製品情報 >ポリシーテンプレート >
Windows
Windows用点検ポリシー一覧
ID | ポリシー名 | Type | 内容 |
---|---|---|---|
4315 | [W-01]Administratorアカウント名変更 | 脆弱性 | 一般的には、管理者アカウントをAdministratorに設定した場合、ログオン失敗回数の制限がなく、悪意を持ったユーザはこの点を利用して持続的にパスワード推測攻撃を試みる可能性がある。管理者アカウント名を変更することで攻撃者がパスワードだけでなくアカウント名も簡単に推測できないようにする必要がある。 |
4331 | [W-02]Guestアカウント状態 | 脆弱性 | Guestアカウントはシステムに臨時アクセスを許可する脆弱なアカウントであるため、使用を制限する必要がある。大半のシステムはGuestアカウントの使用が必要なく、不特定多数のアクセスが必要な場合はGuestアカウントではなく、一般ユーザアカウントを生成して使用する必要がある。 |
4347 | [W-04]アカウントロック臨界値設定 | 脆弱性 | 自動化された方法を利用して攻撃者は全てのユーザアカウントに対し、パスワード組合せ攻撃を試みる恐れがあるため、アカウントロック臨界値設定を適用してログオン失敗回数を制限する必要がある。 |
4363 | [W-05]解読可能な暗号化を使用してパスワード保存 | 脆弱性 | 認証のためにユーザパスワードが分からないといけない応用プログラムプロトコルがサポートされる場合、解読可能な方式でパスワードを保存するため、攻撃者が漏えいアカウントを使用してネットワークリソースにログオンする恐れがある。 |
4379 | [W-06]管理者グループに最小限のユーザのみ含む | 脆弱性 | 一般ユーザ権限で発生するシステム被害を減らすために、管理業務のためアカウントと一般業務のめのアカウントを切り分けて使用することが望ましい。システム管理のためにはそれぞれ2つのアカウントを持つ必要があり、管理者グループに最小限のユーザのみ含まれる必要がある。 |
4397 | [W-07]Everyone使用権限を匿名ユーザに適用 | 脆弱性 | Everyoneグループの使用権限が与えられた匿名ユーザに、全てのリソースにアクセスさせるかを決める。もし “有効”に設定する場合、権限がないユーザが匿名でアカウント名及び共有リソース情報を使用してパスワードを推測したり*DoS(Denial of Service)攻撃を行ったりする恐れがある。*DoS(Denial of Service): 管理者権限がなくても特定サーバが処理できないほどの大量の接続信号を一気に送り込み、該当サーバが麻痺するように攻撃する。 |
4414 | [W-08]アカウントロック期間設定 | 脆弱性 | アカウントロック期間設定を使用すると、指定した期間の間はロックされたアカウントの使用はできなく、アカウントロックが解除されるまでアクセスできない。従って、攻撃者が自動でパスワードをすることが難しくなりパスワード攻撃による被害を防げることができる。 |
4431 | [W-09]パスワード複雑性設定 | 脆弱性 | パスワード設定時に文字/数字/特殊文字を全て使い、強いパスワードが設定できるよう、パスワードの複雑性を設定する必要がある。英数字だけで作られたパスワードは現在公開されたパスワードクラックユーティリティによって簡単に推測される恐れがあるため、最小パスワード長及びパスワード複雑性を適切に設定することでパスワードが探り当てられるまでの時間を増やせる設定にする必要がある。 |
4447 | [W-10]パスワードパスワードの最小文字数 | 脆弱性 | 推測されやすい一般的な単語などを使ってパスワードを設定するとアカウントは、総当たり攻撃によって権限が盗み取られる恐れがある。パスワードの最小文字数を8文字に設定すると、適切なセキュリティが担保されるだけでなくユーザも覚えやすいため、総当たり攻撃から防衛ができる。 |
4463 | [W-10]パスワード最小パスワード長さ | 脆弱性 | 推測されやすい一般的な単語などを使ってパスワードを設定するとアカウントは、総当たり攻撃によって権限が盗み取られる恐れがある。最小パスワード長さを8文字に設定すると、適切なセキュリティが担保されるだけでなくユーザも覚えやすいため、総当たり攻撃から防衛ができる。 |
