Best Practice Guide 参考訳

Windows Installer Best Practice - Security Considerations Rule 69

とっちゃん — Thu, 12 Oct 2006 20:36:00 GMT

-- Tao of Windows Installer Part 6 より --

セキュリティで考慮すべき点-Security Considerations-

原則69:パッケージの実行を制限するソフトウェア制限ポリシーを利用しましょう

ソフトウェア制限ポリシー(Software Restriction Policy:SRP)は、管理者がファイルハッシュ、パス、URLゾーンや証明書などさまざまな基準を元にアプリケーションの実行を制限するためのものです。インストーラはSRPに完全準拠していますので、msiパッケージの実行やパッチ、トランスフォームの適用を行なう際の制限となります。

パッケージ、パッチ、トランスフォームの実行が制限される場合、Windows Installer はエラーメッセージを表示してアプリケーションイベントログに記録します。ソフトウェア制限ポリシーは、初めてアプリケーションがインストールされるとき、パッチを適用しようとしたとき、およびインストーラパッケージが再キャッシュされようとした場合に評価されます。

Windows Installer Best Practice - Security Considerations Rule 68

とっちゃん — Wed, 11 Oct 2006 17:02:00 GMT

-- Tao of Windows Installer Part 6 より --

セキュリティで考慮すべき点-Security Considerations-

原則68:ロックダウンされた環境でパッケージのテストを行いましょう

企業向けの配置シナリオでは、機能、権限およびパーミッションが制限されているのが標準的な環境といえます。作成したパッケージがそのような制限された状況でも問題なく動作することを確認する必要があります。ロックダウンされた環境での動作を確実にするために下記の基本的なガイドラインを参考にしてください:

Windows Installer マシンシステムポリシに関する互換性の検証を行なってください。
全てのユーザーインターフェースレベル(すなわち、none(サイレント)、basic(基本UI)、limited(制約UI)、および full(完全UI)) で動作することを検証してください。
権限昇格および権限非昇格の両方の動作をNTFSパーテーション上で検証してください。
異なるユーザー権限で検証してください。すなわち、特権を与えられたユーザー(管理者権限)と同様に制限ユーザーでインストールしても動作することを確認してください。

理想としては、パーミッション、ポリシー、ユーザー制約が完全に反映されたテストプラットフォームを用意して動作検証行なうべきといえます。

Windows Installer Best Practice - Security Considerations Rule 67

とっちゃん — Tue, 10 Oct 2006 22:07:00 GMT

-- Tao of Windows Installer Part 6 より --

セキュリティで考慮すべき点-Security Considerations-

原則67:セキュアなカスタムアクションを作成しましょう

インストーラはカスタムアクションの動作にシステム制限を与えるために、デフォルトではユーザー権限で動作します。権限の管理されたアプリケーションのインストールや、システムポリシで高い特権を与えられている場合、インストーラは管理者権限でカスタムアクションを実行するかもしれません。よりよいセキュリティ確保のために、下記のガイドラインを参考にしてください。

カスタムアクションによって書き込みされるいかなるファイルについてもセキュリティを確保しましょう
カスタムアクションで読み込まれる全てのデータのバッファ長と有効性を確認しましょう。これは、プロパティにも当てはまります。特にユーザーが変更可能な、パブリックプロパティについては、確実にチェックが必要です。
パッケージが対応する全てのプラットフォームでシステムによって信頼されているわけではない外部DLLには頼らないようにしましょう。
高い特権もしくは偽装を行なうカスタムアクションを使うかどうかについては慎重に検討してください。カスタムアクションが高い権限で動作しなければならないのならば、カスタムアクションがバッファオーバーランおよび安全ではないコードの不注意なロードに十分用心してください。インストーラの実行中はインストーラが高い特権をプロセスに与え、その中でスクリプトが動作する点にも注意してください。実行中は全てのカスタムアクションが高い権限で動作しているかもしれません。
ユーザーが入力すべき情報は全てUIシーケンスで収集してください。パブリックプロパティを利用出来ない情報をユーザーに対して問い合わせないでください。スクリプトカスタムアクションがプロパティによって拡張される場合、カスタムアクションがスクリプトインジェクションの可能性から保護されるように予防策を講じてください。スクリプトはクリアテキストにロギングする可能性があります。

Windows Installer Best Practice - Security Considerations Rule 66

とっちゃん — Thu, 05 Oct 2006 19:54:00 GMT

-- Tao of Windows Installer Part 6 より --

セキュリティで考慮すべき点-Security Considerations-

原則66:パッチの適用を制限すべき環境のセキュリティを維持するために、DisablePatch と AllowLockdownPatch ポリシーを利用しましょう。

DisablePatch ポリシーはインストーラがパッチを適用できなくするためのマシンに対するポリシーです。このポリシーにより、パッチの適用が制限され、高いセキュリティ環境を維持することが出来ます。

AllowLockdownPatch ポリシーも同様ですが、権限を昇格してインストールされた既存の製品については管理者権限を用いてパッチを適用することが出来ます。

Windows Installer Best Practice - Security Considerations Rule 65

とっちゃん — Wed, 04 Oct 2006 17:47:00 GMT

-- Tao of Windows Installer Part 6 より --

セキュリティで考慮すべき点-Security Considerations-

原則65:パッケージをリードオンリーで開くべきかどうかを表明するために、Security Summary プロパティを利用しましょう。

このプロパティを設定することにより、インストールデータベースおよび変換やパッチのために読み取り専用を強制したり推奨することができます。データベース編集ツールでは、書込み禁止の指定されたデータベースファイルを変更するべきではなく、データベースが書込み禁止を推奨する場合は、警告を出すべきです。

Windows Installer Best Practice - Security Considerations Rule 64

とっちゃん — Tue, 03 Oct 2006 16:22:00 GMT

-- Tao of Windows Installer Part 6 より --

セキュリティで考慮すべき点-Security Considerations-

原則64:ローカルシステムに安全な状態で変換データを保持するために Secured Transforms を利用しましょう

Secured transforms はユーザーのコンピュータに、制限ユーザーの書き込み権限のない安全な場所に保存されます。Secured transforms はパッケージのインストールやアドバタイズインストールで、このような安全な場所にキャッシュされます。管理者とローカルシステムのアカウントだけがこの場所への書き込み権限を持ちます。非管理者権限のユーザーは変換ファイルを更新することは出来ないでしょう。オンデマンドインストールやパッケージのメンテナンスインストールの間は、インストーラはより強固なセキュリティの確保されたキャッシュ変換データを利用します。

グループポリシもしくは、TRANSFORMSSECURE プロパティを設定することで Secured transforms をコマンドラインで利用することが出来ます。詳細は、SDKを参照してください。

Windows Installer Best Practice - Security Considerations Rule 63

とっちゃん — Fri, 29 Sep 2006 17:37:00 GMT

-- Tao of Windows Installer Part 6 より --

セキュリティで考慮すべき点-Security Considerations-

原則63:ユーザーがリソースへのアクセス権を持たない場合は安全に失敗させましょう

実行ユーザーにアクセス権が与えられていないのであれば、セキュアな環境を維持した状態でセットアップが失敗するようにパッケージを作成しましょう。インストールを開始する前にユーザーのアクセス権を確認し、十分なディスク容量があることを確認してください。一般的に、インストール先の選択ダイアログを利用できるのは、実行ユーザーが管理者権限をもつか、アプリケーションのインストールに高い特権を必要としないかのどちらかとなります。

Windows Installer Best Practice - Security Considerations Rule 62

とっちゃん — Thu, 28 Sep 2006 14:27:00 GMT

-- Tao of Windows Installer Part 6 より --

セキュリティで考慮すべき点-Security Considerations-

原則62:ファイルが改変されていないことを保証するためにインストーラにはデジタル署名をつけましょう

Windows Installer バージョン 2.0 以降では、ファイルが改変されたかどうかをデジタル署名を利用して検出します。署名された証明書はパッケージとともにインストールされ、確実であることを保証するために外部の証明書(ルート証明局とは違うみたいだけど...外部リソースの証明書って何？)と比較されることがあります。

デジタル署名は、パッケージファイル(msi)、トランスフォームファイル(mst)、パッチファイル(msp)、マージモジュール(msm)およびキャビネットファイル(cab)で利用することが出来ます。

Windows Installer Best Practice - Security Considerations Rule 61

とっちゃん — Wed, 27 Sep 2006 19:27:00 GMT

-- Tao of Windows Installer Part 6 より --

セキュリティで考慮すべき点-Security Considerations-

原則61:セキュアなファイル、レジストリキーそのほかのために LockPermissions テーブルを利用しましょう

全てのファイル、レジストリキーやディレクトリ、これらを LockPermissions テーブルにリストされることにより、それが既存のものを置き換えるか否かにかかわりなく、明示的なセキュリティ記述子を持たすことが出来ます。Windows Installer はシステム上に既に存在するオブジェクトのセキュリティを保持することは試みますが、これらにもデフォルトがあり、そしてデフォルトは必ずしも安全なインストール状況を提供しているとは限りません。

オブジェクトが LockPermissions テーブルに記述されていない状況で、既存のオブジェクトを置き換える場合、置き換わるオブジェクトは元々のオブジェクトのセキュリティ設定を維持します。
オブジェクトが LockPermissions テーブルに記述されていない状況で、既存のオブジェクトを置き換えるのではなく新たにインストールされる場合、セキュリティ記述子が設定されることはありません。新しいオブジェクトへのアクセス権は親またはコンテナオブジェクトの属性に基づいて設定されます。

全てのアクセスコントロールリストにローカルグループのシステム管理者権限が含まれるようにしてください。これにより、システム管理者はオブジェクトへのアクセスを維持することが出来ます。

Windows Installer Best Practice - Security Considerations Rule 60

とっちゃん — Tue, 26 Sep 2006 14:23:00 GMT

-- Tao of Windows Installer Part 6 より --

セキュリティで考慮すべき点-Security Considerations-

原則60:特定ユーザーの特権を偽装するサービスのインストールは避けましょう

偽装されたサービスはログまたはシステムレジストリにセキュリティ情報を書き込むかもしれません。これにより、セキュリティの問題、パスワードのコンフリクト、もしくは構成データの損失を招く事態を起こす可能性があります。