サーバーのセキュリティ計画

サーバーの役割日

論理コンポーネントの物理的なハードウェアおよびネットワークに必要な多くの機能を提供するためのネットワークなど、接続性、ルーティングおよびスイッチング機能により、ネットワークセキュリティ、およびアクセス制御します。ネットワークインフラストラクチャに存在するのは、必要に応じてサーバーの前にこれをサポートするサービスとアプリケーションが必要とされてユーザは、ネットワーク環境に展開しています。 Windows Server 2003の間では、多くの機能やツールとされているコンピュータをインストールするときに、追加機能を実装する必要がサーバー上にあると機能を提供するサービスや能力を要求される組織とそのユーザです。
Windows Server 2003に来たの導入サーバーの役割です。サーバーの役割グループに関連した管理タスクを実行して、特定の機能が使用され、または機能を提供し、ネットワークへのデザインです。 Windows Server 2003では、サーバーを構成する場合、特定のサーバーの役割を、いくつかの追加のサービス、機能、およびツールがインストールさを指定します。このように、サーバーをセットアップするのに必要なサービスを提供するのがユーザーに表示されます。サーバーを設定することも多くの役割を実行する。は、サーバーが実行中のアプリケーションを指定して、特定のサーバーの役割をします。

は、いくつかのサーバーの役割は次のとおりです。 Windows Server 2003では、別のサーバーには、いくつかの役割を構成することができますサーバーの構成ウィザードを使用して、お客様のサーバーの管理ユーティリティ：

ファイルサーバーの役割; 、ファイルサーバーの役割は責任を保存するためのデータをネットワークのユーザ、およびファイルのアクセスを提供するファイルサーバーに格納されています。ファイルサーバのファイルを有効に利用者の集中を格納する場所、およびユーザーを有効にすると、別のユーザーとファイルを共有します。
プリントサーバーの役割;この機能により、管理者の役割を構成するネットワーク印刷機能をネットワークと管理を、ネットワーク上の印刷機能です。プリントサーバーは、コンピュータでの印刷ドライバは、プリンタとの間に位置を管理するクライアントコンピュータで印刷します。プリントサーバーを管理するためのプリントキュー、および監査ログに記録することもできます。供給されたユーザーの印刷ジョブです。
アプリケーションサーバーの役割;のアプリケーションサーバーの役割では、ウェブ上のアプリケーションや、分散アプリケーションをユーザーに利用可能です。あるウェブサーバーに通常のコピーをするには、ワールドワイドウェブサイトをホストすることもウェブベースのアプリケーションに最適です。インターネットインフォメーションサービス6.0 （ IIS 6.0 ）のは、マイクロソフト社のウェブサーバーに統合し、管理を可能にするWebサイトを作成し、お客様の組織にします。 IISを介し、 Webサイトを作成することができますし、管理、および共有し、インターネットまたはイントラネット上で情報を配布します。 2003年のWindowsサーバーを導入し、来たが出現したインターネットインフォメーションサービス（ IIS ） 6 。
メールサーバーの役割;のメールサーバーの役割の電子メールサービスを提供し、ネットワークでは、必要に応じて機能を提供してユーザーの電子メールを送受信するメッセージを表示します。メールサーバの電子メールのデータストア、プロセスのクライアントの要求と受信、インターネットから受信する電子メールです。簡易メール転送プロトコル（ SMTP ）およびポストオフィスプロトコル3 （ 3 ）のTCP / IPベースのプロトコルをインストールするときに構成するには、メールサーバーの役割です。
ターミナルサーバーの役割;ターミナルサービスは、アプリケーションとして動作する能力をサーバーにリモートクライアントに接続し、セッションを実行しています。ターミナルサービスのサーバーに実行するアプリケーションに最適です。クライアントからの接続を確立するときに、ターミナルサービス、ターミナルサービスセッションを作成することは、クライアントのです。すべての処理は、ターミナルサービスのサーバーで処理されます。クライアントが使用する帯域幅を取るに足りないときに配下のネットワーク接続を確立する。
リモートアクセスサーバー/ VPNサーバー;は、 Windows Server 2003リモートアクセスとVPNサーバーの役割を使用してクライアント経由のリモートアクセスを提供するダイヤルアップ接続、または仮想プライベートネットワーク（ VPN ）。は、 Windows Server 2003ルーティングとリモートアクセスサービス（ RRAS ）サーバーでは、多くの機能と能力を、無線LANを含む無線LANルーティング、無線LANからWANルーティング、仮想プライベートネットワーク（ VPN ）のルーティング、ネットワークアドレス変換（ NAT ）ルーティング、 IPマルチキャストなどの機能追加のルーティングおよびパケットフィルタリング、およびDHCPのアドレスを割り当てることRRASのクライアントです。
ドメインコントローラの役割;を実行するコンピュータに、ドメインコントローラは、 Windows 2000またはWindows Server 2003が含まれているActive Directoryドメインのレプリカをディレクトリにコピーします。ドメインコントローラには、サーバーが格納さアクティブディレクトリのコピーを書き込み、およびActive Directoryのデータストアを保持します。アクティブディレクトリのドメインコントローラでも、ドメインの安全保障政策を維持する。ドメインコントローラのセキュリティを提供するドメインを認証するユーザーのログオン試行します。 特定の役割を割り当てることができるドメインおよびフォレストのドメインコントローラにします。割り当てられたドメインコントローラには特別なマスタの役割操作マスタと呼ばれています。これらのドメインコントローラを主催する特定のデータのコピーをマスターActive Directoryのです。また、データをコピーの残りの部分のドメインコントローラにします。のさまざまな種類のマスタの役割をどのように設定されているドメインコントローラは、スキーママスタの役割、ドメイン名前付けマスタの役割は、相対ID （ RID ）マスタの役割を、 PDCエミュレータの役割、およびインフラストラクチャマスタの役割です。これらの役割に加えて、グローバルカタログ（ GC ）サーバーの役割をすることも可能ドメインコントローラにインストールされています。グローバルカタログサーバーに格納する完全なレプリカのすべてのオブジェクトにそのホストドメイン、および、部分的な複製のオブジェクトのためのドメインの残りの部分で、森のです。それらのオブジェクトが含まれ、部分的な複製が頻繁に検索します。
DNSサーバーの役割;は、 DNSサーバーの役割のIPアドレスを解決するドメイン名、およびドメイン名をIPアドレスにします。 DNSサーバーがDNSサービスを実行するコンピュータにドメイン名を提供するサービスです。の情報は、 DNSサーバーは、 DNSのデータベースを参照して下さい関連の部分は、 DNSドメインツリー構造体または名前空間です。この情報を使用してレスポンスを使用してクライアントの要求を提供する名前解決します。権威のあるDNSサーバーがDNS名前空間の隣接部分は、それが置かれています。別のサーバーを構成することができますしてDNSサーバーの役割です。別のDNSサーバーの役割を構成することができますが、標準のプライマリDNSサーバーは、標準セカンダリDNSサーバーは、キャッシュ専用DNSサーバーは、マスタDNSサーバー、および動的なDNSサーバーです。
WINSサーバーの役割; WINSサーバーは、強化されたサーバーにNetBIOS名を解決するに設計されマイクロソフトNetBIOSコンピュータ名をIPアドレスにします。は、 WINSの名前解決サービスを提供を必要とするクライアントのIPアドレスを解決するNetBIOS名、およびその逆です。有効になっては、 WINSクライアントはWINSサーバーと通信するには、インターネットワーク上の任意の場所に位置します。すべてのWindowsオペレーティングシステムのNetBIOS名の前にWindows 2000のサポートを必要とします。これはWindows 2000用のために、最初のWindowsオペレーティングシステムのどこがNetBIOSの命名は、もはや必要です。まだあなたかもしれないのNetBIOS名前付けのサポートを提供する必要がある場合は従来のアプリケーションに最適です。
DHCPサーバー;の主な機能は、 DHCPサーバーがIPアドレスを自動的に割り当てるDHCPクライアントにします。サーバーとして設定することができますので、 DHCPサーバーが自動的に割り当てるDHCPサーバーのIPアドレスをDHCPクライアントです。 DHCPサーバーのIPアドレスを動的に割り当てるDHCPクライアント、およびも割り当てることもできます。 TCP / IPの構成情報をDHCPクライアント、サブネットマスク情報については、デフォルトのゲートウェイIPアドレス、 DNSサーバーのIPアドレス、およびWINSサーバーのIPアドレスを入力します。
ストリーミングメディアサーバーのストリーミングメディアの役割を提供するメディアサービスのクライアントがアクセスできるように、オーディオとビデオのストリーミングです。 Windows Mediaサービスを使用してクライアントにサービスを提供するメディア、およびサーバープラットフォームで構成されること、およびエンタープライズプラットフォームです。

選択してオペレーティングシステム（ OS ）

上記の各別のサーバーの役割ができるような構成がWindows Server 2003では、必要な安全保障するために必要な構成を決定する上では、特定のサーバーの役割ごとに活用します。ときにサーバーのセキュリティ計画の1つであることの最初の要素を把握する必要がありますがどれウィンドウズオペレーティングシステム（ OS ）を活用するには、組織内のです。これは特に重要なため、特定のオペレーティングシステムごとに異なるセキュリティ構成を提供することができます使用するサーバーのセキュリティを実装する。

は、 Windows Serverオペレーティングシステムは次のとおりです、と一緒にするための最小システム要件の各特定のオペレーティングシステムをインストールします。ために、特定のWindowsオペレーティングシステムをインストールするためのサーバーは、特定のサーバーを必要最小システム要件を満たし、特定のオペレーティングシステム：

Windows NTサーバー4 ：

プロセッサ;三十三分の四百八十六MHz以上のPentium ;またはPentiumプロ
ハードディスク;インテル/互換システムで利用可能なハードディスクの空き領域の最小百二十五メガバイトです。 RISCのベースのシステムを利用可能なハードディスクの空き領域の最小一六〇メガバイト
ラム;も16MB （推奨、 32MBの）です。
CPUの;小売、最大4個のCPUです。ハードウェアベンダは、最大32個のCPUです。

Windows 2000サーバー：

プロセッサ; 133 MHz以上のPentium互換
ハードディスク;二ギガバイト、 1GBが空き容量
ラム; 128Mバイト（推奨、 256MBほど;最大4GBの）
CPUの4個のCPU

Windows 2000 Advanced Serverの：

プロセッサ; 133 MHz以上のPentium互換
ハードディスク;二ギガバイト、 1GBが空き容量
ラム; 128Mバイト（推奨、 256MBほど;最大8ギガバイト）
CPUの; 8個のCPU

のWindows 2000 Datacenter ：

プロセッサ;英語Xeonまたはそれ以上のPentium III
ハードディスク;二ギガバイト、 1GBが空き容量
ラム; 256MBほど
CPUの4個のCPU -8 -道能力以上のサーバー

Windows Server 2003の標準モード：

プロセッサ; 133 MHz以上のPentium互換
ハードディスク; 1.5ギガバイト
ラム; 128Mバイト（推奨、 256MBほど）
CPUの4個のCPU

Windows Server 2003のエンタープライズ版：

プロセッサ; 64コンピュータ733 MHzです。 x86のコンピュータに133 MHzです。
ハードディスク;コンピュータ64 2ギガバイト x86のコンピュータ1.5ギガバイト
ラム; 128Mバイト（推奨、 256MBほど）
CPUの; 8個のCPU

