocol ローカル システム SMTP の送信とリレーを行うエージェントとして機能し、リモート宛先向けの電子メールを受け入れてキューに入れます。
SNMP SNMP Service ローカル システム 受信した SNMP 要求をローカル コンピュータで処理できます。
SNMPTRAP SNMP Trap Service ローカル サービス ローカルまたはリモートの SNMP エージェントが生成した SNMP トラップ メッセージを受信し、SNMP 管理サーバーに転送します。
Spooler Print Spooler ローカル システム ローカルおよびネットワークのすべての印刷キューを管理し、すべてのプリント ジョブを制御します。
SQLAgent$ WEBDB SQL Agent$ UDDI または WebDB

SrvcSurg Remote Administration Service ローカル システム サーバーの起動時にリモート管理タスクを実行します。サーバー起動カウントを増加させ、サーバーに日時が設定されていない場合は警告します。
StiSvc Windows Image Acquisition ローカル サービス スキャナやカメラ用の画像取得サービスを提供します。
srservice System Restore Service ローカル システム システムおよびアプリケーションのファイルに対する変更を監視し、容易に特定できる復元ポイントを作成します。
SSDPSRV SSDP Discovery Service ローカル サービス デバイス存在通知、キャッシュ更新、および SSDP 通知を管理します。
StiSvc Windows Image Acquisition (WIA) ローカル サービス アプリケーションとイメージ キャプチャ デバイス間に強固な通信を確立して、イメージをコンピュータに効率よく転送します。
SwPrv Microsoft Software Shadow Copy Provider ローカル システム VSS サービスによって作成された、ソフトウェアに基づいたシャドウ コピーを管理します。
SysmonLog Performance Logs and Alerts ネットワーク サービス パフォーマンスのログと警告の情報を収集します。パフォーマンス データの収集イベントが 1 つ以上スケジュールされている場合だけ実行されます。
TapiSrv Telephony ローカル システム テレフォニー デバイスや IP ベースの音声接続を制御するプログラムに対して、TAPI サポートを提供します。
TermService Terminal Services ローカル システム 複数のクライアントがサーバーで実行している仮想 Windows デスクトップ セッションにアクセスできます。
TermServ Licensing Terminal Services Licensing
登録済みのクライアントがターミナル サービスに接続するときにライセンスを提供し、それらのライセンスを追跡します。
tftpd Trivial FTP Daemon
TFTP 要求をリッスンして応答します。
Themes Themes ローカル システム Windows XP グラフィカル ユーザー インターフェイス (GUI) のレンダリング サポートを提供します。
TlntSvr Telnet ローカル システム Windows ユーザーに Telnet サービスを提供し、ANSI、VT-100、VT52、および VTNT ターミナル セッションをサポートします。
TrkSvr Distributed Link Tracking Server ローカル システム ボリューム間で移動されたファイルがドメイン内の各ボリュームを追跡できるようにするための情報を保存します。 各ドメイン コントローラで実行されます。
TrkWks Distributed Link Tracking Client ローカル システム コンピュータ上またはネットワーク上の NTFS ファイル システムのファイル間でリンクを維持し、ターゲット ファイルを移動または名前変更した後も、ショートカットや OLE リンクが機能するようにします。
Tssdis Terminal Services Session Directory ローカル システム クラスタ上で切断されたセッションを追跡し、それらのセッションにユーザーを再接続できるようにします。
Uploadmgr Upload Manager ローカル システム ネットワーク上のクライアントとサーバー間の、同期および非同期のファイル転送を管理します。
upnphost Universal Plug and Play Device Host ローカル システム ホストされているデバイスのデバイス登録、制御、およびイベントへの対応に必要なすべてのコンポーネントを実装します。
UPS Uninterruptible Power Supply ローカル サービス シリアル ポートを介してコンピュータに接続された無停電電源装置 (UPS) を管理します。
VDS Virtual Disk Service ローカル システム ブロック記憶域の仮想化を管理するためのインターフェイスを 1 つ提供します。このインターフェイスは、OS ソフトウェア、RAID 記憶域、またはその他の仮想化エンジンのどれを使用する場合でも使用できます。
VSS Volume Shadow Copy ローカル システム バックアップ アプリケーションが使用する、ボリュームのスナップショットを管理します。
W32Time Windows Time ローカル システム 日時を NTP と同期に維持します。
W3SVC World Wide Web Publishing Service ローカル システム Web 公開サービスを提供するプロセスおよび構成のマネージャが含まれます。
WebClient WebClient ローカル サービス Win32 アプリケーションによってインターネット上のドキュメントにアクセスできます。
WindowsSystem Resource Manager Windows System Resource Manager ローカル システム オペレーティング システムの 1 つのインスタンスで実行されているプロセスの CPU とメモリ消費量をポリシーに基づいて管理します。
WinHttpAutoSvc WinHTTP Web Proxy Auto-Discovery Service ローカル サービス WinHttp クライアントのプロキシ構成検知を実装します。
winmgmt Windows Management Instrumentation ローカル システム 複数のインターフェイスでシステム管理情報を提供します。
WINS Windows Internet Name Service ローカル システム NetBIOS 名の解決および WINS 複製を有効にします。
WmdmPmSN Portable Media Serial Number ローカル システム WMDM でコンピュータに接続されたポータブル ミュージック デバイスからシリアル番号を取得できます。
Wmi Windows Management Instrumentation Driver Extensions ローカル システム WMI またはイベント トレース情報を公開するように設定されているすべてのドライバとイベント トレース プロバイダを監視します。
WmiApSrv WMI Performance Adapter ローカル システム WMI プロバイダから提供されるパフォーマンス カウンタを、リバース アダプタ パフォーマンス ライブラリを使用して PDH で利用できるカウンタに変換します。
WMServer Windows Media Service ネットワーク サービス Windows Media Service を有効にします。
wscsvc Security Center ローカル システム システム セキュリティの設定および構成を監視します。
wuauserv Automatic Updates ローカル システム Microsoft Windows Update Web サイトから更新をダウンロードできます。
Wuser32 SMS Remote Control Agent ローカル システム SMS 2003 に対してリモート コンピュータ管理サービス (リモート制御サービスやリモート ファイル転送サービスなど) を提供します。
WZCSVC Wireless Zero Configuration ローカル システム ワイヤレス通信用の IEEE 802.11 ワイヤレス アダプタを自動的に構成できます。
xmlprov Network Provisioning Service ローカル システム Microsoft Wireless Provisioning Service (WPS) などのネットワーク プロビジョニング サービスから XML 構成ファイルをダウンロードおよび管理できます。

ページのトップへ