Cisco Unity セキュリティ ガイド IBM Lotus Domino版 Release 5.x
Cisco Unity のサーバおよびオペレー ティング システムの保護
Cisco Unity のサーバおよびオペレーティング システムの保護
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 795KB) | フィードバック

目次

Cisco Unity のサーバおよびオペレーティング システムの保護

物理サーバの保護

Windows の保護

Windows 2000 Server の監査ポリシーとユーザ権利

Windows 2000 Server のイベント ログ設定の変更

CommServer ディレクトリにあるファイルの許可の変更

Cisco Unity サーバ上のサービスのスタートアップの種類の変更

TCP/UDP ポートの保護

Cisco Unity のサーバおよびオペレーティング システムの保護

この章では、物理サーバと Windows の保護に関係する潜在的なセキュリティの問題について説明します。また、実施する必要のある作業、さまざまな決定を支援するための推奨事項、およびいくつかのベスト プラクティスを示します。

この章の推奨事項に従って、Cisco Unity の物理サーバおよびオペレーティング システムを保護してください。

詳細については、次の項を参照してください。

「物理サーバの保護」

「Windows の保護」

「Windows 2000 Server の監査ポリシーとユーザ権利」

「Windows 2000 Server のイベント ログ設定の変更」

「CommServer ディレクトリにあるファイルの許可の変更」

「Cisco Unity サーバ上のサービスのスタートアップの種類の変更」

「TCP/UDP ポートの保護」

物理サーバの保護

物理ユニットを不正アクセスから保護するためのベスト プラクティスは、CERT Coordination Center(CERT/CC)の Web サイトで参照できます。CERT のサイトで、「CERT Security Improvement Modules」の「Practices About Hardening and Securing Systems」の項を参照してください。

Windows の保護

Windows 2000 Server システムのインストールおよび保護については、Microsoft がさまざまな推奨事項を示しています。詳細については、次の項目を参照してください。

Microsoft Web サイトでから入手可能な記事「Installing and Securing a New Windows 2000 System」

Microsoft のセキュリティ ホーム ページにある、Windows 2000 Server のセキュリティ強化と保護に関する最新のガイド、および「 IIS 5.0 Baseline Security Checklist

既存の Windows 2000 Server インストール環境に脆弱性がないかどうかを確認するには、次の作業を行います。

サポートされる最新のサービス パック、およびすべての Microsoft 推奨アップデートがサーバにインストールされていることを確認します(サポートされるサービス パックおよび推奨アップデートの一覧については、『 Cisco Unity および Cisco Unity Bridge における推奨およびサポートされるサービスパックとアップデート 』を参照してください。このドキュメントは、
http://www.cisco.com/en/US/products/sw/voicesw/ps2237/products_device_support_tables_list.html から入手可能です)。

Microsoft TechNet Web サイトで、既存 Windows 2000 Server システムの保護に関する最新情報を検索します。

Cisco Unity サーバには、セキュリティ ポリシーを適用することができます。ただし、Cisco Unity のインストールが完了するまでは適用しないでください。セキュリティ ポリシーおよびその適用方法の詳細については、Microsoft の Web サイトまたは Windows のヘルプを参照してください。

セキュリティ テンプレートの中には、適用すると Cisco Unity が動作不能になるものがあります。セキュリティ テンプレートを適用する場合は、次の「Windows 2000 Server の監査ポリシーとユーザ権利」の項で説明する推奨セキュリティ設定が使用されていることを最初に確認してください。これらの設定では、Cisco Unity サーバの機能をすべて維持することができます。

Windows 2000 Server の監査ポリシーとユーザ権利

Cisco Unity サーバへのアクセスが発生した日時とアクセス方法を追跡し、Cisco Unity サーバへのアクセスを制限するには、 表1-1 に示した Windows 2000 Server 推奨設定を使用します。これらの設定を変更するには、[ローカル セキュリティ ポリシー]MMC を使用します(Windows の[スタート]メニューで、[プログラム] >[管理ツール] >[ローカル セキュリティ ポリシー]をクリックします)。

ベスト プラクティス

サイトにセキュリティ ポリシーがすでに導入されている場合は、次のポリシー設定を再確認して、Cisco Unity サーバを保護するための設定作業がさらに必要かどうかを判断してください。

 

表1-1 Windows 2000 Server での推奨ローカル セキュリティ ポリシー:監査ポリシーとユーザ権利

設定
推奨値

[アカウント ログオン イベントの監査]

[失敗]

[アカウント管理の監査]

[成功]、[失敗]

[ディレクトリ サービスのアクセスの監査]

[失敗]

[ログオン イベントの監査]

[失敗]*

[オブジェクト アクセスの監査]

[監査しない]*

[ポリシーの変更の監査]

[成功]、[失敗]

[特権使用の監査]

[失敗]*

[システム イベントの監査]

[監査しない]*

[オペレーティング システムの一部として機能]

Cisco Unity のインストールに使用したアカウント*

[ネットワーク経由でコンピュータへアクセス]

Backup Operators、Power Users、Users、Administrators、<サーバ名>\IWAM、<ドメイン名>\ISUR_<サーバ名>

[システムのシャットダウン]

Backup Operators、Administrators

* この推奨値はデフォルト値と同一です。

Windows 2000 Server のイベント ログ設定の変更

イベント ログ エントリが上書きされないようにし、イベント ログへのアクセスを制限するには、 表1-2 に示した推奨設定を使用します。これらの設定を変更するには、[ローカル セキュリティ ポリシー]MMC を使用します(Windows の[スタート]メニューで、[プログラム] >[管理ツール] >[ローカル セキュリティ ポリシー]をクリックします)。

 

表1-2 Windows 2000 Server のイベント ログの推奨設定

設定
推奨値

[アプリケーション ログの最大サイズ]

8192 KB 以上

[セキュリティ ログの最大サイズ]

8192 KB

[システム ログの最大サイズ]

8192 KB

[アプリケーション ログのゲスト アクセスの制限]

[有効]

[セキュリティ ログのゲスト アクセスの制限]

[有効]

[システム ログのゲスト アクセスの制限]

[有効]

[システム ログの保存日数]

14 日

[アプリケーション ログの保存方法]

[必要時]*

[セキュリティ ログの保存方法]

[必要時]

* この推奨値はデフォルト値と同一です。

CommServer ディレクトリにあるファイルの許可の変更

Cisco Unity のセットアップを実行すると、Cisco Unity のインストール先ディレクトリ(デフォルトでは CommServer)にあるすべてのファイルに対して、[Everyone]に[フル コントロール]許可が付与されます。これらの許可を変更することはサポートされません。


注意 このディレクトリにあるファイルの許可を変更した場合、Cisco Unity が正常に動作しなくなる可能性があります。

Cisco Unity サーバ上のサービスのスタートアップの種類の変更

表1-3 に示したサービスについては、スタートアップの種類が推奨値に設定されている必要があります。この設定は[サービス]MMC で変更できます(Windows の[スタート]メニューで、[プログラム] >[管理ツール] >[サービス]をクリックします)。アスタリスク(*)が付いている推奨値は、デフォルト値と同一です。

 

表1-3 [サービス]の設定

設定
推奨されるスタートアップの種類

Alerter

[無効]

Application Management

[手動]*

Automatic Updates

[自動]*

Background Intelligent Transfer Service

[手動]*

Clipbook

[無効]

COM+ Event System

[手動]*

Computer Browser

[無効]

CsBridgeConnector

[手動]*

DHCP Client

[無効]

Distributed File System

[無効]

Distributed Link Tracking Client

[無効]

Distributed Link Tracking Server

[無効]

Distributed Transaction Coordinator

[自動]*

DNS Client

[自動]*

DNS Server

使用している場合は[自動]*、その他の場合は[無効]

