SAP システムは - Center

Download Report

Transcript SAP システムは - Center

Windows Server による
セキュアな SAP システムの
構築と運用
マイクロソフト株式会社
Agenda
1. はじめに
2. セキュアな SAP システムの構築
3.
4.
5.
6.
- ハードニング
セキュアな SAP システムの運用
- パッチマネジメント
セキュアな SAP システムの運用
- アンチウイルスソフトウエア
まとめ
(参考)過去の脆弱性の整理
1.はじめに
セキュリティインシデントの現状
コンピュータシステムを襲うウイルスの猛威
Code Red, Nimda, SQLSlammer, MSBlast,
Sasser ….
情報処理進行事業協会セキュリティセンター(IPA/ISEC)Web ページより
http://www.ipa.go.jp/security/txt/2003/12.html
SAP システム管理者の声
SAP システムは、最もセキュアに保護したい
基幹系である SAP システムは、保持する
データの価値が非常に高い
とは言っても、セキュリティ更新プログラムの
適用は(以下の理由から)最小限に留めたい
(多くの場合)システム停止が必要
事前テストが必要
この文書の目的
今回ご紹介するセキュリティソリューションを
実践する事で、以下の3つを実現できます
SAP システムのセキュリティを強化する
SAP システムのダウンタイムを抑える
Windows ならではの低い運用コストを維持する
SAP-Microsoft コンピテンスセンターに
おける技術検証結果を是非ご活用下さい
(※)セキュリティ対策とは?
ウイルス、ワームからの防御
クライアントサイド
アンチウイルス、パッチマネジメント、IDS etc
サーバーサイド
ハードニング(ネットワーク、サービス、他)
パッチマネジメント
アンチウイルス
Etc
不正アクセスからの防御
2.セキュアな SAP システムの構築
- ハードニング
ハードニングとは
定義:SAP システムの稼動に最低限必要なプラットフォーム
機能のみを残すこと
効果1:セキュリティの強化
- SAP システムが無用な脆弱性リスクに晒される事を防止し、
コンピュータウイルス等による攻撃を最大限ブロックできる
効果2:アベイラビリティの確保
- システム停止を伴うことが多いセキュリティ更新プログラム
の適用頻度を最低限にとどめる事ができる
効果3:低い運用コストの維持
- ユーザーサイドでのテストが必要なセキュリティ更新プログラム
の適用頻度を最低限にとどめる事ができる
ネットワークのハードニング
SAP システムに不要な通信をブロックする為
のパケットフィルタリングを実施する
IPSec ポリシースクリプトの適用(各ホスト単位)
ファイアウォール、ルータ、レイヤ3スイッチ、
SAP Router などの配備(各サブネット単位)
サブネット単位、ホスト単位双方を組み合わせ
れば、よりセキュアな環境に
WWW
電話回線など
FTP
Web
RAS
Router
RAS セグメント
DMZ セグメント
WWW
(社外用)
WWW
(社外用)
Fire
wall等
DNS
Mail
VPN
社内サーバーセグメント
Proxy
社内セグメント
File
WWW
WWW
(ITS
用)
(EP
WWW
WWW 用)
(ITS 用)
(EP 用)
Dire
ctory
(※)企業ネットワークにおける
ネットワークハードニング例
SAP
サーバー
セグメント
SAP
DB
DNS
Mail
ITS
EP
・・・
(※)ネットワークのハードニング・実装例
各ホスト単位のネットワークハードニングをまず実施
単一障害点(Single Point of failure)となる SAP
サーバー群は、「SAP サーバーセグメント」として
別のサブネットに含め、ネットワーク機器等による
ハードニングを追加してよりセキュアにする
SAP セントラルインスタンス、DB インスタンスなど
それ以外のサーバー群は、順次セキュリティ更新
プログラムを適用できるように冗長構成にしておく
SAP ダイアログインスタンス、ITS Agate/Wgate など
パケットフィルタリングに際しての注意点
Active Directory (とその通信相手)は多くの
ポートで通信する点に注意する
どのポートが利用されているかが不明な
場合は、ネットワークモニタなどのツールを
活用する
サービスのハードニング
SAP システムの稼動に不要なサービスを
無効化する
パフォーマンス上のメリットもある
サービスの内容
システムの稼動に不要な事が明らかなサービス
システムの稼動に必要な事が明らかなサービス
それ以外のサービス
起動
オプション
無効
自動
手動
サービス無効化に際しての注意点
無効化する前にサービスの内容をよく確認
Windows Server セキュリティガイドを参照
それぞれのシステム環境における入念な
テストを実施した後、無効化するサービスを
決定する
別紙で掲げている 「SAP システムに必要な
サービス」以外を、全て無条件に無効化して
よい訳ではない
その他のハードニング
対策
OS, DB, Web, アプリケーション(SAP)といった
様々な側面から詳細なハードニングを実施
効果
セキュリティ設定を詳細にカスタマイズ
その他のハードニング
Windows Server セキュリティ運用ガイド
http://www.microsoft.com/japan/technet/security/prodtech/windows
/windows2000/staysecure/default.asp
http://www.microsoft.com/japan/technet/security/prodtech/win2003/
w2003hg/sgch00.asp
脅威とその対策: Windows Server 2003 と
Windows XP のセキュリティ対策
http://www.microsoft.com/japan/technet/security/prodtech/winclnt/s
ecwinxp/default.asp
設計から堅固な実装へ: IIS 5.0 セキュリティガイド
http://www.microsoft.com/japan/technet/prodtechnol/iis/iis5/
deploy/depovg/securiis.asp
SQL Server セキュリティ資料
http://www.sqlpassj.org/bunkakai/security/default.aspx
SAP Network Integration Guide, SAP Security Guide
http://service.sap.com/netweaver
- SAP Netweaver Japan- SAP Netweaver in Detail – Network
- SAP Netweaver in Detail – Security – Security in Detail
などなど
その他のハードニング
(テンプレートを利用したハードニング)
Windows Server 2003 セキュリティガイドと
添付のテンプレートを利用して効率よくハードニング
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643
C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist
ハードニングにあたっての注意点
要求されるセキュリティレベルの明確化
システムの仕様調査
SAP システムだけでなく SAP 以外のシステムも
必要なサービス、通信経路、ポート・・・
ハードニング項目の洗い出し
サービス、ネットワーク、その他のハードニング
ハードニング実装に伴うコストと効果の予測
ハードニング項目の決定
何を、どこまでやるか?の決定
ハードニングにあたっての注意点
各モジュール(OS, DB, Web, SAP)をセット
アップする度に、そのとき可能なハードニング
を都度実装する事が、セキュリティ上は最も
望ましい
但し、ネットワークから切り離したセットアップ
が出来るなどの場合は、ハードニングを
ある程度まとめて実装しても、特に問題はなし
ハードニングにあたっての注意点
ハードニングを(一挙に行わず)ステップバイステップ
で実装していき、都度稼動確認を推奨
いざという時はロールバックする
システム構成のバックアップ(※1)、またはロールバック手段の確保
ハードニングのステップバイステップでの実装
サーバー毎やハードニング毎に繰り返す
(問題が発生した場合はロールバックする)
稼動確認
最終セキュリティチェック(※2)
(※1) Windows Server 2003 の ASR バックアップ、もしくはサードパーティのイメージバックアップツール。
(※2)Microsoft Baseline Security Analyzer などを利用する。
3.セキュアな SAP システムの運用
- パッチマネジメント
セキュリティ維持のプロセス
実施項目
作業内容
情報収集
セキュリティ脆弱性情報収集
現状分析
自社での影響と緊急度の判定
パッチ展開
結果監視
展開の計画策定
ステージング環境によるテスト実施
本番適用とロールバック
全社のポリシー適用状況の監視
ポリシー違反のフードバックプロセス実施
情報収集
(サーバーサイド・クライアントサイド)
毎月第2水曜日(日本時間)に、「月間セキュ
リティ情報サイト」より脆弱性情報をチェック
http://www.microsoft.com/japan/technet/se
curity/bulletin/monthly.asp
現状分析
(サーバーサイド)
SAP システムのサーバー群に関与するか?
Windows Server 2003/2000 Server/NT Server
(利用している場合)IIS, SQL Server
※ SAP サーバー上での Internet Explorer, Office,
Windows Media の利用を禁止する等、運用を工夫
すれば、これらの脆弱性はリスク評価の対象外にできる
「最大深刻度」のレベルは?
「回避策」は実装済みか?または追加実装可能か?
例)ファイアーウォールで XXXX をブロックする
最大深刻度
定義
緊急 (Critical)
この脆弱性が悪用された場合、インターネット ワームがユーザーの操作なしで蔓延する可能性があります。
重要 (Important)
この脆弱性が悪用された場合、ユーザーのデータの機密性、完全性または可用性が侵害される可能性が
あります。または、処理中のリソースの完全性または可用性が侵害される可能性があります。
警告 (Moderate)
この脆弱性が悪用された場合、既定の構成、監査または悪用が困難であることなどの要素により、悪用さ
れる可能性は大幅に緩和されます。
注意 (Low)
この脆弱性の悪用は非常に困難です。または影響はわずかです。
リスク
高
低
現状分析
(クライアントサイド)
SAP システムのクライアント群に関与するか?
Windows XP/2000/NT/Me/98 (Internet Explorer,
Windows Media Player 等を含む), Office など
「最大深刻度」のレベルは?
「回避策」は実装済みか?または追加実装可能か?
最大深刻度
定義
緊急 (Critical)
この脆弱性が悪用された場合、インターネット ワームがユーザーの操作なしで蔓延する可能性があります。
重要 (Important)
この脆弱性が悪用された場合、ユーザーのデータの機密性、完全性または可用性が侵害される可能性が
あります。または、処理中のリソースの完全性または可用性が侵害される可能性があります。
警告 (Moderate)
この脆弱性が悪用された場合、既定の構成、監査または悪用が困難であることなどの要素により、悪用さ
れる可能性は大幅に緩和されます。
注意 (Low)
この脆弱性の悪用は非常に困難です。または影響はわずかです。
リスク
高
低
現状分析
(サーバーサイド・クライアントサイド)
それぞれの脆弱性に対してアクションを決定
セキュリティ更新プログラムを適用しない(※)
無視(ノーアクション)
SAP サーバーに関係ない、「最大深刻度」が低い、
ハードニングの結果「回避策」を既に実装できている場合
「回避策」を追加実装
追加ハードニングできる場合
セキュリティ更新プログラムを適用する
定常的な計画停止時に適用
定期的に計画停止していて、かつリスクが高くない場合
緊急適用
リスクが高く、かつ迅速な対応が必要な場合
サーバーサイドとクライアントサイドとで、とるべき
アクションは全く異なる事に注意
(※)セキュリティ更新プログラム単体は適用しないとしても、サービスパックは適用を推奨。
(※)Microsoft セキュリティ更新プログラム
一般公開までのテスティングプロセス
1~3週間前←
脆弱性
報告
調査 & FIX
開発部門
 調査
 FIX
モジュール
再作成へ
Package
Test
Build
Verification
Testing
Broad Test
Pass
開発部門
開発部門
各部署での広範囲なテスト
 コードの
 ビルドの確認  開発部門
パッケージ化
 Microsoft IT(全社IT部門)
 Business Unit IT
 日本語化
各ユニットのIT部門
 全世界の各部署社員(約1000名)
 サポート部門セキュリティ担当
 Japan Security Response Team
 SWI Team(攻撃チーム)
問題
発見
公開の可否を決定
サポート部門 : お客様への影響度を判断
Security Response Center : 脆弱性が残っているか?
開発部門 : 別の不具合があるか?
 Patch
Validation Program
参加企業(SAP 社を含む)
一般
公開
(※)Microsoft セキュリティ更新プログラム
の SAP 社による事前テスト
Microsoft は セキュリティ更新プログラム公式
リリースの5-20日前に、 SAP 社開発チーム
(カーネル& GUI 開発、SAP IT など)に対して
セキュリティ更新プログラムを提供
これらのセキュリティ更新プログラムのテスト中に
SAP ソフトウエアに何らかの(互換性などの)問題が
見つかった場合、Microsoft の関連部署に対する
直接のコンタクト・パスを確保
もしこれら既知の問題の解決が公式リリースに間に
合わなかった場合は、SAP Note において情報公開
パッチ展開
(サーバーサイド・クライアントサイド)
当該セキュリティ修正プログラムが SAP 環境
において起こした障害事例がないかをチェック
SAP Note 30478, 62988, 664607
必ず開発環境・品質保証環境にて以下の
テストを実行してから、本番環境へ適用する
サーバーサイドへの適用は特に慎重に行う
緊急適用の場合であっても、以下のテストは必須
セキュリティ修正プログラムのインストール
SAP の起動と停止
セキュリティ修正プログラムのアンインストール
計画停止時適用の場合は、より詳細なテスト
パッチ展開
(特にクライアントサイド)
クライアントOS、Widows Server 2003、Systems
Management Server によりセキュリティ修正
企業システム向け機能およびツール
プログラムの展開を支援
Windows Updateサイト
マイクロソフト
セキュリティ情報
サイト
インターネット経由の
サービス
OS自体の
標準機能
・OSの修正プログラムの自動ダウン
ロード機能
・自動適用 (オプション)
Software
Update
Services
(SUS)
・社内用 Windows Update サイト
・Active Directoryとの連携で
クライアントへの展開を集中管理
SMS
SUS
Feature
Pack
・きめ細かいパッチの展開と管理
・適用状況の把握とレポート機能
・アプリケーションの配布機構との
統合
パッチ展開
(特にクライアントサイド)
ツールを利用したパッチ配布の大量展開
大量のサーバーに展開したい場合やクライアントに展開し
たい場合は配布ツールを利用することで配布の作業量を
大幅に削減可能
テスト作業完了済みプログラムのみの配布
Software Update Services(SUS)にて
Windows Update上の修正プログラムのうち承認したも
ののみを配布
クライアントへの強制配布
Active DirectoryとSUSにより定刻に修正プログラムを
自動インストールする設定も可能
Active DirectoryとSMSにより強制的に修正プログラム
を自動インストールする設定も可能
結果監視
(サーバーサイド・クライアントサイド)
セキュリティ修正プログラム適用後の一定
期間は、経過を観察する
SAP システムの稼動に問題が生じた場合
SAP 社サポート部門へ問い合わせ
SAP Note 664607 に従った問題解決
セキュリティ修正プログラムのアンインストール
セキュリティ修正プログラムの追加適用
SAP Address Space Viewer の利用
などなど
4.セキュアな SAP システムの運用
- アンチウイルスソフトウエア
アンチウイルス・ソフトウエア
既知のウイルスであれば、検知した時点で
「隔離」、つまり感染をブロック可能
アンチウイルス製品ベンダーは、新種を発見
すると1~2時間で解析、クリティカルな場合
は即座に定義ファイルを更新、公開
既知の脆弱性
既知のウイルス
未知のウイルス
ハードニング、
セキュリティ更新
プログラム適用
未知の脆弱性
アンチウイルス
管理者の知識
15000
4000000
10000
2000000
5000
0
0
SQL Server プロセスの I/O Data Bytes/ sec
\\PSTYOC10\Process(sqlservr)\IO Data Bytes/sec
eTrust 監視プロセスの I/O Data Bytes/ sec
※左のグラフと比べて縦軸の値が小さい事に注意
2004/11/05 00:57:56.171
00:50:56.171
00:51:56.171
00:52:56.171
00:53:56.171
00:54:56.171
00:55:56.171
00:56:56.171
6000000
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
20000
00:43:56.140
00:44:56.140
00:45:56.171
00:46:56.171
00:47:56.171
00:48:56.171
00:49:56.171
8000000
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
25000
00:36:56.093
00:37:56.093
00:38:56.093
00:39:56.109
00:40:56.125
00:41:56.125
00:42:56.140
10000000
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
30000
00:30:56.062
00:31:56.062
00:32:56.062
00:33:56.062
00:34:56.078
00:35:56.093
12000000
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05 00:57:46.171
2004/11/05 00:56:36.171
2004/11/05 00:55:26.171
2004/11/05 00:54:16.171
2004/11/05 00:53:06.171
2004/11/05 00:51:56.171
2004/11/05 00:50:46.171
2004/11/05 00:49:36.171
2004/11/05 00:48:26.171
2004/11/05 00:47:16.171
2004/11/05 00:46:06.171
2004/11/05 00:44:56.140
2004/11/05 00:43:46.140
2004/11/05 00:42:36.140
2004/11/05 00:41:26.125
2004/11/05 00:40:16.125
2004/11/05 00:39:06.093
2004/11/05 00:37:56.093
2004/11/05 00:36:46.093
2004/11/05 00:35:36.093
2004/11/05 00:34:26.078
2004/11/05 00:33:16.062
2004/11/05 00:32:06.062
2004/11/05 00:30:56.062
SAP & Anti-virus 性能検証(途中結果)
アンチウイルス(Computer Associates 社 eTrust
Anti-virus 7.0.140)リアルタイム監視環境下に
おける SAP SD ベンチマーク
SAP に与えるパフォーマンス負荷は殆どなし
アンチウイルス非稼動環境とほぼ同等のスループット
\\PSTYOC10\Process(InoRT)\IO Data Bytes/sec
アンチウイルス・留意事項
アンチウイルスソフトが不具合なく稼動する事が必須
アンチウイルスソフトのファイルシステムドライバは Windows の
カーネルモードで稼動
万一不具合があった場合、システム停止につながる危険性もあり
本来であれば CPU 消費、メモリ消費ともに軽微なはず
怪しい場合は、アンチウイルスソフトのサービス停止もしくは削除
可能な限り迅速に定義ファイルを更新する
定義ファイル更新に多くのポートが利用される場合、定義ファイル
配信サーバーに限って全ポートをオープンにする など
定義ファイルサーバー自体が社内でセキュアに保護されている必要あり
アクセス(読込 or 書込)頻度の高いファイルは、
アンチウイルスソフトのリアルタイム監視対象からはずす
DB サーバー上における DB 関連ファイル
データファイル、ログファイル、temp 領域など
アプリケーションのログファイル など
アンチウイルス・留意事項
そもそも SAP サーバー上で不要な操作を行わない
ブラウザ、メーラー、メッセンジャー、Office などの不用意
な起動は控える
自社にとって最適なアンチウイルスソフトを選択する
ディスク I/O の所作、メモリ消費量、検知できる範囲と
その感度、デフォルト設定、定義ファイル更新の速さ、
サポート体制 など、ベンダーにより相違がある
厳密に言うと、アンチウイルスソフトも検知において
「万能」とはいえない
アンチウイルスソフトはファイルやレジストリへの何らかの
書込動作によってウイルスを検知する仕組み
検知範囲がより広い IDS (不正侵入検知・防御システム)
の併用もありえる
5.まとめ
まとめ
運用コストを抑えつつもセキュリティリスクを
極小化する為に、今出来る事は多く存在します
クライアントサイドのセキュリティ強化
サーバーサイドのセキュリティ強化
SAP システムのハードニング
SAP システムにおけるパッチマネジメント など
一方で Microsoft はプラットフォームベンダー
として、Windows Server 他のセキュリティ
強化、脆弱性解消に今後も努めていきます
マイクロソフトコンサルティングサービス
(※) マイクロソフトが提供する
サポートサービス
プロフェッショナル・サポート
http://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomsc
om.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fprof_se
rvice.asp
電話、FAX, mail でのQA、調査(一問一答方式)、オンサイトも有(移動時間
+現地での作業時間×出動人数×30,000 円)
Datacenter 以外の全ての Microsoft 製品(英語版もOK)
基本的には平日9:00-12:00, 13:00-19:00(24時間365日もあり)
オンデマンド:1インシデント 28,000 円(複数のセット料金もあり)
プレミア・サポート
http://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomsc
om.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fpremier
.asp
TAM のアサイン(顧客システムニーズの把握)、一般未公開情報の提供、月
例レポート&定例会議、24*365 対応
Go to http://www.ms-sap.com !
SAP と Microsoft のコラボレーション
サブシステム
開発
ユーザー
デスクトップ
他システム
連携
ユーザー
認証基盤
SAP
OS/DB プラットフォーム+システム運用管理
ビジネスイン
テリジェンス
脆弱性・ウイルス情報
月刊セキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/mo
nthly.asp
セキュリティ情報一覧
http://www.microsoft.com/japan/technet/security/current.asp
ウイルス対策情報
http://www.microsoft.com/japan/technet/treeview/default.asp
?url=/japan/technet/security/topics/virus/default.asp
マイクロソフトプロダクトセキュリティ警告サービス
http://www.microsoft.com/japan/technet/security/bulletin/noti
fy.asp
セキュリティ修正プログラムなどの入手元
セキュリティ修正プログラム
http://www.microsoft.com/downloads/search.aspx?displayla
ng=ja (Windows, 日本語)
http://www.microsoft.com/downloads/search.aspx?displayla
ng=en (SQL Server, 英語)
サービスパック
http://www.microsoft.com/japan/windows/downloads/default.
mspx (Windows Server, 日本語)
http://www.microsoft.com/sql/downloads/default.asp
(SQL Server, 英語)
ホットフィックス
Microsoft プレミアサポート経由 (Windows Server)
http://service.sap.com/swcenter-3pmain (SQL Server)
ツール
ツール概要
http://www.microsoft.com/japan/technet/se
curity/tools/default.asp
セキュリティツールキット(無償)
http://www.microsoft.com/japan/technet/tre
eview/default.asp?url=/japan/technet/securi
ty/tools/stkintro.asp
Microsoft Baseline Security Analyzer
http://www.microsoft.com/japan/technet/tre
eview/default.asp?url=/japan/technet/securi
ty/tools/Tools/mbsahome.asp
Windows Server System
Software Update Services
http://www.microsoft.com/japan/windowsser
versystem/sus/default.mspx
Systems Management Server
http://www.microsoft.com/japan/technet/sec
urity/prodtech/sms/default.asp
ISA Server
http://www.microsoft.com/japan/isaserver/
6.(参考)過去の脆弱性の整理
過去の脆弱性の整理
1999 年から今までに見つかった脆弱性の数
1999 年 : 61
2000 年 : 100
2001 年 : 60
2002 年 : 72
2003 年 : 51
2004 年 : 24 (2004/7/26 現在)
このうち SAP サーバー環境で特に留意すべき
脆弱性は、「対象」が Windows Server (IE, Win
Media 等を除く)で、かつ「深刻度」が「緊急」のもの
殆どの脆弱性にリスク緩和策(回避策)が呈示される
脆弱性評価マトリックス一例(抜粋)
脆弱性番号
最大深刻度は?
SAPサーバに
関与するか?
リスク緩和策は?
パッチを緊急適用
するか?
