- 締切済み
ファイル、フォルダのアクセス権の設定指針
はじめまして。 NTSV4 + SP6a + IIS4 + Exchange5.5 + BIND4.9.7でHTTP、SMTP、POP3、DNSサーバーを立てることを計画しています。 NTSV4のインストール直後に、システムドライブ(C:)内のファイルやフォルダに設定されたアクセス権を確認したところ、アクセス権の制限状況が異様に緩い状態であることに気付きました。例えば、C:\WINNT配下のexeファイルなどの多くでEveryoneにフルコントロール権限が付いています。 このままサーバーとしてInternetに露出させるのは非常に不安なので、これらのファイル、フォルダのアクセス権を制限したいと考えています。 前述のとおり、IIS4とExchange5.5の使用を前提とした場合、アクセス権の設定はどの様に行うのが適当なのでしょうか? ちなみに、IISのコンテンツや、ExchangeのデーターベースはD:に配置しようと考えています。 皆様のお知恵を拝借できれば助かります。
- kazekaze
- お礼率55% (5/9)
- Windows NT・2000
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- m_nkgw
- ベストアンサー率47% (42/89)
セキュリティを専門に扱ってはいない人間からの回答でもうしわけありません。 以下のような記事を見つけました。何かお役に立てば幸いです。 http://www.microsoft.com/japan/techNet/winnt/Winntas/technote/Planning/secnt2.asp 「Windows NT 4.0 コンピュータのセキュリティ対策」
- ken2
- ベストアンサー率36% (86/235)
まず、悲しいことですが、Windows NTは、ローカルのセキュリティーを厳しくすると結構使えなくなるという欠点があります。 ローカルのセキュリティをあまり深く考えずに外部からの攻撃に対して考えたほうがいいともいます。 たとえば、IPフィルタリングとかです。 私としては、宗教論争になりますが、UNIX(今なら、FreeBSDかLinux)をお勧めします。 コストにおいてもパフォーマンスにおいても優れていると思います。 少なくともメールのサービスは、EXchangeは、止めたほうがいいと思います。 別のSMTPのサーバーにしたほうがいいと思います。
お礼
アドバイス頂いたように、OS周辺から固めていくことにします。 ありがとうございます。
補足
アドバイス、ありがとうございます。 わたくしも、Exchangeよりもqmailやpostfix等のMTAの方がコスト対パフォーマンスなどの点で有利だとは思うのですが、諸般の事情によりExchangeを採用せざるを得ません。 ルーターやOSが持つフィルタリング機能も活用するつもりではいますが、NTSVのセキュリティホールに関しては不安になるような噂を耳にする機会が多いので、ファイルシステムに対するアクセス権も必要最小限に設定したいと思っています。 計画しているサーバーはDMZに配置し、セキュアなセグメントへのフォルダ共有サービスや認証サービス等を提供する予定はありません。このため、サーバー上に存在するアカウントで実際にアクティブになるのはIISが内部的に利用する匿名GuestアカウントとExchangeが内部的に利用するサービスアカウント、それにAdministrator権限を持つ管理者ぐらいになるのではないかと予想しています。 これらのアクティブなアカウントが必要とするアクセス権以外はもっと絞れるのではないかと思うのですが、「だれ」の「どこ」に対するアクセス権を「どう」絞ればよいのか分からず困っています。 P.S.お教え頂いたURLも参考にさせて頂きます。