運用
IIS安全対策ガイド

2.最新のService PackとSRPの適用

デジタルアドバンテージ
2002/05/30
2002/09/07 更新


 ここまでで、IISのインストールと動作確認はできたが、最低限のコンポーネントしか組み込んでいないにもかかわらず、これだけではセキュアなWebサーバとはとてもいえない。デフォルトのWindows 2000 ServerのIISのままでは、IISを構成する各種のモジュールに脆弱性(セキュリティ・ホール)が残っている上に、不要な(狙われやすい)機能が有効になっているからだ。Windows 2000 Serverのセットアップが完了したら、次に、製品発売後にリリースされた各種の修正モジュールを適用して、これらの問題点や脆弱性を除去する必要がある。

 修正モジュールは、Service Pack(以後SPと表記)、Security Rollup Package(以後SRPと表記)、そして単体で提供されている各種の修正プログラムに分類される。SPやSRPは複数の修正プログラムの集合体であり、まず最新のSPとSRPを適用してから、さらにそれらの後で公開された修正プログラム類を個別に適用することになる。

 2002年8月の時点では、SPの最新版は2002年8月9日にリリースされたSP3となっている(SP3の詳細については「Insider's Eye―Windows 2000 Service Pack 3日本語版がついに登場」を参照。ダウンロードは「Windows 2000 Service Pack 3日本語版」のページから行える)。SP3には、2001年6月にリリースされたSP2、2002年1月にリリースされたSRP1、そしてSRP1からSP3までの間にリリースされた修正プログラムがすべて包含されているので、SP3をインストールすれば、SP3リリース時点までの修正プログラムはすべて適用されることになる。

 SP3を適用するには、以下の3種類の方法がある。

  1. Windows Updateを使用する。
  2. Windows 2000 Service Pack 3日本語版」のページで「Windows 2000 SP3 ダウンロード」をクリックしてダウンロード・ページに移動した後、「Windows 2000 SP3 高速インストール」の下にある機種ごとのリンクをクリックする。
  3. Windows 2000 Service Pack 3 日本語版」のページで「Windows 2000 SP3 ダウンロード」をクリックしてダウンロード・ページに移動した後、「Windows 2000 SP3 Windows 2000 SP3 ネットワーク インストール」の下にある機種ごとのリンクをクリックする。

 このうち「1」と「2」の場合、最初にインストーラだけがダウンロードされ、更新が必要なファイルを検索してから、必要なファイルのダウンロードとインストールが実行される。そのため、不要なファイルまでダウンロードすることがないが、複数のコンピュータにSP3を適用する際には、コンピュータごとにいちいちダウンロードが行われるので、むしろ面倒になる。

 それに対し「3」では、すべてのファイルをまとめた「W2KSP3.EXE(サイズは約125Mbytes)」という単体のファイルをダウンロードするという違いがある。ダウンロードした「W2KSP3.EXE」を実行すると、アーカイブされているファイルが展開・検証された後、SP3がインストールされる。インストールが終了すると、Windows 2000が再起動される。

Service Pack 3のインストール
Windows 2000 Service Pack 3インストールの初期画面。Windows 2000をインストールしたら、最初にSP3をインストールする。これにより、その後の修正プログラム適用の手間を最低限で済ませることができる。
  使用許諾契約に同意するとインストールが可能になる。

 インストールの途中では、SP3をアンイストールするために、古いファイルを保存しておくかどうかを選択する画面が表示される。SP3をインストールしてシステムが不具合を起こすようなら、あとでSP3をアンインストールすることもできるが、そもそもSP3がうまく動作しないようなマシンや環境では、(以後のパッチが適用できないので)IISをセキュアな状態にすることは不可能である。従ってWindows 2000を新規インストールする場合は、領域の節約や無駄なフラグメントの発生を抑えるためにも、アンインストールのバックアップを作成する必要はないだろう。

Service Pack 3以前ファイルを保存するかどうかの選択
Windows 2000 Service Pack 3のインストール・ウィザードの3画面目。ここでは、SP3をアンインストールするために、以前のファイルを保存しておくかどうかを選択する。SP3をインストールしてシステムが不具合を起こすようなら、あとでSP3をアンインストールすることもできるが、そもそもSP3がうまく動作しないようなマシンや環境では、(以後のパッチが適用できないので)IISをセキュアな状態にすることは不可能である。
  このオプションを選択すると、SP3適用以前のファイルを保存しておく。
  これを選択すると、SP3以前の状態には戻せなくなる。しかし以後のセキュリティ・パッチのインストールなどを考えると、最低限SP3だけは適用しておくのが望ましい。
  これをクリックすると、実際のインストール作業が始まる。
 

インターネットに接続する際の注意
 
「SUS(Software Update Services)」を使用している場合を除き、Windows Updateを使用するにはインターネットに接続された状態で実行する必要がある(SUSについては「運用―Microsoft Software Update Servicesの実力を探る」参照)。しかし本稿の冒頭で述べたとおり、Windows 2000やIISの修正プログラムを適用していない状態でインターネットに接続すると、ワームに感染する危険性がある。現在でもNimdaやCode Redなどの攻撃は、頻度は減ったものの、ほぼ絶え間なく続いているからだ。

 この矛盾を解決するには、Windows Update実行の際に、IISのサービスを停止させるという方法をとればよい。[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]を選択してIIS管理ツールを起動し、[インターネット インフォメーション サービス]−[(コンピュータ名)]−[既定のWebサイト]とツリーを展開する。次に、[既定のWebサイト]上で右クリックし、コンテキストメニューで[停止]を選択すると、IISが停止する([一時停止]ではポート番号80番(HTTPプロトコルのポート番号)が開いたままになるので、[停止]を選択しなければならない)。この操作によって、ポート番号80番がリッスン状態(待ち受け状態)ではなくなる。

 この状態でWindows Updateを実行し、すべての修正プログラムの適用を終えたあとで、サービスを再開させる。パッチの適用などによってシステムを再起動しても、ずっと[停止]状態のままなので、IISを利用するためには明示的に[開始]を実行する必要がある。

Webサーバの動作を止めてからWindows Updateを行う
Windows Updateのためにインターネットに接続する場合は、最初にIISの管理ツールでWebサーバやFTPサーバのサービスを停止させておかないと、インターネットを通じて感染するワームの被害を受ける恐れがある。
  「Webサイト」を右クリックしてメニューを表示させる。
  ポップアップ・メニューから[停止]を選択して、Webサービスを停止させる。同様にFTPサイトが存在する場合は、そちらも停止させておくのが望ましい。
 

Internet Explorerの更新

 IISとは直接関係ないが、セキュリティ・ホール対策を行った環境を構築するという観点から、IEも最新版に更新しておく必要がある。Windows 2000 Server(SP未適用版)に標準で含まれているIEのバージョンは5.0だが、現在(2002年8月現在)の最新バージョンは6.0となっている。

 ASP.NETやWebサービスを運用するために.NET Frameworkをインストールする場合にも、IEは6.0に更新されるので、最初からIEを最新版に更新しておく方が便利だ。

 IE 6.0をインストールするには、Windows Updateに接続するか、あるいはIEのホームページ)で配布されているインストール・イメージなどを使用する。なお、IEをWindows Updateからインストールする際には、そのほかの更新ファイルを同時にインストールできないので、セキュリティ・ホールの修正プログラムより先に、まずIEの更新を済ませておいた方が効率がよい。そのため、SP3をインストールした後でIE 6.0をインストールし、さらにIE 6.0用の修正プログラムをインストールすることになる。


 INDEX
  [運用]IIS安全対策ガイド
    1.Windows 2000とIISのインストール
  2.最新のService PackとSRPの適用
    3.必要な修正プログラムの確認と組み込み
    4.Windows 2000 Serverシステムの基本セキュリティ設定
    5.IIS5の基本セキュリティ設定
    6.IIS Lockdown ToolとURLScanの導入
 
更新履歴
【2002/09/07】Windows 2000 Service Pack 3のリリースに合わせて、Service Pack 3の適用方法についての記述を追加して、加筆・修正しました。Windows 2000 Service Pack 2を対象にした元の記事を読むには こちら をクリックしてください。
 
 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH