Windows Server 2012R2でファイルサーバ!「セキュリティが万全」編

アウトレット特別特価

win_file_server

Windows Server 2012R2でファイルサーバ! 最新機能を紹介

  「速い」編
  「強化されたストレージ機能」編
  「拡張性が高い」編
  「信頼性が高い」編
  「セキュリティが万全」編

ここで述べるセキュリティとは、情報セキュリティの意であり、ウィルス対策とは異なり、ファイルサーバとしての利用を前提に、必要な人に、必要な情報を、完全な形で提供することを指します。

Windows ServerではActive Directory(AD)という機能があり、そのアクセス制御によって、アクセスレベル(フルコントロール、書き込み、読み取り、アクセスなしなどのアクセス許可)を定め、情報のセキュリティを行います。

Windows Server 2012R2では、最新のActive Directoryドメインサービス(AD DS)が利用できます。下記の新しい機能は、情報のセキュリティに対して大きく貢献すると考えられます。

ダイナミックアクセス制御

「ダイナミックアクセス制御」は、Windows 8 および Windows Server 2012以降に導入された、承認とアクセス制御の上級の機能です。

これまでは、例えばファイルサーバーの共有に対してアクセス制御を行う場合、Active Directoryのユーザーやグループに対してアクセス許可(アクセス制御エントリ: ACE)を設定したアクセス制御リスト(ACL)をファイルやフォルダーごとに設定する必要がありましたが、ダイナミックアクセス制御を利用すると、「集約型アクセス規則」というアクセス許可設定を中央で一元的に作成し、「集約型アクセスポリシー」としてグループポリシーを通じてファイルサーバーに配布できます。
サーバー管理者は、集約型アクセスポリシーを共有に割り当てるだけで、適切なアクセス許可設定を簡単に実装できます。
集約型アクセス規則では、従来のアクセス制御エントリ(ACE)に加えて、ユーザーやグループの属性、リソースプロパティに基づいた動的なアクセス許可を構成できます。

この機能を利用することで、社内の部門間異動などで権限を修正する必要が生じた場合でも、ドメインローカルグループのメンバーを変更するだけでファイルのアクセス許可を直接操作する必要がなくなるなど、運用の面で非常に柔軟となり、適切なアクセス制御を期待できます。

Protected Usersグループ

Windows Server 2012 R2のActive Directoryドメインには、Protected Usersというビルトインの新しいグローバルセキュリティグループが存在します。
このグループは、Windows 8.1を実行するPCやデバイスからの認証セキュリティをさらに強化するために利用できます。
Protected Usersのメンバーは、AES暗号化によるKerberos認証が必須とされ、強度の弱い暗号化のKerberos認証、NTLM認証、ダイジェスト認証、CredSSP認証、ユーザーアカウントのKerberos委任は使用できなくなります。
また、既定の Kerberos チケット保証チケット(TGT)の有効期限が4時間になり、4時間ごとの再認証を要求されます。
さらに、Windows 8.1クライアントのローカルにパスワードがキャッシュされなくなります。

BitLockerドライブ暗号化(BDE)

BitLockerドライブ暗号化は、Windows Vista EnterpriseおよびUltimateエディションで初めて提供された、ドライブ全体を暗号化して保護する企業向けのセキュリティ機能で、ノートPCやサーバーディスクの盗難への対策として想定されています。

BitLockerドライブ暗号化を利用する場合は、通常の方法でドライブのロックを解除できなくなってしまった場合に備えて、暗号化を有効にする際にロックを解除するための48桁の回復キーが生成されます。

しかし、この回復キーがあれば、誰でもロックを解除できてしまうため、安全な場所に厳重に保管しなければなりません。
従来は、回復キーはファイルに保存するか、印刷するか、Windows 8以降の場合はMicrosoftアカウント(クラウド)に保存するかを選択します。
Active Directoryのドメインメンバーであれば、グループポリシーを使用して、回復キーをActive Directoryに自動的に保存するように構成することができ、ユーザー自身による回復キーの管理を不要にできます。
TPM所有者パスワードのハッシュについても、同様にActive Directoryに保存するように構成できます。

ドメインの管理者は、ユーザーからの問い合わせに対して、Active Directoryから回復キーを検索してユーザーに提供できます。
また、TPM 所有者パスワードのハッシュからTPM所有者パスワードファイルを作成して、ユーザーに提供することもできます。

AD RMS(Active Directory Rights Managementサービス)

Active Directory Rights Managementサービス(AD RMS)およびAD RMSクライアントを使用することで、永続的な使用ポリシーを介して情報を保護し組織のセキュリティ戦略を補強できます。
この使用ポリシーは、情報をどこに移動しても、その情報と共に保存されます。AD RMSを使用すると、財務レポート、製品仕様、顧客データ、重要な電子メールなどの機密情報が誤って悪意のあるユーザーに漏洩するのを防ぐことができ、悪意のあるユーザーはこれらの機密情報を意図的に入手できなくなります。

Microsoft Office 2003 ProfessionalおよびMicrosoft Office 2007 Professional Plus以降のWord、Excel、PowerPoint、Outlookのメールに対して利用できます。

Windows Server 2012 R2でのファイルサーバ構築

SMBであれば、情報の共有自体はNASで事足りる場合がありますが、今まで述べてきた機能を駆使することで、より高度で生産性の高いシステムの構築が可能になります。

このWindows Server 2012R2を当店なら、どこよりもお手軽にご提供可能です。

また当店では、MCP取得の専門技術者が在籍しておりますので、ご希望の要件に従った構築サービスも行っております。
ご希望がございましたら、お気軽にお問い合わせください。


WindowsServer2012R2バンドルセール