ここでは、Windows システムで認証スキャンを行うためのグループポリシー設定に関するベストプラクティスについて説明します。
重要! ローカルネットワーク設定は組織の特定の設定に依存することがあるため、グループポリシーを変更する場合は実施前にネットワーク管理者に相談することを強くお勧めします。Qualys は、ご利用のネットワークでこれらの設定が適切であるかどうかを確認しません。グループポリシーを変更した後、変更がクライアントに反映されるまでには数時間かかることがあります。
セキュリティオプション設定は次の場所にあります。
「Computer Configuration」->「Windows Settings」->「Security Settings」->「Local Policies」->「Security Options」
設定 |
値 |
説明 |
Network access: Sharing and security model for local accounts |
Classic |
(必須) ローカルユーザが自身を認証(これは簡易ファイル共有を無効化するのと同等です)。 |
Accounts: Guest account status |
Disabled |
(オプション)これらの設定により、適切なシステム設定が可能になります。多くの環境では、この動作はドメイン結合システムのデフォルトです。 |
Network access: Let Everyone permissions apply to anonymous users |
Disabled |
システムサービス設定は次の場所にあります。
「Computer Configuration」->「Windows Settings」->「Security Settings」->「System Services」
設定 |
値 |
説明 |
Remote registry |
Automatic |
(必須) これによって、ドメイン内の対象のコンピュータでリモートレジストリサービスが実行されることを確実にします。 |
Server |
Automatic |
(必須) |
Windows Firewall |
Automatic |
(必須) オペレーティングシステムが着信接続を受け入れるため、「System Services」のこの設定は「Automatic」にする必要があります。「Windows Firewall」項(「Computer Configuration」項)では、「Permissive」または「Blocking」の設定が可能です。 |
管理テンプレート設定は次の場所にあります。
「Computer Configuration」->「Administrative Templates」->「Network」->「Network Connections」->「Windows Firewall」->「Domain Profile」
「Windows Firewall: Protect all network connections」の設定では、値を「Disabled」(推奨)または「Enabled」にすることができます。使用しているネットワーク環境での最適な選択肢はネットワーク管理者が決定します。「Enabled」を選択すると、ファイアウォールでポートが遮断された場合、そのポートを後で開かないかぎり脆弱性はありません。ベストプラクティスとして、以前は開いていなかったポートを開いた場合は必ず再スキャンを実行してください。
設定 |
値 |
説明 |
Windows Firewall: Protect all network connections |
Disabled |
(推奨) これは、システムのオープンポートをすべてスキャンする唯一の方法です。 |
Windows Firewall: Protect all network connections |
Enabled |
「Enabled」に設定されている場合、次の追加の Windows ファイアウォール設定も行います。 |
「Enabled」の場合、以下の設定も必要になります。
設定 |
値 |
説明 |
Windows Firewall: Allow remote administration exception |
Enabled |
(必須) 「Allow unsolicited messages from」フィールドへの IP の入力については、下の「*」を参照してください。 |
Windows Firewall: Allow file and printer sharing exception |
Enabled |
(必須) 「Allow unsolicited messages from」フィールドへの IP の入力については、下の「*」を参照してください。 |
Windows Firewall: Allow ICMP exceptions |
Enabled |
(脆弱性スキャンではオプション、コンプライアンススキャンでは必須) これは「Allow inbound echo request」オプションとともに設定する必要があります。 |
* 「Allow unsolicited messages from」フィールドで、“ * ”(引用符は入力しません)を入力するか、内部スキャンに使用する Scanner Appliance に割り当てられた IP アドレスを入力します。アカウントのスキャナ IP アドレスを表示するには、上部メニューバーで「Help」->「About」を選択します。