4479 | [W-11]パスワード最長有効期限 | 脆弱性 | 複雑性の高いパスワードを含む全てのパスワードは推測攻撃によって盗み取られる恐れがあるため、パスワードが一定期間過ぎても有効である場合は侵害される可能性がある。ユーザがパスワード変更サイクルを短くすると、パスワードが攻撃されるリスクを減らすことができる。また違法取得したパスワードを使ってログオンするリスクも減らすことができる。" |
4496 | [W-12]パスワード最短有効期限 | 脆弱性 | パスワード変更に時間的な制約がないと、以前よく使用していたパスワードを再び使用することができるため定期的にパスワードを変更するポリシーの効果がなくなる。最短パスワード使用期間ポリシー設定を0より大きい値に設定することで以前使ったパスワードを再利用することを防ぐことができる。 |
4512 | [W-13]最後のユーザー名を表示しない | 脆弱性 | 最後にログオンしたユーザ名がログオンボックスに表示される場合、攻撃者はこれを取得してパスワードを推測したり、総当たり攻撃を試みる恐れがある。実際にコンソールにアクセスできるユーザまたはターミナルサービスを通じてサーバに接続できるユーザに簡単に盗み取られる可能性があるため、ユーザ名が表示されないように設定する必要がある。 |
4528 | [W-13]最後ユーザ名非表示 | 脆弱性 | 最後にログオンしたユーザ名がログオンボックスに表示される場合、攻撃者はこれを取得してパスワードを推測したり、総当たり攻撃試みる恐れがある。実際にコンソールにアクセスできるユーザまたはターミナルサービスを通じてサーバに接続できるユーザに簡単に盗み取られる可能性があるため、ユーザ名が表示されないように設定する必要がある。 |
4544 | [W-14]ローカルログオン許可 | 脆弱性 | “ローカルログオン許可” 権限は、システムコンソールにログインを許可する権限で、必ずコンソールアクセスが必要ユーザアカウントのみに該当権限を与える必要がある。もし該当権限を適切に制限しない場合、権限のないユーザが自分の使用権限を上げるために意図的にコードを実行させる恐れがある。※ IISサービスを使用する場合は、権限にIUSR_<ComputerName>アカウントを割り当てる。 |
4560 | [W-15]匿名SID/名前変更許可 | 脆弱性 | 匿名ユーザが他のユーザのSID特性を要求できるか否かを決める。これを使ってローカルアクセス権限を持つユーザが既知のAdministrator SIDを利用してAdministratorアカウントの実名を把握することができ、パスワード推測攻撃を実行することができる。ポリシーを“無効”に設定する場合、Windows NTドメイン環境で通信が不可能になる可能性もある。 |
4577 | [W-16]最近のパスワード保存 | 脆弱性 | ユーザが現在パスワードまたは最近使用したパスワードと同じパスワードで新規パスワードを設定できないようにする必要がある。 |
4593 | [W-17]コンソールログオン時、ローカルアカウントで空きパスワード使用制限 | 脆弱性 | パスワードで保護されないローカルアカウントを使用してターミナルサービス、Telnet及びFTPのようなネットワークサービスのリモート対話型ログオンが可能なため、これを許可するかを決める。コンソールで実際に実行する対話型ログオンまたはドメインアカウントを使用するログオンに影響を与えない。 |
4610 | [W-19]共有権限及びユーザ グループ設定 | 脆弱性 | Everyoneは共有アカウントに含まれ、匿名 ユーザのアクセスが可能なため、デフォルト共有であるC$、D$、Admin$、IPC$を除いた共有フォルダがEveryoneグループに共有が禁止されているかを点検して匿名ユーザからのアクセス可否を確認する必要がある。 |
4626 | [W-20]ハードディスク基本共有削除 | 脆弱性 | Windowsはプログラム及びサービスをネットワーク、コンピュータ環境での管理のためにシステム基本共有項目を自動生成する。これを削除しないと無許可者による全てのシステムリソースにアクセスリスクが発生する恐れはあり、このような共有機能パスを利用してマルウェアが侵入する恐れがある。 |
4643 | [W-21]不要サービス削除 | 脆弱性 | システムには必要ではない、脆弱なサービスがデフォルトでインストールされ、実行されていて、これらのサービスまたは応用プログラムは攻撃ポイントになる恐れがあるため、ユーザ環境において必要ではないサービスや実行ファイルを使用しないようにするか、削除する必要がある。 |
