運用
IIS安全対策ガイド

3.必要な修正プログラムの確認と組み込み

デジタルアドバンテージ
2002/05/30


 続いて、SPのリリース後に発見されたセキュリティ・ホールの修正プログラムを適用する。

 修正プログラムの導入手段としては、Windows Updateによる一括インストールと、個別に修正プログラムをダウンロードする方法があるが、順番としては、まずWindows Updateで適用可能なものをすべて適用してしまい、そのあとでさらに最新のものを個別に適用するのが簡単である。

Windows Updateで、更新可能な修正プログラムを一括適用する

 まず、[スタート]メニューの[Windows Update]を選択して、Windows Updateを実行する。実行の手順はWindows 2000 Professionalと同様で、Server版だからといって特に異なる点はない。

 なお、IIS 5用の「Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018)」、別名「IIS5 SRP」は、すでにWindows Updateに収録されている。これは、既知のIIS 5のセキュリティ・ホールすべてと、新規に発見された10種類のセキュリティ・ホールに対する修正プログラムがまとめられたものだ。

Windows Updateによってインストールが必要と判断された修正プログラムの表示例
[スタート]メニューの[Windows Update]を実行して、[製品の更新]をクリックすると、このように必要な修正項目が自動的に選択され、ダウンロード/インストール作業を行うことができる。インストールする項目に依存関係がある場合は、最初のものをインストールしてシステムを再起動すると新たに選択できるようになる。
  Windows Updateのページでこの[製品の更新]をクリックすると、システムが走査され、必要なアップデート類が提示される。
  最初はこの[重要な更新パッケージ]をインストールする。ここにはセキュリティにかかわる修正項目が表示されているので、最初にこれらをすべてインストールすること。
  この[+]/[−]をクリックすると、個別の修正プログラムの情報を表示するかどうかを選択できる。
  チェック・ボックスがオンになっている修正プログラムが、インストールの対象になる。重要な更新パッケージに含まれるものは無条件ですべてインストールしておくこと。
  [ダウンロード]をクリックすると、ダウンロードとインストールのステップに進む。

HFNetChkで、更新モジュールの有無を確認する

 原則として、マイクロソフトがリリースした各種の修正プログラムは、いずれもWindows Updateに収録されることになっている。しかし、新しくリリースされたばかりの修正プログラムはWindows Updateに収録されていないこともあるので、Windows Updateだけですべての更新が完了するとは限らない。そのため、「HFNetChk」というツールを使用して、最新の更新ファイルの有無を確認する(HFNetChkの解説ページはこちら)。

 このツールは、マイクロソフトのWebサイト上で公開されている、XML文書形式のデータベースと、使用中のWindowsの内容を突き合わせて、更新ファイルの有無を確認する。具体的な使い方については、本フォーラムの「Windows TIPS――セキュリティ・パッチの適用状態を調べる――HFNetChkツールの使用法――」や「Windows最新Hotfixリスト――Windowsを最新状態にするための情報と手順――」のページなどを参照してほしい。

 日本語版Windows 2000を対象にする場合、修正モジュールの情報が記録された最新のXMLデータベースを、「セキュリティ ツール キット : 更新情報」からダウンロードする必要がある。ダウンロードしたXMLデータベースのアーカイブを展開した後、コマンドプロンプトで「hfnetchk.exe -x <XMLファイル名>」と入力して検索を実行する。実行例を以下に示す。

HFNetChkの実行結果例

C:\Tools>hfnetchk -x stksecure.xml
Microsoft Network Security Hotfix Checker, 3.32
Copyright (C) Shavlik Technologies, 2001-2002
Developed for Microsoft by Shavlik Technologies, LLC
info@shavlik.com (www.shavlik.com)

Please use the -v switch to view details for
Patch NOT Found, Warning and Note messages

Using XML data version = 1.0.1.254  Last modified on 4/24/2002.

Scanning ARTEMIS
.........................................................
Done scanning ARTEMIS
----------------------------
ARTEMIS (192.168.10.3)……チェック対象のシステム名
----------------------------

        * WINDOWS 2000 SERVER SP2……Windows 2000 Server+SP2

        Note            MS01-022        JP296441
        Patch NOT Found MS02-014        JP313829……修正プログラムの未適用
        Patch NOT Found MS02-016        JP318593……修正プログラムの未適用

        * INTERNET INFORMATION SERVICES 5.0……IIS

        Information
        All necessary hotfixes have been applied.……IIS用の修正プログラムはすべて適用済み

        * INTERNET EXPLORER 6 GOLD……IE6.0 最終版

        Warning         MS02-015        JP319182

 この実行結果例では、Windows 2000 Serverの修正プログラムのうち「MS02-014」と「MS02-016」が未適用であることが分かる。

 こうして、必要な修正プログラムが確認できたら、それらを個別にダウンロードしたうえでインストールする。修正プログラムをダウンロードするには、「Microsoftダウンロード センター」に接続し、以下のように設定して検索を実行する。ダウンロード・センターの詳しい使い方については、「Windows TIPS:『Microsoftダウンロード センター』を活用する」を併せて参照されたい。

Windows 2000用の修正プログラムをダウンロードする
Windows 2000用の修正プログラムをダウンロードするには、「Microsoftダウンロード センター」で、Windows 2000用のファイルを検索する。HFNetChkで未適用のセキュリティ修正モジュールが指摘されたら、「Microsoftセキュリティ」のページから個々の修正プログラムを調べてダウンロードするか、ダウンロード・センターでそれらのモジュールを検索してダウンロードする。
  検索する条件は[製品]を選択する。これにより、製品別にダウンロード可能なモジュールが検索・表示される。
  [製品名]としては[Windows 2000 Server]を選択する。
  [オペレーティングシステム]は[Windows 2000]を選択する。
  [ソート方法]に[日付]を選択すると、最新のものから順に表示される。
  SP2などはすでに1年前のものなので、この[リリース]設定を[最近(1年以内)]か、それ以上にしないと表示されない。
  これをチェックすると、英語版Windows 2000向けの修正プログラムも表示されるが、基本的には日本語版Windows 2000 Serverには日本語版のセキュリティ修正プログラムしかインストールしてはいけない。
  [検索]をクリックすると検索が実行される。
  ここに条件に該当するダウンロード・ファイルの一覧が表示される。

 一般的に、ダウンロードされた修正プログラムはファイル名にサポート技術情報(Knowledge Base:KB)の文書番号を使用しているので、「Qxxxxx.EXE」といったファイル名を持つ実行形式ファイルになっている(ただし必ずというわけではない)。そこで、ダウンロードした修正プログラムを実行してインストールするわけだが、このとき注意したいのは、古いものから順番にインストールするという基本原則だ。新しい修正プログラムほど文書番号の数値は大きくなるので、数値が小さいものから大きいものに向かって順番にインストールすればよい。

 なお、修正プログラムのインストール後に再起動が要求された場合は、手を抜かずに1回ごとに再起動する。これは、再起動まで行わないと修正プログラムのインストールが完全に終了しなかったり、修正プログラム間に依存関係があったりする場合があるからだ(ある修正プログラムに間違いがあり、それを修正するために別の修正プログラムが用意されていたりする)。

修正プログラムの管理術
 
最近のマイクロソフトの体制では、セキュリティ情報には「MS02-xxx」という番号が付けられており、一方、修正プログラム(hotfix)にはサポート技術情報(英語では「KB:Knowledge Base」という)の文書番号(QxxxxxやJPxxxxxなど)を使ったファイル名が付けられている。両者はまったく異なる命名規則に基づいているため、ダウンロードしてきた修正プログラムの管理は意外と難しい(修正プログラムにはセキュリティ対策以外のものも含まれている)。

 筆者は、対象となるソフトウェアごとにフォルダを作成し、さらに、その中に「MS02-xxx」とセキュリティ情報の識別番号と同名のフォルダを作成している。修正プログラムは、このフォルダの中に保存するというわけだ。セキュリティ情報を参照するには、メール・サービスで「件名」として使用されている情報識別番号を使うのが便利なので、それをフォルダ名にしている。フォルダ名にサポート技術情報の文書番号を使うと、何の修正プログラムなのか分からなくなりがちだ。

 以上でIISのインストールと主要なモジュールの修正がほぼ終了した。しかし作業はまだ半分しか終わっていない。次はWindows 2000 ServerやIIS各部の設定などを修正、変更して、セキュアなIIS環境を構築するための作業を行うことにする。


 INDEX
  [運用]IIS安全対策ガイド
    1.Windows 2000とIISのインストール
    2.最新のService PackとSRPの適用
  3.必要な修正プログラムの確認と組み込み
    4.Windows 2000 Serverシステムの基本セキュリティ設定
    5.IIS5の基本セキュリティ設定
    6.IIS Lockdown ToolとURLScanの導入
 
 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH