Insider's Eye

Windows XP SP2のセキュリティ機能

―― セキュリティ機能を大幅に強化したXP SP2を概観する ――

デジタルアドバンテージ
2004/04/08

 マイクロソフトは、2004年3月30日、Windows XPの次期Service Packとして開発中のWindows XP Service Pack 2(以下XP SP2)の出荷候補版(RC1)を一般公開した(マイクロソフトのニュース・リリース)。RC版というかなり最終版に近いもので、大きな問題がなければそのまま製品版になるものと思われる。ただし、あくまで評価・検証を目的とした開発途中版であり、通常の作業環境には適用しないようにマイクロソフトは警告している。

 XP SP2 RC1は、マイクロソフトの以下のページからダウンロードできる。

 XP SP2での機能強化点など、関連情報については以下のページからアクセスできる。

 本来Service Pack(SP)は、セキュリティ・ホール(脆弱性)やバグを修正するパッチ(修正プログラム)をひとまとめに適用できるようにしたものだ。近年マイクロソフトは、「SPでは新たな機能追加は行わない」という方針を貫いてきた。しかし今回のXP SP2では、この方針に反して、主にセキュリティ関連で新たな機能が多数組み込まれる。これは、Windowsのセキュリティ能力を強化するマイクロソフトの大きな取り組みの成果だ。

 例えば、Windows XPのソフトウェア・ファイアウォールの機能が強化され、デフォルトでこれが有効化されるようになる(従来はオプション指定で有効化する必要あり)。またIEではポップアップ・ウィンドウのブロック機能が追加される。

 これらの対策によって、不正な攻撃に対するWindows XPの防御能力は向上する。しかしその一方では、これらの変更によって、従来利用していたアプリケーションが動かなくなる可能性もある。特にリモートからクライアント・コンピュータの共有フォルダ(デフォルト共有など)やレジストリ、特定のTCP/IPポートにアクセスするようなリモート管理ソフトウェアは(Windowsの標準管理ツールも含む)、ファイアウォール機能によって動作不能に陥る危険がある(試しにリモートからクライアントに修正プログラムを適用するホットフィックス管理ソフトウェアを実行してみたところ、正しく動かなかった)。

 こうした問題を洗い出し、企業の管理者が展開準備を進められるようにするのが今回のXP SP2 RC1を公にする理由の1つだと思われる。

 本稿では、XP SP2 RC1を実際にインストールし、特に新しく追加、改良されるセキュリティ機能に注目してみる。

自動更新は「インストールまで実行」がデフォルトに

 XP SP2適用の最終段階でコンピュータを再起動すると、次の画面が表示される。ここでは「自動更新」の有効化が促される。

XP SP2インストール時の再起動時の画面
XP SP2適用の最終段階でシステムを再起動したときに表示される画面。自動更新を有効にすることが推奨される。

 ここで上の「自動更新を今すぐオンにしてコンピュータを保護する」を選択すると、自動更新が有効化される。Windows Updateの機能を利用した自動更新自体は以前から存在したが、XP SP2では、重要な更新のダウンロードだけでなく、適用までをも自動的に行う設定がデフォルトになっている(以前はダウンロードのみ実施)。次の画面は、[マイ コンピュータ]のプロパティ(コントロール・パネルの[システム]アイテム)から、「自動更新」の設定を確認したところだ。

[システムのプロパティ]−[自動更新]タブ
自動的にダウンロードするだけでなく、適用も自動的に実行される設定がデフォルトになった。
  ダウンロードだけでなく、深夜3時に自動適用する設定がデフォルトになった。

 従来は「更新をダウンロードして準備ができたら通知する」がデフォルト設定になっていた。これに対しXP SP2では、ダウンロードだけでなく、デフォルトで適用も実施する(適用時刻は深夜3時がデフォルト設定)。つまりコンピュータの電源をオンにしたままにしておけば、重要な更新が公開されたときにはそれが自動的にダウンロードされて適用され、翌朝には最新の状態になるというわけだ。しかし修正プログラムの適用を管理したいと思う企業の管理者にとっては必ずしもうれしくない設定かもしれない。このような管理者は、Software Update Services(→関連記事「Microsoft Software Update Servicesの実力を探る」「Service Packのサポートを始めたSUS」)の導入などを検討する必要がある。

セキュリティ関連設定を集中管理するセキュリティ・センター

 セキュリティ関連の各種設定を行うための入り口として機能するのが「セキュリティ・センター」だ。これを起動するためのアイテムがコントロール・パネルに追加された。

SP2適用後のコントロール・パネル
セキュリティ機能強化に伴い2つのアイテムが追加されている。
  セキュリティ機能の現在の設定確認、設定変更を行うアイテム。ここからの[Windowsファイアウォール]を起動することも可能。
  ファイアウォールの有効/無効に加え、ファイアウォールの細かなマニュアル設定を行える。

 このうち[セキュリティ センター]を実行して表示されるウィンドウは、ドメイン不参加時とドメイン参加時で異なる。ドメインに参加していないときは次のウィンドウが表示される。

セキュリティ・センター(ドメイン不参加時)
ここからファイアウォール設定、自動更新の設定、ウイルス対策ソフトウェアの設定を行える。

 このようにセキュリティ・センターから、ファイアウォール設定、自動更新の設定、ウイルス対策ソフトウェアの設定が行える。

 一方、ドメインに参加しているときは、自動更新やウイルス対策ソフトウェアは管理者が集中管理するため、これらに関するメニューは表示されない。

セキュリティ・センター(ドメイン参加時)
ドメインに参加している場合、セキュリティ設定はエンド・ユーザーではなく、ネットワーク管理者が実施するため、ファイアウォール設定や自動更新、ウイルス保護などのメニューは表示されない。

 ユーザーが明示的にセキュリティ センターを実行しなくても、コンピュータの状態がチェックされ、問題があればバルーン表示で通知される。次の画面は、ウイルス対策ソフトウェアがインストールされていないことを通知するバルーン表示である。これをクリックすると、セキュリティ・センターが実行される(ドメイン参加時はバルーンは表示されない)。なお、ウイルス対策ソフトウェアはXP SP2には含まれてはいない。これらはあくまでもサード・パーティ製のソフトウェアを導入することが前提となっている。

セキュリティ上の問題がバルーン表示でレポートされる
ここでは、ウイルス対策ソフトウェアがインストールされていない点が指摘されている。バルーンをクリックするとセキュリティ・センターが表示される。
 
 

 INDEX
  Insider's Eye
  Windows XP SP2のセキュリティ機能(1)
    Windows XP SP2のセキュリティ機能(2)
 
 「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH