特集
Windows Server 2003 SP1レビュー

第5回 セキュリティ構成を素早く設定する「セキュリティの構成ウィザード」

3.SCWウィザードの実行(2)

デジタルアドバンテージ 打越 浩幸
2005/06/17

手順4―ネットワーク・セキュリティの構成

 役割に基づくサービスの構成の次は、ネットワーク関連のファイアウォールやIPSecなどの設定を行う。

 選択された役割に基づいて、この画面では、必要な通信ポート(SMBプロトコルのポートや、MS-RPCのポート、Webサービスのポートなど)が列挙されるので、内容を確認し、必要なポートを開放するように設定する。これらのポートを開けておかないと、外部からサービスを利用することはできない(逆に、内部から外部へ向けた通信はここでの設定に関係なく利用できる)。

通信用に開くポートの設定
指定された役割に基づき、それらのサービスで使われる通信ポートの一覧が表示される。ここで設定内容を確認し、さらに必要ならば、ユーザー独自のポートの追加などを行う。
  ポート情報の一覧。
  チェック・ボックスをオンにすると、そのポートを使う通信が通るようにファイアウォールが設定される。
  ポートの説明。
  SCWでサポートされていない独自の通信アプリケーションに対しては、手動で設定を追加できる。
  通信先を限定するためのIPアドレスや、IPSecに関する情報などを設定する。

 デフォルトでは、Windows Server 2003 SP1で使用する標準的なポートが列挙されているが、必要ならばユーザー独自のポートを定義することもできる。このあたりの設定方法はWindowsファイアウォールと同様である。

 上記画面の[詳細設定]をクリックすると、通信に使用するネットワーク・インターフェイスや接続先IPアドレスなどを限定したり、IPSecを使った通信の保護機能などを設定したりできる。

 なお、手順3の「役割に基づくサービスの構成」はスキップできないが、この「ネットワーク・セキュリティの構成」以降の以降のセクションは、設定するつもりがなければスキップすることができる。スキップした場合、そのセクションに関するセキュリティ・ポリシーは作成されず、システムの設定は変更されない。このようなポリシーは、部分的にセキュリティ設定を行いたい場合や、ポリシーを何段も重ねて適用するような場合に役に立つ(1つのシステムに対して、異なるセキュリティ・ポリシーを適用してもよい)。ただし詳細は後述するが、実際にはポリシーを多重に適用するのは望ましいことではないとされている。。

手順5―レジストリの設定

 次はレジストリの設定である。ここでは、例えばLAN Managerファイル共有プロトコルにおける認証レベルの設定や(Windows 9xのような古いクライアントがいない場合は、認証レベルを変更することにより、暗号化の強度を上げることができる)、LDAPにおける署名の要求などに関するレジストリの設定を行うことができる。

レジストリの設定
レジストリを変更して、よりセキュアな設定にすることができる。これらのパラメータはレジストリでしか設定できない。
  対象となる機能。
  変更されるレジストリ・キー。
  ポリシーによって設定される状態。

手順6―監査ポリシー

 次は監査ポリシーの設定である。デフォルトでは何も監査しない設定になっている。だがポリシーを設定すると、システム・ファイルや構成情報ファイルに対する変更において、成功したもの、もしくは成功と失敗の両方に対して、監査ポリシーが有効になる。監査ポリシーを有効にすれば、不正なアクセスが検出された場合に、その原因の究明の手助けになる。SCWを利用すると、これらの変更に対する監査の設定を簡単に行うことができる。

監査ポリシーの設定
監査ポリシーを有効にすれば、不正なアクセスが検出された場合に、その原因の究明の手助けになる。
  監査するイベント。
  システム・アクセス制御リスト(SACL)を設定すると、OSシステムへの改ざんなどの検出が容易になる。ただしこの設定はロールバックできない。

手順7―IISのセキュリティ設定

 次は、IIS Webサーバに対するポリシーの設定である。IISの管理ツールで個別の設定するのと違い、ウィザードで使用するサービスを選択するだけで、自動的に不要な機能が無効になるし、SCWのリモート適用機能などを使えば、ほかのコンピュータに同じセキュリティ設定を適用するのが容易になる。

IISのセキュリティ設定
IISの各コンポーネントに対するセキュリティ設定を行う。
  設定項目。
  設定される対象となる機能。
  セキュリティ設定。

手順8―セキュリティ・ポリシーの保存

 以上で、SCWのウィザードの設定はすべて終了である。最後に、作成したポリシーをXMLファイルに保存するためのダイアログが表示されるので、XMLのファイル名を指定して保存する。XMLファイルは、デフォルトでは%SystemRoot%\security\msscw\Policiesフォルダに保存される。

 また、画面中にあるボタン([セキュリティ ポリシーの表示]ボタン)をクリックして、作成したポリシーの内容を表示させることもできる。保存したXMLファイルは、後述のscwcmd /viewコマンドを利用すると、いつでも表示/確認できる。

作成されたセキュリティ・ポリシー
ウィザードの最後で、作成されたポリシーの内容を表示させることができる。
  サービス名。
  設定されたサービスの起動状態。

 ポリシー・ファイルを保存すると、最後に、いま作成したポリシーを適用するかどうかを問い合わせる画面が表示される。すぐ適用してもよいし、後でSCWを再起動してから適用してもよい。


 INDEX
  [特集]Windows Server 2003 SP1レビュー
  第5回 利用目的に応じたセキュリティ設定を素早く確実に行う「セキュリティの構成ウィザード」
    1.セキュリティの構成ウィザードの概要
    2.SCWウィザードの実行(1)
  3.SCWウィザードの実行(2)
    4.セキュリティ ポリシーの適用
 
目次ページへ  「特集」

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH