Insider's Eye

Windows Server 2003 SP1の新機能

―― セキュリティ関連機能をさらに強化。より安全性の高いサーバ・プラットフォームへの一歩 ――

デジタルアドバンテージ
2004/12/02

 Windows Server 2003向けの初めてのService Packがまもなく公開される。正式な発表時期は未定だが、2005年前半だといわれており、現在ベータ版によるテスト段階にある。

 このWindows Server 2003 Service Pack 1(以下Windows Server 2003 SP1、または文脈から明らかな場合は単にSP1と略)では、単にこれまでに公開された修正プログラムがひとまとめにされているだけでなく、適用によって新しいセキュリティ機能が複数追加される。具体的には、2004年8月に公開されたWindows XP SP2に実装された数々の新しいセキュリティ機能のすべてが追加されることに加え、サーバ製品ならではのセキュリティ強化機能が複数追加される。Windows Server 2003では、前バージョンのWindows Server 2000と比較してセキュリティ機能が大幅に強化されているが、さらに一段磨きが掛かることになる。

 前述したとおり発表はまだ先だが、すでにWindows Server 2003ベースのサーバを運用している管理者は早めに展開計画を練る必要があるだろう。またこれからWindows Server 2003を導入しようと検討しているユーザーは、導入実施をSP1公開以前にするか、以後にするかを検討する必要があるだろう。

 本稿では、MSDN有料会員向けのダウンロード・サービス(MSDNサブスクライバ・ダウンロード)で公開されているWindows Server 2003 SP1の公開ベータ版(ビルド1247)をベースに、特にSP1で提供される新機能に注目し、その概要をまとめることにする。

Windows Server 2003 SP1で提供される新機能

 Windows Server 2003 SP1に含まれる主立った要素をまとめると次のようになる。

Windows Server 2003 SP1の主要構成要素
SP1には、製品発売からこれまでに公開された修正プログラムに加え、主にセキュリティ面での新機能がいくつか強化される。

TIPS:セキュリティ・パッチの3つのレベル

 Windows OSに対するService Pack提供の主要な目的の1つは、ソフトウェアのバグやセキュリティ・ホールなどの欠陥を修正するためのプログラム(パッチとも呼ばれる)をひとまとめにして提供することだ。Windows Server 2003 SP1を適用することで、初期版(Service Packが適用されていないWindows Server 2003の初期出荷版。SP未適用であることを明示するために「SP0」などと呼ばれる場合もある)からこれまでに公開されたセキュリティ修正やバグ修正用パッチをまとめて反映できる。Service Packに収録される修正プログラムは、個別提供後に発見された不具合などが修正されているため、全体的に個別提供時点よりも品質が向上している(関連記事)。このため企業のパッチ管理では、個別の修正についてはどうしても必要な緊急性の高いものだけを適用し、それ以外はService Packに収録されてからまとめて適用するというケースも多い。

XP SP2レベルのセキュリティ強化

 XP SP2(正式名は「Windows XP Service Pack 2 セキュリティ強化機能搭載」)では、Windowsファイアウォールのデフォルト有効化や、Internet Explorer(IE)のポップアップ・ブロック機能、Outlook ExpressのWebビーコン対策など、さまざまなセキュリティ強化機能が追加された。Windows Server 2003 SP1の第1の機能強化点は、これらXP SP2で提供した数々のセキュリティ機能強化をWindows Server 2003にも提供することだ。

Windows XP SP2が登場
XP SP2にまつわる不運な逆説
XP SP2のセキュリティ機能
XP SP2詳細レビュー

 具体的にWindows Server 2003 SP1では、メモリ保護機能強化、ネットワーク保護機能強化(Windowsファイアウォール、RPCインターフェイス制限、DCOMセキュリティ)、IEおよびOutlook Expressのセキュリティ強化が行われている。このうちメモリ保護機能強化は、バッファ・オーバーフロー攻撃などからシステムを保護するものだ。SP1では、いくつかのWindowsカーネル・モジュールを最新のコンパイラで再コンパイルし、不正なメモリ使用への耐性を高めている。またXP SP2でも提供したDEP(Data Execution Prevention:データ実行防止)にも対応しており、データと見せかけてメモリにロードさせ、これを実行するような攻撃から防御できる。IEとOutlook Expressについては基本的にXP PS2での強化点がすべて反映されている。

Post-Setup Security Updates(セットアップ直後のセキュリティ保護機能)

