特集
IIS安全対策ガイド・インターネット編:インターネット・サービス向けIIS設定ガイド(5/9 ページ)
不用意なサービス公開は不正アクセスの格好の標的になる。安全にIISを使うためのネットワーク設計とIIS設定とは?
必要のないサービスを停止させる
ファイル共有機能も含めて、Windows 2000が提供する機能の大半は、「サービス」と呼ばれる、バックグラウンドで動作するプロセスによって提供されている。この「サービス」のうち、Webサーバとしての動作に必要のないものを停止させることで、システム負荷を減らし、不正侵入などにつながる要因を減らすことができる。
サービスの起動/停止を行うためには、[コントロールパネル]−[管理ツール]−[サービス]を使用する。
[サービス]管理コンソール
ここには、動作中のWindows 2000に登録されているサービス一覧が表示されている。[状態]の列に[開始]と表示されているのが動作中のサービスだが、そのうちWebサーバとして使う際には必要ないものを停止させ、不正侵入のきっかけを減らすとともに、システム負荷も軽減する。
(1)Windows 2000にインストールされているサービスの名前。
(2)それぞれのサービスの説明。
(3)サービスが動作しているかどうかの状態。
(4)サービスが自動起動するかどうかが表示される。
ここで、それぞれの「サービス」の名称をダブルクリックすると、サービスごとのプロパティ画面が表示される。
「サービス」のプロパティ画面
Windows 2000のサービスは、それぞれ個別に、スタートアップの種類と、開始/停止/一時停止の指定ができる。
(1)サービスの名前。
(2)このサービスの説明。
(3)サービスの実体である.EXEファイルのパス名。
(4)サービスが自動起動するかどうかが表示される。リストボックスになっていて、必要に応じて変更が可能。
(5)ここをクリックすると、停止中のサービスが動作を開始する。図の例では動作中なので、グレー表示になっている。
(6)ここをクリックすると、停止中のサービスが動作を完全停止する。
(7)ここをクリックすると、停止中のサービスが動作を一時的に停止する。
動作しているサービスを停止させるには、ここで[停止]をクリックする。また、停止中のサービスを起動するには[開始]をクリックする。[一時停止]は[停止]と異なり、例えば何らかのTCP/IPポート番号を用いて待ち受けを行うサービスでは、ポート番号が開いたままになる([停止]の場合はポートも閉じられる)。
なお、[スタートアップの種類]に[自動]/[手動]/[無効]の違いがあるが、これらは以下のように区別される。
| 種類 | 意味 |
|---|---|
| 自動 | サービスはWindows 2000の起動時に自動起動する |
| 手動 | サービスは必要に応じて手作業で、あるいは別のサービスから呼び出されて起動する |
| 無効 | サービスは起動しない |
| サービスの起動の種類 | |
ここで、以下に示すサービスを停止させた上で、念を入れて[スタートアップの種類]を[無効]に変更する作業を実施する。
| サービス名 | 用途 | 備考 |
|---|---|---|
| IPSEC policy agent | IPsecを使用しない場合は停止させる | |
| Messenger | NetBIOSのメッセージ送信機能を提供する | |
| Net Logon | ドメインに参加していない場合は動作していないはずだが、念のために停止を確認する | |
| Print Spooler | 印刷データのスプールとプリンタへの送出 | |
| Remote Registry Service | レジストリの遠隔操作/被遠隔操作 | |
| RPC Locator | リモート管理が必要なら動作させる | |
| RunAs Service | ほかのユーザーの権限でアプリケーションを実行できてしまうので、停止していることを確認する | |
| Server | Microsoftネットワーク用ファイルとプリンタ共有の機能を提供する | これを停止させると、Computer BrowserサービスとDistributed File Systemサービスが一緒に停止する |
| TCP/IP NetBios Helper Service | NBTとNetBIOSの名前解決をサポートする | |
| 停止するサービス | ||
Copyright© Digital Advantage Corp. All Rights Reserved.