Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
文書管理番号: RD80-G-E08003
セキュリティ診断ツール
使用ガイド
© 2021 Toshiba IT-Services Corporation
文書管理番号: RD80-G-E08003
2/25
目次
1. 概要と使用上の注意 ........................................................................ 3
1.1 機能概要 .............................................................................. 3
1.2 診断対象OS............................................................................ 3
1.3 主な診断内容 .......................................................................... 4
1.4 使用上の注意 .......................................................................... 4
2. Windows 診断ツールの使用手順............................................................... 5
2.1 準備 .................................................................................. 5
2.2 セキュリティ診断の実行 ................................................................ 5
3. Unix 診断ツールの使用手順 ................................................................ 12
3.1 準備 ................................................................................. 12
3.2 セキュリティ診断の実行 ............................................................... 12
3.3 診断時に作成されたテンポラリディレクトリの削除 ........................................ 17
4. ポリシーファイルの使用手順 ............................................................... 22
4.1 準備 ................................................................................. 22
4.2 今までお使いのポリシーファイルの編集 .................................................. 22
4.3 ポリシーファイルを使用した診断の実行 .................................................. 23
4.4 ポリシーファイルを使用した診断の実行においてエラーが発生した場合 ....................... 24
文書管理番号: RD80-G-E08003
3/25
1. 概要と使用上の注意
1.1 機能概要
本診断ツールを使用することで、マシンに内在する脆弱性を詳細に診断することが出来ます。診断結果として
ファイル(診断結果ファイル)が作成されます。この診断結果ファイルから「セキュリティ診断結果レポート
(対策の緊急度別、予測される危険など)」を作成することが可能ですが、レポートを作成するためには別途セ
キュドック スタンダード「レポート作成ツール」が必要となります。
1.2 診断対象OS
診断対象OSは表 1.1のとおりです。
表 1.1 診断対象OS
No. 診断対象OS
1 Windows Server 2019 Datacenter / Standard (x64)
2 Windows Server 2016 Datacenter / Standard (x64)
3 Windows Server 2012 R2 Datacenter / Standard (x64)
4 Windows Server 2012 Datacenter / Standard (x64)
5 Windows Server 2008 R2(x64)
