download.microsoft.com

Windows Server による
セキュアな SAP システムの
構築と運用
マイクロソフト株式会社
Agenda
1. はじめに
2. セキュアな SAP システムの構築
3.
4.
5.
6.
- ハードニング
セキュアな SAP システムの運用
- パッチマネジメント
セキュアな SAP システムの運用
- アンチウイルスソフトウエア
まとめ
(参考)過去の脆弱性の整理
1.はじめに
セキュリティインシデントの現状
コンピュータシステムを襲うウイルスの猛威
Code Red, Nimda, SQLSlammer, MSBlast,
Sasser ….
情報処理進行事業協会セキュリティセンター(IPA/ISEC)Web ページより
http://www.ipa.go.jp/security/txt/2003/12.html
SAP システム管理者の声
SAP システムは、最もセキュアに保護したい
基幹系である SAP システムは、保持する
データの価値が非常に高い
とは言っても、セキュリティ更新プログラムの
適用は(以下の理由から)最小限に留めたい
(多くの場合)システム停止が必要
事前テストが必要
この文書の目的
今回ご紹介するセキュリティソリューションを
実践する事で、以下の3つを実現できます
SAP システムのセキュリティを強化する
SAP システムのダウンタイムを抑える
Windows ならではの低い運用コストを維持する
SAP-Microsoft コンピテンスセンターに
おける技術検証結果を是非ご活用下さい
(※)セキュリティ対策とは?
ウイルス、ワームからの防御
クライアントサイド
アンチウイルス、パッチマネジメント、IDS etc
サーバーサイド
ハードニング(ネットワーク、サービス、他)
パッチマネジメント
アンチウイルス
Etc
不正アクセスからの防御
2.セキュアな SAP システムの構築
- ハードニング
ハードニングとは
定義:SAP システムの稼動に最低限必要なプラットフォーム
機能のみを残すこと
効果1:セキュリティの強化
- SAP システムが無用な脆弱性リスクに晒される事を防止し、
コンピュータウイルス等による攻撃を最大限ブロックできる
効果2:アベイラビリティの確保
- システム停止を伴うことが多いセキュリティ更新プログラム
の適用頻度を最低限にとどめる事ができる
効果3:低い運用コストの維持
- ユーザーサイドでのテストが必要なセキュリティ更新プログラム
の適用頻度を最低限にとどめる事ができる
ネットワークのハードニング
SAP システムに不要な通信をブロックする為
のパケットフィルタリングを実施する
IPSec ポリシースクリプトの適用(各ホスト単位)
ファイアウォール、ルータ、レイヤ3スイッチ、
SAP Router などの配備(各サブネット単位)
サブネット単位、ホスト単位双方を組み合わせ
れば、よりセキュアな環境に
WWW
電話回線など
FTP
Web
RAS
Router
RAS セグメント
DMZ セグメント
WWW
(社外用)
WWW
(社外用)
Fire
wall等
DNS
Mail
VPN
社内サーバーセグメント
Proxy
社内セグメント
File
WWW
WWW
(ITS
用)
(EP
WWW
WWW 用)
(ITS 用)
(EP 用)
Dire
ctory
(※)企業ネットワークにおける
ネットワークハードニング例
SAP
サーバー
セグメント
SAP
DB
DNS
Mail
ITS
EP
・・・
(※)ネットワークのハードニング・実装例
各ホスト単位のネットワークハードニングをまず実施
単一障害点(Single Point of failure)となる SAP
サーバー群は、「SAP サーバーセグメント」として
別のサブネットに含め、ネットワーク機器等による
ハードニングを追加してよりセキュアにする
SAP セントラルインスタンス、DB インスタンスなど
それ以外のサーバー群は、順次セキュリティ更新
プログラムを適用できるように冗長構成にしておく
SAP ダイアログインスタンス、ITS Agate/Wgate など
パケットフィルタリングに際しての注意点
Active Directory (とその通信相手)は多くの
ポートで通信する点に注意する
どのポートが利用されているかが不明な
場合は、ネットワークモニタなどのツールを
活用する
サービスのハードニング
SAP システムの稼動に不要なサービスを
無効化する
パフォーマンス上のメリットもある
サービスの内容
システムの稼動に不要な事が明らかなサービス
システムの稼動に必要な事が明らかなサービス
それ以外のサービス
起動
オプション
無効
自動
手動
サービス無効化に際しての注意点
無効化する前にサービスの内容をよく確認
Windows Server セキュリティガイドを参照
それぞれのシステム環境における入念な
テストを実施した後、無効化するサービスを
決定する
別紙で掲げている 「SAP システムに必要な
サービス」以外を、全て無条件に無効化して
よい訳ではない
その他のハードニング
対策
OS, DB, Web, アプリケーション(SAP)といった
様々な側面から詳細なハードニングを実施
効果
セキュリティ設定を詳細にカスタマイズ
その他のハードニング
Windows Server セキュリティ運用ガイド
http://www.microsoft.com/japan/technet/security/prodtech/windows
/windows2000/staysecure/default.asp
http://www.microsoft.com/japan/technet/security/prodtech/win2003/
w2003hg/sgch00.asp
脅威とその対策: Windows Server 2003 と
Windows XP のセキュリティ対策
http://www.microsoft.com/japan/technet/security/prodtech/winclnt/s
ecwinxp/default.asp
設計から堅固な実装へ: IIS 5.0 セキュリティガイド
http://www.microsoft.com/japan/technet/prodtechnol/iis/iis5/
deploy/depovg/securiis.asp
SQL Server セキュリティ資料
http://www.sqlpassj.org/bunkakai/security/default.aspx
SAP Network Integration Guide, SAP Security Guide
http://service.sap.com/netweaver
- SAP Netweaver Japan- SAP Netweaver in Detail – Network
- SAP Netweaver in Detail – Security – Security in Detail
などなど
その他のハードニング
(テンプレートを利用したハードニング)
Windows Server 2003 セキュリティガイドと
添付のテンプレートを利用して効率よくハードニング
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643
C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist
ハードニングにあたっての注意点
要求されるセキュリティレベルの明確化
システムの仕様調査
SAP システムだけでなく SAP 以外のシステムも
必要なサービス、通信経路、ポート・・・
ハードニング項目の洗い出し
サービス、ネットワーク、その他のハードニング
ハードニング実装に伴うコストと効果の予測
ハードニング項目の決定
何を、どこまでやるか?の決定
ハードニングにあたっての注意点
各モジュール(OS, DB, Web, SAP)をセット
アップする度に、そのとき可能なハードニング
を都度実装する事が、セキュリティ上は最も
望ましい
但し、ネットワークから切り離したセットアップ
が出来るなどの場合は、ハードニングを
ある程度まとめて実装しても、特に問題はなし
ハードニングにあたっての注意点
ハードニングを(一挙に行わず)ステップバイステップ
で実装していき、都度稼動確認を推奨
いざという時はロールバックする
システム構成のバックアップ(※1)、またはロールバック手段の確保
ハードニングのステップバイステップでの実装
サーバー毎やハードニング毎に繰り返す
(問題が発生した場合はロールバックする)
稼動確認
最終セキュリティチェック(※2)
(※1) Windows Server 2003 の ASR バックアップ、もしくはサードパーティのイメージバックアップツール。
(※2)Microsoft Baseline Security Analyzer などを利用する。
3.セキュアな SAP システムの運用
- パッチマネジメント
セキュリティ維持のプロセス
実施項目
作業内容
情報収集
セキュリティ脆弱性情報収集
現状分析
自社での影響と緊急度の判定
パッチ展開
結果監視
展開の計画策定
ステージング環境によるテスト実施
本番適用とロールバック
全社のポリシー適用状況の監視
ポリシー違反のフードバックプロセス実施
情報収集
(サーバーサイド・クライアントサイド)
毎月第2水曜日(日本時間)に、「月間セキュ
リティ情報サイト」より脆弱性情報をチェック
http://www.microsoft.com/japan/technet/se
curity/bulletin/monthly.asp
現状分析
(サーバーサイド)
SAP システムのサーバー群に関与するか?
Windows Server 2003/2000 Server/NT Server
(利用している場合)IIS, SQL Server
※ SAP サーバー上での Internet Explorer, Office,
Windows Media の利用を禁止する等、運用を工夫
すれば、これらの脆弱性はリスク評価の対象外にできる
「最大深刻度」のレベルは?
「回避策」は実装済みか?または追加実装可能か?
例)ファイアーウォールで XXXX をブロックする
最大深刻度
定義
緊急 (Critical)
この脆弱性が悪用された場合、インターネット ワームがユーザーの操作なしで蔓延する可能性があります。
重要 (Important)
この脆弱性が悪用された場合、ユーザーのデータの機密性、完全性または可用性が侵害される可能性が
あります。または、処理中のリソースの完全性または可用性が侵害される可能性があります。
警告 (Moderate)
この脆弱性が悪用された場合、既定の構成、監査または悪用が困難であることなどの要素により、悪用さ
れる可能性は大幅に緩和されます。
注意 (Low)
この脆弱性の悪用は非常に困難です。または影響はわずかです。
リスク
高
低
現状分析
(クライアントサイド)
SAP システムのクライアント群に関与するか?
Windows XP/2000/NT/Me/98 (Internet Explorer,
Windows Media Player 等を含む), Office など
「最大深刻度」のレベルは?
「回避策」は実装済みか?または追加実装可能か?
最大深刻度
定義
緊急 (Critical)
この脆弱性が悪用された場合、インターネット ワームがユーザーの操作なしで蔓延する可能性があります。
重要 (Important)
この脆弱性が悪用された場合、ユーザーのデータの機密性、完全性または可用性が侵害される可能性が
あります。または、処理中のリソースの完全性または可用性が侵害される可能性があります。
警告 (Moderate)
この脆弱性が悪用された場合、既定の構成、監査または悪用が困難であることなどの要素により、悪用さ
れる可能性は大幅に緩和されます。
注意 (Low)
この脆弱性の悪用は非常に困難です。または影響はわずかです。
リスク
高
低
現状分析
(サーバーサイド・クライアントサイド)
それぞれの脆弱性に対してアクションを決定
セキュリティ更新プログラムを適用しない(※)
無視(ノーアクション)
SAP サーバーに関係ない、「最大深刻度」が低い、
ハードニングの結果「回避策」を既に実装できている場合
「回避策」を追加実装
追加ハードニングできる場合
セキュリティ更新プログラムを適用する
定常的な計画停止時に適用
定期的に計画停止していて、かつリスクが高くない場合
緊急適用
リスクが高く、かつ迅速な対応が必要な場合
サーバーサイドとクライアントサイドとで、とるべき
アクションは全く異なる事に注意
(※)セキュリティ更新プログラム単体は適用しないとしても、サービスパックは適用を推奨。
(※)Microsoft セキュリティ更新プログラム
一般公開までのテスティングプロセス
1~3週間前←
脆弱性
報告
調査 & FIX
開発部門
 調査
 FIX
モジュール
再作成へ
Package
Test
Build
Verification
Testing
Broad Test
Pass
開発部門
開発部門
各部署での広範囲なテスト
 コードの
 ビルドの確認  開発部門
パッケージ化
 Microsoft IT(全社IT部門)
 Business Unit IT
 日本語化
各ユニットのIT部門
 全世界の各部署社員(約1000名)
 サポート部門セキュリティ担当
 Japan Security Response Team
 SWI Team(攻撃チーム)
問題
発見
公開の可否を決定
サポート部門 : お客様への影響度を判断
Security Response Center : 脆弱性が残っているか?
開発部門 : 別の不具合があるか?
 Patch
Validation Program
参加企業(SAP 社を含む)
一般
公開
(※)Microsoft セキュリティ更新プログラム
の SAP 社による事前テスト
Microsoft は セキュリティ更新プログラム公式
リリースの5-20日前に、 SAP 社開発チーム
(カーネル& GUI 開発、SAP IT など)に対して
セキュリティ更新プログラムを提供
これらのセキュリティ更新プログラムのテスト中に
SAP ソフトウエアに何らかの(互換性などの)問題が
見つかった場合、Microsoft の関連部署に対する
直接のコンタクト・パスを確保
もしこれら既知の問題の解決が公式リリースに間に
合わなかった場合は、SAP Note において情報公開
パッチ展開
(サーバーサイド・クライアントサイド)
当該セキュリティ修正プログラムが SAP 環境
において起こした障害事例がないかをチェック
SAP Note 30478, 62988, 664607
必ず開発環境・品質保証環境にて以下の
テストを実行してから、本番環境へ適用する
サーバーサイドへの適用は特に慎重に行う
緊急適用の場合であっても、以下のテストは必須
セキュリティ修正プログラムのインストール
SAP の起動と停止
セキュリティ修正プログラムのアンインストール
計画停止時適用の場合は、より詳細なテスト
パッチ展開
(特にクライアントサイド)
クライアントOS、Widows Server 2003、Systems
Management Server によりセキュリティ修正
企業システム向け機能およびツール
プログラムの展開を支援
Windows Updateサイト
マイクロソフト
セキュリティ情報
サイト
インターネット経由の
サービス
OS自体の
標準機能
・OSの修正プログラムの自動ダウン
ロード機能
・自動適用 (オプション)
Software
Update
Services
(SUS)
・社内用 Windows Update サイト
・Active Directoryとの連携で
クライアントへの展開を集中管理
SMS
SUS
Feature
Pack
・きめ細かいパッチの展開と管理
・適用状況の把握とレポート機能
・アプリケーションの配布機構との
統合
パッチ展開
(特にクライアントサイド)
ツールを利用したパッチ配布の大量展開
大量のサーバーに展開したい場合やクライアントに展開し
たい場合は配布ツールを利用することで配布の作業量を
大幅に削減可能
テスト作業完了済みプログラムのみの配布
Software Update Services(SUS)にて
Windows Update上の修正プログラムのうち承認したも
ののみを配布
クライアントへの強制配布
Active DirectoryとSUSにより定刻に修正プログラムを
自動インストールする設定も可能
Active DirectoryとSMSにより強制的に修正プログラム
を自動インストールする設定も可能
結果監視
(サーバーサイド・クライアントサイド)
セキュリティ修正プログラム適用後の一定
期間は、経過を観察する
SAP システムの稼動に問題が生じた場合
SAP 社サポート部門へ問い合わせ
SAP Note 664607 に従った問題解決
セキュリティ修正プログラムのアンインストール
セキュリティ修正プログラムの追加適用
SAP Address Space Viewer の利用
などなど
4.セキュアな SAP システムの運用
- アンチウイルスソフトウエア
アンチウイルス・ソフトウエア
既知のウイルスであれば、検知した時点で
「隔離」、つまり感染をブロック可能
アンチウイルス製品ベンダーは、新種を発見
すると1~2時間で解析、クリティカルな場合
は即座に定義ファイルを更新、公開
既知の脆弱性
既知のウイルス
未知のウイルス
ハードニング、
セキュリティ更新
プログラム適用
未知の脆弱性
アンチウイルス
管理者の知識
15000
4000000
10000
2000000
5000
0
0
SQL Server プロセスの I/O Data Bytes/ sec
\\PSTYOC10\Process(sqlservr)\IO Data Bytes/sec
eTrust 監視プロセスの I/O Data Bytes/ sec
※左のグラフと比べて縦軸の値が小さい事に注意
2004/11/05 00:57:56.171
00:50:56.171
00:51:56.171
00:52:56.171
00:53:56.171
00:54:56.171
00:55:56.171
00:56:56.171
6000000
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
20000
00:43:56.140
00:44:56.140
00:45:56.171
00:46:56.171
00:47:56.171
00:48:56.171
00:49:56.171
8000000
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
25000
00:36:56.093
00:37:56.093
00:38:56.093
00:39:56.109
00:40:56.125
00:41:56.125
00:42:56.140
10000000
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
30000
00:30:56.062
00:31:56.062
00:32:56.062
00:33:56.062
00:34:56.078
00:35:56.093
12000000
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05
2004/11/05 00:57:46.171
2004/11/05 00:56:36.171
2004/11/05 00:55:26.171
2004/11/05 00:54:16.171
2004/11/05 00:53:06.171
2004/11/05 00:51:56.171
2004/11/05 00:50:46.171
2004/11/05 00:49:36.171
2004/11/05 00:48:26.171
2004/11/05 00:47:16.171
2004/11/05 00:46:06.171
2004/11/05 00:44:56.140
2004/11/05 00:43:46.140
2004/11/05 00:42:36.140
2004/11/05 00:41:26.125
2004/11/05 00:40:16.125
2004/11/05 00:39:06.093
2004/11/05 00:37:56.093
2004/11/05 00:36:46.093
2004/11/05 00:35:36.093
2004/11/05 00:34:26.078
2004/11/05 00:33:16.062
2004/11/05 00:32:06.062
2004/11/05 00:30:56.062
SAP & Anti-virus 性能検証(途中結果)
アンチウイルス(Computer Associates 社 eTrust
Anti-virus 7.0.140)リアルタイム監視環境下に
おける SAP SD ベンチマーク
SAP に与えるパフォーマンス負荷は殆どなし
アンチウイルス非稼動環境とほぼ同等のスループット
\\PSTYOC10\Process(InoRT)\IO Data Bytes/sec
アンチウイルス・留意事項
アンチウイルスソフトが不具合なく稼動する事が必須
アンチウイルスソフトのファイルシステムドライバは Windows の
カーネルモードで稼動
万一不具合があった場合、システム停止につながる危険性もあり
本来であれば CPU 消費、メモリ消費ともに軽微なはず
怪しい場合は、アンチウイルスソフトのサービス停止もしくは削除
可能な限り迅速に定義ファイルを更新する
定義ファイル更新に多くのポートが利用される場合、定義ファイル
配信サーバーに限って全ポートをオープンにする など
定義ファイルサーバー自体が社内でセキュアに保護されている必要あり
アクセス(読込 or 書込)頻度の高いファイルは、
アンチウイルスソフトのリアルタイム監視対象からはずす
DB サーバー上における DB 関連ファイル
データファイル、ログファイル、temp 領域など
アプリケーションのログファイル など
アンチウイルス・留意事項
そもそも SAP サーバー上で不要な操作を行わない
ブラウザ、メーラー、メッセンジャー、Office などの不用意
な起動は控える
自社にとって最適なアンチウイルスソフトを選択する
ディスク I/O の所作、メモリ消費量、検知できる範囲と
その感度、デフォルト設定、定義ファイル更新の速さ、
サポート体制 など、ベンダーにより相違がある
厳密に言うと、アンチウイルスソフトも検知において
「万能」とはいえない
アンチウイルスソフトはファイルやレジストリへの何らかの
書込動作によってウイルスを検知する仕組み
検知範囲がより広い IDS (不正侵入検知・防御システム)
の併用もありえる
5.まとめ
まとめ
運用コストを抑えつつもセキュリティリスクを
極小化する為に、今出来る事は多く存在します
クライアントサイドのセキュリティ強化
サーバーサイドのセキュリティ強化
SAP システムのハードニング
SAP システムにおけるパッチマネジメント など
一方で Microsoft はプラットフォームベンダー
として、Windows Server 他のセキュリティ
強化、脆弱性解消に今後も努めていきます
マイクロソフトコンサルティングサービス
(※) マイクロソフトが提供する
サポートサービス
プロフェッショナル・サポート
http://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomsc
om.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fprof_se
rvice.asp
電話、FAX, mail でのQA、調査(一問一答方式)、オンサイトも有(移動時間
+現地での作業時間×出動人数×30,000 円)
Datacenter 以外の全ての Microsoft 製品(英語版もOK)
基本的には平日9:00-12:00, 13:00-19:00(24時間365日もあり)
オンデマンド:1インシデント 28,000 円(複数のセット料金もあり)
プレミア・サポート
http://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomsc
om.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fpremier
.asp
TAM のアサイン(顧客システムニーズの把握)、一般未公開情報の提供、月
例レポート&定例会議、24*365 対応
Go to http://www.ms-sap.com !
SAP と Microsoft のコラボレーション
サブシステム
開発
ユーザー
デスクトップ
他システム
連携
ユーザー
認証基盤
SAP
OS/DB プラットフォーム+システム運用管理
ビジネスイン
テリジェンス
脆弱性・ウイルス情報
月刊セキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/mo
nthly.asp
セキュリティ情報一覧
http://www.microsoft.com/japan/technet/security/current.asp
ウイルス対策情報
http://www.microsoft.com/japan/technet/treeview/default.asp
?url=/japan/technet/security/topics/virus/default.asp
マイクロソフトプロダクトセキュリティ警告サービス
http://www.microsoft.com/japan/technet/security/bulletin/noti
fy.asp
セキュリティ修正プログラムなどの入手元
セキュリティ修正プログラム
http://www.microsoft.com/downloads/search.aspx?displayla
ng=ja (Windows, 日本語)
http://www.microsoft.com/downloads/search.aspx?displayla
ng=en (SQL Server, 英語)
サービスパック
http://www.microsoft.com/japan/windows/downloads/default.
mspx (Windows Server, 日本語)
http://www.microsoft.com/sql/downloads/default.asp
(SQL Server, 英語)
ホットフィックス
Microsoft プレミアサポート経由 (Windows Server)
http://service.sap.com/swcenter-3pmain (SQL Server)
ツール
ツール概要
http://www.microsoft.com/japan/technet/se
curity/tools/default.asp
セキュリティツールキット(無償)
http://www.microsoft.com/japan/technet/tre
eview/default.asp?url=/japan/technet/securi
ty/tools/stkintro.asp
Microsoft Baseline Security Analyzer
http://www.microsoft.com/japan/technet/tre
eview/default.asp?url=/japan/technet/securi
ty/tools/Tools/mbsahome.asp
Windows Server System
Software Update Services
http://www.microsoft.com/japan/windowsser
versystem/sus/default.mspx
Systems Management Server
http://www.microsoft.com/japan/technet/sec
urity/prodtech/sms/default.asp
ISA Server
http://www.microsoft.com/japan/isaserver/
6.(参考)過去の脆弱性の整理
過去の脆弱性の整理
1999 年から今までに見つかった脆弱性の数
1999 年 : 61
2000 年 : 100
2001 年 : 60
2002 年 : 72
2003 年 : 51
2004 年 : 24 (2004/7/26 現在)
このうち SAP サーバー環境で特に留意すべき
脆弱性は、「対象」が Windows Server (IE, Win
Media 等を除く)で、かつ「深刻度」が「緊急」のもの
殆どの脆弱性にリスク緩和策(回避策)が呈示される
脆弱性評価マトリックス一例(抜粋)
脆弱性番号
最大深刻度は?
