運用

ネットワーク管理者のための
Windows XP SP2レビュー(前編)


―― ついに登場したXP SP2日本語版。その機能を知り、展開計画を練ろう ――

1.XP SP2の概要とインストール

デジタルアドバンテージ
2004/08/18

 Windows XP Service Pack 2日本語版(以下XP SP2)の公開がいよいよ開始された。日本語版XP SP2はまず、2004年8月11日より、開発者向けの有償サービスであるMSDNサブスクライバー・ダウンロードにてインストールCDのISOイメージ(CD-ROMのデータをそのままイメージ化したファイル)が公開され、続いて翌12日にSP2を統合した(あらかじめ組み込んだ)Windows XP ProfessionalのISOイメージが公開された。原稿執筆時点(2004年8月17日午前)では、まだダウンロード・センターによる一般向け公開はなされていないが、公開は時間の問題だろう。

 なお、米国では当初、8月16日よりXP SP2の自動更新登録を実施するとしていたが、その後予定が変更され、Windows XP Home Edition向けとProfessional向けが分離され、このうちHome Editionが18日から、Professionalが25日からと段階的に実施されることになったようだ。Software Update Services(以下SUS)向けは、当初の予定どおり16日から公開が開始された(米国版)。

 本稿では、主にネットワーク管理者を対象として、XP SP2で強化されるセキュリティ機能を中心に、機能概要を紹介しXP SP2展開のポイントや注意点などをまとめる。

セキュリティ機能を大幅に強化したXP SP2

Windows XP SP2がいよいよ登場
Windows XP SP2にまつわる不運な逆説
Windows XP SP2のセキュリティ機能
セキュリティ機能を強化するWindows XP Service Pack 2

 すでに本サイトの別記事でもご紹介しているとおり、XP SP2では、修正プログラムが集大成されているだけでなく、各種のセキュリティ機能が大幅に強化される。

 次々と発見されるWindowsのセキュリティ・ホールと、これを悪用するウイルスやワームは、Windowsユーザー自身はもとより、多数のWindowsクライアントを管理する管理者、情報システム担当者の大きな懸念材料になっている。コンピュータ・セキュリティは継続的に取り組まざるを得ない問題であるが、新たなセキュリティ・ホールが発覚した場合や、新種のウイルスやワームの攻撃を受けた場合でも、Windowsの安全性を可能な限り高め、深刻な事態に陥る危険性を低減させる。XP SP2でのセキュリティ機能強化のコンセプトを一言でいえばこういうことになるだろう。

 しかしセキュリティ強化の代償は必ずしも安くない。セキュリティ強化の基本は、「制限を強化すること」である。XP SP2の適用によって制限が強化されたために、これまで使えていたソフトが動かなくなる、といった障害は当初から懸念されていたし、事実、マイクロソフトを始め、多くのコンピュータ・ベンダからXP SP2に起因する不具合と対処法に関する情報が続々と公開されている(詳細はすぐ次で述べる)。大量のクライアントに対する展開には情報収集と入念なテストが欠かせないだろう。

 XP SP2からは、Windows Updateを利用した自動更新機能が変更され、XP SP2インストールの最終段階で、推奨とされる自動更新機能を有効化すると、以降はSPや修正プログラムの自動更新機能が有効化され、修正プログラムが公開された段階でダウンロード、適用、再起動までが自動化される(従来は修正プログラムのダウンロードまでで、適用は毎回確認する設定がデフォルトだった)。

 SUSを導入してクライアントを集中管理している場合は問題ないが、インターネット上のWindows Updateを独自に利用して更新を行っているクライアントPCがあると、管理者の知らないところで修正プログラムの適用がどんどん進んでしまうことになる。SUS環境ではなく、各ユーザーにWindows Updateを自由に実行させているような場合は、さらに混とんとした状況に陥る危険がある。いずれにせよ管理者としては頭の痛い問題である。

 このため米国では、XP SP2の自動更新機能を最大で120日間保留にして、クライアントの自動更新を禁止するツールがマイクロソフトから提供されている。

 このツールには以下のものが含まれている。

  • グループ・ポリシーで自動更新機能を集中的に管理するためのテンプレート・ファイル
  • グループ・ポリシーが使えないコンピュータ向けの保留/許可制御用コマンド
  • 自動更新を無効にするためのリンクを含むメール・メッセージ・サンプル(メッセージ内のリンクをユーザーがクリックするだけで自動更新を無効化できる)

 マイクロソフトは、IT管理者向けにXP SP2の機能強化点を詳しくまとめたドキュメントを公開している。

XP SP2適用による障害

 XP SP2の適用によって不具合を起こすソフトウェアの情報は、原稿執筆時点でざっと次のようなものがある。ほとんどはWindowsファイアウォールの影響によるもので、手動でのファイアウォール設定で問題回避できるものが多いようだ(とはいえ、手間がかかることに変わりはない)。

マイクロソフトが公開したXP SP2非互換ソフト・リスト
 まずはマイクロソフト自身が公開しているもの。英語版ソフトウェア情報だが、マイクロソフト製品(Visual StudioやOffice製品など)を含め、約50種類のソフトウェアがリストアップされている。

Microsoft Baseline Security Analyzer 1.2(MBSA 1.2)
 パッチの適用状況をリモートから走査するMBSA 1.2でも障害があり、マイナー・バージョンアップ版(日本語版)が公開された。

日立ソフトウェア/JP1
 ネットワーク管理ソフトウェアとして国内では広く普及している日立ソフトウェアのJP1も、一部で障害が発生すると発表されている。

BizTalk Server 2004
 マイクロソフトのBLOG情報によれば、EAI/BtoBソフトウェアのBizTalk Server 2004も、XP SP2で互換性問題が発生する。このうち1つは、XP SP2によりDCOMのセキュリティモデルが変更されることに起因する問題で、レジストリを修正するまでBizTalk Server 2004が動作しない致命的な問題である。

GPEdit(グループ・ポリシー・エディタ)
 XP SP2では、ポリシーが多数追加されており、XP SP2の新しい.admファイルは、古いGPEditではエラーが発生して正しくロードできない。以下のドキュメントを参照して対処する必要がある。

そのほか
 ほかにも、ウイルス対策ソフトのリモート・インストール機能などでも障害が起こるようだ。

 全体的な傾向として、ネットワーク管理ツールなど、リモートからクライアントに接続して、情報を取得したり、何らかのリモート制御を行ったりする「リモート管理系ソフト」では、何らかの対策が必要になる可能性が高い。特に、独自ポートを使ってTCP/IP通信をしている可能性があるソフトは、まず疑ってかかった方がよいだろう。

 XP SP2の最新の障害情報については、以下の電子掲示板を定期的にチェックするとよいだろう。

XP SP2のインストール

 XP SP2のインストールは、1つの重要な選択肢を除けば、インストーラに任せておくだけだ。ここでは簡単に、CD版のXP SP2を使ってインストールした画面をいくつかご紹介しよう。

 CDをドライブに挿入すると、最初に次の画面が表示される。

XP SP2インストーラの初期画面
CDをドライブに挿入すると、自動的にこの画面が表示される。
  このボタンをクリックする。

 ここで[続行]ボタンをクリックしたら、後はインストールが終了するのをじっと待つのみだ。大量のファイルを更新するので、途中でハングアップしたかと思う場面もあるが、ディスクのアクセス・ランプが点灯してれば作業は進行しているので待っていればよい。

 XP SP2のインストールで唯一の重要な選択は、インストールの最終段階で表示される次の画面である。

自動更新の選択
XP SP2のインストールでユーザーに許された選択はこれだけ。ここで自動更新を有効にすると、以後、修正プログラムが公開されるとともにダウンロード、適用、再起動までが自動実行されるようになる。
  これを選択すると自動更新機能が有効化される。
  取りあえずは自動更新を有効化せずにインストールを続行したい場合はこちらを選択する。後で自動更新を有効化することができる。
  上のいずれかを選択して次に進む。

 ここでを選択すると、自動更新が有効化され、以後、毎日深夜3時(デフォルト)にWindows Updateサイトにアクセスし、修正プログラムが公開されているとそれをダウンロードし、適用し、再起動までを自動実行するようになる。自動更新を有効化せずにインストール作業を続行したければ、を選択する。

 作業を進めると、コンピュータが再起動され、XP SP2のインストールが完了する。バージョンを確認すると、以下のようになっていた。

XP SP2適用後のバージョン情報
SP2が適用済みであることが分かる。
  040803-2158は、2004年8月3日21:58を意味しているようだ。


 INDEX
  [運用]
  ネットワーク管理者のためのWindows XP SP2レビュー(前編) 
  1.XP SP2の概要とインストール
    2.ファイアウォール機能(1)
    3.ファイアウォール機能(2)
    4.ファイアウォール機能(3)
  ネットワーク管理者のためのWindows XP SP2レビュー(後編) 
    5.Internet Explorerの機能強化
    6.Outlook Expressのセキュリティ機能
    7.データ実行保護機能(DEP)

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間