6 Windows Server 2008 (x86/x64)
7 Windows 10 Pro / Enterprise / Enterprise LTSB (x86/x64)
8 Windows 8.1 Pro/ Enterprise(x86/x64)
9 Windows 7 Professional / Enterprise (x86/x64)
10 Solaris 11 (SPARC)
11 Red hat Enterprise Linux 6.0~6.10 Server(x86/x64)
7.0~7.6 Server(x64) 8.0(x64)
12 HP-UX 11.31
13 AIX 7.1
14 CentOS 6.0~6.6(x64)
表 1.1 No. 1~5, 10のOSについては、Hyper-VおよびVMwareゲストOSでも診断可能です。
【注意】 下記のOSは、Ver.8.13.0からサポートを終了しました。 ・Solaris 10, Red Hat Enterprise Linux 5.X, AIX 6.1, Windows Vista Business/Enterprise, Windows 8 Professional/Enterprise 下記のOSは、Ver.8.10.0からサポートを終了しました。
・HP-UX 11.11, 11.23 下記のOSは、Ver.8.7.0からサポートを終了しました。 ・Windows Server 2003/2003 R2 (x86/x64) 下記のOSは、2015年10月31日を持ってサポートを終了しました。 ・Solaris 9 下記のOSは、Ver.7.12.0からサポートを終了しました。 ・Windows XP ・Solaris 2.5.1,2.6,7,8 ・Red hat Enterprise Linux 3,4 AS/ES/WS(x86) ・HP-UX 11.00 ・AIX 5.1,5.2,5.3 下記のOSは、Ver.7.7.0からサポートを終了しました。 ・Windows NT4.0 Server ・Windows 2000 Server/Advanced Server/Professional ・Red hat Enterprise Linux 2.1 AS/ES/WS(x86) ・Red hat Linux 6.2, 7.0, 7.1, 7.2, 7.3, 8.0, 9 (x86)
【注意】
レポート作成ツールをご利用になられるには、別途ライセンスをご
購入いただく必要があります。
文書管理番号: RD80-G-E08003
4/25
1.3 主な診断内容
主な診断内容は、表 1.2のとおりです。
表 1.2 主な診断内容
No. 診断内容
Windows診断ツール Unix診断ツール
1 セキュリティパッチ適用状態 セキュリティパッチ適用状態
2 パスワード設定 パスワード設定
3 アカウント設定 アカウント設定
4 ログイン設定 ログイン設定
5 ネットワーク設定 ネットワーク設定
6 監査ログ記録設定 監査ログ記録設定
7 スタートアップ設定 スタートアップ設定
1.4 使用上の注意
本診断ツールをご使用になられる前に、必ず次の注意事項をご確認ください
【使用上の注意】
1.本診断ツールはCPUのidleタイムを使用し診断を行います。CPUのidleタイムが極端に少ないマシン
の診断には時間がかかります。また、アカウントが多いマシンに関しても、パスワード設定の診断に時
間がかかる場合があります。
2.本診断ツールを同時に複数実行することは出来ません。
3.Windows Vista 診断ツールを実行する前に、現在ログオンしているアカウントの名前を変更した場合、
必ず一旦ログオフし再度ログオンした後、診断を実行してください。ログオンし直さずに診断を実行し
た場合、診断終了時に診断結果ファイルが保存される作業フォルダが表示されない場合があります。
4.Active Directoryサービスを使用しているサーバにおいて「TCP/IPフィルタリング」を設定した場合、
通常より10分程度診断に時間がかかる場合があります。
文書管理番号: RD80-G-E08003
5/25
2. Windows 診断ツールの使用手順
2.1 準備
1).セキュドック スタンダード「診断ツール(win_***_checker.zip)」を準備して下さい。
診断ツールは、以下の弊社ダウンロードサイトからダウンロードしてください。
URL:http://www.it-serve.co.jp/support/secudoc/download
2).診断対象マシンにadministrator、もしくは管理者権限を持つアカウントでログオンして下さい。
2.2 セキュリティ診断の実行
1).「診断ツール(win_***_checker.zip)」はZIP圧縮されていますので、解凍し実行ファイル(Win***Checker.exe)
