セキュリティが強化されたファイアウォール

（質問）
「windows server2008 se sp2」へのIPアドレスによるアクセス制御について  

初めて質問させて頂きます。
 
社内ＬＡＮで使用している「windows server2008 standard edition sp2」への社内ＰＣ（WindowsXP、Windows7）からのアクセスを、IPアドレスによりアクセス制御し、サーバ側で登録されているIPアドレスからのみアクセスを可能としたいと考えています。
市販本等で見る限り、「セキュリティが強化されたWindowsファイアウォール」の受信の規則の設定により制御が可能と感じましたが、’受信の規則’のスコープタブで通信させたいIPアドレスを設定しましたが、未設定のＰＣからも通信が可能となってしまいます。そこで、次の内容について、アドバイスをお願いいたします。
 
　１．対象のＬＡＮは、ワークグループでの運用で、サーバもドメインコントローラではありませんが、上記の設定でIPアドレスによるアクセス制御は可能でしょうか。
　２．上記の設定および方向性に誤りが有るようでしたら、どのような手順・方法が適切でしょうか。
　お手数ですが、ご助言のほどどうぞよろしくお願いします。
 
（回答）
[セキュリティが強化されたファイアウォール]の標準設定では、
・規則に一致しない受信接続はブロック
・規則に一致しない送信接続は許可
となっています(変更は可能です)。
 
今回ルールをどのように設定されたのかよく分からないのですが、この基本設定を変更していないのであれば受信規則の[スコープ]タブのリモートアドレスに許可したいIPアドレスのみ設定することで、それ以外の通信を拒否することは可能です。
例としてファイル共有であれば、以下の2つのルールが対象になります。
・ファイルとプリンターの共有(NB セッション受信) 139/TCP
・ファイルとプリンターの共有(SMB 受信)  445/TCP
 
あと、ファイアウォールは[ドメイン][プライベート][パブリック]ごとの設定になりますので、サーバーのネットワークの種類に合わせて設定する必要があります。
 
http://technet.microsoft.com/ja-jp/library/cc772353%28v=ws.10%29.aspx
（参考資料）
http://www.atmarkit.co.jp/ait/articles/1003/18/news097_4.html
http://news.mynavi.jp/special/2009/windows7/066.html
 
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/89afb7de-9890-42e5-a8a3-32896724711f/#66fced06-4e0f-487b-97be-bc5bdcb281ab

ローカルAdministratorの（一括）有効化・無効化

（質問）
社内にてローカルAdministrator権限が無効状態のままPCを配備しています。
数百台配備したところでドメインとの認証エラーが起きた際、PCで何もできないことに気付きました。
(ワ－クグループに一度抜けてからの再認証など)
ポリシーなどネットワークにて一括でローカルAdministrator有効化(PWを設定できるなら尚助かります) する方法はないものでしょうか。

（回答）
グループポリシー項目だけでは難しいと思いますが(十分に確認できていません)、以下の様なスクリプト(vbs)をグループポリシーのスタートアップスクリプトに組み込めば可能だと思います。
 
Set objNetwork = CreateObject("Wscript.Network")
ComputerName = objNetwork.ComputerName
Set objUser = GetObject("WinNT://" & ComputerName & "/Administrator")
objUser.SetPassword("password123")
objUser.AccountDisabled = False
objUser.SetInfo
Set objUser = Nothing
Set objNetwork = Nothing
 
※エラー処理や複数回実行の処理はまるで考慮していません。
 
スクリプト センター
http://technet.microsoft.com/ja-jp/scriptcenter/
基本設定項目－コントロールパネルの設定
[ローカル ユーザーとグループ] 拡張機能
Windows システム イメージ マネージャー (Windows SIM)－応答ファイル
ビルトイン Administrator アカウントを有効または無効にする

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/11292b46-df35-4e69-ac65-99c7d5c23bd4/#bb18f640-9a79-4039-abc1-a3f8905d49d0

Windows Serverボリュームライセンスに関するお問い合わせについて

ライセンス（特にサーバー関係やボリュームライセンス）に関する適切なお問い合わせ窓口を探すのは難しく、MSに直接問い合わせてくださいというしか答えようがない。
注意点としては電話で問い合わせるのでなく（証跡を残すという観点から）、必ず書面（メールなど）で確認をとることである。

