特集
Windows Server 2003 SP1レビュー

第3回 初期セットアップ時のセキュリティ保護を実現する「セットアップ後のセキュリティ更新」

2.処理フローの詳細

デジタルアドバンテージ 小川 誉久
2005/05/26

「セットアップ後のセキュリティ更新」の処理フロー

 Windows Server 2003(SP1統合版)をインストール後、初めてログオンする際に、PSSUを実行するかどうかがチェックされ、前述した条件に当てはまらなければPSSUが実行される。この際の処理フローをまとめると次のようになる。

PSSUの処理フロー
Windowsシステムのインストール後、最初にログオンするときにこのフローが実行され、PSSUを実行するかどうかが判定される。緑色の“End”は、次回のログオン時にPSSUの処理が再度実施されることを意味する。

1.ログオン・ユーザーは管理者か?
 まず最初は、ログオンしたユーザーが管理者かどうかを検査し、管理者でなければ、PSSUは実行せずに通常どおりにログオン処理を行い、フローを終了する。

 Windows Updateでは、システム・ファイルを更新する必要があるので、基本的にシステムの管理者権限がなければ実行できない。従ってログオンしたのが管理者でなければ、PSSUを実行する意味がない。この場合には、次に管理者がログオンしたときに上記のPSSUフローが実行される。ログオンしたユーザーが管理者なら次に進む。

2.アップグレード・インストールか? 新規インストールか?
 前述したとおり、Windows 2000やWindows Server 2003 SP未適用の環境に対し、Windows Server 2003(SP1統合版)をアップグレード・インストールしたときには、PSSUは実行されない。この条件が判定され、アップグレード・インストールである場合には、次回からはPSSUを実行しないために専用のレジストリ値を作成し、フローを終了する(レジストリ値についてはすぐ次で述べる)。新規インストールなら次に進む。

3.PSSUが無効化されていないか?(レジストリ値が存在するか?)
 すでにPSSUを実行して[完了]ボタンがクリックされたか、管理者によって明示的にPSSUが無効化されたかをレジストリ値で検査する。検査するレジストリ値は、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ServerOOBE\SecurityOOBE

サブ・キーにあるDontLaunchSecurityOOBEというDWORD値である。OOBEというのは“Out-of-Box Experience”の略のようだ。この値が存在する場合には、PSSUは実行せず、ログオン処理を続行する。2.のステップで設定するレジストリ値がこれである。レジストリ値がなければ次に進む。

4.ファイアウォール・サービスは実行されているか?
 Windowsファイアウォール・サービスが実行されているかどうかを検査する。サービスが停止されているなら、2分間検査を継続し、2分経ってもサービスが実行されていなければ、そのままログオン処理を進める。DontLaunchSecurityOOBEは作成しないので、次回のログオン時にPSSUフローが実行される。

 Windowsファイアウォール・サービスが実行中であるときには、ファイアウォールが管理者によって明示的に有効化/無効化されていないか、サービスの状態を検査する。この検査に応答がない場合には、2分間検査を継続し、それでも応答がなければログオン処理を続行してフローを終了する。次回のログオン時にPSSUフローが実行される。

 ファイアウォールが管理者によって明示的に有効化/無効化されている場合には、DontLaunchSecurityOOBEを作成して処理を終了する。次回ログオン以降、PSSUは実行されない。

5.PSSUを実行する
 ここまで進んだ場合、それはWindowsインストール後の初回のログオンで、明示的なWindowsファイアウォール操作も実施されていないので、PSSUを実行する。PSSUでのWindows Updateが正常に完了し、管理者が[完了]ボタンをクリックしたら、DontLaunchSecurityOOBEを作成して処理を終了する。

 PSSUの処理が正常に完了しなければ(処理途中で[Alt]+[F4]キーが押され、PSSUが強制終了されるなど)、DontLaunchSecurityOOBEは作成しない。従って次回のログオン時に再度PSSUフローが実行される。

安全なWindows Update接続を実現するPSSU

 暗号化システムなど、高度なセキュリティ対策が次々と発表されているが、それらはいずれも、土台となるコンピュータ自体が正しく安全に実行されていることを前提としている。従ってどれだけ強力なセキュリティ製品に投資して装備を固めたところで、システムに穴が空いており、そこから攻撃者が侵入できるのでは意味がない。この意味でシステムの欠陥をふさぐ修正プログラムを鋭意適用することは重要だ。

 従来のOSインストールでは、管理者が意識して最新の修正プログラムを適用する必要があったが、Windows Server 2003 SP1では、それらを一連の作業としてセットアップ・プロセスに組み込むとともに、Windowsファイアウォールを自動的に有効化することで、セキュリティ更新時の攻撃の影響を低減している。少数のサーバを手作業でセットアップし、セキュリティ更新にはWindows Updateを利用するという管理者にとって、PSSUは、うっかり脆弱な状態でネットワークに接続するという事故を防止してくれるだろう。

 しかし、すべてを管理者の制御下に置き、多数のサーバを一括展開するというような場合には、PSSUは不要な機能だ。その場合には、自動セットアップ・スクリプトやグループ・ポリシーにより、Windowsファイアウォールを明示的に有効化/無効化する、レジストリにDontLaunchSecurityOOBEを作成するなどで、PSSUの実行を抑止できる。End of Article


 INDEX
  [特集]Windows Server 2003 SP1レビュー
  第3回 初期セットアップ時のセキュリティ保護を実現する「セットアップ後のセキュリティ更新」
    1.機能概要と動作条件
  2.処理フローの詳細
 
目次ページへ  「特集」

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH