特集
|
 |
|
|
|
以上でセキュリティ・ポリシーの作成は完了である。後は、それを実際のシステムに適用すればよいが、そのためにはいくつかの方法がある。
一番簡単なのは、SCWをもう一度起動して、適用対象のコンピュータを選択後、適用するという方法である。このローカルのコンピュータだけでなく、リモートのコンピュータにも適用できるが、適用は一度に1台ずつしか適用できない。
2番目の方法は、scwcmd.exeコマンドを利用する方法である。複数のコンピュータに一括して適用できるので、対象となるコンピュータの数が多い場合は、この方法でもよいだろう。
3番目の方法は、セキュリティ・ポリシーをActive Directoryのグループ・ポリシー・オブジェクトに変換し、グループ・ポリシー機能を使って適用する方法である。Active Directory環境を利用している場合は、この方法でもよいだろう。
以下、それぞれの方法について簡単に述べておく。
方法1.SCWウィザードで適用する方法
SCWを起動すると、最初にポリシーを適用するかどうかを選択する画面が表示される。
 |
||||||
| セキュリティ・ポリシーの適用 | ||||||
| ウィザードの最初の画面で適用を選択し、作成されたポリシー・ファイルを指定する。 | ||||||
|
この画面でポリシーの適用を選び、さらに保存したポリシー・ファイルを選択して[次へ]をクリックする。すると、適用の対象となるコンピュータを選択する画面が表示される。デフォルトではローカルのコンピュータ名が指定されているが、リモート・コンピュータ名(とアクセスするためのアカウント、パスワード)を指定してもよい。そして[次へ]というボタンをクリックすると、ポリシーの適用が開始されるが、何らかの原因でエラーが発生すると(例:設定対象のサービスが起動していないなど)、エラー・ログが表示される。
2.scwcmdコマンドで適用する方法
SCWのウィザードでは、同時に1台ずつしか適用できないが、コマンド・プロンプト上でscwcmd.exeコマンドを利用すると、もっと柔軟に、多数のコンピュータへ展開することができる。
次の例は、ポリシー・ファイルwebpolicy.xmlを、ローカルのコンピュータに適用する場合のコマンドである。
C:\>scwcmd configure /p:webpolicy.xml |
リモートのコンピュータへ適用するなら、「/m:コンピュータ名」か「/m:IPアドレス」というオプションを追加指定すればよい。
適用対象のコンピュータが複数ある場合は、「/ou:OU=system,OU=example,DC=com」とすれば、Active Directoryの特定のOU全体に展開することができる。また適用対象のコンピュータ名と適用したいポリシー・ファイル名を記述した指定ファイルを与えて、多数のコンピュータへ異なるポリシー・ファイルを同時に適用させることもできる。
3.グループ ポリシーを使って適用する方法
セキュリティ・ポリシーをグループ・ポリシー・オブジェクト(GPO)に変換し、それを通常のグループ・ポリシーと同様に、ドメイン内のコンピュータに配布して利用することもできる。
この方法を利用するには、まずscwcmd transformコマンドでセキュリティ・ポリシーをGPOに変換する。
C:\>scwcmd transform /p:C:\WINDOWS\security\msscw\Policies\test1.xml /g:ScwT |
次に、生成されたGPOを、グループ・ポリシー・エディタでActive Directory内の任意のOUにリンクさせる。
 |
|||
| グループ・ポリシー・オブジェクトとしての利用 | |||
| セキュリティ・ポリシーをグループ・ポリシー・オブジェクト(GPO)に変換すると、Active Directoryのグループ・ポリシーとして利用できる。 | |||
|
この方法で生成されたGPOは通常のGPOと同じなので、Windows Server 2003 SP1以外のコンピュータへポリシーを適用することは可能だが、そのような操作はサポート対象外となっている。
ロールバック
ロールバックとは、適用したセキュリティ・ポリシーの設定を元に戻すことである。これを実行すると、最後に適用されたセキュリティ・ポリシーの設定がすべて解除され、設定前の状態に戻すことができる。
■コマンドラインでの実行
コマンドラインでロールバックするには、scwcmd rollbackというコマンドを実行する。
C:\>scwcmd rollback /m:localhost |
■ウィザードによる実行
SCWのウィザードを起動し、[最後に適用したセキュリティ ポリシーのロールバック]という選択肢を選んで[次へ]ボタンをクリックする。するとロールバックする内容の確認ダイアログが表示された後、ロールバック操作が行われる。
ロールバック操作は何段階も行うことができるが、管理が煩雑になるので、ポリシーの適用操作を何段階も重ねることは勧められていない。これは例えば、あるポリシーを適用してから、さらに別のポリシーを上書きして適用する、といった方法は望ましくない、ということである。基本的には、1つのセキュリティ・ポリシーにすべての設定を含めておき、異なるセキュリティ・ポリシーを利用したければ、1から別のポリシー・ファイルを作り直すのが望ましいとされている。これならば適用もロールバックも1段階しか必要ないので、どのポリシーを適用するべきか迷うことがなくなり、管理が容易になる。
セキュリティ・ポリシーの分析
ウィザードではなく、scwcmdコマンドでのみ利用可能なオプションとして、セキュリティ・ポリシーの分析という機能がある。これは、現在のシステムの状態と、指定されたセキュリティ・ポリシーの設定を比較し、その差をレポートする機能である。
分析機能はscwcmd analyzeコマンドで実行できる。
C:\>scwcmd analyze /p:C:\WINDOWS\security\msscw\Policies\test1.xml |
結果はXML形式でファイルに出力されるので、閲覧にはscwcmd viewコマンドを使用し、XSLTを通して見る。
 |
|||||||||
| 分析結果の表示 | |||||||||
| scwcmd analyzeコマンドで作成した分析結果は、scwcmd viewコマンドを使って表示させることができる。 | |||||||||
|
■
以上、Windows Server 2003 SP1のセキュリティの構成ウィザードについて簡単に見てきた。従来ならば、個別のロックダウン・ツールや各種の管理ツール、そして各サービスに関するさまざまな知識(各サービスの意味や依存関係、使用ポートなどの情報)を総動員しなければ行えなかったようなセキュリティ設定が、このウィザードを利用すれば、サービス名を選ぶだけで、簡単に設定できるようになっている。これは非常に便利である。特に多数のサーバを管理しなければならないような環境では、ぜひとも活用していただきたい。たとえイントラネットでしか利用しないようなサーバであっても、このツールを使ってセキュリティ設定を今一度確認し、必要ならば無用なサービス類の停止やセキュリティ設定の強化を行っておきたい。
| 関連リンク | ||
 |
セキュリティの構成ウィザード (SCW)(マイクロソフト) | |
|
セキュリティの構成ウィザード(マイクロソフトTechnet) | |
 |
 |
| INDEX | ||
| [特集]Windows Server 2003 SP1レビュー | ||
| 第5回 利用目的に応じたセキュリティ設定を素早く確実に行う「セキュリティの構成ウィザード」 | ||
| 1.セキュリティの構成ウィザードの概要 | ||
| 2.SCWウィザードの実行(1) | ||
| 3.SCWウィザードの実行(2) | ||
 |
4.セキュリティ ポリシーの適用 | |
 |
||
 |
「特集」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