Event Log

[自動]*

Fax Service

[無効]

File Replication Service

[自動]*

IIS Admin Service

[自動]*

Indexing Service

[手動]*

Internet Connection Sharing

[無効]

Intersite Messaging

[自動]*

IPSEC Policy Agent

[自動]*

Kerberos Key Distribution Center

[自動]*

License Logging Service

[無効]

Logical Disk Manager

[自動]*

Logical Disk Manager Administrative Service

[手動]*

Message Queuing

[自動]*

Messenger

[無効]

Microsoft Search

[自動]*

MSSQLSERVER

[自動]*

MSSQLServerADHelper

[手動]*

Net Logon

[自動]*

NetMeeting Remote Desktop Sharing

[無効]

Network Connections

[手動]*

Network DDE

[手動]*

Network DDE DSDM

[手動]*

Network News Transport Protocol (NNTP)

[無効]

NT LM Security Support Provider

[手動]*

Performance Logs and Alerts

[手動]*

Plug and Play

[自動]*

Print Spooler

[無効]

Protected Storage

[自動]*

QoS RSVP

[手動]*

Remote Access Auto Connection Manager

[無効]

Remote Access Connection Manager

[無効]

Remote Procedure Call (RPC)

[自動]*

Remote Procedure Call (RPC) Locator

[自動]*

Remote Registry Service


注意 Cisco Unity をインストールする場合、およびフェールオーバーを設定する場合は、Remote Registry Service を有効にする必要があります。Cisco Unity のインストールまたはフェールオーバーの設定が完了した後は、このサービスをすぐに無効にしてください。

[無効]

Removable Storage

[自動]*

Routing and Remote Access

[無効]*

RunAs Service

[自動]*

Security Accounts Manager

[自動]*

Server

[自動]*

Simple Mail Transport Protocol (SMTP)

[無効]

Smart Card

[手動]*

Smart Card Helper

[手動]*

SQLSERVERAGENT

[自動]*

System Event Notification

[自動]*

Task Scheduler

[自動]*

TCP/IP NetBIOS Helper Service

[自動]*

Telephony

[手動]*

Telnet

[無効]*

Terminal Services

[自動]*

Uninterruptible Power Supply

[手動]*

Utility Manager

[手動]*

Windows Installer

[手動]*

Windows Management Instrumentation

[自動]*

Windows Management Instrumentation Driver Extensions

[手動]*

Windows Time

[自動]*

Workstation

[自動]*

World Wide Web Publishing Service

[自動]*

* この推奨値はデフォルト値と同一です。

TCP/UDP ポートの保護

「Cisco Unity で必要となる IP 通信」 の章に、Cisco Unity および関連サーバで使用される TCP ポートと UDP ポートの一覧が記載されています。この情報は、宛先ポートとプロトコルをキューイング条件として使用して、ファイアウォールおよび QoS(Quality Of Service)を設定する場合に役立ちます(Cisco Unity は、音声トラフィック以外のトラフィックには DSCP 値を割り当てません)。

ファイアウォールまたはその他のネットワーク トラフィック フィルタリング メカニズムを Cisco Unity サーバと Domino サーバの間に配置する場合は、Cisco Unity ユーザを登録した Domino サーバの TCP ポート 1352 と 2284 への接続を Cisco Unity で確立し、維持できる必要があります。


) サポートされているサードパーティ ハードウェアの関連ソフトウェア コンポーネントや、サポートされているサードパーティ アプリケーション(ウィルス対策ソフトウェアやバックアップ ソフトウェアなど)を Cisco Unity サーバにインストールする場合は、この他のポートを開く必要が生じることがあります。詳細については、製造元またはソフトウェア開発元のドキュメントを参照してください。


プロトコルおよびサービスは、DCOM、MAPI 通知、および RTP を除いて、すべて静的ポートを使用します。DCOM で使用されるポートを所定の範囲に限定する方法については、「DCOM によるダイナミック ポート割り当ての制限」を参照してください。