特集
Windows Server 2003 SP1レビュー

第5回 セキュリティ構成を素早く設定する「セキュリティの構成ウィザード」

4.セキュリティ ポリシーの適用

デジタルアドバンテージ 打越 浩幸
2005/06/17

 以上でセキュリティ・ポリシーの作成は完了である。後は、それを実際のシステムに適用すればよいが、そのためにはいくつかの方法がある。

 一番簡単なのは、SCWをもう一度起動して、適用対象のコンピュータを選択後、適用するという方法である。このローカルのコンピュータだけでなく、リモートのコンピュータにも適用できるが、適用は一度に1台ずつしか適用できない。

 2番目の方法は、scwcmd.exeコマンドを利用する方法である。複数のコンピュータに一括して適用できるので、対象となるコンピュータの数が多い場合は、この方法でもよいだろう。

 3番目の方法は、セキュリティ・ポリシーをActive Directoryのグループ・ポリシー・オブジェクトに変換し、グループ・ポリシー機能を使って適用する方法である。Active Directory環境を利用している場合は、この方法でもよいだろう。

 以下、それぞれの方法について簡単に述べておく。

方法1.SCWウィザードで適用する方法

 SCWを起動すると、最初にポリシーを適用するかどうかを選択する画面が表示される。

セキュリティ・ポリシーの適用
ウィザードの最初の画面で適用を選択し、作成されたポリシー・ファイルを指定する。
  これを選択する。
  作成されたポリシー・ファイル。

 この画面でポリシーの適用を選び、さらに保存したポリシー・ファイルを選択して[次へ]をクリックする。すると、適用の対象となるコンピュータを選択する画面が表示される。デフォルトではローカルのコンピュータ名が指定されているが、リモート・コンピュータ名(とアクセスするためのアカウント、パスワード)を指定してもよい。そして[次へ]というボタンをクリックすると、ポリシーの適用が開始されるが、何らかの原因でエラーが発生すると(例:設定対象のサービスが起動していないなど)、エラー・ログが表示される。

2.scwcmdコマンドで適用する方法

 SCWのウィザードでは、同時に1台ずつしか適用できないが、コマンド・プロンプト上でscwcmd.exeコマンドを利用すると、もっと柔軟に、多数のコンピュータへ展開することができる。

 次の例は、ポリシー・ファイルwebpolicy.xmlを、ローカルのコンピュータに適用する場合のコマンドである。

C:\>scwcmd configure /p:webpolicy.xml
   *   1/1 100%
コマンドは正しく完了しました。

 リモートのコンピュータへ適用するなら、「/m:コンピュータ名」か「/m:IPアドレス」というオプションを追加指定すればよい。

 適用対象のコンピュータが複数ある場合は、「/ou:OU=system,OU=example,DC=com」とすれば、Active Directoryの特定のOU全体に展開することができる。また適用対象のコンピュータ名と適用したいポリシー・ファイル名を記述した指定ファイルを与えて、多数のコンピュータへ異なるポリシー・ファイルを同時に適用させることもできる。

3.グループ ポリシーを使って適用する方法

 セキュリティ・ポリシーをグループ・ポリシー・オブジェクト(GPO)に変換し、それを通常のグループ・ポリシーと同様に、ドメイン内のコンピュータに配布して利用することもできる。

 この方法を利用するには、まずscwcmd transformコマンドでセキュリティ・ポリシーをGPOに変換する。

C:\>scwcmd transform /p:C:\WINDOWS\security\msscw\Policies\test1.xml /g:ScwT
estPolicy
コマンドは正しく完了しました。

 次に、生成されたGPOを、グループ・ポリシー・エディタでActive Directory内の任意のOUにリンクさせる。

グループ・ポリシー・オブジェクトとしての利用
セキュリティ・ポリシーをグループ・ポリシー・オブジェクト(GPO)に変換すると、Active Directoryのグループ・ポリシーとして利用できる。
  変換され、作成されたGPOをOUにリンクさせる。

