Windows Server による セキュアな SAP システムの 構築と運用
description
Transcript of Windows Server による セキュアな SAP システムの 構築と運用
Windows Server Windows Server によるによるセキュアな セキュアな SAP SAP システムのシステムの
構築と運用構築と運用
マイクロソフト株式会社マイクロソフト株式会社
AgendaAgenda
1.1. はじめにはじめに2.2. セキュアな セキュアな SAP SAP システムの構築システムの構築
- - ハードニングハードニング3.3. セキュアな セキュアな SAP SAP システムの運用システムの運用
- - パッチマネジメントパッチマネジメント4.4. セキュアな セキュアな SAP SAP システムの運用システムの運用
- - アンチウイルスソフトウエアアンチウイルスソフトウエア5.5. まとめまとめ6.6. (参考)過去の脆弱性の整理(参考)過去の脆弱性の整理
1.はじめに1.はじめに
セキュリティインシデントの現状セキュリティインシデントの現状
コンピュータシステムを襲うウイルスのコンピュータシステムを襲うウイルスの猛威猛威
Code Red, Nimda, SQLSlammer, MSBlast, SCode Red, Nimda, SQLSlammer, MSBlast, Sasser ….asser ….
情報処理進行事業協会セキュリティセンター( IPA/ISEC ) Web ページより
http://www.ipa.go.jp/security/txt/2003/12.html
SAP SAP システムは、最もセキュアに保護しシステムは、最もセキュアに保護したいたい
基幹系である 基幹系である SAP SAP システムは、保持するシステムは、保持するデータの価値が非常に高いデータの価値が非常に高い
とは言っても、セキュリティ更新プログラとは言っても、セキュリティ更新プログラムの適用は(以下の理由から)最小限に留ムの適用は(以下の理由から)最小限に留めたいめたい
(多くの場合)システム停止が必要(多くの場合)システム停止が必要事前テストが必要事前テストが必要
SAP SAP システム管理者の声システム管理者の声
この文書の目的この文書の目的
今回ご紹介するセキュリティソリューショ今回ご紹介するセキュリティソリューションをンを実践する事で、以下の3つを実現できます実践する事で、以下の3つを実現できます
SAP システムのセキュリティを強化する
SAP システムのダウンタイムを抑える
Windows ならではの低い運用コストを維持する
SAP-Microsoft SAP-Microsoft コンピテンスセンターにコンピテンスセンターにおける技術検証結果を是非ご活用下さいおける技術検証結果を是非ご活用下さい
(※)セキュリティ対策とは?(※)セキュリティ対策とは?
ウイルス、ワームからの防御ウイルス、ワームからの防御クライアントサイドクライアントサイド
アンチウイルス、パッチマネジメンアンチウイルス、パッチマネジメント、ト、 IDS etcIDS etc
サーバーサイドサーバーサイドハードニング(ネットワーク、サービス、ハードニング(ネットワーク、サービス、他)他)パッチマネジメントパッチマネジメントアンチウイルスアンチウイルスEtcEtc
不正アクセスからの防御不正アクセスからの防御
2.セキュアな 2.セキュアな SAP SAP システムの構システムの構築築 - - ハードニングハードニング
ハードニングとはハードニングとは
定義: SAP システムの稼動に最低限必要なプラットフォーム 機能のみを残すこと
効果1:セキュリティの強化 - SAP システムが無用な脆弱性リスクに晒される事を防止し、 コンピュータウイルス等による攻撃を最大限ブロックできる
効果2:アベイラビリティの確保 - システム停止を伴うことが多いセキュリティ更新プログラム の適用頻度を最低限にとどめる事ができる
効果3:低い運用コストの維持 - ユーザーサイドでのテストが必要なセキュリティ更新プログラム の適用頻度を最低限にとどめる事ができる
ネットワークのハードニングネットワークのハードニング
SAP SAP システムに不要な通信をブロックすシステムに不要な通信をブロックする為のパケットフィルタリングを実施する為のパケットフィルタリングを実施するる
IPSec IPSec ポリシースクリプトの適用(各ホストポリシースクリプトの適用(各ホスト単位)単位)ファイアウォール、ルータ、レイヤ3スイッファイアウォール、ルータ、レイヤ3スイッチ、チ、SAP Router SAP Router などの配備(各サブネット単などの配備(各サブネット単位)位)サブネット単位、ホスト単位双方を組み合わサブネット単位、ホスト単位双方を組み合わせせれば、よりセキュアな環境にれば、よりセキュアな環境に
WWW( ITS 用 )
WWW( EP 用 )
WWW(社外用)
WWW( ITS 用 )
RAS DNS Mail VPN
WWW( EP 用 ) DNS
Web電話回線など
Router
Directory
SAP DB
DMZ セグメント
Proxy
WWW FTP
ITS EP・・・
MailFile
WWW(社外用)
(※)企業ネットワークにおける (※)企業ネットワークにおける ネットワークハードニング例ネットワークハードニング例
Firewall 等
社内セグメント
RAS セグメント
社内サーバーセグメント
SAP サーバーセグメン
ト
(※)ネットワークのハードニング・(※)ネットワークのハードニング・実装例実装例
各ホスト単位のネットワークハードニングをま各ホスト単位のネットワークハードニングをまず実施ず実施単一障害点(単一障害点( Single Point of failureSingle Point of failure )となる )となる SSAP AP サーバー群は、「サーバー群は、「 SAP SAP サーバーセグメンサーバーセグメント」としてト」として別のサブネットに含め、ネットワーク機器等に別のサブネットに含め、ネットワーク機器等によるハードニングを追加してよりセキュアにすよるハードニングを追加してよりセキュアにするる
SAP SAP セントラルインスタンス、セントラルインスタンス、 DB DB インスタンスなインスタンスなどど
それ以外のサーバー群は、順次セキュリティ更それ以外のサーバー群は、順次セキュリティ更新新プログラムを適用できるように冗長構成にしてプログラムを適用できるように冗長構成にしておくおく
SAP SAP ダイアログインスタンス、ダイアログインスタンス、 ITS Agate/Wgate ITS Agate/Wgate などなど
パケットフィルタリングに際しての注パケットフィルタリングに際しての注意点意点
Active Directory Active Directory (とその通信相手)は多(とその通信相手)は多くのポートで通信する点に注意するくのポートで通信する点に注意するどのポートが利用されているかが不明などのポートが利用されているかが不明な場合は、ネットワークモニタなどのツール場合は、ネットワークモニタなどのツールをを活用する活用する
サービスのハードニングサービスのハードニング
SAP SAP システムの稼動に不要なサービスをシステムの稼動に不要なサービスを無効化する無効化する
パフォーマンス上のメリットもあるパフォーマンス上のメリットもある
サービスの内容 起動オプション
システムの稼動に不要な事が明らかなサービス 無効システムの稼動に必要な事が明らかなサービス 自動それ以外のサービス 手動
サービス無効化に際しての注意点サービス無効化に際しての注意点
無効化する前にサービスの内容をよく確認無効化する前にサービスの内容をよく確認Windows Server Windows Server セキュリティガイドを参照セキュリティガイドを参照
それぞれのシステム環境における入念なそれぞれのシステム環境における入念なテストを実施した後、無効化するサービステストを実施した後、無効化するサービスをを決定する決定する
別紙で掲げている 「別紙で掲げている 「 SAP SAP システムに必要なシステムに必要なサービス」以外を、全て無条件に無効化してサービス」以外を、全て無条件に無効化してよい訳ではないよい訳ではない
その他のハードニングその他のハードニング
対策対策OS, DB, Web, OS, DB, Web, アプリケーション(アプリケーション( SAPSAP )と)といった様々な側面から詳細なハードニングをいった様々な側面から詳細なハードニングを実施実施
効果効果セキュリティ設定を詳細にカスタマイズセキュリティ設定を詳細にカスタマイズ
その他のハードニングその他のハードニング
Windows Server Windows Server セキュリティ運用ガイドセキュリティ運用ガイドhttp://www.microsoft.com/japan/technet/security/prodtech/windowshttp://www.microsoft.com/japan/technet/security/prodtech/windows/windows2000/staysecure/default.asp/windows2000/staysecure/default.asp http://www.microsoft.com/japan/technet/security/prodtech/win2003/http://www.microsoft.com/japan/technet/security/prodtech/win2003/w2003hg/sgch00.aspw2003hg/sgch00.asp
脅威とその対策: 脅威とその対策: Windows Server 2003 Windows Server 2003 ととWindows XP Windows XP のセキュリティ対策のセキュリティ対策
http://www.microsoft.com/japan/technet/security/prodtech/winclnt/shttp://www.microsoft.com/japan/technet/security/prodtech/winclnt/secwinxp/default.aspecwinxp/default.asp
設計から堅固な実装へ: 設計から堅固な実装へ: IIS 5.0 IIS 5.0 セキュリティガイドセキュリティガイドhttp://www.microsoft.com/japan/technet/prodtechnol/iis/iis5/http://www.microsoft.com/japan/technet/prodtechnol/iis/iis5/deploy/depovg/securiis.aspdeploy/depovg/securiis.asp
SQL Server SQL Server セキュリティ資料セキュリティ資料http://www.sqlpassj.org/bunkakai/security/default.aspxhttp://www.sqlpassj.org/bunkakai/security/default.aspx
SAP Network Integration Guide, SAP Security GuideSAP Network Integration Guide, SAP Security Guidehttp://service.sap.com/netweaverhttp://service.sap.com/netweaver - SAP Netweaver Japan- SAP Netweaver in Detail – Network- SAP Netweaver Japan- SAP Netweaver in Detail – Network- SAP Netweaver in Detail – Security – Security in Detail- SAP Netweaver in Detail – Security – Security in Detail
などなどなどなど
その他のハードニングその他のハードニング(テンプレートを利用したハードニ(テンプレートを利用したハードニング)ング)Windows Server 2003 Windows Server 2003 セキュリティガイドとセキュリティガイドと
添付のテンプレートを利用して効率よくハードニ添付のテンプレートを利用して効率よくハードニングング
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelistC1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist
ハードニングにあたっての注意点ハードニングにあたっての注意点
要求されるセキュリティレベルの明確化要求されるセキュリティレベルの明確化システムの仕様調査システムの仕様調査
SAP SAP システムだけでなく システムだけでなく SAP SAP 以外のシステ以外のシステムもムも必要なサービス、通信経路、ポート・・・必要なサービス、通信経路、ポート・・・
ハードニング項目の洗い出しハードニング項目の洗い出しサービス、ネットワーク、その他のハードニサービス、ネットワーク、その他のハードニングング
ハードニング実装に伴うコストと効果の予ハードニング実装に伴うコストと効果の予測測ハードニング項目の決定ハードニング項目の決定何を、どこまでやるか?の決定何を、どこまでやるか?の決定
各モジュール(各モジュール( OS, DB, Web, SAPOS, DB, Web, SAP )をセ)をセットアップする度に、そのとき可能なハーットアップする度に、そのとき可能なハードニングを都度実装する事が、セキュリテドニングを都度実装する事が、セキュリティ上は最もィ上は最も望ましい望ましい但し、ネットワークから切り離したセット但し、ネットワークから切り離したセットアップが出来るなどの場合は、ハードニンアップが出来るなどの場合は、ハードニングをグをある程度まとめて実装しても、特に問題はある程度まとめて実装しても、特に問題はなしなし
ハードニングにあたっての注意点ハードニングにあたっての注意点
ハードニングを(一挙に行わず)ステップバイスハードニングを(一挙に行わず)ステップバイステップで実装していき、都度稼動確認を推奨テップで実装していき、都度稼動確認を推奨
いざという時はロールバックするいざという時はロールバックする
システム構成のバックアップ(※ 1)、またはロールバック手段の確保
ハードニングのステップバイステップでの実装
稼動確認
最終セキュリティチェック(※ 2)
サーバー毎やハードニング毎に繰り返す(問題が発生した場合はロールバックする )
(※1) Windows Server 2003 の ASR バックアップ、もしくはサードパーティのイメージバックアップツール。(※2) Microsoft Baseline Security Analyzer などを利用する。
ハードニングにあたっての注意点ハードニングにあたっての注意点
3.セキュアな 3.セキュアな SAP SAP システムの運システムの運用用 - - パッチマネジメントパッチマネジメント
パッチ展開パッチ展開パッチ展開パッチ展開
現状分析現状分析現状分析現状分析
情報収集情報収集情報収集情報収集
実施項目実施項目実施項目実施項目
セキュリティ維持のプロセスセキュリティ維持のプロセス
セキュリティ脆弱性情報収集セキュリティ脆弱性情報収集セキュリティ脆弱性情報収集セキュリティ脆弱性情報収集
自社での影響と緊急度の判定自社での影響と緊急度の判定自社での影響と緊急度の判定自社での影響と緊急度の判定
展開の計画策定展開の計画策定ステージング環境によるテスト実施ステージング環境によるテスト実施本番適用とロールバック本番適用とロールバック
展開の計画策定展開の計画策定ステージング環境によるテスト実施ステージング環境によるテスト実施本番適用とロールバック本番適用とロールバック
結果監視結果監視結果監視結果監視 全社のポリシー適用状況の監視全社のポリシー適用状況の監視ポリシー違反のフードバックプロセス実施ポリシー違反のフードバックプロセス実施
全社のポリシー適用状況の監視全社のポリシー適用状況の監視ポリシー違反のフードバックプロセス実施ポリシー違反のフードバックプロセス実施
作業内容作業内容作業内容作業内容
情報収集情報収集(サーバーサイド・クライアントサイド)(サーバーサイド・クライアントサイド)
毎月第2水曜日(日本時間)に、「月間セ毎月第2水曜日(日本時間)に、「月間セキュリティ情報サイト」より脆弱性情報をキュリティ情報サイト」より脆弱性情報をチェックチェック
http://www.microsoft.com/japan/technet/http://www.microsoft.com/japan/technet/security/bulletin/monthly.aspsecurity/bulletin/monthly.asp
現状分析現状分析 (サーバーサイド) (サーバーサイド)
SAP SAP システムのサーバー群に関与するか?システムのサーバー群に関与するか?Windows Server 2003/2000 Server/NT ServerWindows Server 2003/2000 Server/NT Server
(利用している場合)(利用している場合) IIS, SQL Server IIS, SQL Server
※ ※ SAP SAP サーバー上での サーバー上での Internet Explorer, Office, Internet Explorer, Office, Windows Media Windows Media の利用を禁止する等、運用を工夫の利用を禁止する等、運用を工夫すれば、これらの脆弱性はリスク評価の対象外にできすれば、これらの脆弱性はリスク評価の対象外にできるる
「最大深刻度」のレベルは?「最大深刻度」のレベルは?「回避策」は実装済みか?または追加実装可能か?「回避策」は実装済みか?または追加実装可能か?
