Windows Server

セキュリティを高める

JEAによるWindows Serverのセキュリティ強化

今日の企業活動において、情報システムは必要不可欠な存在となり、その安定稼働を支えるシステム管理者の役割はますます重要性を増しています。しかし、それと同時に、管理者権限を持つアカウントが悪用されると、企業にとって深刻な脅威となる可能性も高まっています。 システム管理者の権限を悪用した攻撃は、情報漏えいやサービスの妨害など、企業活動に大きな損害をもたらす可能性があります。 そのため、システム管理者の権限を適切に管理し、悪用を防ぐ対策が求められています。 Windows Serverには、Just Enough Administration(JEA)と呼ばれるセキュリティ機能が搭載されています。JEAは、システム管理者に必要な最小限の権限のみを付与することで、権限の悪用によるリスクを軽減するものです。 従来の管理者アカウントは、システム全体へのアクセス権限を持っていましたが、JEAを利用することで、特定のタスクを実行するために必要な権限のみを付与できます。 例えば、ファイルサーバーのバックアップ作業を行う管理者には、バックアップに必要なフォルダへのアクセス権限のみを付与し、その他のシステム設定変更などはできないように制限できます。 本稿では、JEAの概要、利点、具体的な設定方法などを詳しく解説し、Windows Server環境におけるセキュリティ強化に役立つ実践的な情報を提供します。
ネットワークセキュリティ

Webサーバ構築の要、IISとは

- IISの概要 インターネットインフォメーションサービス(IIS)は、マイクロソフトが開発したウェブサーバソフトウェアです。Windows Serverというサーバ用の基本ソフトに標準で搭載されており、ウェブサイトやウェブアプリケーションをインターネット上に公開するための土台として機能します。 IISは、HTTPやHTTPSといった通信規約を用いて、利用者のコンピュータからの要求に応答します。具体的には、ウェブサイトを構成するウェブページや画像などのファイルを、要求元に配信する役割を担います。 IISは、拡張性や柔軟性にも優れており、様々な機能を追加することが可能です。例えば、ウェブサイトへのアクセスを特定の利用者に限定したり、アクセス状況を記録・分析したりするための機能を追加できます。 このように、IISはウェブサイトの公開に必要な機能を豊富に備えており、Windows Server環境でウェブサイトを運用する上で欠かせないソフトウェアとなっています。
認証技術

Active Directoryとそのセキュリティ対策について

- Active DirectoryとはActive Directory(AD)は、マイクロソフト社が提供するWindows Serverに搭載されている、いわば「組織の情報管理システム」です。 社員や部署、使用するコンピュータ、共有ファイルなど、組織内の様々な情報を一元的に管理し、誰がどの情報にアクセスできるかを細かく設定することができます。従来のシステムでは、個々のコンピュータやサービスごとに利用者情報やアクセス権を設定する必要があり、管理が煩雑になる傾向がありました。しかし、Active Directoryを導入することで、管理者は組織全体の利用者情報やアクセス権を一括で管理できるようになり、管理コストの大幅な削減とセキュリティの強化を実現できます。利用者にとっても、Active Directoryは利便性を高めるものです。Active Directoryに一度ログインするだけで、社内の様々なシステムやサービスに、パスワードの再入力なしでアクセスできるようになります。これはシングルサインオンと呼ばれ、業務効率の向上に大きく貢献します。このように、Active Directoryは組織全体の情報管理とセキュリティ対策、そして利用者の利便性向上を実現する重要なシステムと言えます。
認証技術

危険な認証方式WDigest:そのリスクと対策

- 認証方式WDigestとはWDigestは、マイクロソフト社のWindows Server 2003シリーズやWindows XPといった過去のOSで広く利用されてきた認証方式です。この方式は、HTTPダイジェスト認証という仕組みを応用しており、利用者の識別情報であるIDとパスワードを元に、安全な通信を実現することを目的としていました。HTTPダイジェスト認証は、パスワードを直接ネットワーク上に流すのではなく、パスワードを元に計算したハッシュ値を用いることで、第三者による盗聴を防ぐことを目的とした仕組みです。WDigestもこの仕組みを採用することで、セキュリティを向上させていました。しかし、WDigestには、セキュリティ上の重大な欠陥が存在することが明らかになりました。具体的には、WDigestがパスワードから計算したハッシュ値を、攻撃者が悪用可能な形でコンピュータのメモリ上に保存してしまうという問題点です。このため、もしも攻撃者がコンピュータに侵入し、メモリの内容を読み取ることができてしまった場合、保存されていたハッシュ値を盗み出すことが可能となります。そして、盗み出したハッシュ値を用いることで、攻撃者は本来の利用者になりすまし、システムにアクセスできてしまう危険性があります。このようなWDigestの脆弱性を利用した攻撃は、「Pass-the-Hash」攻撃と呼ばれ、近年、サイバー攻撃の手口として悪用されるケースが増えています。そのため、WDigestはセキュリティの観点から推奨されない方式となっており、マイクロソフト社も利用を停止することを推奨しています。