windows server によるセキュアな sap システムの構築と運用

Windows Server Windows Server によるによるセキュアなセキュアな SAP SAP システムのシステムの

構築と運用構築と運用

マイクロソフト株式会社マイクロソフト株式会社

AgendaAgenda

1.1. はじめにはじめに2.2. セキュアなセキュアな SAP SAP システムの構築システムの構築

- - ハードニングハードニング3.3. セキュアなセキュアな SAP SAP システムの運用システムの運用

- - パッチマネジメントパッチマネジメント4.4. セキュアなセキュアな SAP SAP システムの運用システムの運用

- - アンチウイルスソフトウエアアンチウイルスソフトウエア5.5. まとめまとめ6.6. （参考）過去の脆弱性の整理（参考）過去の脆弱性の整理

１．はじめに１．はじめに

セキュリティインシデントの現状セキュリティインシデントの現状

コンピュータシステムを襲うウイルスのコンピュータシステムを襲うウイルスの猛威猛威

Code Red, Nimda, SQLSlammer, MSBlast, SCode Red, Nimda, SQLSlammer, MSBlast, Sasser ….asser ….

情報処理進行事業協会セキュリティセンター（ IPA/ISEC ） Web ページより

http://www.ipa.go.jp/security/txt/2003/12.html

http://www.ipa.go.jp/security/txt/2003/12.html

SAP SAP システムは、最もセキュアに保護しシステムは、最もセキュアに保護したいたい

基幹系である基幹系である SAP SAP システムは、保持するシステムは、保持するデータの価値が非常に高いデータの価値が非常に高い

とは言っても、セキュリティ更新プログラとは言っても、セキュリティ更新プログラムの適用は（以下の理由から）最小限に留ムの適用は（以下の理由から）最小限に留めたいめたい

（多くの場合）システム停止が必要（多くの場合）システム停止が必要事前テストが必要事前テストが必要

SAP SAP システム管理者の声システム管理者の声

この文書の目的この文書の目的

今回ご紹介するセキュリティソリューショ今回ご紹介するセキュリティソリューションをンを実践する事で、以下の３つを実現できます実践する事で、以下の３つを実現できます

SAP システムのセキュリティを強化する

SAP システムのダウンタイムを抑える

Windows ならではの低い運用コストを維持する

SAP-Microsoft SAP-Microsoft コンピテンスセンターにコンピテンスセンターにおける技術検証結果を是非ご活用下さいおける技術検証結果を是非ご活用下さい

（※）セキュリティ対策とは？（※）セキュリティ対策とは？

ウイルス、ワームからの防御ウイルス、ワームからの防御クライアントサイドクライアントサイド

アンチウイルス、パッチマネジメンアンチウイルス、パッチマネジメント、ト、 IDS etcIDS etc

サーバーサイドサーバーサイドハードニング（ネットワーク、サービス、ハードニング（ネットワーク、サービス、他）他）パッチマネジメントパッチマネジメントアンチウイルスアンチウイルスEtcEtc

不正アクセスからの防御不正アクセスからの防御

２．セキュアな２．セキュアな SAP SAP システムの構システムの構築築 - - ハードニングハードニング

ハードニングとはハードニングとは

定義： SAP システムの稼動に最低限必要なプラットフォーム　　　機能のみを残すこと

効果１：セキュリティの強化　　　　 - SAP システムが無用な脆弱性リスクに晒される事を防止し、　　　　　　コンピュータウイルス等による攻撃を最大限ブロックできる

効果２：アベイラビリティの確保　　　　 - システム停止を伴うことが多いセキュリティ更新プログラム　　　　　の適用頻度を最低限にとどめる事ができる

効果３：低い運用コストの維持　　　　 - ユーザーサイドでのテストが必要なセキュリティ更新プログラム　　　　　の適用頻度を最低限にとどめる事ができる

ネットワークのハードニングネットワークのハードニング

SAP SAP システムに不要な通信をブロックすシステムに不要な通信をブロックする為のパケットフィルタリングを実施する為のパケットフィルタリングを実施するる

IPSec IPSec ポリシースクリプトの適用（各ホストポリシースクリプトの適用（各ホスト単位）単位）ファイアウォール、ルータ、レイヤ３スイッファイアウォール、ルータ、レイヤ３スイッチ、チ、SAP Router SAP Router などの配備（各サブネット単などの配備（各サブネット単位）位）サブネット単位、ホスト単位双方を組み合わサブネット単位、ホスト単位双方を組み合わせせれば、よりセキュアな環境にれば、よりセキュアな環境に

WWW（ ITS 用 )

WWW（ EP 用 )

WWW（社外用）

WWW（ ITS 用 )

RAS DNS Mail VPN

WWW（ EP 用 ) DNS

Web電話回線など

Router

Directory

SAP DB

DMZ セグメント

Proxy

WWW FTP

ITS EP・・・

MailFile

WWW（社外用）

（※）企業ネットワークにおける（※）企業ネットワークにおけるネットワークハードニング例ネットワークハードニング例

Firewall 等

社内セグメント

RAS セグメント

社内サーバーセグメント

SAP サーバーセグメン

ト

（※）ネットワークのハードニング・（※）ネットワークのハードニング・実装例実装例

各ホスト単位のネットワークハードニングをま各ホスト単位のネットワークハードニングをまず実施ず実施単一障害点（単一障害点（ Single Point of failureSingle Point of failure ）となる）となる SSAP AP サーバー群は、「サーバー群は、「 SAP SAP サーバーセグメンサーバーセグメント」としてト」として別のサブネットに含め、ネットワーク機器等に別のサブネットに含め、ネットワーク機器等によるハードニングを追加してよりセキュアにすよるハードニングを追加してよりセキュアにするる

SAP SAP セントラルインスタンス、セントラルインスタンス、 DB DB インスタンスなインスタンスなどど

それ以外のサーバー群は、順次セキュリティ更それ以外のサーバー群は、順次セキュリティ更新新プログラムを適用できるように冗長構成にしてプログラムを適用できるように冗長構成にしておくおく

SAP SAP ダイアログインスタンス、ダイアログインスタンス、 ITS Agate/Wgate ITS Agate/Wgate などなど

パケットフィルタリングに際しての注パケットフィルタリングに際しての注意点意点

Active Directory Active Directory （とその通信相手）は多（とその通信相手）は多くのポートで通信する点に注意するくのポートで通信する点に注意するどのポートが利用されているかが不明などのポートが利用されているかが不明な場合は、ネットワークモニタなどのツール場合は、ネットワークモニタなどのツールをを活用する活用する

サービスのハードニングサービスのハードニング

SAP SAP システムの稼動に不要なサービスをシステムの稼動に不要なサービスを無効化する無効化する

パフォーマンス上のメリットもあるパフォーマンス上のメリットもある

サービスの内容起動オプション

システムの稼動に不要な事が明らかなサービス無効システムの稼動に必要な事が明らかなサービス自動それ以外のサービス手動

サービス無効化に際しての注意点サービス無効化に際しての注意点

無効化する前にサービスの内容をよく確認無効化する前にサービスの内容をよく確認Windows Server Windows Server セキュリティガイドを参照セキュリティガイドを参照

それぞれのシステム環境における入念なそれぞれのシステム環境における入念なテストを実施した後、無効化するサービステストを実施した後、無効化するサービスをを決定する決定する

別紙で掲げている「別紙で掲げている「 SAP SAP システムに必要なシステムに必要なサービス」以外を、全て無条件に無効化してサービス」以外を、全て無条件に無効化してよい訳ではないよい訳ではない

その他のハードニングその他のハードニング

対策対策OS, DB, Web, OS, DB, Web, アプリケーション（アプリケーション（ SAPSAP ）と）といった様々な側面から詳細なハードニングをいった様々な側面から詳細なハードニングを実施実施

効果効果セキュリティ設定を詳細にカスタマイズセキュリティ設定を詳細にカスタマイズ


Windows Server Windows Server セキュリティ運用ガイドセキュリティ運用ガイドhttp://www.microsoft.com/japan/technet/security/prodtech/windowshttp://www.microsoft.com/japan/technet/security/prodtech/windows/windows2000/staysecure/default.asp/windows2000/staysecure/default.asp　　　　http://www.microsoft.com/japan/technet/security/prodtech/win2003/http://www.microsoft.com/japan/technet/security/prodtech/win2003/w2003hg/sgch00.aspw2003hg/sgch00.asp

脅威とその対策：脅威とその対策： Windows Server 2003 Windows Server 2003 ととWindows XP Windows XP のセキュリティ対策のセキュリティ対策

http://www.microsoft.com/japan/technet/security/prodtech/winclnt/shttp://www.microsoft.com/japan/technet/security/prodtech/winclnt/secwinxp/default.aspecwinxp/default.asp

設計から堅固な実装へ：設計から堅固な実装へ： IIS 5.0 IIS 5.0 セキュリティガイドセキュリティガイドhttp://www.microsoft.com/japan/technet/prodtechnol/iis/iis5/http://www.microsoft.com/japan/technet/prodtechnol/iis/iis5/deploy/depovg/securiis.aspdeploy/depovg/securiis.asp

SQL Server SQL Server セキュリティ資料セキュリティ資料http://www.sqlpassj.org/bunkakai/security/default.aspxhttp://www.sqlpassj.org/bunkakai/security/default.aspx

SAP Network Integration Guide, SAP Security GuideSAP Network Integration Guide, SAP Security Guidehttp://service.sap.com/netweaverhttp://service.sap.com/netweaver　　　　　　- SAP Netweaver Japan- SAP Netweaver in Detail – Network- SAP Netweaver Japan- SAP Netweaver in Detail – Network- SAP Netweaver in Detail – Security – Security in Detail- SAP Netweaver in Detail – Security – Security in Detail

などなどなどなど

http://www.microsoft.com/japan/technet/security/prodtech/windows/windows2000/staysecure/default.asp

http://www.microsoft.com/japan/technet/security/prodtech/windows/windows2000/staysecure/default.asp

http://www.microsoft.com/japan/technet/security/prodtech/win2003/w2003hg/sgch00.asp

http://www.microsoft.com/japan/technet/security/prodtech/win2003/w2003hg/sgch00.asp

http://www.microsoft.com/japan/technet/security/prodtech/winclnt/secwinxp/default.asp

http://www.microsoft.com/japan/technet/security/prodtech/winclnt/secwinxp/default.asp

http://www.microsoft.com/japan/technet/prodtechnol/iis/iis5/deploy/depovg/securiis.asp

http://www.microsoft.com/japan/technet/prodtechnol/iis/iis5/deploy/depovg/securiis.asp

http://www.sqlpassj.org/bunkakai/security/default.aspx

http://service.sap.com/netweaver

その他のハードニングその他のハードニング（テンプレートを利用したハードニ（テンプレートを利用したハードニング）ング）Windows Server 2003 Windows Server 2003 セキュリティガイドとセキュリティガイドと

添付のテンプレートを利用して効率よくハードニ添付のテンプレートを利用して効率よくハードニングング

http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelistC1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist　　

http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist

http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist

ハードニングにあたっての注意点ハードニングにあたっての注意点

要求されるセキュリティレベルの明確化要求されるセキュリティレベルの明確化システムの仕様調査システムの仕様調査

SAP SAP システムだけでなくシステムだけでなく SAP SAP 以外のシステ以外のシステムもムも必要なサービス、通信経路、ポート・・・必要なサービス、通信経路、ポート・・・

ハードニング項目の洗い出しハードニング項目の洗い出しサービス、ネットワーク、その他のハードニサービス、ネットワーク、その他のハードニングング

ハードニング実装に伴うコストと効果の予ハードニング実装に伴うコストと効果の予測測ハードニング項目の決定ハードニング項目の決定何を、どこまでやるか？の決定何を、どこまでやるか？の決定

各モジュール（各モジュール（ OS, DB, Web, SAPOS, DB, Web, SAP ）をセ）をセットアップする度に、そのとき可能なハーットアップする度に、そのとき可能なハードニングを都度実装する事が、セキュリテドニングを都度実装する事が、セキュリティ上は最もィ上は最も望ましい望ましい但し、ネットワークから切り離したセット但し、ネットワークから切り離したセットアップが出来るなどの場合は、ハードニンアップが出来るなどの場合は、ハードニングをグをある程度まとめて実装しても、特に問題はある程度まとめて実装しても、特に問題はなしなし


ハードニングを（一挙に行わず）ステップバイスハードニングを（一挙に行わず）ステップバイステップで実装していき、都度稼動確認を推奨テップで実装していき、都度稼動確認を推奨