4659 | [W-36]NetBIOSバインディング サービス起動点検 | 脆弱性 | NetBIOS(Network Basic Input/Output System)は、IBM PCのためのネットワークインターフェース体系である。ネーム、セッション、データグラムの3つのサービスを提供している。WindowsNTシステムがインターネットに直接接続されている場合、攻撃者が簡単にファイルシステムを利用することができるため、NetBIOSに対するアクセス制御が必要である。 |
4676 | [W-37]FTPサービス起動点検 | 脆弱性 | 基本的なFTPサービスはアカウントとパスワードが暗号化されていないまま転送され、簡単なSnifferによってもSniffing可能なため、FTPサービスを使用しないことを推奨する。*Sniffer: ネットワークトラフィックを監視/分析するプログラム. |
4692 | [W-38]FTPディレクトリアクセス権限設定 | 脆弱性 | ホームディレクトリに書き込み権限が与えられた場合、任意のユーザが書き込み、修正が可能なため、情報漏えい、ファイル変更による被害が発生する恐れがある。 |
4709 | [W-39]AnonymouseFTP禁止 | 脆弱性 | 基本的なFTPサービスはアカウントとパスワードが暗号化されていないまま転送され、簡単なSnifferによってもSniffingが可能なため、FTPサービスを使用しないことを推奨する。もし止むを得ずFTPサービスを利用する場合はFTP Default設定で匿名接続許可を遮断し、特定IPアドレスのみから接続できるようにアクセス制御を設定する必要がある。 |
4726 | [W-40]FTPアクセス制御設定 | 脆弱性 | 基本的なFTPサービスはアカウントとパスワードが暗号化されていないまま転送され、簡単なSnifferによってもSniffingが可能なため、FTPサービスを使用しないことを推奨する。もし止むを得ずFTPサービスを利用する場合はFTP Default設定で匿名接続許可を遮断し、特定IPアドレスのみから接続できるようにアクセス制御を設定する必要がある。 |
4743 | [W-41]DNS Zone Transfer設定 | 脆弱性 | DNSサーバに保存されているドメイン情報を、承認されたDNSサーバではない外部に流れることはセキュリティ上望ましくないため、適切なセキュリティ設定を通じてドメイン情報の転送を制限する必要がある。もしDNS ドメイン情報が外部に漏れる場合は、悪意を持った利用者が、該当情報を利用してホームページ及びサブURL情報を入手してウェブアプリケーション構造を予測することが可能になる。 |
4760 | [W-42]RDS(RemoteDataServices)削除 | 脆弱性 | RDSはMDAC(Microsoft Data Access Components)のコンポーネントで、RDS(Remote Data Services)が誤って設定されている場合、サービス拒否攻撃が’またはリモートで管理者権限で任意のコマンドを実行できるという脆弱性が存在。MDAC 2.7未満のバージョンではウェブサーバとウェブクライアントがこの脆弱性による問題発生のリスクがあるため、RDS不要の場合、削除することを推奨する。 |
4777 | [W-43]最新サービスパック適用 | 脆弱性 | サービスパックはWindowsのセキュリティを高めるために、応用プログラム、サービス、実行ファイルなどの修正ファイルを集めたアップデートプログラムであるため、常に最新バージョンに維持しておくことを推奨する。 |
4793 | [W-44]ターミナルサービス 暗号化レベル 設定 | 脆弱性 | ターミナルサービスは、離れた場所にあるサーバを管理するためのツールであるが、脆弱なパスワードを使用するか、アクセス制御が適切に設定されていない場合はハッキングツールとして悪用される恐れがあるため、必要なくターミナルサービスが使用されているかを点検する必要がある。 |
4809 | [W-47]SNMPサービスCommunity String複雑性設定 | 脆弱性 | SNMPサービスはシステム状態をリアルタイムで把握/設定するために使用されるサービスで、システム情報を送受信するための一種のパスワードであるCommunity String値を使用する。しかし、大半のシステムにおいてCommunity String設定をpublic、privateなどDefault設定値として使用する場合が多く、これを変更しない場合Community String値を利用して無許可者がシステムの主要情報及び設定について把握することができる。 |
