Cisco Unity セキュリティ ガイド Microsoft Exchange版 Release 5.x
Cisco Unity サーバ上の Microsoft ソフトウェアの保護
Cisco Unity サーバ上の Microsoft ソフトウェアの保護
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Cisco Unity サーバ上の Microsoft ソフトウェアの保護

SQL Server 2000 および MSDE 2000 の保護

MSDE 2000 の追加インスタンスの保護

Internet Explorer の保護

IIS の保護

IIS 設定ガイドラインの遵守

Internet Information Services Lockdown Wizard および URLScan ツールの使用方法

Microsoft メッセージ キューの保護

Exchange の保護

サービス パックとセキュリティ アップデートのインストール

Cisco Unity サーバ上の Microsoft ソフトウェアの保護

この章では、Cisco Unity サーバにインストールされるソフトウェアに関係する潜在的なセキュリティの問題について説明します。また、実施する必要のある作業、さまざまな決定を支援するための推奨事項、決定した事項による影響、および多くのケースについてベスト プラクティスを示します。

Cisco Unity の稼働環境には、ユーザにサービスを提供するために必要なすべてのサードパーティ コンポーネントが含まれています。これらのコンポーネントは、主に Microsoft の製品で構成されます。ただし、Intel Dialogic ソフトウェアなどの他のサードパーティ製品もインストールされている場合があります。このマニュアルの執筆時点では、次の Microsoft 製品が Cisco Unity 稼働環境の必須コンポーネントとなっています。

Windows Server 2003 または Windows 2000 Server(最新の推奨サービス パックおよびアップデートを適用したもの)

インターネット インフォメーション サービス(IIS)5.0(Windows 2000 Server の場合)および IIS 6.0(Windows Server 2003 の場合)

Internet Explorer(IE)6.0 Service Pack 1 および最新の推奨アップデート

Microsoft メッセージ キュー 2.0

MSXML 3.0 Service Pack 1

Microsoft .NET Framework 1.1

SQL Server 2000 または MSDE 2000 Service Pack 3a、および最新の推奨アップデート

Exchange 2003 または Exchange 2000(最新の推奨サービス パックおよびアップデートを適用したもの)

Cisco Unity 稼働環境に含まれているコンポーネントは、それぞれがセキュリティ上のリスクになります。コンポーネントのセキュリティが侵害された場合、Cisco Unity の動作の安定性と効率が失われる可能性があるためです。デフォルトでは、これらのコンポーネントのほとんどは最小限のセキュリティが適用された状態でインストールされています。Cisco Unity の新規インストールの実行中または実行後に、以降の項で示すガイドラインを使用し、さらに適切な『Cisco Unity インストレーション ガイド』
http://www.cisco.com/en/US/products/sw/voicesw/ps2237/prod_installation_guides_list.html から入手可能)を参照して、Cisco Unity 稼働環境のセキュリティを強化してください。

詳細な最新情報については、次のドキュメントを参照してください。

Cisco Unity 稼働環境のコンポーネントについては、『 Cisco Unity システム要件 』を参照してください。このドキュメントは、
http://www.cisco.com/en/US/products/sw/voicesw/ps2237/prod_installation_guides_list.html から入手可能です。

推奨されるサービス パックおよびアップデートについては、『 Cisco Unity および Cisco Unity Bridge における推奨およびサポートされるサービスパックとアップデート 』を参照してください。このドキュメントは、
http://www.cisco.com/en/US/products/sw/voicesw/ps2237/products_device_support_tables_list.html から入手可能です。

詳細については、次の項を参照してください。

「SQL Server 2000 および MSDE 2000 の保護」

「Internet Explorer の保護」

「IIS の保護」

「Microsoft メッセージ キューの保護」

「Exchange の保護」

「サービス パックとセキュリティ アップデートのインストール」

SQL Server 2000 および MSDE 2000 の保護

SQL Server 2000 または MSDE 2000 は、バックエンド データベースとして使用するために Cisco Unity サーバにインストールされます。どちらも、他の用途には使用しないでください。

ベスト プラクティス

SQL Server 2000 または MSDE 2000 を Cisco Unity サーバにインストールするときは、次のセキュリティ ガイドラインに従ってください。

SQL Server 2000 をインストールするときは、[Windows 認証モード]を選択します(『Cisco Unity インストレーション ガイド』を参照)。

SQL Server のサービスは、ドメイン ユーザ アカウントと Local System アカウントのいずれかを使用して実行できますが、デフォルトの Local System アカウントを使用することをお勧めします(Cisco Unity フェールオーバーを設定する場合は、SQL Server のサービスがログオンに使用するアカウントをドメイン アカウントに変更する必要があります。このアカウントは、サービスとしてログオンする権限を持っていて、ローカルの Administrators グループに所属しているものにします。この変更を実施するタイミングおよび方法については、『Cisco Unity インストレーション ガイド』を参照してください)。

