運用　IIS安全対策ガイド　2．最新のService PackとSRPの適用（Windows 2000 SP2の場合）


運用 IIS安全対策ガイド２．最新のService PackとSRPの適用デジタルアドバンテージ 2002/05/30

　ここまでで、IISのインストールと動作確認はできたが、最低限のコンポーネントしか組み込んでいないにもかかわらず、これだけではセキュアなWebサーバとはとてもいえない。デフォルトのWindows 2000 ServerのIISのままでは、IISを構成する各種のモジュールに脆弱性（セキュリティ・ホール）が残っているし、不要な（狙われやすい）機能が有効になったりしているからだ。Windows 2000 Serverのセットアップが完了したら、次に、製品発売後にリリースされた各種の修正モジュールを適用して、これらの問題点や脆弱性を除去していく。

　修正モジュールは、Service Pack（以後SPと表記）、Security Rollup Package（以後SRPと表記）、そして単体で提供されている各種の修正プログラムに分類される。SPやSRPは複数の修正プログラムの集合体であり、まず先にSPとSRPを適用してから、さらにそれらの後で公開された修正プログラム類を個別に適用することになる。

　2002年5月の時点では、SPの最新版は2001年6月1日にリリースされたSP2で（詳細については「Windows 2000 Service Pack 2 日本語版」のページを参照。ここから直接ダウンロード・インストールすることも可能）、それに加えてSRP1がリリースされている。そのため順序としては、まずSP2をインストールし、続けてSRP1をインストールすることになる。Service Packの情報については「Microsoft Service Packs」のページからもたどることができる。

　SP2を適用するには、以下の3種類の方法がある。

Windows Updateを使用する。
「Microsoftダウンロードセンター」で、「Windows 2000 Service Pack 2 x86 Express Install (高速インストール)」を選択する。もしくは、「Windows 2000 Service Pack 2 日本語版」のページで「Windows 2000 SP2 高速インストール」を選択する。
「Microsoftダウンロードセンター」で、「Windows 2000 Service Pack 2 x86 Network Install + Symbols (ネットワークインストール)」を選択する。もしくは、「Windows 2000 Service Pack 2 日本語版」のページで「Windows 2000 SP2 Windows 2000 SP2 ネットワークインストール」を選択する。

　このうち「1」と「2」の場合、最初にインストーラだけがダウンロードされ、更新が必要なファイルを検索してから、必要なファイルのダウンロードとインストールが実行される。そのため、不要なファイルまでダウンロードすることがないが、複数のコンピュータにSP2を適用する際には、コンピュータごとにいちいちダウンロードが行われるので、むしろ面倒になる。

　それに対し「3」では、すべてのファイルをまとめた「W2KSP2.EXE（サイズは105Mbytes）」という単体のファイルをダウンロードするという違いがある。ダウンロードしてきた「W2KSP2.EXE」を実行すると、アーカイブされているファイルが展開・検証された後、SP2がインストールされる。インストールが終了すると、Windows 2000が再起動される。

Service Pack 2のインストール

Windows 2000 Service Pack 2インストールの初期画面。Windows 2000をインストールしたら、まずこのSP2をインストールする。各種のパッチやSRPはこのSP2が適用されていることが前提条件になっているからだ。

		使用許諾契約に同意するとインストールが可能になる。
		SP2をインストールしてシステムが不具合を起こすようなら、あとでSP2をアンインストールすることもできるが、そもそもSP2がうまく動作しないようなマシンや環境では、（以後のパッチが適用できないので）IISをセキュアな状態にすることは不可能である。従ってWindows 2000を新規インストールする場合は、領域の節約や無駄なフラグメントの発生を抑えるためにも、アンインストールのバックアップを作成する必要はないだろう。
		これをクリックすると、実際のインストール作業が始まる。

　Service Pack 2に続いて、次はWindows 2000 Security Rollup Package（SRP）を適用する。SRPは、次々と公開される（Windows 2000用の）セキュリティ・パッチを集めて1つのインストール・モジュールにまとめたものである。SRPは、Service Packよりも短い間隔で、セキュリティ対策を目的として定期的にリリースされることになっている（とはいうものの、原稿執筆時点（2002年5月現在）ではまだ1回しかリリースされておらず、当初提供される予定であったSRP2は、次期のWindows 2000 Service Pack 3の発表が近いことからキャンセルとなっている）。これを適用することにより、それ以前に発表されている修正プログラムを1つずつ適用しなくても、一度でパッチを当てることができる。もっとも、そのあとも修正プログラムはリリースされ続けているので、後述するように、さらに追加の修正プログラムを適用する必要がある。