例)ファイアーウォールで 例)ファイアーウォールで XXXX XXXX をブロックするをブロックする最大深刻度 定義 リスク
緊急 (Critical) この脆弱性が悪用された場合、インターネット ワームがユーザーの操作なしで蔓延する可能性があります。 高
重要 (Important) この脆弱性が悪用された場合、ユーザーのデータの機密性、完全性または可用性が侵害される可能性があります。または、処理中のリソースの完全性または可用性が侵害される可能性があります。
警告 (Moderate) この脆弱性が悪用された場合、既定の構成、監査または悪用が困難であることなどの要素により、悪用される可能性は大幅に緩和されます。
注意 (Low) この脆弱性の悪用は非常に困難です。または影響はわずかです。 低
現状分析現状分析 (クライアントサイド) (クライアントサイド)
SAP SAP システムのクライアント群に関与するか?システムのクライアント群に関与するか?Windows XP/2000/NT/Me/98 Windows XP/2000/NT/Me/98 (( Internet Explorer, Internet Explorer, Windows Media Player Windows Media Player 等を含む)等を含む) , Office , Office などなど
「最大深刻度」のレベルは?「最大深刻度」のレベルは?「回避策」は実装済みか?または追加実装可能か?「回避策」は実装済みか?または追加実装可能か?
最大深刻度 定義 リスク
緊急 (Critical) この脆弱性が悪用された場合、インターネット ワームがユーザーの操作なしで蔓延する可能性があります。 高
重要 (Important) この脆弱性が悪用された場合、ユーザーのデータの機密性、完全性または可用性が侵害される可能性があります。または、処理中のリソースの完全性または可用性が侵害される可能性があります。
警告 (Moderate) この脆弱性が悪用された場合、既定の構成、監査または悪用が困難であることなどの要素により、悪用される可能性は大幅に緩和されます。
注意 (Low) この脆弱性の悪用は非常に困難です。または影響はわずかです。 低
現状分析現状分析 (サーバーサイド・クライアントサイド) (サーバーサイド・クライアントサイド)
それぞれの脆弱性に対してアクションを決定それぞれの脆弱性に対してアクションを決定セキュリティ更新プログラムを適用しない(※)セキュリティ更新プログラムを適用しない(※)
無視(ノーアクション)無視(ノーアクション)SAP SAP サーバーに関係ない、「最大深刻度」が低い、サーバーに関係ない、「最大深刻度」が低い、ハードニングの結果「回避策」を既に実装できている場合ハードニングの結果「回避策」を既に実装できている場合
「回避策」を追加実装「回避策」を追加実装追加ハードニングできる場合追加ハードニングできる場合
セキュリティ更新プログラムを適用するセキュリティ更新プログラムを適用する定常的な計画停止時に適用定常的な計画停止時に適用
定期的に計画停止していて、かつリスクが高くない場合定期的に計画停止していて、かつリスクが高くない場合緊急適用緊急適用
リスクが高く、かつ迅速な対応が必要な場合リスクが高く、かつ迅速な対応が必要な場合
サーバーサイドとクライアントサイドとで、とるべきサーバーサイドとクライアントサイドとで、とるべきアクションは全く異なる事に注意アクションは全く異なる事に注意
(※)セキュリティ更新プログラム単体は適用しないとしても、サービスパックは適用を推奨。
(※)(※) Microsoft Microsoft セキュリティ更新プロセキュリティ更新プログラム一般公開までのテスティングプログラム一般公開までのテスティングプロセスセス
PackagePackageTestTest調査 調査 & FIX& FIX
BuildBuildVerificationVerificationTestingTesting
Broad TestBroad TestPassPass
一般公開
脆弱性報告
開発部門調査 FIX
開発部門 コードの
パッケージ化
日本語化
開発部門 ビルドの確認
各部署での広範囲なテスト開発部門Microsoft IT( 全社 IT部門 )Business Unit IT各ユニットの IT部門
全世界の各部署社員 (約 1000名 ) サポート部門セキュリティ担当 Japan Security Response Team
SWI Team( 攻撃チーム )Patch Validation Program参加企業( SAP 社を含む)
問題問題発見発見
モジュールモジュール再作成へ再作成へ
1~3週間前←
公開の可否を決定サポート部門 : お客様への影響度を判断Security Response Center : 脆弱性が残っているか ?開発部門 : 別の不具合があるか ?
公開の可否を決定サポート部門 : お客様への影響度を判断Security Response Center : 脆弱性が残っているか ?開発部門 : 別の不具合があるか ?
(※)(※) Microsoft Microsoft セキュリティ更新プロセキュリティ更新プログラムの グラムの SAP SAP 社による事前テスト社による事前テスト
Microsoft Microsoft は セキュリティ更新プログラム公式は セキュリティ更新プログラム公式リリースの5-20日前に、 リリースの5-20日前に、 SAP SAP 社開発チーム社開発チーム(カーネル& (カーネル& GUI GUI 開発、開発、 SAP IT SAP IT など)に対しなど)に対しててセキュリティ更新プログラムを提供セキュリティ更新プログラムを提供これらのセキュリティ更新プログラムのテスト中これらのセキュリティ更新プログラムのテスト中に に SAP SAP ソフトウエアに何らかの(互換性などの)問ソフトウエアに何らかの(互換性などの)問題が題が見つかった場合、見つかった場合、 Microsoft Microsoft の関連部署に対するの関連部署に対する直接のコンタクト・パスを確保直接のコンタクト・パスを確保もしこれら既知の問題の解決が公式リリースに間もしこれら既知の問題の解決が公式リリースに間にに合わなかった場合は、合わなかった場合は、 SAP Note SAP Note において情報公において情報公開開
パッチ展開パッチ展開 (サーバーサイド・クライアントサイド) (サーバーサイド・クライアントサイド)当該セキュリティ修正プログラムが 当該セキュリティ修正プログラムが SAP SAP 環境において起こした障害事例がないかを環境において起こした障害事例がないかをチェックチェック
SAP Note 30478, 62988, 664607SAP Note 30478, 62988, 664607
必ず開発環境・品質保証環境にて以下の必ず開発環境・品質保証環境にて以下のテストを実行してから、本番環境へ適用すテストを実行してから、本番環境へ適用するる
サーバーサイドへの適用は特に慎重に行うサーバーサイドへの適用は特に慎重に行う緊急適用の場合であっても、以下のテストは必須緊急適用の場合であっても、以下のテストは必須
セキュリティ修正プログラムのインストールセキュリティ修正プログラムのインストールSAP SAP の起動と停止の起動と停止セキュリティ修正プログラムのアンインストールセキュリティ修正プログラムのアンインストール
計画停止時適用の場合は、より詳細なテスト計画停止時適用の場合は、より詳細なテスト
パッチ展開パッチ展開 (特にクライアントサイド) (特にクライアントサイド)
クライアントクライアント OSOS 、、 Widows Server Widows Server 20032003 、、 SystemsSystems Management Server Management Server によによりセキュリティ修正りセキュリティ修正プログラムの展開を支援プログラムの展開を支援
・きめ細かいパッチの展開と管理・きめ細かいパッチの展開と管理・適用状況の把握とレポート機能・適用状況の把握とレポート機能・アプリケーションの配布機構との・アプリケーションの配布機構との統合統合
・・ OSOS の修正プログラムの自動ダウの修正プログラムの自動ダウンロード機能ンロード機能
・自動適用 ・自動適用 ((オプションオプション ))
・社内用 ・社内用 Windows Update Windows Update サイトサイト・・ Active DirectoryActive Directory との連携でとの連携で
クライアントへの展開を集中管理クライアントへの展開を集中管理
マイクロソフトマイクロソフトセキュリティ情報セキュリティ情報サイトサイト
Windows UpdateWindows Update サイトサイト OS自体の標準機能
SoftwareSoftwareUpdateUpdate
ServicesServices(SUS)(SUS)
SMS SMS SUSSUS
FeatureFeaturePackPackインターネット経由のインターネット経由の
サービスサービス
企業システム向け機能およびツール企業システム向け機能およびツール
パッチ展開パッチ展開 (特にクライアントサイド) (特にクライアントサイド)
ツールを利用したパッチ配布の大量展開ツールを利用したパッチ配布の大量展開大量のサーバーに展開したい場合やクライアントに展大量のサーバーに展開したい場合やクライアントに展開したい場合は配布ツールを利用することで配布の作開したい場合は配布ツールを利用することで配布の作業量を大幅に削減可能業量を大幅に削減可能
テスト作業完了済みプログラムのみの配布テスト作業完了済みプログラムのみの配布Software Update ServicesSoftware Update Services (( SUS)SUS) にてにてWindows UpdateWindows Update 上の修正プログラムのうち承認した上の修正プログラムのうち承認したもののみを配布もののみを配布
クライアントへの強制配布クライアントへの強制配布Active DirectoryActive Directory とと SUSSUS により定刻に修正プログラにより定刻に修正プログラムをムを自動インストールする設定も可能自動インストールする設定も可能Active DirectoryActive Directory とと SMSSMS により強制的に修正プログにより強制的に修正プログラムを自動インストールする設定も可能ラムを自動インストールする設定も可能
結果監視結果監視 (サーバーサイド・クライアントサイド) (サーバーサイド・クライアントサイド)
セキュリティ修正プログラム適用後の一定セキュリティ修正プログラム適用後の一定期間は、経過を観察する期間は、経過を観察するSAP SAP システムの稼動に問題が生じた場合システムの稼動に問題が生じた場合
SAP SAP 社サポート部門へ問い合わせ社サポート部門へ問い合わせSAP Note 664607 SAP Note 664607 に従った問題解決に従った問題解決
セキュリティ修正プログラムのアンインストールセキュリティ修正プログラムのアンインストールセキュリティ修正プログラムの追加適用セキュリティ修正プログラムの追加適用SAP Address Space Viewer SAP Address Space Viewer の利用の利用などなどなどなど
4.セキュアな 4.セキュアな SAP SAP システムの運システムの運用用 - - アンチウイルスソフトウエアアンチウイルスソフトウエア
アンチウイルス・ソフトウエアアンチウイルス・ソフトウエア
既知のウイルスであれば、検知した時点で既知のウイルスであれば、検知した時点で「隔離」、つまり感染をブロック可能「隔離」、つまり感染をブロック可能アンチウイルス製品ベンダーは、新種を発アンチウイルス製品ベンダーは、新種を発見すると1~2時間で解析、クリティカル見すると1~2時間で解析、クリティカルな場合は即座に定義ファイルを更新、公開な場合は即座に定義ファイルを更新、公開
既知の脆弱性 未知の脆弱性
既知のウイルス
未知のウイルス
アンチウイルス ハードニング、
セキュリティ更新プログラム適用 管理者の知識
SAP & Anti-virus SAP & Anti-virus 性能検証(途中結性能検証(途中結果)果)
アンチウイルス(アンチウイルス( Computer Associates Computer Associates 社 社 eTeTrust Anti-virus 7.0.140rust Anti-virus 7.0.140 )リアルタイム監視環境)リアルタイム監視環境下に下における おける SAP SD SAP SD ベンチマーク ベンチマーク
SAP SAP に与えるパフォーマンス負荷は殆どなしに与えるパフォーマンス負荷は殆どなしアンチウイルス非稼動環境とほぼ同等のスループッアンチウイルス非稼動環境とほぼ同等のスループットト
\ \ PSTYOC10\ Process(sqlservr)\ IO Data Bytes/ sec
0
2000000
4000000
6000000
8000000
10000000
12000000
2004
/11/
05 0
0:30
:56.
062
2004
/11/
05 0
0:32
:06.
062
2004
/11/
05 0
0:33
:16.
062
2004
/11/
05 0
0:34
:26.
078
2004
/11/
05 0
0:35
:36.
093
2004
/11/
05 0
0:36
:46.
093
2004
/11/
05 0
0:37
:56.
093
2004
/11/
05 0
0:39
:06.
093
2004
/11/
05 0
0:40
:16.
125
2004
/11/
05 0
0:41
:26.
125
2004
/11/
05 0
0:42
:36.
140
2004
/11/
05 0
0:43
:46.
140
2004
/11/
05 0
0:44
:56.
140
2004
/11/
05 0
0:46
:06.
171
2004
/11/
05 0
0:47
:16.
171
2004
/11/
05 0
0:48
:26.
171
2004
/11/
05 0
0:49
:36.
171
2004
/11/
05 0
0:50
:46.
171
2004
/11/
05 0
0:51
:56.
171
2004
/11/
05 0
0:53
:06.
171
2004
/11/
05 0
0:54
:16.
171
2004
/11/
05 0
0:55
:26.
171
2004
/11/
05 0
0:56
:36.
171
2004
/11/
05 0
0:57
:46.
171
\ \ PSTYOC10\ Process(InoRT)\ IO Data Bytes/ sec
0
5000
10000
15000
20000
25000
30000
2004
/11/
05 0
0:30
:56.
062
2004
/11/
05 0
0:31
:56.
062
2004
/11/
05 0
0:32
:56.
062
2004
/11/
05 0
0:33
:56.
062
2004
/11/
05 0
0:34
:56.
078
2004
/11/
05 0
0:35
:56.
093
2004
/11/
05 0
0:36
:56.
093
2004
/11/
05 0
0:37
:56.
093
2004
/11/
05 0
0:38
:56.
093
2004
/11/
05 0
0:39
:56.
109
2004
/11/
05 0
0:40
:56.
125
2004
/11/
05 0
0:41
:56.
125
2004
/11/
05 0
0:42
:56.
140
2004
/11/
05 0
0:43
:56.
140
2004
/11/
05 0
0:44
:56.
140
2004
/11/
05 0
0:45
:56.
171
2004
/11/
05 0
0:46
:56.
171
2004
/11/
05 0
0:47
:56.
171
2004
/11/
05 0
0:48
:56.
171
2004
/11/
05 0
0:49
:56.
171
2004
/11/
05 0
0:50
:56.
171
2004
/11/
05 0
0:51
:56.
171
2004
/11/
05 0
0:52
:56.
171
2004
/11/
05 0
0:53
:56.
171
2004
/11/
05 0
0:54
:56.
171
2004
/11/
05 0
0:55
:56.
171
2004
/11/
05 0
0:56
:56.
171
2004
/11/
05 0
0:57
:56.
171
SQL Server プロセスの I/O Data Bytes/ sec eTrust 監視プロセスの I/O Data Bytes/ sec※ 左のグラフと比べて縦軸の値が小さい事に注
意
アンチウイルス・留意事項アンチウイルス・留意事項
アンチウイルスソフトが不具合なく稼動する事が必須アンチウイルスソフトが不具合なく稼動する事が必須アンチウイルスソフトのファイルシステムドライバは アンチウイルスソフトのファイルシステムドライバは Windows Windows ののカーネルモードで稼動カーネルモードで稼動万一不具合があった場合、システム停止につながる危険性もあり万一不具合があった場合、システム停止につながる危険性もあり本来であれば 本来であれば CPU CPU 消費、メモリ消費ともに軽微なはず消費、メモリ消費ともに軽微なはず怪しい場合は、アンチウイルスソフトのサービス停止もしくは削除怪しい場合は、アンチウイルスソフトのサービス停止もしくは削除
可能な限り迅速に定義ファイルを更新する可能な限り迅速に定義ファイルを更新する定義ファイル更新に多くのポートが利用される場合、定義ファイ定義ファイル更新に多くのポートが利用される場合、定義ファイルル配信サーバーに限って全ポートをオープンにする など配信サーバーに限って全ポートをオープンにする など
定義ファイルサーバー自体が社内でセキュアに保護されている必要定義ファイルサーバー自体が社内でセキュアに保護されている必要ありあり
アクセス(読込 アクセス(読込 or or 書込)頻度の高いファイルは、書込)頻度の高いファイルは、アンチウイルスソフトのリアルタイム監視対象からはずアンチウイルスソフトのリアルタイム監視対象からはずすす
DB DB サーバー上における サーバー上における DB DB 関連ファイル関連ファイルデータファイル、ログファイル、データファイル、ログファイル、 temp temp 領域など領域など
アプリケーションのログファイル などアプリケーションのログファイル など
アンチウイルス・留意事項アンチウイルス・留意事項
そもそも そもそも SAP SAP サーバー上で不要な操作を行わなサーバー上で不要な操作を行わないい
ブラウザ、メーラー、メッセンジャー、ブラウザ、メーラー、メッセンジャー、 Office Office などなどの不用意な起動は控えるの不用意な起動は控える
自社にとって最適なアンチウイルスソフトを選択自社にとって最適なアンチウイルスソフトを選択するする
ディスク ディスク I/O I/O の所作、メモリ消費量、検知できる範の所作、メモリ消費量、検知できる範囲と囲とその感度、デフォルト設定、定義ファイル更新の速さ、その感度、デフォルト設定、定義ファイル更新の速さ、
サポート体制 など、ベンダーにより相違があるサポート体制 など、ベンダーにより相違がある厳密に言うと、アンチウイルスソフトも検知にお厳密に言うと、アンチウイルスソフトも検知において「万能」とはいえないいて「万能」とはいえない
アンチウイルスソフトはファイルやレジストリへの何アンチウイルスソフトはファイルやレジストリへの何らかの書込動作によってウイルスを検知する仕組みらかの書込動作によってウイルスを検知する仕組み検知範囲がより広い 検知範囲がより広い IDS IDS (不正侵入検知・防御シス(不正侵入検知・防御システム)の併用もありえるテム)の併用もありえる
5.まとめ5.まとめ
まとめまとめ
運用コストを抑えつつもセキュリティリス運用コストを抑えつつもセキュリティリスクをクを極小化する為に、今出来る事は多く存在し極小化する為に、今出来る事は多く存在しますます
クライアントサイドのセキュリティ強化クライアントサイドのセキュリティ強化サーバーサイドのセキュリティ強化サーバーサイドのセキュリティ強化
SAP SAP システムのハードニングシステムのハードニングSAP SAP システムにおけるパッチマネジメント などシステムにおけるパッチマネジメント など
一方で 一方で Microsoft Microsoft はプラットフォームベンはプラットフォームベンダーとして、ダーとして、 Windows Server Windows Server 他のセキュ他のセキュリティリティ強化、脆弱性解消に今後も努めていきます強化、脆弱性解消に今後も努めていきます
マイクロソフトコンサルティングサーマイクロソフトコンサルティングサービスビス
(※) マイクロソフトが提供する(※) マイクロソフトが提供するサポートサービスサポートサービス
プロフェッショナル・サポートプロフェッショナル・サポートhttp://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomschttp://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomscom.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fprof_seom.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fprof_service.asprvice.asp 電話、電話、 FAX, mail FAX, mail でのでの QAQA 、調査(一問一答方式)、オンサイトも有、調査(一問一答方式)、オンサイトも有(移動時間+現地での作業時間(移動時間+現地での作業時間 ××出動人数出動人数 ×30,000 ×30,000 円)円)Datacenter Datacenter 以外の全ての 以外の全ての Microsoft Microsoft 製品(英語版も製品(英語版も OKOK ))基本的には平日基本的には平日 9:00-12:00, 13:00-19:009:00-12:00, 13:00-19:00 (( 2424時間時間 365365日もあり)日もあり)オンデマンド:オンデマンド:1インシデント1インシデント 28,000 28,000 円(複数のセット料金もあり)円(複数のセット料金もあり)
プレミア・サポートプレミア・サポートhttp://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomschttp://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomscom.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fpremierom.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fpremier.asp.asp
TAM TAM のアサイン(顧客システムニーズの把握)、一般未公開情報の提のアサイン(顧客システムニーズの把握)、一般未公開情報の提供、月例レポート&定例会議、供、月例レポート&定例会議、 24*365 24*365 対応対応
Go to http://www.ms-sap.com !Go to http://www.ms-sap.com !
SAP SAP と と Microsoft Microsoft のコラボレーションのコラボレーション
サブシステサブシステムム開発開発
ユーザーユーザーデスクトッデスクトッ
ププ
他システム他システム連携連携
ユーザーユーザー認証基盤認証基盤
ビジネスイビジネスインテリジェンテリジェ
ンスンス
OS/DB OS/DB プラットフォームプラットフォーム ++ システム運用管理システム運用管理
SAPSAP
脆弱性・ウイルス情報脆弱性・ウイルス情報
月刊セキュリティ情報月刊セキュリティ情報http://www.microsoft.com/japan/technet/security/bulletin/http://www.microsoft.com/japan/technet/security/bulletin/monthly.aspmonthly.asp
セキュリティ情報一覧セキュリティ情報一覧http://www.microsoft.com/japan/technet/security/current.asphttp://www.microsoft.com/japan/technet/security/current.asp
ウイルス対策情報ウイルス対策情報http://www.microsoft.com/japan/technet/treeview/default.ashttp://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/topics/virus/default.aspp?url=/japan/technet/security/topics/virus/default.asp
マイクロソフトプロダクトセキュリティ警告マイクロソフトプロダクトセキュリティ警告サービスサービス
http://www.microsoft.com/japan/technet/security/bulletin/notihttp://www.microsoft.com/japan/technet/security/bulletin/notify.aspfy.asp
セキュリティ修正プログラムなどの入手元セキュリティ修正プログラムなどの入手元
セキュリティ修正プログラムセキュリティ修正プログラムhttp://www.microsoft.com/downloads/search.aspx?http://www.microsoft.com/downloads/search.aspx?displaylang=jadisplaylang=ja (Windows, (Windows, 日本語日本語 ))
http://www.microsoft.com/downloads/search.aspx?http://www.microsoft.com/downloads/search.aspx?displaylang=endisplaylang=en (SQL Server, (SQL Server, 英語英語 ))
サービスパックサービスパックhttp://www.microsoft.com/japan/windows/downloads/http://www.microsoft.com/japan/windows/downloads/default.mspxdefault.mspx (Windows Server, (Windows Server, 日本語日本語 ) )
http://www.microsoft.com/sql/downloads/default.asphttp://www.microsoft.com/sql/downloads/default.asp (SQL Server, (SQL Server, 英語英語 ))
ホットフィックスホットフィックスMicrosoft Microsoft プレミアサポート経由 プレミアサポート経由 (Windows Server)(Windows Server)
http://service.sap.com/swcenter-3pmainhttp://service.sap.com/swcenter-3pmain (SQL Server)(SQL Server)
ツールツール
ツール概要ツール概要http://www.microsoft.com/japan/technet/http://www.microsoft.com/japan/technet/security/tools/default.aspsecurity/tools/default.asp
セキュリティツールキット(無償)セキュリティツールキット(無償)http://www.microsoft.com/japan/technet/http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/stkintro.aspsecurity/tools/stkintro.asp
Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzerhttp://www.microsoft.com/japan/technet/http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/Tools/mbsahome.asp security/tools/Tools/mbsahome.asp
Windows Server SystemWindows Server System
Software Update ServicesSoftware Update Serviceshttp://www.microsoft.com/japan/http://www.microsoft.com/japan/windowsserversystem/sus/default.mspx windowsserversystem/sus/default.mspx
Systems Management ServerSystems Management Serverhttp://www.microsoft.com/japan/technet/http://www.microsoft.com/japan/technet/security/prodtech/sms/default.aspsecurity/prodtech/sms/default.asp
ISA ServerISA Serverhttp://www.microsoft.com/japan/isaserver/ http://www.microsoft.com/japan/isaserver/
6.(参考)過去の脆弱性の整理6.(参考)過去の脆弱性の整理
過去の脆弱性の整理過去の脆弱性の整理
1999 1999 年から今までに見つかった脆弱性の数年から今までに見つかった脆弱性の数1999 1999 年 年 : 61: 61
2000 2000 年 年 : 100 : 100
2001 2001 年 年 : 60 : 60
2002 2002 年 年 : 72: 72
2003 2003 年 年 : 51 : 51
2004 2004 年 年 : 24 : 24 (( 2004/7/26 2004/7/26 現在) 現在) このうち このうち SAP SAP サーバー環境で特に留意すべきサーバー環境で特に留意すべき脆弱性は、「対象」が 脆弱性は、「対象」が Windows Server (IE, Win Windows Server (IE, Win Media Media 等を除く)で、かつ「深刻度」が「緊等を除く)で、かつ「深刻度」が「緊急」のもの急」のもの殆どの脆弱性にリスク緩和策(回避策)が呈示さ殆どの脆弱性にリスク緩和策(回避策)が呈示されるれる
脆弱性評価マトリックス一例(抜粋)脆弱性評価マトリックス一例(抜粋)脆弱性番号 最大深刻度は? SAP サーバに
関与するか?リスク緩和策は? パッチを緊急適用
するか?
MS00-078 緊急 関与する あり No
MS01-033 緊急 関与する あり No
MS02-039 緊急 関与する あり No
MS03-007 緊急 関与する あり No
MS03-026 緊急 関与する あり No
MS03-039 緊急 関与する あり No
MS03-043 緊急 関与する あり No
MS03-049 緊急 関与する あり No
MS03-051 緊急 関与する あり No
MS04-007 緊急 関与する なし Yes
MS04-011 緊急 関与する なし Yes
MS04-012 緊急 関与する あり No
MS04-022 緊急 関与する あり No
MS04-023 緊急 関与する あり No
MS04-028 緊急 関与する あり No
MS04-034 緊急 関与する あり No
MS04-035 緊急 関与する あり No
MS04-036 緊急 関与する あり No
MS04-037 緊急 関与する あり No
MS04-038 緊急 関与する あり No
MS04-040 緊急 関与する あり No
MS05-001 緊急 関与する あり No
MS05-002 緊急 関与する あり No
MS05-010 緊急 関与する あり No
MS05-011 緊急 関与する あり No
MS05-012 緊急 関与する あり No
MS05-013 緊急 関与する あり No
MS05-015 緊急 関与する あり No
※ あくまでも、ハードニングを最大限行っている SAP システムにおける、脆弱性評価マトリックスの一例です。
I. I. ハードニングに必要な技術情報ハードニングに必要な技術情報
SAP R/3 Enterprise SAP R/3 Enterprise 環境環境の通信経路の通信経路
CLIENT
SAPGUI
R/3 Enterprise
R/3 Enterprise
MS Product
SAP Product
R/3 Server
SQL Server SQL Server HTTP/HTTPS(BSP/BEx)
DB Server
Web Browser
DIAG/RFC
SAP RouterSAP Router
WebDispatcher
WebDispatcher
DIAG/RFC
HTTP/HTTPS
SAP ITS SAP ITS 環境の通信経路環境の通信経路
CLIENT
SAPGUI
R/3 Enterprise
R/3 Enterprise
MS Product
SAP Product
R/3 Server
IISIIS SAP ITSA-Gate Server
SAP ITSA-Gate Server
AGATE ServerWGATE ServerSQL Server SQL Server
HTTP/HTTPS(HTML GUI)
HTTP/HTTPS(BSP/BEx)
RFC/DIAG
SAP ITSWGate Server
SAP ITSWGate Server
DB Server
Web Browser
DIAG/RFC
SAP RouterSAP Router
WebDispatcher
WebDispatcher
DIAG/RFC
HTTP/HTTPS
SAP Enterprise Portal SAP Enterprise Portal 環境環境の通信経路の通信経路
CLIENT
SAPGUI
R/3 Enterprise
R/3 Enterprise
MS Product
SAP Product
R/3 Server
IISIIS SAP ITSA-Gate Server
SAP ITSA-Gate Server
AGATE ServerWGATE Server
EP Server
SQL Server SQL Server
Enterprise Portal
Enterprise Portal
IISPROXY
IISIIS
HTTP/HTTPS(EP)
HTTP/HTTPS(HTML GUI) HTTP/HTTPS
HTTP/HTTPS(BSP/BEx)
RFC/DIAG
SAP ITSWGate Server
SAP ITSWGate Server
SAP IISProxyModule
SAP IISProxyModule
RFCHTTP/HTTPS
DB Server
Web Browser
SQL Server SQL Server
DB Server
DIAG/RFC
HTTP/HTTPS
SAP RouterSAP Router
WebDispatcher
WebDispatcher
DIAG/RFC
HTTP/HTTPS
+ Active Directory + Active Directory 環境環境の通信経路の通信経路
CLIENT
SAPGUI
R/3 Enterprise
R/3 Enterprise
MS Product
SAP Product
R/3 Server
IISIIS SAP ITSA-Gate Server
SAP ITSA-Gate Server
AGATE ServerWGATE Server
EP Server
SQL Server SQL Server
Enterprise Portal
Enterprise Portal
IISPROXY
IISIIS
HTTP/HTTPS(EP)
HTTP/HTTPS(HTML GUI) HTTP/HTTPS
HTTP/HTTPS(BSP/BEx)
RFC/DIAG
SAP ITSWGate Server
SAP ITSWGate Server
SAP IISProxyModule
SAP IISProxyModule
RFCHTTP/HTTPS
DB Server
Web Browser
SQL Server SQL Server
DB Server
DIAG/RFC
HTTP/HTTPS
SAP RouterSAP Router
WebDispatcher
WebDispatcher
DIAG/RFC
HTTP/HTTPS
Active DirectoryActive Directory
Directory
Active DirectoryActive Directory
Directory
SAP R/3 Enterprise SAP R/3 Enterprise が利用するポートが利用するポート
R/3R/3
CentralInstanceCentral
Instance SQL ServerSQL Server
HTTP/HTTPS
DIAG
ICMICMABAP EngineABAP Engine
J2EE EngineJ2EE Engine
DispatcherDispatcher
GatewayGateway MessageServer
MessageServer
J2EEDispatcher
J2EEDispatcher
WorkProcesses
WorkProcesses
J2EE ServerProcesses
J2EE ServerProcesses
Central Services InstanceCentral Services Instance
MessageServer
MessageServer
EngueueServer
EngueueServer
DB (sid)80NN/443NN (HTTP/HTTPS)
25 (SMTP)
32NN(sapdpNN)
RFC
33NN(sapgwNN)
36NN(sapmsSID)
5NN00/5NN01(HTTP/HTTPS)
5NN02/5NN03(IIOP Initial context/IIOP over SSL)
5NN04/5NN05/5NN06(P4/P4 over HTTP tunneling/P4 over SSL)
5NN07 (IIOP)
5NN08 (Telnet)
5NN10 (JMS)
36NN (MessageServer)
81NN/444NN(HTTP/HTTPS)
32NN(Engue Server)
33NN(Eng. Replication)
EnqueServerEnqueServer
WAS 6.30
※NN はインスタンス番号を表す。
Internal でしか使用しないポート、 Installation/Upgrade ツールの使用ポートは記述していない。
記載はデフォルトポートのため、実際の環境によってことなる
515 (SAPlpd)
ABAPschemeABAP
scheme
J2EEschemeJ2EE
scheme
81NN/444NN(HTTP/HTTPS)
IGSIGS SDMSDM
5NN17/5NN18/5NN19
4NN00(Multiplexer)/4NN01-79(Portwatcher)/4NN80-99(HTTP)
SAP ITS SAP ITS (( Wgate, AgateWgate, Agate )が利用する)が利用するポートポート
R/3R/3IISIIS ITSA-Gate
ITSA-Gate
32NN (sapdpNN)
ITSWGate
ITSWGate
33NN (sapgwNN)
36NN(sapmsSID)
39NM (sapvw00_<SID>)
39N9 (sapvwmm_<SID>)
80/443 (http/https)
※N はインストール時に空いているポートを元に自動的に決定される。M は Agate の数 -1 。
デフォルトでは管理インスタンス (<SID>=ADM) が用意される。
39NM (sapvw00_ADM)
39N9 (sapvwmm_ADM)
SAP Enterprise Portal 6.0 SAP Enterprise Portal 6.0 が利用するポーが利用するポートト
EPEP
CentralInstanceCentral
Instance SQL ServerSQL ServerJ2EE EngineJ2EE Engine
J2EEDispatcher
J2EEDispatcher
J2EE ServerProcesses
J2EE ServerProcesses
5NN00/5NN01(HTTP/HTTPS)
5NN02/5NN03(IIOP Initial context/IIOP over SSL)
5NN04/5NN05/5NN06(P4/P4 over HTTP tunneling/P4 over SSL)
5NN07 (IIOP)
5NN08 (Telnet)
5NN10 (JMS)
J2EE Engine: 6.20
HTTP/HTTPS
DB (SAPPCD)
※NN はインスタンス番号を表す。
Internal でしか使用しないポート、 Installation/Upgrade ツールの使用ポートは記述していない。
記載はデフォルトポートのため、実際の環境によってことなる
SDMSDM
5NN17/5NN18/5NN19
その他 その他 SAP SAP 製品が利用するポート製品が利用するポート
EPEPIISIIS IisProxy
ModuleIisProxyModule
80/443 (http/https)
5NN00/5NN01(HTTP/HTTPS)
R/3R/3SAPRouterSAPRouter
3299(SAProuter)
32NN (sapdpNN)
33NN (sapgwNN)
36NN(sapmsSID)
R/3R/3WebDispatcherWebDispatcher
80/443 (http/https)
80NN/443NN (HTTP/HTTPS)
SAP Enterprise Portal IIS Proxy が利用するポート
SAP Router が利用するポート
SAP Web Dispatcher が利用するポート
その他 その他 SAP SAP 製品が利用するポート製品が利用するポート
http://service.sap.com/ti http://service.sap.com/ti 上のドキュメン上のドキュメントト
TCP/IP Ports used by SAP ApplicationsTCP/IP Ports used by SAP Applications
SAP GUI Technical InfrastructureSAP GUI Technical Infrastructure
SAP Internet Transaction Server Technical SAP Internet Transaction Server Technical InfrastructureInfrastructure
Web Infrastructure Concepts for SAP Web Web Infrastructure Concepts for SAP Web Application ServerApplication Server
SAP Web AS Technical InfrastructureSAP Web AS Technical Infrastructure
Microsoft Microsoft 製品が利用するポート製品が利用するポート
SQL ServerSQL ServerSQL over TCP: 1433SQL over TCP: 1433
IIS IIS World Wide Web Publishing Service: 80, 443World Wide Web Publishing Service: 80, 443
Active DirectoryActive Directoryhttp://support.microsoft.com/default.aspx?http://support.microsoft.com/default.aspx?scid=kb;ja;289241 scid=kb;ja;289241
その他その他http://www.microsoft.com/downloads/http://www.microsoft.com/downloads/details.aspx?FamilyID=dd6bed8f-a706-48ee-95b7-details.aspx?FamilyID=dd6bed8f-a706-48ee-95b7-bdc21455815a&DisplayLang=jabdc21455815a&DisplayLang=ja
SAP SAP システムに必要なサービスシステムに必要なサービス
Windows Server Windows Server が最低限必要とするサービスが最低限必要とするサービスEvent Log, Logical Disk Manager, Event Log, Logical Disk Manager, Network Connections, Plug and Play, Protected Network Connections, Plug and Play, Protected Storage, Remote Procedure Call, Security Account Storage, Remote Procedure Call, Security Account Manager, Windows Management Instrumentation, Manager, Windows Management Instrumentation, Windows Management Instrumentation ExtensionsWindows Management Instrumentation Extensions
SAP R/3 Enterprise SAP R/3 Enterprise が更に必要とするサービスが更に必要とするサービスSAPOSCOL, SAP<SID>_<NN>, SAP<SID>_<NN>SAPOSCOL, SAP<SID>_<NN>, SAP<SID>_<NN>
SAP ITS Agate SAP ITS Agate が更に必要とするサービスが更に必要とするサービスSAP ITS Manager - <SID>, SAP ITS Manager - ADM,SAP ITS Manager - <SID>, SAP ITS Manager - ADM,ITS Watchdog, SAP IACOR Manager
(注意) 標準インストール時の Windows サービス。クラスタリング環境では変わる場合があります。<SID> は SAP システム ID ( 例 : P01) 、 <NN> はインスタンス番号 ( 例 :00) を表しています。R/3Enterprise の 2 つの「 SAP<SID>_<NN> 」サービス はそれぞれセントラルインスタンスとセントラルサービスインスタンス用を表しています。 R/3Enterprise の SAP J2EE Engine (Dispatcher および Server) 、 SDM 、 IGS はセントラルインスタンスサービスにより起動されます。EP の SAP J2EE Engine Server は「 SAP J2EE Engine Dispatcher 」サービスにより起動されます。
SAP SAP システムに必要なサービスシステムに必要なサービス
SAP Enterprise Portal SAP Enterprise Portal が更に必要とするサービが更に必要とするサービスス
SAP J2EE Engine DispatcherSAP J2EE Engine Dispatcher
SQL Server SQL Server が更に必要とするサービスが更に必要とするサービスMSSQLSERVER, SQL Server AgentMSSQLSERVER, SQL Server Agent
IIS IIS が更に必要とするサービスが更に必要とするサービスWorld Wide Web Publishing Service, IIS Admin SerWorld Wide Web Publishing Service, IIS Admin Servicevice
SAP ITS Wgate SAP ITS Wgate が更に必要とするサービスが更に必要とするサービスSAP IACOR ManagerSAP IACOR Manager
SAP Enterprise Portal IIS Proxy SAP Enterprise Portal IIS Proxy が更に必要とするが更に必要とするサービスサービス
nothingnothing
II. II. ハードニングの実装ハードニングの実装(( Windows Server 2003Windows Server 2003 ))
ネットワークのハードニングの実装ネットワークのハードニングの実装:IPSec Policy Definition
netsh ipsec static add policy name="Packet Filters - R3" description="Server Hardening Policy" assign=no
:IPSec Filter List Definitions
netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server Hardening"
netsh ipsec static add filterlist name="SAP DIALOG Server" description="Server Hardening"
netsh ipsec static add filterlist name="MSSQL Server Client" description="Server Hardening"
netsh ipsec static add filterlist name="Domain Member" description="Server Hardening"
:IPSec Filter Action Definitions
netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to Pass" action=permit
netsh ipsec static add filteraction name=Block description="Blocks Traffic" action=block
:IPSec Filter Definitions
netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0
