home *** CD-ROM | disk | FTP | other *** search

---

/ DOS/V Power Report 1999 March / VPR9903B.ISO / MSSCE / README.TXT

Wrap

Text File  |  1998-11-10  |  13KB  |  266 lines

---

1. =========================================
2.         セキュリティ構成エディタ
3. =========================================
4. (C) Copyright Microsoft Corporation, 1998
5.  
6. ========
7. はじめに
8. ========
9. この README.TXT ファイルには、インストールに関する情報のほかに、セキュリティ構成エディタ (SCE) の基本的な使い方に関する情報が記述されています。この README.TXT ファイルを印刷し、「4.0  SCE の使用」の手順を実行することをお勧めします。
10.  
11.  
12. ====
13. 目次
14. ====
15. 1.0  概要
16. 2.0  動作環境
17. 3.0  インストール
18.     3.1  SCE GUI とコマンド ライン ツールをインストールするには
19.     3.2  SCE コマンド ライン ツールだけをインストールするには
20. 4.0  SCE の使用
21.     4.1  SCE MMC スナップインをロードするには
22.     4.2  定義済みの SCE 構成ファイルを編集するには
23.     4.3  SCE GUI からシステムを構成するには
24.     4.4  セキュリティ分析を実行するには
25.     4.5  SCE コマンド ライン ツールの使用
26. 5.0  定義済みの SCE 構成ファイル
27.     5.1  互換構成
28.     5.2  セキュリティ構成
29.     5.3  より強力なセキュリティ構成
30.     5.4  基本構成
31.     5.5  MS Office 97 - SR1
32. 6.0  その他の情報
33. 7.0  フィードバック
34.  
35.  
36. =========
37. 1.0  概要
38. =========
39. Service Pack 4 では、Microsoft セキュリティ構成エディタ (SCE) がサポートされています。セキュリティ構成エディタを利用することにより、システム管理者は、すべてのセキュリティ関連のシステム設定を 1 つの構成ファイルにまとめることができます。これらのセキュリティの設定は、任意の数の Windows NT コンピュータに適用できます。さまざまなレベルのセキュリティを実装するためのサンプル構成ファイルも用意されています。
40.  
41. SCE は、GUI (グラフィカル ユーザー インターフェイス) とコマンドライン ツールの両方をサポートしています。
42.  
43. SCE GUI を利用することにより、管理者は次のことを実行できます。
44.     * セキュリティ構成ファイルの作成と編集
45.     * システムへのセキュリティ構成の適用
46.     * セキュリティ分析の実行
47.     * 分析結果のグラフィカルな表示
48.  
49. SCE コマンド ライン ツールでは、次のことを実行できます。
50.     * Windows NT システムへのセキュリティ構成の適用
51.     * セキュリティ分析の実行
52.         - 分析の結果は、SCE GUI がインストールされている Windows NT
53.           コンピュータでグラフィカルに表示することができます。
54.  
55.  
56. =============
57. 2.0  動作環境
58. =============
59. SCE GUI とコマンド ライン ツールの動作環境は次のとおりです。
60.     * NT4-Service Pack 4
61.  
62. SCE GUI の動作環境は次のとおりです。
63.     * Microsoft Internet Explorer 3.02 以降
64.     * Microsoft 管理コンソール 1.0 以降
65.  
66.  
67. =================
68. 3.0  インストール
69. =================
70. SCE は Service Pack 4 のオプション コンポーネントで、Service Pack 4 に更新しても、SCE は自動的にインストールされません。
71.  
72. -----------------------------------------------------------
73. 3.1  SCE GUI とコマンド ライン ツールをインストールするには
74. -----------------------------------------------------------
75. 1. Internet Explorer 3.02 以降をインストールします。
76.     - IE 3.02 は Windows NT Service Pack 3 に付属しています。
77.     - IE 4.01-SP1 は Windows NT Service Pack 4 に付属しています。
78.     - Internet Explorer のオプション コンポーネントをインストールする
79.       必要はありません。
80.  
