特集
Windows Server 2003 SP1レビュー

第5回 利用目的に応じたセキュリティ設定を素早く確実に行う「セキュリティの構成ウィザード」

1.セキュリティの構成ウィザードの概要

デジタルアドバンテージ 打越 浩幸
2005/06/17


 Index
第1回 Windows Server 2003 SP1の概要
第2回 リモート・アクセス検疫機能
第3回 初期セットアップ時のセキュリティ保護を実現する「セットアップ後のセキュリティ更新」
第4回 ネットワーク・セキュリティを実現する「Windowsファイアウォール」
第5回 利用目的に応じたセキュリティ設定を素早く確実に行う「セキュリティの構成ウィザード」
第6回 アクセス・ベースのディレクトリ列挙ABE

 Windows Server 2003 Service Pack 1(以下「Windows Server 2003 SP1」)では、新たに「セキュリティの構成ウィザード」(Security Configuration Wizard 、以下SCW)が用意され、システムのセキュリティにかかわる設定や構成の変更を容易に行えるようになった。本稿では、このSCWについて解説する。

セキュリティの構成ウィザードとは

 SCWは、Windows Server 2003 SP1のセキュリティ設定を簡単に済ませるために用意されたツールである。従来のWindows Server OSでは、システムで動作しているサービスや各種のサーバ・アプリケーションに応じて、管理者が独自にセキュリティ設定やサービスの起動設定、アクセス権の設定、ファイアウォールの設定などを行う必要があった。だがこれらの設定作業は非常に複雑であり、各サービスやアプリケーションが利用しているファイルやレジストリ、ネットワークのポートなどの情報を正確に理解していなければ実行できない。サービスやアプリケーションによっては、セキュリティ設定ツールが付属しているものもあるが、そのほとんどは、ほかのサービスとは連動しておらず、サービスごとに管理用ツールや「セキュリティ・ポリシー」が用意されているのが現状である。

 この問題を解決し、セキュリティにかかわる設定を一元化して、簡単にだれでも行えるようにするのが「セキュリティの構成ウィザード」である。

 SCWは、サービスやアプリケーションの検出や制御方法などに関するデータベースを持っており、それを現在のサーバ構成情報と照らし合わせ、必要な設定を自動的に行う。サービスの起動/停止の設定、レジストリの変更、ファイアウォールの設定など、一連のセキュリティに関するタスク(不要なサービス類を無効化する、いわゆる「ロックダウン」プロセス)が実行される。検査や設定の対象となるサーバ・アプリケーションも、IISやDNS、DHCPといったWindows Server OSの標準サービスだけでなく、SQL ServerやExchange Server、SMS Server、MOM Server、Biztalk Serverなど、主要なサーバ製品もサポートされている。

 SCWの機能を簡単にまとめると、次のようになる。

  • 不要なサービスの無効化。
  • 未使用の通信ポートのブロック。
  • 開いたままになっているポートに対する、IPSecによるIPアドレス制限やセキュリティ制限の追加。
  • 不要なIIS Web拡張機能の禁止。
  • ファイル共有プロトコル(SMB)やLDAPプロトコルなどの公開の抑止。
  • 不正なアクセスなどを監視するための監査ポリシーの定義

 作成されたセキュリティ設定情報は、XML形式のファイルで保存され、再適用やロールバック(適用したポリシーの解除)、再編集、ほかのコンピュータに対するリモート設定、Active Directoryのグループ・ポリシーを用いた展開などが行える。また、GUIベースのウィザードだけでなく、コマンドラインによるセキュリティ設定のサポートやXSLによる表示(SCWが持っている内部データベースの表示や、セキュリティ構成情報、分析結果などのXMLファイルを、XSLを使って表示する)などもサポートされている。

■セキュリティ・ポリシー
 SCWで設定した、サービスやTCP/IPのポートの許可などの内容のことを「セキュリティ ポリシー」と呼んでいる。「ポリシー」という名は付くが、Active Directoryのグループ ポリシーではない。作成されたポリシー設定は、各サーバ・コンピュータ(Windows Server 2003 SP1)に1台ずつ適用するのが基本的な使い方であるが、グループ・ポリシー・オブジェクト(GPO)へ変換して、配布することも可能である。作成されたセキュリティ ポリシーは、実際にはXML形式のファイルで保存される(デフォルトの保存場所は%SystemRoot%\security\msscw\Policies\)。

■KB(ナレッジ・ベース)
 SCWでは、サービスの依存関係や動作に必要な条件などのデータベースを「KB」と呼んでいる。この情報もXMLで記述されており、%SystemRoot%\security\msscw\KBs\に保存されている。このファイルは仕様が公開されており、必要に応じて独自のデータベースを作成/追加することもできる。SCWにデフォルトで用意されているKBには約60のサーバの役割が登録されている。

サポートされている役割/アプリケーション
Active Directoryドメイン・コントローラ、DHCPサーバ、DNSサーバ、WINSサーバ、ファイル・サーバ、ターミナル・サーバ、RASサーバ、IIS Webサーバ、FTPサーバ、Exchange 2003 Server、SQL Server 2000、BizTalk Server、HIS 2004 Server、MOM 2005 Server、ほか
SCWでサポートされている「役割」
SCWでは、サービスやアプリケーションごとにセキュリティ設定を行うことができる。この対象となるサービスの単位を役割といい、デフォルトでは60ほどのKBが定義されている。

SCWの基本的な利用方法

 SCWはウィザード形式で使用するGUIベースのツールである。内部にはサービスの動作条件のデータベースを持っており、その情報を、構築済みのサーバ環境と照らし合わせて、動作に必要な設定をデフォルトで選択してくれる。そのため、対応したデータベースのあるサービス(Windows Server 2003 SP1に搭載されているサービス+アルファ)だけを使用している場合は、[次へ]ボタンを順次押していけば、ほとんど何も悩まずに、必要なサービスを動作させつつ、不要なサービスやポートを遮断(ロックダウン)できる。ウィザード中に悩むセクションがある場合は、スキップすれば、そのセクションの設定は何も行われない。

 ウィザードの設定ページは延々と何ページも続くが、最初はウィザードの各ページの内容を見ながら次へと進め、セキュリティ・ポリシーを作成してみればよい。作成されたポリシーを表示してみれば、どのような設定が行われるのか理解できる(最終結果をシステムに「適用」せずに破棄してもよいので、取りあえず実行してみるとよい)。最終的にSCWを使用するかどうかにかかわらず、現在のサーバ環境に必要な設定を調査するという目的で利用するのもよいだろう。

 なお、SCWで設定した構成情報をほかのコンピュータへ適用することも可能であるが、直接適用するためには、適用先のコンピュータもSCWがインストールされたWindows Server 2003 SP1でなければならない。セキュリティ・ポリシーをActive Directoryのグループ・ポリシー・オブジェクトに変換することもできるが、Windows Server 2003 SP1以外に適用することはサポート外とされている。

SCWを使ったセキュリティ構成の作業手順

 SCWを使った構成作業の手順は次のようになる。

■1.ひな形になるサーバの構築
 SCWは、現在稼動中のWindows Server 2003 SP1コンピュータを調査/解析し、必要な設定を行う。そのため対象となるコンピュータには、あらかじめ必要となるサービスやネットワーク・アプリケーションなどがすべてインストールされ、稼働している状態にしておく必要がある。例えばドメインに参加させた上で、IISやWebサービスを起動するなどの設定を行っておく。SCWで調査する対象がリモートのWindows Server 2003 SP1コンピュータの場合、SCWがインストールされていないと収集できる情報には一部制限があるので(現在稼動中のサービスの一覧を正確に取得できない)、可能な限りSCWをインストールしておく。

■2.SCWの起動と対象コンピュータへの接続、調査、ポリシーの作成
 SCWを起動して、調査対象となるWindows Server 2003 SP1コンピュータへ接続し、構築済みのサーバの設定を基にして、セキュリティ・ポリシーを作成する。

■3.セキュリティ・ポリシーの適用
 作成されたセキュリティ ポリシーを、ひな形サーバと同じ構成でセキュアにしたいサーバに適用する。

■4.セキュリティ・ポリシーに基づく設定
 セキュリティ・ポリシーを適用されたWindows Server 2003 SP1では、その内容に従って、各種サービスの有効/無効やWindowsファイアウォール、ネットワーク構成、監査ポリシーなどが設定される。

■5.ロールバック
 適用したセキュリティ・ポリシーは、「ロールバック」操作によって適用直前の状態に戻すこともできる。ただ、ポリシーの内容によっては、すべてをロールバックできるわけではない(例:手動で起動したサービスをポリシーで停止させた場合、ロールバックしても、自動で起動したりはしない。この場合は管理者が手動で再起動するなどの措置が必要)。


 INDEX
  [特集]Windows Server 2003 SP1レビュー
  第5回 利用目的に応じたセキュリティ設定を素早く確実に行う「セキュリティの構成ウィザード」
  1.セキュリティの構成ウィザードの概要
    2.SCWウィザードの実行(1)
    3.SCWウィザードの実行(2)
    4.セキュリティ ポリシーの適用
 
目次ページへ  「特集」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間