4826 | [W-48]SNMP Access control設定 | 脆弱性 | SNMP v1はセキュリティ機能がなく、単純にCommunity name確認を行うだけでNetworkにアクセスでき、使用できないようにする恐れがあるため、SNMPv2で弱点を補完。認証プロセスについてのセキュリティM5アルゴリズムと、Partymibを利用したユーザに特定オブジェクトの利用可否などのアクセス制御をする機能が追加され、セキュリティ性が高くなった。 |
4843 | [W-49]DNSサービス起動点検 | 脆弱性 | 動的アップデートは、DNS情報に変更内容がある度に、DNSクライアントコンピュータが自分のリソースレコード(zone ファイル)をDNSサーバに自動でアップデートする機能で、領域レコード手動管理作業を軽減できる。しかし、動的アップデートを使用する場合、悪意を持ったユーザにより、信頼できないデータが受け入れられるため、動的アップデート使用を制限する必要がある。 |
4860 | [W-51]Telnetセキュリティ設定 | 脆弱性 | Telnetサービスは平分でデータを送信するため、Password方式で認証を実行する場合、ID及びPasswordは外部に漏れるリスクがある。従って、Telnet利用時はネットワーク上にパスワードを転送しないNTLM認証のみ使用する必要がある。※ WindowsサーバのTelnetサービスはNTLM 認証とPassword 認証方法を提供。- NTLM認証: パスワードを転送せずにnegotiate/challenge/responseプロセスで認証- Password 認証: 管理者及びTelnetClientsグループに含まれたID/PWDで認証 |
4877 | [W-53]リモートターミナル接続タイムアウト設定 | 脆弱性 | ウェブ サービス利用時にユーザのウェブブラウザにおいてどんなイベントも発生しない場合、ウェブサーバにおいてセキュリティ上自動でセッションが切れる。このような方法でリモート制御を利用し、ターミナルに接続した後、一定時間イベントが発生しないとセッションを終了させるためのTimeoutを設定する必要がある。 |
4894 | [W-57]ポリシーによるシステムLogging設定 | 脆弱性 | 監査設定が構成されていないか、監査設定レベルが低いとセキュリティ関連問題発生時の原因把握が容易ではなく、法的対応のための根拠として使用できない。一方で、監査設定が高いとセキュリティログに不要項目が多く残されるため、重要な項目切り分け難く、またシステム性能にも影響を与える恐れがあり、法的要求事項と組織のポリシーに従い、必要なログが生成されるように設定する必要がある。 |
4894 | [W-57]ポリシーによるシステムLogging設定 | 脆弱性 | 監査設定が構成されていないか、監査設定レベルが低いとセキュリティ関連問題発生時の原因把握が容易ではなく、法的対応のための根拠として使用できない。一方で、監査設定が高いとセキュリティログに不要項目が多く残されるため、重要な項目切り分け難く、またシステム性能にも影響を与える恐れがあり、法的要求事項と組織のポリシーに従い、必要なログが生成されるように設定する必要がある。 |
4910 | [W-59]リモートでアクセスできるレジストリパス | 脆弱性 | Windowsによって使われる全ての初期化及び環境設定情報がレジストリに保存されるためレジストリに対するセキュリティ強く求められる。レジストリエディタはリモート接続でもそのキーを変更できるが、リスクが大きいためネットワークを介してのレジストリ接続を遮断する必要がある。リモートでレジストリへのアクセスのためには管理者の権限またはリモートでアクセスするための特別なアカウントが必要。Windowsではリモートでレジストリアクセスに対する要求に答えるためにリモートレジストリサービスを提供しているが、このサービスを停止させるとレジストリに対するいかなるリモートアクセスも止められるあめ、やむを得ない場合を除いては使用停止することを推奨する。 |
4926 | [W-60]イベントログ管理設定 | 脆弱性 | セキュリティログ最大ログサイズは”10240Kb以上“に設定して、十分なログが保存できる場所を確保して、イベントログ管理は”イベントを上書きしない“に設定して、ログが自動で上書きされ、過去のログが削除されることが起きないようにする。 |
4947 | [W-61]リモートでのイベントログファイルアクセス遮断 | 脆弱性 | 匿名で重要 ‘システムログ‘ファイル及び‘アプリケーションログ‘ ファイルにアクセスできる、重要セキュリティ監査情報の変更/削除/漏えいのリスクが存在するため、匿名ユーザからのリモートでのシステムログアクセスを制限する必要がある。※ 一般的にシステムログはC:\winnt\system32\configファイルに保存されるが、アプリケーションログファイルはアプリケーション毎のログ保存場所が異なる。ウェブサーバに多く使われるIISの場合、C:\winnt\system32\LogFilesに保存 |
4963 | [W-62]アンチマルウェアプログラムインストール | 脆弱性 | *ワーム、*トロイ木馬などの悪性マルウェアによる被害が多くなっている。被害を最小限に抑えるためには、アンチマルウェアプログラムをインストールして運用する必要がある。アンチマルウェアプログラムはマルウェア感染有無診断及び被害復旧だけでなく、ファイルを保護することで予防も可能になる。 |
4979 | [W-62]ウィルスワクチンプログラムインストール | 脆弱性 | *ワーム、*トロイ木馬などの悪性ウィルスによる被害が多くなっている。被害を最小限に抑えるためには、ウィルスワクチンプログラムをインストールして運用する必要がある。ウィルスワクチンプログラムはウィルス感染有無診断及び治療だけでなく、ファイルを保護することで予防も可能になる。 |
4995 | [W-63]SAMファイルアクセス制御設定 | 脆弱性 | SAM(Security Account Manager)ファイルはユーザとグループアカウントのパスワードを管理して、LSA(Local Security Authority)を通じての認証を提供する。従って、SAMファイルに対するパスワード攻撃によりパスワードDB情報が盗み取られる恐れがあるためAdministrator及びSystemグループ以外にはSAMファイルに対するアクセスを制限する必要がある。 |
5013 | [W-64]スクリーンセーバー設定 | 脆弱性 | ユーザが一定時間作業行わない場合、自動でログオフまたはワークステーションがロックされるように設定する必要がある。該当機能を設定していない場合、ユーザが席を外した時に任意のユーザが該当システムにアクセスして重要情報を盗み取ったり、意図的にシステム運用に影響を及ぼす可能性がある。 |
5030 | [W-65]ログオンせずにシステム終了許可 | 脆弱性 | ログオン画面に“システム終了” ボタンがアクティブになっている場合、ログインをしなくてもシステム終了が可能なため、サービス運用に影響を及ぼす可能性がある。システム 終了ボタンを非活性化させることで、許可されていないユーザがシステムを終了させる行為を防ぐことができる。 |
5046 | [W-66]リモートシステムにおいて強制システム終了 | 脆弱性 | リモートでネットワークを通じてOS終了できるユーザやグループを決め、特定ユーザのみ制御できるように設定。もし該当権限付与が適切でない場合、サービス拒否攻撃などが起きる恐れがある。 |
5062 | [W-66]リモートシステムにて強制システム終了 | 脆弱性 | リモートでネットワークを通じてOS終了できるユーザやグループを決め、特定ユーザのみ制御できるように設定。もし該当権限付与が適切でない場合、サービス拒否攻撃などが起きる恐れがある。 |
5094 | [W-67]セキュリティ監査ログを記録できない場合にすぐに、、システム終了 | 脆弱性 | セキュリティ監査ログを記録できない場合にすぐに、システム終了設定を使って、セキュリティイベント記録ができない場合のコンピュータ終了要否を決める。このポリシーを使用時する場合、サービス拒否攻撃に利用される恐れがあり、異常システム終了によりシステム及びデータに被害を与える可能性がある。 |
5078 | [W-67]セキュリティ監査をログできない場合、忽ち、システム終了 | 脆弱性 | セキュリティ監査をログできない場合、忽ちにシステム終了設定を使って、セキュリティイベント記録ができない場合のパソコン終了要否を決める。このポリシーを使用時する場合、サービス拒否攻撃に利用される恐れがあり、異常システム終了によりシステム及びデータに被害を与える可能性がある。 |
5110 | [W-68]SAMアカウント及び共有の列挙を許可しない | 脆弱性 | Windowsでは匿名のユーザがドメインアカウント(ユーザ、コンピュータ及びグループ)とネットワーク共有名の羅列作業を行うことができる。SAM(セキュリティアカウント管理者)アカウント及び共有の列挙を許可する場合、悪意を持ったユーザアカウント名リストを確認し、この情報を使用してパスワード推測攻撃などを行う恐れがある。 |