MS00-078
緊急
関与する
あり
No
MS01-033
緊急
関与する
あり
No
MS02-039
緊急
関与する
あり
No
MS03-007
緊急
関与する
あり
No
MS03-026
緊急
関与する
あり
No
MS03-039
緊急
関与する
あり
No
MS03-043
緊急
関与する
あり
No
MS03-049
緊急
関与する
あり
No
MS03-051
緊急
関与する
あり
No
MS04-007
緊急
関与する
なし
Yes
MS04-011
緊急
関与する
なし
Yes
MS04-012
緊急
関与する
あり
No
MS04-022
緊急
関与する
あり
No
MS04-023
緊急
関与する
あり
No
MS04-028
緊急
関与する
あり
No
MS04-034
緊急
関与する
あり
No
MS04-035
緊急
関与する
あり
No
MS04-036
緊急
関与する
あり
No
MS04-037
緊急
関与する
あり
No
MS04-038
緊急
関与する
あり
No
MS04-040
緊急
関与する
あり
No
MS05-001
緊急
関与する
あり
No
MS05-002
緊急
関与する
あり
No
MS05-010
緊急
関与する
あり
No
MS05-011
緊急
関与する
あり
No
MS05-012
緊急
関与する
あり
No
MS05-013
緊急
関与する
あり
No
MS05-015
緊急
関与する
あり
No
※ あくまでも、ハードニングを最大限行っている SAP システムにおける、脆弱性評価マトリックスの一例です。
I. ハードニングに必要な技術情報
SAP R/3 Enterprise 環境
の通信経路
MS Product
SAP Product
SAP Router
DIAG/RFC
DIAG/RFC
CLIENT
SAPGUI
Web Browser
HTTP/HTTPS
(BSP/BEx)
Web
Dispatcher
HTTP/HTTPS
R/3 Server
R/3
Enterprise
DB Server
SQL Server
SAP ITS 環境の通信経路
MS Product
SAP Product
SAP Router
DIAG/RFC
Web
Dispatcher
DIAG/RFC
CLIENT
SAPGUI
HTTP/HTTPS
(BSP/BEx)
WGATE Server
IIS
Web Browser
HTTP/HTTPS
(HTML GUI)
SAP ITS
WGate
Server
HTTP/HTTPS
R/3
Enterprise
AGATE Server
SAP ITS
A-Gate Server
R/3 Server
RFC/DIAG
DB Server
SQL Server
SAP Enterprise Portal 環境
の通信経路
MS Product
SAP Product
SAP Router
DIAG/RFC
Web
Dispatcher
DIAG/RFC
CLIENT
SAPGUI
HTTP/HTTPS
(BSP/BEx)
WGATE Server
IIS
Web Browser
HTTP/HTTPS
(HTML GUI)
HTTP/HTTPS
(EP)
SAP ITS
WGate
Server
SAP ITS
A-Gate Server
R/3
Enterprise
DB Server
SQL Server
RFC/DIAG
RFC
HTTP/HTTPS
IISPROXY
IIS
R/3 Server
AGATE Server
HTTP/HTTPS
SAP
IISProxy
Module
HTTP/HTTPS
EP Server
HTTP/HTTPS
Enterprise
Portal
DB Server
SQL Server
+ Active Directory 環境
の通信経路
MS Product
SAP Product
Directory
Directory
Active Directory
Active Directory
SAP Router
DIAG/RFC
Web
Dispatcher
DIAG/RFC
CLIENT
SAPGUI
HTTP/HTTPS
(BSP/BEx)
WGATE Server
IIS
Web Browser
HTTP/HTTPS
(HTML GUI)
HTTP/HTTPS
(EP)
SAP ITS
WGate
Server
SAP ITS
A-Gate Server
R/3
Enterprise
DB Server
SQL Server
RFC/DIAG
RFC
HTTP/HTTPS
IISPROXY
IIS
R/3 Server
AGATE Server
HTTP/HTTPS
SAP
IISProxy
Module
HTTP/HTTPS
EP Server
HTTP/HTTPS
Enterprise
Portal
DB Server
SQL Server
SAP R/3 Enterprise が利用するポート
DIAG
32NN
(sapdpNN)
515
(SAPlpd)
RFC
33NN
(sapgwNN)
81NN/444NN
(HTTP/HTTPS)
WAS 6.30
36NN
(sapmsSID)
R/3
HTTP/HTTPS
Gateway
80NN/443NN
(HTTP/HTTPS)
Message
Server
Enque
Server
DB (sid)
Dispatcher
Work
Processes
ABAP
scheme
ABAP Engine
ICM
J2EE
scheme
J2EE
Dispatcher
25 (SMTP)
J2EE Server
Processes
IGS
Central
Instance
J2EE Engine
5NN00/5NN01
(HTTP/HTTPS)
5NN02/5NN03
(IIOP Initial context
/IIOP over SSL)
5NN04/5NN05/5NN06
(P4/P4 over HTTP tunneling
/P4 over SSL)
5NN07 (IIOP)
5NN10 (JMS)
5NN08 (Telnet)
4NN00(Multiple
xer)/4NN0179(Portwatcher)
/4NN8099(HTTP)
Central Services Instance
SDM
5NN17/5NN18/
5NN19
Message
Server
36NN
(MessageServer)
81NN/444NN
(HTTP/HTTPS)
Engueue
Server
SQL Server
32NN
(Engue Server)
33NN
(Eng. Replication)
※NNはインスタンス番号を表す。
Internal でしか使用しないポート、Installation/Upgradeツールの使用ポートは記述してい
ない。
記載はデフォルトポートのため、実際の環境によってことなる
SAP ITS (Wgate, Agate)が利用するポート
32NN
(sapdpNN)
39NM
(sapvw00_<SID>)
80/443
(http/https)
39N9
(sapvwmm_<SID>)
IIS
ITS
WGate
33NN
(sapgwNN)
ITS
A-Gate
39NM
(sapvw00_ADM)
36NN
(sapmsSID)
R/3
39N9
(sapvwmm_ADM)
※Nはインストール時に空いているポートを元に自動的に決定される。M
はAgateの数-1。
デフォルトでは管理インスタンス(<SID>=ADM)が用意される。
SAP Enterprise Portal 6.0 が利用するポート
J2EE Engine: 6.20
EP
DB (SAPPCD)
J2EE
Dispatcher
J2EE Server
Processes
SDM
Central
Instance
J2EE Engine
HTTP/HTTPS
5NN00/5NN01
(HTTP/HTTPS)
5NN10 (JMS)
5NN02/5NN03
(IIOP Initial context
/IIOP over SSL)
5NN04/5NN05/5NN06
(P4/P4 over HTTP tunneling
/P4 over SSL)
5NN07 (IIOP)
SQL Server
5NN17/5NN18/
5NN19
5NN08 (Telnet)
※NNはインスタンス番号を表す。
Internal でしか使用しないポート、Installation/Upgradeツールの使用ポートは記述してい
ない。
記載はデフォルトポートのため、実際の環境によってことなる
その他 SAP 製品が利用するポート
5NN00/5NN01
(HTTP/HTTPS)
80/443
(http/https)
IIS
IisProxy
Module
EP
SAP Enterprise Portal
IIS Proxy が利用する
ポート
R/3
SAP Router が利用する
ポート
R/3
SAP Web Dispatcher が
利用するポート
32NN
(sapdpNN)
3299(SAProu
ter)
SAPRouter
33NN
(sapgwNN)
36NN
(sapmsSID)
80/443
(http/https)
80NN/443NN
(HTTP/HTTPS)
WebDispatcher
その他 SAP 製品が利用するポート
http://service.sap.com/ti 上のドキュメント
TCP/IP Ports used by SAP Applications
SAP GUI Technical Infrastructure
SAP Internet Transaction Server Technical
Infrastructure
Web Infrastructure Concepts for SAP Web
Application Server
SAP Web AS Technical Infrastructure
Microsoft 製品が利用するポート
SQL Server
SQL over TCP: 1433
IIS
World Wide Web Publishing Service: 80, 443
Active Directory
http://support.microsoft.com/default.aspx?scid=kb
;ja;289241
その他
http://www.microsoft.com/downloads/details.aspx
?FamilyID=dd6bed8f-a706-48ee-95b7bdc21455815a&DisplayLang=ja
SAP システムに必要なサービス
Windows Server が最低限必要とするサービス
Event Log, Logical Disk Manager,
Network Connections, Plug and Play, Protected
Storage, Remote Procedure Call, Security Account
Manager, Windows Management Instrumentation,
Windows Management Instrumentation Extensions
SAP R/3 Enterprise が更に必要とするサービス
SAPOSCOL, SAP<SID>_<NN>, SAP<SID>_<NN>
SAP ITS Agate が更に必要とするサービス
SAP ITS Manager - <SID>, SAP ITS Manager - ADM,
ITS Watchdog, SAP IACOR Manager
(注意) 標準インストール時のWindowsサービス。クラスタリング環境では変わる場合があります。
<SID> は SAP システムID (例: P01)、<NN>はインスタンス番号 (例:00)を表しています。
R/3Enterprise の2つの「SAP<SID>_<NN>」サービス はそれぞれセントラルインスタンスとセントラルサービスインスタンス用を表しています。
R/3Enterpriseの SAP J2EE Engine (DispatcherおよびServer) 、SDM、IGS はセントラルインスタンスサービスにより起動されます。
EP の SAP J2EE Engine Server は「SAP J2EE Engine Dispatcher」サービスにより起動されます。
SAP システムに必要なサービス
SAP Enterprise Portal が更に必要とするサービス
SAP J2EE Engine Dispatcher
SQL Server が更に必要とするサービス
MSSQLSERVER, SQL Server Agent
IIS が更に必要とするサービス
World Wide Web Publishing Service, IIS Admin
Service
SAP ITS Wgate が更に必要とするサービス
SAP IACOR Manager
SAP Enterprise Portal IIS Proxy が更に必要とする
サービス
nothing
II. ハードニングの実装
(Windows Server 2003)
ネットワークのハードニングの実装
:IPSec Policy Definition
netsh ipsec static add policy name="Packet Filters - R3" description="Server Hardening Policy" assign=no
:IPSec Filter List Definitions
netsh ipsec static add filterlist name="ALL Inbound Traffic"
netsh ipsec static add filterlist name="SAP DIALOG Server"
netsh ipsec static add filterlist name="MSSQL Server Client"
netsh ipsec static add filterlist name="Domain Member"
description="Server Hardening"
description="Server Hardening"
description="Server Hardening"
description="Server Hardening"
:IPSec Filter Action Definitions
netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to Pass" action=permit
netsh ipsec static add filteraction name=Block
description="Blocks Traffic"
action=block
:IPSec Filter Definitions
netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me
description="ALL Inbound Traffic"
protocol=any srcport=0 dstport=0
netsh ipsec static add filter filterlist="SAP DIALOG Server" srcaddr=any dstaddr=me
description="SAP DIALOG Server Traffic"
protocol=TCP srcport=0 dstport=3200
netsh ipsec static add filter filterlist="MSSQL Server Client" srcaddr=me dstaddr=192.168.12.3 description="MSSQL Server Traffic"
protocol=TCP srcport=0 dstport=1433
netsh ipsec static add filter filterlist="Domain Member"
srcaddr=me dstaddr=192.168.12.1 description="Traffic to Domain Controller"
protocol=any srcport=0 dstport=0
:IPSec Rule Definitions
netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters - R3"
filteraction=Block
netsh ipsec static add rule name="SAP DIALOG Server"
policy="Packet Filters - R3"
filteraction=SecPermit
netsh ipsec static add rule name="MSSQL Server Client"
policy="Packet Filters - R3"
filteraction=SecPermit
netsh ipsec static add rule name="Domain Member Rule"
policy="Packet Filters - R3"
filteraction=SecPermit
netsh ipsec static set policy name="Packet Filters - R3" assign=y
filterlist="ALL Inbound Traffic" kerberos=yes
filterlist="SAP DIALOG Server"
kerberos=yes
filterlist="MSSQL Server Client" kerberos=yes
filterlist="Domain Member"
kerberos=yes
IP Sec スクリプト
ポリシーを実装。
(再起動必要)
ネットワークのハードニングの確認
1
2
3
4
MMC から
「IP セキュリティ
ポリシー」を実行。
ネットワークのハードニングの確認
5
6
ネットワークのハードニングの削除
:IPSec Rule Definitions
netsh ipsec static delete rule name="ALL Inbound Traffic Rule" policy="Packet Filters - R3"
netsh ipsec static delete rule name="SAP DIALOG Server"
policy="Packet Filters - R3"
netsh ipsec static delete rule name="MSSQL Server Client“
policy="Packet Filters - R3"
netsh ipsec static delete rule name="Domain Member Rule"
policy="Packet Filters - R3"
:IPSec Filter Definitions
netsh ipsec static delete filter filterlist="ALL Inbound Traffic"
netsh ipsec static delete filter filterlist="SAP DIALOG Server"
netsh ipsec static delete filter filterlist="MSSQL Server Client"
netsh ipsec static delete filter filterlist="Domain Member"
srcaddr=any dstaddr=me
srcaddr=any dstaddr=me
srcaddr=me dstaddr=192.168.12.3
srcaddr=me dstaddr=192.168.12.1
:IPSec Filter List Definitions
netsh ipsec static delete filterlist name="ALL Inbound Traffic"
netsh ipsec static delete filterlist name="SAP DIALOG Server"
netsh ipsec static delete filterlist name="MSSQL Server Client"
netsh ipsec static delete filterlist name="Domain Member"
:IPSec Filter Action Definitions
netsh ipsec static delete filteraction name=SecPermit
netsh ipsec static delete filteraction name=Block
:IPSec Policy Definition
netsh ipsec static delete policy name="Packet Filters - R3"
IP Sec スクリプト
ポリシーを削除。
(再起動必要)
サービスのハードニングの実装
その他のハードニング
Windows Server 2003 セキュリティガイド添付の
セキュリティテンプレートを利用して一括ハードニング
多くのサーバーに対して、適切なハードニングを効率よく実装
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643
C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist
豊富なテンプレート種類
セキュリティ環境別に3種類
「レガシークライアント」(セキュリティ・弱)
「エンタープライズクライアント」(セキュリティ・中)
「高セキュリティ」(セキュリティ・強)
サーバーロール別に9種類
ドメインコントローラ、メンバーサーバー、Web サーバー、
インフラサーバー(DHCP, WINS)、ファイルサーバー、プリント
サーバー、IAS サーバー、証明書サービスサーバー、要塞ホスト
その他のハードニング
セキュリティテンプレートを利用したハードニン
グは、効率的である一方で、最悪システムが
稼動しなくなる可能性もあるので、注意
テンプレート適用前に、ASR(自動システム
回復)によるシステムバックアップを推奨
またはサードパーティのイメージバックアップ
ツールによるシステムバックアップ
ハードニングはなるべくステップバイステップ
で実行する
現在の状態のバックアップ
1
現在の状態を
バックアップする。
管理ツールから
「ローカルセキュリ
ティの設定」を実行。
セキュリティテンプレートの適用
MMC から
「セキュリティの
構成と分析」を実行。
2
3
4
5
6
7
8
Web からダウン
ロードした INF
ファイルを指定。
現行の設定から
変更される部分が
「赤×」で表示される。
テンプレートを
適用する。
(再起動必要)
(※)Active Directory グループ
ポリシーを利用したテンプレート適用
ハードニングしたいサーバー群をロール別に
OU (組織単位)に分け、それぞれの OU に
セキュリティテンプレートを割当てる
適用作業が効率化(かつ間違いがない)
それぞれのサーバー管理者に無断で設定変更
させない
管理作業も効率化
稼動の確認
項目
1 . S A P R /3 E n te rp ris e 環 境
S A P R /3 E nterpriseの サ ー ビスは 起 動 してい るか ?