文書番号: 295539
http://support.microsoft.com/kb/295539/ja
お問い合わせ先－マイクロソフトサポート
 
（質問）
物理CPU４個のマシンでWindows Server 2012 Standerdを使うためのライセンスについて
 
Windows Server 2008 R2  Standerd （OEM） からWindows Server 2012 Standerd
へのアップグレード考えています。
現在、以下の構成のマシンで動かしています。
 
CPU：AMD Opteron6282SE 16コア × 4CPU（物理）
メモリ：64GB(StanderdなのでOS上では32GBまで)
HDD：OS用2TB(RAID1)
HDD：データ用10TB
 
以下の「ライセンス体系：WS2012_Licensing-Pricing_Datasheet_ja.pdf」を読みますと
http://www.microsoft.com/ja-jp/server-cloud/windows-server/buy.aspx
物理CPU４個のため、Detacenter or Standerd のライセンスを２つ購入しないとCPUを有効に使うことができないようですが
（ソフトウェアアシュアランスがある場合はStanderdのライセンスを追加でもうひとつ）
通常市販されております、
 
Windows Server 2012 Standard 日本語版 5 CAL付
を２つ購入し、片方のメディアのライセンスキーを使いインストールを行った後、もう一方のライセンスキーをどのように使うのでしょうか。
また、１つはメディア付きで、もう片方はライセンスだけ購入することは可能なのでしょうか。
 
以上よろしくお願いいたします。
 
（回答１）
ライセンスキーはおそらく使うことはないと思いますが、この手の質問であれば、パートナーコールセンターで答えてくれると思います。
なお、一般的にはボリュームライセンスで購入することが想定されているように思います。ボリュームライセンスはメディア、CALとも別売りですので、ある意味必要なものだけ買えますし、購入ボリュームが大きければディスカウントも大きくなりますので。価格は、Openであれば、以下のWebサイトなどから見積もれます。
https://www.licenseonline.jp/
 
（回答２）
フォーラム オペレーターの○○○○です。
△△△△ さん、いつも回答ありがとうございます。

×××× さん、こんにちは
マイクロソフトのボリューム ラインセンス に関するページがありますので、こちらも参考までにご紹介します。
（業種別に提供されているライセンス プログラムもあります。）

・Volume Licencing ホーム：
http://www.microsoft.com/ja-jp/licensing/default.aspx
 
・パートナーコールセンター
・マイクロソフト ボリューム ライセンス 問い合わせ先:
・製品ライセンスについてよく寄せられる質問 (FAQ):
 
http://social.technet.microsoft.com/Forums/ja-JP/winserver8/thread/90d23857-9c42-4673-993e-ab7ee2966c77/#c8c90963-8a7f-4769-9f65-cceca46b68af

グローバルカタログサーバーについて

（質問）
グローバルカタログサーバーについて
 
よろしくお願いします。
現在運用中の環境の入れ替えを控えております。
今までは、機能レベル2000、Windows Server 2003 ドメインでした。次期は、Windows Server 2008 R2 を採用し、シングルドメイン、シングルフォレスト環境を構築する予定です。そして、機能レベルは引き続き2000だそうです。メリットあるのかな。設計者はリスクがはかれないからと言います。
複数台のドメインコントローラーを立てる予定ですが、このすべてのドメインコントローラーに、グローバルカタログを構成するとの話を聞きました。
自分の記憶違いかもしれませんが、グローバルカタログはひとつのドメインに１台あれば良いと思っていました。
複数構成するメリットなどあるのでしょうか。
 
（回答）
シングルドメイン、シングルフォレストとのことなので、すべてのDCをGCにすることをお勧めします。
この理由は2つあります。
1つ目の理由はログオンプロセスに起因します。
ドメインに対してのログオン要求のプロセスとして、クライアントはDCにログオン要求を投げますが、DCはGCに対してそのユーザーがどのユニバーサルグループに所属しているかのクエリーをします。これはたとえユニバーサルグループに所属していなくても必ず行われる動作になります。
2つ目の理由は、GCの元ネタはDCのドメインパーティションにある情報になります。マルチドメイン環境ではDC上のFSMOのインフラストラクチャマスターと同じサーバーにGCを置いてはいけないという要件がありますが、シングルドメインの場合はインフラストラクチャマスターのお仕事がないのでこの要件はあてはまりません。そのことから、シングルドメインの場合はすべてのDCにGCを配置することができます。よって、すべてのDCにGCを配置するとGCは自身のDCから生成することとなり、GC間でのレプリケーションはおきません。更に、DCからGCへのクエリーはネットワークを経由することなく完了します。
以上のことから、シングルドメインの場合は全てのDCにGCを配置することが推奨となります。
また、機能レベルは最低でも Windows Serer 2003 以上にすることをお勧めします。できれば Windows Server 2008 にして AD のごみ箱を有効にするべきでしょう。
機能レベルを Windows Server 2003 に上げることによって、LVRやKCCなどの機能追加や機能アップが行われています。
各機能レベルで有効になる機能に関する付録
http://technet.microsoft.com/ja-jp/library/cc771132(v=ws.10).aspx
以上、参考になれば幸いです。
 