SAPサーバに
関与するか?
リスク緩和策は?
パッチを緊急適用
するか?
MS00-078
緊急
関与する
あり
No
MS01-033
緊急
関与する
あり
No
MS02-039
緊急
関与する
あり
No
MS03-007
緊急
関与する
あり
No
MS03-026
緊急
関与する
あり
No
MS03-039
緊急
関与する
あり
No
MS03-043
緊急
関与する
あり
No
MS03-049
緊急
関与する
あり
No
MS03-051
緊急
関与する
あり
No
MS04-007
緊急
関与する
なし
Yes
MS04-011
緊急
関与する
なし
Yes
MS04-012
緊急
関与する
あり
No
MS04-022
緊急
関与する
あり
No
MS04-023
緊急
関与する
あり
No
MS04-028
緊急
関与する
あり
No
MS04-034
緊急
関与する
あり
No
MS04-035
緊急
関与する
あり
No
MS04-036
緊急
関与する
あり
No
MS04-037
緊急
関与する
あり
No
MS04-038
緊急
関与する
あり
No
MS04-040
緊急
関与する
あり
No
MS05-001
緊急
関与する
あり
No
MS05-002
緊急
関与する
あり
No
MS05-010
緊急
関与する
あり
No
MS05-011
緊急
関与する
あり
No
MS05-012
緊急
関与する
あり
No
MS05-013
緊急
関与する
あり
No
MS05-015
緊急
関与する
あり
No
※ あくまでも、ハードニングを最大限行っている SAP システムにおける、脆弱性評価マトリックスの一例です。
I. ハードニングに必要な技術情報
SAP R/3 Enterprise 環境
の通信経路
MS Product
SAP Product
SAP Router
DIAG/RFC
DIAG/RFC
CLIENT
SAPGUI
Web Browser
HTTP/HTTPS
(BSP/BEx)
Web
Dispatcher
HTTP/HTTPS
R/3 Server
R/3
Enterprise
DB Server
SQL Server
SAP ITS 環境の通信経路
MS Product
SAP Product
SAP Router
DIAG/RFC
Web
Dispatcher
DIAG/RFC
CLIENT
SAPGUI
HTTP/HTTPS
(BSP/BEx)
WGATE Server
IIS
Web Browser
HTTP/HTTPS
(HTML GUI)
SAP ITS
WGate
Server
HTTP/HTTPS
R/3
Enterprise
AGATE Server
SAP ITS
A-Gate Server
R/3 Server
RFC/DIAG
DB Server
SQL Server
SAP Enterprise Portal 環境
の通信経路
MS Product
SAP Product
SAP Router
DIAG/RFC
Web
Dispatcher
DIAG/RFC
CLIENT
SAPGUI
HTTP/HTTPS
(BSP/BEx)
WGATE Server
IIS
Web Browser
HTTP/HTTPS
(HTML GUI)
HTTP/HTTPS
(EP)
SAP ITS
WGate
Server
SAP ITS
A-Gate Server
R/3
Enterprise
DB Server
SQL Server
RFC/DIAG
RFC
HTTP/HTTPS
IISPROXY
IIS
R/3 Server
AGATE Server
HTTP/HTTPS
SAP
IISProxy
Module
HTTP/HTTPS
EP Server
HTTP/HTTPS
Enterprise
Portal
DB Server
SQL Server
+ Active Directory 環境
の通信経路
MS Product
SAP Product
Directory
Directory
Active Directory
Active Directory
SAP Router
DIAG/RFC
Web
Dispatcher
DIAG/RFC
CLIENT
SAPGUI
HTTP/HTTPS
(BSP/BEx)
WGATE Server
IIS
Web Browser
HTTP/HTTPS
(HTML GUI)
HTTP/HTTPS
(EP)
SAP ITS
WGate
Server
SAP ITS
A-Gate Server
R/3
Enterprise
DB Server
SQL Server
RFC/DIAG
RFC
HTTP/HTTPS
IISPROXY
IIS
R/3 Server
AGATE Server
HTTP/HTTPS
SAP
IISProxy
Module
HTTP/HTTPS
EP Server
HTTP/HTTPS
Enterprise
Portal
DB Server
SQL Server
SAP R/3 Enterprise が利用するポート
DIAG
32NN
(sapdpNN)
515
(SAPlpd)
RFC
33NN
(sapgwNN)
81NN/444NN
(HTTP/HTTPS)
WAS 6.30
36NN
(sapmsSID)
R/3
HTTP/HTTPS
Gateway
80NN/443NN
(HTTP/HTTPS)
Message
Server
Enque
Server
DB (sid)
Dispatcher
Work
Processes
ABAP
scheme
ABAP Engine
ICM
J2EE
scheme
J2EE
Dispatcher
25 (SMTP)
J2EE Server
Processes
IGS
Central
Instance
J2EE Engine
5NN00/5NN01
(HTTP/HTTPS)
5NN02/5NN03
(IIOP Initial context
/IIOP over SSL)
5NN04/5NN05/5NN06
(P4/P4 over HTTP tunneling
/P4 over SSL)
5NN07 (IIOP)
5NN10 (JMS)
5NN08 (Telnet)
4NN00(Multiple
xer)/4NN0179(Portwatcher)
/4NN8099(HTTP)
Central Services Instance
SDM
5NN17/5NN18/
5NN19
Message
Server
36NN
(MessageServer)
81NN/444NN
(HTTP/HTTPS)
Engueue
Server
SQL Server
32NN
(Engue Server)
33NN
(Eng. Replication)
※NNはインスタンス番号を表す。
Internal でしか使用しないポート、Installation/Upgradeツールの使用ポートは記述してい
ない。
記載はデフォルトポートのため、実際の環境によってことなる
SAP ITS (Wgate, Agate)が利用するポート
32NN
(sapdpNN)
39NM
(sapvw00_<SID>)
80/443
(http/https)
39N9
(sapvwmm_<SID>)
IIS
ITS
WGate
33NN
(sapgwNN)
ITS
A-Gate
39NM
(sapvw00_ADM)
36NN
(sapmsSID)
R/3
39N9
(sapvwmm_ADM)
※Nはインストール時に空いているポートを元に自動的に決定される。M
はAgateの数-1。
デフォルトでは管理インスタンス(<SID>=ADM)が用意される。
SAP Enterprise Portal 6.0 が利用するポート
J2EE Engine: 6.20
EP
DB (SAPPCD)
J2EE
Dispatcher
J2EE Server
Processes
SDM
Central
Instance
J2EE Engine
HTTP/HTTPS
5NN00/5NN01
(HTTP/HTTPS)
5NN10 (JMS)
5NN02/5NN03
(IIOP Initial context
/IIOP over SSL)
5NN04/5NN05/5NN06
(P4/P4 over HTTP tunneling
/P4 over SSL)
5NN07 (IIOP)
SQL Server
5NN17/5NN18/
5NN19
5NN08 (Telnet)
※NNはインスタンス番号を表す。
Internal でしか使用しないポート、Installation/Upgradeツールの使用ポートは記述してい
ない。
記載はデフォルトポートのため、実際の環境によってことなる
その他 SAP 製品が利用するポート
5NN00/5NN01
(HTTP/HTTPS)
80/443
(http/https)
IIS
IisProxy
Module
EP
SAP Enterprise Portal
IIS Proxy が利用する
ポート
R/3
SAP Router が利用する
ポート
R/3
SAP Web Dispatcher が
利用するポート
32NN
(sapdpNN)
3299(SAProu
ter)
SAPRouter
33NN
(sapgwNN)
36NN
(sapmsSID)
80/443
(http/https)
80NN/443NN
(HTTP/HTTPS)
WebDispatcher
その他 SAP 製品が利用するポート
http://service.sap.com/ti 上のドキュメント
TCP/IP Ports used by SAP Applications
SAP GUI Technical Infrastructure
SAP Internet Transaction Server Technical
Infrastructure
Web Infrastructure Concepts for SAP Web
Application Server
SAP Web AS Technical Infrastructure
Microsoft 製品が利用するポート
SQL Server
SQL over TCP: 1433
IIS
World Wide Web Publishing Service: 80, 443
Active Directory
http://support.microsoft.com/default.aspx?scid=kb
;ja;289241
その他
http://www.microsoft.com/downloads/details.aspx
?FamilyID=dd6bed8f-a706-48ee-95b7bdc21455815a&DisplayLang=ja
SAP システムに必要なサービス
Windows Server が最低限必要とするサービス
Event Log, Logical Disk Manager,
Network Connections, Plug and Play, Protected
Storage, Remote Procedure Call, Security Account
Manager, Windows Management Instrumentation,
Windows Management Instrumentation Extensions
SAP R/3 Enterprise が更に必要とするサービス
SAPOSCOL, SAP<SID>_<NN>, SAP<SID>_<NN>
SAP ITS Agate が更に必要とするサービス
SAP ITS Manager - <SID>, SAP ITS Manager - ADM,
ITS Watchdog, SAP IACOR Manager
(注意) 標準インストール時のWindowsサービス。クラスタリング環境では変わる場合があります。
<SID> は SAP システムID (例: P01)、<NN>はインスタンス番号 (例:00)を表しています。
R/3Enterprise の2つの「SAP<SID>_<NN>」サービス はそれぞれセントラルインスタンスとセントラルサービスインスタンス用を表しています。
R/3Enterpriseの SAP J2EE Engine (DispatcherおよびServer) 、SDM、IGS はセントラルインスタンスサービスにより起動されます。
EP の SAP J2EE Engine Server は「SAP J2EE Engine Dispatcher」サービスにより起動されます。
SAP システムに必要なサービス
SAP Enterprise Portal が更に必要とするサービス
SAP J2EE Engine Dispatcher
SQL Server が更に必要とするサービス
MSSQLSERVER, SQL Server Agent
IIS が更に必要とするサービス
World Wide Web Publishing Service, IIS Admin
Service
SAP ITS Wgate が更に必要とするサービス
SAP IACOR Manager
SAP Enterprise Portal IIS Proxy が更に必要とする
サービス
nothing
II. ハードニングの実装
(Windows Server 2003)
ネットワークのハードニングの実装
:IPSec Policy Definition
netsh ipsec static add policy name="Packet Filters - R3" description="Server Hardening Policy" assign=no
:IPSec Filter List Definitions
netsh ipsec static add filterlist name="ALL Inbound Traffic"
netsh ipsec static add filterlist name="SAP DIALOG Server"
netsh ipsec static add filterlist name="MSSQL Server Client"
netsh ipsec static add filterlist name="Domain Member"
description="Server Hardening"
description="Server Hardening"
description="Server Hardening"
description="Server Hardening"
:IPSec Filter Action Definitions
netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to Pass" action=permit
netsh ipsec static add filteraction name=Block
description="Blocks Traffic"
action=block
:IPSec Filter Definitions
netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me
description="ALL Inbound Traffic"
protocol=any srcport=0 dstport=0
netsh ipsec static add filter filterlist="SAP DIALOG Server" srcaddr=any dstaddr=me
description="SAP DIALOG Server Traffic"
protocol=TCP srcport=0 dstport=3200
netsh ipsec static add filter filterlist="MSSQL Server Client" srcaddr=me dstaddr=192.168.12.3 description="MSSQL Server Traffic"
protocol=TCP srcport=0 dstport=1433
netsh ipsec static add filter filterlist="Domain Member"
srcaddr=me dstaddr=192.168.12.1 description="Traffic to Domain Controller"
protocol=any srcport=0 dstport=0
:IPSec Rule Definitions
netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters - R3"
filteraction=Block
netsh ipsec static add rule name="SAP DIALOG Server"
policy="Packet Filters - R3"
filteraction=SecPermit
netsh ipsec static add rule name="MSSQL Server Client"
policy="Packet Filters - R3"
filteraction=SecPermit
netsh ipsec static add rule name="Domain Member Rule"
policy="Packet Filters - R3"
filteraction=SecPermit
netsh ipsec static set policy name="Packet Filters - R3" assign=y
filterlist="ALL Inbound Traffic" kerberos=yes
filterlist="SAP DIALOG Server"
kerberos=yes
filterlist="MSSQL Server Client" kerberos=yes
filterlist="Domain Member"
kerberos=yes
IP Sec スクリプト
ポリシーを実装。
(再起動必要)
ネットワークのハードニングの確認
1
2
3
4
MMC から
「IP セキュリティ
ポリシー」を実行。
ネットワークのハードニングの確認
5
6
ネットワークのハードニングの削除
:IPSec Rule Definitions
netsh ipsec static delete rule name="ALL Inbound Traffic Rule" policy="Packet Filters - R3"
netsh ipsec static delete rule name="SAP DIALOG Server"
policy="Packet Filters - R3"
netsh ipsec static delete rule name="MSSQL Server Client“
policy="Packet Filters - R3"
netsh ipsec static delete rule name="Domain Member Rule"
policy="Packet Filters - R3"
:IPSec Filter Definitions
netsh ipsec static delete filter filterlist="ALL Inbound Traffic"
netsh ipsec static delete filter filterlist="SAP DIALOG Server"
netsh ipsec static delete filter filterlist="MSSQL Server Client"
netsh ipsec static delete filter filterlist="Domain Member"
srcaddr=any dstaddr=me
srcaddr=any dstaddr=me
srcaddr=me dstaddr=192.168.12.3
srcaddr=me dstaddr=192.168.12.1
:IPSec Filter List Definitions
netsh ipsec static delete filterlist name="ALL Inbound Traffic"
netsh ipsec static delete filterlist name="SAP DIALOG Server"
netsh ipsec static delete filterlist name="MSSQL Server Client"
netsh ipsec static delete filterlist name="Domain Member"
:IPSec Filter Action Definitions
netsh ipsec static delete filteraction name=SecPermit
netsh ipsec static delete filteraction name=Block
:IPSec Policy Definition
netsh ipsec static delete policy name="Packet Filters - R3"
IP Sec スクリプト
ポリシーを削除。
(再起動必要)
サービスのハードニングの実装
その他のハードニング
Windows Server 2003 セキュリティガイド添付の
セキュリティテンプレートを利用して一括ハードニング
多くのサーバーに対して、適切なハードニングを効率よく実装
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643
C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist
豊富なテンプレート種類
セキュリティ環境別に3種類
「レガシークライアント」(セキュリティ・弱)
「エンタープライズクライアント」(セキュリティ・中)
「高セキュリティ」(セキュリティ・強)
サーバーロール別に9種類
ドメインコントローラ、メンバーサーバー、Web サーバー、
インフラサーバー(DHCP, WINS)、ファイルサーバー、プリント
サーバー、IAS サーバー、証明書サービスサーバー、要塞ホスト
その他のハードニング
セキュリティテンプレートを利用したハードニン
グは、効率的である一方で、最悪システムが
稼動しなくなる可能性もあるので、注意
テンプレート適用前に、ASR(自動システム
回復)によるシステムバックアップを推奨
またはサードパーティのイメージバックアップ
ツールによるシステムバックアップ
ハードニングはなるべくステップバイステップ
で実行する
現在の状態のバックアップ
1
現在の状態を
バックアップする。
管理ツールから
「ローカルセキュリ
ティの設定」を実行。
セキュリティテンプレートの適用
MMC から
「セキュリティの
構成と分析」を実行。
2
3
4
5
6
7
8
Web からダウン
ロードした INF
ファイルを指定。
現行の設定から
変更される部分が
「赤×」で表示される。
テンプレートを
適用する。
(再起動必要)
(※)Active Directory グループ
ポリシーを利用したテンプレート適用
ハードニングしたいサーバー群をロール別に
OU (組織単位)に分け、それぞれの OU に
セキュリティテンプレートを割当てる
適用作業が効率化(かつ間違いがない)
それぞれのサーバー管理者に無断で設定変更
させない
管理作業も効率化
稼動の確認
項目
1. SAP R/3 Enterprise 環境
SA P R /3 Enterpriseのサービスは起動しているか?
SA P R /3 Enterpriseのログにエラーはないか?
SQ L Server のサービスは起動しているか?
SQ L Server のログにエラーはないか?
SA P R /3 Enterprise にログオンができるか?
SA P R /3 Enterprise にシングルサインオンができるか?
2. SAP ITS 環境
SA P ITS W gate のサービスは起動しているか?
SA P ITS W gateのログにエラーはないか?
SA P ITS A gate のサービスは起動しているか?
SA P ITS A gateのログにエラーはないか?
Web ブラウザでログオンできるか?
ITS
WAS
Web ブラウザでシングルサインオンできるか?
ITS
WAS
3. SAP Enterprise Portal 環境
SA P Enterprise P ortalのサービスは起動しているか?
SA P Enterprise P ortalのログにエラーはないか?
SQ L Server のサービスは起動しているか?
SQ L Server のログにエラーはないか?
Web ブラウザでログオンできるか?
Web ブラウザでシングルサインオンできるか?
確認方法/ツール
SAP R/3 Manangement Console
SAP R/3 Manangement Console
SQL Server Enterprise Manager
SQL Server Enterprise Manager
インターネットサービスマネージャ
ITS A dm inistration (http://w gate:8080/scripts/w gate/adm in/!)
ITS A dm inistration (http://w gate:8080/scripts/w gate/adm in/!)
https://wgate.os.corp.com/scripts/webgui/
https://r3ins.sap.corp.com:8443/sap/bc/bsp/sap/it00/
https://wgate.os.corp.com/scripts/webgui/
https://r3ins.sap.corp.com:8443/sap/bc/bsp/sap/it00/
SA P J2EE Engine A dm inistrator
SA P J2EE Engine A dm inistrator
SQL Server Enterprise Manager
SQL Server Enterprise Manager
https://iisprxy.os.corp.com/
https://iisprxy.os.corp.com/
稼動の確認
(注)これらの項目を確認する事により、「ベーシス」レベルで問題が
ない事が明らかになります(「アプリケーション」レベルを含みません)。
タスク
Check that all application servers
are up.
Check work processes (started
from SM51).
トランザクション
方法
SM51 – SAP Servers
Check that all servers are up.
Review error log for problems.
AL02 – Database (DB) alert
Check tables/space usage
ST04 – DB Performance
Analysis
DB12
Review system logs for problems
OS06 – OS Monitor
All work processes with a “running” or a
“waiting” status
Set date to one year ago Enter * in the
Look for any failed updates (update
SM13 – Update Records
user ID Set to “all”
terminates).
updates
Check for lines with “Err.”
Set date and time to before the last log
Check system log.
SM21 – System Log
review.
Check for: Errors, Warnings, Security,
messages, Abends Database, problems,
Any other, different event
SM37 – Select Background Enter an asterisk (*) inUser ID.
Review for cancelled jobs.
jobs
Verify that all critical jobs were successful.
Check for old locks.
SM12 – Lock entry list.
Enter an asterisk (*) for the user ID.
Check for entries for prior days.
Review for an unknown or different user ID
SM04 – Users
and terminal.
Check for users on the system.
AL08 - Users
This task should be done several times a
day.
SP01 – Spool:
Look for spool jobs that have been “in
Check for spool problems.
Request Screen
process” for over an hour.
Check for:
SM35 – Batch input: Initial
Check job log.
New jobs
Screen
Incorrect jobs
ST22 – ABAP Dump
Look for an excessive number of dumps.
Review and resolve dumps.
Analysis
Look for dumps of an unusual nature.
ST03N – Workload:
Review workload statistics.
Analysis of <SID>
Review buffer statistics.
ST02 – Tune Summary
Look for swaps.