netsh ipsec static add filter filterlist="SAP DIALOG Server" srcaddr=any dstaddr=me description="SAP DIALOG Server Traffic" protocol=TCP srcport=0 dstport=3200
netsh ipsec static add filter filterlist="MSSQL Server Client" srcaddr=me dstaddr=192.168.12.3 description="MSSQL Server Traffic" protocol=TCP srcport=0 dstport=1433
netsh ipsec static add filter filterlist="Domain Member" srcaddr=me dstaddr=192.168.12.1 description="Traffic to Domain Controller" protocol=any srcport=0 dstport=0
:IPSec Rule Definitions
netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters - R3" filterlist="ALL Inbound Traffic" kerberos=yes filteraction=Block
netsh ipsec static add rule name="SAP DIALOG Server" policy="Packet Filters - R3" filterlist="SAP DIALOG Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="MSSQL Server Client" policy="Packet Filters - R3" filterlist="MSSQL Server Client" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="Domain Member Rule" policy="Packet Filters - R3" filterlist="Domain Member" kerberos=yes filteraction=SecPermit
netsh ipsec static set policy name="Packet Filters - R3" assign=y
IP Sec スクリプトポリシーを実装。
(再起動必要)
ネットワークのハードニングの確認 1 2
3 4
MMC から 「 IP セキュリティポリシー」を実行。
ネットワークのハードニングの確認 5 6
ネットワークのハードニングの削除ネットワークのハードニングの削除:IPSec Rule Definitions
netsh ipsec static delete rule name="ALL Inbound Traffic Rule" policy="Packet Filters - R3"
netsh ipsec static delete rule name="SAP DIALOG Server" policy="Packet Filters - R3"
netsh ipsec static delete rule name="MSSQL Server Client“ policy="Packet Filters - R3"
netsh ipsec static delete rule name="Domain Member Rule" policy="Packet Filters - R3"
:IPSec Filter Definitions
netsh ipsec static delete filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me
netsh ipsec static delete filter filterlist="SAP DIALOG Server" srcaddr=any dstaddr=me
netsh ipsec static delete filter filterlist="MSSQL Server Client" srcaddr=me dstaddr=192.168.12.3
netsh ipsec static delete filter filterlist="Domain Member" srcaddr=me dstaddr=192.168.12.1
:IPSec Filter List Definitions
netsh ipsec static delete filterlist name="ALL Inbound Traffic"
netsh ipsec static delete filterlist name="SAP DIALOG Server"
netsh ipsec static delete filterlist name="MSSQL Server Client"
netsh ipsec static delete filterlist name="Domain Member"
:IPSec Filter Action Definitions
netsh ipsec static delete filteraction name=SecPermit
netsh ipsec static delete filteraction name=Block
:IPSec Policy Definition
netsh ipsec static delete policy name="Packet Filters - R3" IP Sec スクリプトポリシーを削除。
(再起動必要)
サービスのハードニングの実装サービスのハードニングの実装
その他のハードニングその他のハードニング
Windows Server 2003 Windows Server 2003 セキュリティガイド添付セキュリティガイド添付ののセキュリティテンプレートを利用して一括ハードセキュリティテンプレートを利用して一括ハードニングニング
多くのサーバーに対して、適切なハードニングを効率よく実装多くのサーバーに対して、適切なハードニングを効率よく実装http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist521EA6C7B4DB&displaylang=en#filelist
豊富なテンプレート種類豊富なテンプレート種類セキュリティ環境別に3種類セキュリティ環境別に3種類
「レガシークライアント」(セキュリティ・弱)「レガシークライアント」(セキュリティ・弱)「エンタープライズクライアント」(セキュリティ・中)「エンタープライズクライアント」(セキュリティ・中)「高セキュリティ」(セキュリティ・強)「高セキュリティ」(セキュリティ・強)
サーバーロール別に9種類サーバーロール別に9種類ドメインコントローラ、メンバーサーバー、ドメインコントローラ、メンバーサーバー、 Web Web サーバー、サーバー、
インフラサーバー(インフラサーバー( DHCP, WINSDHCP, WINS )、ファイルサーバー、プ)、ファイルサーバー、プリントサーバー、リントサーバー、 IAS IAS サーバー、証明書サービスサーバー、サーバー、証明書サービスサーバー、要塞ホスト要塞ホスト
その他のハードニングその他のハードニング
セキュリティテンプレートを利用したハーセキュリティテンプレートを利用したハードニングは、効率的である一方で、最悪シドニングは、効率的である一方で、最悪システムが稼動しなくなる可能性もあるので、ステムが稼動しなくなる可能性もあるので、注意注意テンプレート適用前に、テンプレート適用前に、 ASRASR (自動シス(自動システムテム回復)によるシステムバックアップを推奨回復)によるシステムバックアップを推奨
またはサードパーティのイメージバックアッまたはサードパーティのイメージバックアッププツールによるシステムバックアップツールによるシステムバックアップ
ハードニングはなるべくステップバイステハードニングはなるべくステップバイステップで実行するップで実行する
現在の状態のバックアップ 1 2
3 4セキュリティテンプレートの適用
管理ツールから 「ローカルセキュリ
ティの設定」を実行。
MMC から「セキュリティの
構成と分析」を実行。
現在の状態をバックアップする。
5 6
7 8
Web からダウンロードした INF
ファイルを指定。
現行の設定から変更される部分が
「赤 × 」で表示される。 テンプレートを適用する。
(再起動必要)
(※)(※) Active Directory Active Directory グループグループポリシーを利用したテンプレート適ポリシーを利用したテンプレート適用用ハードニングしたいサーバー群をロール別ハードニングしたいサーバー群をロール別
に に OU OU (組織単位)に分け、それぞれの (組織単位)に分け、それぞれの OU OU ににセキュリティテンプレートを割当てるセキュリティテンプレートを割当てる
適用作業が効率化(かつ間違いがない)適用作業が効率化(かつ間違いがない)それぞれのサーバー管理者に無断で設定変更それぞれのサーバー管理者に無断で設定変更させないさせない管理作業も効率化管理作業も効率化
稼動の確認稼動の確認
項目 確認方法/ツール1. SAP R/3 Enterprise 環境
SAP R/ 3 Enterpriseのサービスは起動しているか? SAP R/3 Manangement ConsoleSAP R/ 3 Enterpriseのログにエラーはないか? SAP R/3 Manangement ConsoleSQL Server のサービスは起動しているか? SQL Server Enterprise ManagerSQL Server のログにエラーはないか? SQL Server Enterprise ManagerSAP R/ 3 Enterprise にログオンができるか?SAP R/ 3 Enterprise にシングルサインオンができるか?
2. SAP ITS 環境SAP ITS Wgate のサービスは起動しているか? インターネットサービスマネージャSAP ITS Wgateのログにエラーはないか?SAP ITS Agate のサービスは起動しているか? ITS Administration (http:/ / wgate:8080/ scripts/ wgate/ admin/ !)SAP ITS Agateのログにエラーはないか? ITS Administration (http:/ / wgate:8080/ scripts/ wgate/ admin/ !)Web ブラウザでログオンできるか?
ITS https://wgate.os.corp.com/scripts/webgui/WAS https://r3ins.sap.corp.com:8443/sap/bc/bsp/sap/it00/
Web ブラウザでシングルサインオンできるか?ITS https://wgate.os.corp.com/scripts/webgui/WAS https://r3ins.sap.corp.com:8443/sap/bc/bsp/sap/it00/
3. SAP Enterprise Portal 環境SAP Enterprise Portal のサービスは起動しているか? SAP J 2EE Engine AdministratorSAP Enterprise Portal のログにエラーはないか? SAP J 2EE Engine AdministratorSQL Server のサービスは起動しているか? SQL Server Enterprise ManagerSQL Server のログにエラーはないか? SQL Server Enterprise ManagerWeb ブラウザでログオンできるか? https://iisprxy.os.corp.com/Web ブラウザでシングルサインオンできるか? https://iisprxy.os.corp.com/
稼動の確認稼動の確認タスク トランザクション 方法Check that all application serversare up.
SM51 – SAP Servers Check that all servers are up.
Check work processes (startedfrom SM51).
SM50 – Process OverviewAll work processes with a “running” or a“waiting” status
Look for any failed updates (updateterminates).
SM13 – Update RecordsSet date to one year ago Enter * in theuser ID Set to “all”updatesCheck for lines with “Err.”
Check system log. SM21 – System LogSet date and time to before the last logreview.Check for: Errors, Warnings, Security,messages, Abends Database, problems,Any other, different event
Review for cancelled jobs.SM37 – Select Backgroundjobs
Enter an asterisk (*) inUser ID.Verify that all critical jobs were successful.
Check for old locks. SM12 – Lock entry list. Enter an asterisk (*) for the user ID.Check for entries for prior days.
Check for users on the system.SM04 – UsersAL08 - Users
Review for an unknown or different user IDand terminal.This task should be done several times aday.
Check for spool problems.SP01 – Spool:Request Screen
Look for spool jobs that have been “inprocess” for over an hour.
Check job log.SM35 – Batch input: InitialScreen
Check for:New jobsIncorrect jobs
Review and resolve dumps.ST22 – ABAP DumpAnalysis
Look for an excessive number of dumps.Look for dumps of an unusual nature.
Review workload statistics.ST03N – Workload:Analysis of <SID>
Review buffer statistics. ST02 – Tune Summary Look for swaps.
Review error log for problems. AL02 – Database (DB) alert
ST04 – DB PerformanceAnalysis
Check tables/space usage DB12
Review system logs for problems OS06 – OS Monitor Review operating system logs
(注)これらの項目を確認する事により、「ベーシス」レベルで問題がない事が明らかになります(「アプリケーション」レベルを含みません)。
ハードニングの確認ハードニングの確認
SAP SAP セキュリティチェックリストセキュリティチェックリストSAP, OS/DB, N/W SAP, OS/DB, N/W 等の観点からのチェックリスト等の観点からのチェックリスト
http://service.sap.com/netweaver (Volume III)http://service.sap.com/netweaver (Volume III)
Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzerセキュリティ評価ツールセキュリティ評価ツール
パスワード強度、自動ログオン、パスワード強度、自動ログオン、 Guest Guest アカウント権限等アカウント権限等http://www.microsoft.com/japan/technet/treeview/default.asp?http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/Tools/mbsahome.asp url=/japan/technet/security/tools/Tools/mbsahome.asp
その他、ハードニングが実装できている事のチェその他、ハードニングが実装できている事のチェックック
Ping, Ping, イベントビューア、グループポリシー結果セッイベントビューア、グループポリシー結果セットなどトなど
III. SAP-Microsoft III. SAP-Microsoft コンピテンスコンピテンスセンターにおける技術検証結果センターにおける技術検証結果
技術検証で想定したシナリオ技術検証で想定したシナリオ
以下の3つのシナリオにおける、(特に)以下の3つのシナリオにおける、(特に)サーバーサイドのハードニングサーバーサイドのハードニング
SAP R/3 Enterprise SAP R/3 Enterprise
SAP ITSSAP ITS
SAP Enterprise Portal SAP Enterprise Portal
いずれのシナリオにおいても いずれのシナリオにおいても Active Active Directory Directory とのシングルサインオンを想定とのシングルサインオンを想定
今後主流になる提案今後主流になる提案シングルサインオンのないシナリオも包括でシングルサインオンのないシナリオも包括できるきる
ソフトウエアのバージョンソフトウエアのバージョンカテゴリ Microsoft 製品 SAP 製品Directory Windows Server 2003
(Active Directory)
SAP R/3 Enterprise Windows Server 2003 R/3 Enterprise 4.70 SR1 Ext.2.00, J2EE Engine 6.30 SP2 (JDK1.3.1_10)
RDBMS (for R/3) Windows Server 2003, SQL Server 2000 (SP3+Hotfix 844 + new collation)
SAP ITS - Agate Windows Server 2003 ITS 6.20 SP8
SAP ITS - Wgate Windows Server 2003, IIS 6.0
ITS 6.20 SP8
SAP Enterprise Portal Windows Server 2003 Enterprise Portal 6.0 SP2 Patch3 + hotfix 2, J2EE Engine 6.20 SP20 (JDK1.3.1_10)
RDBMS (for EP) Windows Server 2003, SQL Server 2000 (SP3+Hotfix 844 + new collation)
EP IISProxy Windows Server 2003,IIS 6.0
IIS Proxy 1.5.0.0
(※)それぞれの Windows Server 2003 には 3/1 時点の最新のセキュリティ修正プログラムを適用済み。
