特集
Windows Server 2003 SP1レビュー

第1回 Windows Server 2003 SP1の概要

2.SP1で適用される修正一覧、機能一覧

デジタルアドバンテージ 小川 誉久
2005/04/07

SP1で適用される過去の修正プログラム一覧

 SP1には、以下の修正プログラムがひとまとめにされており、インストールによって一括して適用することができる。対応するセキュリティ情報ページをご覧いただけば分かるが、影響の大きい緊急レベルの修正がいくつも含まれている。理想的には、これらの修正プログラムが公開された時点で検証作業を開始し、適宜適用していくのがよいのだが、再起動によるサービス停止が困難で、万一の適用障害による影響が大きなサーバでは、これは現実的ではない。実際には、管理者が極めて重大と考えたもの以外は、適用が見送られて現在に至っているケースも多いだろう。SP1のインストールによって一括適用される修正は多いので、検証などは多方面にわたりじっくり実施しなければならないが、1つずつ検証と適用を繰り返すよりは作業は少なくて済むはずだ。

Windows TIPS:セキュリティ・パッチの3つのレベル

 また一般に修正プログラムは、公開後に不具合が明かになることも少なくない。こうした不具合は鋭意解消されるのだが、逆にいえば、公開後すぐに修正プログラムを適用するということは、こうした不具合の影響を受けるリスクがあるということだ。この点SP1に収録されている修正は、公開から一定期間を経て成熟したものが多いので、修正プログラムの欠陥を原因とする不具合が発生するリスクは小さい。少々古い記事だが、パッチ開発の裏事情については、関連記事が参考になるだろう。

 Windows Server 2003 SP1に含まれる修正一覧は以下のとおりである。

セキュリティ情報(KB) 内容
MS05-015(888113) ハイパーリンク オブジェクト ライブラリの脆弱性により、リモートでコードが実行される
MS05-014(867282) Internet Explorer 用の累積的なセキュリティ更新プログラム
MS05-013(891781) DHTML 編集コンポーネントの Active X コントロールの脆弱性により、リモートでコードが実行される
MS05-012(873333) OLE および COM の脆弱性により、リモートでコードが実行される
MS05-011(885250) サーバー メッセージ ブロックの脆弱性により、リモートでコードが実行される
MS05-010(885834) ライセンス ログ サービスの脆弱性により、コードが実行される
MS05-009(890261) PNG 処理の脆弱性により、バッファオーバーランが起こる
MS05-008(890047) Windows シェルの脆弱性により、リモートでコードが実行される
MS05-006(887981) Windows SharePoint Services および SharePoint Team Services の脆弱性により、クロスサイト スクリプティングおよびなりすましの攻撃が行われる
MS05-004(887219) ASP.NET パス検証の脆弱性
MS05-003(871250) インデックス サービスの脆弱性により、コードが実行される
MS05-002(891711) カーソルおよびアイコンのフォーマットの処理の脆弱性により、リモートでコードが実行される
MS05-001(890175) HTML ヘルプの脆弱性により、コードが実行される
MS04-045(870763) WINS の脆弱性により、リモートでコードが実行される
MS04-044(885835) Windows カーネルおよび LSASS の脆弱性により、特権の昇格が起こる
MS04-043(873339) ハイパー ターミナルの脆弱性により、コードが実行される
MS04-041(885836) WordPad の脆弱性により、コードが実行される
MS04-038(834707) Internet Explorer 用の累積的なセキュリティ更新プログラム
MS04-037(841356) Windows シェルの脆弱性により、リモートでコードが実行される
MS04-036(883935) NNTP の脆弱性により、コードが実行される
MS04-035(885881) SMTP の脆弱性により、リモートでコードが実行される
MS04-034(873376) 圧縮 (zip 形式) フォルダの脆弱性により、コードが実行される
MS04-032(840987) Microsoft Windows のセキュリティ更新プログラム
MS04-031(841533) NetDDE の脆弱性により、リモートでコードが実行される
MS04-030(824151) WebDAV XML Message ハンドラの脆弱性によりサービス拒否が起こる
MS04-028(833987) JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される
MS04-025(867801) Internet Explorer 用の累積的なセキュリティ更新プログラム
MS04-024(839645) Windows シェルの脆弱性により、リモートでコードが実行される
MS04-023(840315) HTML ヘルプの脆弱性により、コードが実行される
MS04-018(823353) Outlook Express 用の累積的なセキュリティ更新プログラム
MS04-016(839643) DirectPlay の脆弱性により、サービス拒否が起こる
MS04-015(840374) ヘルプとサポート センター」の脆弱性により、リモートでコードが実行される
MS04-014(837001) Microsoft Jet データベース エンジンの脆弱性によりコードが実行される
MS04-013(837009) Outlook Express 用の累積的な修正プログラム
MS04-012(828741) Microsoft RPC/DCOM 用の累積的な修正プログラム
MS04-011(835732) Microsoft Windows のセキュリティ修正プログラム
MS04-007(828028) ASN .1 の脆弱性により、コードが実行される
MS04-006(830352) Windows インターネット ネーム サービス (WINS) の脆弱性により、コードが実行される
MS04-004(832894) Internet Explorer 用の累積的なセキュリティ更新プログラム
MS04-003(832483) MDAC 機能のバッファ オーバーランにより、コードが実行される
MS04-001(816458) Microsoft Internet Security and Acceleration Server 2000 H.323 フィルタの脆弱性により、リモートでコードが実行される
MS03-048(824145) Internet Explorer 用の累積的なセキュリティ更新
MS03-045(824141) リストボックスおよびコンボボックスのコントロールのバッファオーバーランにより、コードが実行される
MS03-044(825119) Windows の「ヘルプとサポート」のバッファ オーバーランにより、システムが侵害される
MS03-043(828035) メッセンジャ サービスのバッファ オーバーランにより、コードが実行される
MS03-041(823182) Authenticode の検証の問題により、コードが実行される
MS03-040(828750) Internet Explorer 用の累積的な修正プログラム
MS03-039(824146) RPCSS サービスのバッファ オーバーランによりコードが実行される
MS03-034(824105) NetBIOS の問題により、情報が漏えいする
MS03-032(822925) Internet Explorer 用の累積的な修正プログラム
MS03-030(819696) DirectX の未チェックのバッファにより、コンピュータが侵害される
MS03-026(823980) RPC インターフェイスのバッファ オーバーランによりコードが実行される
MS03-023(823559) HTML コンバータのバッファ オーバーランにより、コードが実行される
MS03-020(818529) Internet Explorer 用の累積的な修正プログラム

