Windows Server 2012 R2によるガバナンス強化
756 Views
June 03, 15
スライド概要
2015年6月3日(水)に名古屋で開催された無料セミナーのプレゼンテーション
トレノケート株式会社で、Windows ServerとAzureを中心に技術者向けトレーニングを担当
関連スライド
各ページのテキスト
Windows Server 2012 R2による ガバナンス強化 グローバル ナレッジ ネットワーク株式会社 横山哲也
自己紹介 2003年~ マイクロソフトMVP (Directory Services) 2012年のみ「Virtual Machines」 好きなガバナンス機能 グループポリシー 最近の著書・雑誌記事 プロが教えるWindows Server 2012システム管理(監修・共著) アスキーメディアワークス グループポリシー逆引きリファレンス厳選92(監修・共著) 日経BP ソーシャルメディア ブログ: ヨコヤマ企画(http://yp.g20k.jp) その他 Twitter & Facebook 2 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
はじめに 目標 想定するリスクに対して、 適切なクライアント管理計画を選択する 想定するリスクに対して、 適切なサーバーの障害・災害対策を選択する 個人的なお勧め度合い ……ぜひ導入しましょう ……コスト(費用と手間)がかかりますがお勧め ……要件を満たせばお勧め 簡単なデモは随時入れていきます 3 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
クライアント管理計画 機能制限・自動設定 更新プログラムの自動構成 WiFiアクセスポイント アクセス許可の拡張 ファイルの分類管理 ファイルの暗号化 ネットワークの暗号化
機能制限・自動設定: グループポリシー グループポリシー コンピューターの構成の自動化(強制) ユーザーの構成の自動化(強制) Active Directory必須 グループポリシー オブジェクト GPO ドメイン GPO OU GPO サイト OU 5 GPO Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
機能制限・自動設定: グループポリシーの利用 グループポリシーオブジェクト 関連するポリシーの集合体 例: [スクリーンセーバーの強制]と[パスワード保護] ポリシー数 コンピューターの構成: 約2,000 ユーザーの構成: 約1,500 グループポリシーの[基本設定] Windows Server 2008からの新機能 従来のグループポリシーでできなかったことが簡単に - 例: デスクトップにファイルを配布 自動設定したいことがあれば、 まずグループポリシーを探す 6 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
更新プログラムの自動構成: グループポリシーで自動化 Windows Update Microsoft Update WSUS (Windows Server Update Services) Microsoft Update 必要なものだけ承認 7 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
更新プログラムの自動構成: 注意点 インターネット接続…WSUSにのみ必要 ネットワーク回線…BITSを使うので効率が良い Background Intelligent Transfer Services ディスク容量…配布したいものだけをダウンロード 承認作業…条件を指定した自動承認可能 注意 何らかの不具合があり、マイクロソフトが取り下げても それがWSUSに反映されるまではインストールが可能 8 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
WiFiアクセスポイント: グループポリシーで自動化 透過的でセキュアな無線 LAN 環境を構築 ユーザーは一切の設定が不要 暗号化通信を強制 (暗号鍵の自動更新) Windows認証または電子証明書による強固な認証 証明機関 グループ ポリシー Active Directory ・接続先 SSID 認証 ・暗号化方式 ・認証方式 ・証明書の自動発行/更新 WAP 証明書 9 暗号化通信 RADIUS (NPS) 認証情報の転送 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
アクセス許可の拡張 集約型アクセス制御 Windows Server 2012 ファイルサーバー Windows Server 2012 Active Directory 要求の種類 リソース プロパティ 集約型 アクセス規則 集約型 アクセス規則 集約型 アクセス ポリシー 集約型 アクセス規則 ファイル分類管理 (FCI) リソースプロパティの自動構成 10 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
デモ: 集約型アクセス制御 管理者: Active Directory管理センター 要求の種類の確認 リソースプロパティの確認 集約型アクセス規則の作成 集約型アクセスポリシーの作成 管理者: グループポリシー 集約型アクセスポリシーの展開 利用者 アクセス許可の指定 11 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