SAP R/3 Enterprise SAP R/3 Enterprise 環境環境
CLIENT
SAPGUI
R/3 Enterprise
R/3 Enterprise
MS Product
SAP Product
R/3 Server
SQL Server SQL Server HTTP/HTTPS(BSP/BEx)
DB Server
Web Browser
DIAG/RFC
Active DirectoryActive Directory
Directory
Active DirectoryActive Directory
Directory
OA セグメントoa.corp.com
サーバーセグメントsap.corp.com
(※) Active Directory 間で信頼関係を構築
SAP ITS SAP ITS 環境環境
CLIENT
SAPGUI
R/3 Enterprise
R/3 Enterprise
MS Product
SAP Product
R/3 Server
IISIIS SAP ITSA-Gate Server
SAP ITSA-Gate Server
AGATE ServerWGATE ServerSQL Server SQL Server
HTTP/HTTPS(HTML GUI)
HTTP/HTTPS(BSP/BEx)
RFC/DIAG
SAP ITSWGate Server
SAP ITSWGate Server
DB Server
Web Browser
DIAG/RFC
Active DirectoryActive Directory
Directory
Active DirectoryActive Directory
Directory
OA セグメントoa.corp.com
サーバーセグメントsap.corp.com
SAP Enterprise Portal SAP Enterprise Portal 環境環境
CLIENT
SAPGUI
R/3 Enterprise
R/3 Enterprise
MS Product
SAP Product
R/3 Server
IISIIS SAP ITSA-Gate Server
SAP ITSA-Gate Server
AGATE ServerWGATE Server
EP Server
SQL Server SQL Server
Enterprise Portal
Enterprise Portal
IISPROXY
IISIIS
HTTP/HTTPS(EP)
HTTP/HTTPS(HTML GUI) HTTP/HTTPS
HTTP/HTTPS(BSP/BEx)
RFC/DIAG
SAP ITSWGate Server
SAP ITSWGate Server
SAP IISProxyModule
SAP IISProxyModule
RFCHTTP/HTTPS
DB Server
Web Browser
SQL Server SQL Server
DB Server
DIAG/RFC
HTTP/HTTPS
Active DirectoryActive Directory
Directory
Active DirectoryActive Directory
Directory
OA セグメントoa.corp.com
サーバーセグメントsap.corp.com
2段階のハードニング2段階のハードニング
ネットワークハードニングネットワークハードニングデフォルトの通信はブロックし、必要なデフォルトの通信はブロックし、必要な「通信経路」と「(宛先)ポート」に限り通「通信経路」と「(宛先)ポート」に限り通信を許可する設定を実装信を許可する設定を実装IPSec IPSec スクリプトポリシーを利用するスクリプトポリシーを利用する
サービスハードニング・その他のハードサービスハードニング・その他のハードニングニング
サーバーのロール毎に、不要なサービスをサーバーのロール毎に、不要なサービスを無効化し、適切なセキュリティ設定を実装す無効化し、適切なセキュリティ設定を実装するるセキュリティテンプレートを利用するセキュリティテンプレートを利用する
サービス・その他のハードニングサービス・その他のハードニング
各サーバーにロールを割当各サーバーにロールを割当それぞれのロールに対してセキュリティそれぞれのロールに対してセキュリティテンプレート(ファイル)を割当テンプレート(ファイル)を割当
http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist521EA6C7B4DB&displaylang=en#filelist サーバー ロール 適用したセキュリティテンプレート(※)
Active Directory ドメインコントローラ
High Security - Domain Controller.inf
SAP R/3 Enterprise メンバーサーバー High Security - Member Server Baseline.inf
SQL Server (for R/3) メンバーサーバー High Security - Member Server Baseline.inf
SAP ITS - Agate メンバーサーバー High Security - Member Server Baseline.inf
SAP ITS - Wgate Web サーバー High Security - IIS Server.inf
SAP Enterprise Portal メンバーサーバー High Security - Member Server Baseline.inf
SQL Server (for EP) メンバーサーバー High Security - Member Server Baseline.inf
EP IISProxy Web サーバー High Security - IIS Server.inf(※)想定するセキュリティ環境としては、今回最もセキュアな「高セキュリティ」テンプレートを利
用。これらのテンプレートを適用する前に、全サーバー共通の High Security – Domain.inf も合わせて適用
した。
検証メモ検証メモ
ネットワークから切り離しセットアップを全て終ネットワークから切り離しセットアップを全て終えてえてから、ハードニングを実施から、ハードニングを実施R/3 Enterprise, ITS, Enterprise Portal R/3 Enterprise, ITS, Enterprise Portal の順にの順にテストを実施テストを実施都度 都度 Ghost Ghost を利用してイメージバックアップを利用してイメージバックアップ
ネットワークハードニング実施に際しては、事前ネットワークハードニング実施に際しては、事前ににロールバックスクリプトもあわせて作成ロールバックスクリプトもあわせて作成セキュリティテンプレート適用に際しては、必ずセキュリティテンプレート適用に際しては、必ずハードニング前の設定内容のバックアップを取得ハードニング前の設定内容のバックアップを取得都度稼動確認し、最終的には 都度稼動確認し、最終的には SAP SAP セキュリティセキュリティチェックリスト、チェックリスト、 MBSAMBSA 、簡単な 、簡単な ping ping 等によ等によりりハードニングのチェックを行ったハードニングのチェックを行った
Table 4.17: Domain Controller IPSec Filter Network Traffic Map
Service Protocol SourcePort
DestinationPort
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic
ANY ANY ANY ANY ME BLOCK YESデフォルトは全てブロック
R3 Server
ANY ANY ANYSAP R3Server
ME ALLOW YESR/3 からの通信は全て許可
SQL Server
ANY ANY ANY SQL Server ME ALLOW YESSQL Server からの通信は全
て許可
OtherDomainController ANY ANY ANY
OtherDomain
ControllerME ALLOW YES
他のDomainController からの通信は全
て許可ICMP
ICMP ANY ANY MESAP R3Server
ALLOW YES R/3 への通信
ICMP
ICMP ANY ANY ME SQL Server ALLOW YESSQL Server へ
の通信
IPSec Network Traffic Map - Domain Controllers
SAP R/3 Enterprise
IPSec Network Traffic MapService Protocol Source
PortDestination Port
SourceAddress
DestinationAddress
Action Mirror memo
All TrafficANY ANY ANY ANY ME BLOCK YES
デフォルトは全てブロック
SAP DIALOGServer TCP ANY 32NN ANY ME ALLOW YES
SAP GUI からの通信
MSSQL ServerClient TCP ANY 1433 ME SQL Server ALLOW YES
SQL Server への通信
Domain MemberANY ANY ANY ME
DomainController
ALLOW YESDomain Conroller
への通信
IPSec Network Traffic Map - R3 Servers
3200
SAP R/3 Enterprise
IPSec Network Traffic Map
Service Protocol SourcePort
Destination Port
SourceAddress
DestinationAddress
Action Mirror memo
All TrafficANY ANY ANY ANY ME BLOCK YES
デフォルトは全てブロック
MSSQLServer TCP ANY 1433
SAP R3Server
ME ALLOW YES R3からの通信
DomainMember ANY ANY ANY ME
DomainController
ALLOW YESDomain Controller
への通信
IPSec Network Traffic Map - SQL Servers
SAP R/3 Enterprise
Table 4.17: Domain Controller IPSec Filter Network Traffic Map
Service Protocol SourcePort
DestinationPort
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic
ANY ANY ANY ANY ME BLOCK YESデフォルトは全てブロック
R3 Server
ANY ANY ANYSAP R3Server
ME ALLOW YESR/3 からの通信は全て許可
SQL Server
ANY ANY ANY SQL Server ME ALLOW YES
SQL Serverからの通信は全て
許可
Agate ServerANY ANY ANY
SAP AgateServer
ME ALLOW YESAgate からの通信は全
て許可ICMP
ICMP ANY ANY MESAP R3Server
ALLOW YES
他のDomain
Controllerからの通信は全て
許可ICMP
ICMP ANY ANY ME SQL Server ALLOW YESR/3 への通
信ICMP
ICMP ANY ANY MESAP Agate
ServerALLOW YES
SQL Serverへの通信
IPSec Network Traffic Map - Domain Controllers
SAP ITS
IPSec Network Traffic MapService Protocol Source
PortDestination Port
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic
ANY ANY ANY ANY ME BLOCK YESデフォルトは全てブロック
SAPDIALOGServer
TCP ANY 32NNSAP
AGATEServer
ME ALLOW YESSAP Agateからの通信
SAP RFCServer
TCP ANY 33NNSAP
AGATEServer
ME ALLOW YES
SAPRFC/BAPI プログラムから
の通信HTTPServer TCP ANY 80NN ANY ME ALLOW YES
Web ブラウザからの通信
HTTPSServer TCP ANY 443NN ANY ME ALLOW YES 〃
MSSQLServerClient
TCP ANY 1433 ME SQL Server ALLOW YESSQL Server
への通信
DomainMember ANY ANY ANY ME
DomainController
ALLOW YESDomain
Conroller への通信
IPSec Network Traffic Map - R3 Servers
3200
3300
8000
44300
SAP ITS
IPSec Network Traffic MapService Protocol Source
PortDestination Port
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic
ANY ANY ANY ANY ME BLOCK YESデフォルトは全てブロック
MSSQLServer TCP ANY 1433
SAP R3Server
ME ALLOW YESR3からの通
信DomainMember ANY ANY ANY ME
DomainController
ALLOW YESDomain
Controller への通信
IPSec Network Traffic Map - SQL Servers
SAP ITS
Table 8.12: IIS Server IPSec Network Traffic Map
Service Protocol SourcePort
Destination Port
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic ANY ANY ANY ANY ME BLOCK YESHTTPServer TCP ANY 80 ANY ME ALLOW YES
HTTPSServer TCP ANY 443 ANY ME ALLOW YES
HTTPServer formgmt
TCP ANY 8080 ANY ME ALLOW YES 管理用
AgateClient1 TCP ANY 39NN ME
SAP AgateServer
ALLOW YES
AgateClient2 TCP ANY 39N9 ME
SAP AgateServer
ALLOW YES
AgateClient1(for Mgmt)
TCP ANY 39NN MESAP Agate
ServerALLOW YES 管理用
AgateClient2(for Mgmt)
TCP ANY 39N9 MESAP Agate
ServerALLOW YES 管理用
DomainMember
ANY ANY ANY ME
DomainController
(AD2.oa.corp.com)
ALLOW YES
IPSec Network Traffic Map - IIS + ITS Wgate Servers
3900
3910
39093918
3928
SAP ITS
Table 8.12: IIS Server IPSec Network Traffic Map
Service Protocol SourcePort
Destination Port
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic ANY ANY ANY ANY ME BLOCK YESAgateServer1 TCP ANY 39NN SAP Wgate ME ALLOW YES
AgateServer2 TCP ANY 39N9 SAP Wgate ME ALLOW YES
AgateServer1(for Mgmt)
TCP ANY 39NN SAP Wgate ME ALLOW YES 管理用
AgateServer2(for Mgmt)
TCP ANY 39N9 SAP Wgate ME ALLOW YES 管理用
SAPDIALOGClient
TCP ANY 32NN MESAP
DIALOGServer
ALLOW YES
SAP RFCClient TCP ANY 33NN ME
SAP RFCServer
ALLOW YES
DomainMember
ANY ANY ANY ME
DomainController
(AD1.sap.corp.com)
ALLOW YES
IPSec Network Traffic Map - ITS Agate Servers
3900
3910
3918
3928
3200
3300
SAP ITS
Table 4.17: Domain Controller IPSec Filter Network Traffic MapService Protocol Source
PortDestinationPort
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic
ANY ANY ANY ANY ME BLOCK YESデフォルトは全てブロック
R3 Server
ANY ANY ANYSAP R3Server
ME ALLOW YESR/3 からの通信は全て
許可SQL Server
ANY ANY ANY SQL Server ME ALLOW YESSQL Serverからの通信は全て許可
Agate Server
ANY ANY ANYSAP Agate
ServerME ALLOW YES
Agate からの通信は全
て許可EP Server
ANY ANY ANYSAP EPServer
ME ALLOW YESEP からの通信は全て許
可EP SQLServer
ANY ANY ANYSAP EP
SQL ServerME ALLOW YES
EP=SQLServer からの通信は全
て許可ICMP
ICMP ANY ANY MESAP R3Server
ALLOW YESR/3 への通
信ICMP
ICMP ANY ANY ME SQL Server ALLOW YESSQL Serverへの通信
ICMPICMP ANY ANY ME
SAP AgateServer
ALLOW YESAgate への
通信ICMP
ICMP ANY ANY MESAP EPServer
ALLOW YESEP への通
信ICMP
ICMP ANY ANY MESAP EP SQL
ServerALLOW YES
EP=SQLServer への
通信
IPSec Network Traffic Map - Domain Controllers
SAP Enterprise Portal
IPSec Network Traffic MapService Protocol Source
PortDestination Port
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic
ANY ANY ANY ANY ME BLOCK YESデフォルトは全てブロック
SAPDIALOGServer
TCP ANY 32NNSAP
AGATEServer
ME ALLOW YESSAP Agateからの通信
SAP RFCServer
TCP ANY 33NNSAP
AGATEServer
ME ALLOW YES
SAPRFC/BAPI プログラムからの通信
SAP RFCServer TCP ANY 33NN?