S A P R /3 E nterpriseの ログ に エラー は ない か ?
S Q L S erver の サ ー ビスは 起 動 してい るか ?
S Q L S erver の ログ に エラー は ない か ?
S A P R /3 E nterprise に ログ オ ンが できるか ?
S A P R /3 E nterprise に シング ル サ インオ ンが できるか ?
2 . S A P IT S 環 境
S A P IT S W gate の サ ー ビスは 起 動 してい るか ?
S A P IT S W gateの ログ に エラー は ない か ?
S A P IT S A gate の サ ー ビスは 起 動 してい るか ?
S A P IT S A gateの ログ に エラー は ない か ?
W e b ブラウ ザ でログ オ ンできるか ?
IT S
W AS
W e b ブラウ ザ でシング ル サ インオ ンできるか ?
IT S
W AS
3 . S A P E n te rp ris e P o rta l 環 境
S A P E nterprise P o rtal の サ ー ビスは 起 動 してい るか ?
S A P E nterprise P o rtal の ログ に エラー は ない か ?
S Q L S erver の サ ー ビスは 起 動 してい るか ?
S Q L S erver の ログ に エラー は ない か ?
W e b ブラウ ザ でログ オ ンできるか ?
W e b ブラウ ザ でシング ル サ インオ ンできるか ?
確 認 方 法 /ツー ル
SAP
SAP
SQL
SQL
R /3 M a n a n g e m e n t C o n so le
R /3 M a n a n g e m e n t C o n so le
S e rve r E n te rp rise M a n a g e r
S e rve r E n te rp rise M a n a g e r
インター ネ ットサ ー ビスマネ ー ジャ
IT S A dm inistratio n (http://w gate:8080/scripts/w gate/adm in/!)
IT S A dm inistratio n (http://w gate:8080/scripts/w gate/adm in/!)
h ttp s://w g a te .o s.co rp .co m /scrip ts/w e b g u i/
h ttp s://r3 in s.sa p .co rp .co m :8 4 4 3 /sa p /b c/b sp /sa p /it0 0 /
h ttp s://w g a te .o s.co rp .co m /scrip ts/w e b g u i/
h ttp s://r3 in s.sa p .co rp .co m :8 4 4 3 /sa p /b c/b sp /sa p /it0 0 /
S A P J 2E E E ngine A dm inistrato r
S A P J 2E E E ngine A dm inistrato r
S Q L S e rve r E n te rp rise M a n a g e r
S Q L S e rve r E n te rp rise M a n a g e r
h ttp s://iisp rxy.o s.co rp .co m /
h ttp s://iisp rxy.o s.co rp .co m /
稼動の確認
(注)これらの項目を確認する事により、「ベーシス」レベルで問題が
ない事が明らかになります(「アプリケーション」レベルを含みません)。
タスク
C h e ck th a t a ll a p p lica tio n se rve rs
a re u p .
C h e ck w o rk p ro ce sse s (sta rte d
fro m S M 5 1 ).
トランザ クション
方法
S M 5 1 – S A P S e rve rs
C h e ck th a t a ll se rve rs a re u p .
S M 5 0 – P ro ce ss O ve rvie w
A ll w o rk p ro ce sse s w ith a “ru n n in g ” o r a
“w a itin g ” sta tu s
L o o k fo r a n y fa ile d u p d a te s (u p d a te
S M 1 3 – U p d a te R e co rd s
te rm in a te s).
S e t d a te to o n e ye a r a g o E n te r * in th e
u se r ID S e t to “a ll”
u p d a te s
C h e ck fo r lin e s w ith “E rr.”
C h e ck syste m lo g .
S M 2 1 – S yste m L o g
S e t d a te a n d tim e to b e fo re th e la st lo g
re vie w .
C h e ck fo r: E rro rs, W a rn in g s, S e cu rity,
m e ssa g e s, A b e n d s D a ta b a se , p ro b le m s,
A n y o th e r, d iffe re n t e ve n t
R e vie w fo r ca n ce lle d jo b s.
S M 3 7 – S e le ct B a ck g ro u n d E n te r a n a ste risk (*) in U se r ID .
jo b s
V e rify th a t a ll critica l jo b s w e re su cce ssfu l.
C h e ck fo r o ld lo ck s.
S M 1 2 – L o ck e n try list.
C h e ck fo r u se rs o n th e syste m .
S M 0 4 – U se rs
A L 0 8 - U se rs
R e vie w fo r a n u n k n o w n o r d iffe re n t u se r ID
a n d te rm in a l.
T h is ta sk sh o u ld b e d o n e se ve ra l tim e s a
d a y.
C h e ck fo r sp o o l p ro b le m s.
S P 0 1 – S p o o l:
R e q u e st S cre e n
L o o k fo r sp o o l jo b s th a t h a ve b e e n “in
p ro ce ss” fo r o ve r a n h o u r.
C h e ck jo b lo g .
S M 3 5 – B a tch in p u t: In itia l
S cre e n
C h e ck fo r:
N e w jo b s
In co rre ct jo b s
R e vie w a n d re so lve d u m p s.
ST22 – ABAP Dum p
A n a lysis
L o o k fo r a n e xce ssive n u m b e r o f d u m p s.
L o o k fo r d u m p s o f a n u n u su a l n a tu re .
R e vie w w o rk lo a d sta tistics.
S T 0 3 N – W o rk lo a d :
A n a lysis o f < S ID >
R e vie w b u ffe r sta tistics.
S T 0 2 – T u n e S u m m a ry
R e vie w e rro r lo g fo r p ro b le m s.
A L 0 2 – D a ta b a se (D B ) a le rt
C h e ck ta b le s/sp a ce u sa g e
S T 0 4 – D B P e rfo rm a n ce
A n a lysis
DB12
R e vie w syste m lo g s fo r p ro b le m s
O S 0 6 – O S M o n ito r
E n te r a n a ste risk (*) fo r th e u se r ID .
C h e ck fo r e n trie s fo r p rio r d a ys.
L o o k fo r sw a p s.
R e vie w o p e ra tin g syste m lo g s
ハードニングの確認
SAP セキュリティチェックリスト
SAP, OS/DB, N/W 等の観点からのチェックリスト
http://service.sap.com/netweaver (Volume III)
Microsoft Baseline Security Analyzer
セキュリティ評価ツール
パスワード強度、自動ログオン、Guest アカウント権限等
http://www.microsoft.com/japan/technet/treeview/default.asp?u
rl=/japan/technet/security/tools/Tools/mbsahome.asp
その他、ハードニングが実装できている事のチェック
Ping, イベントビューア、グループポリシー結果セットなど
III. SAP-Microsoft コンピテンス
センターにおける技術検証結果
技術検証で想定したシナリオ
以下の3つのシナリオにおける、(特に)
サーバーサイドのハードニング
SAP R/3 Enterprise
SAP ITS
SAP Enterprise Portal
いずれのシナリオにおいても Active
Directory とのシングルサインオンを想定
今後主流になる提案
シングルサインオンのないシナリオも包括できる
ソフトウエアのバージョン
カテゴリ
Microsoft 製品
SAP 製品
Directory
Windows Server 2003
(Active Directory)
SAP R/3 Enterprise
Windows Server 2003
RDBMS (for R/3)
Windows Server 2003, SQL
Server 2000 (SP3+Hotfix
844 + new collation)
SAP ITS - Agate
Windows Server 2003
ITS 6.20 SP8
SAP ITS - Wgate
Windows Server 2003,
IIS 6.0
ITS 6.20 SP8
SAP Enterprise Portal
Windows Server 2003
Enterprise Portal 6.0 SP2
Patch3 + hotfix 2,
J2EE Engine 6.20 SP20
(JDK1.3.1_10)
RDBMS (for EP)
Windows Server 2003, SQL
Server 2000 (SP3+Hotfix
844 + new collation)
EP IISProxy
Windows Server 2003,
IIS 6.0
R/3 Enterprise 4.70 SR1
Ext.2.00, J2EE Engine 6.30
SP2 (JDK1.3.1_10)
IIS Proxy 1.5.0.0
(※)それぞれの Windows Server 2003 には 3/1 時点の最新のセキュリティ修正プログラムを適用済み。
SAP R/3 Enterprise 環境
MS Product
SAP Product
(※)Active Directory
間で信頼関係を構築
Directory
Directory
Active Directory
Active Directory
DIAG/RFC
R/3 Server
CLIENT
SAPGUI
R/3
Enterprise
HTTP/HTTPS
(BSP/BEx)
Web Browser
OAセグメント
oa.corp.com
サーバーセグメント
sap.corp.com
DB Server
SQL Server
SAP ITS 環境
MS Product
SAP Product
Directory
Directory
Active Directory
Active Directory
DIAG/RFC
R/3 Server
CLIENT
SAPGUI
HTTP/HTTPS
(BSP/BEx)
WGATE Server
IIS
Web Browser
SAP ITS
WGate
Server
R/3
Enterprise
AGATE Server
SAP ITS
A-Gate Server
RFC/DIAG
HTTP/HTTPS
(HTML GUI)
OAセグメント
oa.corp.com
サーバーセグメント
sap.corp.com
DB Server
SQL Server
SAP Enterprise Portal 環境
MS Product
SAP Product
Directory
Directory
Active Directory
Active Directory
DIAG/RFC
R/3 Server
CLIENT
SAPGUI
HTTP/HTTPS
(BSP/BEx)
WGATE Server
IIS
Web Browser
HTTP/HTTPS
(HTML GUI)
HTTP/HTTPS
(EP)
SAP ITS
WGate
Server
R/3
Enterprise
AGATE Server
SAP ITS
A-Gate Server
RFC
HTTP/HTTPS
IISPROXY
IIS
OAセグメント
oa.corp.com
SQL Server
RFC/DIAG
HTTP/HTTPS
SAP
IISProxy
Module
DB Server
EP Server
HTTP/HTTPS
サーバーセグメント
sap.corp.com
Enterprise
Portal
DB Server
SQL Server
2段階のハードニング
ネットワークハードニング
デフォルトの通信はブロックし、必要な
「通信経路」と「(宛先)ポート」に限り通信を許可
する設定を実装
IPSec スクリプトポリシーを利用する
サービスハードニング・その他のハードニング
サーバーのロール毎に、不要なサービスを
無効化し、適切なセキュリティ設定を実装する
セキュリティテンプレートを利用する
サービス・その他のハードニング
各サーバーにロールを割当
それぞれのロールに対してセキュリティ
テンプレート(ファイル)を割当
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A264
3C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist
サーバー
ロール
適用したセキュリティテンプレート(※)
Active Directory
ドメインコントローラ
High Security - Domain Controller.inf
SAP R/3 Enterprise
メンバーサーバー
High Security - Member Server Baseline.inf
SQL Server (for R/3)
メンバーサーバー
High Security - Member Server Baseline.inf
SAP ITS - Agate
メンバーサーバー
High Security - Member Server Baseline.inf
SAP ITS - Wgate
Web サーバー
High Security - IIS Server.inf
SAP Enterprise Portal
メンバーサーバー
High Security - Member Server Baseline.inf
SQL Server (for EP)
メンバーサーバー
High Security - Member Server Baseline.inf
EP IISProxy
Web サーバー
High Security - IIS Server.inf
(※)想定するセキュリティ環境としては、今回最もセキュアな「高セキュリティ」テンプレートを利用。
これらのテンプレートを適用する前に、全サーバー共通の High Security – Domain.inf も合わせて適用した。
検証メモ
ネットワークから切り離しセットアップを全て終えて
から、ハードニングを実施
R/3 Enterprise, ITS, Enterprise Portal の順に
テストを実施
都度 Ghost を利用してイメージバックアップ
ネットワークハードニング実施に際しては、事前に
ロールバックスクリプトもあわせて作成
セキュリティテンプレート適用に際しては、必ず
ハードニング前の設定内容のバックアップを取得
都度稼動確認し、最終的には SAP セキュリティ
チェックリスト、MBSA、簡単な ping 等により
ハードニングのチェックを行った
SAP R/3 Enterprise
IP S e c N e tw o rk T ra ffic M a p - D o m a in C o n tro lle rs
T a b le 4 .1 7 : D o m a in C o n tro lle r IP S e c F ilte r N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a tio n
S o u rc e
D e s tin a tio n Ac tio n
P o rt
P o rt
Ad d re s s
Ad d re s s
M irro r
m em o
A ll T ra ffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト は
全て ブ ロ ッ ク
ANY
ANY
ANY
SAP R3
S e rve r
ME
ALLOW
YES
R /3 か らの 通
信 は 全 て許 可
R 3 S e rve r
S Q L S e rve r
S Q L S e rve r か
ANY
O th e r
D o m a in
C o n tro lle r
ANY
ME
ALLOW
YES
らの 通 信 は 全
て許 可
ANY
S Q L S e rve r
ME
ALLOW
YES
他 の D o m a in
C o n tro lle r か
らの 通 信 は 全
て許 可
R /3 へ の 通 信
ANY
ANY
ANY
O th e r
D o m a in
C o n tro lle r
IC M P
ANY
ANY
ME
SAP R3
S e rve r
ALLOW
YES
IC M P
ANY
ANY
ME
S Q L S e rve r
ALLOW
YES
IC M P
IC M P
S Q L S e rve r へ
の通信
SAP R/3 Enterprise
IP S e c N e tw o rk T ra ffic M a p - R 3 S e rv e rs
IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
Ad d re s s
on
Ac tio n
M irro r
m em o
Ad d re s s
ANY
ANY
ANY
ANY
ME
BLO CK
YES
デフ ォ ルト は全て
ブロッ ク
S A P D IA L O G
S e rve r
TC P
ANY
33200
2NN
ANY
ME
ALLO W
YES
S A P G U I か らの 通
信
M S S Q L S e rve r
C lie n t
TC P
ANY
1433
ME
S Q L S e rve r
ALLO W
YES
S Q L S e rve r へ の
通信
ANY
ANY
ANY
ME
D o m a in
C o n tro lle r
ALLO W
YES
D o m a in C o n ro lle r
への通信
A ll T ra ffic
D o m a in M e m b e r
SAP R/3 Enterprise
IP S e c N e tw o rk T ra ffic M a p - S Q L S e rv e rs
IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
Ad d re s s
on
Ac tio n
M irro r
m em o
Ad d re s s
A ll T ra ffic
MSSQL
S e rve r
D o m a in
Mem ber
ANY
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト は全て
ブロッ ク
TC P
ANY
1433
SAP R3
S e rve r
ME
ALLOW
YES
R 3 か らの 通 信
ANY
ANY
ANY
ME
D o m a in
C o n tro lle r
ALLOW
YES
D o m a in C o n tro lle r
への通信
SAP ITS
IP S e c N e tw o rk T ra ffic M a p - D o m a in C o n tro lle rs
T a b le 4 .1 7 : D o m a in C o n tro lle r IP S e c F ilte r N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a tio n
S o u rc e
D e s tin a tio n Ac tio n
P o rt
P o rt
Ad d re s s
Ad d re s s
M irro r
A ll T ra ffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
ANY
ANY
ANY
SAP R3
S e rve r
ME
ALLOW
YES
R 3 S e rve r
m em o
デフ ォ ルト
は全て ブ
ロッ ク
R /3 か らの
通信は全
て許 可
S Q L S e rve r
S Q L S e rve r
ANY
ANY
ANY
S Q L S e rve r
ME
ALLOW
YES
ANY
ANY
ANY
S A P A g a te
S e rve r
ME
ALLOW
YES
A g a te S e rve r
IC M P
か らの 通
信は全て
許可
A g a te か ら
の通信は全
て許 可
他の
IC M P
ANY
ANY
ME
SAP R3
S e rve r
ALLOW
YES
IC M P
ANY
ANY
ME
S Q L S e rve r
ALLOW
YES
IC M P
ANY
ANY
ME
S A P A g a te
S e rve r
ALLOW
YES
IC M P
D o m a in
C o n tro lle r
か らの 通
信は全て
許可
R /3 へ の 通
信
IC M P
S Q L S e rve r
への通信
SAP ITS
IP S e c N e tw o rk T ra ffic M a p - R 3 S e rv e rs
IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
A d d re s s
on
A c tio n
M irro r
m em o
A d d re s s
A ll T ra ffic
ANY
SAP
D IA L O G
S e rve r
SAP RFC
S e rve r
TC P
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト
は全て ブ
ロッ ク
ANY
33200
2NN
SAP
AG ATE
S e rve r
ME
ALLOW
YES
S A P A g a te
か らの 通 信
ME
ALLOW
YES
SAP
R F C /B A P I プ
ログ ラム か ら
の通信
TC P
ANY
33300
3NN
SAP
AG ATE
S e rve r
TC P
ANY
88000
0NN
ANY
ME
ALLOW
YES
W e b ブラウ
ザ か らの 通 信
H TTPS
S e rve r
TC P
ANY
444300
43NN
ANY
ME
ALLOW
YES
〃
MSSQL
S e rve r
C lie n t
TC P
ANY
1433
ME
S Q L S e rve r
ALLOW
YES
S Q L S e rve r
への通信
ANY
ANY
ANY
ME
D o m a in
C o n tro lle r
ALLOW
YES
D o m a in
C o n ro lle r へ
の通信
H TTP
S e rve r
D o m a in
Mem ber
SAP ITS
IP S e c N e tw o rk T ra ffic M a p - S Q L S e rv e rs
IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
A d d re s s
on
A c tio n
M irro r
m em o
A d d re s s
A ll T ra ffic
MSSQL
S e rve r
D o m a in
Mem ber
ANY
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト
は全て ブ
ロッ ク
TC P
ANY
1433
SAP R3
S e rve r
ME
ALLOW
YES
R 3 か らの 通
信
ME
D o m a in
C o n tro lle r
YES
D o m a in
C o n tro lle r へ
の通信
ANY
ANY
ANY
ALLOW
SAP ITS
IP S e c N e tw o rk T ra ffic M a p - IIS + IT S W g a te S e rv e rs
T a b le 8 .1 2 : IIS S e rv e r IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
A d d re s s
on
A c tio n
M irro r
m em o
A d d re s s
A ll T ra ffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
H TTP
S e rve r
TC P
ANY
80
ANY
ME
ALLOW
YES
H TTPS
S e rve r
TC P
ANY
443
ANY
ME
ALLOW
YES
H TTP
S e rve r fo r
m gm t
TC P
ANY
8080
ANY
ME
ALLOW
YES
A g a te
C lie n t1
TC P
ANY
33900
9NN
ME
S A P A g a te
S e rve r
ALLOW
YES
A g a te
C lie n t2
TC P
ANY
33910
9N9
ME
S A P A g a te
S e rve r
ALLOW
YES
A g a te
C lie n t1
(fo r M g m t)
TC P
ANY
33918
9NN
3909
ME
S A P A g a te
S e rve r
ALLOW
YES
管理用
A g a te
C lie n t2
(fo r M g m t)
TC P
ANY
33928
9N9
ME
S A P A g a te
S e rve r
ALLOW
YES
管理用
ME
D o m a in
C o n tro lle r
(A D 2 .o a .c o
rp .c o m )
ALLOW
YES
D o m a in
Mem ber
ANY
ANY
ANY
管理用
SAP ITS
IP S e c N e tw o rk T ra ffic M a p - IT S A g a te S e rv e rs
T a b le 8 .1 2 : IIS S e rv e r IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
A d d re s s
on
A c tio n
M irro r
m em o
A d d re s s
A ll T ra ffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
A g a te
S e rve r1
TC P
ANY
39NN
3900
S A P W g a te
ME
ALLOW
YES
A g a te
S e rve r2
TC P
ANY
39N9
3910
S A P W g a te
ME
ALLOW
YES
A g a te
S e rve r1
(fo r M g m t)
TC P
ANY
39NN
3918
S A P W g a te
ME
ALLOW
YES
管理用
A g a te
S e rve r2
(fo r M g m t)
TC P
ANY
39N9
3928
S A P W g a te
ME
ALLOW
YES
管理用
ALLOW
YES
SAP
D IA L O G
C lie n t
TC P
ANY
33200
2NN
ME
SAP
D IA L O G
S e rve r
SAP RFC
C lie n t
TC P
ANY
33300
3NN
ME
SAP RFC
S e rve r
ALLOW
YES
ME
D o m a in
C o n tro lle r
(A D 1 .s a p .c
o rp .c o m )
ALLOW
YES
D o m a in
Mem ber
ANY
ANY
ANY
SAP Enterprise Portal
IP S e c N e tw o rk T ra ffic M a p - D o m a in C o n tro lle rs
T a b le 4 .1 7 : D o m a in C o n tro lle r IP S e c F ilte r N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a tio n
S o u rc e
D e s tin a tio n A c tio n
P o rt
P o rt
A d d re s s
A d d re s s
M irro r
A ll T ra ffic
ANY
ANY
ANY
ANY
ME
BLO CK
YES
デフ ォ ルト
は全て ブ
ロッ ク
ANY
ANY
ANY
SAP R3
S e rve r
ME
ALLO W
YES
R /3 か らの
通信は全て
許可
ANY
ANY
ANY
S Q L S e rve r
ME
ALLO W
YES
ANY
ANY
ANY
S A P A g a te
S e rve r
ME
ALLO W
YES
ANY
ANY
ANY
SAP EP
S e rve r
ME
ALLO W
YES
ME
ALLO W
YES
SAP R3
S e rve r
ALLO W
YES
R 3 S e rve r
S Q L S e rve r
S Q L S e rve r
A g a te S e rve r
E P S e rve r
EP SQL
S e rve r
か らの 通 信
は 全 て許 可
A g a te か ら
の通信は全
て許 可
E P か らの 通
信 は 全 て許
可
EP=SQL
ANY
ANY
ANY
SAP EP
S Q L S e rve r
IC M P
ANY
ANY
ME
IC M P
IC M P
m em o
IC M P
ANY
ANY
ME
S Q L S e rve r
ALLO W
YES
ALLO W
YES
IC M P
IC M P
ANY
ANY
ME
S A P A g a te
S e rve r
IC M P
ANY
ANY
ME
SAP EP
S e rve r
IC M P
ALLO W
YES
IC M P
IC M P
ANY
ANY
ME
SAP EP SQL
S e rve r
S e rve r か ら
の通信は全
て許 可
R /3 へ の 通
信
S Q L S e rve r
への通信
A g a te へ の
通信
EP へ の 通
信
EP=SQL
ALLO W
YES
S e rve r へ の
通信
SAP Enterprise Portal
IP S e c N e tw o rk T ra ffic M a p - R 3 S e rv e rs
IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
A d d re s s
on
A c tio n
M irro r
m em o
A d d re s s
A ll T ra ffic
ANY
SAP
D IA L O G
S e rve r
TC P
ANY
ANY
SAP RFC
S e rve r
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト
は全て ブ
ロッ ク
32NN
3200
SAP
AG ATE
S e rve r
ME
ALLOW
YES
S A P A g a te
か らの 通 信
ME
ALLOW
YES
SAP
TC P
ANY
3300
33NN
SAP
AG ATE
S e rve r
TC P
ANY
33300
3NN?
