サーバのパフォーマンスとセキュリティを向上させるためのベスト プラクティス
ベストプラクティスのフレームワーク、推奨事項、およびその他の準備タスクを使用すると、Security Manager サーバーの速度と信頼性を高めることができます。
注意 |
このチェックリスト内のタスクを完了することによって、すべてのサーバのパフォーマンスが向上するわけではありません。それでも、これらのタスクを完了しなかった場合は、Security Manager が設計どおりに動作しないことがあります。 |
このチェックリストは、推奨タスクの進捗を追跡するために使用できます。
タスク |
|||
1. サーバへのインストールが推奨されているすべてのアップデート、パッチ、サービス パック、ホット フィックス、およびセキュリティ ソフトウェアを探して、インストーラ アプリケーションを編成します。 |
|||
2. アップグレードが入手可能な場合は、サーバ BIOS をアップグレードします。 |
|||
3. シスコでは、Security Manager サーバーに他の製品をインストールしないことを推奨しています。 他の目的に使用しているサーバー上に Security Manager をインストールする場合は、すべての重要なサーバーデータをバックアップしてから、ブート CD または DVD を使用してサーバーからすべてのデータをワイプします。 Security Manager 4.24 と 4.2.2 以前のリリースの Common Services を 1 台のサーバー上にインストールまたは共存させることはできません。また、このマニュアルまたは http://www.cisco.com/go/csmanager に明記されていない場合は、サードパーティソフトウェアまたはその他のシスコソフトウェアと共存させることもできません。 |
|||
4. Security Manager は複数のネットワーク インターフェイスカードを持つことができますが、ロードバランシングのために複数の NIC をチーミングすることは推奨されません。 |
|||
5. サーバ管理用のメーカー カスタマイズが施されていないベースライン サーバ OS のみのクリーン インストールを実行します。 |
|||
6. ターゲット サーバ上に必要なすべての OS サービス パックと OS パッチをインストールします。使用している Windows バージョンに関してどのサービスパックまたはアップデートが必要なのかをチェックするには、[スタート(Start)] > [実行(Run)] を選択してから、wupdmgr と入力します。
|
|||
7. ドライバとファームウェアに関して推奨されているすべてのアップデートをターゲット サーバにインストールします。 |
|||
8. システム上でマルウェアをスキャンします。ターゲット サーバとその OS をセキュリティで保護するには、システム上でウイルス、トロイの木馬、スパイウェア、キーロガー、およびその他のマルウェアをスキャンしてから、見つかったすべての関連問題に対処します。 |
|||
9. セキュリティ製品の競合を解消します。ポップアップ ブロック、アンチウイルス スキャナ、他社の同等製品などのセキュリティ ツールに関する既知の非互換性または制約事項を理解して解決します。このような製品の競合や相互作用を理解するに当たって、インストール、アンインストール、または一時的にディセーブルにするものを決定し、従うべき順序を考慮します。 |
|||
10. 内部ユーザーアカウントの「強化」ターゲット サーバを総当たり攻撃から保護するには、ゲスト ユーザ アカウントをディセーブルにして、管理者ユーザ アカウントの名前を変更し、管理環境内の悪用される可能性のあるその他のユーザ アカウントを削除します。 |
|||
11. 管理者ユーザ アカウントと残りのユーザ アカウントに対して強力なパスワードを使用します。強力なパスワードは、8 文字以上で構成され、数字、文字(大文字と小文字の両方)、および記号が含まれています。
|
|||
12. 未使用のアプリケーション、不必要なアプリケーション、および互換性のないアプリケーションを削除します。次に例を示します。
|
|||
13. 未使用のサービスと不必要なサービスをディセーブルにします。Windows では、少なくとも、DNS クライアント、イベント ログ、プラグ アンド プレイ、保護された記憶域、およびセキュリティ アカウント マネージャを実行する必要があります。 ソフトウェアとハードウェアのマニュアルをチェックして、特定のサーバでその他のサービスが必要ないかどうかを確認します。 |
|||
14. TCP と UDP を除くすべてのネットワーク プロトコルをディセーブルにします。どのプロトコルもサーバへのアクセス権の取得に使用される可能性があります。ネットワーク プロトコルを制限することによって、サーバへのアクセス ポイントが制限されます。 |
|||
15. ネットワーク共有は作成しないでください。ネットワーク共有を作成しなければならない場合は、共有リソースを強力なパスワードで保護してください。
|
|||
|