SQL 管理者(SA)アカウントにパスワードを割り当てます。

パスワードを書き留めて、安全な場所に保管します。

SQL Server 2000 へのクライアント アクセスを制限します。

SQL Server 2000 のディレクトリ、フォルダ、およびファイルへのアクセスを許可するのは、Cisco Unity のサービス アカウントと、システム管理者が使用する高レベル特権付きのアカウントだけにします。Cisco Unity のインストール プロセスは、自身のローカル Administrators グループ メンバーシップを利用して SQL Server 2000 にアクセスできます。

デフォルトの Northwind データベースと Pubs データベースは、接続解除します。

MSDE 2000 の追加インスタンスの保護

Cisco Unity サーバにインストールした SQL Server 2000 または MSDE 2000 は、『Cisco Unity インストレーション ガイド』の手順に従ってインストールした場合、W32.Slammer ワームなどのウィルスから保護されます。ただし、サードパーティ アプリケーション(Dell OpenManage IT Assistant、Hewlett-Packard Insight Manager、Hewlett-Packard OpenView、VERITAS Backup Exec、VERITAS NetBackup など)によってインストールされる MSDE 2000 データベースは、脆弱な状態のままになっている可能性があります。詳細については、テクニカル ノート『 Cisco Unity 3.x and 4.0 Are Vulnerable to W32.Slammer Worm 』の「Detecting and Patching Additional Instances of MSDE on the Cisco Unity Server」の項を参照してください。このドキュメントは、
http://www.cisco.com/en/US/customer/products/sw/voicesw/ps2237/products_tech_note09186a008013435f.shtml から入手可能です。

Internet Explorer の保護

Cisco Unity サーバには、Internet Explorer(IE)6.0 Service Pack 1 以降をインストールする必要があります。

ベスト プラクティス

Cisco Unity サーバ上で IE を使用するのは、Cisco Unity の管理作業を行う場合だけにして、他の用途には使用しないでください。

次の「悪意のあるスクリプトへの接触を削減する」の手順を実行して、システムが Blaster や Nachi ウィルスなどのワームに接触する機会を削減します。Blaster ウィルスへの接触の防止、およびこのウィルスからの回復の詳細については、Microsoft サポート技術情報の記事 826955 を参照してください。

悪意のあるスクリプトへの接触を削減する


ステップ 1 Cisco Unity サーバ上で、Internet Explorer を起動します。

ステップ 2 [ツール] >[インターネット オプション] をクリックします。

ステップ 3 [セキュリティ] タブをクリックします。

ステップ 4 すべての Web コンテンツ ゾーン([インターネット]、[ローカル イントラネット]、[信頼済みサイト]、および[制限付きサイト])のスクリプト設定を次のように変更します。

a. 対象となる Web コンテンツ ゾーンのアイコンをクリックします。

b. [レベルのカスタマイズ] をクリックします。

c. [セキュリティ設定]ダイアログボックスの[スクリプト]セクションにある[スクリプトによる貼り付け処理の許可]で、 [ダイアログを表示する] をクリックします。

d. 同様に、[スクリプト]セクションの[Java アプレットのスクリプト]で、 [ダイアログを表示する] をクリックします。

e. [OK] をクリックします。

f. 残りの Web コンテンツ ゾーンについて、ステップ 4a.ステップ 4e. を繰り返します。

ステップ 5 [OK] をクリックします。

ステップ 6 Internet Explorer を終了します。


 

IIS の保護

次の「IIS 設定ガイドラインの遵守」の項のガイドラインに従って、Cisco Unity サーバにインストールされている IIS 5.0 を保護します。Cisco Unity アプリケーションのインストールは、保護が完了した後に実行します。また、「Internet Information Services Lockdown Wizard および URLScan ツールの使用方法」に示した追加の参考情報も参照してください。これらのプログラムは、インストールの完了後に使用できます。

IIS 設定ガイドラインの遵守

IIS 5.0 の最新の累積的アップデート パッチがインストールされていることを確認してください。「Windows の保護」で説明した方法に従ってオペレーティング システムをインストールまたはアップデートした場合は、デフォルト設定を削除して IIS 5.0 を保護します。また、次のガイドライン(出典は、Microsoft TechNet Web サイトで入手可能な「 Secure Internet Information Services 5 Checklist 」)に従って、Cisco Unity サーバ上の IIS を設定します。


注意 この項のガイドラインに従っていない場合、Cisco Unity の Web サーバ コンポーネントが動作不能になる可能性があります。

サンプルのファイル、フォルダ、および Web アプリケーションを削除します。

サンプルのファイル、フォルダ、および Web アプリケーションの削除については、Microsoft からの推奨事項に従います。

Cisco Unity の Web コンポーネントを保護します。

Microsoft からの推奨事項に従いますが、例外が 1 つあります。Cisco Unity のディレクトリ、フォルダ、およびファイルに対する[フル コントロール]アクセスを許可するのは、Cisco Unity のサービス アカウントとローカルのサーバ管理者グループだけにします。

