皆様、こんにちは。 マイクロソフトのプリセールス エンジニアのチームです。
このブログでは、マイクロソフトの Core Infra 製品 [Windows Server, Windows Client, System Center, ForeFront] に関する情報をお伝えしていきます。
皆様の業務に役立つ情報をご提供できれば、と考えておりますのでよろしくお願いいたします。

# これまでインフラチームでは Windows Server、 Windows Client、マネジメント & セキュリティ の
　3つに分かれてブログを運営しておりました。
　今後はこちらの「Windows インフラチーム ブログ」に統合されますので、リンクをいただいていた方は
　お手数ですが、変更をお願いいたします。

　Windows Server 使い倒し塾　　　   ：http://blogs.technet.com/b/windowsserverjp/
　Windows くらいあんと通信　　　　　：http://blogs.technet.com/b/wincltjp/
　運用管理とセキュリティのウタタゴト：http://blogs.technet.com/b/mgmtsecjp/

皆様こんにちは

セキュリティチームです。
本日は、Forefront Threat Management Gateway (TMG) の仮想パッチという機能についてお話を致します。

TMGは、ISA 2006 の後継製品で、ISA 2006の機能を踏襲しつつも、新機能を実装することで、よりUTM化を推し進めた製品になります。
本日のお話である仮想パッチは、一般的に言うところの、IPS の機能です。

企業環境の場合、セキュリティ更新プログラムの適用までのリードタイムが非常に危険な時間帯と言えますが、常時稼動を必須とされるようなサーバー等、現実的には、即座にセキュリティ更新プログラムを適用する事は難しい状態となっています。また、ミッションクリティカルなシステム全般に言える事ですが、適用すべきセキュリティ更新プログラムの選定、検証、展開等のプロセスを経て適用が行われる以上、適用までの時間を短縮するには限界が出てしまいます。

こういった時に、TMGの仮想パッチ機能が役に立ちます。

TMGの仮想パッチ機能では、脆弱性を狙った攻撃に対する定義ファイルを随時更新しておくことで、攻撃ペイロードを含む通信自体を切断する事で、セキュリティ更新プログラムが、サーバーやクライアントに適用されていない状態でも、攻撃を食らうリスクを低減する事ができます。

下記がTMG仮想パッチ機能の実際の画面ですが、ご覧の通り、TMGの仮想パッチ機能では、定義ファイルとセキュリティ更新プログラムの型番が紐づいて提供されますので、どの型番を狙った攻撃に対応しているかが一目で分かるようになっています。



パケットをドロップし、通信自体を切断することもできますし、「検出のみ」を行うこともできます。
この手の機能は、導入する際に懸念となるのが、誤検出によって正常な業務の通信まで止めてしまうことですが、「検出のみ」にしていると、攻撃の検出やログへの記録は行いますが、通信自体は止めずに通してしまう運用が可能になりますので、検証にも最適です。

このTMGを、守りたいサーバーの前に置くだけで、バックエンドのサーバーにセキュリティ更新プログラムが適用されていなくても、攻撃をうけるリスクを低減する事ができますので、ご興味のある方は、評価版を使って、是非お試しください！

TMG評価版
http://technet.microsoft.com/ja-jp/evalcenter/ee423778.aspx

TMG Technet
http://technet.microsoft.com/ja-jp/library/ff355324.aspx
 

皆様こんにちは、今回は ISA Server の後継製品である、Forefront Threat Management Gateway(TMG)2010 のURL フィルタリング機能について紹介致します。
URL フィルタリング機能は、従業員が業務に関係ないサイトの閲覧、悪意のあるサイトへの接続をカテゴリにもとづいてブロックします。
Microsoft Reputation Service(Microsoft 評価サービス)によって評価された、URL のカテゴリリストはマイクロソフトのデーターセンター内で保持しています。
カテゴリリスト画面

