サーバー上に任意に公開できない重要なデータはありますか?もちろんありますよね?最近、サーバーは特に高いリスクにさらされており、サーバーを標的とするウイルス、悪意のあるハッカー、商業スパイが増えています。明らかに、サーバーのセキュリティ問題を一時的に無視することはできません。
ヒント 1: 基本から始める
基本から始めるのが最も安全な方法です。機密データを含むサーバー上のすべての領域を NTFS 形式に変換する必要があります。同様に、ウイルス対策プログラムも適時に更新する必要があります。サーバーとデスクトップの両方にウイルス対策ソフトウェアをインストールすることをお勧めします。また、最新のウイルス定義ファイルを毎日自動的にダウンロードするようにソフトウェアを設定する必要があります。さらに、Exchange サーバー (メール サーバー) にもウイルス対策ソフトウェアが装備されている必要があります。このタイプのソフトウェアは、すべての受信電子メールをスキャンしてウイルスに感染した添付ファイルを探します。ウイルスが見つかった場合、電子メールはすぐに隔離されます。ユーザーが感染する可能性を減らします。
ネットワークを保護するもう 1 つの良い方法は、従業員の勤務時間に基づいてネットワークへのユーザー アクセスを制限することです。たとえば、日中勤務している従業員は、真夜中にネットワークにアクセスしてはなりません。
最後に、ネットワーク上のデータにアクセスするには、パスワードによるログインが必要です。パスワードを設定する際には、大文字と小文字、数字、特殊文字を組み合わせて使用することを全員に強制します。このようなツール ソフトウェアは Windows NT Server リソース キットに含まれています。また、定期的に更新するパスワードを設定する必要があり、長さは 8 文字以上でなければなりません。これらの対策を講じても、パスワードが安全ではないことがまだ心配な場合は、インターネットからハッキング ツールをダウンロードして、これらのパスワードがどの程度安全であるかをテストしてみることができます。
ヒント 2: バックアップを保護する
ほとんどの人が気づいていないのは、バックアップ自体が大きなセキュリティ ホールであるということです。想像してみてください。ほとんどのバックアップ ジョブは午後 10 時または 11 時に開始されます。データの量によっては、バックアップが完了した後は真夜中になる可能性があります。さて、午前 4 時にバックアップが完了したと想像してください。誰かがバックアップ ディスクを盗み、自宅や競合他社のオフィスのサーバーに復元するのに最適な時期です。ただし、これが起こらないようにすることはできます。まず、ディスクをパスワードで保護できます。また、バックアップ プログラムが暗号化をサポートしている場合は、データを暗号化することもできます。 2つ目は、朝のオフィスに入るときにバックアップが完了するように設定できることです。この場合、誰かが夜中にこっそり侵入してディスクを盗もうとしたとしても、盗むことはできません。ディスクは使用中であるため、泥棒がディスクを無理に持ち去った場合、破損したデータを読み取ることもできなくなります。
ヒント 3: RAS のコールバック関数を使用する
Windows NT の最も優れた機能の 1 つは、リモート アクセス サーバー (RAS) のサポートです。残念なことに、ハッカーにとって、RAS サーバーは電話番号さえあれば、ホストを介してアクセスできるのです。 。ただし、RAS サーバーのセキュリティを保護するために、いくつかの対策を講じることはできます。
使用する手法は、リモート アクセサーがどのように動作するかによって大きく異なります。リモート ユーザーが自宅や固定場所から頻繁にインターネットにアクセスする場合は、コールバック機能を使用することをお勧めします。コールバック機能を使用すると、リモート ユーザーはログイン後に電話を切り、RAS サーバーが事前に設定された電話番号にダイヤルして接続できるようになります。なぜなら、電話番号が事前にプログラムされていると、ハッカーはサーバーが折り返し電話する番号を指定する機会がありません。
もう 1 つのアプローチは、リモート ユーザーが単一サーバーにアクセスすることを制限することです。頻繁に使用するデータを RAS サーバー上の特別な共有ポイントにコピーし、リモート ユーザーのログインをネットワーク全体ではなく 1 つのサーバーに制限できます。これにより、ハッカーがホストに侵入したとしても、障害を引き起こすのは 1 台のマシンだけであり、間接的に被害を軽減できます。
最後のトリックは、RAS サーバーで「代替」ネットワーク プロトコルを使用することです。多くの人が RAS プロトコルとして TCP/ip プロトコルを使用しています。 TCP/IP プロトコル自体の性質と受け入れられやすさを利用すると、この選択は非常に合理的ですが、RAS は IPX/SPX および NetBEUI プロトコルもサポートします。NetBEUI を RAS プロトコルとして使用する場合、ハッカーは間違いなく混乱するでしょう。ちょっと注意してください。
ヒント 4: ワークステーションのセキュリティを考慮する
サーバーのセキュリティに関する記事でワークステーションのセキュリティについて言及するのは場違いに思えるかもしれませんが、ワークステーションのセキュリティを強化することで、ネットワーク全体のセキュリティを向上させることができます。まず、すべてのワークステーションで Windows 2000 を推奨します。 Windows 2000 は非常に安全なオペレーティング システムです。Windows 2000 をお持ちでない場合は、少なくとも Windows NT を使用してください。このようにして、ワークステーションをロックダウンすることができ、許可がなければ、一般の人がネットワーク構成情報を入手することは困難になります。
もう 1 つのヒントは、ユーザーが特定のワークステーションからログインすることを制限することです。もう 1 つのトリックは、ワークステーションをダム端末、つまりスマート ダム端末として扱うことです。つまり、コンピュータをダム端末として使用する場合、ワークステーションにはデータもソフトウェアも存在せず、サーバーは Windows NT ターミナル サービス プログラムを実行する必要があり、すべてのアプリケーションはサーバー上でのみ実行されます。データを受信して表示するだけです。これは、ワークステーションには最小限のバージョンの Windows と Microsoft Terminal Server Client のコピーのみがインストールされていることを意味します。このアプローチは、最も安全なネットワーク設計オプションとなります。
ヒント 5: 最新のパッチを実装する
Microsoft には、セキュリティの脆弱性のチェックとパッチ適用を専門とする人材のグループがあり、これらの修正 (パッチ) はサービス パックにまとめられてリリースされることがあります。サービス パックには通常、誰でも使用できる 40 ビット バージョンと、米国とカナダでのみ利用できる 128 ビット バージョンの 2 つの異なるバージョンがあります。 128 ビット バージョンでは 128 ビット暗号化アルゴリズムが使用されており、40 ビット バージョンよりもはるかに安全です。
サービス パックがリリースされるまでに数か月かかる場合もありますが、深刻な脆弱性が発見された場合は、当然のことながらすぐにパッチを適用したいと考えます。遅れたサービス パックを待ちたくありません。幸いなことに、Microsoft は FTP サイトで重要なパッチを定期的にリリースしますので、最新バージョンのサービス パックにはまだ含まれていません。パッチは時系列で使用する必要があることに注意してください。順序を間違えて使用すると、一部のファイルのバージョンが正しくなくなり、Windows がクラッシュする可能性もあります。
ヒント 6: 厳格なセキュリティ ポリシーを制定する
セキュリティを向上させるもう 1 つの方法は、強力なセキュリティ ポリシーを作成し、全員がそれを理解して強制するようにすることです。 Windows 2000 Server を使用している場合は、すべてのネットワーク管理権限を放棄することなく、特定のエージェントに一部のアクセス許可を付与できます。エージェントの特定の権限を承認した場合でも、その権限のレベルを制限することができます。たとえば、新しいユーザー アカウントを開いたり、権限を変更したりすることはできません。
ヒント 7: ファイアウォール、確認、再確認
最後のヒントは、ファイアウォールの設定を再確認することです。ファイアウォールは、企業のコンピュータを外部からの悪意のある損傷から保護するため、ネットワーク計画の重要な部分です。
まず、必要のない IP アドレスを公開しないでください。少なくとも 1 つの外部 IP アドレスが必要であり、すべてのネットワーク通信はこのアドレスを経由する必要があります。 DNS に登録された Web サーバーまたは電子メール サーバーも使用している場合は、これらの IP アドレスもファイアウォール経由で公開する必要があります。ただし、ワークステーションやその他のサーバーの IP アドレスは非表示にする必要があります。
すべての通信ポートをチェックして、使用頻度の低いポートがすべて閉じられていることを確認することもできます。たとえば、TCP/IP ポート 80 は HTTP トラフィックに使用されるため、このポートはブロックできません。おそらくポート 81 は使用されないため、オフにする必要があります。