SM50 – Process Overview
Review operating system logs
ハードニングの確認
SAP セキュリティチェックリスト
SAP, OS/DB, N/W 等の観点からのチェックリスト
http://service.sap.com/netweaver (Volume III)
Microsoft Baseline Security Analyzer
セキュリティ評価ツール
パスワード強度、自動ログオン、Guest アカウント権限等
http://www.microsoft.com/japan/technet/treeview/default.asp?u
rl=/japan/technet/security/tools/Tools/mbsahome.asp
その他、ハードニングが実装できている事のチェック
Ping, イベントビューア、グループポリシー結果セットなど
III. SAP-Microsoft コンピテンス
センターにおける技術検証結果
技術検証で想定したシナリオ
以下の3つのシナリオにおける、(特に)
サーバーサイドのハードニング
SAP R/3 Enterprise
SAP ITS
SAP Enterprise Portal
いずれのシナリオにおいても Active
Directory とのシングルサインオンを想定
今後主流になる提案
シングルサインオンのないシナリオも包括できる
ソフトウエアのバージョン
カテゴリ
Microsoft 製品
SAP 製品
Directory
Windows Server 2003
(Active Directory)
SAP R/3 Enterprise
Windows Server 2003
RDBMS (for R/3)
Windows Server 2003, SQL
Server 2000 (SP3+Hotfix
844 + new collation)
SAP ITS - Agate
Windows Server 2003
ITS 6.20 SP8
SAP ITS - Wgate
Windows Server 2003,
IIS 6.0
ITS 6.20 SP8
SAP Enterprise Portal
Windows Server 2003
Enterprise Portal 6.0 SP2
Patch3 + hotfix 2,
J2EE Engine 6.20 SP20
(JDK1.3.1_10)
RDBMS (for EP)
Windows Server 2003, SQL
Server 2000 (SP3+Hotfix
844 + new collation)
EP IISProxy
Windows Server 2003,
IIS 6.0
R/3 Enterprise 4.70 SR1
Ext.2.00, J2EE Engine 6.30
SP2 (JDK1.3.1_10)
IIS Proxy 1.5.0.0
(※)それぞれの Windows Server 2003 には 3/1 時点の最新のセキュリティ修正プログラムを適用済み。
SAP R/3 Enterprise 環境
MS Product
SAP Product
(※)Active Directory
間で信頼関係を構築
Directory
Directory
Active Directory
Active Directory
DIAG/RFC
R/3 Server
CLIENT
SAPGUI
R/3
Enterprise
HTTP/HTTPS
(BSP/BEx)
Web Browser
OAセグメント
oa.corp.com
サーバーセグメント
sap.corp.com
DB Server
SQL Server
SAP ITS 環境
MS Product
SAP Product
Directory
Directory
Active Directory
Active Directory
DIAG/RFC
R/3 Server
CLIENT
SAPGUI
HTTP/HTTPS
(BSP/BEx)
WGATE Server
IIS
Web Browser
SAP ITS
WGate
Server
R/3
Enterprise
AGATE Server
SAP ITS
A-Gate Server
RFC/DIAG
HTTP/HTTPS
(HTML GUI)
OAセグメント
oa.corp.com
サーバーセグメント
sap.corp.com
DB Server
SQL Server
SAP Enterprise Portal 環境
MS Product
SAP Product
Directory
Directory
Active Directory
Active Directory
DIAG/RFC
R/3 Server
CLIENT
SAPGUI
HTTP/HTTPS
(BSP/BEx)
WGATE Server
IIS
Web Browser
HTTP/HTTPS
(HTML GUI)
HTTP/HTTPS
(EP)
SAP ITS
WGate
Server
R/3
Enterprise
AGATE Server
SAP ITS
A-Gate Server
RFC
HTTP/HTTPS
IISPROXY
IIS
OAセグメント
oa.corp.com
SQL Server
RFC/DIAG
HTTP/HTTPS
SAP
IISProxy
Module
DB Server
EP Server
HTTP/HTTPS
サーバーセグメント
sap.corp.com
Enterprise
Portal
DB Server
SQL Server
2段階のハードニング
ネットワークハードニング
デフォルトの通信はブロックし、必要な
「通信経路」と「(宛先)ポート」に限り通信を許可
する設定を実装
IPSec スクリプトポリシーを利用する
サービスハードニング・その他のハードニング
サーバーのロール毎に、不要なサービスを
無効化し、適切なセキュリティ設定を実装する
セキュリティテンプレートを利用する
サービス・その他のハードニング
各サーバーにロールを割当
それぞれのロールに対してセキュリティ
テンプレート(ファイル)を割当
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A264
3C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist
サーバー
ロール
適用したセキュリティテンプレート(※)
Active Directory
ドメインコントローラ
High Security - Domain Controller.inf
SAP R/3 Enterprise
メンバーサーバー
High Security - Member Server Baseline.inf
SQL Server (for R/3)
メンバーサーバー
High Security - Member Server Baseline.inf
SAP ITS - Agate
メンバーサーバー
High Security - Member Server Baseline.inf
SAP ITS - Wgate
Web サーバー
High Security - IIS Server.inf
SAP Enterprise Portal
メンバーサーバー
High Security - Member Server Baseline.inf
SQL Server (for EP)
メンバーサーバー
High Security - Member Server Baseline.inf
EP IISProxy
Web サーバー
High Security - IIS Server.inf
(※)想定するセキュリティ環境としては、今回最もセキュアな「高セキュリティ」テンプレートを利用。
これらのテンプレートを適用する前に、全サーバー共通の High Security – Domain.inf も合わせて適用した。
検証メモ
ネットワークから切り離しセットアップを全て終えて
から、ハードニングを実施
R/3 Enterprise, ITS, Enterprise Portal の順に
テストを実施
都度 Ghost を利用してイメージバックアップ
ネットワークハードニング実施に際しては、事前に
ロールバックスクリプトもあわせて作成
セキュリティテンプレート適用に際しては、必ず
ハードニング前の設定内容のバックアップを取得
都度稼動確認し、最終的には SAP セキュリティ
チェックリスト、MBSA、簡単な ping 等により
ハードニングのチェックを行った
SAP R/3 Enterprise
IPSec Network Traffic Map - Domain Controllers
Table 4.17: Domain Controller IPSec Filter Network Traffic Map
Service
Protocol Source
Destination Source
Destination Action
Port
Port
Address Address
Mirror
memo
All Traffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト は
全て ブ ロ ッ ク
ANY
ANY
ANY
SAP R3
Server
ME
ALLOW
YES
R/3 からの通
信は全て許可
R3 Server
SQL Server
SQL Server か
ANY
Other
Domain
Controller
ANY
ME
ALLOW
YES
らの通信は全
て許可
ANY
SQL Server
ME
ALLOW
YES
他のDomain
Controller か
らの通信は全
て許可
R/3 への通信
ANY
ANY
ANY
Other
Domain
Controller
ICMP
ANY
ANY
ME
SAP R3
Server
ALLOW
YES
ICMP
ANY
ANY
ME
SQL Server
ALLOW
YES
ICMP
ICMP
SQL Server へ
の通信
SAP R/3 Enterprise
IPSec Network Traffic Map - R3 Servers
IPSec Network Traffic Map
Service
Protocol Source
Port
Destinati Source
on Port
Address
Destinati Action
on
Address
Mirror
memo
ANY
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト は全て
ブロッ ク
SAP DIALOG
Server
TCP
ANY
32NN
3200
ANY
ME
ALLOW
YES
SAP GUI からの通
信
MSSQL Server
Client
TCP
ANY
1433
ME
SQL Server
ALLOW
YES
SQL Server への
通信
ANY
ANY
ANY
ME
Domain
Controller
ALLOW
YES
Domain Conroller
への通信
All Traffic
Domain Member
SAP R/3 Enterprise
IPSec Network Traffic Map - SQL Servers
IPSec Network Traffic Map
Service
Protocol Source
Port
Destinati Source
on Port
Address
Destinati Action
on
Address
Mirror
memo
ANY
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト は全て
ブロッ ク
MSSQL
Server
TCP
ANY
1433
SAP R3
Server
ME
ALLOW
YES
R3からの通信
Domain
Member
ANY
ANY
ANY
ME
Domain
Controller
ALLOW
YES
Domain Controller
への通信
All Traffic
SAP ITS
IPSec Network Traffic Map - Domain Controllers
Table 4.17: Domain Controller IPSec Filter Network Traffic Map
Service
Protocol Source
Destination Source
Destination Action
Port
Port
Address Address
Mirror
All Traffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
ANY
ANY
ANY
SAP R3
Server
ME
ALLOW
YES
R3 Server
デフ ォ ルト
は全て ブ
ロッ ク
R/3 からの
SQL Server
通信は全
て許可
SQL Server
ANY
ANY
ANY
SQL Server
ME
ALLOW
YES
ANY
ANY
ANY
SAP Agate
Server
ME
ALLOW
YES
Agate Server
ICMP
ICMP
memo
からの通
信は全て
許可
Agate から
の通信は全
て許可
他の
ICMP
ANY
ANY
ME
SAP R3
Server
ALLOW
YES
ICMP
ANY
ANY
ME
SQL Server
ALLOW
YES
ICMP
ANY
ANY
ME
SAP Agate
Server
ALLOW
YES
ICMP
Domain
Controller
からの通
信は全て
許可
R/3 への通
信
SQL Server
への通信
SAP ITS
IPSec Network Traffic Map - R3 Servers
IPSec Network Traffic Map
Service
Protocol Source
Port
Destinati Source
on Port
Address
Destinati Action
on
Address
Mirror
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト
は全て ブ
ロッ ク
ANY
3200
32NN
SAP
AGATE
Server
ME
ALLOW
YES
SAP Agate
からの通信
ME
ALLOW
YES
SAP
RFC/BAPI プ
ログラムから
の通信
All Traffic
ANY
SAP
DIALOG
Server
SAP RFC
Server
TCP
memo
TCP
ANY
33NN
3300
SAP
AGATE
Server
HTTP
Server
TCP
ANY
80NN
8000
ANY
ME
ALLOW
YES
Web ブラウ
ザからの通信
HTTPS
Server
TCP
ANY
443NN
44300
ANY
ME
ALLOW
YES
〃
MSSQL
Server
Client
TCP
ANY
1433
ME
SQL Server
ALLOW
YES
SQL Server
への通信
ANY
ANY
ANY
ME
Domain
Controller
ALLOW
YES
Domain
Conroller へ
の通信
Domain
Member
SAP ITS
IPSec Network Traffic Map - SQL Servers
IPSec Network Traffic Map
Service
Protocol Source
Port
Destinati Source
on Port
Address
Destinati Action
on
Address
Mirror
ANY
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト
は全て ブ
ロッ ク
TCP
ANY
1433
SAP R3
Server
ME
ALLOW
YES
R3からの通
信
ME
Domain
Controller
YES
Domain
Controller へ
の通信
All Traffic
MSSQL
Server
Domain
Member
memo
ANY
ANY
ANY
ALLOW
SAP ITS
IPSec Network Traffic Map - IIS + ITS Wgate Servers
Table 8.12: IIS Server IPSec Network Traffic Map
Service
Protocol Source
Destinati Source
Port
on Port
Address
Destinati Action
on
Address
Mirror
memo
All Traffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
HTTP
Server
TCP
ANY
80
ANY
ME
ALLOW
YES
HTTPS
Server
TCP
ANY
443
ANY
ME
ALLOW
YES
HTTP
Server for
mgmt
TCP
ANY
8080
ANY
ME
ALLOW
YES
Agate
Client1
TCP
ANY
39NN
3900
ME
SAP Agate
Server
ALLOW
YES
Agate
Client2
TCP
ANY
39N9
3910
ME
SAP Agate
Server
ALLOW
YES
Agate
Client1
(for Mgmt)
TCP
ANY
39NN
3909
3918
ME
SAP Agate
Server
ALLOW
YES
管理用
Agate
Client2
(for Mgmt)
TCP
ANY
39N9
3928
ME
SAP Agate
Server
ALLOW
YES
管理用
ME
Domain
Controller
(AD2.oa.co
rp.com)
ALLOW
YES
Domain
Member
ANY
ANY
ANY
管理用
SAP ITS
IPSec Network Traffic Map - ITS Agate Servers
Table 8.12: IIS Server IPSec Network Traffic Map
Service
Protocol Source
Destinati Source
Port
on Port
Address
Destinati Action
on
Address
Mirror
memo
All Traffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
Agate
Server1
TCP
ANY
39NN
3900
SAP Wgate
ME
ALLOW
YES
Agate
Server2
TCP
ANY
39N9
3910
SAP Wgate
ME
ALLOW
YES
Agate
Server1
(for Mgmt)
TCP
ANY
3918
39NN
SAP Wgate
ME
ALLOW
YES
管理用
Agate
Server2
(for Mgmt)
TCP
ANY
39N9
3928
SAP Wgate
ME
ALLOW
YES
管理用
SAP
DIALOG
Client
TCP
ANY
32NN
3200
ME
SAP
DIALOG
Server
ALLOW
YES
SAP RFC
Client
TCP
ANY
3300
33NN
ME
SAP RFC
Server
ALLOW
YES
ME
Domain
Controller
(AD1.sap.c
orp.com)
ALLOW
YES
Domain
Member
ANY
ANY
ANY
SAP Enterprise Portal
IPSec Network Traffic Map - Domain Controllers
Table 4.17: Domain Controller IPSec Filter Network Traffic Map
Service
Protocol Source
Destination Source
Destination Action
Port
Port
Address Address
Mirror
ANY
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト
は全て ブ
ロッ ク
ANY
ANY
ANY
SAP R3
Server
ME
ALLOW
YES
R/3 からの
通信は全て
許可
ANY
ANY
ANY
SQL Server
ME
ALLOW
YES
ANY
ANY
ANY
SAP Agate
Server
ME
ALLOW
YES
ANY
ANY
ANY
SAP EP
Server
ME
ALLOW
YES
ME
ALLOW
YES
All Traffic
R3 Server
SQL Server
SQL Server
Agate Server
EP Server
EP SQL
Server
ICMP
ICMP
ICMP
ICMP
memo
ANY
ANY
ANY
SAP EP
SQL Server
ICMP
ANY
ANY
ME
SAP R3
Server
ALLOW
YES
ICMP
ANY
ANY
ME
SQL Server
ALLOW
YES
ALLOW
YES
ICMP
ANY
ANY
ME
SAP Agate
Server
ICMP
ANY
ANY
ME
SAP EP
Server
ALLOW
YES
ICMP
ANY
ANY
ME
SAP EP SQL
Server
ALLOW
YES
ICMP
からの通信
は全て許可
Agate から
の通信は全
て許可
EP からの通
信は全て許
可
EP=SQL
Server から
の通信は全
て許可
R/3 への通
信
SQL Server
への通信
Agate への
通信
EP への通
信
EP=SQL
Server への
通信
SAP Enterprise Portal
IPSec Network Traffic Map - R3 Servers
IPSec Network Traffic Map
Service
Protocol Source
Port
Destinati Source
on Port
Address
Destinati Action
on
Address
Mirror
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト
は全て ブ
ロッ ク
32NN
3200
SAP
AGATE
Server
ME
ALLOW
YES
SAP Agate
からの通信
ME
ALLOW
YES
All Traffic
ANY
SAP
DIALOG
Server
SAP RFC
Server
TCP
ANY
ANY
TCP
ANY
3300
33NN
SAP
AGATE
Server
SAP RFC
Server
TCP
ANY
33NN?
3300
SAP EP
Server
ME
ALLOW
YES
HTTP
Server
TCP
ANY
80NN
8000
ANY
ME
ALLOW
YES
HTTPS
Server
TCP
ANY
443NN
44300
ANY
ME
ALLOW
YES
MSSQL
Server
Client
TCP
ANY
1433
ME
SQL Server
ALLOW
YES
ME
Domain
Controller
Domain
Member
ANY
ANY
memo
ANY
ALLOW
YES
SAP
RFC/BAPI プ
ログラムか
らの通信
SAP EP から
の通信
Web ブラウ
ザからの通
信
〃
SQL Server
への通信
Domain
Conroller へ
の通信
SAP Enterprise Portal
IPSec Network Traffic Map - SQL Servers
IPSec Network Traffic Map
Service
Protocol Source
Port
Destinati Source
on Port
Address
Destinati Action
on
Address
Mirror
ANY
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト
は全て ブ
ロッ ク
TCP
ANY
1433
SAP R3
Server
ME
ALLOW
YES
R3からの通
信
ME
Domain
Controller
YES
Domain
Controller へ
の通信
All Traffic
MSSQL
Server
Domain
Member
memo
ANY
ANY
ANY
ALLOW
SAP Enterprise Portal
IPSec Network Traffic Map - EP Servers
IPSec Network Traffic Map
Service
Protocol Source
Port
Destinati Source
on Port
Address
Destinati Action
on
Address
Mirror
All Traffic
ANY
ANY
TCP
ANY
TCP
ANY
HTTP
Client
TCP
ANY
HTTPS
Client
TCP
HTTP
Client
HTTPS
Client
SAP J2EE
Dispatcher
Server(HTT
P)
SAP J2EE
Dispatcher
Server(HTT
PS)
RFC Client
MSSQL
Server
Client
Domain
Member
ANY
ANY
ME
BLOCK
YES
50000
5NN00
ANY
(IISPRXY)
ME
ALLOW
YES
5NN01
50001
ANY
(IISPRXY)
ME
ALLOW
YES
80
ME
Wgate
Server
ALLOW
YES
ANY
443
ME
Wgate
Server
ALLOW
YES
TCP
ANY
80NN
8000
ME
R/3 Server
ALLOW
YES
TCP
ANY
44300
443NN
ME
R/3 Server
ALLOW
YES
TCP
ANY
3300
33NN?
ME
R/3 Server
ALLOW
YES
TCP
ANY
1433
ME
SQL Server
ALLOW
YES
ANY
ANY
ANY
ME
Domain
Controller
ALLOW
YES
memo
デフ ォ ルト
は全て ブ
ロッ ク
Wgate
R/3
SQL Server
への通信
Domain
Conroller へ
の通信
SAP Enterprise Portal
IPSec Network Traffic Map - EP-SQL Servers
IPSec Network Traffic Map
Service
Protocol Source
Port
Destinati Source
on Port
Address
Destinati Action
on
Address
Mirror
memo
ANY
ANY
ANY
ANY
ME
BLOCK
YES
デフ ォ ルト
は全て ブ
ロッ ク
MSSQL
Server
TCP
ANY
1433
SAP EP
Server
ME
ALLOW
YES
EPからの通
信
Domain
Member
ANY
ANY
ANY
ME
Domain
Controller
ALLOW
YES
Domain
Controller へ
の通信
All Traffic
SAP Enterprise Portal
IPSec Network Traffic Map - IIS + ITS Wgate Servers
Table 8.12: IIS Server IPSec Network Traffic Map
Service
Protocol Source
Destinati Source
Port
on Port
Address
Destinati Action
on
Address
Mirror
memo
All Traffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
HTTP
Server
TCP
ANY
80
ANY
ME
ALLOW
YES
HTTPS
Server
TCP
ANY
443
ANY
ME
ALLOW
YES
HTTP
Server for
mgmt
TCP
ANY
8080
ANY
ME
ALLOW
YES
Agate
Client1
TCP
ANY
39NN
3900
ME
SAP Agate
Server
ALLOW
YES
Agate
Client2
TCP
ANY
39N9
3910
ME
SAP Agate
Server
ALLOW
YES
Agate
Client1
(for Mgmt)
TCP
ANY
39NN
3918
ME
SAP Agate
Server
ALLOW
YES
管理用
Agate
Client2
(for Mgmt)
TCP
ANY
39N9
3928
ME
SAP Agate
Server
ALLOW
YES
管理用
ME
Domain
Controller
(AD2.oa.co
rp.com)
ALLOW
YES
Domain
Member
ANY
ANY
ANY
管理用
SAP Enterprise Portal
IPSec Network Traffic Map - ITS Agate Servers
Table 8.12: IIS Server IPSec Network Traffic Map
Service
Protocol Source
Destinati Source
Port
on Port
Address
Destinati Action
on
Address
Mirror
memo
All Traffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
Agate
Server1
TCP
ANY
3900
39NN
SAP Wgate
ME
ALLOW
YES
Agate
Server2
TCP
ANY
39N9
3910
SAP Wgate
ME
ALLOW
YES
Agate
Server1
(for Mgmt)
TCP
ANY
3918
39NN
SAP Wgate
ME
ALLOW
YES
管理用
Agate
Server2
(for Mgmt)
TCP
ANY
39N9
3928
SAP Wgate
ME
ALLOW
YES
管理用
ME
SAP
DIALOG
Server
ALLOW
YES
ME
SAP RFC
Server
ALLOW
YES
ME
Domain
Controller
(AD1.sap.c
orp.com)
ALLOW
YES
SAP
DIALOG
Client
TCP
ANY
3200
32NN
SAP RFC
Client
TCP
ANY
3300
33NN
Domain
Member
ANY
ANY
ANY
SAP Enterprise Portal
IPSec Network Traffic Map - IIS + IISProxy Servers
Table 8.12: IIS Server IPSec Network Traffic Map
Service
Protocol Source
Destinati Source
Port
on Port
Address
Destinati Action
on
Address
Mirror
All Traffic
ANY
ANY
ANY
ANY
ME
BLOCK
YES
HTTP
Server
TCP
ANY
80
ANY
ME
ALLOW
YES
HTTPS
Server
TCP
ANY
443
ANY
ME
ALLOW
YES
EP Client
for HTTP
TCP
ANY
5NN00
50000
ME
SAP EP
Server
ALLOW
YES
EP Client
for HTTPS
TCP
ANY
50001
5NN01
ME
SAP EP
Server
ALLOW
YES
ME
Domain
Controller
(AD2.oa.co
rp.com)
ALLOW
YES
Domain
Member
ANY
ANY
ANY
memo
Active Directory
名前
状態
A utom atic U pdates
C om puter B row ser
C ryptographic Services
D istributed File System
D N S C lient
D N S Server
Event Log
File R eplication Service
Intersite M essaging
IP SEC Services
Kerberos Key D istribution C enter
N et Logon
N T LM Security Support P rovider
P lug and P lay
P rotected Storage
R em ote P rocedure C all(R P C )
R em ote P rocedure C all(R P C ) Locator
R em ote R egistry
Security A ccounts M anager
Server
System Event N otification
TC P /IP N etB IO S H elper
Term inalServices
W indow s Installer
W indow s M anagem ent Instrum entation
W indow s Tim e
W orkstation
B ackground Intelligent Transfer Service
C O M + Event System
LogicalD isk M anager
LogicalD isk M anager A dm inistrative Service
M icrosoft Softw are Shadow C opy P rovider
N etw ork C onnections
N etw ork Location A w areness (N LA )
P erform ance Logs and A lerts
R em ovable Storage
V olum e Shadow C opy
W indow s M anagem ent Instrum entation D river
Extensions
W M I P erform ance A dapter
A lerter
A pplication Layer G atew ay Service
A pplication M anagem ent
C lipB ook
C O M + System A pplication
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スタートアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログオン
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
手動
LocalSystem
手動
無効
無効
無効
無効
無効
LocalSystem
LocalService
LocalService
LocalSystem
LocalSystem
LocalSystem
D H C P C lient
D H C P Server
D istributed Link Tracking C lient
D istributed Link Tracking Server
D istributed Transaction C oordinator
Error R eporting Service
H elp and Support
H TTP SSL
H um an Interface D evice A ccess
IM A P I C D -B urning C O M Service
Indexing Service
Internet C onnection Firew all(IC F) / Internet
C onnection Sharing (IC S)
License Logging
M essenger
N etM eeting R em ote D esktop Sharing
N etw ork D D E
N etw ork D D E D SD M
P ortable M edia SerialN um ber Service
P rint Spooler
R em ote A ccess A uto C onnection M anager
R em ote A ccess C onnection M anager
R em ote D esktop H elp Session M anager
R esultant Set of P olicy P rovider
R outing and R em ote A ccess
Secondary Logon
ShellH ardw are D etection
Sm art C ard
SpecialA dm inistration C onsole H elper
Task Scheduler
Telephony
Telnet
Term inalServices Session D irectory
Them es
U ninterruptible P ow er Supply
U pload M anager
V irtualD isk Service
W ebC lient
W indow s A udio
W indow s Im age A cquisition (W IA )
W inH TTP W eb P roxy A uto-D iscovery Service
W ireless C onfiguration
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
無効
LocalSystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalService
LocalService
LocalSystem
SAP R/3 Enterprise
名前
A utom atic U pdates
C om puter B row ser
C ryptographic Services
D istributed File System
D N S C lient
Event Log
IP SEC Services
N et Logon
N T LM Security Support P rovider
P lug and P lay
P rotected Storage
R em ote P rocedure C all(R P C )
R em ote R egistry
SA P O SC O L
Security A ccounts M anager
Server
System Event N otification
TC P /IP N etB IO S H elper
Term inalServices
W indow s Installer
W indow s M anagem ent Instrum entation
W indow s Tim e
W orkstation
B ackground Intelligent Transfer Service
C O M + Event System
LogicalD isk M anager
LogicalD isk M anager A dm inistrative Service
M icrosoft Softw are Shadow C opy P rovider
N etw ork C onnections
N etw ork Location A w areness (N LA )
P erform ance Logs and A lerts
R em ovable Storage
SA P P 01_00
SA P P 01_05
V olum e Shadow C opy
W indow s M anagem ent Instrum entation D river
Extensions
W M I P erform ance A dapter
A lerter
A pplication Layer G atew ay Service
A pplication M anagem ent
C lipB ook
C O M + System A pplication
D H C P C lient
D istributed Link Tracking C lient
スタートアップ
の種類
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 手動
開始 手動
手動
手動
手動
開始 手動
開始 手動
手動
手動
開始 手動
開始 手動
手動
状態
ログオン
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
SA P \S A P ServiceP 0
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
SA P \S A P ServiceP 0
SA P \S A P ServiceP 0
LocalSystem
手動
LocalSystem
手動
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalService
LocalService