 フィルタリングの動作の流れは、ユーザーが“http://www.microsoft.com” の閲覧を行うと、プロキシサーバーとして構成された TMG にリクエストが届きます。リクエストを受けた TMG は MRS に対して“http://www.microsoft.com” がどのカテゴリに属しているか照会を行います。照会を受けた MRS は登録されたカテゴリをTMGに返します。(“http://www.microsoft.com” は一般ビジネスにカテゴライズされています)TMG の WEB アクセスルールで一般ビジネスのカテゴリが許可されている場合ユーザーはページを表示し閲覧が可能となります。
TMG では Active Direcroty(AD) を参照することで、AD のユーザー、セキュリティグループでインターネットへのアクセスを制御することも可能です。また、AD と連携することでアクセスログに個人を特定できるログを取得することも可能です。
ログ画面
 

MRS で評価される URL は管理者が事前に TMG の管理コンソールから URL を入力しカテゴリを確認することも可能です。
URL カテゴリ確認画面

TMG SP1からは閲覧が禁止されているサイトであってもユーザーがOverride(上書き設定)を行う事で管理者が指定した時間内だけ閲覧を行う事も可能です。この場合、TMG のログに誰がどのサイトをOverride したか記録を残すことも可能です。
Override画面


以下 URL から評価版のダウンロードも可能ですので興味のある方は是非お試し下さい。
評価版：http://technet.microsoft.com/ja-jp/evalcenter/ee423778.aspx
技術情報：http://technet.microsoft.com/ja-jp/library/ff684071.aspx
製品ホームページ：http://www.microsoft.com/japan/forefront/threat-management-gateway/default.mspx

皆さん、こんにちは、2週間ほど更新できておりませんでしたが、また再開させていただきます。今後ともよろしくお願いいたします。
涼しくなりましたね。あの夏の猛暑はどこに！？といった感じです。うちの犬は暑さに非常に弱く、夏の間は夜中に散歩させないといけない状態で、また散歩に出てもすぐにバテバテ状態になり、ウチに帰ると水をがぶ飲みしておりました。でも今は軽快（？）な足取りで散歩をしております。

さて今回は、以前に出版させていただきました「Active Directory ID 管理ガイド Forefront Identity Manager 2010で実装する ID統合ソリューション」（通称：青本）の環境構築時の注意事項を紹介させていただきます。

FIM 2010では、ID管理ポータルを利用する事で同期対象の属性のマッピングや属性データの加工処理はポータル上（GUI）で定義することができます。
そのため、ILM 2007では、管理エージェント（MA）で定義していた、属性のマッピングは不要となり、FIM 2010では、MAの種類、接続先、接続するユーザーID/パスワード、同期対象オブジェクトなど、最低限の定義のみすれば良くなっています。（設定が非常に簡単になりました。）
ID管理ポータルを利用するためには、コンポーネントのインストールは勿論ですが、ID管理ポータル用DBである FIM Service DBを構成していただき、さらにポータルと同期サービスを連携させるためにMAを定義していただく必要があります。
ID 管理ポータル用のMA（FIM Service Management Agent）は、通常のMAと同様にSynchronization Service Manager（ILM 2007の管理コンソールと同等の同期サービス用の管理コンソール）を利用してMAの定義を行いますが、他のMAとは異なり、属性のマッピングを行う必要があります。具体的には「Configure Attribute Flow」にて属性のマッピングの指定を行います。（詳細はFIM 青本 P65 3.3 「Synchronization Service Manager」による設定をご参照ください。）
前置きが長くなりましたが、このような設定を行う必要があるのですが、ここで注意事項がございます。
この「Configure Attribute Flow」で既定にて設定されている項目が、FIM 2010 RTM版とFIM 2010 Update1版では異なります。
FIM 2010 RTM版の「Configure Attribute Flow」画面では、同期対象オブジェクトであるUserおよびGroupに既定で設定されている属性は最低限の属性しか定義されていません。しかし、FIM 2010 Update1版では、同期対象オブジェクトのユーザーおよびグループに対して既定で「detectedRulesList」および「expectedRulesList」が定義されています。以下にFIM 2010 RTM版とFIM 2010 Update1版のそれぞれ既定の「Configure Attribute Flow」画面を示します。

 
●FIM 2010 RTM版「Configure Attribute Flow」画面

●FIM 2010 Update1版「Configure Attribute Flow」画面

 このRTM時では「detectedRulesList」および「expectedRulesList」は手動にて追加登録する必要がありましたが、Update1では既定でｌこれらの属性が追加されています。
この「detectedRulesList」および「expectedRulesList」は、FIM 2010でID管理ポータルで定義された同期規則を含めた管理ポリシーの情報が登録されプロビジョニン時に処理される機能を担っており、ID管理ポータルと密接な関係を持った属性です。簡単に表現すると、属性を追加しなかった場合、ID管理ポータル上で定義した管理ポリシーの処理が行われなくなります。

FIM 青本では、FIM 2010 Update1を前提に記載していますので、この設定作業の詳細は記載しておりません。RTM版ベースで環境を構築する場合は、「Configure Attribute Flow」画面で「detectedRulesList」および「expectedRulesList」を手動で追加する作業が発生しますのでご注意ください。（P86 8.［Configure Attribute Flow］画面の設定を参照）

今後も、FIM 2010関連の情報を提供させていただきますので、今後ともよろしくお願いいたします。

皆様こんにちは

今回は再びTMGのお話です。

ご存知の通り、TMGには Firewall , IPS , Anti-Virus , URL フィルタリング等、様々な機能が実装されているわけですが、多くご利用頂いているシナリオの一つに「監査ログ」があります。
以前のブログでもお伝えした通り、TMGにはURL フィルタリングの機能が実装されており、ビジネスに不必要なサイト等に対してアクセス制限をかけることで、「君子危うきに近寄らず」な構成を実現する事ができます。

更に、近年では、「誰がどこを閲覧しているのか？」を知りたい、ログにとっておきたいという要望が多くあり、TMGの監査ログ機能で実現する事ができます。
TMGの監査ログ機能では、TMGを介して行われる通信の送信元を Active Directory と連携する事で、ユーザー名で記録する事ができます。

また、監査ログでは、監査証跡としての信頼性が重要になります。
通常のプロキシやファイアウォールでは、送信元をＩＰアドレスでロギングする事はできますが、これだと、ＤＨＣＰ等により動的なアドレス配布を実施している環境に置いては、送信元を特定するための監査証跡としては信頼性に欠けると言えます。無線ＬＡＮを導入されている環境であれば、ＤＨＣＰによる動的なアドレス配布が多いため、該当する環境も多いのではないでしょうか。

また、静的な固定ＩＰアドレス環境であっても、管理者権限を持たせて運用しているような環境であれば、ＩＰアドレスは変更することができてしまいます。
このケースも監査証跡の信頼性に欠けると言えます。 監査証跡の信頼性を確保するには、「識別され、認証された」識別子を利用する事が大事ですが、TMG監査ログの機能を利用する事で、ユーザー名という「識別され、認証された」識別子をもってロギングする事が可能になるというわけです。

下記がＴＭＧで記録された通信ログですが、ドメイン名\ユーザー名の形式でしっかりと送信元ユーザー名が記録されています。更に、CONTOSO\junnoake が、カテゴリ「検索エンジン」のbingを閲覧している事がわかります。



また、監視を持って社員が不正を働く抑止力とする考え方が一般的に浸透しつつあります。ＴＭＧで��得した監査ログを毎月部長に提示する等、監視を告知する事で、より抑止力を向上する事ができ、ビジネスに対するリソースの集中化を図ると同時に、不正を抑止する効果が期待できます。 ネットワークの監査ログを検討されている方は是非一度お試し下さい。