特集
Windows Server 2003 SP1レビュー

第5回 セキュリティ構成を素早く設定する「セキュリティの構成ウィザード」

2.SCWウィザードの実行(1)

デジタルアドバンテージ 打越 浩幸
2005/06/17

SCWのインストール

 SCWは、デフォルトではインストールされていないので、最初に管理者が[コントロール パネル]の[プログラムの追加と削除]でインストールしておく必要がある。

SCWのインストール
このツールは、デフォルトではインストールされておらず、利用できない。最初に管理者が[コントロール パネル]の[プログラムの追加と削除]でインストールしておく必要がある。
  Windows Server 2003 SP1のインストール直後のデスクトップには、SCWのヘルプ・ファイルへのショートカットは存在するが、SCWツールそのものはインストールされていない。すべてのシステムで必要となるわけではないからだろう。
  [プログラムの追加と削除]で[Windows コンポーネントの追加と削除]ボタンをクリックし、[セキュリティの構成ウィザード]を選択してインストールする。

SCWの起動

 それでは、以下実際に、SCWを起動して、セキュリティ・ポリシーの作成と適用を行ってみよう。ただしウィザードで表示される画面数が非常に多いので、主要な部分のみを示すことにする。

 SCWは[スタート]メニューの[管理ツール]−[セキュリティの構成ウィザード]から起動する。起動すると、次の画面が表示される。

SCWウィザードの起動
[スタート]メニューの[管理ツール]−[セキュリティの構成ウィザード]を起動する。
  これを押して次へ進む。

手順1―実行する操作の選択

 ウィザードでは、セキュリティ・ポリシーの作成のほか、既存のポリシーの編集、既存のポリシーの適用、そしてロールバックの各作業が行える。最初は、新しいポリシーの作成を選択する。

SCWウィザードの起動画面
起動画面では、新規ポリシーの作成、既存ポリシーの編集、適用、そしてロールバックが行える。
  セキュリティー・ポリシーを作成するにはこれを選択する。
  これを押して次へ進む。

手順2―対象コンピュータの調査

 最初は、調査対象となるWindows Server 2003 SP1コンピュータの選択を行う。デフォルトでは、ローカル・コンピュータを調査することになっているが、指定により、リモート・コンピュータを選択して調査することもできる。リモート・コンピュータの場合は、リモートから接続して調査するためのユーザー・アカウントとパスワードも指定する(管理共有のAdmin$やMS-RPCといったポートに接続できるように、あらかじめネットワークやファイアウォールを設定しておく必要がある。

ポリシーのベースとなるサーバの選択
最初に、ポリシーを作成するベースとなるサーバ・コンピュータを選択する。指定したサーバ上ではWindows Server 2003 SP1が稼働している必要がある。ローカルのコンピュータを調査する場合は、あらかじめ管理者権限のあるユーザー・アカウントでログオンしてからSCWを起動する。リモート・コンピュータの場合は、アカウントは別に指定できる。
  デフォルトではローカル・コンピュータ名が表示されているが、ここでリモートのコンピュータを指定することも可能。リモートの場合はさらに接続用のユーザー・アカウントとパスワードの指定も必要になる。

 コンピュータ名を指定して[次へ]ボタンをクリックすると、指定されたコンピュータの管理共有(Admin$やMS-RPC)などへ接続して、そのコンピュータの現在の構成の調査が行われる。そして、最後に次のような調査結果の情報が表示される。これを見ることにより、現在のシステムの構成やサービスの起動設定などについて知ることができる。この構成情報は、実際には%SystemRoot%\security\msscw\KBsフォルダのmain.xmlというXMLファイルに保存されており、その内容がXSLTを通して表示されている。

調査結果の表示
対象となるサーバを調査し、その結果が表示されている。これを基に、不要なサービスを停止したり、ファイアウォールを設定したりする。
  SCWが内部に持っているサーバの役割の一覧。このそれぞれの役割について、サーバ上にインストールされているか、使用するポートは何番かなどの情報が表示される。
  役割の例。役割名の左側にある三角形をクリックすると、このように詳細な内容が表示される。
  通信に必要なポート番号。DHCPサーバではUDPの67番ポートを使用している。
  現在の状態。このサービスはインストールされていないので、無効と表示されている。

手順3―役割に基づくサービスの構成

 以上は現在のサーバの状態の表示であったが、ここから先がいよいよセキュリティに関する設定を行う画面である。

 基本的な動作としては、SCWが提示するサービスや役割の一覧から、必要なものだけを選んでチェック・ボックスをオンにし、それ以外の(使う予定のない、もしくはインストールされていない)サービスや役割のチェック・ボックスはオフにする。すると最終的に、選択した役割だけを許可するようにサービスの起動設定が行われ、さらにそれらを外部から利用できるようにファイアウォールのルールが設定される。

 ウィザードの最初で行う作業は「役割」の選択である。役割とは、このWindows Server 2003 SP1が、サーバとしてどのような役割を担うのかを選択するものであり、選択したサービスに応じて、必要なサービスの起動や、ポートの開放などが設定される。デフォルトでは、インストールされているサービスに応じて、役割のチェック・ボックスがオンになっている。もし後で追加するサービスがあるようならば、あらかじめチェック・ボックスをオンにしておいてもよい。

サーバの役割の選択
サーバの役割とは、このWindows Server 2003 SP1が、サーバとしてどのような役割を担うのかを表すもの。デフォルトでは、インストールされているサービスに対してはチェック・ボックスがオンになっている。不要なサービスがあればオフにし、後でインストールするサービスがあればオンにすればよいが、通常はデフォルトのままで次へ進んでもよいだろう。
  インストールされている役割の一覧を表示させたところ。ほかに、[すべての役割]や[選択されている役割]などの選択肢がある。
  これをオンにすると、指定された役割に関するサービスが起動するように設定される。
  役割の詳細な内容。

 「サーバの役割の選択」に続いて、「クライアントの機能の選択(例:DNSクライアント、WebDAVクライアントなどのクライアント機能の設定)」「管理オプションとその他のオプションの選択(リモートからのSCWやWMIなどを許可するかどうかの設定)」「指定されていないサービスの処理(SCWのKBにない、サードパーティ製などのサービスの起動設定をオフにするか、そのままにしておくかの設定)」の設定画面が表示されるので、それぞれ必要な(有効にしておきたい)役割のチェック・ボックスをオンに、不要なものについてはオフにする。

 以上の設定がすべて完了すると、次のようにサマリ画面が表示されるので、内容を確認し、さらに次へと進む。

サービスの結果一覧
役割ごとのサービスとその起動状態の設定などの要約が表示される。
  SCWで変更されるサービスの一覧を表示させる。
  現在の起動設定。
  ポリシーによって設定される予定の起動状態。不要なサービスは、無効にされる。
 

 INDEX
  [特集]Windows Server 2003 SP1レビュー
  第5回 利用目的に応じたセキュリティ設定を素早く確実に行う「セキュリティの構成ウィザード」
    1.セキュリティの構成ウィザードの概要
  2.SCWウィザードの実行(1)
    3.SCWウィザードの実行(2)
    4.セキュリティ ポリシーの適用
 
目次ページへ  「特集」

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH