Windows Server 2003 Service Pack 1 製品概要
Windows Server 2003 Service Pack 1 (SP1) は、マイクロソフトの「信頼できるコンピューティング (Trustworthy Computing)」の活動の一環として提供される製品の 1 つであり、さらに優れたセキュリティと信頼性を備えた管理しやすいソフトウェア製品の開発を続けることへのマイクロソフトの取り組みを示すものです。Windows Server 2003 SP1 では、賞を獲得するなど素晴らしい実績を誇る Windows Server 2003 オペレーティング システムに、システムの累積更新プログラムのほか、さまざまな機能強化が施されています。SP 1 を導入すれば「攻撃を受けやすい面」を縮小できるので、あらゆる業種の企業でのセキュリティの強化、信頼性の向上、管理の簡素化を図ることができます。
トピック
.gif "Service Pack の概要"){kind=icon}
Service Pack の概要
Service Pack の紹介
技術概要
まとめ
関連リンク
Service Pack の概要
マイクロソフトでは、企業の IT リソースのセキュリティ、信頼性、生産性を向上させるソフトウェア ソリューションの開発に取り組んでいます。現在のビジネス環境では、IT セキュリティが最重要事項です。企業と消費者が共有する機密情報は増え続けており、両者はこのようなデータの通信に頼って仕事や取引を行っています。堅牢な IT セキュリティはそれだけでも非常に重要ですが、セキュリティの優れたインフラストラクチャは、拡大する一方の商工業界からのニーズを満たすために必要なサーバーの信頼性向上にも役立ちます。また、適切にセキュリティで保護されたインフラストラクチャにより信頼性が向上すれば、管理者の生産性も向上します。Windows Server 2003 SP1 は、Windows Server 2003 オペレーティング システムに施された更新とセキュリティ強化の集大成であり、更新の管理という進行中のユーザー セキュリティにおける重要課題に取り組むことで、上記の 3 つのニーズすべてに対応しています。
SP 1 の主目的は、主にサーバーのセキュリティに関連するユーザーの問題を軽減することにあります。更新の管理は、拡大するセキュリティの脅威に対する現在の業界標準の防御策ですが、非常に複雑で、手間がかかる作業です。企業ユーザーは、セキュリティの自動更新を利用するか、手動で新しい更新のリリースを監視する必要があります。更新を取得したら、ユーザー側でかなりの手間をかけてこれらの更新をテストし、基幹システムに影響を与えないことを検証する必要があります。最終的には、業務に障害がでないようなかたちで、取得した更新をすべてのサーバーやデータ センターに展開する必要があります。
同時に、セキュリティ ホールの発見とそれが悪用されるまでの時間も、短縮されてきています。ワーム Nimda の場合は、更新の実装が必要になるまでには 331 日間の余裕がありましたが、ワーム Blaster が利用した DCOM の脆弱性に対応する更新の適用までには 25 日間の猶予しかありませんでした。Windows Server 2003 ユーザーの多くにとっては、現状の対策では、提供されるセキュリティが質的にも時間的にも不十分であると考えられます。セキュリティ ホールへの攻撃は事実上防げないと言っても過言ではありません。
Service Pack 1 では、Windows Server 2003 のセキュリティ上のこのような傾向に対し、積極的に取り組んでいます。この Service Pack でのセキュリティ強化は、直感的な、役割 ベースの方法を採用し、新しい更新のテストや展開のタイミングをユーザーが柔軟に制御できるようにしています。また、Service Pack 1 では、Windows ファイアウォールなどのエンジニアリングを強化することにより、予防的なセキュリティ対策を行います。(インターネット接続ファイアウォールの後継機能である Windows ファイアウォールは、Windows XP Service Pack 2 で初めて導入されました。) 企業は、Active Directory® のグループ ポリシーを使用して Windows ファイアウォールの設定を展開できます。
Service Pack 1 は、Windows Server 2003 を拡張し、機能強化したものです。Service Pack 1 は、最新のセキュリティの更新をまとめて提供しているだけでなく、現在の更新の管理方法の基盤となっているパラダイムを転換し、Windows Server 2003 ユーザーに新しい、事前対策型のセキュリティ変革モデルを提供します。
.gif "ページのトップへ"){kind=icon}
ページのトップへ
Service Pack の紹介
これまでの Service Pack は、製品の更新を配布するための手段に過ぎませんでした。Service Pack で追加機能が提供されたこともありますが、重要な新機能が含まれることはほとんどなく、通常は、システムの信頼性、プログラムの互換性、セキュリティなどを向上させるための更新を提供していました。Service Pack は更新をまとめて提供するので、容易にダウンロードできて便利です。しかし、これでは基本的に更新の集積に過ぎません。Windows Server 2003 SP1 には、このような更新以外に、セキュリティを強化し、機能性を向上させる付加価値のある機能が含まれています。
Service Pack 1 の目標は、Windows Server 2003 のセキュリティ、信頼性、生産性を高めることです。この目標を実現する鍵は、Windows Server 2003 の攻撃を受けやすい面を縮小し、そのセキュリティを強化することにあります。しかし、古いセキュリティ ホールを埋めたり、サーバーのパフォーマンスを徐々に調整するだけでは、激しさを増す攻撃にもはや対抗することはできません。マイクロソフトでは、この Windows Server 2003 のセキュリティの方程式を劇的に変化させることを目標に Service Pack 1 を開発しました。Service Pack 1 では、累積更新の他に、すぐれた機能強化とダイナミックな新機能を提供しています。Service Pack 1 は、Windows Server 2003 を現在利用しているユーザーにとっても、Windows Server 2003 オペレーティングシステムを新規にインストールまたはアップグレードするユーザーにとっても役に立ちます。
Windows Server 2003 Service Pack 1 は、Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Small Business Server 2003、Windows Server 2003 Web Edition、Windows Server 2003 Datacenter Edition、Windows Server 2003 with the Server Appliance Kit に適用できます。
Service Pack 1 の内容
Service Pack 1 では、Windows Server 2003 の最新の更新、機能強化、新機能を簡単にまとめて導入できます。このような各コンポーネントにより、Windows Server 2003 の強化されたセキュリティ、信頼性、パフォーマンスをさらに活用できるようになります。
更新
更新の管理は、コンピュータ セキュリティの最大の課題の 1 つです。更新の管理は困難な作業ですが、セキュリティ テクノロジが攻撃戦略の 1 つ 1 つを予測し、すべての脆弱性を補正できるようになるまでは、更新はこれからも企業の IT を保護する上で不可欠な役割を果たしていくでしょう。Service Pack 1 で提供される機能強化や新機能によって、これまでより格段に優れた予防的なセキュリティを実現できますが、やはり既知の脅威に対応していくことも Service Pack 1 の主要な目的の 1 つです。
攻撃の発見に合わせて、こまめに更新を適用することは、これらに対抗していく上で重要です。マイクロソフトではこのような更新を Service Pack 1 でまとめて提供することで、新旧両方のユーザーに Windows Server 2003 の最新の保護を提供しています。
Service Pack 1 で配布する更新は、Windows Server 2003 のもっとも基本的な機能の一部に適用されます。したがって、最も重要なセキュリティ ホールの一部を埋めることができます。これらの更新には、以下の機能に対する更新が含まれています。
- Internet Explorer — このアプリケーションの更新には、偽装された悪意のあるコードを不用意にダウンロードし、従業員から機密データを抽出する手段として、ブラウザのウィンドウのサイズが自動的に変更されるのを防ぐ機能が含まれます。
- Outlook Express — この更新は、ユーザーが HTML ではなくテキスト形式で電子メールを表示できるようにします。電子メールを HTML ではなくテキスト形式でダウンロードすることで、電子メール経由で悪意のあるコードが蔓延するのを防ぐ上で役立ちます。
- WebDAV リダイレクタ — この機能を実現しているプログラムに対する更新を適用すると、標準のファイル サーバーへのアクセスと同じように、Windows SharePoint® Services や MSN コミュニティなどの WebDAV (Web-based Distributed Authoring Versioning) サーバーにアクセスできます。また、この更新により、ユーザーの資格情報 (ユーザー名、パスワード) が伝送される場合に、非暗号化チャネル上で伝送されないようにします。
更新が業務上必要であっても、これが業務上の問題になるべきではありません。マイクロソフトは、Service Pack 1 のホット パッチ (Hot Patching) 機能により、更新の適用に伴うサーバーの停止時間の問題を解決しています。基幹業務サーバーにとっては、再起動が必要な更新は問題があります。このような更新は、IT 組織のサービス保証契約上の問題になりかねません。ホット パッチ (Hot Patching) を使用すると、サーバーを再起動することなく、ドライバ、DLL、API など、Windows Server 2003 のカーネル レベル以外のコンポーネントに更新を適用できます。
機能強化
Service Pack 1 では、セキュリティ ホールを発見し更新を適用して、ハッカーによるセキュリティ ホールの悪用を防ぐだけでなく、Windows Server の初期リリースで提供された機能の強化も行われています。このような機能強化により、製品の品質が大幅に向上され、Windows Server 2003 のセキュリティ、信頼性、および生産性が強化されます。以下に、Service Pack 1 に含まれている主要な機能強化の一部を説明します。
| • | サービスでのより強固な既定値と特権の削減 — RPC や DCOM などのサービスは Windows Server 2003 には不可欠ですが、このようなサービスはハッカーにとって絶好の攻撃対象になります。Service Pack 1 では、RPC や DCOM の呼び出しに対してより厳密な認証を要求することで、これらのサービスを使用するすべてのアプリケーションに対して最低限度のセキュリティを確保します。このようなアプリケーション自体がセキュリティでほとんどあるいはまったく保護されていない場合でも同様です。 |
| • | "実行保護" ハードウェアのサポート — Service Pack 1 をインストールすると、Intel や Advanced Micro Devices などのコンピューティング ハードウェアに組み込まれている機能を Windows Server 2003 で利用できるようになります。このハードウェア組み込み機能は、悪意のあるコードによるコンピュータ メモリのコード非実行可能領域からの攻撃を防ぐことができます。この機能強化により、最も危険で悪用される可能性の高い情報攻撃の手段が閉ざされます。 |
| • | ネットワークアクセス検疫制御 (Network Access Quarantine Control) コンポーネントの同梱 — Windows Server 2003 SP1 では、RQS.exe コンポーネントと RQC.exe コンポーネントが導入され、ネットワーク アクセス検疫制御 (Network Access Quarantine Control) を簡単に展開できるようになりました。詳細については、「Microsoft Windows Server 2003 ネットワーク アクセス検疫 (Quarantine) 制御」を参照してください。 |
| • | IIS 6.0 メタベースの監査 — インターネット インフォメーション サービス (IIS) 6.0 のメタベースは、構成情報が格納されている XML ベースの階層的なストアです。ネットワーク管理者は、このストアを監査する機能を使って、メタベースが破損したときにどのユーザーがそのメタベースにアクセスしていたかを調査できます。 |
新機能
マイクロソフトでは、Windows Server 2003 Service Pack 1 のリリースという好機を活かして、優れた新機能を導入しています。
| • | Windows ファイアウォール — Windows XP Service Pack 2 でもリリースされた Windows ファイアウォールは、インターネット接続ファイアウォールの後継機能です。Windows ファイアウォールは、ユーザーのネットワーク上の各クライアントやサーバーを取り囲むホスト (ソフトウェア) ファイアウォールです。Windows Server 2003 Service Pack 1 では、Windows XP Service Pack 2 と異なり、Windows ファイアウォールが既定ではオフになっているので、システムの保護を開始する際にオンにする必要があります。セットアップの新機能であるセットアップ後のセキュリティ更新部分で Service Pack 1 のクリーン インストールを行う短い間は、Windows ファイアウォールが有効になります。 |
| • | セットアップ後のセキュリティ更新 (PSSU) — サーバーは、最初のインストールが行われてから最新のセキュリティ更新プログラムが適用されるまでの間は脆弱になります。Windows Server 2003 Service Pack 1 ではこの対策として、インストールが行われてから、Windows Update により最新のセキュリティの更新が適用されるまでの間、そのサーバーへのすべての着信接続をブロックします。更新プログラムが適用されると、サーバーの役割の構成が行われるまで、Windows ファイアウォールが無効になります。また、PSSU により、自動更新の即時構成がユーザーにガイドされます。 |
| • | セキュリティの構成ウィザード (SCW) — SCW は、既存のサーバーの役割を基にサーバーのセキュリティを構成するためのウィザードです。SCW では、サーバーの役割についての情報の提供が求められ、それを基に、各サーバーの役割に必要のないすべてのサービスが停止されます。SCW では役割は追加されませんが、各サーバーの役割に合わせてサーバーが構成されます。この新機能により、使われていないドアを板でふさぐように、Windows Server 2003 の攻撃を受けやすい面を縮小できます。 |
Service Pack 1 の展開が必要な理由
Service Pack 1 により、企業は無償で Windows Server 2003 を強化できます。Service Pack 1 では、Windows Server 2003 の既知の脆弱性が修正され、セキュリティ、信頼性、パフォーマンスを向上させるための補完的な機能を実現する機能強化が行われます。
| • | セキュリティの強化 — Service Pack 1 では、Windows Server 2003 の攻撃を受けやすい面が大幅に縮小されます。ユーザーは、更新により既知のセキュリティ ホールに受動的に対処するだけでなく、将来のセキュリティの脅威に積極的に向き合うことができるようになります。Service Pack 1 では、セキュリティを役割 ベースのパラダイムに移行することによって、ユーザーは必要以外のサービスを実行しないようにでき、ハッカーや悪意のあるコードによる攻撃のきっかけとなるサービスを取り除くことができます。さらに、役割 ベースのセキュリティにより、今後の更新の展開が容易になり、IT プロフェッショナルが新しく見つかった脆弱性に対する攻撃に備えた対策の準備にかかる時間が短縮されます。 |
| • | 信頼性の向上 — セキュリティは、IT の信頼性にとって最も重要な要素です。外部からの攻撃に曝されているシステムは、当然そのシステムに依存するユーザーにとっては信頼性があるとはいえません。Service Pack 1 では、過去の脅威に対して更新プログラムを適用し、将来の脅威に対して事前に対策を講じることで、Windows Server 2003 の信頼性を高めています。 |