Windows Server 2003のウェブ版：

プロセッサ; 133 MHz以上のPentium互換
ハードディスク; 1.5ギガバイト
ラム; 128Mバイト（推奨、 256MBほど）
のCPU 、 2個のCPU

のWindows Server 2003 Datacenter Editionの：

プロセッサ; 64コンピュータ733 MHzです。 x86のコンピュータに400 MHzです。
ハードディスク;コンピュータ64 2ギガバイト x86のコンピュータ1.5ギガバイト
ラム; 512メガバイト
CPUの; 8 -道能力以上で、最大64です。

前述のように、各Windows Serverオペレーティングシステムのさまざまな機能を提供し、異なるセキュリティ設定が有効になってできるサーバーのセキュリティおよびネットワークのセキュリティを強化する。したがって、を決める前には、オペレーティングシステムを活用する場合は、どのサーバーを知ってシステムの機能およびセキュリティ機能をネットワークの設計が必要にして、組織の要件として決定される。 Windowsサーバーシステムの各バージョンには、同行が導入され、新機能や関連する追加のセキュリティが強化されました。このコンセプトが示され、このセクションの残りの部分をサポートします。

Windows 2000の各エディションの増加に作成されたシステムの信頼性と可用性、およびスケーラビリティを実現します。

Windows 2000サーバー： Windows 2000サーバーは、アプリケーション、印刷し、ファイルサーバー、およびWebサーバOSです。 Windows 2000サーバーでは、信頼性、安全性とパフォーマンスの強化されたネットワークのクライアントコンピュータおよびデスクトップのオペレーティングシステムです。それには、新しいファイル暗号化システム、およびより良い管理ツールのWindows NTに比べて提供されています。 Windows 2000 Serverにも含まれていくつかの追加のサーバー機能を提供します。 Windows 2000には、インフラストラクチャサービスに基づいて、アクティブディレクトリサービスです。ネットワークを介してデータの暗号化（ IPSec ）のとは、ファイルシステム（ EFS ）は当初Windows 2000 Serverで提供されています。
Windows 2000 Advanced Serverの：このエディションのWindows 2000にビルドされたWindows 2000サーバーが提供する機能の強化を提供するスケーラビリティ、および高い空室状況です。これにより、 Windows 2000 Advanced Serverの最適それらの大きな組織を必要と高可用性をミッションクリティカルなデータです。
2000 Datacenter ServerのWindowsのサーバー： Windows 2000 Datacenter Serverのエディションに含まれるすべての機能をWindows 2000 Advanced Serverを、それも提供サービスと強化された負荷分散クラスタリングサービスです。このエディションのWindows 2000は理想的な大規模なデータウェアハウス、およびオンライントランザクション処理（ OLTP ）です。

Windows 2000 Serverのサポート強化されたTCP / IPネットワーキングサービスのようなダイナミックDNS （ DDNS ）、動的ホスト構成プロトコル（ DHCP ）、自動プライベートIPアドレス指定（ APIPA ）、およびWindowsインターネットネームサービス（ WINS ）の後方支援を混在モードでの環境です。 Windows 2000サーバーも提供インターネットインフォメーションサービス（ IIS ）、分散ファイルシステム（ DFS ）、ルーティングとリモートアクセスポリシーベースの管理のためのリモートアクセスサーバー、ターミナルサービスの機能では、リムーバブル記憶域リムーバブルメディアを管理するため、サービスをMacintosh版では、ゲートウェイサービスfor NetWareの、およびServices for UNIXのネットワーク環境での相互運用性は、異種です。 Windows 2000のデータベースへの接続もサポートオープン（ ODBC ）をソフトウェア、メッセージキューサービス、およびコンポーネントオブジェクトモデル（ COM + ）です。これにより、新しいアプリケーションを既存のソフトウェアと相互運用性とデータです。新しいプリンタのWindows 2000が含まれ、モデムおよびハードウェアのドライバをより詳細なハードウェアのインストールを簡素化し、追加して、それをもっと効果的です。 Windows 2000でのサポートを含んでのUSB 、 IEEE 1394の、および高度な設定電源インターフェイス（ ACPIの）デバイスの構成およびパワーマネジメントです。 Windows 2000のデバイスの種類がサポートさを使用するには煩雑なWindows NT 、および双方向パラレルポートドライバには、多くの他のデバイスの通信を可能にします。 Windows 2000用には、プラグアンドプレイ（ PNP ）機能を使用します。 Windows 2000のサポートは、 Win32ドライバモデル（ WDM ）と、デバイスのドライバの署名機能を使用します。最後に、 Windows 2000で提供してNTFSのバージョン5の機能とセキュリティ機能の強化です。

は、 Kerberos認証プロトコルは、デフォルトの認証プロトコルに使用されるWindows 2000では、 Windows XP Professional 、およびWindows Server 2003のです。 Kerberos認証は当初Windows 2000で導入されます。 Kerberosの相互認証を確認するに活用以下の通りです：

ユーザーの身元を確認して
かどうかを確認するサービスまたはネットワークリソースにアクセスできることです。

Kerberos認証は、 NTLM認証プロトコルの安全保障の改善などは、次の

委任さを装うのサービスをクライアント認証により、ネットワークリソースにアクセスするときです。
相互認証することができるため、サーバーは、クライアントへの認証をします。
の認証に、サーバーがクライアントに連絡なしのドメインコントローラを必要とします。
ドメイン間で推移性の信頼関係に使われることに同じフォレスト、およびドメインに接続し、森林の信頼関係です。