（再質問）
とてもわかりやすい返信をありがとうございました。
GCをすべてのDCに配置するメリットが理解できました。
しかし、機能レベルを 2003 以上にあげることは、しないことを方針としているようです。
使用できるようになる機能のメリットより、機能レベルをあげて全体の環境に何か問題が発生したら、恐ろしい。ネットワークの規模が大きいため、リスクを図るための検証を実施できないから、機能レベルは 2000 のままというのが理由です。
実際、機能レベルをあげることにより障害が発生するケースがあるのでしょうか。
そうすると、フォレストには 2000 という機能レベルはないので、あまり意味がないように思えます。フォレストを構成する恩恵は受けられないように思えます。
なのに、なぜこの設計者はあえて、フォレストをシングルフォレストで構成するというのか、理解ができません。
しかし Windows  Server 2008 R2 はドメインを作成すると、フォレストも同時にできてしまうのでしょうか。
以前 2008 環境を構築していた時は、そこまで意識していなかったので、このたび設計内容をチェックしていて疑問が噴出しています。
そのような環境に対する疑問を解消するための検証環境もないため、疑問が山積です。
 
（再回答）
＞そうすると、フォレストには 2000 という機能レベルはないので、あまり意味がないように思えます。フォレストを構成する恩恵は受けられないように思えます。なのに、なぜこの設計者はあえて、フォレストをシングルフォレストで構成するというのか、理解ができません。
＞しかし Windows  Server 2008 R2 はドメインを作成すると、フォレストも同時にできてしまうのでしょうか。
まず、機能レベルでフォレストには Windows 2000 というものがあります。そして、ドメインは必ずどこかのフォレストに所属しています。なぜ、シングルドメイン、シングルフォレストにするかというと、一番設計がシンプルだからです。ですのでマイクロソフトでもこの設計方式を推奨しています。
機能レベルは、下位互換性のために用意されているもので、追加機能を使用するためのスイッチのようなものになります。そもそも、DCを導入する時点でスキーマの拡張を行っているはずですよね。リスクというならば、そこがリスクとして私は認識しています。ですので、既に使える状態になっていてそれを使わないというのは私には理解しがたいところですね。
しかし、企業によってはそのようなポリシーを持って運営されているところもありますので一概に何とも言えません。
以上、参考になれば幸いです。
 
（MSのページ）
http://technet.microsoft.com/ja-jp/library/cc732877(WS.10).aspx
http://technet.microsoft.com/ja-jp/library/cc737290(WS.10).aspx
インフラストラクチャマスタの役割をもつDCにGCを配置はしてはいけないケースおよび理由。
http://support.microsoft.com/kb/223346/ja
http://technet.microsoft.com/ja-jp/library/cc754889(WS.10).aspx
（過去ログ）
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/822ab3d0-7122-4b7c-a501-1620e0b7be58
 
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/0922046a-32bf-4ce2-9121-ae1b293699dd/#8aa31497-4df8-44b1-a1f5-a8a62a34691b

グループポリシーでのパスワードの複雑さの変更

（質問）
パスワードの複雑さの変更について
 
グループポリシーから有効/無効で設定できる「パスワードの複雑さ」の要件を変更することは可能でしょうか。
デフォルトですと以下の通りの要件となっております。OSはWindowsServer2008R2です。
--
ユーザーのアカウント名またはフルネームに含まれる3文字以上連続する文字列は使用しない。
長さは6文字以上にする。
次の4つのカテゴリのうち3つから文字を使う。
英大文字(A ～ Z)
英大文字(a ～ z)
10進数の数字(0 ～ 9)
アルファベット以外の文字(i、$、#、%など)
--
 
（回答１）
パスワードフィルターを使えば出来そうです。
ただ、見る限り結構大変そうですね。
脅威とその対策: アカウントポリシー
Password Filters
 
（回答２）
○○○○です。
過去に同じ質問に答えたことがあります。passfilt.dllを作る、というのはその通りですが、市販ツールを使って対応する方法はありますね。
http://www.nfrontsecurity.com/products/nfront-password-filter/index.php
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/0475a2ef-cc08-4704-b3ff-430a0dfc7687
 
(Windows Server 2003 のMSのページ)
パスワードは、複雑さの要件を満たす必要がある
（参考：Hatenaのページ)
Windows Server 2003のパスワードポリシーで「複雑さを満たす」より厳しいパスワードポリシーを設定する事は可能ですか？
 
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/b30230eb-51ca-45ba-814c-a4181fd207f2

NAP（ネットワークアクセス保護）とは

企業のセキュリティ要件に適合しないコンピュータを社内ネットワークから隔離することで、社内ネットワークを安全な状態に保つための機能のことである。

NAP強制環境の要素
・NAPクライアント
・ネットワークポリシーサーバー(NPS)
・修復サーバー
・アクセスデバイス
 
Windows Server 2008以降の標準機能では、５種類のNAP強制に対応している。
・DHCP NAP
・VPN NAP
・IPSec NAP
・IEEE 802.1x NAP
・RDゲートウェイ　NAP 
  
（質問）
２００８Ｒ２　ＤＨＣＰスコープ内で空きのあるアドレスをさがし固定ＩＰでピンポイントで接続するＰＣを排除したい
 
お世話になります
 
２００８Ｒ２にてＡＤ、証明書、ＤＨＣＰ、ＮＰＳ、ＤＮＳをセットで×２台にて管理しております。
 
セグメントはひとつで
①１９２．１６８．２４９．１～５０　は固定ＩＰ
②１９２．１６８．２４９．５１～２４７　はＤＨＣＰのスコープ管理
③１９２．１６８．２４９．２４８～２５５　は固定ＩＰ
といった管理をしております。
 
再三、注意をしているのですがシステム管理者不在の時にある特定のユーザーが個人ＰＣを持ち込みまして接続をしてしまいます（アドレスは固定ＩＰでそのときあいているあドレスを設定してきます。前回は１９２．１６８．２４９．２３６），ＤＨＣＰのアドレスリースに余裕があることと①と③についてはサーバー、無線ＬＡＮのＡＰやプリンターなどで固定が望ましいデバイス用にしています。こちらの空きがあるのでピンポイントに接続ができでしまいます。せめて②の範囲において固定ＩＰでは接続付加にしたいと考えております。なにか方法がありましたらご教授お願いできますでしょうか。ちなみに②はＤＨＣＰのＮＡＰ強制でドメインの制御をしているのでＤＨＣＰ接続でＨＯＭＥ　ＥＤＴＩＯＮなどは①、②の固定で対応しています
 
社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは（前編）
社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは（後編）
http://www.microsoft.com/ja-jp/server-cloud/windows-server/network-access-protection-nap.aspx
http://blogs.technet.com/b/windowsserverjp/archive/2009/10/07/3284916.aspx
（個人の方のブログ）
Windows Server 2008 と Vista におけるNAP検証－MCTの憂鬱
ネットワークアクセス保護（NAP）～その３～　DHCP NAP編－MCTの憂鬱

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/2e3277f2-b73e-47e1-8a6e-c687b1976125/#7cd03cee-bc98-4309-8f33-abef01f93656

Windows Server 2008、新監査ログ出力の仕様の変更

Windows Vista および Windows Server 2008 では、監査可能イベントの数が 9 個から 53 個に増やされた。
Windows Server 2008 R2 および Windows 7 では、すべての監査機能がグループ ポリシーに統合されている。取得する監査ログを絞るにはauditpolコマンドでサブカテゴリのログ調整の設定をする。
 
（質問）
auditpolコマンドによるサブカテゴリの設定
 
お世話になっております。
 
監査ポリシーの設定にて、auditpolコマンドによるサブカテゴリの設定についてご質問させてください。
------------------------------------------------------------------------------------------------
行いたいこと
グループポリシーの監査ポリシーで設定したカテゴリの中にある、指定したサブカテゴリのみのログを取得したい。
 