いざという時はロールバックするいざという時はロールバックする

システム構成のバックアップ（※ 1）、またはロールバック手段の確保

ハードニングのステップバイステップでの実装

稼動確認

最終セキュリティチェック（※ 2）

サーバー毎やハードニング毎に繰り返す(問題が発生した場合はロールバックする )

（※１） Windows Server 2003 の ASR バックアップ、もしくはサードパーティのイメージバックアップツール。（※２） Microsoft Baseline Security Analyzer などを利用する。


３．セキュアな３．セキュアな SAP SAP システムの運システムの運用用 - - パッチマネジメントパッチマネジメント

パッチ展開パッチ展開パッチ展開パッチ展開

現状分析現状分析現状分析現状分析

情報収集情報収集情報収集情報収集

実施項目実施項目実施項目実施項目

セキュリティ維持のプロセスセキュリティ維持のプロセス

セキュリティ脆弱性情報収集セキュリティ脆弱性情報収集セキュリティ脆弱性情報収集セキュリティ脆弱性情報収集

自社での影響と緊急度の判定自社での影響と緊急度の判定自社での影響と緊急度の判定自社での影響と緊急度の判定

展開の計画策定展開の計画策定ステージング環境によるテスト実施ステージング環境によるテスト実施本番適用とロールバック本番適用とロールバック

展開の計画策定展開の計画策定ステージング環境によるテスト実施ステージング環境によるテスト実施本番適用とロールバック本番適用とロールバック

結果監視結果監視結果監視結果監視全社のポリシー適用状況の監視全社のポリシー適用状況の監視ポリシー違反のフードバックプロセス実施ポリシー違反のフードバックプロセス実施

全社のポリシー適用状況の監視全社のポリシー適用状況の監視ポリシー違反のフードバックプロセス実施ポリシー違反のフードバックプロセス実施

作業内容作業内容作業内容作業内容

情報収集情報収集（サーバーサイド・クライアントサイド）（サーバーサイド・クライアントサイド）

毎月第２水曜日（日本時間）に、「月間セ毎月第２水曜日（日本時間）に、「月間セキュリティ情報サイト」より脆弱性情報をキュリティ情報サイト」より脆弱性情報をチェックチェック

http://www.microsoft.com/japan/technet/http://www.microsoft.com/japan/technet/security/bulletin/monthly.aspsecurity/bulletin/monthly.asp

現状分析現状分析（サーバーサイド）（サーバーサイド）

SAP SAP システムのサーバー群に関与するか？システムのサーバー群に関与するか？Windows Server 2003/2000 Server/NT ServerWindows Server 2003/2000 Server/NT Server

（利用している場合）（利用している場合） IIS, SQL Server IIS, SQL Server

※ ※ SAP SAP サーバー上でのサーバー上での Internet Explorer, Office, Internet Explorer, Office, Windows Media Windows Media の利用を禁止する等、運用を工夫の利用を禁止する等、運用を工夫すれば、これらの脆弱性はリスク評価の対象外にできすれば、これらの脆弱性はリスク評価の対象外にできるる

「最大深刻度」のレベルは？「最大深刻度」のレベルは？「回避策」は実装済みか？または追加実装可能か？「回避策」は実装済みか？または追加実装可能か？

例）ファイアーウォールで例）ファイアーウォールで XXXX XXXX をブロックするをブロックする最大深刻度定義リスク

緊急 (Critical) この脆弱性が悪用された場合、インターネットワームがユーザーの操作なしで蔓延する可能性があります。高

重要 (Important) この脆弱性が悪用された場合、ユーザーのデータの機密性、完全性または可用性が侵害される可能性があります。または、処理中のリソースの完全性または可用性が侵害される可能性があります。

警告 (Moderate) この脆弱性が悪用された場合、既定の構成、監査または悪用が困難であることなどの要素により、悪用される可能性は大幅に緩和されます。

注意 (Low) この脆弱性の悪用は非常に困難です。または影響はわずかです。低

現状分析現状分析（クライアントサイド）（クライアントサイド）

SAP SAP システムのクライアント群に関与するか？システムのクライアント群に関与するか？Windows XP/2000/NT/Me/98 Windows XP/2000/NT/Me/98 （（ Internet Explorer, Internet Explorer, Windows Media Player Windows Media Player 等を含む）等を含む） , Office , Office などなど

「最大深刻度」のレベルは？「最大深刻度」のレベルは？「回避策」は実装済みか？または追加実装可能か？「回避策」は実装済みか？または追加実装可能か？

最大深刻度定義リスク

緊急 (Critical) この脆弱性が悪用された場合、インターネットワームがユーザーの操作なしで蔓延する可能性があります。高

重要 (Important) この脆弱性が悪用された場合、ユーザーのデータの機密性、完全性または可用性が侵害される可能性があります。または、処理中のリソースの完全性または可用性が侵害される可能性があります。

警告 (Moderate) この脆弱性が悪用された場合、既定の構成、監査または悪用が困難であることなどの要素により、悪用される可能性は大幅に緩和されます。

注意 (Low) この脆弱性の悪用は非常に困難です。または影響はわずかです。低

現状分析現状分析（サーバーサイド・クライアントサイド）（サーバーサイド・クライアントサイド）

それぞれの脆弱性に対してアクションを決定それぞれの脆弱性に対してアクションを決定セキュリティ更新プログラムを適用しない（※）セキュリティ更新プログラムを適用しない（※）

無視（ノーアクション）無視（ノーアクション）SAP SAP サーバーに関係ない、「最大深刻度」が低い、サーバーに関係ない、「最大深刻度」が低い、ハードニングの結果「回避策」を既に実装できている場合ハードニングの結果「回避策」を既に実装できている場合

「回避策」を追加実装「回避策」を追加実装追加ハードニングできる場合追加ハードニングできる場合

セキュリティ更新プログラムを適用するセキュリティ更新プログラムを適用する定常的な計画停止時に適用定常的な計画停止時に適用

定期的に計画停止していて、かつリスクが高くない場合定期的に計画停止していて、かつリスクが高くない場合緊急適用緊急適用

リスクが高く、かつ迅速な対応が必要な場合リスクが高く、かつ迅速な対応が必要な場合

サーバーサイドとクライアントサイドとで、とるべきサーバーサイドとクライアントサイドとで、とるべきアクションは全く異なる事に注意アクションは全く異なる事に注意

（※）セキュリティ更新プログラム単体は適用しないとしても、サービスパックは適用を推奨。

（※）（※） Microsoft Microsoft セキュリティ更新プロセキュリティ更新プログラム一般公開までのテスティングプログラム一般公開までのテスティングプロセスセス

PackagePackageTestTest調査調査 &　FIX&　FIX

BuildBuildVerificationVerificationTestingTesting

Broad　TestBroad　TestPassPass

一般公開

脆弱性報告

開発部門調査 FIX

開発部門コードの

パッケージ化

日本語化

開発部門ビルドの確認

各部署での広範囲なテスト開発部門Microsoft　IT( 全社 IT部門 )Business　Unit　IT各ユニットの IT部門

全世界の各部署社員 (約 1000名 ) サポート部門セキュリティ担当 Japan　Security　Response　Team

SWI　Team( 攻撃チーム )Patch　Validation　Program参加企業（ SAP　社を含む）

問題問題発見発見

モジュールモジュール再作成へ再作成へ

1~3週間前←

公開の可否を決定サポート部門 :　お客様への影響度を判断Security　Response　Center　:　脆弱性が残っているか ?開発部門 :　別の不具合があるか ?

公開の可否を決定サポート部門 :　お客様への影響度を判断Security　Response　Center　:　脆弱性が残っているか ?開発部門 :　別の不具合があるか ?

（※）（※） Microsoft Microsoft セキュリティ更新プロセキュリティ更新プログラムのグラムの SAP SAP 社による事前テスト社による事前テスト

Microsoft Microsoft はセキュリティ更新プログラム公式はセキュリティ更新プログラム公式リリースの５－２０日前に、リリースの５－２０日前に、 SAP SAP 社開発チーム社開発チーム（カーネル＆（カーネル＆ GUI GUI 開発、開発、 SAP IT SAP IT など）に対しなど）に対しててセキュリティ更新プログラムを提供セキュリティ更新プログラムを提供これらのセキュリティ更新プログラムのテスト中これらのセキュリティ更新プログラムのテスト中にに SAP SAP ソフトウエアに何らかの（互換性などの）問ソフトウエアに何らかの（互換性などの）問題が題が見つかった場合、見つかった場合、 Microsoft Microsoft の関連部署に対するの関連部署に対する直接のコンタクト・パスを確保直接のコンタクト・パスを確保もしこれら既知の問題の解決が公式リリースに間もしこれら既知の問題の解決が公式リリースに間にに合わなかった場合は、合わなかった場合は、 SAP Note SAP Note において情報公において情報公開開

パッチ展開パッチ展開（サーバーサイド・クライアントサイド）（サーバーサイド・クライアントサイド）当該セキュリティ修正プログラムが当該セキュリティ修正プログラムが SAP SAP 環境において起こした障害事例がないかを環境において起こした障害事例がないかをチェックチェック

SAP Note 30478, 62988, 664607SAP Note 30478, 62988, 664607

必ず開発環境・品質保証環境にて以下の必ず開発環境・品質保証環境にて以下のテストを実行してから、本番環境へ適用すテストを実行してから、本番環境へ適用するる

サーバーサイドへの適用は特に慎重に行うサーバーサイドへの適用は特に慎重に行う緊急適用の場合であっても、以下のテストは必須緊急適用の場合であっても、以下のテストは必須

セキュリティ修正プログラムのインストールセキュリティ修正プログラムのインストールSAP SAP の起動と停止の起動と停止セキュリティ修正プログラムのアンインストールセキュリティ修正プログラムのアンインストール

計画停止時適用の場合は、より詳細なテスト計画停止時適用の場合は、より詳細なテスト

パッチ展開パッチ展開（特にクライアントサイド）（特にクライアントサイド）

クライアントクライアント OSOS 、、 Widows Server Widows Server 20032003 、、 SystemsSystems 　　 Management Server Management Server によによりセキュリティ修正りセキュリティ修正プログラムの展開を支援プログラムの展開を支援

・きめ細かいパッチの展開と管理・きめ細かいパッチの展開と管理・適用状況の把握とレポート機能・適用状況の把握とレポート機能・アプリケーションの配布機構との・アプリケーションの配布機構との統合統合

・・ OSOS の修正プログラムの自動ダウの修正プログラムの自動ダウンロード機能ンロード機能

・自動適用・自動適用 ((オプションオプション ))

・社内用・社内用 Windows Update Windows Update サイトサイト・・ Active DirectoryActive Directory との連携でとの連携で

クライアントへの展開を集中管理クライアントへの展開を集中管理

マイクロソフトマイクロソフトセキュリティ情報セキュリティ情報サイトサイト

Windows UpdateWindows Update サイトサイト OS自体の標準機能

SoftwareSoftwareUpdateUpdate

ServicesServices(SUS)(SUS)

SMS SMS SUSSUS

FeatureFeaturePackPackインターネット経由のインターネット経由の

サービスサービス

企業システム向け機能およびツール企業システム向け機能およびツール

パッチ展開パッチ展開（特にクライアントサイド）（特にクライアントサイド）

ツールを利用したパッチ配布の大量展開ツールを利用したパッチ配布の大量展開大量のサーバーに展開したい場合やクライアントに展大量のサーバーに展開したい場合やクライアントに展開したい場合は配布ツールを利用することで配布の作開したい場合は配布ツールを利用することで配布の作業量を大幅に削減可能業量を大幅に削減可能

テスト作業完了済みプログラムのみの配布テスト作業完了済みプログラムのみの配布Software Update ServicesSoftware Update Services （（ SUS)SUS) にてにてWindows UpdateWindows Update 上の修正プログラムのうち承認した上の修正プログラムのうち承認したもののみを配布もののみを配布

クライアントへの強制配布クライアントへの強制配布Active DirectoryActive Directory とと SUSSUS により定刻に修正プログラにより定刻に修正プログラムをムを自動インストールする設定も可能自動インストールする設定も可能Active DirectoryActive Directory とと SMSSMS により強制的に修正プログにより強制的に修正プログラムを自動インストールする設定も可能ラムを自動インストールする設定も可能

結果監視結果監視（サーバーサイド・クライアントサイド）（サーバーサイド・クライアントサイド）

セキュリティ修正プログラム適用後の一定セキュリティ修正プログラム適用後の一定期間は、経過を観察する期間は、経過を観察するSAP SAP システムの稼動に問題が生じた場合システムの稼動に問題が生じた場合

SAP SAP 社サポート部門へ問い合わせ社サポート部門へ問い合わせSAP Note 664607 SAP Note 664607 に従った問題解決に従った問題解決

セキュリティ修正プログラムのアンインストールセキュリティ修正プログラムのアンインストールセキュリティ修正プログラムの追加適用セキュリティ修正プログラムの追加適用SAP Address Space Viewer SAP Address Space Viewer の利用の利用などなどなどなど

４．セキュアな４．セキュアな SAP SAP システムの運システムの運用用 - - アンチウイルスソフトウエアアンチウイルスソフトウエア

アンチウイルス・ソフトウエアアンチウイルス・ソフトウエア

既知のウイルスであれば、検知した時点で既知のウイルスであれば、検知した時点で「隔離」、つまり感染をブロック可能「隔離」、つまり感染をブロック可能アンチウイルス製品ベンダーは、新種を発アンチウイルス製品ベンダーは、新種を発見すると１～２時間で解析、クリティカル見すると１～２時間で解析、クリティカルな場合は即座に定義ファイルを更新、公開な場合は即座に定義ファイルを更新、公開

既知の脆弱性未知の脆弱性

既知のウイルス

未知のウイルス

アンチウイルス　　ハードニング、

セキュリティ更新プログラム適用管理者の知識

SAP & Anti-virus SAP & Anti-virus 性能検証（途中結性能検証（途中結果）果）

アンチウイルス（アンチウイルス（ Computer Associates Computer Associates 社社 eTeTrust Anti-virus 7.0.140rust Anti-virus 7.0.140 ）リアルタイム監視環境）リアルタイム監視環境下に下におけるおける SAP SD SAP SD ベンチマーク　ベンチマーク　

SAP SAP に与えるパフォーマンス負荷は殆どなしに与えるパフォーマンス負荷は殆どなしアンチウイルス非稼動環境とほぼ同等のスループッアンチウイルス非稼動環境とほぼ同等のスループットト

\ \ PSTYOC10\ Process(sqlservr)\ IO Data Bytes/ sec

0

2000000

4000000

6000000

8000000

10000000

12000000

2004

/11/

05 0

0:30

:56.

062

2004

/11/

05 0

0:32

:06.

062

2004

/11/

05 0

0:33

:16.

062

2004

/11/

05 0

0:34

:26.

078

2004

/11/

05 0

0:35

:36.

093

2004

/11/

05 0

0:36

:46.

093

2004

/11/

05 0

0:37

:56.

093

2004

/11/

05 0

0:39

:06.

093

2004

/11/

05 0

0:40

:16.

125

2004

/11/

05 0

0:41

:26.

125

2004

/11/

05 0

0:42

:36.

140

2004

/11/

05 0

0:43

:46.

140

2004

/11/

05 0

0:44

:56.

140

2004

/11/

05 0

0:46

:06.

171

2004

/11/

05 0

0:47

:16.

171

2004

/11/

05 0

0:48

:26.

171

2004

/11/

05 0

0:49

:36.

171

2004

/11/

05 0

0:50

:46.

171

2004

/11/

05 0

0:51

:56.

171

2004

/11/

05 0

0:53

:06.

171

2004

/11/

05 0

0:54

:16.

171

2004

/11/

05 0

0:55

:26.

171

2004

/11/

05 0

0:56

:36.

171

2004

/11/

05 0

0:57

:46.

171

\ \ PSTYOC10\ Process(InoRT)\ IO Data Bytes/ sec

0

5000

10000

15000

20000

25000

30000

2004

/11/

05 0

0:30

:56.

062

2004

/11/

05 0

0:31

:56.

062

2004

/11/

05 0

0:32

:56.

062

2004

/11/

05 0

0:33

:56.

062

2004

/11/

05 0

0:34

:56.

078

2004

/11/

05 0

0:35

:56.

093

2004

/11/

05 0

0:36

:56.

093

2004

/11/

05 0

0:37

:56.

093

2004

/11/

05 0

0:38

:56.

093

2004

/11/

05 0

0:39

:56.

109

2004

/11/

05 0

0:40

:56.

125

2004

/11/

05 0

0:41

:56.

125

2004

/11/

05 0

0:42

:56.

140

2004

/11/

05 0

0:43

:56.

140

2004

/11/

05 0

0:44

:56.

140

2004

/11/

05 0

0:45

:56.

171

2004

/11/

05 0

0:46

:56.

171

2004

/11/

05 0

0:47

:56.

171

2004

/11/

05 0

0:48

:56.

171

2004

/11/

05 0

0:49

:56.

171

2004

/11/

05 0

0:50

:56.

171

2004

/11/

05 0

0:51

:56.

171

2004

/11/

05 0

0:52

:56.

171

2004

/11/

05 0

0:53

:56.

171

2004

/11/

05 0

0:54

:56.

171

2004

/11/

05 0

0:55

:56.

171

2004

/11/

05 0

0:56

:56.

171

2004

/11/

05 0

0:57

:56.

171

SQL Server プロセスの I/O Data Bytes/ sec eTrust 監視プロセスの I/O Data Bytes/ sec※ 左のグラフと比べて縦軸の値が小さい事に注

意

アンチウイルス・留意事項アンチウイルス・留意事項

アンチウイルスソフトが不具合なく稼動する事が必須アンチウイルスソフトが不具合なく稼動する事が必須アンチウイルスソフトのファイルシステムドライバはアンチウイルスソフトのファイルシステムドライバは Windows Windows ののカーネルモードで稼動カーネルモードで稼動万一不具合があった場合、システム停止につながる危険性もあり万一不具合があった場合、システム停止につながる危険性もあり本来であれば本来であれば CPU CPU 消費、メモリ消費ともに軽微なはず消費、メモリ消費ともに軽微なはず怪しい場合は、アンチウイルスソフトのサービス停止もしくは削除怪しい場合は、アンチウイルスソフトのサービス停止もしくは削除

可能な限り迅速に定義ファイルを更新する可能な限り迅速に定義ファイルを更新する定義ファイル更新に多くのポートが利用される場合、定義ファイ定義ファイル更新に多くのポートが利用される場合、定義ファイルル配信サーバーに限って全ポートをオープンにする　など配信サーバーに限って全ポートをオープンにする　など

定義ファイルサーバー自体が社内でセキュアに保護されている必要定義ファイルサーバー自体が社内でセキュアに保護されている必要ありあり

アクセス（読込アクセス（読込 or or 書込）頻度の高いファイルは、書込）頻度の高いファイルは、アンチウイルスソフトのリアルタイム監視対象からはずアンチウイルスソフトのリアルタイム監視対象からはずすす

DB DB サーバー上におけるサーバー上における DB DB 関連ファイル関連ファイルデータファイル、ログファイル、データファイル、ログファイル、 temp temp 領域など領域など

アプリケーションのログファイル　などアプリケーションのログファイル　など

アンチウイルス・留意事項アンチウイルス・留意事項

そもそもそもそも SAP SAP サーバー上で不要な操作を行わなサーバー上で不要な操作を行わないい

ブラウザ、メーラー、メッセンジャー、ブラウザ、メーラー、メッセンジャー、 Office Office などなどの不用意な起動は控えるの不用意な起動は控える

自社にとって最適なアンチウイルスソフトを選択自社にとって最適なアンチウイルスソフトを選択するする

ディスクディスク I/O I/O の所作、メモリ消費量、検知できる範の所作、メモリ消費量、検知できる範囲と囲とその感度、デフォルト設定、定義ファイル更新の速さ、その感度、デフォルト設定、定義ファイル更新の速さ、

サポート体制　など、ベンダーにより相違があるサポート体制　など、ベンダーにより相違がある厳密に言うと、アンチウイルスソフトも検知にお厳密に言うと、アンチウイルスソフトも検知において「万能」とはいえないいて「万能」とはいえない

アンチウイルスソフトはファイルやレジストリへの何アンチウイルスソフトはファイルやレジストリへの何らかの書込動作によってウイルスを検知する仕組みらかの書込動作によってウイルスを検知する仕組み検知範囲がより広い検知範囲がより広い IDS IDS （不正侵入検知・防御シス（不正侵入検知・防御システム）の併用もありえるテム）の併用もありえる

５．まとめ５．まとめ

まとめまとめ

運用コストを抑えつつもセキュリティリス運用コストを抑えつつもセキュリティリスクをクを極小化する為に、今出来る事は多く存在し極小化する為に、今出来る事は多く存在しますます

クライアントサイドのセキュリティ強化クライアントサイドのセキュリティ強化サーバーサイドのセキュリティ強化サーバーサイドのセキュリティ強化

SAP SAP システムのハードニングシステムのハードニングSAP SAP システムにおけるパッチマネジメント　などシステムにおけるパッチマネジメント　など

一方で一方で Microsoft Microsoft はプラットフォームベンはプラットフォームベンダーとして、ダーとして、 Windows Server Windows Server 他のセキュ他のセキュリティリティ強化、脆弱性解消に今後も努めていきます強化、脆弱性解消に今後も努めていきます

マイクロソフトコンサルティングサーマイクロソフトコンサルティングサービスビス

（※）マイクロソフトが提供する（※）マイクロソフトが提供するサポートサービスサポートサービス

プロフェッショナル・サポートプロフェッショナル・サポートhttp://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomschttp://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomscom.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fprof_seom.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fprof_service.asprvice.asp　　電話、電話、 FAX, mail FAX, mail でのでの QAQA 、調査（一問一答方式）、オンサイトも有、調査（一問一答方式）、オンサイトも有（移動時間＋現地での作業時間（移動時間＋現地での作業時間 ××出動人数出動人数 ×30,000 ×30,000 円）円）Datacenter Datacenter 以外の全ての以外の全ての Microsoft Microsoft 製品（英語版も製品（英語版も OKOK ））基本的には平日基本的には平日 9:00-12:00, 13:00-19:009:00-12:00, 13:00-19:00 （（ 2424時間時間 365365日もあり）日もあり）オンデマンド：オンデマンド：１インシデント１インシデント 28,000 28,000 円（複数のセット料金もあり）円（複数のセット料金もあり）

プレミア・サポートプレミア・サポートhttp://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomschttp://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomscom.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fpremierom.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fpremier.asp.asp

TAM TAM のアサイン（顧客システムニーズの把握）、一般未公開情報の提のアサイン（顧客システムニーズの把握）、一般未公開情報の提供、月例レポート＆定例会議、供、月例レポート＆定例会議、 24*365 24*365 対応対応

http://support.microsoft.com/default.aspx?scid=%2Fisapi%2Fgomscom.asp%3Ftarget%3D%2Fjapan%2Fsupport%2Fsupportnet%2Fprof_service.asp



http://support.microsoft.com/default.aspx?scid=%2Fisapi%2Fgomscom.asp%3Ftarget%3D%2Fjapan%2Fsupport%2Fsupportnet%2Fpremier.asp



Go to http://www.ms-sap.com !Go to http://www.ms-sap.com !

