運用
|
 |
|
ここまでで、IISのインストールと動作確認はできたが、最低限のコンポーネントしか組み込んでいないにもかかわらず、これだけではセキュアなWebサーバとはとてもいえない。デフォルトのWindows 2000 ServerのIISのままでは、IISを構成する各種のモジュールに脆弱性(セキュリティ・ホール)が残っている上に、不要な(狙われやすい)機能が有効になっているからだ。Windows 2000 Serverのセットアップが完了したら、次に、製品発売後にリリースされた各種の修正モジュールを適用して、これらの問題点や脆弱性を除去する必要がある。
修正モジュールは、Service Pack(以後SPと表記)、Security Rollup Package(以後SRPと表記)、そして単体で提供されている各種の修正プログラムに分類される。SPやSRPは複数の修正プログラムの集合体であり、まず最新のSPとSRPを適用してから、さらにそれらの後で公開された修正プログラム類を個別に適用することになる。
2002年8月の時点では、SPの最新版は2002年8月9日にリリースされたSP3となっている(SP3の詳細については「Insider's Eye―Windows 2000 Service Pack 3日本語版がついに登場」を参照。ダウンロードは「Windows 2000 Service Pack 3日本語版」のページから行える)。SP3には、2001年6月にリリースされたSP2、2002年1月にリリースされたSRP1、そしてSRP1からSP3までの間にリリースされた修正プログラムがすべて包含されているので、SP3をインストールすれば、SP3リリース時点までの修正プログラムはすべて適用されることになる。
SP3を適用するには、以下の3種類の方法がある。
- Windows Updateを使用する。
- 「Windows 2000 Service Pack 3日本語版」のページで「Windows 2000 SP3 ダウンロード」をクリックしてダウンロード・ページに移動した後、「Windows 2000 SP3 高速インストール」の下にある機種ごとのリンクをクリックする。
- 「Windows 2000 Service Pack 3 日本語版」のページで「Windows 2000 SP3 ダウンロード」をクリックしてダウンロード・ページに移動した後、「Windows 2000 SP3 Windows 2000 SP3 ネットワーク インストール」の下にある機種ごとのリンクをクリックする。
このうち「1」と「2」の場合、最初にインストーラだけがダウンロードされ、更新が必要なファイルを検索してから、必要なファイルのダウンロードとインストールが実行される。そのため、不要なファイルまでダウンロードすることがないが、複数のコンピュータにSP3を適用する際には、コンピュータごとにいちいちダウンロードが行われるので、むしろ面倒になる。
それに対し「3」では、すべてのファイルをまとめた「W2KSP3.EXE(サイズは約125Mbytes)」という単体のファイルをダウンロードするという違いがある。ダウンロードした「W2KSP3.EXE」を実行すると、アーカイブされているファイルが展開・検証された後、SP3がインストールされる。インストールが終了すると、Windows 2000が再起動される。
 |
|||
| Service Pack 3のインストール | |||
| Windows 2000 Service Pack 3インストールの初期画面。Windows 2000をインストールしたら、最初にSP3をインストールする。これにより、その後の修正プログラム適用の手間を最低限で済ませることができる。 | |||
|
インストールの途中では、SP3をアンイストールするために、古いファイルを保存しておくかどうかを選択する画面が表示される。SP3をインストールしてシステムが不具合を起こすようなら、あとでSP3をアンインストールすることもできるが、そもそもSP3がうまく動作しないようなマシンや環境では、(以後のパッチが適用できないので)IISをセキュアな状態にすることは不可能である。従ってWindows 2000を新規インストールする場合は、領域の節約や無駄なフラグメントの発生を抑えるためにも、アンインストールのバックアップを作成する必要はないだろう。
 |
|||||||||
| Service Pack 3以前ファイルを保存するかどうかの選択 | |||||||||
| Windows 2000 Service Pack 3のインストール・ウィザードの3画面目。ここでは、SP3をアンインストールするために、以前のファイルを保存しておくかどうかを選択する。SP3をインストールしてシステムが不具合を起こすようなら、あとでSP3をアンインストールすることもできるが、そもそもSP3がうまく動作しないようなマシンや環境では、(以後のパッチが適用できないので)IISをセキュアな状態にすることは不可能である。 | |||||||||
|
|
インターネットに接続する際の注意 この矛盾を解決するには、Windows Update実行の際に、IISのサービスを停止させるという方法をとればよい。[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]を選択してIIS管理ツールを起動し、[インターネット インフォメーション サービス]−[(コンピュータ名)]−[既定のWebサイト]とツリーを展開する。次に、[既定のWebサイト]上で右クリックし、コンテキストメニューで[停止]を選択すると、IISが停止する([一時停止]ではポート番号80番(HTTPプロトコルのポート番号)が開いたままになるので、[停止]を選択しなければならない)。この操作によって、ポート番号80番がリッスン状態(待ち受け状態)ではなくなる。 この状態でWindows Updateを実行し、すべての修正プログラムの適用を終えたあとで、サービスを再開させる。パッチの適用などによってシステムを再起動しても、ずっと[停止]状態のままなので、IISを利用するためには明示的に[開始]を実行する必要がある。
|
Internet Explorerの更新
IISとは直接関係ないが、セキュリティ・ホール対策を行った環境を構築するという観点から、IEも最新版に更新しておく必要がある。Windows 2000 Server(SP未適用版)に標準で含まれているIEのバージョンは5.0だが、現在(2002年8月現在)の最新バージョンは6.0となっている。
ASP.NETやWebサービスを運用するために.NET Frameworkをインストールする場合にも、IEは6.0に更新されるので、最初からIEを最新版に更新しておく方が便利だ。
IE 6.0をインストールするには、Windows Updateに接続するか、あるいはIEのホームページ)で配布されているインストール・イメージなどを使用する。なお、IEをWindows Updateからインストールする際には、そのほかの更新ファイルを同時にインストールできないので、セキュリティ・ホールの修正プログラムより先に、まずIEの更新を済ませておいた方が効率がよい。そのため、SP3をインストールした後でIE 6.0をインストールし、さらにIE 6.0用の修正プログラムをインストールすることになる。
 |
 |
| INDEX | ||
| [運用]IIS安全対策ガイド | ||
| 1.Windows 2000とIISのインストール | ||
 |
2.最新のService PackとSRPの適用 | |
| 3.必要な修正プログラムの確認と組み込み | ||
| 4.Windows 2000 Serverシステムの基本セキュリティ設定 | ||
| 5.IIS5の基本セキュリティ設定 | ||
| 6.IIS Lockdown ToolとURLScanの導入 | ||
 |
||
| 更新履歴 | |
|
 |
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