 この方法で生成されたGPOは通常のGPOと同じなので、Windows Server 2003 SP1以外のコンピュータへポリシーを適用することは可能だが、そのような操作はサポート対象外となっている。

ロールバック

 ロールバックとは、適用したセキュリティ・ポリシーの設定を元に戻すことである。これを実行すると、最後に適用されたセキュリティ・ポリシーの設定がすべて解除され、設定前の状態に戻すことができる。

■コマンドラインでの実行
 コマンドラインでロールバックするには、scwcmd rollbackというコマンドを実行する。

C:\>scwcmd rollback /m:localhost
   *   1/1 100%
コマンドは正しく完了しました。

■ウィザードによる実行
 SCWのウィザードを起動し、[最後に適用したセキュリティ ポリシーのロールバック]という選択肢を選んで[次へ]ボタンをクリックする。するとロールバックする内容の確認ダイアログが表示された後、ロールバック操作が行われる。

 ロールバック操作は何段階も行うことができるが、管理が煩雑になるので、ポリシーの適用操作を何段階も重ねることは勧められていない。これは例えば、あるポリシーを適用してから、さらに別のポリシーを上書きして適用する、といった方法は望ましくない、ということである。基本的には、1つのセキュリティ・ポリシーにすべての設定を含めておき、異なるセキュリティ・ポリシーを利用したければ、1から別のポリシー・ファイルを作り直すのが望ましいとされている。これならば適用もロールバックも1段階しか必要ないので、どのポリシーを適用するべきか迷うことがなくなり、管理が容易になる。

セキュリティ・ポリシーの分析

 ウィザードではなく、scwcmdコマンドでのみ利用可能なオプションとして、セキュリティ・ポリシーの分析という機能がある。これは、現在のシステムの状態と、指定されたセキュリティ・ポリシーの設定を比較し、その差をレポートする機能である。

 分析機能はscwcmd analyzeコマンドで実行できる。

C:\>scwcmd analyze /p:C:\WINDOWS\security\msscw\Policies\test1.xml
   *   1/1 100%
コマンドは完了しました。
結果ファイル: C:\work\TET-52ADS.xml
C:\work>scwcmd view /x:c:\work\TET-52ADS.xml …SCWビューアの起動
コマンドは正しく完了しました。

 結果はXML形式でファイルに出力されるので、閲覧にはscwcmd viewコマンドを使用し、XSLTを通して見る。

分析結果の表示
scwcmd analyzeコマンドで作成した分析結果は、scwcmd viewコマンドを使って表示させることができる。
  サービス名。
  ポリシーによる設定。
  現在のシステムの設定。

 以上、Windows Server 2003 SP1のセキュリティの構成ウィザードについて簡単に見てきた。従来ならば、個別のロックダウン・ツールや各種の管理ツール、そして各サービスに関するさまざまな知識(各サービスの意味や依存関係、使用ポートなどの情報)を総動員しなければ行えなかったようなセキュリティ設定が、このウィザードを利用すれば、サービス名を選ぶだけで、簡単に設定できるようになっている。これは非常に便利である。特に多数のサーバを管理しなければならないような環境では、ぜひとも活用していただきたい。たとえイントラネットでしか利用しないようなサーバであっても、このツールを使ってセキュリティ設定を今一度確認し、必要ならば無用なサービス類の停止やセキュリティ設定の強化を行っておきたい。End of Article

  関連リンク
  セキュリティの構成ウィザード (SCW)(マイクロソフト)
  セキュリティの構成ウィザード(マイクロソフトTechnet)
     

 INDEX
  [特集]Windows Server 2003 SP1レビュー
  第5回 利用目的に応じたセキュリティ設定を素早く確実に行う「セキュリティの構成ウィザード」
    1.セキュリティの構成ウィザードの概要
    2.SCWウィザードの実行(1)
    3.SCWウィザードの実行(2)
  4.セキュリティ ポリシーの適用
 
目次ページへ  「特集」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間