SAP SAP とと Microsoft Microsoft のコラボレーションのコラボレーション

サブシステサブシステムム開発開発

ユーザーユーザーデスクトッデスクトッ

ププ

他システム他システム連携連携

ユーザーユーザー認証基盤認証基盤

ビジネスイビジネスインテリジェンテリジェ

ンスンス

OS/DB OS/DB プラットフォームプラットフォーム ++ システム運用管理システム運用管理

SAPSAP

脆弱性・ウイルス情報脆弱性・ウイルス情報

月刊セキュリティ情報月刊セキュリティ情報http://www.microsoft.com/japan/technet/security/bulletin/http://www.microsoft.com/japan/technet/security/bulletin/monthly.aspmonthly.asp

セキュリティ情報一覧セキュリティ情報一覧http://www.microsoft.com/japan/technet/security/current.asphttp://www.microsoft.com/japan/technet/security/current.asp

ウイルス対策情報ウイルス対策情報http://www.microsoft.com/japan/technet/treeview/default.ashttp://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/topics/virus/default.aspp?url=/japan/technet/security/topics/virus/default.asp 　　

マイクロソフトプロダクトセキュリティ警告マイクロソフトプロダクトセキュリティ警告サービスサービス

http://www.microsoft.com/japan/technet/security/bulletin/notihttp://www.microsoft.com/japan/technet/security/bulletin/notify.aspfy.asp 　　

セキュリティ修正プログラムなどの入手元セキュリティ修正プログラムなどの入手元

セキュリティ修正プログラムセキュリティ修正プログラムhttp://www.microsoft.com/downloads/search.aspx?http://www.microsoft.com/downloads/search.aspx?displaylang=jadisplaylang=ja 　　 (Windows, (Windows, 日本語日本語 ))

http://www.microsoft.com/downloads/search.aspx?http://www.microsoft.com/downloads/search.aspx?displaylang=endisplaylang=en 　　 (SQL Server, (SQL Server, 英語英語 ))

サービスパックサービスパックhttp://www.microsoft.com/japan/windows/downloads/http://www.microsoft.com/japan/windows/downloads/default.mspxdefault.mspx 　　 (Windows Server, (Windows Server, 日本語日本語 ) )

http://www.microsoft.com/sql/downloads/default.asphttp://www.microsoft.com/sql/downloads/default.asp 　　　　 (SQL Server, (SQL Server, 英語英語 ))

ホットフィックスホットフィックスMicrosoft Microsoft プレミアサポート経由プレミアサポート経由 (Windows Server)(Windows Server)

http://service.sap.com/swcenter-3pmainhttp://service.sap.com/swcenter-3pmain 　　 (SQL Server)(SQL Server)

ツールツール

ツール概要ツール概要http://www.microsoft.com/japan/technet/http://www.microsoft.com/japan/technet/security/tools/default.aspsecurity/tools/default.asp 　　

セキュリティツールキット（無償）セキュリティツールキット（無償）http://www.microsoft.com/japan/technet/http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/stkintro.aspsecurity/tools/stkintro.asp 　　

Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzerhttp://www.microsoft.com/japan/technet/http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/Tools/mbsahome.asp security/tools/Tools/mbsahome.asp 　　

Windows Server SystemWindows Server System

Software Update ServicesSoftware Update Serviceshttp://www.microsoft.com/japan/http://www.microsoft.com/japan/windowsserversystem/sus/default.mspx windowsserversystem/sus/default.mspx

Systems Management ServerSystems Management Serverhttp://www.microsoft.com/japan/technet/http://www.microsoft.com/japan/technet/security/prodtech/sms/default.aspsecurity/prodtech/sms/default.asp

ISA ServerISA Serverhttp://www.microsoft.com/japan/isaserver/ http://www.microsoft.com/japan/isaserver/

６．（参考）過去の脆弱性の整理６．（参考）過去の脆弱性の整理

過去の脆弱性の整理過去の脆弱性の整理

1999 1999 年から今までに見つかった脆弱性の数年から今までに見つかった脆弱性の数1999 1999 年年 : 61: 61

2000 2000 年年 : 100 : 100

2001 2001 年年 : 60 : 60

2002 2002 年年 : 72: 72

2003 2003 年年 : 51 : 51

2004 2004 年年 : 24 : 24 （（ 2004/7/26 2004/7/26 現在）現在）このうちこのうち SAP SAP サーバー環境で特に留意すべきサーバー環境で特に留意すべき脆弱性は、「対象」が脆弱性は、「対象」が Windows Server (IE, Win Windows Server (IE, Win Media Media 等を除く）で、かつ「深刻度」が「緊等を除く）で、かつ「深刻度」が「緊急」のもの急」のもの殆どの脆弱性にリスク緩和策（回避策）が呈示さ殆どの脆弱性にリスク緩和策（回避策）が呈示されるれる

脆弱性評価マトリックス一例（抜粋）脆弱性評価マトリックス一例（抜粋）脆弱性番号最大深刻度は？ SAP サーバに

関与するか？リスク緩和策は？パッチを緊急適用

するか？

MS00-078 緊急関与するあり No









MS04-007 緊急関与するなし Yes

MS04-011 緊急関与するなし Yes


















※ 　あくまでも、ハードニングを最大限行っている SAP システムにおける、脆弱性評価マトリックスの一例です。

I. I. ハードニングに必要な技術情報ハードニングに必要な技術情報

SAP R/3 Enterprise SAP R/3 Enterprise 環境環境の通信経路の通信経路

CLIENT

SAPGUI

R/3 Enterprise

R/3 Enterprise

MS Product

SAP Product

R/3 Server

SQL Server SQL Server HTTP/HTTPS(BSP/BEx)

DB Server

Web Browser

DIAG/RFC

SAP RouterSAP Router

WebDispatcher

WebDispatcher

DIAG/RFC

HTTP/HTTPS

SAP ITS SAP ITS 環境の通信経路環境の通信経路

CLIENT

SAPGUI

R/3 Enterprise

R/3 Enterprise

MS Product

SAP Product

R/3 Server

IISIIS SAP ITSA-Gate Server

SAP ITSA-Gate Server

AGATE ServerWGATE ServerSQL Server SQL Server

HTTP/HTTPS(HTML GUI)

HTTP/HTTPS(BSP/BEx)

RFC/DIAG

SAP ITSWGate Server

SAP ITSWGate Server

DB Server

Web Browser

DIAG/RFC


WebDispatcher

WebDispatcher

DIAG/RFC

HTTP/HTTPS

SAP Enterprise Portal SAP Enterprise Portal 環境環境の通信経路の通信経路

CLIENT

SAPGUI

R/3 Enterprise

R/3 Enterprise

MS Product

SAP Product

R/3 Server



AGATE ServerWGATE Server

EP Server

SQL Server SQL Server

Enterprise Portal

Enterprise Portal

IISPROXY

IISIIS

HTTP/HTTPS(EP)

HTTP/HTTPS(HTML GUI) HTTP/HTTPS

HTTP/HTTPS(BSP/BEx)

RFC/DIAG

SAP ITSWGate Server

SAP ITSWGate Server

SAP IISProxyModule

SAP IISProxyModule

RFCHTTP/HTTPS

DB Server

Web Browser


DB Server

DIAG/RFC

HTTP/HTTPS


WebDispatcher

WebDispatcher

DIAG/RFC

HTTP/HTTPS

+ Active Directory + Active Directory 環境環境の通信経路の通信経路

CLIENT

SAPGUI

R/3 Enterprise

R/3 Enterprise

MS Product

SAP Product

R/3 Server




EP Server


Enterprise Portal

Enterprise Portal

IISPROXY

IISIIS

HTTP/HTTPS(EP)


HTTP/HTTPS(BSP/BEx)

RFC/DIAG

SAP ITSWGate Server

SAP ITSWGate Server

SAP IISProxyModule

SAP IISProxyModule

RFCHTTP/HTTPS

DB Server

Web Browser


DB Server

DIAG/RFC

HTTP/HTTPS


WebDispatcher

WebDispatcher

DIAG/RFC

HTTP/HTTPS

Active DirectoryActive Directory

Directory


Directory

SAP R/3 Enterprise SAP R/3 Enterprise が利用するポートが利用するポート

R/3R/3

CentralInstanceCentral

Instance SQL ServerSQL Server

HTTP/HTTPS

DIAG

ICMICMABAP EngineABAP Engine

J2EE EngineJ2EE Engine

DispatcherDispatcher

GatewayGateway MessageServer

MessageServer

J2EEDispatcher

J2EEDispatcher

WorkProcesses

WorkProcesses

J2EE ServerProcesses


Central Services InstanceCentral Services Instance

MessageServer

MessageServer

EngueueServer

EngueueServer

DB (sid)80NN/443NN (HTTP/HTTPS)

25 (SMTP)

32NN(sapdpNN)

RFC

33NN(sapgwNN)

36NN(sapmsSID)

5NN00/5NN01(HTTP/HTTPS)

5NN02/5NN03(IIOP Initial context/IIOP over SSL)

5NN04/5NN05/5NN06(P4/P4 over HTTP tunneling/P4 over SSL)

5NN07 (IIOP)

5NN08 (Telnet)

5NN10 (JMS)

36NN (MessageServer)

81NN/444NN(HTTP/HTTPS)

32NN(Engue Server)

33NN(Eng. Replication)

EnqueServerEnqueServer

WAS 6.30

※NN はインスタンス番号を表す。

Internal でしか使用しないポート、 Installation/Upgrade ツールの使用ポートは記述していない。

記載はデフォルトポートのため、実際の環境によってことなる

515 (SAPlpd)

ABAPschemeABAP

scheme

J2EEschemeJ2EE

scheme

81NN/444NN(HTTP/HTTPS)

IGSIGS SDMSDM

5NN17/5NN18/5NN19

4NN00(Multiplexer)/4NN01-79(Portwatcher)/4NN80-99(HTTP)

SAP ITS SAP ITS （（ Wgate, AgateWgate, Agate ）が利用する）が利用するポートポート

R/3R/3IISIIS ITSA-Gate

ITSA-Gate

32NN (sapdpNN)

ITSWGate

ITSWGate

33NN (sapgwNN)

36NN(sapmsSID)

39NM (sapvw00_<SID>)

39N9 (sapvwmm_<SID>)

80/443 (http/https)

※N はインストール時に空いているポートを元に自動的に決定される。M は Agate の数 -1 。

デフォルトでは管理インスタンス (<SID>=ADM) が用意される。

39NM (sapvw00_ADM)

39N9 (sapvwmm_ADM)

SAP Enterprise Portal 6.0 SAP Enterprise Portal 6.0 が利用するポーが利用するポートト

EPEP

CentralInstanceCentral

Instance SQL ServerSQL ServerJ2EE EngineJ2EE Engine

J2EEDispatcher

J2EEDispatcher




5NN02/5NN03(IIOP Initial context/IIOP over SSL)

5NN04/5NN05/5NN06(P4/P4 over HTTP tunneling/P4 over SSL)

5NN07 (IIOP)

5NN08 (Telnet)

5NN10 (JMS)

J2EE Engine: 6.20

HTTP/HTTPS

DB (SAPPCD)

※NN はインスタンス番号を表す。

Internal でしか使用しないポート、 Installation/Upgrade ツールの使用ポートは記述していない。

記載はデフォルトポートのため、実際の環境によってことなる

SDMSDM

5NN17/5NN18/5NN19

その他その他 SAP SAP 製品が利用するポート製品が利用するポート

EPEPIISIIS IisProxy

ModuleIisProxyModule

80/443 (http/https)


R/3R/3SAPRouterSAPRouter

3299(SAProuter)

32NN (sapdpNN)

33NN (sapgwNN)

36NN(sapmsSID)

R/3R/3WebDispatcherWebDispatcher

80/443 (http/https)

80NN/443NN (HTTP/HTTPS)

SAP Enterprise Portal IIS Proxy が利用するポート

SAP Router が利用するポート

SAP Web Dispatcher が利用するポート

その他その他 SAP SAP 製品が利用するポート製品が利用するポート

http://service.sap.com/ti http://service.sap.com/ti 上のドキュメン上のドキュメントト

TCP/IP Ports used by SAP ApplicationsTCP/IP Ports used by SAP Applications

SAP GUI Technical InfrastructureSAP GUI Technical Infrastructure

SAP Internet Transaction Server Technical SAP Internet Transaction Server Technical InfrastructureInfrastructure

Web Infrastructure Concepts for SAP Web Web Infrastructure Concepts for SAP Web Application ServerApplication Server

SAP Web AS Technical InfrastructureSAP Web AS Technical Infrastructure

Microsoft Microsoft 製品が利用するポート製品が利用するポート

SQL ServerSQL ServerSQL over TCP: 1433SQL over TCP: 1433

IIS IIS World Wide Web Publishing Service: 80, 443World Wide Web Publishing Service: 80, 443

Active DirectoryActive Directoryhttp://support.microsoft.com/default.aspx?http://support.microsoft.com/default.aspx?scid=kb;ja;289241 scid=kb;ja;289241

その他その他http://www.microsoft.com/downloads/http://www.microsoft.com/downloads/details.aspx?FamilyID=dd6bed8f-a706-48ee-95b7-details.aspx?FamilyID=dd6bed8f-a706-48ee-95b7-bdc21455815a&DisplayLang=jabdc21455815a&DisplayLang=ja 　　

SAP SAP システムに必要なサービスシステムに必要なサービス

Windows Server Windows Server が最低限必要とするサービスが最低限必要とするサービスEvent Log, Logical Disk Manager, Event Log, Logical Disk Manager, Network Connections, Plug and Play, Protected Network Connections, Plug and Play, Protected Storage, Remote Procedure Call, Security Account Storage, Remote Procedure Call, Security Account Manager, Windows Management Instrumentation, Manager, Windows Management Instrumentation, Windows Management Instrumentation ExtensionsWindows Management Instrumentation Extensions

SAP R/3 Enterprise SAP R/3 Enterprise が更に必要とするサービスが更に必要とするサービスSAPOSCOL, SAP<SID>_<NN>, SAP<SID>_<NN>SAPOSCOL, SAP<SID>_<NN>, SAP<SID>_<NN>

SAP ITS Agate SAP ITS Agate が更に必要とするサービスが更に必要とするサービスSAP ITS Manager - <SID>, SAP ITS Manager - ADM,SAP ITS Manager - <SID>, SAP ITS Manager - ADM,ITS Watchdog, SAP IACOR Manager