Kerberosバージョン5を使用する'チケット'戦略を認証する有効なネットワークユーザ、およびユーザとリソース間の相互認証を提供します。は、 Kerberos認証の種類に依存しては、 キー配布センター（ KDC ）のチケットを発行する。各ネットワーククライアントを利用したKDCをご利用のDNSを見つけるには近いKerberosチケットを入手するにします。航空券はアクティブ状態を維持するために通常約8または10時間です。のキー配布センター（ KDC ）は、サービスが実行されるコンポーネントのアクティブディレクトリにコピーします。キー配布センター（ KDC ）のデータベースを管理して安全保障のアカウント情報を各ドメインのセキュリティプリンシパルにします。暗号化キーのKDCが保持して、特定のセキュリティプリンシパルのみで知られる、とのKDCです。この暗号化キーは、長期的なキーとも呼ばれ、パスワードが形成さよりは、ログオンしたユーザー、およびが使用されるセキュリティプリンシパルのKDCと相互作用します。ための各ドメインコントローラでWindows Server 2003のドメインのKDCとして動作する、フォールトトレランスをするためにドメインが有効になっています。

Windows Server 2003のNTLM認証プロトコルをサポートして互換性を提供するため、以前のオペレーティングシステム（ OSS ）のWindows NT 4の互換性などです。セキュアソケットレイヤー/交通機関のセキュリティレイヤ（ SSL / TLSを）とダイジェスト認証は、通常使用されるWebアプリケーションのためのです。 SSL / TLSを、 X.509に基づいて公開鍵証明書との間の相互認証により、クライアントとサーバーです。

オペレーティングシステムは、 Windows 2000スマートカードのサポートも含まれるものです。 スマートカード認証は、スマートカードに基づいて使用すると、 Windows 2000およびWindowsサーバでサポートされ2003年です。スマートカードは、セキュリティデバイスまたはクレジットカードサイズのハードウェアトークンを提供するために使用できるアプリケーションやセキュリティプロトコルの保護を追加します。

スマートカードは、以下の特長：

セキュリティで保護法のユーザ認証
対話型ログオン
リモートアクセスのログオン
管理者のログオン
セキュリティで保護さコード署名
電子メールセキュリティで保護さ

[ネットワーク環境では、スマートカードは、典型的に以下の目的のために使用される

してコンピュータにログオンする
電子メールの暗号化
暗号化ディスクのファイルを暗号化

アクティブディレクトリは、実際には最も重要な機能を実際にWindows 2000で導入さをもたらすため、いくつかの重要なドメインの構造的変化します。 Active DirectoryのドメインのDNSドメインを使用して命名構造、および特定のNetBIOS名前付け構造Windows NTドメインで使用されています。のためのDNS 、 Active Directoryドメインは、構造化され、階層構造のモデルです。ドメインツリーの概念が使用される階層的構造を記述するのに連続した名前空間のドメインでのグループが、グループの名前空間に隣接していないの木と森と呼ばれています。森林の間の信頼関係を定義することができます通信を容易にします。

のリリースのMicrosoft Windows Server 2003かなりの数の拡張機能が導入されていないと、以前は次の利用可能なWindows 2000のアクティブディレクトリにコピーします。これらの拡張機能が改善する目的で、拡張性、効率性、速度とパフォーマンスのアクティブディレクトリ、およびいくつかの不備や欠点の対処を、以前のバージョンのWindows 2000 ServerのActive Directoryに利用されています。ときに実行中のWindows Server 2003のドメインコントローラが作成され、アクティブディレクトリに、いくつかの基本的な機能はすぐにインストールして利用できるように、 Windows Server 2003のドメインコントローラです。特定の他のActive Directoryの機能は、特定の条件でのみご利用時にネットワーク上に存在しています。

Active Directoryの機能を追加できるが有効になっては、以下の条件に依存してか、または要因：

のオペレーティングシステム（ OS ）のドメインコントローラ上で実行されています。
ドメインの機能レベルです。 Windows 2000 Active Directoryのでは、ドメインモードの用語が使用しています。
フォレストの機能レベルです。
かどうかをするためにドメインの機能レベルが引き上げられたときにのみ、または、森のです。

ドメインとフォレストの機能レベルには、手段を有効にすることができます。追加のドメイン全体およびフォレスト全体のActive Directoryの機能、削除している環境に時代遅れの下位互換性、およびActive Directoryのパフォーマンスとセキュリティを向上させる。

ドメインの機能レベルを設定することができるWindows Server 2003のActive Directoryには次のとおりです。混合は、 Windows 2000およびWindowsネイティブドメインの機能レベルがWindows 2000で利用可能な下位互換性を有効にするなど、オペレーティングシステムをWindows NT 4.0のです。後者の2つの機能レベルがWindows Server 2003でのみ利用可能にします。

Windows 2000混在：これは、デフォルトの機能レベルの実装をインストールするときに、 Windows Server 2003のドメインコントローラです。アクティブディレクトリの基本的な機能が利用可能なときにこのモードは、構成されます。 Active Directoryドメインの機能で利用可能なWindows 2000混在ドメインの機能レベルでのサポートを含むローカルグループ、グローバルグループと配布グループ、配布グループのネスティング、グローバルカタログのサポートと、最大40000ドメインオブジェクトがサポートさ
Windows 2000ネイティブ： Windows 2000ネイティブ機能レベルでは、バックアップドメインコントローラのWindows NTではないのドメインのドメインコントローラでサポートされています。のみWindows 2000ドメインコントローラおよびWindows Server 2003ドメインコントローラがサポートされます。 Windows 2000混在の最大の違いは、 Windows 2000ネイティブは、特徴のようなグループの入れ子、またはを使用してユニバーサルグループと安全保障番号の履歴（ sIDHistoryの） Windows 2000で利用可能な混合ではないが、ネイティブのWindows 2000で利用可能です。
Windows Server 2003中間：この機能レベルがWindows NTドメインに直接使用されるWindows Server 2003にアップグレードします。 Windows Server 2003中間は基本的にWindows 2000ネイティブと同じです。の重要なポイントを覚えてWindows Server 2003上の中間点は、このドメインの機能レベルは、お使いの環境で使用する場合には森林Windows 2000ドメインコントローラではありません。
Windows Server 2003用： Windows Server 2003のドメインの機能レベルは、ドメインのみを使用する場合にはWindows Server 2003ドメインコントローラが含まれています。一度として設定され、ドメインレベルがWindows Server 2003ドメインの機能レベルを低くすることはできませんが、前のドメインの機能レベルのいずれかです。すべてのActive Directoryドメインの機能が利用可能なWindows Server 2003でドメインの機能レベルでは、ローカルグループおよびグローバルグループを含む、配布グループ、配布グループのネスト、セキュリティグループのネスト、ユニバーサルグループ、グループ間の変換セキュリティグループと配布グループ、グローバルカタログのサポート、 SIDの履歴、最大1000000ドメインオブジェクトがサポートさは、ドメインコントローラの名前を変更、更新プログラムのログオン時のタイムスタンプ、ユーザ/コンピュータのコンテナのリダイレクト、制約の代表団とinetOrgPersonオブジェクトを検索するユーザのパスワードをサポートします。

フォレストの機能レベルに設定することができるWindows Server 2003のActive Directoryの次のとおりです。

Windows 2000用：このフォレストの機能レベルは、 Windows NT 、 Windows 2000 、およびWindows Server 2003ドメインコントローラのドメインに存在することです。 Active Directoryフォレストの機能で利用可能なWindows 2000のフォレストの機能レベルは、ユニバーサルグループのキャッシュ、アプリケーションディレクトリパーティションは、グローバルカタログのレプリケーション機能強化、バックアップからインストール、アクティブディレクトリクォータ機能、および英語SiSシステムのアクセス制御リスト（ SACL ）。
Windows Server 2003中間： Windows NTバックアップドメインコントローラおよびWindows Server 2003ドメインコントローラのドメインに存在することです。
Windows Server 2003用：すべてのドメインコントローラで実行されて、森のしなければならないWindows Server 2003用のフォレストの機能レベルに引き上げられたときには、 Windows Server 2003フォレストの機能レベルです。とは、 Windows Server 2003フォレストの機能レベルを、すべてのフォレスト全体のActive Directoryの機能を利用できるのは、ドメインの名前を変更するなど、森林の信頼、旧スキーマオブジェクトは、動的な補助クラス、アプリケーショングループ、ユニバーサルグループのキャッシュ、アプリケーションディレクトリパーティションは、グローバルカタログのレプリケーションの強化、バックアップからインストール、アクティブディレクトリクォータ機能では、英語SiSシステムのアクセス制御リスト（ SACL ）、改善の知識整合性チェッカー（ KCC ）レプリケーションアルゴリズム、リンク値レプリケーション、 InetOrgPersonの削減のobjectClassとntds.ditサイズです。

ドメインの機能レベルを確認するにはどのように設定するためにドメイン

オープンは、 Active Directoryドメインと信頼関係コンソールを開きます。
右クリックし、 [特定のドメインの機能レベルを確認したいと選択し、ドメインの機能レベルを上げるより、ショートカットメニューを表示します。
このドメインの機能レベルを上げる]ダイアログボックスが開きます。
表示することができます既存のドメインの機能レベルを現在のドメインの機能レベルのドメインです。

どのようにドメインの機能レベルを上げるのは、 Windows 2000ネイティブドメインの機能レベルまたはWindows Server 2003ドメインの機能レベル

前にすることができます。ドメインの機能レベルを上げるドメインの機能レベルをWindows Server 2003には、各ドメインコントローラを実行するには、ドメイン内のWindows Server 2003のです。

ドメインの機能レベルを高めることをするのは、ドメイン

オープンは、 Active Directoryドメインと信頼関係コンソール
右クリックし、 [特定のドメインの機能レベルを引き上げる場合、ドメインの機能レベルを上げるを選択し、ショートカットメニューからです。
このドメインの機能レベルを上げる]ダイアログボックスが開きます。
を使用してリストを選択して利用可能なドメインの機能レベルドメインの機能レベルを選択するにするためにドメインです。
クリックして引き上げる。
[ OK ]をクリックします。

フォレストの機能レベルを確認するにはどのように設定して森林

オープンは、 Active Directoryドメインと信頼関係コンソール
右クリックし、 Active Directoryドメインと信頼関係は、コンソールツリーで、フォレストの機能レベルを上げるを選択し、ショートカットメニューからです。
フォレストの機能レベルを上げる]ダイアログボックスが開きます
表示することができますが、既存のフォレストの機能レベルを現在のフォレストの機能レベルです。

フォレストの機能レベルを上げる方法をWindows Server 2003にフォレストの機能レベル

各ドメインコントローラで、森のは、 Windows Server 2003のを実行する前に変更することができますフォレストの機能レベルをWindows Server 2003にします。フォレストの機能レベルを上げるときに、すべてのドメインで、森のは、自動的にそのドメインの機能レベルをWindows Server 2003に発生します。

フォレストの機能レベルを高めるため、森林、

オープンは、 Active Directoryドメインと信頼関係コンソール
右クリックし、 Active Directoryドメインと信頼関係は、コンソールツリーで、フォレストの機能レベルを上げるを選択し、ショートカットメニューからです。
このドメインの機能レベルを上げる]ダイアログボックスが開きます
クリックして引き上げる。
[ OK ]をクリックします。

ファイアウォールのセキュリティ機能を理解する

このメソッドは、物理的にセキュリティで保護することができますし、ネットワーク、ファイアウォールの利用方法には介しています。いくつかのレベルのファイアウォールの間の物理的な安全保障を提供する必要がファイアウォールのことを心にとめこれだけの障壁の侵入者を攻撃するのを困難にするネットワークです。

ファイアウォールでは、次のように分類される：

ネットワークファイアウォール：これらのファイアウォールの監視ネットワークのトラフィックを終了するに入るとは、境界領域のネットワークを保護するための試みです。ソフトウェアベースマイクロソフトのInternet Security and Acceleration （ ISA ） ServerのノーテルネットワークスとハードウェアベースのファイアウォールAlteonの切り替えのシステムでは、ネットワークのファイアウォールソリューションです。
ホストベースのファイアウォール：これらのファイアウォールで保護するそれらのコンピュータを保護することが定義されています。にして、コンピュータがネットワークに接続しては不適合とする。インターネット接続ファイアウォール（ ICF ）機能のWindows XPおよびWindows Server 2003は、ホストベースのファイアウォールソリューションです。

ファイアウォールの仕事にパケットをチェックを許可するかどうかを判断すべきであるに転送されたパケットか、またはすべきであるかどうかパケットを破棄されます。の主な機能は、ファイアウォールのトラフィックをフィルタリングする。 TCP / IPパケットは、 IPパケットのヘッダー、続いて、実際のコンテンツは、パケットを送信します。のいずれかをIPパケットのヘッダーは、 TCPヘッダーやUDPのヘッダーです。は、 TCPヘッダまたはUDPヘッダには、 IPアドレスとポート番号は、送信者（ソース）、および、 IPアドレスとポート番号を、受信機（目的地）です。は、 TCPヘッダーには、次の追加情報としてよく：シーケンス番号と謝辞数字との会話状態です。

パケットを通過としては、ファイアウォール、パケットは、調べによると、フィルタリングパラメータの設定は、ファイアウォールのトラフィックをフィルタリングします。パケットのフィルタリングパラメータの定義を許されるべきだとは、ファイアウォールを通過します。通常は、ファイアウォールのデフォルトの設定以外のすべてのパケットを拒否することを許可する明示的にセットアップされています。のネットワーク環境では、ファイアウォールの設定は通常、すべての着信トラフィックをブロックすると、民間からの発信トラフィックを許可する内部ネットワークです。

パケットフィルタを使用してトラフィックの種類を定義する必要が拒否され、ファイアウォールのです。ファイアウォールやルーターを実装する必要がありますパケットフィルタのリソースをセキュリティで保護するにしてプライベートネットワークからインターネット利用者です。

IPパケットフィルタを構成する場合、どのようなトラフィックを指定することもできますが許可または拒否に基づいて、以下の通りです：

送信元アドレス
送信先アドレス
ソースと目的地のTCPポート番号。
ソースと目的地のUDPポート番号
このインターフェイスは、パケットが到着します。
このインターフェイスは、パケットをフォワードすべきかが
IPプロトコル番号
ICMPの種類とコード

IPパケットフィルタするために使用する必要があります：

送られるトラフィックを制限するにする場合、または、特定のコンピュータから、フィルタすることができます送信元/宛先IPアドレスの範囲です。
からのトラフィックを制限するか、または送られるIPアドレスの範囲を特定のネットワークセグメントに、フィルタすることができます送信元/宛先IPアドレスの範囲です。
送信されるトラフィックを制限するに/から、特定のアプリケーションでは、プロトコル番号をフィルタすることができます。

高度なファイアウォールのセキュリティ機能には、コードの追加を含む：

ステートフルな検査：ここでは、パケットが到達するときにファイアウォールの検討します。しかし、パケットは、内部ネットワークリソースへのアクセス許可として決定されるアクセスポリシーを設定します。ステートフルな検査をプロキシサーバーによって提供される機能やファイアウォールソリューションをサポートするネットワークアドレス変換（ NAT ）。
侵入検知機能：ファイアウォール侵入検知機能が含まれる可能性を検出するネットワーク攻撃ができる属性として彼らのパケットを検査します。これらのファイアウォールでの活動を実行するコードを検出するときにネットワーク攻撃：

カウンターアタックを開始する。
ネットワークからのアクセスをブロックする侵入者です。
攻撃は、ネットワーク管理者に通知する。

アプリケーション層インテリジェンス機能：これらのファイアウォールのパケットを許可またはドロップして、パケットのコンテンツに基づいています。検査のファイアウォールとの分析が可能なトラフィックフロー計算書のデータに含まれる。
仮想プライベートネットワーク（ VPN ）機能：これらの種類のファイアウォールのリモートネットワークへの接続を有効に、他のインターネット経由でリモートネットワークです。 VPNとの両方を使用する場合は、ファイアウォールの解決策は、ファイアウォールのトラフィックをフィルタリングすることができますには、 VPNトンネルです。

境界領域のネットワークを理解する

境界領域のネットワーク上での主要な役割を果たす、とも呼ばれる非武装地帯（ DMZ ）は、追加層の保護を提供するための内部プライベートネットワークのときには境界領域のネットワーク上のサーバーに低下します。通常、境界領域のネットワークのホストのWebサービスはインターネット上のクライアント拡張しています。

A perimeter network usually consists of the following elements:

A firewall for protecting the front-end servers from the Internet traffic.
A firewall between the back-end servers and private network. This firewall should allow communication between back-end servers and specific servers located on the private network.
Hardened servers for supporting the services provided by the applications. Hardened servers can be configured to disable unsafe Internet services.

A perimeter network is either a single firewall configuration, or back to back firewall configuration:

Single firewall configuration: Here a single firewall is used with a network interface card (NIC) connected to the perimeter network, a NIC connected to the Internet, and another NIC connected to the private network. The private network comprises of the organization's network, computers and servers that are not extended to the public network. This is the simplest firewall configuration strategy. Because this configuration consists of only one firewall, the private network is vulnerable when an attacker is able to bypasses the firewall.
Back to back firewalls configuration: Here, one firewall is utilized to connect the front end of the perimeter network to the Internet, and another firewall is utilized to connect the back end of the perimeter network to the private network. This method provides more protection to the private network. Additional firewalls can be implemented between the Web tiers in the perimeter network to further enhance security for the private network.

Web Content servers and front end servers usually reside in the perimeter network. A perimeter network can be further segmented:

A segment should be utilized to implement a management network.
The various forms of Internet traffic such as HTTP and FTP should be routed to separate Web clusters.
Non routable network addresses should be assigned to the internal networks of the Web site.
Internet traffic should be separated from the internal network or back end traffic.
Ensure that IP forwarding is not enabled for the front end servers.

Understanding Windows Server 2003 Security Settings

Auditing enables you to determine which activities are occurring on your system. Through auditing, administrators can collect information associated with resource access and usage on your system. You can audit system logon, file access, object access, as well as any configuration changes. When an event or action takes place that is configured for auditing, the action or event is written to the security log. Security auditing events are written to the security log of the system, and can be accessed from Event Viewer.

The main types of events which you should audit are listed below:

Computer logons
Computer logoffs
Access to objects, and files and folders
System events, such as when the following occurs:

Computer reboots
Computer shutdowns.
System time is modified
Audit logs are cleared.

Performance of user and computer account management activities, such as:

Creating new accounts
Changing permissions
Modifying account statuses

You can define audit polices for the local computer, a domain controller, a domain or an organization unit (OU).

The audit policies that you can configure with Windows Server 2003 are listed here:

Audit Account logon events: This policy is typically enabled on domain controllers, to track users which are logging on to the computer.
Audit Account management: This policy tracks account management tasks performed on the computer, including creating, changing, and deleting user objects; and changing account passwords.
Audit Directory service access: For domain controllers, the policy tracks when users access Active Directory objects which have system access control lists (SACLs).
Audit Logon events: This audit policy tracks when the user logons and logoffs.
Audit Object access: Tracks when a user accesses operating system components such as files, folders or registry keys.
Audit Policy change: This policy tacks when changes are made to the security configuration settings of the computer, and includes changes made to Audit policies, Trust policies, and User rights.
Audit Privilege use: Tracks when a user effects a user right. The user rights excluded from auditing because of the volume of log entries which they generate are: Back Up Files And Directories, Bypass Traverse Checking , Create A Token Object, Debug Programs, Generate Security Audits, Replace Process Level Token, and Restore Files And Directories.
Audit Process tracking: This policy tracks when certain events take place on the computer, such as when a program starts, or a process ends.
Audit System events: This policy tracks events such as when computer restarts or shuts down; and any events that impact the security log or the security of the system.

For each of the above mentioned event categories, you can choose between three values when you enable auditing. These values in turn determine the condition for which an audit entry would be created:

Successes only; an audit entry will be created when a particular event or action successfully finalizes.
Failure only; an audit entry will be created when a particular event or action fails.
Successes and Failures; an entry will be created when the particular event or action successfully finalizes or fails.

An important management tool for administrators of Windows Server 2003 is the Event Log. Event Viewer stores events that are logged in a system log, application log, and security log. You can access Event Viewer from the Administrative Tools folder.

The maximum size of the Event Log, Event Log performance, and other attributes are controlled by the following Event Log policies:

Maximum log size; specifies the maximum size for the log file.
Retain log; sets the time duration for which the Event Log information should be retained.
Retention method for log; sets what actions should occur when the Event Log's maximum size is reached:

Overwrite Events By Days option
Overwrite Events As Needed option
Do Not Overwrite Events (Clear Log Manually) option.

Prevent local guests group from accessing log; defines whether the local guests group is allowed to access the Event log.

You can enable the Security Options policies to secure certain server components from a number of threats and accidents. Through Security Options policies, you can secure specific server components. A few Security Options policies which you should consider activating are listed below:

Accounts: Administrator Account Status; enables/disables the local Administrator account of the computer.
Accounts: Guest Account Status; enables/disables the local Guest account of the computer.
Accounts: Rename Administrator Account; defines the alternative name for the security identifier (SID) of the local Administrator account.
Accounts: Rename Guest Account; defines the alternative name for the security identifier (SID) of the local Guest account
Audit: Audit The Use Of Backup And Restore Privilege; when the Audit Privilege Use policy is enabled, it configures the computer to audit user privileges.
Audit: Shut Down System Immediately If Unable To Log Security Audits; results in the computer shutting down when no further auditing entries can be written to the security log due to the log reaching its maximum size limit.
Devices: Allowed To Format And Eject Removable Media; defines those local groups which are allowed to format and eject removable NTFS file system media.
Devices: Restrict CD-ROM Access To Locally Logged-on User Only; stops users from accessing the CD-ROM drives of the computer.
Devices: Restrict Floppy Access To Locally Logged-on User Only; stops users from accessing the floppy disk drive of the computer.
Domain Member: Maximum Machine Account Password Age; sets the frequency at which the computer account password of the system is modified.
Interactive Logon: Do Not Require CTRL+ALT+DEL; specifies the Disable option so that users are secured from Trojan horse attacks.
Interactive Logon: Require Domain Controller Authentication To Unlock Workstation; stops the computer from being unlocked through cached credentials.
Microsoft Network Client: Digitally Sign Communications (Always); sets the computer to require packet signatures for Server Message Block client communications.
Microsoft Network Server: Digitally Sign Communications (Always); sets the computer to require packet signatures for Server Message Block server communications.
Network Access: Do Not Allow Anonymous Enumeration Of SAM Accounts And Shares; stops anonymous users from gathering information on the names of local user accounts and shares.
Network Access: Remotely Accessible Registry Paths And Sub-paths; defines the registry paths and sub-paths which certain users can access.
Network Access: Shares That Can Be Accessed Anonymously; defines the shares which can be accessed by anonymous users.
Network Security: Force Logoff When Logon Hours Expire; configures the computer to end any current local user connections that have used up their defined logon hours or time.
Shutdown: Allow System To Be Shut Down Without Having To Log On; enables the Shut Down button in the Log On To Windows dialog box.

Services can be defined as system programs, processes or routines running in the background that performs a specific operation within the operating system. Administrators need to monitor services and also change the configuration of services when necessary. When the Windows Server 2003 operating system installs, some services are automatically installed with the operating system. These services are usually set with the Automatic startup type. This means that the service starts automatically when the operating system starts or boots. The startup type specified for the service controls when and how the service starts.
A few services that have the Automatic startup type configured are Automatic Updates, DHCP Client, DNS Client, IPSec Services, Remote Procedure Call (RPC), Server, Security Accounts Manager, and System Event Notification.

For those services that have the Automatic startup type configured, you can use System Services policies to disable those services which a specific server does not require. A few services for which you can configure the startup type as Disabled (if the server does not require the service) are Application Management, Distributed File System, Distributed Transaction Coordinator, Fax Service, ClipBook, Indexing Service, Internet Connection Sharing (ICS), and Smart Card.

Restricted Groups contains groups for specific security restrictions. You can configure Restricted Groups to ensure that group memberships remain defined as it was specified. Restricted Groups policies ensure that the Members attributes and Members Of attributes remain consistent. You configure Restricted Groups policies by adding a policy and then specifying the members of the policy.

Account Policies include attributes for password policy, account lockout policy and Kerberos policy. Password policy determines settings for passwords for domain user accounts, and local user accounts. You can implement strong password policies by using the following security policy settings located in the Password Policy node in Account Policies:

Maximum password age: This security policy setting determines the duration after which a user is forced to change a password.
Enforce password history: This security policy setting prevents users from re-specifying or reusing previously used passwords.
Minimum password age: This security policy setting determines the length of time that a user has to keep a password before he/she can modify the password.
Minimum password length: This security policy setting stipulates the minimum length that a password can have.

Account lockout policies should be implemented if your environment is particularly vulnerable to threats arising from passwords which are being guessed. Implementing an account lockout policy basically ensures that the account of a user is locked after an individual has unsuccessfully tried for several times to provide the correct password. The important factor to remember when defining an account lockout policy is that you should implement a policy that permits some degree of user error, but that also prevents unauthorized usage of your user accounts.

The following password and account lockout settings are located in the Account Lockout Policy area in Account Policies:

Account lockout threshold: This setting controls the number of times after which an incorrect password attempt results in the account being locked out of the system.
Account lockout duration: This setting controls the duration that an account which is locked, remains locked. A setting of 0 means that an administrator has to manually unlock the specific locked account.
Reset account lockout counter after: This setting determines the time duration that must pass subsequent to an invalid logon attempt occurring prior to the reset account lockout counter being reset.

How to Plan a Security Framework

A security framework can be defined as the process used when the organization has to perform the activities listed below:

Define security requirements.
Determine security risks.
Select the appropriate security features.
Select and implement security policies.
Define security implementations.
Define security management policies.

Most organizations use a security design committee or team to determine the security needs of the organization and to deploy security policies which can meet these requirements.

A security design committee/team includes individuals that are knowledgeable on the following factors:

The mission critical resources of the organization.
The security weaknesses or vulnerabilities of the organization.
The threats to which the mission critical resources of the organization is exposed.
The resources which are mainly at risk.
The loss to the organization should particular resources of the organization be compromised.
The level of security needed to secure the organization's resources.
The security features and security policies which can be used to secure the resources of the organization.
The security features and security policies which are ideal to secure particular resources.
The impact of implementing security features and security policies on employees, users and administrators.
The requirements for deploying identified security solutions.

A typical security life cycle is made up of the following steps:

Determining and designing the security infrastructure: The design phase of the security life cycle includes elements such as identifying the resources of the organization that needs to be secured, and then designing the security infrastructure to protect these resources. The security design team should be accountable for creating and designing security policies for the organization.
Deploying and implementing the security features and security policies: The security design team should also be responsible for implementing security features and security policies.
Continually managing the security solution: All security software should be upgraded as necessary, and audit logs should be regularly examined.

Because the security requirements of organizations differ, you have to determine which security features, tools and policies are needed by the specific organization whose server security you are planning. From the discussions so far, it becomes evident that identifying the security requirements of the organization is a task requiring quite some analysis. One of the initial steps to identifying the security requirements of the organization is to determine which security weaknesses or vulnerabilities currently exist, the threats to which the mission critical resources of the organization is exposed, and the resources which are mainly at risk to being compromised.

There are a number of different risks that have an impact on an organization. Some of the primary threats which you should address are listed here:

Environmental threats; pertains to both environmental disasters and disasters due to human intervention. Examples of environmental threats are fires, earthquakes, storms, faulty wiring, and so forth.
Accidental threats; relate to threats which are caused without malicious intent. Accidental risks occur when an employee accidentally deletes important files, or modifies data that should not have been changed.
Deliberate threats; relate to threats which are caused with malicious intent as the primary objective. Examples of deliberate threats are viruses, Trojan horses, and all other network attacks caused by hackers and intruders.

Once the risk which your organization is vulnerable to is determined, you have to determine which resources and assets of the company could become affected by each identified risk/threat.

Assets and company resources can be categorized as follows:

Hardware; such as devices, servers, workstations, printers, and so forth.
Software; includes software designed specifically for the organization and other software products.
Company data; includes databases, and files and documents.
The physical building.
Sundry equipment; such as office furniture and other supplies.
Employees of the organization.

To secure company assets and resources from all identified security risks, you have to determine which security configurations can match the security requirements of the organization.

Bookmark Planning Server Security