現在の状況
・グループポリシー（Default Domain Controllers Porlicy）にて、
オブジェクトアクセスの監査のポリシーを定義（成功のみ）し、イベントログをとりたいのですが、コマンドプロンプトよりauditpolコマンドにてサブカテゴリの設定が出来ることを知りました。
　　
通常ですと、グループポリシーでセットしたカテゴリ(ここでは[オブジェクト アクセス])以下のサブカテゴリはすべてグループポリシーどおり（ここではすべて[成功]）の設定になっています。（コマンドプロンプトより[auditpol /get /category:"オブジェクト アクセス"]コマンドにて設定確認）
 
・グループポリシーの設定後、下記手順にてサブカテゴリの設定を行いました。
 
１．コマンドプロンプトより、[auditpol /set /subcategory:"[サブカテゴリ名]" /success:disable]を入力し、
一度サブカテゴリをすべて[監査なし]の設定にします。
２．[auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:enable]を入力し、
オブジェクトアクセスカテゴリ内の[フィルタリング プラットフォームの接続]のみ[成功]の設定へ変更しました。
３．オブジェクトアクセスカテゴリ内の設定を確認するため、[auditpol /get /category:"オブジェクト アクセス"]にて、サブディレクトリの設定内容を確認しました。（ここではサブカテゴリ[フィルタリング プラットフォームの接続]のみ[成功]で後は[監査なし]となっていました。）
 
・上記確認後、イベントビューアを起動し、[Windows ログ]-[セキュリティ]より、監査ポリシーのログを確認しているのですが、
時間がたつと、ポリシーの変更の監査ログを取得し、[オブジェクト アクセス]カテゴリの設定がすべて、[成功]となっている。
------------------------------------------------------------------------------------------------
質問
・イベントログにて、想定したサブカテゴリのみのログを取得することは可能でしょうか？
・自動でサブカテゴリが変更してしまうのはなぜでしょうか？（ポリシーの変更をさせないことは出来る？）
 
サブカテゴリの設定後、イベントログにて、ポリシーの変更の監査ログを取得するまでは、現状、設定したサブカテゴリのログのみ取得している状態なので、想定したサブカテゴリのログを残すことは出来そうなのですが、サブカテゴリを自動で変更してしまうところで、行き詰ってしまいました。
 
申し訳ありませんが、ご教授のほどよろしくお願い致します。
 
（回答）
○○です
グループポリシーでの監査の設定はサブカテゴリすべての設定となります。
よってGPOによる監査設定はやめてコンピューター上でauditpolを実行してみてください。
 
（返信）
○○様返信ありがとうございます。
 
下記の手順にて確認してみたところ、サブカテゴリの設定の自動での変更は行われないことを確認できました。
------------------------------------------------------------------------------------------------
手順
・グループポリシー（Default Domain Controllers Porlicy）の[監査ポリシー]の部分をすべて未定義にした。
・コマンドプロンプトにて、[auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:enable]を入力し[成功]の設定をした。
・一定時間放置後、[auditpol /get /category:"オブジェクト アクセス"]を行った際、サブカテゴリの[フィルタリング プラットフォームの接続]のみが[成功]となっていることを確認。
------------------------------------------------------------------------------------------------
GPOを設定後にサブカテゴリを変更しても、GPOの設定により一定の間隔ですべてのサブカテゴリを書き換えてしまっているみたいですね。勉強になりました。
 
○○様様回答ありがとうございました。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（ＭＳページ）
Windows のセキュリティ監査の新機能
http://technet.microsoft.com/ja-jp/library/dd560628(v=ws.10).aspx
Windows Vista と Windows Server 2008 のセキュリティ イベントの説明
http://support.microsoft.com/kb/947226/ja
2008：auditpol で使用可能な subcategory の一覧を取得する
http://blogs.technet.com/b/junichia/archive/2007/09/29/2008-auditpol-subcategory.aspx

（関連投稿）
”オブジェクトアクセスの監査”で出力されるセキュリティログを絞りたい
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/7cd374ee-277c-47de-b29e-b80fa7b01fcb
マイクロソフトサーバー製品のログ監査ガイド(対象：Winsows 2000 Server，Windows Server 2003）
http://technet.microsoft.com/ja-jp/solutionaccelerators/dd285678.aspx

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/c7831110-3b74-4898-bb29-a7a07f91502b/