謹賀新年

        謹んで新年のお慶びを申しあげます 　　

        平成二十八年元旦

セキュリティが強化されたファイアウォール

（質問）
「windows server2008 se sp2」へのIPアドレスによるアクセス制御について  

初めて質問させて頂きます。
 
社内ＬＡＮで使用している「windows server2008 standard edition sp2」への社内ＰＣ（WindowsXP、Windows7）からのアクセスを、IPアドレスによりアクセス制御し、サーバ側で登録されているIPアドレスからのみアクセスを可能としたいと考えています。
市販本等で見る限り、「セキュリティが強化されたWindowsファイアウォール」の受信の規則の設定により制御が可能と感じましたが、’受信の規則’のスコープタブで通信させたいIPアドレスを設定しましたが、未設定のＰＣからも通信が可能となってしまいます。そこで、次の内容について、アドバイスをお願いいたします。
 
　１．対象のＬＡＮは、ワークグループでの運用で、サーバもドメインコントローラではありませんが、上記の設定でIPアドレスによるアクセス制御は可能でしょうか。
　２．上記の設定および方向性に誤りが有るようでしたら、どのような手順・方法が適切でしょうか。
　お手数ですが、ご助言のほどどうぞよろしくお願いします。
 
（回答）
[セキュリティが強化されたファイアウォール]の標準設定では、
・規則に一致しない受信接続はブロック
・規則に一致しない送信接続は許可
となっています(変更は可能です)。
 
今回ルールをどのように設定されたのかよく分からないのですが、この基本設定を変更していないのであれば受信規則の[スコープ]タブのリモートアドレスに許可したいIPアドレスのみ設定することで、それ以外の通信を拒否することは可能です。
例としてファイル共有であれば、以下の2つのルールが対象になります。
・ファイルとプリンターの共有(NB セッション受信) 139/TCP
・ファイルとプリンターの共有(SMB 受信)  445/TCP
 
あと、ファイアウォールは[ドメイン][プライベート][パブリック]ごとの設定になりますので、サーバーのネットワークの種類に合わせて設定する必要があります。
 
http://technet.microsoft.com/ja-jp/library/cc772353%28v=ws.10%29.aspx
（参考資料）
http://www.atmarkit.co.jp/ait/articles/1003/18/news097_4.html
http://news.mynavi.jp/special/2009/windows7/066.html
 
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/89afb7de-9890-42e5-a8a3-32896724711f/#66fced06-4e0f-487b-97be-bc5bdcb281ab

Windows Server 2012 Hyper-Vマシン内への仮想マシンの作成とマルウェア対策ソフトウェアの関係

（質問）
クラスタ共有ボリュームへの仮想マシン作成
はじめまして。
現在下記の通りフェールオーバー可能なHyper-V検証環境を構築しております。
 
<環境>
物理ホスト:Windows Server 2012 Data Center Edition x2
・共有外部ストレージ(1TB空き有)へ接続
・物理ホストの物理メモリは32GBで現在7.8GB使用中
<質問>
WSFCから共有外部ストレージ(C:\ClusterStorage\Volume1)に仮想マシンを作成しようとしたところ以下のメッセージが表示され仮想マシン作成に失敗してしまいます。
「コンピューター'ホスト名'のメモリまたはディスク領域が不足しているため、要求された操作の実行に失敗しました。」
共有外部ストレージを使用せず、ローカルディスクへの仮想マシン作成は可能なことを確認済です。
原因について何かご存知の方がいましたらご教示いただけないでしょうか。
 
 （回答）
マルウェア対策ソフトウェアをインストールした際は、除外設定が必要になります。
WSFC: クラスタ環境でのウィルス スキャンの除外設定について
http://blogs.technet.com/b/askcorejp/archive/2010/06/10/wsfc.aspx
Hyper-V をインストールした Windows Server 2008 ベースのコンピューターまたは Microsoft Hyper-V Server 2008 ベースのコンピューターで仮想マシンを作成または起動すると、エラー コード "0x800704C8"、"0x80070037"、または "0x800703E3" が表示されることがある
http://support.microsoft.com/kb/961804?wa=wsignin1.0
また、私のブログにもまとめてあります。
Windows Server 2012 Hyper-V のベスト・プラクティス～その1
具体的には
マルウェア対策ソフトの除外設定を行う
・VHD、VHDX、AVHD、VSVとISOファイルを含むすべてのフォルダ 
・仮想マシンのデフォルトの設定ディレクトリを使用する場合 
（C:\ProgramData\Microsoft\Windows\Hyper-V） 
・デフォルトのスナップショット·ファイル·ディレクトリを使用する場合 
（%systemdrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots） 
・カスタム仮想マシン構成ディレクトリが該当する場合 
・デフォルトの仮想ハードディスクドライブのディレクトリ 
・カスタム仮想ハードディスクドライブのディレクトリ 
・スナップショット·ディレクトリー 
・Vmms.exe（注：ウイルス対策ソフトウェア内のプロセスの除外として設定する必要があるかもしれません） 
・Vmwp.exe（注：ウイルス対策ソフトウェア内のプロセスの除外として設定する必要があるかもしれません） 
・クラスタ共有ボリュームを使用する場合は、CSVファイルのパスを除外します。 
（C:\ClusterStorageとそのすべてのサブディレクトリ）の除外設定が必要になります。
以上、参考になれば幸いです。
 