SAP EPServer
ME ALLOW YESSAP EP から
の通信HTTPServer TCP ANY 80NN ANY ME ALLOW YES
Web ブラウザからの通
信HTTPSServer TCP ANY 443NN ANY ME ALLOW YES 〃
MSSQLServerClient
TCP ANY 1433 ME SQL Server ALLOW YESSQL Serverへの通信
DomainMember ANY ANY ANY ME
DomainController
ALLOW YESDomain
Conroller への通信
IPSec Network Traffic Map - R3 Servers
3200
3300
3300
8000
44300
SAP Enterprise Portal
IPSec Network Traffic MapService Protocol Source
PortDestination Port
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic
ANY ANY ANY ANY ME BLOCK YESデフォルトは全てブロック
MSSQLServer TCP ANY 1433
SAP R3Server
ME ALLOW YESR3からの通
信DomainMember ANY ANY ANY ME
DomainController
ALLOW YESDomain
Controller への通信
IPSec Network Traffic Map - SQL Servers
SAP Enterprise Portal
IPSec Network Traffic MapService Protocol Source
PortDestination Port
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic
ANY ANY ANY ANY ME BLOCK YESデフォルトは全てブロック
SAP J2EEDispatcherServer(HTTP)
TCP ANY 5NN00ANY
(IISPRXY)ME ALLOW YES
SAP J2EEDispatcherServer(HTTPS)
TCP ANY 5NN01ANY
(IISPRXY)ME ALLOW YES
HTTPClient TCP ANY 80 ME
WgateServer
ALLOW YES Wgate
HTTPSClient TCP ANY 443 ME
WgateServer
ALLOW YES
HTTPClient TCP ANY 80NN ME R/3 Server ALLOW YES R/3
HTTPSClient TCP ANY 443NN ME R/3 Server ALLOW YES
RFC ClientTCP ANY 33NN? ME R/3 Server ALLOW YES
MSSQLServerClient
TCP ANY 1433 ME SQL Server ALLOW YESSQL Serverへの通信
DomainMember ANY ANY ANY ME
DomainController
ALLOW YESDomain
Conroller への通信
IPSec Network Traffic Map - EP Servers
50000
50001
8000
44300
3300
SAP Enterprise Portal
IPSec Network Traffic Map
Service Protocol SourcePort
Destination Port
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic
ANY ANY ANY ANY ME BLOCK YESデフォルトは全てブロック
MSSQLServer TCP ANY 1433
SAP EPServer
ME ALLOW YESEPからの通
信DomainMember ANY ANY ANY ME
DomainController
ALLOW YESDomain
Controller への通信
IPSec Network Traffic Map - EP-SQL Servers
SAP Enterprise Portal
Table 8.12: IIS Server IPSec Network Traffic Map
Service Protocol SourcePort
Destination Port
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic ANY ANY ANY ANY ME BLOCK YESHTTPServer TCP ANY 80 ANY ME ALLOW YES
HTTPSServer TCP ANY 443 ANY ME ALLOW YES
HTTPServer formgmt
TCP ANY 8080 ANY ME ALLOW YES 管理用
AgateClient1 TCP ANY 39NN ME
SAP AgateServer
ALLOW YES
AgateClient2 TCP ANY 39N9 ME
SAP AgateServer
ALLOW YES
AgateClient1(for Mgmt)
TCP ANY 39NN MESAP Agate
ServerALLOW YES 管理用
AgateClient2(for Mgmt)
TCP ANY 39N9 MESAP Agate
ServerALLOW YES 管理用
DomainMember
ANY ANY ANY ME
DomainController
(AD2.oa.corp.com)
ALLOW YES
IPSec Network Traffic Map - IIS + ITS Wgate Servers
3900
3910
3918
3928
SAP Enterprise Portal
Table 8.12: IIS Server IPSec Network Traffic Map
Service Protocol SourcePort
Destination Port
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic ANY ANY ANY ANY ME BLOCK YESAgateServer1 TCP ANY 39NN SAP Wgate ME ALLOW YES
AgateServer2 TCP ANY 39N9 SAP Wgate ME ALLOW YES
AgateServer1(for Mgmt)
TCP ANY 39NN SAP Wgate ME ALLOW YES 管理用
AgateServer2(for Mgmt)
TCP ANY 39N9 SAP Wgate ME ALLOW YES 管理用
SAPDIALOGClient
TCP ANY 32NN MESAP
DIALOGServer
ALLOW YES
SAP RFCClient TCP ANY 33NN ME
SAP RFCServer
ALLOW YES
DomainMember
ANY ANY ANY ME
DomainController
(AD1.sap.corp.com)
ALLOW YES
IPSec Network Traffic Map - ITS Agate Servers
3900
3910
3918
3928
3200
3300
SAP Enterprise Portal
Table 8.12: IIS Server IPSec Network Traffic MapService Protocol Source
PortDestination Port
SourceAddress
DestinationAddress
Action Mirror memo
All Traffic ANY ANY ANY ANY ME BLOCK YESHTTPServer TCP ANY 80 ANY ME ALLOW YES
HTTPSServer TCP ANY 443 ANY ME ALLOW YES
EP Clientfor HTTP TCP ANY 5NN00 ME
SAP EPServer
ALLOW YES
EP Clientfor HTTPS TCP ANY 5NN01 ME
SAP EPServer
ALLOW YES
DomainMember
ANY ANY ANY ME
DomainController
(AD2.oa.corp.com)
ALLOW YES
IPSec Network Traffic Map - IIS + IISProxy Servers
50000
50001
SAP Enterprise Portal
Active DirectoryActive Directory名前 状態 スタートアップ
の種類 ログオン
Automatic Updates 開始 自動 Local SystemComputer Browser 開始 自動 Local SystemCryptographic Services 開始 自動 Local SystemDistributed File System 開始 自動 Local SystemDNS Client 開始 自動 Network ServiceDNS Server 開始 自動 Local SystemEvent Log 開始 自動 Local SystemFile Replication Service 開始 自動 Local SystemIntersite Messaging 開始 自動 Local SystemIPSEC Services 開始 自動 Local SystemKerberos Key Distribution Center 開始 自動 Local SystemNet Logon 開始 自動 Local SystemNT LM Security Support Provider 開始 自動 Local SystemPlug and Play 開始 自動 Local SystemProtected Storage 開始 自動 Local SystemRemote Procedure Call (RPC) 開始 自動 Local SystemRemote Procedure Call (RPC) Locator 開始 自動 Network ServiceRemote Registry 開始 自動 Local ServiceSecurity Accounts Manager 開始 自動 Local SystemServer 開始 自動 Local SystemSystem Event Notification 開始 自動 Local SystemTCP/ IP NetBIOS Helper 開始 自動 Local ServiceTerminal Services 開始 自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始 自動 Local SystemWindows Time 開始 自動 Local SystemWorkstation 開始 自動 Local SystemBackground Intelligent Transfer Service 手動 Local SystemCOM+ Event System 開始 手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始 手動 Local SystemNetwork Location Awareness (NLA) 開始 手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System
WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local System
DHCP Client 無効 Network ServiceDHCP Server 無効 Local SystemDistributed Link Tracking Client 無効 Local SystemDistributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemHelp and Support 無効 Local SystemHTTP SSL 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System
License Logging 無効 Network ServiceMessenger 無効 Local SystemNetMeeting Remote Desktop Sharing 無効 Local SystemNetwork DDE 無効 Local SystemNetwork DDE DSDM 無効 Local SystemPortable Media Serial Number Service 無効 Local SystemPrint Spooler 無効 Local SystemRemote Access Auto Connection Manager 無効 Local SystemRemote Access Connection Manager 無効 Local SystemRemote Desktop Help Session Manager 無効 Local SystemResultant Set of Policy Provider 無効 Local SystemRouting and Remote Access 無効 Local SystemSecondary Logon 無効 Local SystemShell Hardware Detection 無効 Local SystemSmart Card 無効 Local ServiceSpecial Administration Console Helper 無効 Local SystemTask Scheduler 無効 Local SystemTelephony 無効 Local SystemTelnet 無効 Local ServiceTerminal Services Session Directory 無効 Local SystemThemes 無効 Local SystemUninterruptible Power Supply 無効 Local ServiceUpload Manager 無効 Local SystemVirtual Disk Service 無効 Local SystemWebClient 無効 Local ServiceWindows Audio 無効 Local SystemWindows Image Acquisition (WIA) 無効 Local ServiceWinHTTP Web Proxy Auto-Discovery Service 無効 Local ServiceWireless Configuration 無効 Local System
開始
SAP R/3 EnterpriseSAP R/3 Enterprise名前 状態 スタートアップ
の種類 ログオン
Automatic Updates 開始 自動 Local SystemComputer Browser 開始 自動 Local SystemCryptographic Services 開始 自動 Local SystemDistributed File System 開始 自動 Local SystemDNS Client 開始 自動 Network ServiceEvent Log 開始 自動 Local SystemIPSEC Services 開始 自動 Local SystemNet Logon 開始 自動 Local SystemNT LM Security Support Provider 開始 自動 Local SystemPlug and Play 開始 自動 Local SystemProtected Storage 開始 自動 Local SystemRemote Procedure Call (RPC) 開始 自動 Local SystemRemote Registry 開始 自動 Local ServiceSAPOSCOL 開始 自動 SAP\ SAPServiceP0Security Accounts Manager 開始 自動 Local SystemServer 開始 自動 Local SystemSystem Event Notification 開始 自動 Local SystemTCP/ IP NetBIOS Helper 開始 自動 Local ServiceTerminal Services 開始 自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始 自動 Local SystemWindows Time 開始 自動 Local SystemWorkstation 開始 自動 Local SystemBackground Intelligent Transfer Service 開始 手動 Local SystemCOM+ Event System 開始 手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始 手動 Local SystemNetwork Location Awareness (NLA) 開始 手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemSAPP01_00 開始 手動 SAP\ SAPServiceP0SAPP01_05 開始 手動 SAP\ SAPServiceP0Volume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System
WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed Link Tracking Client 無効 Local System
Distributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemFile Replication 無効 Local SystemHelp and Support 無効 Local SystemHTTP SSL 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System
Intersite Messaging 無効 Local SystemKerberos Key Distribution Center 無効 Local SystemLicense Logging 無効 Network ServiceMessenger 無効 Local SystemNetMeeting Remote Desktop Sharing 無効 Local SystemNetwork DDE 無効 Local SystemNetwork DDE DSDM 無効 Local SystemPortable Media Serial Number Service 無効 Local SystemPrint Spooler 無効 Local SystemRemote Access Auto Connection Manager 無効 Local SystemRemote Access Connection Manager 無効 Local SystemRemote Desktop Help Session Manager 無効 Local SystemRemote Procedure Call (RPC) Locator 無効 Network ServiceResultant Set of Policy Provider 無効 Local SystemRouting and Remote Access 無効 Local SystemSecondary Logon 無効 Local SystemShell Hardware Detection 無効 Local SystemSmart Card 無効 Local ServiceSpecial Administration Console Helper 無効 Local SystemTask Scheduler 無効 Local SystemTelephony 無効 Local SystemTelnet 無効 Local ServiceTerminal Services Session Directory 無効 Local SystemThemes 無効 Local SystemUninterruptible Power Supply 無効 Local ServiceUpload Manager 無効 Local SystemVirtual Disk Service 無効 Local SystemWebClient 無効 Local ServiceWindows Audio 無効 Local SystemWindows Image Acquisition (WIA) 無効 Local ServiceWinHTTP Web Proxy Auto-Discovery Service 無効 Local ServiceWireless Configuration 無効 Local System
開始
SQL Server (for SAP R/3 Enterprise)SQL Server (for SAP R/3 Enterprise)名前 状態 スタートアップ
の種類 ログオン
Automatic Updates 開始 自動 Local SystemComputer Browser 開始 自動 Local SystemCryptographic Services 開始 自動 Local SystemDNS Client 開始 自動 Network ServiceEvent Log 開始 自動 Local SystemIPSEC Services 開始 自動 Local SystemMSSQLSERVER 開始 自動 Local SystemNet Logon 開始 自動 Local SystemNT LM Security Support Provider 開始 自動 Local SystemPlug and Play 開始 自動 Local SystemProtected Storage 開始 自動 Local SystemRemote Procedure Call (RPC) 開始 自動 Local SystemRemote Registry 開始 自動 Local ServiceSecurity Accounts Manager 開始 自動 Local SystemServer 開始 自動 Local SystemSQLSERVERAGENT 開始 自動 Local SystemSystem Event Notification 開始 自動 Local SystemTCP/ IP NetBIOS Helper 開始 自動 Local ServiceTerminal Services 開始 自動 Local SystemWindows Installer 開始 自動 Local SystemWindows Management Instrumentation 開始 自動 Local SystemWindows Time 開始 自動 Local SystemWorkstation 開始 自動 Local SystemBackground Intelligent Transfer Service 開始 手動 Local SystemCOM+ Event System 開始 手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始 手動 Local SystemNetwork Location Awareness (NLA) 開始 手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System
WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed File System 無効 Local SystemDistributed Link Tracking Client 無効 Local SystemDistributed Link Tracking Server 無効 Local System
Distributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemFile Replication 無効 Local SystemHelp and Support 無効 Local SystemHTTP SSL 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System
Intersite Messaging 無効 Local SystemKerberos Key Distribution Center 無効 Local SystemLicense Logging 無効 Network ServiceMessenger 無効 Local SystemMicrosoft Search 無効 Local SystemMSSQLServerADHelper 無効 Local SystemNetMeeting Remote Desktop Sharing 無効 Local SystemNetwork DDE 無効 Local SystemNetwork DDE DSDM 無効 Local SystemPortable Media Serial Number Service 無効 Local SystemPrint Spooler 無効 Local SystemRemote Access Auto Connection Manager 無効 Local SystemRemote Access Connection Manager 無効 Local SystemRemote Desktop Help Session Manager 無効 Local SystemRemote Procedure Call (RPC) Locator 無効 Network ServiceResultant Set of Policy Provider 無効 Local SystemRouting and Remote Access 無効 Local SystemSecondary Logon 無効 Local SystemShell Hardware Detection 無効 Local SystemSmart Card 無効 Local ServiceSpecial Administration Console Helper 無効 Local SystemTask Scheduler 無効 Local SystemTelephony 無効 Local SystemTelnet 無効 Local ServiceTerminal Services Session Directory 無効 Local SystemThemes 無効 Local SystemUninterruptible Power Supply 無効 Local ServiceUpload Manager 無効 Local SystemVirtual Disk Service 無効 Local SystemWebClient 無効 Local ServiceWindows Audio 無効 Local SystemWindows Image Acquisition (WIA) 無効 Local ServiceWinHTTP Web Proxy Auto-Discovery Service 無効 Local ServiceWireless Configuration 無効 Local System
SAP ITS AgateSAP ITS Agate名前 状態 スタートアップ
の種類 ログオン
Automatic Updates 開始 自動 Local SystemComputer Browser 開始 自動 Local SystemCryptographic Services 開始 自動 Local SystemDNS Client 開始 自動 Network ServiceEvent Log 開始 自動 Local SystemIPSEC Services 開始 自動 Local SystemITS Watchdog 開始 自動 Local SystemNet Logon 開始 自動 Local SystemNT LM Security Support Provider 開始 自動 Local SystemPlug and Play 開始 自動 Local SystemProtected Storage 開始 自動 Local SystemRemote Procedure Call (RPC) 開始 自動 Local SystemRemote Registry 開始 自動 Local ServiceSAP IACOR Manager 開始 自動 Local SystemSAP ITS Manager - ADM 開始 自動 Local SystemSAP ITS Manager - P01 開始 自動 Local SystemSecurity Accounts Manager 開始 自動 Local SystemServer 開始 自動 Local SystemSystem Event Notification 開始 自動 Local SystemTCP/ IP NetBIOS Helper 開始 自動 Local ServiceTerminal Services 開始 自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始 自動 Local SystemWindows Time 開始 自動 Local SystemWorkstation 開始 自動 Local SystemBackground Intelligent Transfer Service 手動 Local SystemCOM+ Event System 開始 手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始 手動 Local SystemNetwork Location Awareness (NLA) 開始 手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System
WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed File System 無効 Local System
Distributed Link Tracking Client 無効 Local SystemDistributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemFile Replication 無効 Local SystemHelp and Support 無効 Local SystemHTTP SSL 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System
Intersite Messaging 無効 Local SystemKerberos Key Distribution Center 無効 Local SystemLicense Logging 無効 Network ServiceMessenger 無効 Local SystemNetMeeting Remote Desktop Sharing 無効 Local SystemNetwork DDE 無効 Local SystemNetwork DDE DSDM 無効 Local SystemPortable Media Serial Number Service 無効 Local SystemPrint Spooler 無効 Local SystemRemote Access Auto Connection Manager 無効 Local SystemRemote Access Connection Manager 無効 Local SystemRemote Desktop Help Session Manager 無効 Local SystemRemote Procedure Call (RPC) Locator 無効 Network ServiceResultant Set of Policy Provider 無効 Local SystemRouting and Remote Access 無効 Local SystemSecondary Logon 無効 Local SystemShell Hardware Detection 無効 Local SystemSmart Card 無効 Local ServiceSpecial Administration Console Helper 無効 Local SystemTask Scheduler 無効 Local SystemTelephony 無効 Local SystemTelnet 無効 Local ServiceTerminal Services Session Directory 無効 Local SystemThemes 無効 Local SystemUninterruptible Power Supply 無効 Local ServiceUpload Manager 無効 Local SystemVirtual Disk Service 無効 Local SystemWebClient 無効 Local ServiceWindows Audio 無効 Local SystemWindows Image Acquisition (WIA) 無効 Local ServiceWinHTTP Web Proxy Auto-Discovery Service 無効 Local ServiceWireless Configuration 無効 Local System
開始
SAP ITS WgateSAP ITS Wgate名前 状態 スタートアップ
の種類 ログオン
Automatic Updates 開始 自動 Local SystemComputer Browser 開始 自動 Local SystemCryptographic Services 開始 自動 Local SystemDNS Client 開始 自動 Network ServiceEvent Log 開始 自動 Local SystemHTTP SSL 開始 自動 Local SystemIIS Admin Service 開始 自動 Local SystemIPSEC Services 開始 自動 Local SystemNet Logon 開始 自動 Local SystemNT LM Security Support Provider 開始 自動 Local SystemPlug and Play 開始 自動 Local SystemProtected Storage 開始 自動 Local SystemRemote Procedure Call (RPC) 開始 自動 Local SystemRemote Registry 開始 自動 Local ServiceSAP IACOR Manager 開始 自動 Local SystemSecurity Accounts Manager 開始 自動 Local SystemServer 開始 自動 Local SystemSystem Event Notification 開始 自動 Local SystemTCP/ IP NetBIOS Helper 開始 自動 Local ServiceTerminal Services 開始 自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始 自動 Local SystemWindows Time 開始 自動 Local SystemWorkstation 開始 自動 Local SystemWorld Wide Web Publishing Service 開始 自動 Local SystemBackground Intelligent Transfer Service 開始 手動 Local SystemCOM+ Event System 開始 手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始 手動 Local SystemNetwork Location Awareness (NLA) 開始 手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System
WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed File System 無効 Local System
Distributed Link Tracking Client 無効 Local SystemDistributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemFile Replication 無効 Local SystemHelp and Support 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System
Intersite Messaging 無効 Local SystemKerberos Key Distribution Center 無効 Local SystemLicense Logging 無効 Network ServiceMessenger 無効 Local SystemNetMeeting Remote Desktop Sharing 無効 Local SystemNetwork DDE 無効 Local SystemNetwork DDE DSDM 無効 Local SystemPortable Media Serial Number Service 無効 Local SystemPrint Spooler 無効 Local SystemRemote Access Auto Connection Manager 無効 Local SystemRemote Access Connection Manager 無効 Local SystemRemote Desktop Help Session Manager 無効 Local SystemRemote Procedure Call (RPC) Locator 無効 Network ServiceResultant Set of Policy Provider 無効 Local SystemRouting and Remote Access 無効 Local SystemSecondary Logon 無効 Local SystemShell Hardware Detection 無効 Local SystemSmart Card 無効 Local ServiceSpecial Administration Console Helper 無効 Local SystemTask Scheduler 無効 Local SystemTelephony 無効 Local SystemTelnet 無効 Local ServiceTerminal Services Session Directory 無効 Local SystemThemes 無効 Local SystemUninterruptible Power Supply 無効 Local ServiceUpload Manager 無効 Local SystemVirtual Disk Service 無効 Local SystemWebClient 無効 Local ServiceWindows Audio 無効 Local SystemWindows Image Acquisition (WIA) 無効 Local ServiceWinHTTP Web Proxy Auto-Discovery Service 無効 Local ServiceWireless Configuration 無効 Local System
開始
SAP Enterprise PortalSAP Enterprise Portal名前 状態 スタートアップ
の種類 ログオン
Automatic Updates 開始 自動 Local SystemComputer Browser 開始 自動 Local SystemCryptographic Services 開始 自動 Local SystemDNS Client 開始 自動 Network ServiceEvent Log 開始 自動 Local SystemIPSEC Services 開始 自動 Local SystemNet Logon 開始 自動 Local SystemNT LM Security Support Provider 開始 自動 Local SystemPlug and Play 開始 自動 Local SystemProtected Storage 開始 自動 Local SystemRemote Procedure Call (RPC) 開始 自動 Local SystemRemote Registry 開始 自動 Local ServiceSecurity Accounts Manager 開始 自動 Local SystemServer 開始 自動 Local SystemSystem Event Notification 開始 自動 Local SystemTCP/ IP NetBIOS Helper 開始 自動 Local ServiceTerminal Services 開始 自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始 自動 Local SystemWindows Time 開始 自動 Local SystemWorkstation 開始 自動 Local SystemBackground Intelligent Transfer Service 開始 手動 Local SystemCOM+ Event System 開始 手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始 手動 Local SystemNetwork Location Awareness (NLA) 開始 手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System
WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed File System 無効 Local SystemDistributed Link Tracking Client 無効 Local SystemDistributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local System
File Replication 無効 Local SystemHelp and Support 無効 Local SystemHTTP SSL 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System
Intersite Messaging 無効 Local SystemKerberos Key Distribution Center 無効 Local SystemLicense Logging 無効 Network ServiceMessenger 無効 Local SystemNetMeeting Remote Desktop Sharing 無効 Local SystemNetwork DDE 無効 Local SystemNetwork DDE DSDM 無効 Local SystemPortable Media Serial Number Service 無効 Local SystemPrint Spooler 無効 Local SystemRemote Access Auto Connection Manager 無効 Local SystemRemote Access Connection Manager 無効 Local SystemRemote Desktop Help Session Manager 無効 Local SystemRemote Procedure Call (RPC) Locator 無効 Network ServiceResultant Set of Policy Provider 無効 Local SystemRouting and Remote Access 無効 Local SystemSecondary Logon 無効 Local SystemShell Hardware Detection 無効 Local SystemSmart Card 無効 Local ServiceSpecial Administration Console Helper 無効 Local SystemTask Scheduler 無効 Local SystemTelephony 無効 Local SystemTelnet 無効 Local ServiceTerminal Services Session Directory 無効 Local SystemThemes 無効 Local SystemUninterruptible Power Supply 無効 Local ServiceUpload Manager 無効 Local SystemVirtual Disk Service 無効 Local SystemWebClient 無効 Local ServiceWindows Audio 無効 Local SystemWindows Image Acquisition (WIA) 無効 Local ServiceWinHTTP Web Proxy Auto-Discovery Service 無効 Local ServiceWireless Configuration 無効 Local System
開始
SQL Server (for SAP Enterprise Portal)SQL Server (for SAP Enterprise Portal)名前 状態 スタートアップ
の種類 ログオン
Automatic Updates 開始 自動 Local SystemComputer Browser 開始 自動 Local SystemCryptographic Services 開始 自動 Local SystemDNS Client 開始 自動 Network ServiceEvent Log 開始 自動 Local SystemIPSEC Services 開始 自動 Local SystemMSSQLSERVER 開始 自動 SAP\ AdministratorNet Logon 開始 自動 Local SystemNT LM Security Support Provider 開始 自動 Local SystemPlug and Play 開始 自動 Local SystemProtected Storage 開始 自動 Local SystemRemote Procedure Call (RPC) 開始 自動 Local SystemRemote Registry 開始 自動 Local ServiceSecurity Accounts Manager 開始 自動 Local SystemServer 開始 自動 Local SystemSymantec Ghost Configuration Server 開始 自動 Local SystemSystem Event Notification 開始 自動 Local SystemTCP/ IP NetBIOS Helper 開始 自動 Local ServiceTerminal Services 開始 自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始 自動 Local SystemWindows Time 開始 自動 Local SystemWorkstation 開始 自動 Local SystemBackground Intelligent Transfer Service 手動 Local SystemCOM+ Event System 開始 手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始 手動 Local SystemNetwork Location Awareness (NLA) 開始 手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemSQLSERVERAGENT 手動 SAP\ AdministratorVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System
WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed File System 無効 Local SystemDistributed Link Tracking Client 無効 Local System
Distributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemFile Replication 無効 Local SystemHelp and Support 無効 Local SystemHTTP SSL 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System
Intersite Messaging 無効 Local SystemKerberos Key Distribution Center 無効 Local SystemLicense Logging 無効 Network ServiceMessenger 無効 Local SystemMicrosoft Search 無効 Local SystemMSSQLServerADHelper 無効 Local SystemNetMeeting Remote Desktop Sharing 無効 Local SystemNetwork DDE 無効 Local SystemNetwork DDE DSDM 無効 Local SystemPortable Media Serial Number Service 無効 Local SystemPrint Spooler 無効 Local SystemRemote Access Auto Connection Manager 無効 Local SystemRemote Access Connection Manager 無効 Local SystemRemote Desktop Help Session Manager 無効 Local SystemRemote Procedure Call (RPC) Locator 無効 Network ServiceResultant Set of Policy Provider 無効 Local SystemRouting and Remote Access 無効 Local SystemSecondary Logon 無効 Local SystemShell Hardware Detection 無効 Local SystemSmart Card 無効 Local ServiceSpecial Administration Console Helper 無効 Local SystemTask Scheduler 無効 Local SystemTelephony 無効 Local SystemTelnet 無効 Local ServiceTerminal Services Session Directory 無効 Local SystemThemes 無効 Local SystemUninterruptible Power Supply 無効 Local ServiceUpload Manager 無効 Local SystemVirtual Disk Service 無効 Local SystemWebClient 無効 Local ServiceWindows Audio 無効 Local SystemWindows Image Acquisition (WIA) 無効 Local ServiceWinHTTP Web Proxy Auto-Discovery Service 無効 Local ServiceWireless Configuration 無効 Local System
開始
SAP Enterprise Portal IIS ProxySAP Enterprise Portal IIS Proxy名前 状態 スタートアップ
の種類 ログオン
Automatic Updates 開始 自動 Local SystemComputer Browser 開始 自動 Local SystemCryptographic Services 開始 自動 Local SystemDNS Client 開始 自動 Network ServiceEvent Log 開始 自動 Local SystemHTTP SSL 開始 自動 Local SystemIIS Admin Service 開始 自動 Local SystemIPSEC Services 開始 自動 Local SystemNet Logon 開始 自動 Local SystemNT LM Security Support Provider 開始 自動 Local SystemPlug and Play 開始 自動 Local SystemProtected Storage 開始 自動 Local SystemRemote Procedure Call (RPC) 開始 自動 Local SystemRemote Registry 開始 自動 Local ServiceSecurity Accounts Manager 開始 自動 Local SystemServer 開始 自動 Local SystemSystem Event Notification 開始 自動 Local SystemTCP/ IP NetBIOS Helper 開始 自動 Local ServiceTerminal Services 開始 自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始 自動 Local SystemWindows Time 開始 自動 Local SystemWorkstation 開始 自動 Local SystemWorld Wide Web Publishing Service 開始 自動 Local SystemBackground Intelligent Transfer Service 手動 Local SystemCOM+ Event System 開始 手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始 手動 Local SystemNetwork Location Awareness (NLA) 開始 手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System
WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed File System 無効 Local SystemDistributed Link Tracking Client 無効 Local System
Distributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemFile Replication 無効 Local SystemHelp and Support 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System
Intersite Messaging 無効 Local SystemKerberos Key Distribution Center 無効 Local SystemLicense Logging 無効 Network ServiceMessenger 無効 Local SystemNetMeeting Remote Desktop Sharing 無効 Local SystemNetwork DDE 無効 Local SystemNetwork DDE DSDM 無効 Local SystemPortable Media Serial Number Service 無効 Local SystemPrint Spooler 無効 Local SystemRemote Access Auto Connection Manager 無効 Local SystemRemote Access Connection Manager 無効 Local SystemRemote Desktop Help Session Manager 無効 Local SystemRemote Procedure Call (RPC) Locator 無効 Network ServiceResultant Set of Policy Provider 無効 Local SystemRouting and Remote Access 無効 Local SystemSecondary Logon 無効 Local SystemShell Hardware Detection 無効 Local SystemSmart Card 無効 Local ServiceSpecial Administration Console Helper 無効 Local SystemTask Scheduler 無効 Local SystemTelephony 無効 Local SystemTelnet 無効 Local ServiceTerminal Services Session Directory 無効 Local SystemThemes 無効 Local SystemUninterruptible Power Supply 無効 Local ServiceUpload Manager 無効 Local SystemVirtual Disk Service 無効 Local SystemWebClient 無効 Local ServiceWindows Audio 無効 Local SystemWindows Image Acquisition (WIA) 無効 Local ServiceWinHTTP Web Proxy Auto-Discovery Service 無効 Local ServiceWireless Configuration 無効 Local System
開始
セキュリティテンプレート適用後の設定変更セキュリティテンプレート適用後の設定変更
R/3 Server, R/3 用 SQL Server では、高セキュリティ・テンプレートで削除された Administrators を再度入力した。
+ Administrators