Windows Server 2003新機能/拡張機能一覧

 すでに述べたいくつかの主要機能を含め、Windows Server 2003 SP1では次のような機能変更、機能拡張、新機能追加が行われる。

機能 内容
アクセス・ベースのディレクトリ列挙 ファイル/フォルダ一覧をアクセス権のあるユーザーにのみ表示可能にする機能(アクセス権のないユーザーには表示されない)。サーバ側で設定するだけでこの機能を利用可能
Active Directory関連コマンドの強化 Virtual Server 2005による仮想マシン上でのドメイン・コントローラ・サポート、DNSサーバのメディアからのインストールなど、Active Directoryの展開、管理、運用機能が強化された。特にサーバの診断ツールであるDCDiag.exeが大幅に強化され、AD導入の難点の1つとなっているDNSのテスト、診断機能が大幅に容易になった
プログラムの追加と削除のフィルタ [現在インストールされているプログラム]一覧に項目を表示するかどうかをユーザーが選択可能にする。従来は適用したすべての修正プログラムが一覧表示されてしまい、重要な項目が分かりにくくなりやすかった
データ実行防止(DEP) メモリの不正使用をハードウェア/ソフトウェアでチェックする機能。バッファ・オーバーフロー攻撃などからシステムを防御することが可能になる。ただし、特殊なメモリ操作を行っているアプリケーションやデバイス・ドライバの中には、この機能によって互換性問題を生じるものもある
DCOMセキュリティの強化 分散コンポーネント・テクノロジのDCOMにおけるコンポーネントの起動やアクセスの制限を強化し、DCOMの安全性を高める
Device\PhysicalMemoryオブジェクトの制限 ユーザー・モード・アプリケーションによるシステムBIOSアクセス、1Mbytes以下のアドレスにあるBIOSデータなどのメモリ参照を禁止する
Internet Explorerの機能強化 ダウンロード・ファイル管理、アドオン管理、クラッシュ検出、情報バー、ポップアップ・ブロック、ウィンドウ制限など、Windows XP SP2のIEで実施されたセキュリティ機能強化
x64ベースOSでのカーネル更新プログラムの適用防止 x64ベース・システム用Windows Server 2003 SP1では、マイクロソフトが提供する正式な修正プログラム以外のカーネル更新を許可しない。カーネル・モードのrootkitやトロイの木馬プログラムなどが組み込まれることを防止する
Outlook Express HTMLヘッダ処理を悪用した攻撃の防止やWebビーコンによるメール・アカウントの有効確認阻止などのセキュリティ機能を強化
セットアップ後のセキュリティ更新 Windows Server 2003 SP1インストール後の最初の起動から、最新の修正プログラム適用を完了するまでの間、自動的にWindowsファイアウォールを有効化し、サーバを攻撃から保護する
リモート・アクセス検疫サービス 管理者が用意したスクリプトにより、リモート接続しようとするコンピュータを診断し、条件を満たさない場合には接続を拒否する。SP適用レベル、修正プログラムの適用有無、ウイルス対策ソフトのインストール有無とパターン・ファイルの更新状況、Windowsファイアウォールの設定などを検査可能
64bit OSシステム用のリモート・インストール・サービス(RIS) OSイメージを利用したWindows OSの展開支援機能であるRISでx64アーキテクチャ用イメージに対応
ポリシーの結果セット(RSoP) ユーザーまたはコンピュータに適用されているグループ・ポリシー設定をレポートする機能。グループ・ポリシーの適用計画や検証作業などに利用可能
RPCインターフェイスの制限 リモート・プロシージャ・コールの動作を制御するレジストリ・キーが追加され、より柔軟にRPCを制御できるようになった。これにより、RPCを悪用する攻撃からシステムを防御しやすくなる
セキュリティの構成ウィザード サーバの役割(Webサーバ、DNSサーバ、ファイル・サーバなど)に応じて対話的にセキュリティ設定を行い、不要なサービスや通信ポート、プロトコルを無効化する機能。専門的な知識がなくても、基本的なセキュリティ設定が行える
TCP/IPのセキュリティ機能強化 SYN攻撃保護のデフォルト有効化、SYN攻撃通知APIの追加、Winsock自己復旧、netshコマンド拡張など
WebDAVリダイレクタのセキュリティ強化 クリア・チャネルでの基本認証が無効化され、HTTPトラフィックなどの暗号化されない通信チャネルでは、基本認証によるユーザー名/パスワードが送信されず、これらが盗聴される危険性が低減される
Windowsファイアウォール 以前からWindows Server 2003(SP0)向けに提供されていた「インターネット接続ファイアウォール」の機能拡張版。既出の「セットアップ後のセキュリティ更新」で利用されることを始め、システム起動時(ファイアウォール・サービスが起動され、ポリシーが適用されて正しく稼働するまで)のファイアウォール保護機能、監査ログ機能、新しいグループ・ポリシーの追加などが強化されている。ただしWindows Server 2003 SP1では、XP SP2の場合と異なり、デフォルトではWindowsファイアウォールは有効化されない
Windows Media Player Windows Server 2003 SP1の一部として最新のWindows Media Player 10がインストールされる
ワイヤレス・ネットワーク・セットアップ・ウィザード セキュリティを強化したワイヤレス・ネットワーク接続を構成するプロセスを簡略化する。XMLスキーマとリムーバブル・メディアを利用して、ネットワーク設定を容易に構築、配布できるようにする
Wireless Provisioning Services Windows XPとWindows Server 2003のデフォルトのワイヤレス・サービスを拡張し、接続の自動構成や拡張認証プロトコル(PEAP)/WPA(Wi-Fi Protected Access)の適用など、ワイヤレス接続を要求しているクライアントに対し、プロビジョニング情報(規定情報)/構成情報を送信し、接続条件を制御できるようになる

適用に向けた準備を始めよう

 今回公開されたWindows Server 2003 SP1を利用すれば、重要なセキュリティ修正プログラムを一括して適用してセキュリティ・ホールをまとめて解消するとともに、セキュリティ強化を中心とする数々の拡張機能・新機能が利用可能になる。またActive Directory管理ツールなど、TCO削減につながる機能強化も複数含まれている。基本的には、安全性と機能性の双方が向上するSP1の利用を否定する理由はない。少なくとも新規にWindows Server 2003の使用を開始するなら、特別な理由がないかぎりはSP1適用済みのWindows Server 2003をインストールすべきだろう。

 しかしすでにWindows Server 2003(SP0)ベースのサーバで何らかのサービスをユーザーに提供している場合は、おいそれとSP1を適用するわけにはいかない。機能変更や強化が多岐にわたるということは、既存アプリケーションとの非互換問題を誘発するリスクもそれだけ高いということでもある。このため稼働中のWindows Server 2003サーバへの適用にあたっては、互換性問題が生じないかどうかを事前に検証しなければならない。週末にサーバを停止できるなら、サービスを全面的に停止してSP1を適用し(もちろん、適用前にはシステムのバックアップをお忘れなく)、動作を検証するという手がある。万一不具合が発生しても、基本的にSP1はアンインストール可能なので、最悪の場合はSP1適用前の状態に戻すことができる(繰り返すが、正しくアンインストールできなかった場合に備えたバックアップは不可欠である)。

 長期にわたってサーバを停止できない場合には、検証用のシステムを別に用意して、そちらでSP1の適用テストを実施することになるだろう。サーバ・クラスタによりサーバ・システムを冗長化しており、本番系でサービスを継続したまま、待機系サーバにSP1を適用してテストできるなら、この方法で検証できる。検証用システムを別途用意するのが難しければ、仮想マシン・ソフトウェアのVirtual Server 2005などを利用して、仮想環境にWindows Server 2003+SP1の評価環境を構築してテストするとよいだろう。

 またインターネットには、SP1の適用障害などについて報告されるニュース・グループや掲示板などのオンライン・コミュニティがある。SP1の適用に際しては、これらのサイトを見わたして、障害発生状況など、役立つ情報が投稿されていないかどうかを定期的にチェックするとよいだろう。もちろん、自身がSP1のインストールで障害に遭遇したり、第三者にとっても有用と思われることに気付いたら、コミュニティにメッセージを投稿し、情報共有を図ろう。

 冒頭でも述べたとおり、今後本シリーズでは、Windows Server 2003 SP1の主要な機能ごとに、詳しい解説を行う予定である。ご期待いただきたい。End of Article


 INDEX
  [特集]Windows Server 2003 SP1レビュー
  第1回 Windows Server 2003 SP1の概要
    1.必要システムと主要な機能
  2.SP1で適用される修正一覧、機能一覧
 
目次ページへ  「特集」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間