SAP EP
S e rve r
ME
ALLOW
YES
TC P
ANY
80NN
8000
ANY
ME
ALLOW
YES
W e b ブラウ
ザ か らの 通
信
H TTPS
S e rve r
TC P
ANY
443NN
44300
ANY
ME
ALLOW
YES
〃
MSSQL
S e rve r
C lie n t
TC P
ANY
1433
ME
S Q L S e rve r
ALLOW
YES
ME
D o m a in
C o n tro lle r
SAP RFC
S e rve r
H TTP
S e rve r
D o m a in
Mem ber
ANY
ANY
ANY
R F C /B A P I プ
ログ ラム か
らの 通 信
SAP EP か ら
の通信
S Q L S e rve r
への通信
D o m a in
ALLOW
YES
C o n ro lle r へ
の通信
SAP Enterprise Portal
IP S e c N e tw o rk T ra ffic M a p - S Q L S e rv e rs
IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
A d d re s s
on
A c tio n
M irro r
m em o
A d d re s s
A ll T ra ffic
MSSQL
S e rve r
D o m a in
Mem ber
ANY
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト
は全て ブ
ロッ ク
TC P
ANY
1433
SAP R3
S e rve r
ME
ALLOW
YES
R 3 か らの 通
信
ME
D o m a in
C o n tro lle r
YES
D o m a in
C o n tro lle r へ
の通信
ANY
ANY
ANY
ALLOW
SAP Enterprise Portal
IP S e c N e tw o rk T ra ffic M a p - E P S e rv e rs
IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
A d d re s s
on
A c tio n
M irro r
m em o
A d d re s s
A ll T ra ffic
ANY
ANY
TC P
ANY
TC P
ANY
H TTP
C lie n t
TC P
ANY
H TTPS
C lie n t
TC P
H TTP
C lie n t
H TTPS
C lie n t
SAP J2EE
D is p a tc h e r
S e rve r(H T T
P)
SAP J2EE
D is p a tc h e r
S e rve r(H T T
PS)
R F C C lie n t
MSSQL
S e rve r
C lie n t
D o m a in
Mem ber
ANY
ANY
ME
BLOCK
YES
50000
5NN00
ANY
(IIS P R X Y )
ME
ALLOW
YES
5NN01
50001
ANY
(IIS P R X Y )
ME
ALLOW
YES
80
ME
W g a te
S e rve r
ALLOW
YES
ANY
443
ME
W g a te
S e rve r
ALLOW
YES
TC P
ANY
88000
0NN
ME
R /3 S e rve r
ALLOW
YES
TC P
ANY
444300
43NN
ME
R /3 S e rve r
ALLOW
YES
TC P
ANY
3 3300
3NN?
ME
R /3 S e rve r
ALLOW
YES
TC P
ANY
1433
ME
S Q L S e rve r
ALLOW
YES
ANY
ANY
ANY
ME
D o m a in
C o n tro lle r
ALLOW
YES
デフ ォ ルト
は全て ブ
ロッ ク
W g a te
R /3
S Q L S e rve r
への通信
D o m a in
C o n ro lle r へ
の通信
SAP Enterprise Portal
IP S e c N e tw o rk T ra ffic M a p - E P -S Q L S e rv e rs
IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
A d d re s s
on
A c tio n
M irro r
m em o
A d d re s s
A ll T ra ffic
MSSQL
S e rve r
D o m a in
Mem ber
ANY
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト
は全て ブ
ロッ ク
TC P
ANY
1433
SAP EP
S e rve r
ME
ALLOW
YES
E P か らの 通
信
ME
D o m a in
C o n tro lle r
YES
D o m a in
C o n tro lle r へ
の通信
ANY
ANY
ANY
ALLOW
SAP Enterprise Portal
IP S e c N e tw o rk T ra ffic M a p - IIS + IT S W g a te S e rv e rs
T a b le 8 .1 2 : IIS S e rv e r IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
A d d re s s
on
A c tio n
M irro r
m em o
A d d re s s
A ll T ra ffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
H TTP
S e rve r
TC P
ANY
80
ANY
ME
ALLOW
YES
H TTPS
S e rve r
TC P
ANY
443
ANY
ME
ALLOW
YES
H TTP
S e rve r fo r
m gm t
TC P
ANY
8080
ANY
ME
ALLOW
YES
A g a te
C lie n t1
TC P
ANY
3 93900
NN
ME
S A P A g a te
S e rve r
ALLOW
YES
A g a te
C lie n t2
TC P
ANY
3 93910
N9
ME
S A P A g a te
S e rve r
ALLOW
YES
A g a te
C lie n t1
(fo r M g m t)
TC P
ANY
3 93918
NN
ME
S A P A g a te
S e rve r
ALLOW
YES
管理用
A g a te
C lie n t2
(fo r M g m t)
TC P
ANY
3 93928
N9
ME
S A P A g a te
S e rve r
ALLOW
YES
管理用
ME
D o m a in
C o n tro lle r
(A D 2 .o a .c o
rp .c o m )
ALLOW
YES
D o m a in
Mem ber
ANY
ANY
ANY
管理用
SAP Enterprise Portal
IP S e c N e tw o rk T ra ffic M a p - IT S A g a te S e rv e rs
T a b le 8 .1 2 : IIS S e rv e r IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
A d d re s s
on
A c tio n
M irro r
m em o
A d d re s s
A ll T ra ffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
A g a te
S e rve r1
TC P
ANY
3900
39NN
S A P W g a te
ME
ALLOW
YES
A g a te
S e rve r2
TC P
ANY
39N9
3910
S A P W g a te
ME
ALLOW
YES
A g a te
S e rve r1
(fo r M g m t)
TC P
ANY
3918
39NN
S A P W g a te
ME
ALLOW
YES
管理用
A g a te
S e rve r2
(fo r M g m t)
TC P
ANY
39N9
3928
S A P W g a te
ME
ALLOW
YES
管理用
ME
SAP
D IA L O G
S e rve r
ALLOW
YES
ME
SAP RFC
S e rve r
ALLOW
YES
ME
D o m a in
C o n tro lle r
(A D 1 .s a p .c
o rp .c o m )
ALLOW
YES
SAP
D IA L O G
C lie n t
TC P
ANY
3200
32NN
SAP RFC
C lie n t
TC P
ANY
3300
33NN
D o m a in
Mem ber
ANY
ANY
ANY
SAP Enterprise Portal
IP S e c N e tw o rk T ra ffic M a p - IIS + IIS P ro xy S e rv e rs
T a b le 8 .1 2 : IIS S e rv e r IP S e c N e tw o rk T ra ffic M a p
S e rv ic e
P ro to c o l
S o u rc e
D e s tin a ti
S o u rc e
D e s tin a ti
P o rt
o n P o rt
A d d re s s
on
A c tio n
M irro r
A d d re s s
A ll T ra ffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
H TTP
S e rve r
TC P
ANY
80
ANY
ME
ALLOW
YES
H TTPS
S e rve r
TC P
ANY
443
ANY
ME
ALLOW
YES
E P C lie n t
fo r H T T P
TC P
ANY
5 50000
NN00
ME
SAP EP
S e rve r
ALLOW
YES
E P C lie n t
fo r H T T P S
TC P
ANY
5 50001
NN01
ME
SAP EP
S e rve r
ALLOW
YES
ME
D o m a in
C o n tro lle r
(A D 2 .o a .c o
rp .c o m )
ALLOW
YES
D o m a in
Mem ber
ANY
ANY
ANY
m em o
Active Directory
名前
状態
A uto m atic U pdates
C o m puter B ro w ser
C rypto graphic S ervices
D istributed F ile S ystem
D N S C lient
D N S S erver
E vent L o g
F ile R eplicatio n S ervice
Intersite M essaging
IP S E C S ervices
K erbero s K ey D istributio n C enter
N et L o go n
N T L M S ecurity S uppo rt P ro vider
P lug and P lay
P ro tected S to rage
R em o te P ro cedure C all (R P C )
R em o te P ro cedure C all (R P C ) L o cato r
R em o te R egistry
S ecurity A cco unts M anager
S erver
S ystem E vent N o tificatio n
T C P /IP N etB IO S H elper
T erm inal S ervices
W indo w s Installer
W indo w s M anagem ent Instrum entatio n
W indo w s T im e
W o rkstatio n
B ackgro und Intelligent T ransfer S ervice
C O M + E vent S ystem
L o gical D isk M anager
L o gical D isk M anager A dm inistrative S ervice
M icro so ft S o ftw are S hado w C o py P ro vider
N etw o rk C o nnectio ns
N etw o rk L o catio n A w areness (N L A )
P erfo rm ance L o gs and A lerts
R em o vable S to rage
V o lum e S hado w C o py
W indo w s M anagem ent Instrum entatio n D river
E xtensio ns
W M I P erfo rm ance A dapter
A lerter
A pplicatio n L ayer G atew ay S ervice
A pplicatio n M anagem ent
C lipB o o k
C O M + S ystem A pplicatio n
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スター トアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログ オ ン
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
手動
L o cal S ystem
手動
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
D H C P C lient
D H C P S erver
D istributed L ink T racking C lient
D istributed L ink T racking S erver
D istributed T ransactio n C o o rdinato r
E rro r R epo rting S ervice
H elp and S uppo rt
H TTP SSL
H um an Interface D evice A ccess
IM A P I C D -B urning C O M S ervice
Indexing S ervice
Internet C o nnectio n F irew all (IC F ) / Internet
C o nnectio n S haring (IC S )
L icense L o gging
M essenger
N etM eeting R em o te D eskto p S haring
N etw o rk D D E
N etw o rk D D E D S D M
P o rtable M edia S erial N um ber S ervice
P rint S po o ler
R em o te A ccess A uto C o nnectio n M anager
R em o te A ccess C o nnectio n M anager
R em o te D eskto p H elp S essio n M anager
R esultant S et o f P o licy P ro vider
R o uting and R em o te A ccess
S eco ndary L o go n
S hell H ardw are D etectio n
S m art C ard
S pecial A dm inistratio n C o nso le H elper
T ask S cheduler
T elepho ny
T elnet
T erm inal S ervices S essio n D irecto ry
T hem es
U ninterruptible P o w er S upply
U plo ad M anager
V irtual D isk S ervice
W ebC lient
W indo w s A udio
W indo w s Im age A cquisitio n (W IA )
W inH T T P W eb P ro xy A uto -D isco very S ervice
W ireless C o nfiguratio n
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
無効
L o cal S ystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
SAP R/3 Enterprise
名前
状態
A uto m atic U pdates
C o m puter B ro w ser
C rypto graphic S ervices
D istributed F ile S ystem
D N S C lient
E vent L o g
IP S E C S ervices
N et L o go n
N T L M S ecurity S uppo rt P ro vider
P lug and P lay
P ro tected S to rage
R em o te P ro cedure C all (R P C )
R em o te R egistry
SAPO SC O L
S ecurity A cco unts M anager
S erver
S ystem E vent N o tificatio n
T C P /IP N etB IO S H elper
T erm inal S ervices
W indo w s Installer
W indo w s M anagem ent Instrum entatio n
W indo w s T im e
W o rkstatio n
B ackgro und Intelligent T ransfer S ervice
C O M + E vent S ystem
L o gical D isk M anager
L o gical D isk M anager A dm inistrative S ervice
M icro so ft S o ftw are S hado w C o py P ro vider
N etw o rk C o nnectio ns
N etw o rk L o catio n A w areness (N L A )
P erfo rm ance L o gs and A lerts
R em o vable S to rage
S A P P 01_00
S A P P 01_05
V o lum e S hado w C o py
W indo w s M anagem ent Instrum entatio n D river
E xtensio ns
W M I P erfo rm ance A dapter
A lerter
A pplicatio n L ayer G atew ay S ervice
A pplicatio n M anagem ent
C lipB o o k
C O M + S ystem A pplicatio n
D H C P C lient
D istributed L ink T racking C lient
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スター トアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログ オ ン
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
S A P \S A P S erviceP 0
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
S A P \S A P S erviceP 0
S A P \S A P S erviceP 0
L o cal S ystem
手動
L o cal S ystem
手動
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
D istributed L ink T racking S erver
D istributed T ransactio n C o o rdinato r
E rro r R epo rting S ervice
F ile R eplicatio n
H elp and S uppo rt
H TTP SSL
H um an Interface D evice A ccess
IM A P I C D -B urning C O M S ervice
Indexing S ervice
Internet C o nnectio n F irew all (IC F ) / Internet
C o nnectio n S haring (IC S )
Intersite M essaging
K erbero s K ey D istributio n C enter
L icense L o gging
M essenger
N etM eeting R em o te D eskto p S haring
N etw o rk D D E
N etw o rk D D E D S D M
P o rtable M edia S erial N um ber S ervice
P rint S po o ler
R em o te A ccess A uto C o nnectio n M anager
R em o te A ccess C o nnectio n M anager