を取り出してください(以下この「実行ファイル」を「診断ツール」として説明します)。「診断ツール
(Win***Checker.exe)」を診断対象マシンにコピーしてください。
2).「診断ツール(Win***Checker.exe)」のアイコンをダブルクリックし、診断ツールを実行してください。
(※例:Windows Server 2012用診断ツールのアイコン)
3).以下のとおりセキュドック スタンダード「診断ツール」ウィザードが起動します。
[次へ]ボタンをクリックしてください。
【注意】 ・「診断ツール」の実行には「管理者(administrators)権限」が必要です。 ・「診断ツール」プログラムを実行中は、ログオフしないでください。
「次へ」ボタンのみ
クリック
文書管理番号: RD80-G-E08003
6/25
4).以下の「使用許諾契約」画面が表示されます。
まず内容をご確認ください。その後「同意する」を選択し、[次へ]ボタンをクリックしてください。
5).以下の「作業フォルダの指定」画面が表示されます。
デフォルトでは以下のとおり「Program Files」フォルダ下で作業フォルダが指定されます。通常はデフォルト
から変更していただく必要はありませんので「次へ」ボタンをクリックしてください。
「作業フォルダ」として別のフォルダを指定する場合は、そのフォルダを入力した後「次へ」ボタンをクリッ
クしてください。
「同意する」を選択し
「次へ」ボタンをクリック
【注意】
・既存のフォルダを作業フォルダに指定することはできませんのでご注意ください。
「デフォルト(表示の)」フォルダ
で問題なければ「次へ」ボタンのみ
クリック
文書管理番号: RD80-G-E08003
7/25
6).以下の「返送時のパスワード指定ダイアログ」画面が表示されます。
【既にレポート作成ツールをお持ちの場合(通常はこちらです)】
このダイアログは無視していただいて結構ですので「次へ」ボタンをクリックしてください。
【レポート作成ツールをお持ちでない場合】
パスワードを入力し、[次へ]ボタンをクリックしてください。パスワードは、1バイトの表示可能文字(a~z、
0~9等)を指定することが可能です(2バイト文字、および非表示文字は指定できませんのでご注意ください)。
このパスワードは、「診断結果ファイル」を元に作成された「セキュリティ診断結果レポート」(WORD、EXCEL、
CSV)ファイルを圧縮してご返送する際に、その圧縮ファイルに付加されます。指定されたパスワードは、「セ
キュリティ診断結果レポート」を参照する際に必要になりますので厳重に保管してください。
7).以下の「診断実行開始時間の指定」画面が表示されます。
・今すぐ診断を実行する場合は、「今すぐ実行」を選択し、[次へ]ボタンをクリックしてください。
→11)へすすんでください
・マシン負荷の低い夜間などの時間を指定して実行する場合は、「時間を指定して実行」をクリックし、診断実
行日時を指定してください。 →8)へすすんでください
自社でレポートを作成される場合
は「次へ」ボタンのみクリック
今すぐ診断を実行する場合は「次
へ」ボタンのみクリック
文書管理番号: RD80-G-E08003
8/25
8).「時間を指定して実行」を選択するとその下のボックスで診断実行開始時間の設定が可能になります。適切な
値を設定し、[次へ]ボタンをクリックしてください。
9).(診断開始実行時間を設定すると)以下の「セキュリティ診断の実行」画面が表示されます。
[スケジュール設定]ボタンをクリックしてください。これで指定した時間になると自動的に診断が開始されま
す。 →12)へすすんでください
診断開始日時を設定し「次へ」
ボタンをクリック
「スケジュール設定」
ボタンをクリック
文書管理番号: RD80-G-E08003
9/25
10).診断実行開始時間を修正する場合、およびスケジュール実行を中止する場合は[キャンセル]ボタンをクリッ
クしてください。 →2)へ戻って再度実行してください
11) (今すぐ実行を設定すると)以下の「セキュリティ診断の実行」画面が表示されます。
[診断実行]ボタンをクリックしてください。診断が開始されます。
「キャンセル」ボタンをクリックす
ることで「スケジュール(診断実行)」
を中止できます
「診断実行」ボタンをクリック
(診断が開始されます)
文書管理番号: RD80-G-E08003
10/25
12).診断実行状態は以下のように表示されます。診断が完了すると、診断結果ファイル(result-***.esi)が格
納されたフォルダ(以下の「result」フォルダ)が自動的に画面に表示されます。
【重要】
ここで診断結果ファイルを(resultフォルダから)別のフォルダに保存してください。
診断結果ファイルの保存が終わりましたら、[次へ]ボタンをクリックしてください。
【注意】
・Active Directoryに設定したOSでTCP/IPフィルタリングを設定している場合は、[アカウ
ント設定]の診断処理に時間を要することがあります。
・診断結果ファイル(result-***.esi)は、下図のとおりテンポラリフォルダ内に格納されてい
ます。この後、続けて使用したテンポラリフォルダ(作業フォルダ)を削除する操作になりま
すので、必ずその前に診断結果ファイル(result-***.esi)を別のフォルダに保存してくださ
い。
「診断結果ファイル」
別フォルダに保存してください
「診断結果ファイル」を別フォルダに
保存した後「次へ」ボタンをクリック
文書管理番号: RD80-G-E08003
11/25
13) 以下の「作業フォルダの削除」画面が表示されます。
ここでは、診断実行にて使用した(「作業フォルダの指定」画面にて指定した)作業フォルダを削除します(診
断対象マシンを診断実行前と同じ状態に戻します)。
・作業フォルダを削除する場合は、「はい」を選択し、[次へ]をクリックしてください(通常こちらを選
択してください)。
・作業フォルダを残す場合は、「いいえ」を選択し、[次へ]をクリックしてください。
14).最後に「診断終了」画面が表示されます。
[閉じる]ボタンをクリックして「診断ツール」終了してください。
以上で診断は終了になります。
【注意】
・作業フォルダの削除を実行すると、作業フォルダ内にある診断結果ファイルも削除されますの
で注意してください(必ずその前に診断結果ファイル(result-***.esi)を別のフォルダに保
存してください)。
・「いいえ」を選択した場合、作業フォルダは手動で削除してください。
通常は「次へ」ボタンのみクリ
ックで問題ありません
「閉じる」ボタンをクリックして
診断ツールを終了してください
文書管理番号: RD80-G-E08003
12/25
3. Unix 診断ツールの使用手順
3.1 準備
1).セキュドック スタンダード「診断ツール」を準備して下さい。(***_security_checker.zip)
診断ツールは、以下の弊社ダウンロードサイトからダウンロードしてください。
URL:http://www.it-serve.co.jp/support/secudoc/download
2).診断対象マシンにrootアカウントでログインして下さい。
3.2 セキュリティ診断の実行
1).「診断ツール(***_security_checker.zip)」は ZIP 圧縮されていますので、解凍し実行ファイル
(***SecurityChecker)を取り出してください(以下この「実行ファイル」を「診断ツール」として説明しま
す)。「診断ツール(***SecurityChecker)」を診断対象マシンにコピーしてください。
2).コマンドラインから「診断ツール」ファイル(SolarisSecurityChecker)を実行してください。
【注意】
・「診断ツール」の実行には「root権限」が必要です。
・「診断ツール」プログラムを実行中は、ログアウトしないでください。
【注意】
・以下「Solaris用診断ツール」にて使用手順を説明します。
他のUNIX OSの診断ツールについても使用手順は同じです
【注意】
・FTPなどを使用して「診断ツール」をコピーする場合は必ず「バイナリ」モードを使用して
ください
コマンドラインから「診断ツール」
を実行
【注意】
・診断ツール(ファイル)に実行権が無い場合は「chmod」コマンドを使用して実行権を付与
してください。
文書管理番号: RD80-G-E08003
13/25
3).日本語コードを選択します。以後、選択したコードで表示されます。適切なコードを入力し「Enter」キーを
押してください。デフォルトは「EUC」になります。
4).「使用許諾契約」が表示されますので、内容をよく読んで下さい。問題がなければ [yes]を入力し「Enter」
キーを押してください。
適切な日本語コード番号と「Enter」
を入力
内容を確認した後、「yes」
と「Enter」を入力
文書管理番号: RD80-G-E08003
14/25
5).診断ツールを実行するときに使用する作業ディレクトリ(テンポラリディレクトリ)を入力し「Enter」キー
を押してください。その後入力確認が表示されますので問題なければ「yes」を入力し、「Enter」キーを押して
ください。修正する場合は「no」を入力し「Enter」キーを押すことで再度作業ディレクトリ入力に戻ります。
6).診断結果レポート返送時のパスワードを入力して、[Enter]キーを押してください。
【既にレポート作成ツールをお持ちの場合(通常はこちらです)】
この入力は無視していただいて結構ですので「Enter」キーのみ押してください。
【レポート作成ツールをお持ちでない場合】