　SRP1の提供開始日付は2002年1月30日であり、先に紹介した「Microsoft Service Packs」で検索できる。ここでWindows 2000関連のソフトウェアを検索するか、ダウンロード・ページの「重要なアップデート」にある「Windows 2000 Security Rollup Package, 2002 年 1 月版」を選択して、右上に表示されている「言語の選択」欄から「日本語版」というリンクをクリックしてダウンロードする。

■SRP1のダウンロード
　SRP1も、SP2と同様に「高速インストール」と「ネットワークインストール」が選択できる。両者の違いはSP2の場合と同様だ。ネットワーク・インストールを選択した場合、ダウンロードしてきた「W2KSP2SRP1.EXE（サイズは16.5Mbytes）」を実行するとインストールすることができる。

SRP1のインストール画面

SRP1のインストールもウィザード形式になっている。

		使用許諾契約に合意するとインストールが可能になる。
		これをクリックするとSRP1のインストールが行われる。

インターネットに接続する際の注意
　当然ながら、Windows Updateを使用するには、インターネットに接続された状態で実行する必要がある。しかし本稿の冒頭で述べたとおり、Windows 2000やIISの修正プログラムを適用していない状態でインターネットに接続すると、ワームに感染する危険性がある。現在でもNimdaやCode Redなどの攻撃は、頻度は減ったものの、ほぼ絶え間なく続いているからだ。

　この矛盾を解決するには、Windows Update実行の際に、IISのサービスを停止させるという方法をとればよい。［スタート］－［プログラム］－［管理ツール］－［インターネットサービスマネージャ］を選択してIIS管理ツールを起動し、［インターネットインフォメーションサービス］－［(コンピュータ名)］－［既定のWebサイト］とツリーを展開する。次に、［既定のWebサイト］上で右クリックし、コンテキストメニューで［停止］を選択すると、IISが停止する（［一時停止］ではポート番号80番（HTTPプロトコルのポート番号）が開いたままになるので、［停止］を選択しなければならない）。この操作によって、ポート番号80番がリッスン状態（待ち受け状態）ではなくなる。この状態でWindows Updateを実行し、すべての修正プログラムの適用を終えたあとで、サービスを再開させる（パッチの適用などによってシステムを再起動しても、ずっと［停止］状態のままなので、IISを利用するためには明示的に［開始］を実行する必要がある）。

Webサーバの動作を止めてからWindows Updateを行う

Windows Updateのためにインターネットに接続する場合は、最初にIISの管理ツールでWebサーバやFTPサーバのサービスを停止させておかないと、インターネット・ワームなどに感染する恐れがある。

		「Webサイト」を右クリックしてメニューを表示させる。
		ポップアップ・メニューから［停止］を選択して、Webサービスを停止させる。同様にFTPサイトが存在する場合は、そちらも停止させておくのが望ましい。

Internet Explorerの更新

　IISとは直接関係ないが、セキュリティ・ホール対策を行った環境を構築するという観点から、IEも最新版に更新しておく必要がある。Windows 2000 Serverに標準で含まれているIEのバージョンは5.0だが、現在（2002年5月現在）の最新バージョンは6.0となっている。

　ASP.NETやWebサービスを運用するために.NET Frameworkをインストールする場合にも、IEは6.0に更新されるので、最初からIEを最新版に更新しておく方が便利だ。

　IE 6.0をインストールするには、Windows Updateに接続するか、あるいはIEのホームページ（http://www.asia.microsoft.com/japan/ie/）で配布されているインストール・イメージなどを使用する。なお、IEをWindows Updateからインストールする際には、そのほかの更新ファイルを同時にインストールできないので、セキュリティ・ホールの修正プログラムより先に、まずIEの更新を済ませておいたほうが効率がよい。SP2やSRP1にはIE 5.0の修正プログラムも含まれているので、既存のIE 5.0用の修正プログラムが先にインストールされたあとに、IE 6.0をインストールし、さらにIE 6.0用の修正プログラムをインストールすることになる。

　運用

Windows Server Insider フォーラム新着記事

Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる （2017/7/27）
　AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう
Azure Storage ExplorerでStorageを手軽に操作する （2017/7/24）
　エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう
Win 10でキーボード配列が誤認識された場合の対処 （2017/7/21）
　キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう
Azure Web AppsでWordPressをインストールしてみる （2017/7/20）
　これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた！まずはWordPressをインストールしてみる