デフォルトの IIS COM オブジェクトをすべて無効にします。

不要な COM コンポーネントに関する Microsoft からの推奨事項に従いますが、例外が 1 つあります。File System Object(FSO)は無効にしないでください。

使用しないスクリプト マッピングを削除します。

Cisco Unity が使用するスクリプト マッピングは、ASA と ASP だけです。Microsoft からの推奨事項に従って、これ以外の使用しないスクリプト マッピングをすべて削除します。

親パスのオプションは無効にしないでください。

親パスに関する Microsoft からの推奨事項には従わないでください。デフォルトでは、親パスのオプションは有効になっています。Cisco Unity サーバ上でもデフォルトのままにする必要があります。

Internet Information Services Lockdown Wizard および URLScan ツールの使用方法

Microsoft Internet Information Services Lockdown Wizard および URLScan ツールを使用して、IIS サーバのセキュリティを強化することができます。


注意 このマニュアルの次の手順および 「IIS 設定ガイドラインの遵守」で説明した以外の方法で IIS の設定を変更した場合、Cisco Unity が正常に機能しなくなる可能性があります。

Microsoft Internet Information Services Lockdown Wizard を使用して IIS サーバのセキュリティを強化する


ステップ 1 Internet Information Services Lockdown Wizard を Microsoft Technet の Web サイトからダウンロードし、IIS サーバにインストールします(このウィザードは、Microsoft の Web サイトで「Internet Information Services Lockdown Tool」を検索すると見つかります)。

ステップ 2 Internet Information Services Lockdown Wizard を実行します。

ステップ 3 画面に表示される指示に従って、[Select Server Template]ページを表示します。

ステップ 4 [Select Server Template]ページで、 [Exchange Server 2000 (OWA, PF Management, IM, SMTP, NNTP)] をクリックします。

ステップ 5 [View Template Settings] チェックボックスをオンにし、 [次へ] をクリックします。

ステップ 6 [Internet Services]ページで、次のチェックボックスをオンにします。

[Web Service (HTTP)]

[E-Mail Service (SMTP)]

[News Service (NNTP)]

ステップ 7 [次へ] をクリックします。

ステップ 8 [Script Maps]ページで、次の手順を実行します。

a. [Active Server Pages (.asp)] チェックボックスをオフにします。

b. 他のチェックボックスをすべてオンにします。

c. [次へ] をクリックします。

ステップ 9 [Additional Security]ページでは、すべての設定をそのままにします。

ステップ 10 [次へ] をクリックします。

ステップ 11 [URL Scan]ページで、 [Install URLScan Filter on the Server] チェックボックスをオンにし、 [次へ] をクリックします。

ステップ 12 [Ready to Apply Settings]ページで、 [次へ] をクリックします。

ステップ 13 セキュリティ設定の適用が完了した後は、 [次へ] をクリックし、 [完了] をクリックします。


 

Microsoft メッセージ キューの保護

Microsoft メッセージ キュー(MSMQ)2.0 は、Active Directory に対する変更を検出する Cisco Unity サービスと、それらの変更を SQL Server データベースに書き込むサービスの仲介者として機能します。

ベスト プラクティス

MSMQ のローカル使用専用のデフォルト設定は変更しないでください。

Exchange の保護

Cisco Unity の構成に応じて、Cisco Unity サーバ上に Exchange をインストールすることも、別のサーバ上の Exchange にアクセスするように Cisco Unity サーバを設定することもできます。Exchange を使用するための要件の詳細については、『 Cisco Unity システム要件 』を参照してください。このドキュメントは、
http://www.cisco.com/en/US/products/sw/voicesw/ps2237/prod_installation_guides_list.html から入手可能です。

ベスト プラクティス

Exchange をどの場所にインストールするかにかかわらず、Exchange の保護に関する Microsoft からの推奨事項に従います。

サービス パックとセキュリティ アップデートのインストール

ベスト プラクティス

Cisco Unity および Cisco Unity Bridge における推奨およびサポートされるサービスパックとアップデート 』に記載されている Microsoft サービス パックおよびアップデートを使用して、Cisco Unity サーバを定期的にアップデートします。このドキュメントは、
http://www.cisco.com/en/US/products/sw/voicesw/ps2237/products_device_support_tables_list.html から入手可能です。

Microsoft Security Notification Service に登録します。このサービスでは、セキュリティ関連のソフトウェア アップデートへのリンクが提供されます。詳細については、Microsoft の Web サイトを参照し、「Microsoft technical security notifications」を検索してください。