R em o te D eskto p H elp S essio n M anager
R em o te P ro cedure C all (R P C ) L o cato r
R esultant S et o f P o licy P ro vider
R o uting and R em o te A ccess
S eco ndary L o go n
S hell H ardw are D etectio n
S m art C ard
S pecial A dm inistratio n C o nso le H elper
T ask S cheduler
T elepho ny
T elnet
T erm inal S ervices S essio n D irecto ry
T hem es
U ninterruptible P o w er S upply
U plo ad M anager
V irtual D isk S ervice
W ebC lient
W indo w s A udio
W indo w s Im age A cquisitio n (W IA )
W inH T T P W eb P ro xy A uto -D isco very S ervice
W ireless C o nfiguratio n
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
無効
L o cal S ystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
SQL Server (for SAP R/3 Enterprise)
名前
状態
A uto m atic U pdates
C o m puter B ro w ser
C rypto graphic S ervices
D N S C lient
E vent L o g
IP S E C S ervices
M S S Q LS ER V ER
N et L o go n
N T L M S ecurity S uppo rt P ro vider
P lug and P lay
P ro tected S to rage
R em o te P ro cedure C all (R P C )
R em o te R egistry
S ecurity A cco unts M anager
S erver
S Q LS ER V ER A G EN T
S ystem E vent N o tificatio n
T C P /IP N etB IO S H elper
T erm inal S ervices
W indo w s Installer
W indo w s M anagem ent Instrum entatio n
W indo w s T im e
W o rkstatio n
B ackgro und Intelligent T ransfer S ervice
C O M + E vent S ystem
L o gical D isk M anager
L o gical D isk M anager A dm inistrative S ervice
M icro so ft S o ftw are S hado w C o py P ro vider
N etw o rk C o nnectio ns
N etw o rk L o catio n A w areness (N L A )
P erfo rm ance L o gs and A lerts
R em o vable S to rage
V o lum e S hado w C o py
W indo w s M anagem ent Instrum entatio n D river
E xtensio ns
W M I P erfo rm ance A dapter
A lerter
A pplicatio n L ayer G atew ay S ervice
A pplicatio n M anagem ent
C lipB o o k
C O M + S ystem A pplicatio n
D H C P C lient
D istributed F ile S ystem
D istributed L ink T racking C lient
D istributed L ink T racking S erver
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スター トアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログ オ ン
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
手動
L o cal S ystem
手動
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
D istributed T ransactio n C o o rdinato r
E rro r R epo rting S ervice
F ile R eplicatio n
H elp and S uppo rt
H TTP SSL
H um an Interface D evice A ccess
IM A P I C D -B urning C O M S ervice
Indexing S ervice
Internet C o nnectio n F irew all (IC F ) / Internet
C o nnectio n S haring (IC S )
Intersite M essaging
K erbero s K ey D istributio n C enter
L icense L o gging
M essenger
M icro so ft S earch
M S S Q L S erverA D H elper
N etM eeting R em o te D eskto p S haring
N etw o rk D D E
N etw o rk D D E D S D M
P o rtable M edia S erial N um ber S ervice
P rint S po o ler
R em o te A ccess A uto C o nnectio n M anager
R em o te A ccess C o nnectio n M anager
R em o te D eskto p H elp S essio n M anager
R em o te P ro cedure C all (R P C ) L o cato r
R esultant S et o f P o licy P ro vider
R o uting and R em o te A ccess
S eco ndary L o go n
S hell H ardw are D etectio n
S m art C ard
S pecial A dm inistratio n C o nso le H elper
T ask S cheduler
T elepho ny
T elnet
T erm inal S ervices S essio n D irecto ry
T hem es
U ninterruptible P o w er S upply
U plo ad M anager
V irtual D isk S ervice
W ebC lient
W indo w s A udio
W indo w s Im age A cquisitio n (W IA )
W inH T T P W eb P ro xy A uto -D isco very S ervice
W ireless C o nfiguratio n
無効
無効
無効
無効
無効
無効
無効
無効
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
無効
L o cal S ystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
SAP ITS Agate
名前
状態
A uto m atic U pdates
C o m puter B ro w ser
C rypto graphic S ervices
D N S C lient
E vent L o g
IP S E C S ervices
IT S W atchdo g
N et L o go n
N T L M S ecurity S uppo rt P ro vider
P lug and P lay
P ro tected S to rage
R em o te P ro cedure C all (R P C )
R em o te R egistry
S A P IA C O R M anager
S A P IT S M anager - A D M
S A P IT S M anager - P 01
S ecurity A cco unts M anager
S erver
S ystem E vent N o tificatio n
T C P /IP N etB IO S H elper
T erm inal S ervices
W indo w s Installer
W indo w s M anagem ent Instrum entatio n
W indo w s T im e
W o rkstatio n
B ackgro und Intelligent T ransfer S ervice
C O M + E vent S ystem
L o gical D isk M anager
L o gical D isk M anager A dm inistrative S ervice
M icro so ft S o ftw are S hado w C o py P ro vider
N etw o rk C o nnectio ns
N etw o rk L o catio n A w areness (N L A )
P erfo rm ance L o gs and A lerts
R em o vable S to rage
V o lum e S hado w C o py
W indo w s M anagem ent Instrum entatio n D river
E xtensio ns
W M I P erfo rm ance A dapter
A lerter
A pplicatio n L ayer G atew ay S ervice
A pplicatio n M anagem ent
C lipB o o k
C O M + S ystem A pplicatio n
D H C P C lient
D istributed F ile S ystem
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スター トアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログ オ ン
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
手動
L o cal S ystem
手動
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
D istributed L ink T racking C lient
D istributed L ink T racking S erver
D istributed T ransactio n C o o rdinato r
E rro r R epo rting S ervice
F ile R eplicatio n
H elp and S uppo rt
H TTP SSL
H um an Interface D evice A ccess
IM A P I C D -B urning C O M S ervice
Indexing S ervice
Internet C o nnectio n F irew all (IC F ) / Internet
C o nnectio n S haring (IC S )
Intersite M essaging
K erbero s K ey D istributio n C enter
L icense L o gging
M essenger
N etM eeting R em o te D eskto p S haring
N etw o rk D D E
N etw o rk D D E D S D M
P o rtable M edia S erial N um ber S ervice
P rint S po o ler
R em o te A ccess A uto C o nnectio n M anager
R em o te A ccess C o nnectio n M anager
R em o te D eskto p H elp S essio n M anager
R em o te P ro cedure C all (R P C ) L o cato r
R esultant S et o f P o licy P ro vider
R o uting and R em o te A ccess
S eco ndary L o go n
S hell H ardw are D etectio n
S m art C ard
S pecial A dm inistratio n C o nso le H elper
T ask S cheduler
T elepho ny
T elnet
T erm inal S ervices S essio n D irecto ry
T hem es
U ninterruptible P o w er S upply
U plo ad M anager
V irtual D isk S ervice
W ebC lient
W indo w s A udio
W indo w s Im age A cquisitio n (W IA )
W inH T T P W eb P ro xy A uto -D isco very S ervice
W ireless C o nfiguratio n
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
無効
L o cal S ystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
SAP ITS Wgate
名前
状態
A uto m atic U pdates
C o m puter B ro w ser
C rypto graphic S ervices
D N S C lient
E vent L o g
H TTP SSL
IIS A dm in S ervice
IP S E C S ervices
N et L o go n
N T L M S ecurity S uppo rt P ro vider
P lug and P lay
P ro tected S to rage
R em o te P ro cedure C all (R P C )
R em o te R egistry
S A P IA C O R M anager
S ecurity A cco unts M anager
S erver
S ystem E vent N o tificatio n
T C P /IP N etB IO S H elper
T erm inal S ervices
W indo w s Installer
W indo w s M anagem ent Instrum entatio n
W indo w s T im e
W o rkstatio n
W o rld W ide W eb P ublishing S ervice
B ackgro und Intelligent T ransfer S ervice
C O M + E vent S ystem
L o gical D isk M anager
L o gical D isk M anager A dm inistrative S ervice
M icro so ft S o ftw are S hado w C o py P ro vider
N etw o rk C o nnectio ns
N etw o rk L o catio n A w areness (N L A )
P erfo rm ance L o gs and A lerts
R em o vable S to rage
V o lum e S hado w C o py
W indo w s M anagem ent Instrum entatio n D river
E xtensio ns
W M I P erfo rm ance A dapter
A lerter
A pplicatio n L ayer G atew ay S ervice
A pplicatio n M anagem ent
C lipB o o k
C O M + S ystem A pplicatio n
D H C P C lient
D istributed F ile S ystem
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スター トアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログ オ ン
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
手動
L o cal S ystem
手動
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
D istributed L ink T racking C lient
D istributed L ink T racking S erver
D istributed T ransactio n C o o rdinato r
E rro r R epo rting S ervice
F ile R eplicatio n
H elp and S uppo rt
H um an Interface D evice A ccess
IM A P I C D -B urning C O M S ervice
Indexing S ervice
Internet C o nnectio n F irew all (IC F ) / Internet
C o nnectio n S haring (IC S )
Intersite M essaging
K erbero s K ey D istributio n C enter
L icense L o gging
M essenger
N etM eeting R em o te D eskto p S haring
N etw o rk D D E
N etw o rk D D E D S D M
P o rtable M edia S erial N um ber S ervice
P rint S po o ler
R em o te A ccess A uto C o nnectio n M anager
R em o te A ccess C o nnectio n M anager
R em o te D eskto p H elp S essio n M anager
R em o te P ro cedure C all (R P C ) L o cato r
R esultant S et o f P o licy P ro vider
R o uting and R em o te A ccess
S eco ndary L o go n
S hell H ardw are D etectio n
S m art C ard
S pecial A dm inistratio n C o nso le H elper
T ask S cheduler
T elepho ny
T elnet
T erm inal S ervices S essio n D irecto ry
T hem es
U ninterruptible P o w er S upply
U plo ad M anager
V irtual D isk S ervice
W ebC lient
W indo w s A udio
W indo w s Im age A cquisitio n (W IA )
W inH T T P W eb P ro xy A uto -D isco very S ervice
W ireless C o nfiguratio n
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
無効
L o cal S ystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
SAP Enterprise Portal
名前
状態
A uto m atic U pdates
C o m puter B ro w ser
C rypto graphic S ervices
D N S C lient
E vent L o g
IP S E C S ervices
N et L o go n
N T L M S ecurity S uppo rt P ro vider
P lug and P lay
P ro tected S to rage
R em o te P ro cedure C all (R P C )
R em o te R egistry
S ecurity A cco unts M anager
S erver
S ystem E vent N o tificatio n
T C P /IP N etB IO S H elper
T erm inal S ervices
W indo w s Installer
W indo w s M anagem ent Instrum entatio n
W indo w s T im e