 （結果として）
●●●様
 
貴重な回答ありがとうございます。
マルウェア対策ソフトの除外設定を下記の通り実施してみたのですが結果はNGでした。
・%systemdrive%\ProgramData\
・%systemdrive%\Program Files\Hyper-V\
・%systemdrive%\ClusterStorage\
・vmms.exe
・vmwp.exe
また、本件仮想マシン作成時のみVirusScanを停止させれば良いと記述しましたが仮想マシンのフェールオーバー実施時、フェールオーバー先のサーバでVirusScanが起動しているとフェールオーバーは上手くいきますがその後その仮想マシンにコンソールで接続出来なかったり設定を編集できない現象も発生しました。(リカバリーするにはVirusScan停止し仮想マシンの再起動が必要)
McAfee社にも本現象について問い合わせしましたが、Windows Server 2012においてクラスタ共有ボリューム使用時、現状の最新バージョン(VirusScan8.8iPatch3)では不具合が発生することと、対策としてVirusScanをアンインストール、もしくはVirusScanを停止させないといけないとの回答でした。(正直唖然としましたが・・・)
時期パッチ(Patch4)でクラスタ共有ボリュームに対応するとの情報もあるのでそれを待つしかないようです。
 
△△△
 
上記質問ですが自己解決しました。
原因は物理ホストにMcAfee VirusScan Enterpriseを導入していたことでした。
VirusScan(オンアクセススキャン)を停止させることで問題なく仮想マシンを作成できることも確認出来ました。McAfeeのHPを見てもWindows Server 2012であればサポートされているような記述はあったのですが現状ダメなようです。ただ、仮想マシン作成、仮想領域の移動のみこの現象が出ているだけで、作成後の仮想マシンのライブマイグレーションや稼動は問題ありませんでした。
ですが一時とはいえ、VirusScanを停止させるのはリスクもあるため早く不具合が解消されることを願います。
 
http://social.technet.microsoft.com/Forums/ja-JP/winserver8/thread/b8207e48-8966-4941-9aa1-6882d85f6716
 

EFS暗号化ファイルシステムの秘密鍵(証明書)のバックアップ

（質問）
EFS暗号化を利用したサーバのバックアップについて

Windows Server 2012 を搭載したサーバの導入を検討しています。用途はファイルサーバです。EFSの暗号化と Volume Shadow Copy を使用する予定なのです。ハードドライブは一台（実際はRAID1構成です）で、システム用とデータ用にパーティションを切って使う予定です。WIndows Server 標準機能でドライブ全体のバックアップを取り、必要に応じてそこからシステムを回復させる予定です。
ここで質問なのですが、
1：EFSで暗号化されたものに関しての注意点はありますか？
（実はリストアしても内容を見ることができない、など）
2：日々の増分バックアップは可能ですか？
（常に毎日フルバックアップすることになりますか？）

（回答）
●●●●です。

> 1：EFSで暗号化されたものに関しての注意点はありますか？
EFS暗号化したファイルの復号には、EFS暗号化の秘密鍵(証明書)が必要です。ですからこれをバックアップしていない場合、復号ができなくなります。秘密鍵のバックアップについては、ユーザが自分でエクスポートして保管するか、システム管理者が「ユーザプロファイルフォルダ」全体のバックアップを作成するようにします。ですから、サーバのCドライブのフルバックアップとシステム情報のバックアップが必要です。
> 2：日々の増分バックアップは可能ですか？
結論から言うと、増分バックアップは可能です。IBMがいい感じで資料をまとめていますので、ご覧になってみてはどうでしょうか？
Windows Server 2012バックアップの機能

暗号化ファイル システムの最善の使用方法
文書番号: 223316 -
ステップバイステップ ガイド : 暗号化ファイル システムの使用
【[HOWTO] Windows Server 2003 Enterprise Server で暗号化ファイル システムを管理する方法】
文書番号: 324897 -
 
暗号化されたファイルの回復証明書を作成する（対象:Vista,7）
http://windows.microsoft.com/ja-JP/windows-vista/Create-a-recovery-certificate-for-encrypted-files
http://windows.microsoft.com/ja-JP/windows7/Create-a-recovery-certificate-for-encrypted-files

［システム状態（SYSTEM STATE)バックアップに含まれるもの］
・レジストリ
・COM+クラス登録データベース
・ブートファイル
・システムファイル（ntldr、NTDETECT.COMなど）
・Windows ファイル保護下にあるファイル
・証明書サービスデータベース　／証明書サービスが実行されているサーバーの場合
・IISメタベース　／IISがインストールされている場合
・クラスタサービス情報 ／コンピュータが、クラスタの一部の場合
・Active Directory データベース（ntds.dit）／DCの場合
・SYSVOLフォルダ　／DCの場合
 
http://social.technet.microsoft.com/Forums/ja-JP/winserver8/thread/bfeb6f0e-ea44-49d4-af9d-ea05898c8dd5
 

ADで大量展開している端末のOfficeのリボンの最小化、表示を一括で変更したい

（質問）
当方SEなのですが、お客様の環境でOffice(Excel)のリボンが表示されている端末とされていない端末があるので、一括で変更を行いたい、と言われております。
ADでそのような操作は可能でしょうか？
※元々はIEの中でのOfficeの表示について変更したい、との要望だったのですが、これはOffice単体で起動した時と同じ表示になっているとの認識です。
環境は以下の通りなのですが、何か方法はありますでしょうか？
（具体的にはExcelについて指摘を受けていますが、WordやPowerPointについても要望が出てくる可能性がある為、できればそれら3つについて知りたいです。）
・OS:Windows7
・Officeバージョン:Office2007
・端末はAD環境

以上、よろしくお願いします。

（回答）
ひとまず、Office 2010ベースの情報ですが、リボン表示に関するレジストリを変更するスクリプトを「ログオンスクリプト」で実行するか、専用の管理テンプレートをインス トールしてGPOで設定する方法になりそうです(GPOの方はリボンのカスタマイズに関する項目を確認する必要があります)。
レジストリを設定する方法については、したのページがわかりやすいでしょう。
http://blogs.technet.com/b/office_jp/archive/2011/11/10/hiding-the-ribbon-in-office-2010.aspx
GPOの方はMSから情報が出ていますが、管理テンプレートで対応可能な項目はどこか、等調べながら実現する必要があります。
http://msdn.microsoft.com/ja-jp/library/office/ee704589(v=office.14).aspx
Office 2010の管理テンプレートはここにあります。
http://www.microsoft.com/en-us/download/details.aspx?id=18968.com/en-us/download/det
Office 2007ということなので、Office 2010と同じようにできるのか確認いただいた方がいいでしょう。

Office 2010 でグループ ポリシーを使用して設定を適用する－MS
管理用テンプレート（.adm）を追加するには－office-qa.com

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/977b91a9-3607-46ca-97ce-8859e1638c1a

ローカルAdministratorの（一括）有効化・無効化

（質問）
社内にてローカルAdministrator権限が無効状態のままPCを配備しています。
数百台配備したところでドメインとの認証エラーが起きた際、PCで何もできないことに気付きました。
(ワ－クグループに一度抜けてからの再認証など)
ポリシーなどネットワークにて一括でローカルAdministrator有効化(PWを設定できるなら尚助かります) する方法はないものでしょうか。

（回答）
グループポリシー項目だけでは難しいと思いますが(十分に確認できていません)、以下の様なスクリプト(vbs)をグループポリシーのスタートアップスクリプトに組み込めば可能だと思います。
 
Set objNetwork = CreateObject("Wscript.Network")
ComputerName = objNetwork.ComputerName
Set objUser = GetObject("WinNT://" & ComputerName & "/Administrator")
objUser.SetPassword("password123")
objUser.AccountDisabled = False
objUser.SetInfo
Set objUser = Nothing
Set objNetwork = Nothing
 
※エラー処理や複数回実行の処理はまるで考慮していません。
 
スクリプト センター
http://technet.microsoft.com/ja-jp/scriptcenter/
基本設定項目－コントロールパネルの設定
[ローカル ユーザーとグループ] 拡張機能
Windows システム イメージ マネージャー (Windows SIM)－応答ファイル
ビルトイン Administrator アカウントを有効または無効にする

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/11292b46-df35-4e69-ac65-99c7d5c23bd4/#bb18f640-9a79-4039-abc1-a3f8905d49d0

MSの主なサポート

Microsoft サポート
ダウンロード センター 
マイクロソフト サポート ライフサイクル
Tech Netサポート
マイクロソフト・ボリュームライセンスお問い合わせ先
 
（有償サポート）
法人向けサポートサービス