5127 | [W-69]Autologon機能制御 | 脆弱性 | *Autologon機能を使用すると、侵入者がハッキングツールを利用してレジストリからログインアカウント及びパスワードを確認できるため、Autologon機能を使用しないように設定する。*Autologon: レジストリに暗号化され保存された代替証明を使用して自動でログインする機能 |
5144 | [W-70]外付けHDD/USBフォーマット及び取り出し許可 | 脆弱性 | 外付けHDD/USBのNTFSフォーマット及び取出しが許可ユーザを制限することで、ユーザが管理権限を持つ任意のコンピュータだけに外付けHDD/USBのデータを移動またはコピーさせ、ファイルに対する所有権を得てファイルの確認や修正を可能にする。 |
5160 | [W-72]Dos攻撃防御レジストリ設定 | 脆弱性 | Dos(サービス拒否攻撃)は、ネットワーク ユーザがコンピュータやコンピュータの特定サービスを使用できないようにするネットワーク攻撃で、TCP/IP Stackを強化するレジストリの値変更を通じてDos攻撃を防衛できる。もしDos防衛レジストリを設定しない場合、Dos攻撃によるシステムダウンでサービスが中止する恐れがある。 |
5197 | [W-73]ユーザがプリンタドライバインストールできないようにする | 脆弱性 | サーバにプリンタドライバをインストールする場合、悪意を持ったユーザが意図的に誤ったプリンタドライバをインストールして、パソコンに影響を与える恐れがある。プリンタドライバに偽った悪性コードをインストールできるため、ユーザがプリンタドライバをインストールできないように設定する必要がある。 |
5181 | [W-73]ユーザがプリンタドライバをインストールできないようにする | 脆弱性 | サーバにプリンタドライバをインストールする場合、悪意を持ったユーザが意図的に誤ったプリンタドライバをインストールし、コンピュータに影響を与える恐れがある。プリンタドライバに偽装したマルウェアをインストールできるため、ユーザがプリンタドライバをインストールできないように設定する必要がある。 |
5213 | [W-74]セッション接続を中止する前に必要アイドル時間 | 脆弱性 | セッションが切れる前に*SMB(サーバ メッセージブロック)セッションでのアイドル時間を決められる。各SMBセッションでサーバ リソースを使用する。nullセッショ数が多くなるとサーバ速度が遅くなったり、サーバにエラーを発生させたりする恐れがあるため、攻撃者はこれを悪用してSMBセッション繰り返し設定して、サーバのSMBサービスを遅らせたり、回答させないようにしたりしてサービス拒否攻撃を実行する恐れがある。※ Administratorはこのポリシーをアクティブにしてコンピュータが非活性SMBセッションを中止するタイミングを制御でき、クライアントを再びスタートすると、該当セッションは自動で再び接続される。このポリシーの値を0に設定すると早期にアイドルセッション接続が切れる。最大値は99999(208日)で事実上ポリシー設定解除を意味する。*SMB(サーバ メッセージブロック): LANまたはコンピュータ間の通信でデータ送受信を行うためのプロトコル |
5230 | [W-75]警告メッセージ設定 | 脆弱性 | システムにログオンを試みるユーザに、管理者はシステムの違法な使用に対してアラーム画面を表示し、警告することができる。 |
5246 | [W-76]ユーザ別のホームディレクトリ権限設定 | 脆弱性 | ユーザアカウント別にホームディレクトリの権限が制限されていない場合、任意のユーザが他のユーザのホームディレクトリに意図的にアクセスできる。 |
5262 | [W-77]LAN Manager認証レベル | 脆弱性 | *Lan Manager 認証レベル設定を通じてネットワークログオンに使用するChallenge/Response認証プロトコルを決める。この設定はクライアントが使用する認証プロトコルレベル セッションセキュリティレベル及びサーバが使用する認証レベルに影響を与えるため、より安全な認証のためには、NTLMv2使用を推奨する。※ NTLMv2はWindows 2000、2003、XP以上でサポートされ、Windows 98、NT バージョンと通信する場合、パッチをインストールする必要がある。*LAN Managerはネットワーク経由のファイル及びプリンタ共有などの作業時に認証を担う。 |
