Windowsの防護
問題一覧
1
初期状態のWindowsシステムが抱える問題点について適切な処置の組み合わせを解答してください。
問題点
・ビルトインアカウント(Administrator,Guest)の存在
処置 → 「 ① 」
使用しない、無効、アカウントロック
2
初期状態のWindowsシステムが抱える問題点について適切な処置の組み合わせを解答してください。
問題点
・不必要なコンポーネントがインストールされている。
処置 → 「 ② 」
不必要なコンポーネントを消す
3
初期状態のWindowsシステムが抱える問題点について適切な処置の組み合わせを解答してください。
問題点
・ディレクトリ/ファイルアクセス権の不備(everyoneに「フルコントロール」権限)
処置 → 「 ③ 」
everyoneの権限を削除
4
初期状態のWindowsシステムが抱える問題点について適切な処置の組み合わせを解答してください。
問題点
・監査ログ収集の不備、アクセスログの未収集
処置 → 「 ④ 」
適切に収集するように設定を変える
5
初期状態のWindowsシステムが抱える問題点について適切な処置の組み合わせを解答してください。
問題点
・管理共有、イベントログ、パフォーマンスモニタ
処置 → 「 ⑤ 」
管理共有の使用停止 イベントログの取得設定
6
Windowsコンピュータ同士をネットワークで接続する技術は、「 ① 」と「 ② 」の2種類があり、その接続の違いやユーザ管理の容易性、効率性からユーザの管理方法も区分され、ユーザーの呼び方も変わっています。
ワークグループ, ドメイン
7
ワークグループ
ユーザー作成:「 ① 」ごとに個別作成
ユーザー管理:端末のローカルで管理 ※ユーザーを管理するファイル、「 ② 」ファイル
コンピュータ, SAM
8
ドメイン
ユーザー作成:「 ① 」と呼ばれるサーバ(「 ② 」)で作成
ユーザー管理:「 ① 」で集中的に一元管理
ドメインコントローラ, Active Directory
9
コンピュータごとに作成し、端末で管理するユーザーは何ですか。
ローカルユーザー
10
Active Directoryで作成されるユーザーを何というか。
ドメインユーザー
11
Windowsをインストールした際に自動的に作成されるアカウントを何というか。
ビルトインユーザーアカウント
12
Administratorアカウント
・初めてワークステーションやメンバサーバを設定するときに使用
OSインストール完了後から使用するアカウントで、別のアカウントを作成するまで使用される
ことから、「 ① 」Administratorアカウントや、「 ① 」管理者とも呼ばれる。
・「 ② 」グループのメンバ
・自アカウントの「 ③ 」、「 ② 」グループからの削除は不可
・自アカウントの「 ④ 」は可能
ビルトイン, Administrators, 削除, 無効化
13
Guestアカウント
・コンピュータ上に実際のアカウントを持っていないユーザーが使用
・「 ① 」は要求されない。
・既定では無効→有効にできる。
・「 ② 」と「 ③ 」の設定ができる。
・「 ④ 」グループのメンバ
パスワード, 権利, アクセス権, Guests
14
ビルトイングループ
・「 ① 」グループ
・Backup Operatorsグループ
・「 ② 」グループ
・「 ③ 」グループ
・Replicatorグループ
Administrators, Users, Guests
15
Administratorsグループ
・最大の既定の「 ① 」を持つ。
・自身の「 ① 」を変更できる。
アクセス許可
16
Backup Operatorsグループ
ファイルを保護しているアクセス許可に関わらず、ファイルのバックアップと「 ① 」を行う。
[可能]ログオンと[ ② 」
[不可能]「 ③ 」の設定
復元, シャットダウン, セキュリティ
17
Usersグループ
[可能]
・一般的なほとんどの作業を実行
●「 ① 」と「 ② 」の使用
●「 ③ 」のシャットダウンとロック
・「 ④ 」の作成
・自分で作成した「 ④ 」の変更
[不可]
・「 ⑤ 」の共有
・「 ① 」の作成
ローカルプリンター, ネットワークプリンター, ワークステーション, ローカルグループ, ディレクトリ
18
Guestsグループ
・Guestsアカウントを使用したログオン及び「 ① 」の付与
・Guestsグループのメンバは、以下の操作が可能
●Administratorsグループが追加の権利と「 ② 」を与える。
●ワークステーションのシステムの「 ③ 」ができる。
制限付きの権利, アクセス許可, シャットダウン
19
Replicatorグループ
・ドメインコントローラがレプリケーション(複製)で使用
全てのドメインコントローラで同じ情報を保持するよう「 ① 」を複製
・実際のユーザアカウントをこのグループに追加しない
ドメインコントローラ同士の複製は、機能として動作するので、「 ② 」は不必要
管理用データベース, ユーザーの追加
20
Active Directoryとは
Windows2000以降のドメインで採用されたディレクトリサービス
※ディレクトリサービス
システムにおけるさまざまな資源(「 ① 」、「 ② 」、 「 ③ 」など)の情報を格納し、
ユーザーやアプリケーションがそれらの資源を利用できるようにするためのサービス
Active Directoryの構成要素
・「 ④ 」:ディレクトリで管理できる対象の最小単位
・「 ⑤ 」:他のオブジェクトを含むことができる特殊な「 ④ 」
ユーザー, グループ, 共有フォルダー, オブジェクト, コンテナオブジェクト
21
ワークグループ
・アカウント情報を「 ① 」ごとに管理するネットワーク形態
・ほかのコンピュータのアカウント情報を利用したログオンは「 ② 」
・ドメインコントローラ環境と比較し、「 ③ 」で導入が可能
コンピューター, 不可, 低コスト
22
ドメイン
・ドメインコントローラにより、「 ① 」を集中して管理するネットワーク形態
・アカウント情報はドメインコントローラのみで管理すればよいので、効率の良いアカウント管理が可能
→「 ② 」なネットワーク向け
アカウント情報, 大規模
23
ドメインツリー
・ルートドメインの配下に複数のドメインが階層化で構成されている形態
・各ドメイン同士が「 ① 」で結ばれており、必ず「 ② 」で構成
信頼関係, 連続した名前
24
Administrator
・システムに対する全権限を持った管理者用アカウント
セキュリティを含めた全ての環境変更が可能
・同等の権限を持った別のアカウント作成は「 ① 」だが、
セキュリティを考慮した場合、管理者は努めて「 ② 」とし、
その他のユーザは、適切なアクセス制限を加えた形態をとる。
可能, 限定した少数
25
管理者権限でログインしている間にRATに感染した場合の脅威
・HDドライブの「 ① 」
・「 ② 」の削除
・管理者のアクセス許可を持つ新しいユーザーアカウントの作成
したがって、通常自分自身のユーザーは「 ③ 」グループに追加
管理者権限が必要な場合は、その都度権限を昇格させる。
権限昇格方法
・管理者として実行(「 ④ 」)
・「 ⑤ 」(UAC)
再フォーマット, 全ファイル, Users, セカンダリログオン, ユーザーアカウント制御
26
Administratorsグループ
管理者アクセスが必要な操作
・オペレーティングシステムと「 ① 」のインストール
(ハードウェアドライバ、システムサービスなど)
・Service Packのインストール
・オペレーティングシステムのアップグレード
・オペレーティングシステムの「 ② 」
・重要なオペレーティングシステムの「 ③ 」の構成
(「 ④ 」、アクセス制御、監査ポリシー、カーネルモードドライバなど)
・アクセス不能になったファイル所有権の取得
・セキュリティログと監査ログの管理
・システムのバックアップと復元
コンポーネント, 復元, パラメータ, パスワードポリシー
27
設定が可能な項目とデフォルト値
パスワード履歴を記録する:「 ① 」回
複雑さの要件を満たす必要があるパスワード:「 ② 」
0, 無効
28
管理共有とは
システムのインストールにより自動的に作成される共有で、管理者権限を持つユーザ名とパスワードでアクセスすると、全てのドライブを「 ① 」として扱うことが可能
共有フォルダ
問題一覧
1
初期状態のWindowsシステムが抱える問題点について適切な処置の組み合わせを解答してください。
問題点
・ビルトインアカウント(Administrator,Guest)の存在
処置 → 「 ① 」
使用しない、無効、アカウントロック
2
初期状態のWindowsシステムが抱える問題点について適切な処置の組み合わせを解答してください。
問題点
・不必要なコンポーネントがインストールされている。
処置 → 「 ② 」
不必要なコンポーネントを消す
3
初期状態のWindowsシステムが抱える問題点について適切な処置の組み合わせを解答してください。
問題点
・ディレクトリ/ファイルアクセス権の不備(everyoneに「フルコントロール」権限)
処置 → 「 ③ 」
everyoneの権限を削除
4
初期状態のWindowsシステムが抱える問題点について適切な処置の組み合わせを解答してください。
問題点
・監査ログ収集の不備、アクセスログの未収集
処置 → 「 ④ 」
適切に収集するように設定を変える
5
初期状態のWindowsシステムが抱える問題点について適切な処置の組み合わせを解答してください。
問題点
・管理共有、イベントログ、パフォーマンスモニタ
処置 → 「 ⑤ 」
管理共有の使用停止 イベントログの取得設定
6
Windowsコンピュータ同士をネットワークで接続する技術は、「 ① 」と「 ② 」の2種類があり、その接続の違いやユーザ管理の容易性、効率性からユーザの管理方法も区分され、ユーザーの呼び方も変わっています。
ワークグループ, ドメイン
7
ワークグループ
ユーザー作成:「 ① 」ごとに個別作成
ユーザー管理:端末のローカルで管理 ※ユーザーを管理するファイル、「 ② 」ファイル
コンピュータ, SAM
8
ドメイン
ユーザー作成:「 ① 」と呼ばれるサーバ(「 ② 」)で作成
ユーザー管理:「 ① 」で集中的に一元管理
ドメインコントローラ, Active Directory
9
コンピュータごとに作成し、端末で管理するユーザーは何ですか。
ローカルユーザー
10
Active Directoryで作成されるユーザーを何というか。
ドメインユーザー
11
Windowsをインストールした際に自動的に作成されるアカウントを何というか。
ビルトインユーザーアカウント
12
Administratorアカウント
・初めてワークステーションやメンバサーバを設定するときに使用
OSインストール完了後から使用するアカウントで、別のアカウントを作成するまで使用される
ことから、「 ① 」Administratorアカウントや、「 ① 」管理者とも呼ばれる。
・「 ② 」グループのメンバ
・自アカウントの「 ③ 」、「 ② 」グループからの削除は不可
・自アカウントの「 ④ 」は可能
ビルトイン, Administrators, 削除, 無効化
13
Guestアカウント
・コンピュータ上に実際のアカウントを持っていないユーザーが使用
・「 ① 」は要求されない。
・既定では無効→有効にできる。
・「 ② 」と「 ③ 」の設定ができる。
・「 ④ 」グループのメンバ
パスワード, 権利, アクセス権, Guests
14
ビルトイングループ
・「 ① 」グループ
・Backup Operatorsグループ
・「 ② 」グループ
・「 ③ 」グループ
・Replicatorグループ
Administrators, Users, Guests
15
Administratorsグループ
・最大の既定の「 ① 」を持つ。
・自身の「 ① 」を変更できる。
アクセス許可
16
Backup Operatorsグループ
ファイルを保護しているアクセス許可に関わらず、ファイルのバックアップと「 ① 」を行う。
[可能]ログオンと[ ② 」
[不可能]「 ③ 」の設定
復元, シャットダウン, セキュリティ
17
Usersグループ
[可能]
・一般的なほとんどの作業を実行
●「 ① 」と「 ② 」の使用
●「 ③ 」のシャットダウンとロック
・「 ④ 」の作成
・自分で作成した「 ④ 」の変更
[不可]
・「 ⑤ 」の共有
・「 ① 」の作成
ローカルプリンター, ネットワークプリンター, ワークステーション, ローカルグループ, ディレクトリ
18
Guestsグループ
・Guestsアカウントを使用したログオン及び「 ① 」の付与
・Guestsグループのメンバは、以下の操作が可能
●Administratorsグループが追加の権利と「 ② 」を与える。
●ワークステーションのシステムの「 ③ 」ができる。
制限付きの権利, アクセス許可, シャットダウン
19
Replicatorグループ
・ドメインコントローラがレプリケーション(複製)で使用
全てのドメインコントローラで同じ情報を保持するよう「 ① 」を複製
・実際のユーザアカウントをこのグループに追加しない
ドメインコントローラ同士の複製は、機能として動作するので、「 ② 」は不必要
管理用データベース, ユーザーの追加
20
Active Directoryとは
Windows2000以降のドメインで採用されたディレクトリサービス
※ディレクトリサービス
システムにおけるさまざまな資源(「 ① 」、「 ② 」、 「 ③ 」など)の情報を格納し、
ユーザーやアプリケーションがそれらの資源を利用できるようにするためのサービス
Active Directoryの構成要素
・「 ④ 」:ディレクトリで管理できる対象の最小単位
・「 ⑤ 」:他のオブジェクトを含むことができる特殊な「 ④ 」
ユーザー, グループ, 共有フォルダー, オブジェクト, コンテナオブジェクト
21
ワークグループ
・アカウント情報を「 ① 」ごとに管理するネットワーク形態
・ほかのコンピュータのアカウント情報を利用したログオンは「 ② 」
・ドメインコントローラ環境と比較し、「 ③ 」で導入が可能
コンピューター, 不可, 低コスト
22
ドメイン
・ドメインコントローラにより、「 ① 」を集中して管理するネットワーク形態
・アカウント情報はドメインコントローラのみで管理すればよいので、効率の良いアカウント管理が可能
→「 ② 」なネットワーク向け
アカウント情報, 大規模
23
ドメインツリー
・ルートドメインの配下に複数のドメインが階層化で構成されている形態
・各ドメイン同士が「 ① 」で結ばれており、必ず「 ② 」で構成
信頼関係, 連続した名前
24
Administrator
・システムに対する全権限を持った管理者用アカウント
セキュリティを含めた全ての環境変更が可能
・同等の権限を持った別のアカウント作成は「 ① 」だが、
セキュリティを考慮した場合、管理者は努めて「 ② 」とし、
その他のユーザは、適切なアクセス制限を加えた形態をとる。
可能, 限定した少数
25
管理者権限でログインしている間にRATに感染した場合の脅威
・HDドライブの「 ① 」
・「 ② 」の削除
・管理者のアクセス許可を持つ新しいユーザーアカウントの作成
したがって、通常自分自身のユーザーは「 ③ 」グループに追加
管理者権限が必要な場合は、その都度権限を昇格させる。
権限昇格方法
・管理者として実行(「 ④ 」)
・「 ⑤ 」(UAC)
再フォーマット, 全ファイル, Users, セカンダリログオン, ユーザーアカウント制御
26
Administratorsグループ
管理者アクセスが必要な操作
・オペレーティングシステムと「 ① 」のインストール
(ハードウェアドライバ、システムサービスなど)
・Service Packのインストール
・オペレーティングシステムのアップグレード
・オペレーティングシステムの「 ② 」
・重要なオペレーティングシステムの「 ③ 」の構成
(「 ④ 」、アクセス制御、監査ポリシー、カーネルモードドライバなど)
・アクセス不能になったファイル所有権の取得
・セキュリティログと監査ログの管理
・システムのバックアップと復元
コンポーネント, 復元, パラメータ, パスワードポリシー
27
設定が可能な項目とデフォルト値
パスワード履歴を記録する:「 ① 」回
複雑さの要件を満たす必要があるパスワード:「 ② 」
0, 無効
28
管理共有とは
システムのインストールにより自動的に作成される共有で、管理者権限を持つユーザ名とパスワードでアクセスすると、全てのドライブを「 ① 」として扱うことが可能
共有フォルダ