アクセス許可の拡張: 集約型アクセス制御の利点と課題 従来のアクセス許可の課題 利用者はビジネスを知っているがACLは分からない 集約型アクセス制御の利点 管理者がアクセス許可ポリシーを集中管理 利用者はアクセス許可ポリシーを1つ選ぶだけ 集約型アクセス制御の課題 12 設定階層が深い 従来のNTFSは無効にならない(累積する) Windows Server 2012/Windows 8以降のみ利用可能 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルの分類管理 (FCI: File Classification Infrastructure) Step 1: 保存ファイルに属性を追加 フォルダーやファイル内容に対するルール設定 Step 2: 追加した属性を参照して実行 指定したフォルダーに移動 AD RMSによる暗号化 任意のコマンドを実行 利用例 1. 特定のフォルダーのファイルに[個人情報]の属性追加 2. [個人情報]ラベル指定のファイルをAD RMS暗号化 保存 分類 13 管理 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルの暗号化 アプリケーション AD RMS…Office製品 ファイルシステム EFS…個人ファイルの保護 ディスク装置 BitLockerドライブ暗号化…内蔵 BitLocker to Go…メディア EFS…Windows 2000以降 目的: 個人ファイルの暗号化 欠点: 構築や回復手順が面倒(実質的に証明機関必須) その他…集中管理が困難 Officeパスワード 暗号化は回復用の準備を忘れずに ZIPパスワード 14 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルの暗号化の利用例: AD RMS 適用アプリケーション Word/Excel/PowerPoint/Outlook 利用可能なユーザー 社内ユーザー…社内RMSサーバーで認証 社外ユーザー…公開Web経由で認証 機能 暗号化 + 操作制限 = 権利制御 (印刷不可、再配布不可) 具体的には メニューの無効化 クリップボードの無効化 15 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルの暗号化の利用例: BitLockerドライブ暗号化 BitLockerドライブ暗号化 目的: ドライブ盗難による情報漏えいリスクを軽減 利用形態 TPMのみ…PCごと盗まれた場合は無力 TPM + パスワード…手軽・長いパスワードは利用困難 TPM + USBメモリキー…安全・USBメモリ必須 回復キー 正常時に保存しておく(印刷したものを金庫に保管) Active Directoryに保存可能 付加機能 TPMによる起動システムの整合性確認(改ざん防止) 16 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルの暗号化の利用例: BitLocker to Go リムーバブルメディアの保護 パスワード利用 グループポリシーによる強制 17 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ネットワークの暗号化 アプリケーション層 プレゼンテーション層 SMB暗号化 …共有フォルダー S/MIME …電子メールなど セッション層 18 TLS (SSL) トランスポート層 …アプリケーション対応 IPセキュリティ インターネットワーク層 …プロトコルごとの選択 WiFi暗号化 データリンク層 …AESなど 物理層 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ネットワークの暗号化の利用例 共有フォルダーのアクセスを自動的に暗号化 Windows Server 2012からの新機能 サーバーマネージャーで構成 IP Security 持ち込みPCを許可するが、サーバーアクセスを拒否 - Webプロキシーなど暗号化の例外設定も可能 暗号化キーをグループポリシーで配布 - ドメインに参加するだけで設定が完了 例: 2004年札幌市 http://download.microsoft.com/download/3/6/d/ 36d1fb59-0ff0-420f-80e1-c87fb7f66ceb/4059-MT1.pdf 19 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
クライアント管理計画のまとめ 機能制限・自動設定 更新プログラムの自動構成 WiFiアクセスポイント アクセス許可の拡張 ファイルの分類管理 ファイルの暗号化 ネットワークの暗号化 20 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
サーバーの障害・災害対策 システム管理者のパスワードポリシー強化 ブランチオフィスのドメインコントローラー管理 ファイルサーバーの障害対策 Hyper-VレプリカによるBCP AzureバックアップによるDR
システム管理者のパスワードポリシー強化 従来のパスワードポリシー ドメイン単位 きめ細かなパスワードポリシー Windows Server 2008以降 セキュリティグループまたはユーザー単位のポリシー Windows Server 2012からGUI設定可 22 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ブランチオフィスのドメインコントローラー管理: 課題 ブランチオフィス(地方拠点)の問題点 低速WAN回線 少ないサーバーリソース 比較的低い物理セキュリティ 専任のシステム管理者不在 ブランチオフィスの現状 ドメインコントローラー兼ファイルサーバー パートタイムシステム管理者 DC盗難によるディレクトリ情報流出 不慣れなファイルサーバー管理者がドメインを破壊 23 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ブランチオフィスのドメインコントローラー管理: 解決策 読み取り専用ドメインコントローラー (RODC) パスワードを原則保存しない ブランチ勤務の一般ユーザーのみ保存するように構成 DC盗難によるディレクトリ情報流出が最小限 ブランチ勤務の管理者のパスワードを保存する場合は パスワードポリシーを強化すること サーバー管理者とドメイン管理者を分離 不慣れなファイルサーバー管理者からドメインを保護 24 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルサーバーの障害対策 操作ミスによる削除からの回復 ディスク障害対策 サーバー障害対策 25 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルサーバーの障害対策: 操作ミスからの回復 以前のバージョン = 定期的なスナップショット 実際の変更分のみディスク消費 サーバー設定 26 クライアント操作 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルサーバーの障害対策: ディスク障害対策 記憶域プールと仮想ディスク ミラー (2方向 & 3方向) パリティ (RAID 5 & RAID 6) 仮想ディスク RAID-6 3方向ミラー 記憶域プール 物理ディスク 27 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルサーバーの障害対策: サーバー障害対策(1/2) 分散ファイルシステム DFS名前空間 DFS-R (複製) DFS ルート 複製 DFS ルート 共有 複製 共有 フォルダ フォルダ 特徴 共有 複製 共有 差分圧縮転送 フォルダ フォルダ スケールアウト可能(LAN/WAN) データの一貫性を保証しない - 読み取り専用DFSも検討 28 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ファイルサーバーの障害対策: サーバー障害対策(2/2) 従来の高可用性ファイル サーバー アクティブなノードは1台 Active / Passive クラスター スケール アウト ファイル サーバー メタデータの更新を特定のノードで管理 データ転送は複数のノードから行う Active / Active 特徴 データの一貫性 クラスター スケールアウト可能(通常はLAN内) 透過フェールオーバー(SMB 3.0) メタデータのみ 汎用サーバーには向かない 特定ノードが管理 (仮想マシンやSQL Server用) 29 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
Hyper-VレプリカによるBCP Hyper-Vへの複製 Microsoft Azureへの複製 プライマリVM 複製 レプリカVM 差分を複製 複製先のTCP/IP構成 DHCPクライアントとして構成 Hyper-V管理ツールで固定アドレスを割り当て 30 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
Hyper-VレプリカによるBCP: 利用パターン 複製間隔…30秒 / 5分 / 15分…常に差分複製 回復方法…いずれも手動 状況 操作対象 データ損失 フェールオーバー プライマリ停止 非計画停止 レプリカ 可能性あり 計画フェールオーバー プライマリ停止 計画停止 プライマリ なし テストフェールオーバー 正常稼動 並行稼動 レプリカ なし ※テストフェールオーバーでは、仮想マシンの複製が別の仮想ネットワークを使って起動 BCP状態からの復元方法…いずれも手動 以前の状態に戻したい そのまま使いたい 取り消し 反転 計画フェールオーバー 計画フェールオーバー N/A(操作不要) テストフェールオーバー 中止(テスト仮想マシン削除) N/A(想定外) フェールオーバー 31 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
AzureバックアップによるDR(災害対策) Widows Serverバックアップの保存先を変更 Azureバックアップ (オンラインバックアップ) システム状態のバックアップ不可 32 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
サーバーの障害・災害対策のまとめ システム管理者のパスワードポリシー強化 ブランチオフィスのドメインコントローラー管理 ファイルサーバーの障害対策 Hyper-VレプリカによるBCP AzureバックアップによるDR 33 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
本日のまとめ
まとめ: 主なテクノロジー クライアント管理 グループポリシー WSUS 集約型アクセス制御 ファイルの分類管理 AD RMS BitLocker SMB暗号化 IP Security 35 サーバー管理 RODC 以前のバージョン 記憶域プール DFS-R スケールアウト ファイルサーバー Hyper-Vレプリカ Azureバックアップ Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
まとめ 詳しくは マイクロソフト認定トレーニング http://www.globalknowledge.co.jp/reference/ms/ お勧め参考書 グループポリシー逆引きリファレンス厳選92(日経BP) 36 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.