 時間の経過とともに新たなセキュリティ・ホールが発見され、それらを攻撃するウイルスやワームが登場するので、修正プログラムを適用せずに古いソフトウェアをネットワークに接続するのは非常に危険だ。しかしWindows OSはCD-ROMなどのオフライン・メディアからインストールするため、基本的にはインストール直後は最新ではない「古いソフトウェア」である。修正プログラムはインターネットから簡単に入手できるが、これにはコンピュータをインターネットに接続しなければならない。接続するのは危険だが、接続しないと更新できない。Windowsのセットアップ直後に管理者が直面するジレンマである。実際筆者も、Windows OSをインストールして修正を適用しようとインターネットに接続したとたん、ワームの感染パケットを受信して感染してしまったことがある。

Windowsセットアップ時のジレンマ
ソフトウェアを最新の状態に更新するにはインターネットに接続する必要があるが、脆弱性が存在する状態で接続すると、更新を完了する以前に攻撃を受ける危険性がある。

 Post-Setup Security Updates(以下PSSU)は、Windowsファイアウォールを利用して、このジレンマを解消してくれる機能だ。PSSUにより、Windows Server 2003 SP1の初期インストール時点で、Windowsファイアウォールがデフォルトで有効化され、最新の修正プログラムの適用が完了するまで、システムを保護してくれる。そして修正プログラムの適用が完了すると、Windowsファイアウォールは無効化される。以後は管理者が明示的に指示しない限り、Windowsファイアウォールは有効化されない。

Post-Setup Security UpdatesによるWindowsセットアップ時の保護
PSSUにより、Windows Server 2003の初回セットアップ時に自動的にWindowsファイアウォールが有効化され、最新の修正プログラム適用が完了するまでコンピュータを保護する。

 ただし、保護された社内イントラネットや、データセンターなどでWindows Server 2003を展開する場合や、Software Update Services(SUS)やサードパーティ製パッチ管理ソリューションなどがあり、セットアップしたコンピュータから直接インターネットに接続して修正を適用する必要がないならPSSUは不要である。このためPSSUは、無人スクリプトを使用して展開した場合や、グループ・ポリシーによってWindowsファイアウォールの有効/無効を管理者が明示的に制御した場合には機能しないようになっている。

セキュリティ・ポリシー作成を支援する「セキュリティの構成ウィザード」

 セキュリティ保護と利便性は相反する部分がある。セキュリティを強化するには、さまざまな制限を強化すればよいが、制限が強すぎると使いにくいシステムになってしまう。具体的な制限としては、TCP/IPポートのブロック、Windowsサービスの無効化、サービス・プロトコル(LDAPSMBなど)の公開抑止などがある。

 Windows Server 2003には高度なセキュリティ制御機能が当初から備えられており、管理者の指示でこれらを制限したり、許可したりできる。管理者は、これらのセキュリティ・ポリシーを「セキュリティ・テンプレート」として作成し、グループ・ポリシーの機能を利用して各サーバにポリシーを適用できる。

 現在の管理者は、マニュアルなどのドキュメントや、特定のシナリオに従って作成された既存のセキュリティ・テンプレートを基にして、管理コンソール(MMC)の「セキュリティ・テンプレート」スナップインを利用して 、独自の「カスタム・セキュリティ・テンプレート」を作成する必要がある。しかしこれには、Windowsコンポーネント(サービス)や各種ネットワーク・テクノロジ、セキュリティ・テクノロジに精通し、正しい設定を独自に判断しなければならず、高度な経験とスキルが求められる。

 これに対しWindows Server 2003 SP1では、カスタム・セキュリティ・テンプレートの作成を支援する「セキュリティの構成ウィザード(以下SCW:Security Configuration Wizard)」が新機能として提供される。このSCWでは、ウィザード形式で質問に答えていくことで、独自のカスタム・セキュリティ・テンプレートを作成可能になる。

「セキュリティの構成ウィザード」の機能
従来は解説ドキュメントや既製のテンプレートを基に、管理者が独自のカスタム・テンプレートを構成して展開する必要があった。これに対しSCWでは、ウィザード形式で質問に答えていくだけで、容易にセキュリティ・カスタム・テンプレートを作成可能である。

 SCWの実行画面は次のようなものだ。

セキュリティ構成ウィザードの実行画面
画面はウィザードのステップの1つ(サーバの役割の選択)。このように、選択項目の機能などの解説を読みながら、一連の必要な設定を行うことでカスタム・セキュリティ・テンプレートを作成できる。

 このようにSCWでは、サーバの役割を出発点として、ウィザード形式で細部のポリシー設定が行える。SCWのウィザードを利用して設定できるのは、不要なサービスの無効化、不要なIIS Web拡張の無効化、非使用ネットワーク・ポートのブロック、公開ポートのIPSecでの保護、LDAP/LANMan/SMBプロトコルの公開抑制、監査設定の制御などだ。SCWでカバーできない設定については、別途構成したセキュリティ・テンプレートをインポートして統合できる。

 ウィザードでのカスタム・ポリシー作成以外にも、SCWには適用ポリシーのロールバック機能(ポリシーの適用で不具合が発生した場合に、ポリシーの適用以前の状態に戻す)のほか、適用先サーバが設定したポリシーと互換性があるかどうかを検索する分析機能などが用意されている。ポリシーの構成や分析は、リモートから実行することも可能だ(このためのコマンドライン・ツールも提供されている)。

ポリシーに合致しないコンピュータの接続を制限する「リモート・アクセス検疫制御」

 社外から社内のプライベート・ネットワークへの接続を可能にするテクノロジとして、古くはダイヤルアップ接続を利用したRAS(Remote Access Service)が、最近ではインターネットなどのIPネットワークを利用したVPN(Virtual Private Network)が利用できる(以下、RASとVPN接続をひとまとめにして「リモート・アクセス」と表記する)。Windows Server 2003はこれらのリモート接続機能を備えており、外部に向けて接続サービスを提供できる。

 しかしこうしたリモート接続は、外部から社内ネットワークへの接続を許すので、セキュリティ的な観点からはリスクが大きいサービスと考えられている。ファイアウォールの内側であるイントラネットは、一般にセキュリティよりも利便性が重視されるため、セキュリティ的には非常に甘い場合が多い。従って悪意のある第三者の接続を許した場合には、情報漏洩や情報の改ざん、システムの破壊活動など、致命的な損害を受ける可能性が高いからだ。

 一般的なリモート・アクセスでは、ユーザーの資格情報(ユーザー名とパスワード)を頼りに接続ユーザーを認証している。つまり正規のユーザーであれば、正しくセキュリティ修正を適用していないコンピュータや、ウイルス対策ソフトを使用していないコンピュータ、さらに極論すれば、ウイルスやワームに感染したコンピュータが社内ネットワークに接続されてしまう可能性がある。社内なら管理者が直接目を光らせることができるが、外部からのリモート接続ではそうはいかない。

 こうしたリモート接続のリスクを低減させるのがWindows Server 2003 SP1で追加されたリモート・アクセス検疫(quarantine)制御である。具体的には、リモート・アクセス接続時にコンピュータの状態を検査し、条件に合致しないコンピュータはリモート・アクセス接続を拒否する。例えば、特定のOSとService Pack、セキュリティ・パッチがインストールされているか、指定されたウイルス対策プログラムと最新のパターン・ファイルが使われているか、ファイアウォールが有効化されているかどうかなど、さまざまな条件が考えられる。ただしこの検疫機能は、悪意のある攻撃者からネットワークを守るセキュリティ・ソリューションではないので注意が必要だ。攻撃者が有効な資格情報を持っていた場合には接続を拒否できるものではない。

 コンピュータの状態検査には、管理者が作成したスクリプト(ネットワーク・ポリシー要件スクリプト)を接続要求側コンピュータに送り込む。これは実行可能プログラムまたはバッチなどのスクリプト・ファイルである。検疫機能を利用する管理者は、リモート・アクセスを構成する際に、ポリシーに応じたスクリプトを用意しておく。

 検疫に合格したコンピュータは社内ネットワークにアクセスできるようになるが、検疫に失格したコンピュータは接続できない。この際通常は、接続許可を受けるために必要なコンポーネントのインストール方法を解説したWebサーバなど、制限された環境にあるサーバに匿名で接続させ、リモート接続できない原因と、接続するために必要な作業をユーザーに通知する(このためのWebサーバなどは「検疫リソース」と呼ばれる)。

検疫機能を利用したリモート・アクセス
検疫機能を使えば、接続を要求しているコンピュータの状態をあらかじめ検査し、指定した条件をクリアしない場合には、接続を拒否するなどが可能になる。

より安全性の高いサーバ環境への一歩

 Windows Server 2003 SP1で提供される新機能概要についてまとめた。これまで見てきたとおり、新機能はいずれもセキュリティに関連するものだ。セキュリティ構成ウィザードは、厳密かつダイナミックなセキュリティ・ポリシー管理を実施したいと考えているミッション・クリティカル環境の管理者には大いに役立つだろう。またWindows Server 2003を利用してリモート・アクセス・サービスを提供している場合には、検疫機能を利用して、不用意なリモート接続によるトラブルを低減させることができる。

 今回は主要なものだけをピックアップしたが、SP1では、大小さまざまなレベルで機能改善や性能向上などがなされているものと思われる。正式版の公開は来年になるが、サーバ向けのService Packの展開は検証などに時間がかかるので、可能であれば、すでに提供されている(今回もテストに使用した)ベータ版を入手して、早めに検証作業を開始するとよいだろう。End of Article

 「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間