セキュリティテンプレート

| | コメント(2) | トラックバック(1)

セキュリティテンプレートを使って、各PCに決まったセキュリティ構成を適用する事ができます。
「定義済みテンプレート」は「%SystemRoot%\Security\Templates」にあります。
「定義済みテンプレート」をベースに、各自のポリシーに合うように修正して(別名で保存して)、その「セキュリティテンプレート」をPCに適用します。

Windows 2000 でやってみました。

現在の状態をバックアップ

後で元の状態に戻せるようにバックアップを取っておきます。

  1. 「コントロールパネル」>「管理ツール」>「ローカルセキュリティポリシー」を開く。
  2. 「セキュリティの設定」>「右クリック」>「ポリシーのエクスポート」>「ローカルポリシー or 有効なポリシー」
  3. ファイルに保存する

「アカウントポリシー」と「ローカルポリシー」は保存できるっぽい。
「レジストリ」や「ファイルシステム」は空っぽでした。

セキュリティテンプレートを編集する

mmc.exeを起動して、「セキュリティテンプレート」と「セキュリティの構成と分析」スナップインを読み込みます。

  1. 「mmc.exe」実行>「コンソール」>「スナップインの追加と削除」>「追加」ボタン>「スタンドアロンスナップインの追加」ダイアログが起動
  2. 「セキュリティテンプレート」選択>「追加」ボタン
  3. 「セキュリティの構成と分析」選択>「追加」ボタン
  4. 「閉じる」ボタン>「OK」ボタン

「定義済みテンプレート」を修正して、自分の環境に合ったセキュリティテンプレートを作成します。

  1. 「コンソールルート」>「セキュリティテンプレート」>「%systemroot%\Security\Templates] ノードを展開して、テンプレートを表示します。
  2. 今回使用したテンプレートは「hisecws.inf」(「高度なセキュリティで保護されたワークステーションまたはサーバー」用)です。
    「%systemroot%\Security\Templates] ノードを選択した時に表示されるセキュリティテンプレートの説明には「SecureWS の設定を強化します。Power User とターミナル サーバーの ACL を制限します。」と書かれていました。
    ・・・実は、「securews.inf」(「セキュリティで保護されたワークステーションまたはサーバー」用)を適用するつもりだったのに、よりセキュリティ的に厳しいものを選んでしまったのでした・・・。
  3. 「セキュリティテンプレート」を必要に応じて修正します。
    修正したい項目をダブルクリックして修正します。
  4. 修正したテンプレートを保存します。
    「hisecws(テンプレート名)」>「右クリック」>「名前を付けて保存」。
    今回は、「hisecws_20040320.inf」としました。
    元の「定義済みテンプレート」は上書き保存しないようにします。

環境やポリシーによって、「セキュリティテンプレート」を適切に修正する必要があります。
例えば、私の場合、「ローカルポリシー」>「セキュリティオプション」で以下を修正する必要がありました。

  • 「LAN Manager認証レベル」を「NTLM 応答のみ送信する」に修正。
    「NTLMv2応答のみ送信\LMとNTLMを拒否する」のままだと、他のネットワークコンピュータから接続できませんでした。
  • 「常にクライアント側の通信にデジタル署名を行う」を無効に修正。
    有効にしていると、他のネットワークコンピュータに接続出来ませんでした。(認証ダイアログが出て、認証が成功しない)

修正したテンプレートを適用する

  1. まず、データベースを作成します。
  2. 「セキュリティの構成と分析」>「右クリック」>「データベースを開く」
  3. 適当に新規のデータベース名を入力します。
    今回は「hisecws_20040320.sdb」としました。
  4. データベースがない場合は、テンプレートの入力を要求されるので、テンプレートファイルを指定します。
    「hisecws_20040320.inf」を指定しました。
    「データベース」が既にある場合は、指定したデータベースが読み込まれ、テンプレートは指定しません。
  5. 「セキュリティの構成と分析」>「右クリック」>「コンピュータの分析」をクリックします。
  6. ログファイル名を入力します。
  7. 分析が始まります。
    システムセキュリティの分析
  8. 「データベースの設定」と「コンピュータの設定」が比較して表示されます。
    異なる時は「赤い×印」が、同じ場合は「緑のチェック」が、未定義の時は何もつかないようです。
    システムセキュリティの分析後、設定の比較
  9. サラっと確認します。
    修正抜けがあったら、修正します。
    「レジストリ」と「ファイルシステム」は見ても、どうして良いか分からないなぁ。
    後日、作成したテンプレートを使用して再設定を行う事を考えると、inf ファイルを修正・保存して、再度「セキュリティの構成と分析」を実行した方が良いと思います。
  10. (infファイルを修正しないで、)直接「セキュリティの構成と分析」で変更した場合は、テンプレートをエクスポートしておきます。
    「セキュリティの構成と分析」>「右クリック」>「テンプレートのエクスポート」
    エクスポートした場合、「%SystemDrive%」などの変数は「c:\」などの定数に展開されて保存されてしまうので、注意。
    やっぱり、inf ファイルを修正してから、再度「セキュリティの構成と分析」を行ったほうがいいかなぁと思います。