パスワードは、1 バイトの表示可能文字(a~z、0~9等)を指定することが可能です(2バイト文字、および
非表示文字は指定できませんのでご注意ください)。
このパスワードは、「診断結果ファイル」を元に作成された「セキュリティ診断結果レポート」(WORD、EXCEL、
CSV)ファイルを圧縮してご返送する際に、その圧縮ファイルに付加されます。指定されたパスワードは、「セ
キュリティ診断結果レポート」を参照する際に必要になりますので厳重に保管してください。
作業ディレクトリと「Enter」を入力
自社でレポートを作成される場合は「Enter」のみ入力
文書管理番号: RD80-G-E08003
15/25
7).今すぐ診断実行する場合は、[Yes]を入力し、[Enter]キーを押してください →9)へすすみます
マシン負荷の低い夜間などの時間を指定して実行する場合は、[No]を入力し、[Enter]キーを押してください。
→8)へすすみます
8).開始時間(スケジュール)を設定する場合、開始時間を分単位(1分から50000分までの範囲で1分刻み)で
設定して「Enter」キーを押してください。
開始時間を確認し問題ない場合は、[Yes] を入力し[Enter]キーを押してください。これで指定した時間に診断
が開始されます。
開始時間を再設定する場合は[No]を入力し、「Enter」キーを押すことで入力表示に戻ります。
今すぐ診断を実行する場合は「yes」
と「Enter」を入力
この時間に診断が開始されます
文書管理番号: RD80-G-E08003
16/25
9).診断が開始されると以下のように表示されます。1分以上かかる項目については、経過時間が1分毎に表示さ
れます。
10).診断が完了すると以下のように表示されます。
【重要】
診断結果ファイルは赤枠部のディレクトリに格納されています。
ここで診断結果ファイルを別ディレクトリに保存してください。
このあと、作業ディレクトリの削除を実行してください(次ページ参照)。
診断の状態が表示されます
【注意】
・作業ディレクトリの削除を実行すると、作業ディレクトリ内にある診断結果ファイルも削除さ
れますので注意してください(必ずその前に診断結果ファイル(result-***.esi)を別ディレ
クトリに保存してください)。
文書管理番号: RD80-G-E08003
17/25
3.3 診断時に作成されたテンポラリディレクトリの削除
1).SolarisSecurityChecker を再度実行して下さい。診断時に作成された作業ディレクトリ(テンポラリディレ
クトリ)の削除が実行されます。
以上で診断は終了になります。
日本語コード番号と「Enter」を入力
作業ディレクトリの削除完了
文書管理番号: RD80-G-E08003
18/25
4. コマンドラインからの診断ツールの実行について
コマンドラインから引数を使用して診断ツールを実行することで、GUI(Unix の場合、対話形式の入力)を起
動することなく診断を実行することができます。
引数は、表 4.1のとおりです。
表 4.1 コマンドライン実行時に指定可能な引数
No. 引数 概要
1 -o 診断実行後、診断結果ファイルを格納するフォルダをフル
パスで指定します。省略することはできません
2 -d 診断実行時に使用する作業フォルダ(テンポラリフォルダ)
を指定します。省略可能です。省略した場合、以下のフォ
ルダを作業フォルダとして使用します。
Windows:C:\Program Files\ITServe-SecuDoc
Unix : /ITServe-SecuDoc
3 -h, -? 使用方法が表示されます
4 引数なし 通常のGUIモード(Unixの場合は対話形式モード)でプロ
グラムが実行されます。
【コマンド実行例】
Win10Checker.exe –o c:\outputFolder
4.1 コマンドラインからのセキュリティ診断の実行(Windows)
1).「診断ツール(Win***Checker.exe)」を診断対象マシンにコピーしてください(ここではWindows 10用診断
ツール(Win10Checker.exe)を実行します)。
2).コマンドプロンプト(cmd.exe)を起動してください。
3).「Win10Checker.exe –o c:\outputfolder」をコマンドラインから実行してください(診断結果ファイル格納
フォルダとして「c:\outputfolder」を指定。作業フォルダはデフォルトを使用)。
文書管理番号: RD80-G-E08003
19/25
4).診断実行中は、指定した「診断結果ファイル格納フォルダ」に「running.esi」というファイルが作成されま
す。
5).診断が完了すると「診断結果ファイル格納フォルダ」に「completed.esi」ファイルが作成され、診断結果フ
ァイルが格納されます。
文書管理番号: RD80-G-E08003
20/25
4.2 コマンドラインからのセキュリティ診断の実行(Unix)
1).「診断ツール(***Checker.exe)」を診断対象マシンにコピーしてください(ここではRed hat Enterprise Linux
用診断ツール(RedhatEnterpriseSecurityChecker)を実行します)。
2).診断対象マシンにrootでログインしてください。
3).「RedhatEnterpriseSecurityChecker –o /outputfolder」をコマンドラインから実行してください(診断結果
ファイル格納フォルダとして「/outputfolder」を指定。作業フォルダはデフォルトを使用)。
4).対話形式の入力をパスして診断が実行されます。
文書管理番号: RD80-G-E08003
21/25
5).診断が完了すると、次のとおり表示されます。
5).診断が完了すると「診断結果ファイル格納フォルダ」に診断結果ファイルが格納されます。
文書管理番号: RD80-G-E08003
22/25
5. ポリシーファイルの使用手順
ポリシーファイルを使用することで、セキュリティ診断の「しきい値」変更や、「診断項目」を個別に「有効/
無効」にすることが可能になります。「ポリシーファイル」は「診断ポリシー設定ツール」を使用して作成す
ることができます。
5.1 準備
1) セキュドック スタンダード「診断ポリシー設定ツール」を準備して下さい。
【補足】
・セキュドック スタンダード「診断ポリシー設定ツール」は以下の弊社ダウンロードサイトから入手して
ください。
URL:http://www.it-serve.co.jp/support/secudoc/download/secudoc_policy_files.html
2) 「診断ポリシー設定ツール」はZIP圧縮されていますので解凍してください(PolicyEditor.exe)
3) 「診断ポリシー設定ツール」の使用方法(ポリシーファイルの作成/設定変更等)については、「診断ポリシー
設定ツール 使用ガイド(操作編)」を参照ください。
【補足】
・「ポリシーファイル」は「Windows用(policy_windows.esi)」と「UNIX用(policy_unix.esi)」に分かれてい
ます。診断されるOSにあったものをお使いください。
5.2 今までお使いのポリシーファイルの編集
既にお使いいただいております「ポリシーファイル」につきましても、「診断ポリシー設定ツール」にその情報
をインポートして編集することができます。
使用方法につきましては、「診断ポリシー設定ツール 使用ガイド(操作編)」を参照ください。
診断ツール
ポリシー
ファイル
【診断ツール実行】
ポリシーファイルの設定を使用
して診断を実施
診断結果
ファイル
【注意】 ・「ポリシーファイル」のファイル名は絶対に変更しないでください。
診断
ポリシー
設定ツール 作成
文書管理番号: RD80-G-E08003
23/25
5.3 ポリシーファイルを使用した診断の実行
1) ポリシーファイルを使用した「セキュリティ診断」手順は「2章 Windows診断ツールの使用手順」「3章 Unix
診断ツールの使用手順」とまったく同じです。
ただし診断を実行する前に、以下のように「ポリシーファイル」を「診断ツール」と同じフォルダ/ディレクト
リにおいてください。
【Windowsの場合】
【UNIXの場合】
2)「診断ツール」は実行時、同じフォルダ/ディレクトリに「ポリシーファイル」があるとその設定内容をインポ
ートして診断を実行します。
【注意】 ・「ポリシーファイル」のファイル名「policy_windows.esi/policy_unix.esi」は絶対に変更しないでください。変更してしまうと、「診断ツール」は「ポリシーファイル」の存在を認識できな
くなります。
Win2012Chec
文書管理番号: RD80-G-E08003
24/25
5.4 ポリシーファイルを使用した診断の実行においてエラーが発生した場合
ポリシーファイルを使用して診断ツールを実行した直後に以下のようなエラーメッセージが表示された場合、
ポリシーファイルの記述に問題があります。
「診断ポリシー設定ツール」を使用して、ポリシーファイルの記述を正しく修正した後、再度診断を実行してく
ださい。「診断ポリシー設定ツール」の使用方法につきましては、「診断ポリシー設定ツール 使用ガイド(操作
編)」を参照ください。
【Windowsの場合】
【Unixの場合】
―以上―
・ セキュドック®は、東芝ITサービス株式会社の登録商標です。
・ 本資料掲載の会社名もしくは商品名等は、それぞれの会社が商標として使用している場合があります。
文書管理番号: RD80-G-E08003
25/25