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
D istributed Link Tracking Server
D istributed Transaction C oordinator
Error R eporting Service
File R eplication
H elp and Support
H TTP SSL
H um an Interface D evice A ccess
IM A P I C D -B urning C O M Service
Indexing Service
Internet C onnection Firew all(IC F) / Internet
C onnection Sharing (IC S)
Intersite M essaging
Kerberos Key D istribution C enter
License Logging
M essenger
N etM eeting R em ote D esktop Sharing
N etw ork D D E
N etw ork D D E D SD M
P ortable M edia SerialN um ber Service
P rint Spooler
R em ote A ccess A uto C onnection M anager
R em ote A ccess C onnection M anager
R em ote D esktop H elp Session M anager
R em ote P rocedure C all(R P C ) Locator
R esultant Set of P olicy P rovider
R outing and R em ote A ccess
Secondary Logon
ShellH ardw are D etection
Sm art C ard
SpecialA dm inistration C onsole H elper
Task Scheduler
Telephony
Telnet
Term inalServices Session D irectory
Them es
U ninterruptible P ow er Supply
U pload M anager
V irtualD isk Service
W ebC lient
W indow s A udio
W indow s Im age A cquisition (W IA )
W inH TTP W eb P roxy A uto-D iscovery Service
W ireless C onfiguration
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
無効
LocalSystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalService
LocalService
LocalSystem
SQL Server (for SAP R/3 Enterprise)
名前
状態
A utom atic U pdates
C om puter B row ser
C ryptographic Services
D N S C lient
Event Log
IP SEC Services
M SSQ LSER V ER
N et Logon
N T LM Security Support P rovider
P lug and P lay
P rotected Storage
R em ote P rocedure C all(R P C )
R em ote R egistry
Security A ccounts M anager
Server
SQ LSER V ER A G EN T
System Event N otification
TC P /IP N etB IO S H elper
Term inalServices
W indow s Installer
W indow s M anagem ent Instrum entation
W indow s Tim e
W orkstation
B ackground Intelligent Transfer Service
C O M + Event System
LogicalD isk M anager
LogicalD isk M anager A dm inistrative Service
M icrosoft Softw are Shadow C opy P rovider
N etw ork C onnections
N etw ork Location A w areness (N LA )
P erform ance Logs and A lerts
R em ovable Storage
V olum e Shadow C opy
W indow s M anagem ent Instrum entation D river
Extensions
W M I P erform ance A dapter
A lerter
A pplication Layer G atew ay Service
A pplication M anagem ent
C lipB ook
C O M + System A pplication
D H C P C lient
D istributed File System
D istributed Link Tracking C lient
D istributed Link Tracking Server
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スタートアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログオン
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
手動
LocalSystem
手動
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalService
LocalService
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
D istributed Transaction C oordinator
Error R eporting Service
File R eplication
H elp and Support
H TTP SSL
H um an Interface D evice A ccess
IM A P I C D -B urning C O M Service
Indexing Service
Internet C onnection Firew all(IC F) / Internet
C onnection Sharing (IC S)
Intersite M essaging
Kerberos Key D istribution C enter
License Logging
M essenger
M icrosoft Search
M SSQ LServerA D H elper
N etM eeting R em ote D esktop Sharing
N etw ork D D E
N etw ork D D E D SD M
P ortable M edia SerialN um ber Service
P rint Spooler
R em ote A ccess A uto C onnection M anager
R em ote A ccess C onnection M anager
R em ote D esktop H elp Session M anager
R em ote P rocedure C all(R P C ) Locator
R esultant Set of P olicy P rovider
R outing and R em ote A ccess
Secondary Logon
ShellH ardw are D etection
Sm art C ard
SpecialA dm inistration C onsole H elper
Task Scheduler
Telephony
Telnet
Term inalServices Session D irectory
Them es
U ninterruptible P ow er Supply
U pload M anager
V irtualD isk Service
W ebC lient
W indow s A udio
W indow s Im age A cquisition (W IA )
W inH TTP W eb P roxy A uto-D iscovery Service
W ireless C onfiguration
無効
無効
無効
無効
無効
無効
無効
無効
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
無効
LocalSystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalService
LocalService
LocalSystem
SAP ITS Agate
名前
状態
A utom atic U pdates
C om puter B row ser
C ryptographic Services
D N S C lient
Event Log
IP SEC Services
ITS W atchdog
N et Logon
N T LM Security Support P rovider
P lug and P lay
P rotected Storage
R em ote P rocedure C all(R P C )
R em ote R egistry
SA P IA C O R M anager
SA P ITS M anager - A D M
SA P ITS M anager - P 01
Security A ccounts M anager
Server
System Event N otification
TC P /IP N etB IO S H elper
Term inalServices
W indow s Installer
W indow s M anagem ent Instrum entation
W indow s Tim e
W orkstation
B ackground Intelligent Transfer Service
C O M + Event System
LogicalD isk M anager
LogicalD isk M anager A dm inistrative Service
M icrosoft Softw are Shadow C opy P rovider
N etw ork C onnections
N etw ork Location A w areness (N LA )
P erform ance Logs and A lerts
R em ovable Storage
V olum e Shadow C opy
W indow s M anagem ent Instrum entation D river
Extensions
W M I P erform ance A dapter
A lerter
A pplication Layer G atew ay Service
A pplication M anagem ent
C lipB ook
C O M + System A pplication
D H C P C lient
D istributed File System
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スタートアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログオン
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
手動
LocalSystem
手動
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalService
LocalService
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
D istributed Link Tracking C lient
D istributed Link Tracking Server
D istributed Transaction C oordinator
Error R eporting Service
File R eplication
H elp and Support
H TTP SSL
H um an Interface D evice A ccess
IM A P I C D -B urning C O M Service
Indexing Service
Internet C onnection Firew all(IC F) / Internet
C onnection Sharing (IC S)
Intersite M essaging
Kerberos Key D istribution C enter
License Logging
M essenger
N etM eeting R em ote D esktop Sharing
N etw ork D D E
N etw ork D D E D SD M
P ortable M edia SerialN um ber Service
P rint Spooler
R em ote A ccess A uto C onnection M anager
R em ote A ccess C onnection M anager
R em ote D esktop H elp Session M anager
R em ote P rocedure C all(R P C ) Locator
R esultant Set of P olicy P rovider
R outing and R em ote A ccess
Secondary Logon
ShellH ardw are D etection
Sm art C ard
SpecialA dm inistration C onsole H elper
Task Scheduler
Telephony
Telnet
Term inalServices Session D irectory
Them es
U ninterruptible P ow er Supply
U pload M anager
V irtualD isk Service
W ebC lient
W indow s A udio
W indow s Im age A cquisition (W IA )
W inH TTP W eb P roxy A uto-D iscovery Service
W ireless C onfiguration
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
無効
LocalSystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalService
LocalService
LocalSystem
SAP ITS Wgate
名前
状態
A utom atic U pdates
C om puter B row ser
C ryptographic Services
D N S C lient
Event Log
H TTP SSL
IIS A dm in Service
IP SEC Services
N et Logon
N T LM Security Support P rovider
P lug and P lay
P rotected Storage
R em ote P rocedure C all(R P C )
R em ote R egistry
SA P IA C O R M anager
Security A ccounts M anager
Server
System Event N otification
TC P /IP N etB IO S H elper
Term inalServices
W indow s Installer
W indow s M anagem ent Instrum entation
W indow s Tim e
W orkstation
W orld W ide W eb P ublishing Service
B ackground Intelligent Transfer Service
C O M + Event System
LogicalD isk M anager
LogicalD isk M anager A dm inistrative Service
M icrosoft Softw are Shadow C opy P rovider
N etw ork C onnections
N etw ork Location A w areness (N LA )
P erform ance Logs and A lerts
R em ovable Storage
V olum e Shadow C opy
W indow s M anagem ent Instrum entation D river
Extensions
W M I P erform ance A dapter
A lerter
A pplication Layer G atew ay Service
A pplication M anagem ent
C lipB ook
C O M + System A pplication
D H C P C lient
D istributed File System
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スタートアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログオン
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
手動
LocalSystem
手動
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalService
LocalService
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
D istributed Link Tracking C lient
D istributed Link Tracking Server
D istributed Transaction C oordinator
Error R eporting Service
File R eplication
H elp and Support
H um an Interface D evice A ccess
IM A P I C D -B urning C O M Service
Indexing Service
Internet C onnection Firew all(IC F) / Internet
C onnection Sharing (IC S)
Intersite M essaging
Kerberos Key D istribution C enter
License Logging
M essenger
N etM eeting R em ote D esktop Sharing
N etw ork D D E
N etw ork D D E D SD M
P ortable M edia SerialN um ber Service
P rint Spooler
R em ote A ccess A uto C onnection M anager
R em ote A ccess C onnection M anager
R em ote D esktop H elp Session M anager
R em ote P rocedure C all(R P C ) Locator
R esultant Set of P olicy P rovider
R outing and R em ote A ccess
Secondary Logon
ShellH ardw are D etection
Sm art C ard
SpecialA dm inistration C onsole H elper
Task Scheduler
Telephony
Telnet
Term inalServices Session D irectory
Them es
U ninterruptible P ow er Supply
U pload M anager
V irtualD isk Service
W ebC lient
W indow s A udio
W indow s Im age A cquisition (W IA )
W inH TTP W eb P roxy A uto-D iscovery Service
W ireless C onfiguration
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
無効
LocalSystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalService
LocalService
LocalSystem
SAP Enterprise Portal
名前
A utom atic U pdates
C om puter B row ser
C ryptographic Services
D N S C lient
Event Log
IP SEC Services
N et Logon
N T LM Security Support P rovider
P lug and P lay
P rotected Storage
R em ote P rocedure C all(R P C )
R em ote R egistry
Security A ccounts M anager
Server
System Event N otification
TC P /IP N etB IO S H elper
Term inalServices
W indow s Installer
W indow s M anagem ent Instrum entation
W indow s Tim e
W orkstation
B ackground Intelligent Transfer Service
C O M + Event System
LogicalD isk M anager
LogicalD isk M anager A dm inistrative Service
M icrosoft Softw are Shadow C opy P rovider
N etw ork C onnections
N etw ork Location A w areness (N LA )
P erform ance Logs and A lerts
R em ovable Storage
V olum e Shadow C opy
W indow s M anagem ent Instrum entation D river
Extensions
W M I P erform ance A dapter
A lerter
A pplication Layer G atew ay Service
A pplication M anagem ent
C lipB ook
C O M + System A pplication
D H C P C lient
D istributed File System
D istributed Link Tracking C lient
D istributed Link Tracking Server
D istributed Transaction C oordinator
Error R eporting Service
スタートアップ
の種類
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 自動
開始 手動
開始 手動
手動
手動
手動
開始 手動
開始 手動
手動
手動
手動
状態
ログオン
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
手動
LocalSystem
手動
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalService
LocalService
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
File R eplication
H elp and Support
H TTP SSL
H um an Interface D evice A ccess
IM A P I C D -B urning C O M Service
Indexing Service
Internet C onnection Firew all(IC F) / Internet
C onnection Sharing (IC S)
Intersite M essaging
Kerberos Key D istribution C enter
License Logging
M essenger
N etM eeting R em ote D esktop Sharing
N etw ork D D E
N etw ork D D E D SD M
P ortable M edia SerialN um ber Service
P rint Spooler
R em ote A ccess A uto C onnection M anager
R em ote A ccess C onnection M anager
R em ote D esktop H elp Session M anager
R em ote P rocedure C all(R P C ) Locator
R esultant Set of P olicy P rovider
R outing and R em ote A ccess
Secondary Logon
ShellH ardw are D etection
Sm art C ard
SpecialA dm inistration C onsole H elper
Task Scheduler
Telephony
Telnet
Term inalServices Session D irectory
Them es
U ninterruptible P ow er Supply
U pload M anager
V irtualD isk Service
W ebC lient
W indow s A udio
W indow s Im age A cquisition (W IA )
W inH TTP W eb P roxy A uto-D iscovery Service
W ireless C onfiguration
無効
無効
無効
無効
無効
無効
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
無効
LocalSystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalService
LocalService
LocalSystem
SQL Server (for SAP Enterprise Portal)
名前
状態
A utom atic U pdates
C om puter B row ser
C ryptographic Services
D N S C lient
Event Log
IP SEC Services
M SSQ LSER V ER
N et Logon
N T LM Security Support P rovider
P lug and P lay
P rotected Storage
R em ote P rocedure C all(R P C )
R em ote R egistry
Security A ccounts M anager
Server
Sym antec G host C onfiguration Server
System Event N otification
TC P /IP N etB IO S H elper
Term inalServices
W indow s Installer
W indow s M anagem ent Instrum entation
W indow s Tim e
W orkstation
B ackground Intelligent Transfer Service
C O M + Event System
LogicalD isk M anager
LogicalD isk M anager A dm inistrative Service
M icrosoft Softw are Shadow C opy P rovider
N etw ork C onnections
N etw ork Location A w areness (N LA )
P erform ance Logs and A lerts
R em ovable Storage
SQ LSER V ER A G EN T
V olum e Shadow C opy
W indow s M anagem ent Instrum entation D river
Extensions
W M I P erform ance A dapter
A lerter
A pplication Layer G atew ay Service
A pplication M anagem ent
C lipB ook
C O M + System A pplication
D H C P C lient
D istributed File System
D istributed Link Tracking C lient
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スタートアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログオン
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
SA P \A dm inistrator
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
SA P \A dm inistrator
LocalSystem
手動
LocalSystem
手動
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalService
LocalService
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
D istributed Link Tracking Server
D istributed Transaction C oordinator
Error R eporting Service
File R eplication
H elp and Support
H TTP SSL
H um an Interface D evice A ccess
IM A P I C D -B urning C O M Service
Indexing Service
Internet C onnection Firew all(IC F) / Internet
C onnection Sharing (IC S)
Intersite M essaging
Kerberos Key D istribution C enter
License Logging
M essenger
M icrosoft Search
M SSQ LServerA D H elper
N etM eeting R em ote D esktop Sharing
N etw ork D D E
N etw ork D D E D SD M
P ortable M edia SerialN um ber Service
P rint Spooler
R em ote A ccess A uto C onnection M anager
R em ote A ccess C onnection M anager
R em ote D esktop H elp Session M anager
R em ote P rocedure C all(R P C ) Locator
R esultant Set of P olicy P rovider
R outing and R em ote A ccess
Secondary Logon
ShellH ardw are D etection
Sm art C ard
SpecialA dm inistration C onsole H elper
Task Scheduler
Telephony
Telnet
Term inalServices Session D irectory
Them es
U ninterruptible P ow er Supply
U pload M anager
V irtualD isk Service
W ebC lient
W indow s A udio
W indow s Im age A cquisition (W IA )
W inH TTP W eb P roxy A uto-D iscovery Service
W ireless C onfiguration
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
無効
LocalSystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalService
LocalService
LocalSystem
SAP Enterprise Portal IIS Proxy
名前
状態
A utom atic U pdates
C om puter B row ser
C ryptographic Services
D N S C lient
Event Log
H TTP SSL
IIS A dm in Service
IP SEC Services
N et Logon
N T LM Security Support P rovider
P lug and P lay
P rotected Storage
R em ote P rocedure C all(R P C )
R em ote R egistry
Security A ccounts M anager
Server
System Event N otification
TC P /IP N etB IO S H elper
Term inalServices
W indow s Installer
W indow s M anagem ent Instrum entation
W indow s Tim e
W orkstation
W orld W ide W eb P ublishing Service
B ackground Intelligent Transfer Service
C O M + Event System
LogicalD isk M anager
LogicalD isk M anager A dm inistrative Service
M icrosoft Softw are Shadow C opy P rovider
N etw ork C onnections
N etw ork Location A w areness (N LA )
P erform ance Logs and A lerts
R em ovable Storage
V olum e Shadow C opy
W indow s M anagem ent Instrum entation D river
Extensions
W M I P erform ance A dapter
A lerter
A pplication Layer G atew ay Service
A pplication M anagem ent
C lipB ook
C O M + System A pplication
D H C P C lient
D istributed File System
D istributed Link Tracking C lient
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
開始
スタートアップ
の種類
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
自動
手動
手動
手動
手動
手動
手動
手動
手動
手動
手動
ログオン
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
手動
LocalSystem
手動
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalService
LocalService
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
D istributed Link Tracking Server
D istributed Transaction C oordinator
Error R eporting Service
File R eplication
H elp and Support
H um an Interface D evice A ccess
IM A P I C D -B urning C O M Service
Indexing Service
Internet C onnection Firew all(IC F) / Internet
C onnection Sharing (IC S)
Intersite M essaging
Kerberos Key D istribution C enter
License Logging
M essenger
N etM eeting R em ote D esktop Sharing
N etw ork D D E
N etw ork D D E D SD M
P ortable M edia SerialN um ber Service
P rint Spooler
R em ote A ccess A uto C onnection M anager
R em ote A ccess C onnection M anager
R em ote D esktop H elp Session M anager
R em ote P rocedure C all(R P C ) Locator
R esultant Set of P olicy P rovider
R outing and R em ote A ccess
Secondary Logon
ShellH ardw are D etection
Sm art C ard
SpecialA dm inistration C onsole H elper
Task Scheduler
Telephony
Telnet
Term inalServices Session D irectory
Them es
U ninterruptible P ow er Supply
U pload M anager
V irtualD isk Service
W ebC lient
W indow s A udio
W indow s Im age A cquisition (W IA )
W inH TTP W eb P roxy A uto-D iscovery Service
W ireless C onfiguration
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
無効
LocalSystem
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
無効
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalSystem
N etw ork Service
LocalSystem
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalSystem
LocalService
LocalSystem
LocalService
LocalService
LocalSystem
セキュリティテンプレート適用後の設定変更
+ Administrators
R/3 Server, R/3 用 SQL Server では、高セキュリティ・テンプレートで
削除された Administrators を再度入力した。