    ※あれ?エクスポートされるのは、「データベースの設定」の方かと思ってたんだけど、「コンピュータの設定」の方っぽいなぁ?それとも「読み込んだテンプレート」?「コンピュータの構成」すると、「セキュリティの構成と分析」のツリーが消えて「エクスポート」メニューはディセイブルになってるしなぁ。?「エクスポート」じゃ保存できないかも。今度確認しなきゃ。(2004/09/11)

  11. 「セキュリティの構成と分析」>「右クリック」>「コンピュータの構成」でテンプレートを適用します。
  12. 「セキュリティの構成と分析」>「右クリック」>「ログファイルの表示」をしてログを確認します。
  13. また、必要があれば、再度「セキュリティの構成と分析」>「右クリック」>「コンピュータの分析」をすることにより適用状況を確認する事ができます。

同様にして、「OCFilesw.inf」(「Windows 2000 Professional 用の追加コンポーネント ファイル セキュリティ」用)をあてました。

「レジストリ」や「ファイルシステム」はデフォルトで入ってる領域のみ変更されます。
データ領域は別途変更が必要になります。

別マシンにinf ファイルをコピーして行う場合は、ユーザ名(SID?)が変わっちゃうので、注意が必要。
再インストールした場合も同様。

Secedit.exe コマンドラインツールで、分析や構成を行えるそうです。
バッチ ファイルや自動タスクスケジューラから呼び出して、テンプレートを自動的に作成、適用、分析する時に使えます。

定義済みテンプレートについて

定義済みテンプレートは変更しないこと。

「Setup security.inf」テンプレートは、既定のセキュリティ設定を再適用するためのものです。
グループ ポリシー オブジェクトからセキュリティ テンプレートを削除する場合は、「Setup security.inf」を適用すれば復元できるようです。
トラぶったら、とりあえずこれをあてて対策を考えましょう。(今回お世話になりました)

リンク

・313434 - [HOWTO] Windows 2000 のセキュリティ テンプレート スナップインでセキュリティ テンプレートを定義する方法
http://support.microsoft.com/default.aspx?kbid=313434

・816297 - [HOWTO] Windows Server 2003 でセキュリティ テンプレート スナップインを使用してセキュリティ テンプレートを定義する方法
http://support.microsoft.com/default.aspx?kbid=816297

・セキュリティ テンプレートを使う (Microsoft Windows 2000 Server ドキュメント)
http://www.microsoft.com/windows2000/ja/server/help/default.asp?url=/windows2000/ja/server/help/sag_SEconceptsImpDSPols.htm

・セキュリティの構成と分析 (Microsoft Windows 2000 Server ドキュメント)
http://www.microsoft.com/windows2000/ja/server/help/default.asp?url=/windows2000/ja/server/help/sag_SEconceptsImpLocPols.htm

・セキュリティ構成マネージャ (Microsoft TechNet)
http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/standard/SEconcepts_SCM.asp

・構成と分析と基本操作はMMCから (「日経Windowsプロ」2001年11月号)
http://education24.hitachi-sk.co.jp/win2ks1point/0111/point2.htm

トラックバック(1)

このブログ記事を参照しているブログ一覧: セキュリティテンプレート

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/229

» [Docs] セキュリティテンプレート(システム管理な雑記)~のトラックバック

[Docs] セキュリティテンプレート 続きを読む

コメント(2)

ちょうど同じようなことをやろうとしていた所だったので、非常に参考になりました。どうもありがとうございます。

ike :

参考になったらよかったです:)
Mr.300%さんのサイト、難しいこと書いてありますね^^;

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2004年3月20日 03:03に書いたブログ記事です。

ひとつ前のブログ記事は「パケットフィルタリング (win)」です。

次のブログ記事は「PortQry」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

On セキュリティテンプレート
  • ike: 参考になったらよかったです:) Mr.3
  • Mr.300%: ちょうど同じようなことをやろうとしていた
Powered by Movable Type 4.261