特集
Windows Server 2003 SP1レビュー

第3回 初期セットアップ時のセキュリティ保護を実現する「セットアップ後のセキュリティ更新」

1.機能概要と動作条件

デジタルアドバンテージ 小川 誉久
2005/05/26


 Index
第1回 Windows Server 2003 SP1の概要
第2回 リモート・アクセス検疫機能
第3回 初期セットアップ時のセキュリティ保護を実現する「セットアップ後のセキュリティ更新」
第4回 ネットワーク・セキュリティを実現する「Windowsファイアウォール」
第5回 利用目的に応じたセキュリティ設定を素早く確実に行う「セキュリティの構成ウィザード」
第6回 アクセス・ベースのディレクトリ列挙ABE

 インストール用CD-ROM(DVD)からWindows OSをインストールしたばかりの初期状態は、セキュリティ的に安全とはいえない。CD-ROMのファイルは、それらが作成された時点での最新ファイルであって、それ以後に公開されたセキュリティ修正は適用されていない古い状態だからだ。

 脆弱性情報が公開されてから、それを攻撃するプログラムが開発されるまでの期間は短縮しつつある。システムの脆弱性は次々と報告されているので、これらを攻撃するプログラムも次々に開発されていると考えるのが妥当だ。インストールしたばかりの「古いOS」は、こうした攻撃プログラムの対象となる欠陥を含んでいる可能性がある。

 脆弱性を解消するには、Windows Updateなどで最新版の修正プログラムを適用すればよい。これには、ネットワークに接続する必要があるのだが、修正を適用しようとネットワークに接続して、実際に修正を適用するまでの短い時間に、攻撃用パケットなどを受信してしまい、ウイルスやワームに感染する危険がある。

セキュリティ更新の適用途中で攻撃を受ける
脆弱性を解消しようとネットワークに接続すると、セキュリティ更新の適用が完了する前に攻撃用パケットを受信してウイルスやワームに感染する可能性がある。

 一見すると、わずかな間隙を縫って攻撃を受ける可能性は小さいとも思えるが、例えばかつて猛威を振るったCode RedやNimdaなどのワーム感染が広がっていた時期には、これに感染した多数のサーバが大量の感染パケットをまき散らしていた。

 こうしたOSセットアップ時の安全性を向上するために、Windows Server 2003 SP1には「セットアップ後のセキュリティ更新(Post-Setup Security Update)」(以下、PSSUと略)と呼ばれる機能が追加されている。これは、Windows Server 2003 SP1に搭載されたWindowsファイアウォールを、Windowsの新規インストール時に限り自動的に有効化し、前述した初回のセキュリティ更新時の攻撃を防止しようとするものだ。Windows XP SP2とは異なり、Windows Server 2003 SP1のWindowsファイアウォールは、デフォルトでは無効になっている。しかしPSSUが機能するときには、例外的に自動でWindowsファイアウォールが有効化される。この機能により、サーバ・インストール後の初回の起動時から、Windows Updateによる最新の修正プログラムの適用が完了するまで、ネットワークからの不正な攻撃からシステムが防御される。

画面:PSSUの起動画面

 このようにPSSUが実行されると、Windows Updateへのリンク(上記画面の「このサーバを更新する」)が表示され、これをクリックすることでWindows Updateに接続される。PSSUの[完了]ボタン(画面右下)をクリックする前に、Windows Updateの修正適用によってシステムが再起動された場合には、再度PSSUが実行される。修正を適用して[完了]ボタンをクリックすれば、次回のログオンからはPSSUは表示されなくなる。

「セットアップ後のセキュリティ更新」が機能する条件

 PSSUは通常のプログラムではないので、[スタート]メニューからユーザーが明示的に実行することなどはできない。システムの初回起動時のみ、自動的にPSSUが実行される。

 ただし、たとえ初回のシステム起動時でも、常にPSSUが実行されるわけではない。例えば、OSのインストールから最新修正プログラムの適用までを、インターネットからは遮断された閉じたネットワークで展開するような場合には、PSSUは不要な機能である(データセンターなどで複数のサーバにOSを展開する場合などがこのケースに当たる)。具体的には、次の場合PSSUは実行されない。

1.既存OSをアップグレードした場合
 
既存のOSをWindows Server 2003(SP1統合版)にアップグレードした場合は、PSSUは実行されない。具体的には、Windows NT 4.0、Windows 2000、Windows Server 2003(SP未適用)の環境にWindows Server 2003(SP1統合版)をアップグレード・インストールした場合にはPSSUは実行されない。

 PSSUに関するマイクロソフトの日本語版ドキュメントによれば、「Windows NT 4.0からアップグレードした場合はPSSUが実行される」と記載されているが、最新版の英語ドキュメントではWindows NT 4.0からアップグレードする場合もPSSUは実行されないと明記されている。実際、DA Labで環境を用意し、Windows NT Enterprise Edition 4.0からWindows Server 2003 Enterprise Edition(SP1統合版)へアップグレードして確かめたところ、PSSUは実行されないことを確認した。

2.管理者がWindowsファイアウォールを有効化/無効化する無人セットアップ・スクリプトを使用してOSをインストールする場合
 データセンターなどでのOSの一括インストールがこのケースになるだろう。管理者がWindowsファイアウォールを含め、すべてを自身の管理下においてOSを展開したい場合には、この方法でPSSUの実行を抑制することができる。

3.PSSUが実行される前に、グループ・ポリシーによってWindowsファイアウォールが有効化/無効化された場合
 PSSUは、Windowsのセットアップ後、管理者が最初にログオンしたときに実行される。しかしこのログオン以前に、グループ・ポリシーでWindowsファイアウォールを明示的に有効化したり、無効化したりしたときには、PSSUは実行されない。何らかの理由でPSSUの実行を抑止したければ、グループ・ポリシーでWindowsファイアウォールの設定を行えばよい。

■PSSUは実行されるが、一部のポートがオープンされたままになる場合

ターミナル・サービスのポート番号を変更する(Windows TIPS)
 通常、PSSUが実行されると、Windowsファイアウォールによって、Windows Updateに必要な最低限のポートを除き、通信がブロックされる。しかし次の場合には、PSSUは実行されるが、一部のポートはオープンされたままになる。

  • インストール時に、無人セットアップ・スクリプトなどでリモート・デスクトップを有効化している場合。この場合は、リモート・デスクトップが使用するTCPのポート3389番はブロックされない。

  • グループ・ポリシーにより、Windowsファイアウォールの例外を設定している場合。この場合はポリシーで定義された例外ポートはブロックされない。


 INDEX
  [特集]Windows Server 2003 SP1レビュー
  第3回 初期セットアップ時のセキュリティ保護を実現する「セットアップ後のセキュリティ更新」
  1.機能概要と動作条件
    2.処理フローの詳細
 
目次ページへ  「特集」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間