81. 2. Windows NT Service Pack 4 をインストールします。
82.     - Service Pack 4 CD-ROM のルート ディレクトリにある Service Pack 4
83.       の README.TXT ファイルを参照してください。
84.  
85. 3. SCE をインストールします。
86.     - SCE は、Service Pack 4 CD-ROM の \MSSCE\<platform> に格納されています。
87.     - MSSCE.EXE を実行します。
88.       Microsoft 管理コンソール (MMC) がインストールされていない場合は、
89.       MMC のインストールを求めるメッセージが表示されます。[はい] を
90.       クリックし、MMC をインストールします。
91.  
92. ---------------------------------------------------------
93. 3.2  SCE コマンド ライン ツールだけをインストールするには
94. ---------------------------------------------------------
95. 1. Service Pack 4 をインストールします。
96.     - Service Pack 4 CD-ROM のルート ディレクトリにある Service Pack 4 の
97.       README.TXT ファイルを参照してください。
98.  
99. 2. SCE コマンド ライン ツールのみをインストールします。
100.     - SCE は、Service Pack 4 CD-ROM の \MSSCE\<platform> に格納されています。
101.     - MSSCE.EXE /C を実行します。
102.  
103. /S オプションを指定して、メッセージを表示しないサイレント モードのインストールを行うこともできます。
104.  
105.  
106. ===============
107. 4.0  SCE の使用
108. ===============
109.  
110. *****************************************************************
111. 警告：  総合的な品質保証検査を行った場合を除いて、ここで説明して
112. いる定義済みのセキュリティ構成ファイルを運用中のシステムに適用し
113. ないでください。
114. *****************************************************************
115.  
116. -----------------------------------------
117. 4.1  SCE MMC スナップインをロードするには
118. -----------------------------------------
119.  
120. 1. Microsoft 管理コンソールを実行します。
121.    - MMC.EXE
122. 2. セキュリティ構成マネージャ スナップインを追加します。
123.    - [コンソール] メニューの [スナップインの追加と削除] をクリックします。
124.    - [追加] をクリックします。
125.    - [セキュリティ構成マネージャ] を選択し、[OK] をクリックします。
126.  
127. ----------------------------------------------
128. 4.2  定義済みの SCE 構成ファイルを編集するには
129. ----------------------------------------------
130. 1. [セキュリティ構成マネージャ] ノードを展開します。
131.    次のフォルダが表示されます。
132.     - [データベース: 読み込まれていません]
133.     - [構成]
134. 2. [構成] ノードを展開します。
135. 3. 既定の構成ファイル ディレクトリを展開します。
136.     - %windir%\SECURITY\TEMPLATES
137.     - 次の構成ファイルが表示されます。
138.  
139.       構成ファイル    セキュリティ レベル           プラットフォーム
140.       --------------- ----------------------------- -------------------------
141.       Basicwk.inf     基本構成                      NT4 Workstation
142.       Basicsv.inf     基本構成                      NT4 Server
143.       Basicdc.inf     基本構成                      NT4 ドメイン コントローラ
144.       Compws4.inf     互換構成                      NT4 Workstation/Server
145.       Compdc4.inf     互換構成                      NT4 ドメイン コントローラ
146.       Securws4.inf    セキュリティ構成              NT4 Workstation/Server
147.       Securdc4.inf    セキュリティ構成              NT4 ドメイン コントローラ
148.       Hisecws4.inf    より強力なセキュリティ構成    NT4 Workstation/Server
149.       Hisecdc4.inf    より強力なセキュリティ構成    NT4 ドメイン コントローラ
150.       Off97SR1.inf    (互換構成に追加して使用)      NT4 Workstation/Server
151.  
152. 4. 特定の構成ファイルを展開します。
153.     - たとえば、securws4 を展開します。
154.     - セキュリティ ポリシーやファイル システムの設定など、構成可能な
155.       セキュリティ領域が 7 つあります。
156. 5. 特定のセキュリティ領域を選択します。
157.     - たとえば、ローカル ポリシー\セキュリティ オプションを選択します。
158.     - 構成可能なパラメータが結果ウィンドウに表示されます。
159. 6. 結果ウィンドウで目的のセキュリティ オブジェクトをダブルクリックします。
160.     - たとえば、[ログオンをしようとするユーザーへのメッセージ テキスト] を
161.       ダブルクリックします。
162. 7. 使用中の環境に合わせてセキュリティの設定をカスタマイズします。
163.     - 使用中の環境に合わせてカスタマイズされたテキスト文字列を入力し、
164.       [OK] をクリックします。
165. 8. カスタマイズされた構成ファイルを保存します。
166.     - スコープ ウィンドウで構成ファイル (SECURWS4.INF) をマウスの右ボタンで
167.       クリックします。
168.     - [保存] または [名前を付けて保存] を選択し、変更を保存します。
169.  
170. --------------------------------------
171. 4.3  SCE GUI からシステムを構成するには
172. --------------------------------------
173. 1. [データベース: 読み込まれていません] ノードをクリックします。
174.     - 既定のデータベース (SECEDIT.SDB) がアクティブになります。
175.     - データベースに対してすべての構成と分析が実行されます。
176. 2. [データベース: Secedit.sdb] をマウスの右ボタンでクリックします。
177. 3. [構成のインポート] を選択します。
178. 4. 適用する構成を選択します。
179.     - データベースに格納されている以前の設定がすべて削除されるように、
180.       [データベースの既存の構成を上書きする] チェック ボックをオンに
181.       します。既定の設定では、選択されているデータベースに構成が追加
182.       されます。
183.     - [開く] をクリックします。
184. 5. [データベース: Secedit.sdb] をマウスの右ボタンでクリックします。
185. 6. [システムの構成] を選択します。
186. 7. 処理中の情報を記録するファイルの名前を入力し、[OK] をクリックします。
187.  
188. 警告：  Windows NT システムに "セキュリティ構成" を適用すると、パフォーマンスと機能が低下することがあります。
189.  
190. たとえば、Windows NT の既定の設定では、ルート ディレクトリ、%systemroot% ディレクトリ、および %systemroot%\SYSTEM32 ディレクトリに対する「変更」アクセス権 (読み取り、書き込み、実行、削除) がすべてのユーザーに与えられているため、多くのアプリケーションがその環境を想定しています。このほかにも多くの変更が含まれる "セキュリティ構成" ファイルを適用すると、これらの既定のアクセス権が制限され、以前は正常に動作していたアプリケーションが、動作しなくなることがあります。
191.  
192. -----------------------------------
193. 4.4  セキュリティ分析を実行するには
194. -----------------------------------
195. 分析エンジンが違反箇所を強調表示するようすを確認するため、次の手順を実行する前に、前の手順で適用されたセキュリティ ポリシーに違反する設定を行います。
196. たとえば、以下のようにします。
197.     - ユーザー マネージャを使用してパスワード ポリシー (パスワードの原則)を
198.       変更します。
199. 1. [データベース: Secedit.sdb] を右クリックします。
200. 2. [システムの分析] を選択します。
201. 3. 処理中の情報を記録するファイルの名前を入力し、[OK] をクリックします。
202.  
203. 進行状況ダイアログ ボックスに、現在分析中のセキュリティ領域が表示されます。分析が完了すると、結果ウィンドウに、実際のシステム設定と SECURWS4.INF で定義されている設定が異なる部分が強調表示されます。
204.  
205.  
206. -------------------------------------
207. 4.5  SCE コマンド ライン ツールの使用
208. -------------------------------------
209. Service Pack 4 には、構成ファイルを適用するためのコマンド ライン ツール (secedit.exe) も付属しています。コマンド ライン ツールの構文を表示するには、引数を指定せずに「secedit」と入力します。
210.  
211. コマンド ライン ツールは、Microsoft Systems Management Server などの分散システム管理ツールを使用して多数のシステムに定義済みの構成ファイルを適用するときに便利です。
212.  
213. 例:
214. secedit /configure /cfg securws4.inf /areas REGKEYS FILESTORE
215.  
216. この場合は、SCE プログラムが実行されている Windows NT システムに SECURWS4.INF 構成ファイルで指定されているファイル システムとレジストリのセキュリティの設定が適用されます。
217.  
218.  
219. ================================
220. 5.0  定義済みの SCE 構成ファイル
221. ================================
222. システム管理者は、付属の構成ファイルを使用し、それぞれの環境に合わせてセキュリティの設定をテストし、カスタマイズすることができます。総合的な品質保証の処置を講じることなく、これらの構成を運用中の環境に実装しないでください。
223.  
224. 定義済みのセキュリティ構成ファイルでは、既定の設定よりセキュリティ レベルの高い 3 段階のセキュリティが定義されています。ここでは、これらの定義済みのセキュリティ レベルについて説明します。
225.  
226. -------------
227. 5.1  互換構成
228. -------------
229. 既定のセキュリティの設定よりセキュリティ レベルの高い "互換構成" では、機能とセキュリティのバランスを考慮するときに、アプリケーションを優先します。
230.  
231. ---------------------
232. 5.2  セキュリティ構成
233. ---------------------
234. "互換構成" のセキュリティの設定よりセキュリティ レベルの高い "セキュリティ構成" では、機能とセキュリティのバランスを考慮するときに、セキュリティを優先します。
235.  
236. -------------------------------
237. 5.3  より強力なセキュリティ構成
238. -------------------------------
239. "より強力なセキュリティ構成" では、アプリケーションの機能を考慮せずに Windows NT システムにとって理想的なセキュリティの設定を適用します。"より強力なセキュリティ構成" では、ほとんどの既存のアプリケーションが正常に動作しません。"より強力なセキュリティ構成" は、セキュリティを重視したアプリケーションの開発を促進することを目的として設けられています。
240.  
241. -------------
242. 5.4  基本構成
243. -------------
244. "基本構成" ファイルは、安全性がより高い構成のアプリケーションを "元に戻す" ために提供されています。"基本構成" では、Windows NT の既定の設定が適用されます。ただし、以下のユーザー権利は、アプリケーションのセットアップ プログラムによって変更されることが多いため、リセットされません。
245.  
246.     - サービスとしてログオン
247.     - オペレーティング システムの一部として機能
248.  
249. 既定の "基本構成" を適用しても、より強力なセキュリティ構成が適用される前の状態に "戻る" わけではない点に注意する必要があります。"基本構成" ファイルは、セキュリティ構成ファイルとは異なるセキュリティの設定を適用するだけです。
250.  
251. ---------------------
252. 5.5  MS Office 97-SR1
253. ---------------------
254. MS Office 97-SR1 構成ファイルは、"互換構成" と組み合わせて使用することを前提としています。このファイルは、Microsoft Office 97-SR1 をインストールした後に適用する必要があります。このファイルは、"互換構成" の例外措置を設けて、管理特権のないユーザー環境で MS Office 97-SR1 が正常に動作するようにします。
255.  
256.  
257. =================
258. 6.0  その他の情報
259. =================
260. SCE に関連する最新情報と定義済み構成ファイルは、http://www.asia.microsoft.com/security/ntprod.htm で提供される予定です。
261.  
262. ===================
263. 7.0  フィードバック
264. ===================
265. Windows NT4 Service Pack 4 に付属している SCE は、Windows NT 5.0 に組み込まれる予定の技術を使用したものです。Windows NT 5.0 を強化するためにも、フィードバックを scefeed@microsoft.com まで送信してください。英語でのメールのみ受け付けます。
266.