トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・プロトコル設定 のバックアップ(No.6)

情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?

プロトコル設定

Windows

Windows SMB

SMBv1はランサムウェアの攻撃を受ける脆弱性を持っています。このため、SMBv1を無効にする必要があります。 Linux ベースのNASやSambaをFile Serverとして使用する例は多数あるため、3.2.3 Linux Samba SMBも参照し、SMBv1の存在に注意してください。
Microsoft Windows と Windows Server で SMBv1、SMBv2、SMBv3 を検出する方法と有効または無効にする方法: https://support.microsoft.com/ja-jp/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server

  • 警告 SMBv2 または SMBv3 は無効にしないことをお勧めします。 あくまでも "一時的な" トラブルシューティング手段として、SMBv2 または SMBv3 を無効にしてください。 SMBv2 または SMBv3 を無効なままにしないでください。
  • SMBの各バージョンと、対応しているWindows OS
    SMBのバージョン対応しているWindows OS
    SMB 1.0(SMBv1)Windows 2000/XP/Vista/7/8/8.1/10、Windows 2000 Server/Windows Server 2003/2003 R2/2008/2008 R2/2012/2012 R2/2016
    SMB 2.0Windows Vista/7/8/8.1/10、Windows Server 2008/2008 R2/2012/2012 R2/2016
    SMB 2.1Windows 7/8/8.1/10、Windows Server 2008 R2/2012/2012 R2/2016
    SMB 3.0Windows 8/8.1/10、Windows Server 2012/2012 R2/2016
    SMB 3.02Windows 8.1/10、Windows Server 2012 R2/2016
    SMB 3.11Windows 10、Windows Server 2016
    出典:https://www.atmarkit.co.jp/ait/articles/1705/17/news043_3.html

Windows TLS

SSL3.0、TLS1.0、TLS1.1には脆弱性があります。主要なブラウザは2020年にTLS1.1以下のプロトコルのサポートを中止します。
さくらインターネット ついにTLS 1.0/1.1の無効化が決定!影響や確認・対応方法とは?: https://ssl.sakura.ad.jp/column/tls-invalidation/

Microsoft トランスポート層セキュリティ (TLS) のレジストリ設定: https://docs.microsoft.com/ja-jp/windows-server/security/tls/tls-registry-settings

Linux

Samba SMB

/etc/samba/smb.conf の [global] に以下の項目を追記します。

 
[global]~
server min protocol = SMB2~

出典:http://www.samba.gr.jp/project/translation/4.1/htmldocs/manpages/smb.conf.5.html

TLS1.0とTLS1.1の無効化

TLS1.2 を使うには OpenSSL のバージョンが 1.0.1 以上であることが必要です。

$ openssl version~
OpenSSL 1.0.2k-fips 26 Jan 2017

次の設定は、Apache httpd サーバーで TLS1.0 と TLS1.1 を無効にします。

vi /etc/httpd/conf.d/ssl.conf~

SSLProtocol -all +TLSv1.2

設定後、Apache httpd を再起動してください。