（注意）　標準インストール時の Windows サービス。クラスタリング環境では変わる場合があります。<SID> は SAP システム ID ( 例 : P01) 、 <NN> はインスタンス番号 ( 例 :00) を表しています。R/3Enterprise の 2 つの「 SAP<SID>_<NN> 」サービスはそれぞれセントラルインスタンスとセントラルサービスインスタンス用を表しています。 R/3Enterprise の SAP J2EE Engine (Dispatcher および Server) 、 SDM 、 IGS はセントラルインスタンスサービスにより起動されます。EP の SAP J2EE Engine Server は「 SAP J2EE Engine Dispatcher 」サービスにより起動されます。

SAP SAP システムに必要なサービスシステムに必要なサービス

SAP Enterprise Portal SAP Enterprise Portal が更に必要とするサービが更に必要とするサービスス

SAP J2EE Engine DispatcherSAP J2EE Engine Dispatcher

SQL Server SQL Server が更に必要とするサービスが更に必要とするサービスMSSQLSERVER, SQL Server AgentMSSQLSERVER, SQL Server Agent

IIS IIS が更に必要とするサービスが更に必要とするサービスWorld Wide Web Publishing Service, IIS Admin SerWorld Wide Web Publishing Service, IIS Admin Servicevice

SAP ITS Wgate SAP ITS Wgate が更に必要とするサービスが更に必要とするサービスSAP IACOR ManagerSAP IACOR Manager

SAP Enterprise Portal IIS Proxy SAP Enterprise Portal IIS Proxy が更に必要とするが更に必要とするサービスサービス

nothingnothing

II. II. ハードニングの実装ハードニングの実装（（ Windows Server 2003Windows Server 2003 ））

ネットワークのハードニングの実装ネットワークのハードニングの実装:IPSec Policy Definition

netsh ipsec static add policy name="Packet Filters - R3" description="Server Hardening Policy" assign=no

:IPSec Filter List Definitions

netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server Hardening"

netsh ipsec static add filterlist name="SAP DIALOG Server" description="Server Hardening"

netsh ipsec static add filterlist name="MSSQL Server Client" description="Server Hardening"

netsh ipsec static add filterlist name="Domain Member" description="Server Hardening"

:IPSec Filter Action Definitions

netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to Pass" action=permit

netsh ipsec static add filteraction name=Block description="Blocks Traffic" action=block

:IPSec Filter Definitions

netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0

netsh ipsec static add filter filterlist="SAP DIALOG Server" srcaddr=any dstaddr=me description="SAP DIALOG Server Traffic" protocol=TCP srcport=0 dstport=3200

netsh ipsec static add filter filterlist="MSSQL Server Client" srcaddr=me dstaddr=192.168.12.3 description="MSSQL Server Traffic" protocol=TCP srcport=0 dstport=1433

netsh ipsec static add filter filterlist="Domain Member" srcaddr=me dstaddr=192.168.12.1 description="Traffic to Domain Controller" protocol=any srcport=0 dstport=0

:IPSec Rule Definitions

netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters - R3" filterlist="ALL Inbound Traffic" kerberos=yes filteraction=Block

netsh ipsec static add rule name="SAP DIALOG Server" policy="Packet Filters - R3" filterlist="SAP DIALOG Server" kerberos=yes filteraction=SecPermit

netsh ipsec static add rule name="MSSQL Server Client" policy="Packet Filters - R3" filterlist="MSSQL Server Client" kerberos=yes filteraction=SecPermit

netsh ipsec static add rule name="Domain Member Rule" policy="Packet Filters - R3" filterlist="Domain Member" kerberos=yes filteraction=SecPermit

netsh ipsec static set policy name="Packet Filters - R3" assign=y

IP Sec スクリプトポリシーを実装。

（再起動必要）

ネットワークのハードニングの確認１２

３４

MMC から「 IP セキュリティポリシー」を実行。

ネットワークのハードニングの確認５６

ネットワークのハードニングの削除ネットワークのハードニングの削除:IPSec Rule Definitions

netsh ipsec static delete rule name="ALL Inbound Traffic Rule" policy="Packet Filters - R3"

netsh ipsec static delete rule name="SAP DIALOG Server" policy="Packet Filters - R3"

netsh ipsec static delete rule name="MSSQL Server Client“ policy="Packet Filters - R3"

netsh ipsec static delete rule name="Domain Member Rule" policy="Packet Filters - R3"

:IPSec Filter Definitions

netsh ipsec static delete filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me

netsh ipsec static delete filter filterlist="SAP DIALOG Server" srcaddr=any dstaddr=me

netsh ipsec static delete filter filterlist="MSSQL Server Client" srcaddr=me dstaddr=192.168.12.3

netsh ipsec static delete filter filterlist="Domain Member" srcaddr=me dstaddr=192.168.12.1

:IPSec Filter List Definitions

netsh ipsec static delete filterlist name="ALL Inbound Traffic"

netsh ipsec static delete filterlist name="SAP DIALOG Server"

netsh ipsec static delete filterlist name="MSSQL Server Client"

netsh ipsec static delete filterlist name="Domain Member"

:IPSec Filter Action Definitions

netsh ipsec static delete filteraction name=SecPermit

netsh ipsec static delete filteraction name=Block

:IPSec Policy Definition

netsh ipsec static delete policy name="Packet Filters - R3" IP Sec スクリプトポリシーを削除。


サービスのハードニングの実装サービスのハードニングの実装


Windows Server 2003 Windows Server 2003 セキュリティガイド添付セキュリティガイド添付ののセキュリティテンプレートを利用して一括ハードセキュリティテンプレートを利用して一括ハードニングニング

多くのサーバーに対して、適切なハードニングを効率よく実装多くのサーバーに対して、適切なハードニングを効率よく実装http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist521EA6C7B4DB&displaylang=en#filelist 　　

豊富なテンプレート種類豊富なテンプレート種類セキュリティ環境別に３種類セキュリティ環境別に３種類

「レガシークライアント」（セキュリティ・弱）「レガシークライアント」（セキュリティ・弱）「エンタープライズクライアント」（セキュリティ・中）「エンタープライズクライアント」（セキュリティ・中）「高セキュリティ」（セキュリティ・強）「高セキュリティ」（セキュリティ・強）

サーバーロール別に９種類サーバーロール別に９種類ドメインコントローラ、メンバーサーバー、ドメインコントローラ、メンバーサーバー、 Web Web サーバー、サーバー、

インフラサーバー（インフラサーバー（ DHCP, WINSDHCP, WINS ）、ファイルサーバー、プ）、ファイルサーバー、プリントサーバー、リントサーバー、 IAS IAS サーバー、証明書サービスサーバー、サーバー、証明書サービスサーバー、要塞ホスト要塞ホスト


セキュリティテンプレートを利用したハーセキュリティテンプレートを利用したハードニングは、効率的である一方で、最悪シドニングは、効率的である一方で、最悪システムが稼動しなくなる可能性もあるので、ステムが稼動しなくなる可能性もあるので、注意注意テンプレート適用前に、テンプレート適用前に、 ASRASR （自動シス（自動システムテム回復）によるシステムバックアップを推奨回復）によるシステムバックアップを推奨

またはサードパーティのイメージバックアッまたはサードパーティのイメージバックアッププツールによるシステムバックアップツールによるシステムバックアップ

ハードニングはなるべくステップバイステハードニングはなるべくステップバイステップで実行するップで実行する

現在の状態のバックアップ１２

３４セキュリティテンプレートの適用

管理ツールから「ローカルセキュリ

ティの設定」を実行。

MMC から「セキュリティの

構成と分析」を実行。

現在の状態をバックアップする。

５６

７８

Web からダウンロードした INF

ファイルを指定。

現行の設定から変更される部分が

「赤 × 」で表示される。テンプレートを適用する。


（※）（※） Active Directory Active Directory グループグループポリシーを利用したテンプレート適ポリシーを利用したテンプレート適用用ハードニングしたいサーバー群をロール別ハードニングしたいサーバー群をロール別

にに OU OU （組織単位）に分け、それぞれの（組織単位）に分け、それぞれの OU OU ににセキュリティテンプレートを割当てるセキュリティテンプレートを割当てる

適用作業が効率化（かつ間違いがない）適用作業が効率化（かつ間違いがない）それぞれのサーバー管理者に無断で設定変更それぞれのサーバー管理者に無断で設定変更させないさせない管理作業も効率化管理作業も効率化

稼動の確認稼動の確認

項目確認方法/ツール1. SAP R/3 Enterprise 環境

SAP R/ 3 Enterpriseのサービスは起動しているか？ SAP R/3 Manangement ConsoleSAP R/ 3 Enterpriseのログにエラーはないか？ SAP R/3 Manangement ConsoleSQL Server のサービスは起動しているか？ SQL Server Enterprise ManagerSQL Server のログにエラーはないか？ SQL Server Enterprise ManagerSAP R/ 3 Enterprise にログオンができるか？SAP R/ 3 Enterprise にシングルサインオンができるか？

2. SAP ITS 環境SAP ITS Wgate のサービスは起動しているか？インターネットサービスマネージャSAP ITS Wgateのログにエラーはないか？SAP ITS Agate のサービスは起動しているか？ ITS Administration (http:/ / wgate:8080/ scripts/ wgate/ admin/ !)SAP ITS Agateのログにエラーはないか？ ITS Administration (http:/ / wgate:8080/ scripts/ wgate/ admin/ !)Web ブラウザでログオンできるか？

ITS https://wgate.os.corp.com/scripts/webgui/WAS https://r3ins.sap.corp.com:8443/sap/bc/bsp/sap/it00/

Web ブラウザでシングルサインオンできるか？ITS https://wgate.os.corp.com/scripts/webgui/WAS https://r3ins.sap.corp.com:8443/sap/bc/bsp/sap/it00/

3. SAP Enterprise Portal 環境SAP Enterprise Portal のサービスは起動しているか？ SAP J 2EE Engine AdministratorSAP Enterprise Portal のログにエラーはないか？ SAP J 2EE Engine AdministratorSQL Server のサービスは起動しているか？ SQL Server Enterprise ManagerSQL Server のログにエラーはないか？ SQL Server Enterprise ManagerWeb ブラウザでログオンできるか？ https://iisprxy.os.corp.com/Web ブラウザでシングルサインオンできるか？ https://iisprxy.os.corp.com/

稼動の確認稼動の確認タスクトランザクション方法Check that all application serversare up.

SM51 – SAP Servers Check that all servers are up.

Check work processes (startedfrom SM51).

SM50 – Process OverviewAll work processes with a “running” or a“waiting” status

Look for any failed updates (updateterminates).

SM13 – Update RecordsSet date to one year ago Enter * in theuser ID Set to “all”updatesCheck for lines with “Err.”

Check system log. SM21 – System LogSet date and time to before the last logreview.Check for: Errors, Warnings, Security,messages, Abends Database, problems,Any other, different event

Review for cancelled jobs.SM37 – Select Backgroundjobs

Enter an asterisk (*) inUser ID.Verify that all critical jobs were successful.

Check for old locks. SM12 – Lock entry list. Enter an asterisk (*) for the user ID.Check for entries for prior days.

Check for users on the system.SM04 – UsersAL08 - Users

Review for an unknown or different user IDand terminal.This task should be done several times aday.

Check for spool problems.SP01 – Spool:Request Screen

Look for spool jobs that have been “inprocess” for over an hour.

Check job log.SM35 – Batch input: InitialScreen

Check for:New jobsIncorrect jobs

Review and resolve dumps.ST22 – ABAP DumpAnalysis

Look for an excessive number of dumps.Look for dumps of an unusual nature.

Review workload statistics.ST03N – Workload:Analysis of <SID>

Review buffer statistics. ST02 – Tune Summary Look for swaps.

Review error log for problems. AL02 – Database (DB) alert

ST04 – DB PerformanceAnalysis

Check tables/space usage DB12

Review system logs for problems OS06 – OS Monitor Review operating system logs

（注）これらの項目を確認する事により、「ベーシス」レベルで問題がない事が明らかになります（「アプリケーション」レベルを含みません）。

ハードニングの確認ハードニングの確認

SAP SAP セキュリティチェックリストセキュリティチェックリストSAP, OS/DB, N/W SAP, OS/DB, N/W 等の観点からのチェックリスト等の観点からのチェックリスト

http://service.sap.com/netweaver (Volume III)http://service.sap.com/netweaver (Volume III)

Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzerセキュリティ評価ツールセキュリティ評価ツール

パスワード強度、自動ログオン、パスワード強度、自動ログオン、 Guest Guest アカウント権限等アカウント権限等http://www.microsoft.com/japan/technet/treeview/default.asp?http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/Tools/mbsahome.asp url=/japan/technet/security/tools/Tools/mbsahome.asp

その他、ハードニングが実装できている事のチェその他、ハードニングが実装できている事のチェックック

Ping, Ping, イベントビューア、グループポリシー結果セッイベントビューア、グループポリシー結果セットなどトなど

III. SAP-Microsoft III. SAP-Microsoft コンピテンスコンピテンスセンターにおける技術検証結果センターにおける技術検証結果

技術検証で想定したシナリオ技術検証で想定したシナリオ

以下の３つのシナリオにおける、（特に）以下の３つのシナリオにおける、（特に）サーバーサイドのハードニングサーバーサイドのハードニング

SAP R/3 Enterprise SAP R/3 Enterprise

SAP ITSSAP ITS

SAP Enterprise Portal SAP Enterprise Portal

いずれのシナリオにおいてもいずれのシナリオにおいても Active Active Directory Directory とのシングルサインオンを想定とのシングルサインオンを想定

今後主流になる提案今後主流になる提案シングルサインオンのないシナリオも包括でシングルサインオンのないシナリオも包括できるきる

ソフトウエアのバージョンソフトウエアのバージョンカテゴリ Microsoft 製品 SAP 製品Directory Windows Server 2003

(Active Directory)

SAP R/3 Enterprise Windows Server 2003 R/3 Enterprise 4.70 SR1 Ext.2.00, J2EE Engine 6.30 SP2 (JDK1.3.1_10)

RDBMS (for R/3) Windows Server 2003, SQL Server 2000 (SP3+Hotfix 844 + new collation)

SAP ITS - Agate Windows Server 2003 ITS 6.20 SP8

SAP ITS - Wgate Windows Server 2003, IIS 6.0

ITS 6.20 SP8

SAP Enterprise Portal Windows Server 2003 Enterprise Portal 6.0 SP2 Patch3 + hotfix 2, J2EE Engine 6.20 SP20 (JDK1.3.1_10)

RDBMS (for EP) Windows Server 2003, SQL Server 2000 (SP3+Hotfix 844 + new collation)

EP IISProxy Windows Server 2003,IIS 6.0

IIS Proxy 1.5.0.0

（※）それぞれの Windows Server 2003 には 3/1 時点の最新のセキュリティ修正プログラムを適用済み。

SAP R/3 Enterprise SAP R/3 Enterprise 環境環境

CLIENT

SAPGUI

R/3 Enterprise

R/3 Enterprise

MS Product

SAP Product

R/3 Server

SQL Server SQL Server HTTP/HTTPS(BSP/BEx)

DB Server

Web Browser

DIAG/RFC


Directory


Directory

OA セグメントoa.corp.com

サーバーセグメントsap.corp.com

（※） Active Directory 間で信頼関係を構築

SAP ITS SAP ITS 環境環境

CLIENT

SAPGUI

R/3 Enterprise

R/3 Enterprise

MS Product

SAP Product

R/3 Server



AGATE ServerWGATE ServerSQL Server SQL Server

HTTP/HTTPS(HTML GUI)

HTTP/HTTPS(BSP/BEx)

RFC/DIAG

SAP ITSWGate Server

SAP ITSWGate Server

DB Server

Web Browser

DIAG/RFC


Directory


Directory



SAP Enterprise Portal SAP Enterprise Portal 環境環境

CLIENT

SAPGUI

R/3 Enterprise

R/3 Enterprise

MS Product

SAP Product

R/3 Server




EP Server


Enterprise Portal

Enterprise Portal

IISPROXY

IISIIS

HTTP/HTTPS(EP)


HTTP/HTTPS(BSP/BEx)

RFC/DIAG

SAP ITSWGate Server

SAP ITSWGate Server

SAP IISProxyModule

SAP IISProxyModule

RFCHTTP/HTTPS

DB Server

Web Browser


DB Server

DIAG/RFC

HTTP/HTTPS


Directory


Directory



２段階のハードニング２段階のハードニング

ネットワークハードニングネットワークハードニングデフォルトの通信はブロックし、必要なデフォルトの通信はブロックし、必要な「通信経路」と「（宛先）ポート」に限り通「通信経路」と「（宛先）ポート」に限り通信を許可する設定を実装信を許可する設定を実装IPSec IPSec スクリプトポリシーを利用するスクリプトポリシーを利用する

サービスハードニング・その他のハードサービスハードニング・その他のハードニングニング

サーバーのロール毎に、不要なサービスをサーバーのロール毎に、不要なサービスを無効化し、適切なセキュリティ設定を実装す無効化し、適切なセキュリティ設定を実装するるセキュリティテンプレートを利用するセキュリティテンプレートを利用する

サービス・その他のハードニングサービス・その他のハードニング

各サーバーにロールを割当各サーバーにロールを割当それぞれのロールに対してセキュリティそれぞれのロールに対してセキュリティテンプレート（ファイル）を割当テンプレート（ファイル）を割当

http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist521EA6C7B4DB&displaylang=en#filelist 　　サーバーロール適用したセキュリティテンプレート（※）

Active Directory ドメインコントローラ

High Security - Domain Controller.inf

SAP R/3 Enterprise メンバーサーバー High Security - Member Server Baseline.inf

SQL Server (for R/3) メンバーサーバー High Security - Member Server Baseline.inf

SAP ITS - Agate メンバーサーバー High Security - Member Server Baseline.inf

SAP ITS - Wgate Web サーバー High Security - IIS Server.inf

SAP Enterprise Portal メンバーサーバー High Security - Member Server Baseline.inf

SQL Server (for EP) メンバーサーバー High Security - Member Server Baseline.inf

EP IISProxy Web サーバー High Security - IIS Server.inf（※）想定するセキュリティ環境としては、今回最もセキュアな「高セキュリティ」テンプレートを利

用。これらのテンプレートを適用する前に、全サーバー共通の High Security – Domain.inf も合わせて適用

した。

検証メモ検証メモ

ネットワークから切り離しセットアップを全て終ネットワークから切り離しセットアップを全て終えてえてから、ハードニングを実施から、ハードニングを実施R/3 Enterprise, ITS, Enterprise Portal R/3 Enterprise, ITS, Enterprise Portal の順にの順にテストを実施テストを実施都度都度 Ghost Ghost を利用してイメージバックアップを利用してイメージバックアップ

ネットワークハードニング実施に際しては、事前ネットワークハードニング実施に際しては、事前ににロールバックスクリプトもあわせて作成ロールバックスクリプトもあわせて作成セキュリティテンプレート適用に際しては、必ずセキュリティテンプレート適用に際しては、必ずハードニング前の設定内容のバックアップを取得ハードニング前の設定内容のバックアップを取得都度稼動確認し、最終的には都度稼動確認し、最終的には SAP SAP セキュリティセキュリティチェックリスト、チェックリスト、 MBSAMBSA 、簡単な、簡単な ping ping 等によ等によりりハードニングのチェックを行ったハードニングのチェックを行った

Table 4.17: Domain Controller IPSec Filter Network Traffic Map

Service Protocol SourcePort

DestinationPort

SourceAddress

DestinationAddress

Action Mirror memo

All Traffic

ANY ANY ANY ANY ME BLOCK YESデフォルトは全てブロック

R3 Server

ANY ANY ANYSAP R3Server

ME ALLOW YESR/3 からの通信は全て許可

SQL Server

ANY ANY ANY SQL Server ME ALLOW YESSQL Server からの通信は全

て許可

OtherDomainController ANY ANY ANY

OtherDomain

ControllerME ALLOW YES

他のDomainController からの通信は全

て許可ICMP

ICMP ANY ANY MESAP R3Server

ALLOW YES R/3 への通信

ICMP

ICMP ANY ANY ME SQL Server ALLOW YESSQL Server へ

の通信

IPSec Network Traffic Map - Domain Controllers

SAP R/3 Enterprise

IPSec Network Traffic MapService Protocol Source

PortDestination Port

SourceAddress

DestinationAddress

Action Mirror memo

All TrafficANY ANY ANY ANY ME BLOCK YES

デフォルトは全てブロック

SAP DIALOGServer TCP ANY 32NN ANY ME ALLOW YES

SAP GUI からの通信

MSSQL ServerClient TCP ANY 1433 ME SQL Server ALLOW YES

SQL Server への通信

Domain MemberANY ANY ANY ME

DomainController

ALLOW YESDomain Conroller

への通信

IPSec Network Traffic Map - R3 Servers

3200

SAP R/3 Enterprise

IPSec Network Traffic Map


Destination Port

SourceAddress

DestinationAddress

Action Mirror memo

All TrafficANY ANY ANY ANY ME BLOCK YES

デフォルトは全てブロック

MSSQLServer TCP ANY 1433

SAP R3Server

ME ALLOW YES R3からの通信

DomainMember ANY ANY ANY ME

DomainController

ALLOW YESDomain Controller

への通信

IPSec Network Traffic Map - SQL Servers

SAP R/3 Enterprise

Table 4.17: Domain Controller IPSec Filter Network Traffic Map


DestinationPort

SourceAddress

DestinationAddress

Action Mirror memo

All Traffic


R3 Server


ME ALLOW YESR/3 からの通信は全て許可

SQL Server

ANY ANY ANY SQL Server ME ALLOW YES

SQL Serverからの通信は全て

許可

Agate ServerANY ANY ANY

SAP AgateServer

ME ALLOW YESAgate からの通信は全

て許可ICMP


ALLOW YES

他のDomain

Controllerからの通信は全て

許可ICMP

ICMP ANY ANY ME SQL Server ALLOW YESR/3 への通

信ICMP

ICMP ANY ANY MESAP Agate

ServerALLOW YES

SQL Serverへの通信


SAP ITS



SourceAddress

DestinationAddress

Action Mirror memo

All Traffic


SAPDIALOGServer

TCP ANY 32NNSAP

AGATEServer

ME ALLOW YESSAP Agateからの通信

SAP RFCServer

TCP ANY 33NNSAP

AGATEServer

ME ALLOW YES

SAPRFC/BAPI プログラムから

の通信HTTPServer TCP ANY 80NN ANY ME ALLOW YES

Web ブラウザからの通信

HTTPSServer TCP ANY 443NN ANY ME ALLOW YES 〃

MSSQLServerClient

TCP ANY 1433 ME SQL Server ALLOW YESSQL Server

への通信


DomainController

ALLOW YESDomain

Conroller への通信


3200

3300

8000

44300

SAP ITS



SourceAddress

DestinationAddress

Action Mirror memo

All Traffic



SAP R3Server

ME ALLOW YESR3からの通

信DomainMember ANY ANY ANY ME

DomainController

ALLOW YESDomain

Controller への通信


SAP ITS

Table 8.12: IIS Server IPSec Network Traffic Map


Destination Port

SourceAddress

DestinationAddress

Action Mirror memo

All Traffic ANY ANY ANY ANY ME BLOCK YESHTTPServer TCP ANY 80 ANY ME ALLOW YES

HTTPSServer TCP ANY 443 ANY ME ALLOW YES

HTTPServer formgmt

TCP ANY 8080 ANY ME ALLOW YES 管理用

AgateClient1 TCP ANY 39NN ME

SAP AgateServer

ALLOW YES

AgateClient2 TCP ANY 39N9 ME

SAP AgateServer

ALLOW YES

AgateClient1(for Mgmt)

TCP ANY 39NN MESAP Agate

ServerALLOW YES 管理用


TCP ANY 39N9 MESAP Agate


DomainMember

ANY ANY ANY ME

DomainController

(AD2.oa.corp.com)

ALLOW YES

IPSec Network Traffic Map - IIS + ITS Wgate Servers

3900

3910

39093918

3928

SAP ITS



Destination Port

SourceAddress

DestinationAddress

Action Mirror memo

All Traffic ANY ANY ANY ANY ME BLOCK YESAgateServer1 TCP ANY 39NN SAP Wgate ME ALLOW YES

AgateServer2 TCP ANY 39N9 SAP Wgate ME ALLOW YES

AgateServer1(for Mgmt)

TCP ANY 39NN SAP Wgate ME ALLOW YES 管理用


TCP ANY 39N9 SAP Wgate ME ALLOW YES 管理用

SAPDIALOGClient

TCP ANY 32NN MESAP

DIALOGServer

ALLOW YES

SAP RFCClient TCP ANY 33NN ME

SAP RFCServer

ALLOW YES

DomainMember

ANY ANY ANY ME

DomainController

(AD1.sap.corp.com)

ALLOW YES

IPSec Network Traffic Map - ITS Agate Servers

3900

3910

3918

3928

3200

3300

SAP ITS

Table 4.17: Domain Controller IPSec Filter Network Traffic MapService Protocol Source

PortDestinationPort

SourceAddress

DestinationAddress

Action Mirror memo

All Traffic


R3 Server


ME ALLOW YESR/3 からの通信は全て

許可SQL Server

ANY ANY ANY SQL Server ME ALLOW YESSQL Serverからの通信は全て許可

Agate Server

ANY ANY ANYSAP Agate

ServerME ALLOW YES

Agate からの通信は全

て許可EP Server

ANY ANY ANYSAP EPServer

ME ALLOW YESEP からの通信は全て許

可EP SQLServer

ANY ANY ANYSAP EP

SQL ServerME ALLOW YES

EP=SQLServer からの通信は全

て許可ICMP


ALLOW YESR/3 への通

信ICMP

ICMP ANY ANY ME SQL Server ALLOW YESSQL Serverへの通信

ICMPICMP ANY ANY ME

SAP AgateServer

ALLOW YESAgate への

通信ICMP

ICMP ANY ANY MESAP EPServer

ALLOW YESEP への通

信ICMP

ICMP ANY ANY MESAP EP SQL

ServerALLOW YES

EP=SQLServer への

通信


SAP Enterprise Portal



SourceAddress

DestinationAddress

Action Mirror memo

All Traffic


SAPDIALOGServer

TCP ANY 32NNSAP

AGATEServer

ME ALLOW YESSAP Agateからの通信

SAP RFCServer

TCP ANY 33NNSAP

AGATEServer

ME ALLOW YES

SAPRFC/BAPI プログラムからの通信

SAP RFCServer TCP ANY 33NN?

SAP EPServer

ME ALLOW YESSAP EP から

の通信HTTPServer TCP ANY 80NN ANY ME ALLOW YES

Web ブラウザからの通

信HTTPSServer TCP ANY 443NN ANY ME ALLOW YES 〃

MSSQLServerClient

TCP ANY 1433 ME SQL Server ALLOW YESSQL Serverへの通信


DomainController

ALLOW YESDomain



3200

3300

3300

8000

44300




SourceAddress

DestinationAddress

Action Mirror memo

All Traffic



SAP R3Server

ME ALLOW YESR3からの通


DomainController

ALLOW YESDomain






SourceAddress

DestinationAddress

Action Mirror memo

All Traffic


SAP J2EEDispatcherServer(HTTP)

TCP ANY 5NN00ANY

(IISPRXY)ME ALLOW YES

SAP J2EEDispatcherServer(HTTPS)

TCP ANY 5NN01ANY

(IISPRXY)ME ALLOW YES

HTTPClient TCP ANY 80 ME

WgateServer

ALLOW YES Wgate

HTTPSClient TCP ANY 443 ME

WgateServer

ALLOW YES

HTTPClient TCP ANY 80NN ME R/3 Server ALLOW YES R/3

HTTPSClient TCP ANY 443NN ME R/3 Server ALLOW YES

RFC ClientTCP ANY 33NN? ME R/3 Server ALLOW YES

MSSQLServerClient

TCP ANY 1433 ME SQL Server ALLOW YESSQL Serverへの通信


DomainController

ALLOW YESDomain


IPSec Network Traffic Map - EP Servers

50000

50001

8000

44300

3300


IPSec Network Traffic Map


Destination Port

SourceAddress

DestinationAddress

Action Mirror memo

All Traffic



SAP EPServer

ME ALLOW YESEPからの通


DomainController

ALLOW YESDomain


IPSec Network Traffic Map - EP-SQL Servers




Destination Port

SourceAddress

DestinationAddress

Action Mirror memo



HTTPServer formgmt

TCP ANY 8080 ANY ME ALLOW YES 管理用

AgateClient1 TCP ANY 39NN ME

SAP AgateServer

ALLOW YES

AgateClient2 TCP ANY 39N9 ME

SAP AgateServer

ALLOW YES


TCP ANY 39NN MESAP Agate



TCP ANY 39N9 MESAP Agate


DomainMember

ANY ANY ANY ME

DomainController

(AD2.oa.corp.com)

ALLOW YES

IPSec Network Traffic Map - IIS + ITS Wgate Servers

3900

3910

3918

3928




Destination Port

SourceAddress

DestinationAddress

Action Mirror memo

All Traffic ANY ANY ANY ANY ME BLOCK YESAgateServer1 TCP ANY 39NN SAP Wgate ME ALLOW YES

AgateServer2 TCP ANY 39N9 SAP Wgate ME ALLOW YES


TCP ANY 39NN SAP Wgate ME ALLOW YES 管理用


TCP ANY 39N9 SAP Wgate ME ALLOW YES 管理用

SAPDIALOGClient

TCP ANY 32NN MESAP

DIALOGServer

ALLOW YES

SAP RFCClient TCP ANY 33NN ME

SAP RFCServer

ALLOW YES

DomainMember

ANY ANY ANY ME

DomainController

(AD1.sap.corp.com)

ALLOW YES

IPSec Network Traffic Map - ITS Agate Servers

3900

3910

3918

3928

3200

3300


Table 8.12: IIS Server IPSec Network Traffic MapService Protocol Source


SourceAddress

DestinationAddress

Action Mirror memo



EP Clientfor HTTP TCP ANY 5NN00 ME

SAP EPServer

ALLOW YES

EP Clientfor HTTPS TCP ANY 5NN01 ME

SAP EPServer

ALLOW YES

DomainMember

ANY ANY ANY ME

DomainController

(AD2.oa.corp.com)

ALLOW YES

IPSec Network Traffic Map - IIS + IISProxy Servers

50000

50001


Active DirectoryActive Directory名前状態スタートアップ

の種類ログオン

Automatic Updates 開始自動 Local SystemComputer Browser 開始自動 Local SystemCryptographic Services 開始自動 Local SystemDistributed File System 開始自動 Local SystemDNS Client 開始自動 Network ServiceDNS Server 開始自動 Local SystemEvent Log 開始自動 Local SystemFile Replication Service 開始自動 Local SystemIntersite Messaging 開始自動 Local SystemIPSEC Services 開始自動 Local SystemKerberos Key Distribution Center 開始自動 Local SystemNet Logon 開始自動 Local SystemNT LM Security Support Provider 開始自動 Local SystemPlug and Play 開始自動 Local SystemProtected Storage 開始自動 Local SystemRemote Procedure Call (RPC) 開始自動 Local SystemRemote Procedure Call (RPC) Locator 開始自動 Network ServiceRemote Registry 開始自動 Local ServiceSecurity Accounts Manager 開始自動 Local SystemServer 開始自動 Local SystemSystem Event Notification 開始自動 Local SystemTCP/ IP NetBIOS Helper 開始自動 Local ServiceTerminal Services 開始自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始自動 Local SystemWindows Time 開始自動 Local SystemWorkstation 開始自動 Local SystemBackground Intelligent Transfer Service 手動 Local SystemCOM+ Event System 開始手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始手動 Local SystemNetwork Location Awareness (NLA) 開始手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System

WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local System

DHCP Client 無効 Network ServiceDHCP Server 無効 Local SystemDistributed Link Tracking Client 無効 Local SystemDistributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemHelp and Support 無効 Local SystemHTTP SSL 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System

License Logging 無効 Network ServiceMessenger 無効 Local SystemNetMeeting Remote Desktop Sharing 無効 Local SystemNetwork DDE 無効 Local SystemNetwork DDE DSDM 無効 Local SystemPortable Media Serial Number Service 無効 Local SystemPrint Spooler 無効 Local SystemRemote Access Auto Connection Manager 無効 Local SystemRemote Access Connection Manager 無効 Local SystemRemote Desktop Help Session Manager 無効 Local SystemResultant Set of Policy Provider 無効 Local SystemRouting and Remote Access 無効 Local SystemSecondary Logon 無効 Local SystemShell Hardware Detection 無効 Local SystemSmart Card 無効 Local ServiceSpecial Administration Console Helper 無効 Local SystemTask Scheduler 無効 Local SystemTelephony 無効 Local SystemTelnet 無効 Local ServiceTerminal Services Session Directory 無効 Local SystemThemes 無効 Local SystemUninterruptible Power Supply 無効 Local ServiceUpload Manager 無効 Local SystemVirtual Disk Service 無効 Local SystemWebClient 無効 Local ServiceWindows Audio 無効 Local SystemWindows Image Acquisition (WIA) 無効 Local ServiceWinHTTP Web Proxy Auto-Discovery Service 無効 Local ServiceWireless Configuration 無効 Local System

開始

SAP R/3 EnterpriseSAP R/3 Enterprise名前状態スタートアップ


Automatic Updates 開始自動 Local SystemComputer Browser 開始自動 Local SystemCryptographic Services 開始自動 Local SystemDistributed File System 開始自動 Local SystemDNS Client 開始自動 Network ServiceEvent Log 開始自動 Local SystemIPSEC Services 開始自動 Local SystemNet Logon 開始自動 Local SystemNT LM Security Support Provider 開始自動 Local SystemPlug and Play 開始自動 Local SystemProtected Storage 開始自動 Local SystemRemote Procedure Call (RPC) 開始自動 Local SystemRemote Registry 開始自動 Local ServiceSAPOSCOL 開始自動 SAP\ SAPServiceP0Security Accounts Manager 開始自動 Local SystemServer 開始自動 Local SystemSystem Event Notification 開始自動 Local SystemTCP/ IP NetBIOS Helper 開始自動 Local ServiceTerminal Services 開始自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始自動 Local SystemWindows Time 開始自動 Local SystemWorkstation 開始自動 Local SystemBackground Intelligent Transfer Service 開始手動 Local SystemCOM+ Event System 開始手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始手動 Local SystemNetwork Location Awareness (NLA) 開始手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemSAPP01_00 開始手動 SAP\ SAPServiceP0SAPP01_05 開始手動 SAP\ SAPServiceP0Volume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System

WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed Link Tracking Client 無効 Local System

Distributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemFile Replication 無効 Local SystemHelp and Support 無効 Local SystemHTTP SSL 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System

Intersite Messaging 無効 Local SystemKerberos Key Distribution Center 無効 Local SystemLicense Logging 無効 Network ServiceMessenger 無効 Local SystemNetMeeting Remote Desktop Sharing 無効 Local SystemNetwork DDE 無効 Local SystemNetwork DDE DSDM 無効 Local SystemPortable Media Serial Number Service 無効 Local SystemPrint Spooler 無効 Local SystemRemote Access Auto Connection Manager 無効 Local SystemRemote Access Connection Manager 無効 Local SystemRemote Desktop Help Session Manager 無効 Local SystemRemote Procedure Call (RPC) Locator 無効 Network ServiceResultant Set of Policy Provider 無効 Local SystemRouting and Remote Access 無効 Local SystemSecondary Logon 無効 Local SystemShell Hardware Detection 無効 Local SystemSmart Card 無効 Local ServiceSpecial Administration Console Helper 無効 Local SystemTask Scheduler 無効 Local SystemTelephony 無効 Local SystemTelnet 無効 Local ServiceTerminal Services Session Directory 無効 Local SystemThemes 無効 Local SystemUninterruptible Power Supply 無効 Local ServiceUpload Manager 無効 Local SystemVirtual Disk Service 無効 Local SystemWebClient 無効 Local ServiceWindows Audio 無効 Local SystemWindows Image Acquisition (WIA) 無効 Local ServiceWinHTTP Web Proxy Auto-Discovery Service 無効 Local ServiceWireless Configuration 無効 Local System

開始

SQL Server (for SAP R/3 Enterprise)SQL Server (for SAP R/3 Enterprise)名前状態スタートアップ


Automatic Updates 開始自動 Local SystemComputer Browser 開始自動 Local SystemCryptographic Services 開始自動 Local SystemDNS Client 開始自動 Network ServiceEvent Log 開始自動 Local SystemIPSEC Services 開始自動 Local SystemMSSQLSERVER 開始自動 Local SystemNet Logon 開始自動 Local SystemNT LM Security Support Provider 開始自動 Local SystemPlug and Play 開始自動 Local SystemProtected Storage 開始自動 Local SystemRemote Procedure Call (RPC) 開始自動 Local SystemRemote Registry 開始自動 Local ServiceSecurity Accounts Manager 開始自動 Local SystemServer 開始自動 Local SystemSQLSERVERAGENT 開始自動 Local SystemSystem Event Notification 開始自動 Local SystemTCP/ IP NetBIOS Helper 開始自動 Local ServiceTerminal Services 開始自動 Local SystemWindows Installer 開始自動 Local SystemWindows Management Instrumentation 開始自動 Local SystemWindows Time 開始自動 Local SystemWorkstation 開始自動 Local SystemBackground Intelligent Transfer Service 開始手動 Local SystemCOM+ Event System 開始手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始手動 Local SystemNetwork Location Awareness (NLA) 開始手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System

WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed File System 無効 Local SystemDistributed Link Tracking Client 無効 Local SystemDistributed Link Tracking Server 無効 Local System

Distributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemFile Replication 無効 Local SystemHelp and Support 無効 Local SystemHTTP SSL 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System

Intersite Messaging 無効 Local SystemKerberos Key Distribution Center 無効 Local SystemLicense Logging 無効 Network ServiceMessenger 無効 Local SystemMicrosoft Search 無効 Local SystemMSSQLServerADHelper 無効 Local SystemNetMeeting Remote Desktop Sharing 無効 Local SystemNetwork DDE 無効 Local SystemNetwork DDE DSDM 無効 Local SystemPortable Media Serial Number Service 無効 Local SystemPrint Spooler 無効 Local SystemRemote Access Auto Connection Manager 無効 Local SystemRemote Access Connection Manager 無効 Local SystemRemote Desktop Help Session Manager 無効 Local SystemRemote Procedure Call (RPC) Locator 無効 Network ServiceResultant Set of Policy Provider 無効 Local SystemRouting and Remote Access 無効 Local SystemSecondary Logon 無効 Local SystemShell Hardware Detection 無効 Local SystemSmart Card 無効 Local ServiceSpecial Administration Console Helper 無効 Local SystemTask Scheduler 無効 Local SystemTelephony 無効 Local SystemTelnet 無効 Local ServiceTerminal Services Session Directory 無効 Local SystemThemes 無効 Local SystemUninterruptible Power Supply 無効 Local ServiceUpload Manager 無効 Local SystemVirtual Disk Service 無効 Local SystemWebClient 無効 Local ServiceWindows Audio 無効 Local SystemWindows Image Acquisition (WIA) 無効 Local ServiceWinHTTP Web Proxy Auto-Discovery Service 無効 Local ServiceWireless Configuration 無効 Local System

SAP ITS AgateSAP ITS Agate名前状態スタートアップ


Automatic Updates 開始自動 Local SystemComputer Browser 開始自動 Local SystemCryptographic Services 開始自動 Local SystemDNS Client 開始自動 Network ServiceEvent Log 開始自動 Local SystemIPSEC Services 開始自動 Local SystemITS Watchdog 開始自動 Local SystemNet Logon 開始自動 Local SystemNT LM Security Support Provider 開始自動 Local SystemPlug and Play 開始自動 Local SystemProtected Storage 開始自動 Local SystemRemote Procedure Call (RPC) 開始自動 Local SystemRemote Registry 開始自動 Local ServiceSAP IACOR Manager 開始自動 Local SystemSAP ITS Manager - ADM 開始自動 Local SystemSAP ITS Manager - P01 開始自動 Local SystemSecurity Accounts Manager 開始自動 Local SystemServer 開始自動 Local SystemSystem Event Notification 開始自動 Local SystemTCP/ IP NetBIOS Helper 開始自動 Local ServiceTerminal Services 開始自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始自動 Local SystemWindows Time 開始自動 Local SystemWorkstation 開始自動 Local SystemBackground Intelligent Transfer Service 手動 Local SystemCOM+ Event System 開始手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始手動 Local SystemNetwork Location Awareness (NLA) 開始手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System

WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed File System 無効 Local System

Distributed Link Tracking Client 無効 Local SystemDistributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemFile Replication 無効 Local SystemHelp and Support 無効 Local SystemHTTP SSL 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System


開始

SAP ITS WgateSAP ITS Wgate名前状態スタートアップ


Automatic Updates 開始自動 Local SystemComputer Browser 開始自動 Local SystemCryptographic Services 開始自動 Local SystemDNS Client 開始自動 Network ServiceEvent Log 開始自動 Local SystemHTTP SSL 開始自動 Local SystemIIS Admin Service 開始自動 Local SystemIPSEC Services 開始自動 Local SystemNet Logon 開始自動 Local SystemNT LM Security Support Provider 開始自動 Local SystemPlug and Play 開始自動 Local SystemProtected Storage 開始自動 Local SystemRemote Procedure Call (RPC) 開始自動 Local SystemRemote Registry 開始自動 Local ServiceSAP IACOR Manager 開始自動 Local SystemSecurity Accounts Manager 開始自動 Local SystemServer 開始自動 Local SystemSystem Event Notification 開始自動 Local SystemTCP/ IP NetBIOS Helper 開始自動 Local ServiceTerminal Services 開始自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始自動 Local SystemWindows Time 開始自動 Local SystemWorkstation 開始自動 Local SystemWorld Wide Web Publishing Service 開始自動 Local SystemBackground Intelligent Transfer Service 開始手動 Local SystemCOM+ Event System 開始手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始手動 Local SystemNetwork Location Awareness (NLA) 開始手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System

WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed File System 無効 Local System

Distributed Link Tracking Client 無効 Local SystemDistributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemFile Replication 無効 Local SystemHelp and Support 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System


開始

SAP Enterprise PortalSAP Enterprise Portal名前状態スタートアップ


Automatic Updates 開始自動 Local SystemComputer Browser 開始自動 Local SystemCryptographic Services 開始自動 Local SystemDNS Client 開始自動 Network ServiceEvent Log 開始自動 Local SystemIPSEC Services 開始自動 Local SystemNet Logon 開始自動 Local SystemNT LM Security Support Provider 開始自動 Local SystemPlug and Play 開始自動 Local SystemProtected Storage 開始自動 Local SystemRemote Procedure Call (RPC) 開始自動 Local SystemRemote Registry 開始自動 Local ServiceSecurity Accounts Manager 開始自動 Local SystemServer 開始自動 Local SystemSystem Event Notification 開始自動 Local SystemTCP/ IP NetBIOS Helper 開始自動 Local ServiceTerminal Services 開始自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始自動 Local SystemWindows Time 開始自動 Local SystemWorkstation 開始自動 Local SystemBackground Intelligent Transfer Service 開始手動 Local SystemCOM+ Event System 開始手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始手動 Local SystemNetwork Location Awareness (NLA) 開始手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System

WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed File System 無効 Local SystemDistributed Link Tracking Client 無効 Local SystemDistributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local System

File Replication 無効 Local SystemHelp and Support 無効 Local SystemHTTP SSL 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System


開始

SQL Server (for SAP Enterprise Portal)SQL Server (for SAP Enterprise Portal)名前状態スタートアップ


Automatic Updates 開始自動 Local SystemComputer Browser 開始自動 Local SystemCryptographic Services 開始自動 Local SystemDNS Client 開始自動 Network ServiceEvent Log 開始自動 Local SystemIPSEC Services 開始自動 Local SystemMSSQLSERVER 開始自動 SAP\ AdministratorNet Logon 開始自動 Local SystemNT LM Security Support Provider 開始自動 Local SystemPlug and Play 開始自動 Local SystemProtected Storage 開始自動 Local SystemRemote Procedure Call (RPC) 開始自動 Local SystemRemote Registry 開始自動 Local ServiceSecurity Accounts Manager 開始自動 Local SystemServer 開始自動 Local SystemSymantec Ghost Configuration Server 開始自動 Local SystemSystem Event Notification 開始自動 Local SystemTCP/ IP NetBIOS Helper 開始自動 Local ServiceTerminal Services 開始自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始自動 Local SystemWindows Time 開始自動 Local SystemWorkstation 開始自動 Local SystemBackground Intelligent Transfer Service 手動 Local SystemCOM+ Event System 開始手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始手動 Local SystemNetwork Location Awareness (NLA) 開始手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemSQLSERVERAGENT 手動 SAP\ AdministratorVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System

WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed File System 無効 Local SystemDistributed Link Tracking Client 無効 Local System

Distributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemFile Replication 無効 Local SystemHelp and Support 無効 Local SystemHTTP SSL 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System

Intersite Messaging 無効 Local SystemKerberos Key Distribution Center 無効 Local SystemLicense Logging 無効 Network ServiceMessenger 無効 Local SystemMicrosoft Search 無効 Local SystemMSSQLServerADHelper 無効 Local SystemNetMeeting Remote Desktop Sharing 無効 Local SystemNetwork DDE 無効 Local SystemNetwork DDE DSDM 無効 Local SystemPortable Media Serial Number Service 無効 Local SystemPrint Spooler 無効 Local SystemRemote Access Auto Connection Manager 無効 Local SystemRemote Access Connection Manager 無効 Local SystemRemote Desktop Help Session Manager 無効 Local SystemRemote Procedure Call (RPC) Locator 無効 Network ServiceResultant Set of Policy Provider 無効 Local SystemRouting and Remote Access 無効 Local SystemSecondary Logon 無効 Local SystemShell Hardware Detection 無効 Local SystemSmart Card 無効 Local ServiceSpecial Administration Console Helper 無効 Local SystemTask Scheduler 無効 Local SystemTelephony 無効 Local SystemTelnet 無効 Local ServiceTerminal Services Session Directory 無効 Local SystemThemes 無効 Local SystemUninterruptible Power Supply 無効 Local ServiceUpload Manager 無効 Local SystemVirtual Disk Service 無効 Local SystemWebClient 無効 Local ServiceWindows Audio 無効 Local SystemWindows Image Acquisition (WIA) 無効 Local ServiceWinHTTP Web Proxy Auto-Discovery Service 無効 Local ServiceWireless Configuration 無効 Local System

開始

SAP Enterprise Portal IIS ProxySAP Enterprise Portal IIS Proxy名前状態スタートアップ


Automatic Updates 開始自動 Local SystemComputer Browser 開始自動 Local SystemCryptographic Services 開始自動 Local SystemDNS Client 開始自動 Network ServiceEvent Log 開始自動 Local SystemHTTP SSL 開始自動 Local SystemIIS Admin Service 開始自動 Local SystemIPSEC Services 開始自動 Local SystemNet Logon 開始自動 Local SystemNT LM Security Support Provider 開始自動 Local SystemPlug and Play 開始自動 Local SystemProtected Storage 開始自動 Local SystemRemote Procedure Call (RPC) 開始自動 Local SystemRemote Registry 開始自動 Local ServiceSecurity Accounts Manager 開始自動 Local SystemServer 開始自動 Local SystemSystem Event Notification 開始自動 Local SystemTCP/ IP NetBIOS Helper 開始自動 Local ServiceTerminal Services 開始自動 Local SystemWindows Installer 自動 Local SystemWindows Management Instrumentation 開始自動 Local SystemWindows Time 開始自動 Local SystemWorkstation 開始自動 Local SystemWorld Wide Web Publishing Service 開始自動 Local SystemBackground Intelligent Transfer Service 手動 Local SystemCOM+ Event System 開始手動 Local SystemLogical Disk Manager 手動 Local SystemLogical Disk Manager Administrative Service 手動 Local SystemMicrosoft Software Shadow Copy Provider 手動 Local SystemNetwork Connections 開始手動 Local SystemNetwork Location Awareness (NLA) 開始手動 Local SystemPerformance Logs and Alerts 手動 Network ServiceRemovable Storage 手動 Local SystemVolume Shadow Copy 手動 Local SystemWindows Management Instrumentation DriverExtensions 手動 Local System

WMI Performance Adapter 手動 Local SystemAlerter 無効 Local ServiceApplication Layer Gateway Service 無効 Local ServiceApplication Management 無効 Local SystemClipBook 無効 Local SystemCOM+ System Application 無効 Local SystemDHCP Client 無効 Network ServiceDistributed File System 無効 Local SystemDistributed Link Tracking Client 無効 Local System

Distributed Link Tracking Server 無効 Local SystemDistributed Transaction Coordinator 無効 Network ServiceError Reporting Service 無効 Local SystemFile Replication 無効 Local SystemHelp and Support 無効 Local SystemHuman Interface Device Access 無効 Local SystemIMAPI CD-Burning COM Service 無効 Local SystemIndexing Service 無効 Local SystemInternet Connection Firewall (ICF) / InternetConnection Sharing (ICS) 無効 Local System


開始

セキュリティテンプレート適用後の設定変更セキュリティテンプレート適用後の設定変更

R/3 Server, R/3 用 SQL Server では、高セキュリティ・テンプレートで削除された Administrators を再度入力した。

＋ Administrators

windows server による セキュアな sap システムの 構築と運用

Documents

windows server によるセキュアな sap システムの構築と運用