5278 | [W-78]セキュアチャネル データ デジタル暗号化または署名 | 脆弱性 | セキュアチャネルデータデジタル暗号化または署名設定を通じてドメインのメンバーがスタートした全てのセキュアチャネルトラフィックのセキュリティ要求条件を設定。 |
5294 | [W-79]ファイル及びディレクトリ保護 | 脆弱性 | *NTFSファイルシステムはフォーマット時に全てのファイルとディレクトリに所有権と使用権限設定が可能である。また、ACL(アクセス制御リスト)を提供することで*FATファイルシステムと比べ、より強化されたセキュリティ機能を提供する。既存のFATファイルシステムをNTFSに切替えるためにはconvert.exeコマンドを使用できるが、FATファイルシステムに運用中に切替える場合はDefault ACLが適用されないため可能な限り、初期インストール時NTFSファイルシステムを選択することを推奨する。*NTFS、FATファイルシステム比較: FAT32にはNTFSが提供するセキュリティ機能がないため、コンピュータにFAT32パーテーションまたは、ボリュームがある場合、コンピュータにアクセス可能な全てのユーザがファイルを読み出しできる。FAT32にはサイズ制限がある。 |
5310 | [W-80]コンピュータアカウントのパスワード最大有効期限 | 脆弱性 | ドメインのメンバーが該当コンピュータアカウントのパスワードを定期的に変更するかを決められ、基本的にドメインのメンバーが使用するドメイン パスワード有効期限は ‘自動’に設定されている。この設定をアクティブにする場合、ドメインのメンバーは該当コンピュータアカウントのパスワードを変更する必要がなく、非アクティブにする場合ドメインのメンバーはコンピュータアカウントのパスワード最長有効期限に指定された通り、コンピュータアカウントのパスワードを変更する必要がある。 |
5329 | [W-80]パソコンアカウントパスワード最大有効期限 | 脆弱性 | ドメイン構成員が該当パソコンアカウントパスワードを定期的に変更するかを決められ、基本的にドメイン構成員が使用するドメイン パスワード有効期限は ‘自動’に設定されている。この設定を活性化する場合、ドメイン構成員は該当パソコンアカウントパスワードを変更する必要がなく、非活性化する場合ドメイン構成員はパソコンアカウントパスワード最長有効期限に指定された通り、パソコンアカウントパスワードを変更する必要がある。 |
5348 | [W-82]Windows認証モード使用 | 脆弱性 | DBエンジン認証モードにはWindows認証モードとSQL Serverがある混合モード2つある。Windows認証モード選択時、SQL Server認証のため、インストールプログラムは*saという非アクティブアカウントを生成し、このアカウントは混合モードを使用することでアクティブされる。saアカウントは一般ユーザによく知られていて、攻撃対象になりやすいため、必要でない場合は無効にする。もし必要であれば、強いパスワードポリシーを適用する必要がある。Windows認証は*kerberosセキュリティプロトコルを使用し、強いパスワードポリシーを適用して適切な複雑性レベルを維持する。また、アカウントロック及びパスワード満了をサポートしてSQL サーバがWindowsの提供する資格証明を信頼するトラスト接続を使用するため、Windows認証モード使用を推奨する。*sa アカウント: DBサーバインストール時に自動生成され、DBサーバ 管理者アカウントを指す。*kerberosセキュリティプロトコル: オープンコンピュータネットワーク内でサービス要求を認証するためのセキュリティシステム |
1508 | \etc\hosts | OS | \etc\hosts |
1209 | Application Log Max Size | OS | Application Log Fileのサイズが20MB以上に設定されていなければならない。 0x1400000以上(20971520) |
1226 | Application Log管理ポリシー | OS | Application Log保存ポリシーが次のように設定されていなければならない。- Windows 2003の場合 'イベントを上書きする : 180″ に設定- Windows 2008, 2012の場合 “ログがフルになると保存、イベントを上書きしない” または “必要な場合イベント上書き” 設定 |
1 | Array Controller状態点検 | HW | Array Controllerエラー状態確認 |