W o rkstatio n
B ackgro und Intelligent T ransfer S ervice
C O M + E vent S ystem
L o gical D isk M anager
L o gical D isk M anager A dm inistrative S ervice
M icro so ft S o ftw are S hado w C o py P ro vider
N etw o rk C o nnectio ns
N etw o rk L o catio n A w areness (N L A )
P erfo rm ance L o gs and A lerts
R em o vable S to rage
V o lum e S hado w C o py
W indo w s M anagem ent Instrum entatio n D river
E xtensio ns
W M I P erfo rm ance A dapter
A lerter
A pplicatio n L ayer G atew ay S ervice
A pplicatio n M anagem ent
C lipB o o k
C O M + S ystem A pplicatio n
D H C P C lient
D istributed F ile S ystem
D istributed L ink T racking C lient
D istributed L ink T racking S erver
D istributed T ransactio n C o o rdinato r
E rro r R epo rting S ervice
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スター トアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログ オ ン
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
手動
L o cal S ystem
手動
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
F ile R eplicatio n
H elp and S uppo rt
H TTP SSL
H um an Interface D evice A ccess
IM A P I C D -B urning C O M S ervice
Indexing S ervice
Internet C o nnectio n F irew all (IC F ) / Internet
C o nnectio n S haring (IC S )
Intersite M essaging
K erbero s K ey D istributio n C enter
L icense L o gging
M essenger
N etM eeting R em o te D eskto p S haring
N etw o rk D D E
N etw o rk D D E D S D M
P o rtable M edia S erial N um ber S ervice
P rint S po o ler
R em o te A ccess A uto C o nnectio n M anager
R em o te A ccess C o nnectio n M anager
R em o te D eskto p H elp S essio n M anager
R em o te P ro cedure C all (R P C ) L o cato r
R esultant S et o f P o licy P ro vider
R o uting and R em o te A ccess
S eco ndary L o go n
S hell H ardw are D etectio n
S m art C ard
S pecial A dm inistratio n C o nso le H elper
T ask S cheduler
T elepho ny
T elnet
T erm inal S ervices S essio n D irecto ry
T hem es
U ninterruptible P o w er S upply
U plo ad M anager
V irtual D isk S ervice
W ebC lient
W indo w s A udio
W indo w s Im age A cquisitio n (W IA )
W inH T T P W eb P ro xy A uto -D isco very S ervice
W ireless C o nfiguratio n
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
無効
L o cal S ystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
SQL Server (for SAP Enterprise Portal)
名前
状態
A uto m atic U pdates
C o m puter B ro w ser
C rypto graphic S ervices
D N S C lient
E vent L o g
IP S E C S ervices
M S S Q LS ER V ER
N et L o go n
N T L M S ecurity S uppo rt P ro vider
P lug and P lay
P ro tected S to rage
R em o te P ro cedure C all (R P C )
R em o te R egistry
S ecurity A cco unts M anager
S erver
S ym antec G ho st C o nfiguratio n S erver
S ystem E vent N o tificatio n
T C P /IP N etB IO S H elper
T erm inal S ervices
W indo w s Installer
W indo w s M anagem ent Instrum entatio n
W indo w s T im e
W o rkstatio n
B ackgro und Intelligent T ransfer S ervice
C O M + E vent S ystem
L o gical D isk M anager
L o gical D isk M anager A dm inistrative S ervice
M icro so ft S o ftw are S hado w C o py P ro vider
N etw o rk C o nnectio ns
N etw o rk L o catio n A w areness (N L A )
P erfo rm ance L o gs and A lerts
R em o vable S to rage
S Q LS ER V ER A G EN T
V o lum e S hado w C o py
W indo w s M anagem ent Instrum entatio n D river
E xtensio ns
W M I P erfo rm ance A dapter
A lerter
A pplicatio n L ayer G atew ay S ervice
A pplicatio n M anagem ent
C lipB o o k
C O M + S ystem A pplicatio n
D H C P C lient
D istributed F ile S ystem
D istributed L ink T racking C lient
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スター トアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログ オ ン
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
S A P \A dm inistrato r
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
S A P \A dm inistrato r
L o cal S ystem
手動
L o cal S ystem
手動
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
D istributed L ink T racking S erver
D istributed T ransactio n C o o rdinato r
E rro r R epo rting S ervice
F ile R eplicatio n
H elp and S uppo rt
H TTP SSL
H um an Interface D evice A ccess
IM A P I C D -B urning C O M S ervice
Indexing S ervice
Internet C o nnectio n F irew all (IC F ) / Internet
C o nnectio n S haring (IC S )
Intersite M essaging
K erbero s K ey D istributio n C enter
L icense L o gging
M essenger
M icro so ft S earch
M S S Q L S erverA D H elper
N etM eeting R em o te D eskto p S haring
N etw o rk D D E
N etw o rk D D E D S D M
P o rtable M edia S erial N um ber S ervice
P rint S po o ler
R em o te A ccess A uto C o nnectio n M anager
R em o te A ccess C o nnectio n M anager
R em o te D eskto p H elp S essio n M anager
R em o te P ro cedure C all (R P C ) L o cato r
R esultant S et o f P o licy P ro vider
R o uting and R em o te A ccess
S eco ndary L o go n
S hell H ardw are D etectio n
S m art C ard
S pecial A dm inistratio n C o nso le H elper
T ask S cheduler
T elepho ny
T elnet
T erm inal S ervices S essio n D irecto ry
T hem es
U ninterruptible P o w er S upply
U plo ad M anager
V irtual D isk S ervice
W ebC lient
W indo w s A udio
W indo w s Im age A cquisitio n (W IA )
W inH T T P W eb P ro xy A uto -D isco very S ervice
W ireless C o nfiguratio n
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
無効
L o cal S ystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
N etw o rk S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ystem
L o cal S ervice
L o cal S ystem
L o cal S ervice
L o cal S ervice
L o cal S ystem
SAP Enterprise Portal IIS Proxy
名前
状態
A u to m atic U p d ate s
C o m p u te r B ro w se r
C ryp to grap h ic S e rvic e s
D N S C lie n t
E ve n t L o g
H TTP SSL
IIS A d m in S e rvic e
IP S E C S e rvic e s
N e t L o go n
N T L M S e c u rity S u p p o rt P ro vid e r
P lu g an d P lay
P ro te c te d S to rage
R e m o te P ro c e d u re C all (R P C )
R e m o te R e gistry
S e c u rity A c c o u n ts M an age r
S e rve r
S yste m E ve n t N o tific atio n
T C P / IP N e tB IO S H e lp e r
T e rm in al S e rvic e s
W in d o w s In stalle r
W in d o w s M an age m e n t In stru m e n tatio n
W in d o w s T im e
W o rkstatio n
W o rld W id e W e b P u b lish in g S e rvic e
B ac kgro u n d In te llige n t T ran sfe r S e rvic e
C O M + E ve n t S yste m
L o gic al D isk M an age r
L o gic al D isk M an age r A d m in istrative S e rvic e
M ic ro so ft S o ftw are S h ad o w C o p y P ro vid e r
N e tw o rk C o n n e c tio n s
N e tw o rk L o c atio n A w are n e ss (N L A )
P e rfo rm an c e L o gs an d A le rts
R e m o vab le S to rage
V o lu m e S h ad o w C o p y
W in d o w s M an age m e n t In stru m e n tatio n D rive r
E xte n sio n s
W M I P e rfo rm an c e A d ap te r
A le rte r
A p p lic atio n L aye r G ate w ay S e rvic e
A p p lic atio n M an age m e n t
C lip B o o k
C O M + S yste m A p p lic atio n
D H C P C lie n t
D istrib u te d F ile S yste m
D istrib u te d L in k T rac kin g C lie n t
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スター トアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログ オ ン
L o c al S yste m
L o c al S yste m
L o c al S yste m
N e tw o rk S e rvic e
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S e rvic e
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S e rvic e
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
N e tw o rk S e rvic e
L o c al S yste m
L o c al S yste m
手動
L o c al S yste m
手動
無効
無効
無効
無効
無効
無効
無効
無効
L o c al S yste m
L o c al S e rvic e
L o c al S e rvic e
L o c al S yste m
L o c al S yste m
L o c al S yste m
N e tw o rk S e rvic e
L o c al S yste m
L o c al S yste m
D istrib u te d L in k T rac kin g S e rve r
D istrib u te d T ran sac tio n C o o rd in ato r
E rro r R e p o rtin g S e rvic e
F ile R e p lic atio n
H e lp an d S u p p o rt
H u m an In te rfac e D e vic e A c c e ss
IM A P I C D - B u rn in g C O M S e rvic e
In d e xin g S e rvic e
In te rn e t C o n n e c tio n F ire w all (IC F ) / In te rn e t
C o n n e c tio n S h arin g (IC S )
In te rsite M e ssagin g
K e rb e ro s K e y D istrib u tio n C e n te r
L ic e n se L o ggin g
M e sse n ge r
N e tM e e tin g R e m o te D e skto p S h arin g
N e tw o rk D D E
N e tw o rk D D E D S D M
P o rtab le M e d ia S e rial N u m b e r S e rvic e
P rin t S p o o le r
R e m o te A c c e ss A u to C o n n e c tio n M an age r
R e m o te A c c e ss C o n n e c tio n M an age r
R e m o te D e skto p H e lp S e ssio n M an age r
R e m o te P ro c e d u re C all (R P C ) L o c ato r
R e su ltan t S e t o f P o lic y P ro vid e r
R o u tin g an d R e m o te A c c e ss
S e c o n d ary L o go n
S h e ll H ard w are D e te c tio n
S m art C ard
S p e c ial A d m in istratio n C o n so le H e lp e r
T ask S c h e d u le r
T e le p h o n y
T e ln e t
T e rm in al S e rvic e s S e ssio n D ire c to ry
T hem es
U n in te rru p tib le P o w e r S u p p ly
U p lo ad M an age r
V irtu al D isk S e rvic e
W e b C lie n t
W in d o w s A u d io
W in d o w s Im age A c q u isitio n (W IA )
W in H T T P W e b P ro xy A u to - D isc o ve ry S e rvic e
W ire le ss C o n figu ratio n
無効
無効
無効
無効
無効
無効
無効
無効
L o c al S yste m
N e tw o rk S e rvic e
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
無効
L o c al S yste m
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
L o c al S yste m
L o c al S yste m
N e tw o rk S e rvic e
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
N e tw o rk S e rvic e
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S e rvic e
L o c al S yste m
L o c al S yste m
L o c al S yste m
L o c al S e rvic e
L o c al S yste m
L o c al S yste m
L o c al S e rvic e
L o c al S yste m
L o c al S yste m
L o c al S e rvic e
L o c al S yste m
L o c al S e rvic e
L o c al S e rvic e
L o c al S yste m
セキュリティテンプレート適用後の設定変更
+ Administrators
R/3 Server, R/3 用 SQL Server では、高セキュリティ・テンプレートで
削除された Administrators を再度入力した。