#author("2020-03-08T15:37:15+09:00","","")
[[IPAセキュリティPT評価版]]
*プロトコル設定 [#d944a587]
**Windows [#m9b75d8e]
***Windows SMB [#f80a8fa2]
SMBv1はランサムウェアの攻撃を受ける脆弱性を持っています。このため、SMBv1を無効にする必要があります。 Linux ベースのNASやSambaをFile Serverとして使用する例は多数あるため、3.2.3 Linux Samba SMBも参照し、SMBv1の存在に注意してください。~
Microsoft Windows と Windows Server で SMBv1、SMBv2、SMBv3 を検出する方法と有効または無効にする方法: https://support.microsoft.com/ja-jp/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server~
-警告 SMBv2 または SMBv3 は無効にしないことをお勧めします。 あくまでも "一時的な" トラブルシューティング手段として、SMBv2 または SMBv3 を無効にしてください。 SMBv2 または SMBv3 を無効なままにしないでください。
-SMBの各バージョンと、対応しているWindows OS
|CENTER:150|CENTER|c
|SMBのバージョン|対応しているWindows OS|h
|SMB 1.0(SMBv1)|Windows 2000/XP/Vista/7/8/8.1/10、Windows 2000 Server/Windows Server 2003/2003 R2/2008/2008 R2/2012/2012 R2/2016|
|SMB 2.0|Windows Vista/7/8/8.1/10、Windows Server 2008/2008 R2/2012/2012 R2/2016|
|SMB 2.1|Windows 7/8/8.1/10、Windows Server 2008 R2/2012/2012 R2/2016|
|SMB 3.0|Windows 8/8.1/10、Windows Server 2012/2012 R2/2016|
|SMB 3.02|Windows 8.1/10、Windows Server 2012 R2/2016|
|SMB 3.11|Windows 10、Windows Server 2016|
出典:https://www.atmarkit.co.jp/ait/articles/1705/17/news043_3.html
***Windows TLS [#o371951c]
SSL3.0、TLS1.0、TLS1.1には脆弱性があります。主要なブラウザは2020年にTLS1.1以下のプロトコルのサポートを中止します。~
さくらインターネット ついにTLS 1.0/1.1の無効化が決定!影響や確認・対応方法とは?: https://ssl.sakura.ad.jp/column/tls-invalidation/~
Microsoft トランスポート層セキュリティ (TLS) のレジストリ設定: https://docs.microsoft.com/ja-jp/windows-server/security/tls/tls-registry-settings
**Linux [#hf7bdf42]
***Samba SMB [#v96b80c9]
/etc/samba/smb.conf の [global] に以下の項目を追記します。
#br
[global]~
server min protocol = SMB2~
出典:http://www.samba.gr.jp/project/translation/4.1/htmldocs/manpages/smb.conf.5.html
***TLS1.0とTLS1.1の無効化 [#zbb56fda]
TLS1.2 を使うには OpenSSL のバージョンが 1.0.1 以上であることが必要です。
$ openssl version~
OpenSSL 1.0.2k-fips 26 Jan 2017
次の設定は、Apache httpd サーバーで TLS1.0 と TLS1.1 を無効にします。
vi /etc/httpd/conf.d/ssl.conf~
SSLProtocol -all +TLSv1.2
設定後、Apache httpd を再起動してください。