52 | CPU Device状態点検 | HW | CPU Deviceの状態確認 |
5365 | Default Gateway設定点検 | 運用 | Default Gateway設定状態点検。特定のgateway ipが最小1つは設定されていなければならない。 |
120 | Disk状態点検 | HW | Disk Drive 状態確認 |
187 | FileSystem状態点検 | HW | FileSystem状態を意味するVolumeDirty値がFalseでなければならない。 VolumeDirty値がTrueなら違反 |
255 | IDE Controller状態 | HW | IDE Controller状態確認 |
1291 | Kernel Crash Dump Check | OS | Crash Dumpファイル保存可能な最小サイズ確保 (Dump Type = Kernel Dump) |
322 | LAN Adapter Device状態点検 | HW | LAN Adapter状態確認 |
389 | Memory Device状態点検 | HW | Memory Device状態確認 |
1613 | netsh_ipsec_static_show_all | OS | netsh ipsec static show allポリシーがない場合、違反 エラーメッセージ : ERR IPsec[05072] |
1307 | OS Config値変更有無点検 | OS | 点検スクリプト実行基準、過去24時間etc/hostsファイルが変更されている場合は違反変更されていない場合は遵守 |
1353 | OS Volume使用量 | OS | OS領域ファイルシステム使用率が95%未満の場合、遵守 |
1384 | OS_UPTIME | OS | 現在の日付からシステムreboot 期間が180日(6か月)以下であるかチェック |
499 | SCSI I/F Card Device状態点検 | HW | SCSI I/F Device状態確認 |
1400 | Security Log Max Size | OS | Security Log Fileのサイズが20MB以上に設定されていなければならない。 0x1400000以上(20971520) |
1417 | Security Log管理ポリシー | OS | Security Log保存ポリシーが次のように設定されていなければならない。- Windows 2003の場合 ‘イベントを上書きする : 180″に設定- Windows 2008, 2012の場合 “イベントを上書きしないでログをアーカイブする” または “必要な場合、イベント上書き” 設定 |
1437 | System Log Max Size | OS | System Log Fileのサイズが20MB以上に設定されていなければならない。0x1400000以上(20971520) |
1454 | System Log管理ポリシー | OS | System Log 保存ポリシーが次のように設定されていなければならない。 または “- Windows 2003の場合 ‘イベントを上書きする : 180″に設定- Windows 2008, 2012の場合 “イベントを上書きしないでログをアーカイブする”” または “イベントを上書きしない(ログは手動で消去)” 設定 |
1474 | Windows 2008 patch level安定性点検 | OS | Windows Server 2008サービスパックが1以上であれば遵守、未満であれば違反 |
1491 | Windows Update設定 | OS | Windowsアップデートを自動でインストールしないように設定する必要がある。設定値が0x4でない場合、遵守WSUS環境である場合 Windowsアップデート自動インストール有無点検から除外 |
1751 | イベントログ エラー点検 | OS | システムイベントログに、前日現在時刻から本日現在時刻までの間、危険(Critical)またはエラーメッセージが存在すると違反システムイベントエラーまたは危険(Critical)であればイベントID16の場合はカウントしない |
575 | システムFAN状態点検 | HW | システム FAN 状態 確認 |
606 | システム温度状態点検 | HW | システムCPU 温度 状態 確認 システムCPU温度センサーがサポート可能なデバイスな場合、点検可能 |