IISにOSSをインストールするための情報サイト [IIS de OSS 64bit]

IIS de OSS 64bit > OS一覧 > Windows7のセキュリティ機能

このページではWindows7で実装されているセキュリティ機能について記しています。

AppLocker

  • Windows7のEnterprise、Ultimateで利用可能。Windows Server 2008はServer Core以外で利用可能
  • ポリシーで許可しないアプリの起動を許可しないなどの設定ができる。ActiveDirectory下で特に有効
  • 旧バージョンのWindowsでは「ソフトウェア制御ポリシー(SRP)」という名称で使われていた AppLocker設定手順
  1. gpedt.exeからグループポリシーエディタを起動する
  2. 「セキュリティの設定 > アプリケーション制御ポリシー > AppLocker」
  3. ポリシーの自動生成が出来る(手動作成出来るがこっちの方が楽)
  4. ポリシーの反映の確認はイベントログにIDが8001が出てきたらOK
  5. 設定反映後は実際に不正アプリなどを起動してみてイベントログを確認し適用されたか確認する

ログの削除方法

  1. 「アプリケーションとサービス > Windows > xxx > AppLocker」で右ペインに「ログ削除」が表示されるのでそこから削除できる

監査機能でAppLockerの設定が問題ないかクライアントに配布し事前に確認する事が出来る

AppLockerで使われるパス一覧

Windows%WINDIR%
Windowsインストールディレクトリ%OSDRIVE%
Program Files%PROGRAMFILES%
リムーバブルメディア%REMOVABLE%

もうちょっとあったと思う・・・

DLLレベルでの監査も出来るようだがログが大量に出る模様。お勧めできない。

AppLockerで間違った設定をしてしまった場合の対処方法

  1. OSをセーフモードで起動
  2. Application Identityサービスを停止

コマンド「gpupdate /force」でグループポリシーを適用できる

BitLocker to Go

BitLocker to Goではリムーバブルデバイスを暗号化する事が出来る。

手順は以下の通り

  1. 対象リムーバブルディスクをPCに刺す
  2. 右クリックしてBitLockerによる暗号化を選択

BitLocker to Goの要件

  • NTFS/FAT/FAT32/exFATで利用可能
  • 必要容量64MB
  • 暗号化はWindows7とWidows Server 2008以上で可能
  • 復号しての利用はXPなどでも可能(VirtualFATボリュームが見えて解凍用のツールが同梱しており使える)
  • 隠しボリュームにたくさん入っている「*.mui」ファイルは言語パック

リカバリ方法として データ回復エージェント(DRA)がある。

その他の方法として、ポリシーでADに回復キーを保存しておいてそれを利用する方法がある ・リモートサーバ管理ツールのAD DSスナップインおよびコマンドツール ・機能管理ツールのBitLocker 回復パスワード ビューア を合わせて使う

  1. リムーバブルディスクを実際に刺して回復キーIDを取得する
  2. 「Active Directoryユーザとコンピュータ > ドメイン」上で右クリックし「BitLocker回復パスワードの検索」
  3. 回復パスワードをget出来たらそれを利用してパスワードを変更するなどする

Windows Server 2003などでここで挙げたBitLocker用のグループポリシーを適用するにはポリシーを設定するマシン上に持ってくる必要がある。Windows7のC:\Windowsから「PolicyDefinitions」をコピーし、ポリシーを設定するマシンのポリシーの中に突っ込んでおくと出来るらしい。(すみません、記憶があいまいです)

コメント


トップ   差分 バックアップ リロード   一覧 単語検索 最終更新   ヘルプ
Last-modified: 2010-02-21 (日) 09:30:19 (3215d)