| • | 生産性の向上 — 攻撃後の処理や手間のかかるセキュリティの調整には、ユーザーの中核業務に必要なリソースが浪費されることになります。Service Pack 1 では、このようなセキュリティと生産性の兼ね合いを適切に調整します。Service Pack 1 は、セキュリティの脅威に積極的に対抗するだけでなく、攻撃を受けた後の処理が不要になります。Service Pack 1 では、更新の管理を簡素化かつ合理化することで、セキュリティ関連処理に使われていたリソースを開放し、中核業務に専念できるようにしています。 |
Service Pack 1 は、Windows Server 2003 をまだ導入していない組織にとっては、特に魅力のある製品です。Windows Server 2003 Service Pack 1 をインストールすれば、現在のすべての更新プログラムが既に組み込まれているだけでなく、Windows Server 2003 のリリース後に新たに認識された実際の運用上のニーズを満たす新機能が含まれています。Service Pack 1 は、強力なビジネス ツールとしての Windows Server 2003 の成熟を示す記念すべき製品です。
システム要件*
* 下記のシステム要件は、リリース前のコードに対応しています。最終的なシステム要件は、変更される可能性があります。
Windows Serer 2003, Standard Edition システム要件
| 項目 | 最小システム要件 | 推奨システム要件 |
プロセッサ |
133 MHz |
550 MHz |
サポートするプロセッサ数 (最大) |
4 基 |
- |
メモリ |
128 MB |
256 MB |
空きハードディスク容量 |
1.25 ~ 2 GB |
- |
オペレーティング システム |
- |
- |
ドライブ |
CD-ROM または DVD-ROM |
- |
ネットワーク アダプタ |
必要 |
- |
ディスプレイ |
VGA またはコンソール リダイレクションをサポートするハードウェア |
Super VGA 800 x 600 以上 |
入力デバイス |
- |
- |
ソフトウェア |
- |
- |
その他 |
- |
- |
Windows Serer 2003, Enterprise Edition システム要件
| 項目 | 最小システム要件 | 推奨システム要件 |
プロセッサ |
x86 コンピュータの場合 : 133 MHz
Itanium コンピュータの場合 : 733 MHz*
|
733 MHz |
サポートするプロセッサ数 (最大) |
8 基 |
- |
メモリ |
128 MB |
256 MB |
空きハードディスク容量 |
x86 コンピュータの場合 : 1.5 GB
Itanium コンピュータの場合 : 2.0 GB *
|
- |
オペレーティング システム |
- |
- |
ドライブ |
CD-ROM または DVD-ROM |
- |
ネットワーク アダプタ |
必要 |
- |
ディスプレイ |
VGA またはコンソール リダイレクションをサポートするハードウェア |
Super VGA 800 x 600 以上 |
入力デバイス |
- |
- |
ソフトウェア |
- |
- |
その他 |
Windows Server 2003, Enterprise Edition for Itanium-based Systems は 64 ビット Intel Itanium-based Systems にのみ対応しています。32 ビットのシステムには対応していません。 |
- |
Windows Serer 2003, Datacenter Edition システム要件
| 項目 | 最小システム要件 | 推奨システム要件 |
プロセッサ |
x86 コンピュータの場合 : 400 MHz
Itanium コンピュータの場合 : 733 MHz *
|
733 MHz |
サポートするプロセッサ数 (最大) |
最低 8 ウェイ対応のコンピュータが必要
最高 64
|
- |
メモリ |
512 MB |
1 GB |
空きハードディスク容量 |
x86 コンピュータの場合 : 1.5 GB
Itanium コンピュータの場合 : 2.0 GB *
|
- |
オペレーティング システム |
- |
- |
ドライブ |
- |
- |
ネットワーク アダプタ |
- |
- |
ディスプレイ |
- |
- |
入力デバイス |
- |
- |
ソフトウェア |
- |
- |
その他 |
- |
- |
Windows Serer 2003, Web Edition システム要件
| 項目 | 最小システム要件 | 推奨システム要件 |
プロセッサ |
133 MHz |
550 MHz |
サポートするプロセッサ数 (最大) |
2 基 |
- |
メモリ |
128 MB |
256 MB |
空きハードディスク容量 |
1.5 GB |
- |
オペレーティング システム |
- |
- |
ドライブ |
- |
- |
ネットワーク アダプタ |
- |
- |
ディスプレイ |
- |
- |
入力デバイス |
- |
- |
ソフトウェア |
- |
- |
その他 |
- |
- |
Windows Server 2003 Service Pack 1 の使用にあたって
ここでは、Windows Server 2003 Service Pack 1 のセットアップ中に表示される画面を一通り紹介します。Service Pack 1 のインストール作業はとても簡潔で、サーバーのオペレーティング システムを事前に構成する必要はありません。
インストール前の作業
確認のため、Service Pack 1 についての情報が、インストールに先立ち表示されます。
.gif "図 1. Service Pack 1 のダウンロード画面")
図 1. Service Pack 1 のダウンロード画面
インストール
Windows Server 2003 Service Pack 1 のインストールでは、一般的なわかりやすいウィザードによって、インストール プロセスがガイドされます。以下の図は、このインストール プロセスを紹介する表示画面です。
.gif "図 2. Service Pack 1 のインストール : 初期画面")
図 2. Service Pack 1 のインストール : 初期画面
使用許諾契約に同意すると、必要に応じてこの Service Pack をアンインストールできるように、セットアップがシステム ファイルのバックアップを作成します。
.gif "図 3. Service Pack 1 のインストール : バックアップ")
図 3. Service Pack 1 のインストール : バックアップ
Service Pack 1 のインストール ウィザードは、インストール プロセスが進行している間、進捗状況を表示します。この段階で、インストール ウィザードはサーバーの構成を確認し、ファイルをインストールします。インストールが完了すると、再起動が必要になります。ユーザーは、インストール ウィザードの完了画面で、コンピュータを後で再起動するように指定することもできます。
.gif "図 4. Service Pack 1 のインストールの完了")
図 4. Service Pack 1 のインストールの完了
ページのトップへ
技術概要
Windows Server 2003 Service Pack 1 は、製品の更新と新機能を合わせて提供する非常に魅力的な製品です。以下の表では、Service Pack による Windows Server 2003 の変更点をまとめています。表に続く 2 つのセクションで、Service Pack 1 の主な機能強化と新機能を技術的な面からさらに詳しく説明します。
Service Pack 1 における Windows Server 2003 機能の変更点
| 変更点 | 説明 |
管理ツール |
管理ツールは、一連の Microsoft 管理コンソール (MMC) スナップインで、ユーザー、コンピュータ、サービス、ローカルまたはリモートのコンピュータ上のその他のシステム コンポーネントの管理に使用できます。Windows ファイアウォールが有効な場合、リモート コンピュータの管理を行う際に管理ツールが適切に機能するためには、ポート 445 を空けておく必要があります。 |
データ実行防止機能 |
Service Pack 1 は、組み込みのハードウェア機能と新しいソフトウェアの両方を使用して、悪意のあるコードによるコンピュータ メモリのコード非実行可能領域からの攻撃を防ぐことができます。 (詳細については、この後の「機能強化」を参照してください。) |
DCOM のセキュリティ強化 |
Service Pack 1 は、COM を変更し、コンピュータ上でのすべての呼び出し、アクティベーションまたは起動要求を管理できるようにする、コンピュータ レベルのアクセス制御を実現します。基本的に、このアクセス制御は、コンピュータのいずれかの COM サーバーの呼び出し、アクティベーションまたは起動ごとに追加で実行される AccessCheck 呼び出しであり、コンピュータ レベルのアクセス制御リスト (ACL) に対して実行されます。 (詳細については、この後の「機能強化」を参照してください。) |
ダウンロード、添付ファイル、Authenticode 強化 |
Windows Server 2003 に Service Pack 1 を適用すると、ファイルのダウンロードやメールの添付ファイル、シェル プロセスの実行、プログラムのインストール時に表示されるダイアログが変更され、Windows Server の前のバージョンに比べて、より整合性が取れたわかりやすいものになりました。また、署名可能で、ユーザーのコンピュータに損害を与える可能性がある種類のファイルが開かれる前に、発行者情報が表示されます。(ユーザーのコンピュータに損害を与える可能性がある、署名可能なファイルの種類の一般的な例としては、.exe, .dll, .ocx, .msi, and .cab が挙げられます。) |
[プログラムの追加と削除] 用フィルタ |
[プログラムの追加と削除] 用のフィルタを使用すると、マイクロソフトの Web サイトからダウンロードされたセキュリティの更新などの更新を [現在インストールされているプログラム] の一覧に表示するかどうかを選択できます。 |
Internet Explorer のアドオン管理およびクラッシュ検出 |
Internet Explorer アドオン管理を使用すると、Internet Explorer が読み込むことのできるアドオンの一覧をこれまで以上に詳細に表示および制御できます。また、これまで表示されず、検出が非常に難しかった一部のアドオンについても、インストールの有無が表示されます。 Internet Explorer アドオン クラッシュ検出では、アドオンに起因する Internet Explorer のクラッシュが検出されます。原因となったアドオンを特定できた場合は、この情報をユーザーに報告します。ユーザーは、アドオンを無効にして、クラッシュを診断し、Internet Explorer の全体的な安定性を高めることができます。 |
Internet Explorer バイナリ ビヘイビア セキュリティ設定 |
Internet Explorer には動的バイナリ ビヘイビアが実装されています。これは、これが関連付けられる HTML 要素の特定の機能をカプセル化したものです。バイナリ ビヘイビアは、これまで Internet Explorer のセキュリティ設定からは制御されなかったため、制限付きサイト ゾーン内の Web ページ上で利用できてしまいました。Service Pack 1 には、バイナリ ビヘイビアを制御する新しい Internet Explorer のセキュリティ設定が用意されています。この新しい設定では、制限付きサイト ゾーンでのバイナリ ビヘイビアは既定で無効にされています。この新しいバイナリ ビヘイビア用のセキュリティ設定により、Internet Explorer のバイナリ ビヘイビアに伴う脆弱性が全般的に緩和されます。 |
Internet Explorer BindToObject のセキュリティ強化 |
Service Pack 1 では、オブジェクトのインスタンスの作成と初期化に URL バインディングが使用される場合は、必ず、ActiveX® セキュリティモデルが適用されます。ActiveX セキュリティ モデルでは、「スクリプトを安全に使用可能」および「安全に初期化可能」であることを示す設定をコントロールに付加でき、それらの設定を使用して、ユーザーが各セキュリティ ゾーンにおいて ActiveX コントロールをブロックまたは許可できるようにします。これにより、Internet Explorer のアクティブ コンテンツをより柔軟に制御できるようになります。 |
グループ ポリシーにおける Internet Explorer の機能制御設定 |
Service Pack 1 には、Windows XP Service Pack 2 で初めて導入された、機能制御と呼ばれる Internet Explorer のセキュリティ機能のための新しいレジストリキーとレジストリ値が組み込まれています。Inetres.adm ファイルが変更され、ポリシーとして処理される新しい機能制御設定が追加されています。この機能制御ポリシーは、グループ ポリシー オブジェクト (GPO) を使用して管理できます。Internet Explorer をインストールする際に、機能制御の既定の基本設定がインストール先コンピュータの HKEY_LOCAL_MACHINE に登録されます。グループ ポリシーの場合は、これは管理者により HKEY_LOCAL_MACHINE (コンピュータの構成) または HKEY_CURRENT_USER (ユーザーの構成) のいずれかで設定できます。 |
Internet Explorer 情報バー |
Windows Server 2003 Service Pack 1では、これまでのバージョンでは情報提供のために表示されていた多くの一般的なダイアログボックスに代わり、Internet Explorer 情報バーが表示されます。この情報バーは、ツール バーの下に表示され、ユーザーが参照または操作を希望する情報を表示します。Internet Explorer 情報バーによる通知が代わりに表示されるダイアログ ボックスの例としては、ブロックされた ActiveX のインストール、ポップアップ、ダウンロード、およびアクティブ コンテンツが挙げられます。情報バーは Outlook® 2003 の通知領域と同様に、ブロックされたコンテンツの情報をユーザーに通知します。 |
Internet Explorer のローカル コンピュータ ゾーンのロックダウン |
Internet Explorer が Web ページを開く場合には、そのページの Internet Explorer セキュリティ ゾーンに基づいて、そのページで実行可能な操作を制限します。インターネット上のページは通常は制限の厳しいインターネット セキュリティ ゾーンに入れられます (このため、それらのページでは、たとえば、ローカル ハード ドライブへのアクセスなど、実行できない操作があります)。企業内ネットワーク上のページは通常はイントラネット セキュリティ ゾーンに入れられ、課せられる制限はより少なくなります。Service Pack 1 が適用されると、既定で Internet Explorer のローカル コンピュータ ゾーンがロックダウンされ、さらに優れた保護が提供されます。ローカル HTML が他のアプリケーションによってホストされている場合は、そのアプリケーションによってローカル コンピュータ ゾーンのロックダウンが利用されない限り、より制限の少ない前バージョンの Intenet Explorer で使用されていたローカル コンピュータ ゾーンの設定が適用されます。 |
Internet Explorer による MIME 処理推進 |
Internet Explorer では、Multipurpose Internet Mail Extensions (MIME) によるデータの種類情報を使用し、Web サーバーから送信されてきたファイルの処理方法が決定されます。たとえば、.jpg ファイルに対する HTTP (Hypertext Transfer Protocol) 要求があった場合に、そのファイルを受信すると、Internet Explorer ウィンドウ内でユーザー向けに表示するのが一般的です。Internet Explorer が実行可能ファイルを受信した場合は、通常、Internet Explorer によりこのファイルの処理方法をユーザーに確認するダイアログが表示されます。 Service Pack 1 では、Internet Explorer は前バージョンの Windows Server 2003 に比べて、さらに厳しい規則に従います。これらの規則は、偽装された MIME やファイル拡張子情報によって、ユーザーが誤って危険なファイルをダウンロードしたり、実行してしまわないようにするためのものです。 |
Internet Explorer のネットワーク プロトコル ロックダウン |
Internet Explorer を構成して、ローカル コンピュータ ゾーン以外のゾーンで、特定のネットワーク プロトコルの HTML コンテンツをロックダウンすることもできます。この機能を使用すると、各セキュリティ ゾーン内の任意のプロトコルのコンテンツにも、ローカル コンピュータ ゾーンのロックダウン (上記参照) と同じ制限を適用できます。 たとえば、インターネット ゾーンにおいて Shell: プロトコルでホストされる HTML コンテンツをロックダウンするように Internet Explorer を構成することができます。Shell: プロトコルは、一般にはインターネット コンテンツではなくローカルのコンテンツに使用されるため、この措置により、HTTP に比べて一般に使用されることの少ないプロトコルに存在する可能性のある脆弱性に対して、ブラウザが攻撃を受ける面を縮小できます。 |
Internet Explorer のオブジェクト キャッシング |
Windows Server 2003 のこれまでのバージョンの Internet Explorer では、一部の Web ページは、別の Web サイトからキャッシングされたオブジェクトにアクセスできました。Service Pack 1 では、ユーザーが別のドメインに移動すると、オブジェクトへの参照は利用できなくなります。 |
Internet Explorer のポップアップ ブロック機能 |
ポップアップ ブロック機能は、不要なポップアップ ウィンドウのほとんどが表示されないようにします。エンド ユーザーがリンクをクリックして開いたポップアップ ウィンドウは、表示されます。 エンド ユーザーおよび IT 管理者は、特定のドメインからのプログラムによるポップアップ表示を許可することができます。開発者は、この Internet Explorer のポップアップ機能を Internet Explorer をホストするアプリケーションで利用または拡張できます。 |
Internet Explorer の信頼されていない発行者に対するセキュリティ強化 |
この機能を使用すると、ユーザーはある発行者からの署名付きコンテンツをすべてブロックできます。その場合は Authenticode ダイアログ ボックスが表示されることもありません。これにより、ブロックしている発行者のコードのインストールが防がれます。この機能を使えば、無効な署名のコードのインストールを防ぐこともできます。 |
グループ ポリシーにおける Internet Explorer の URL アクション セキュリティ設定 |
Service Pack 1 には、Windows XP Service Pack 2 で初めて導入された、Internet Explorer の [セキュリティ] タブの設定の構成可能なアクション用のポリシーが組み込まれています。これらのアクションは、各セキュリティ ゾーン内でよりセキュリティの低いビヘイビアを許可するように設定できます。今回のリリースでは、これらのセキュリティ設定はグループ ポリシー管理コンソールを使って管理され、設定された場合は、グループ ポリシー オブジェクト (GPO) または管理者によってのみ変更可能となります。 Inetres.adm ファイルが更新され、Internet Explorer の基本設定用のユーザー インターフェイスにポリシーとして実装されている URL アクション設定の一覧と同じものが含まれています。この新しい機能制御ポリシーは、グループ ポリシー オブジェクト (GPO) を使用して管理できます。Internet Explorer をインストールする際に、これまでのバージョンと同様に、これらの URL アクション設定用の既定の HKEY_CURRENT_USER の基本設定が、インストール先コンピュータに登録されます。URL アクションをポリシーとして追加するには、グループ ポリシー管理コンソール (GPMC) スナップインを使用する必要があります。 |
Internet Explorer の機能制御レジストリ設定とセキュリティ ゾーン設定の併用 |
Internet Explorer の機能制御レジストリ設定は、任意のセキュリティ機能を使用するように任意のプロセスを構成できるようにするものです。プロセスが任意のセキュリティ機能を使用するよう構成されると、この機能が実行され、セキュリティ ゾーンの設定がより厳密に適用されます。 機能にセキュリティ ゾーンの設定を適用することで、Internet Explorer のセキュリティ機能をより厳密に制御できるようになり、組織のイントラネット アプリケーション間の互換性を管理する上で役に立ちます。 |
Internet Explorer ウィンドウの制限 |
Internet Explorer では、スクリプトを使って、新たに各種ウィンドウをプログラムから開いたり、既存のウィンドウのサイズや位置を変更することができます。以前は UI スプーフィング軽減と呼ばれていた、ウィンドウ制限セキュリティ機能では、ユーザーを欺く目的で悪意あるハッカーにより使用されてきた、スクリプトにより起動される 2 種類のウィンドウを制限します。これには、ポップアップ ウィンドウ (アドレス バー、タイトル バー、ステータス バー、ツール バーのようなコンポーネントを持たないもの) と、タイトル バーやステータス バーを持つウィンドウがあります。 |
Internet Explorer のゾーン昇格ブロック |
Internet Explorer が Web ページを開く場合には、その Web ページの場所 (インターネット、ローカルのイントラネット サーバー、信頼済みサイトなど) に基づいて、そのページの実行可能な操作を制限します。たとえば、インターネット上のページの場合には、ユーザーのローカル イントラネットにあるページと比べて、より厳密な制限が加えられます。ユーザーのコンピュータ上にある Web ページは、ローカル マシン セキュリティ ゾーンにあり、最もセキュリティ制限が少なくなります。このことから、ローカル マシン セキュリティ ゾーンは、悪意のあるユーザーの第一の標的となります。ゾーン昇格ブロックの導入により、このゾーンでコードを実行させるのがより困難になります。さらにローカル コンピュータ ゾーン ロックダウン (上記参照) と併用し、セキュリティ設定を変更することで、悪意のあるユーザーからの攻撃を受けにくいゾーンになります。 |
Outlook Express |
テキスト形式モード — この機能は、受信メール メッセージを HTML 形式ではなくテキスト形式で表示できるようにします。Outlook Express がテキスト形式モードで動作している場合には、MSHTML 制御の代わりにリッチ エディット コントロールが使用されます。リッチ エディット コントロールを使用することにより、悪意のあるコードを実行してしまう MSHTML の機能に起因するいくつかのセキュリティ問題を防ぐことができます。 外部 HTML コンテンツのダウンロードの制限 — この機能を使うと、ユーザーが気付かないままにユーザーの電子メール アドレスが有効であることがスパム発信者に確認されないようになるため、スパム メールの度重なる受信を防ぐことができます。[外部 HTML コンテンツをダウンロードしない] 機能が有効にされると、Outlook Express の既定動作が変更され、Web サーバーにアクセスして外部コンテンツのダウンロードを行わなくなるため、電子メール アドレスが有効であることをスパム発信者が確認できないようになります。 添付ファイルマネージャ API の導入 — Outlook Express では、添付ファイル マネージャと呼ばれる新しい一連の API (アプリケーション プログラミング インターフェイス) が導入されました。これは、電子メールの添付ファイルの検証に使用されます。これにより、各アプリケーションに同じような安全性の検証を実行するカスタム コードを用意する必要がなくなり、この API セットで一元管理できるようになります。添付ファイル マネージャを使用することで、添付ファイルのセキュリティを検証するすべてのアプリケーションに一貫したユーザー エクスペリエンスを提供できます。 |
セットアップ後のセキュリティ更新 |
セットアップ後のセキュリティ更新は、サーバーが初めて起動されてから、Windows Update の最新のセキュリティ更新プログラムを適用するまでの間に、サーバーがウィルスに感染しないようにするものです。Service Pack が適用されている Windows Server 2003 の新規インストールでは、サーバーを保護するために Windows ファイアウォールが有効になります。[セットアップ後のセキュリティ更新] ダイアログ ボックスの [完了] ボタンを管理者がクリックするまで、サーバーの着信接続はブロックされるので、Windows Update から安全に更新をダウンロードし、インストールできます。 (詳細については、この後の「新機能」を参照してください。) |
ポリシーの結果セット |
グループ ポリシーのポリシーの結果セット (RSoP :Resultant Set of Policy) は、ユーザーまたはコンピュータに適用されているグループ ポリシー設定を報告します。グループ ポリシー管理コンソール (GPMC) の [グループ ポリシーの結果] では、任意のコンピュータの RSoP データを要求し、これを HTML 形式のレポートで表示します。 Service Pack 1 では、コンピュータにインストールされる Windows ファイアウォールにより、対象のコンピュータからの RSoP データにリモート アクセスすることが禁止されます。また、Windows ファイアウォールが有効になっている場合は、グループ ポリシーの結果またはグループ ポリシー モデリングを使用する目的で GPMC を実行して RSoP データを取得しようとしても、このデータは取得できません。Windows ファイアウォールの例外を使用することで、上記のどちらの場合もデータを取得できるようになります。 |
RPC インターフェイスの制限 |
Service Pack 1 では、RestrictRemoteClients というレジストリ キーを追加して、Windows Server 2003 のリモート プロシージャ コール (RPC) サービスに大幅な変更を加えています。このキーを使用すると、システム上のすべての RPC インターフェイスの動作を変更できるので、(一部の例外を除き) システムの RPC インターフェイスへのリモート匿名アクセスを排除できます。その他の変更点としては、EnableAuthEpResolution レジストリ キーおよび 3 つの新しいインターフェイス登録フラグが追加されています。 |
セキュリティの構成ウィザード |
セキュリティの構成ウィザード (SCW) は、Windows Server 2003 の攻撃を受けやすい面を縮小する手順を示します。SCW は、一連の質問を使って、ユーザーのサーバーの機能要件を特定します。SCW は、50 種以上ものサーバーの役割 (Microsoft Exchange Server や SQL Server などの Windows Server System アプリケーションの役割も含む) ごとに設定されているサービスやポート、その他の機能要件を定義している拡張 XML 知識ベースから取得した役割 ベースのメタファを使用します。各サーバーに必要のない機能は、無効にされます。 (詳細については、この後の「機能強化」を参照してください。) |
伝送制御プロトコル (TCP/IP) |
Winsock の自己回復 — Winsock (アプリケーション向け Windows ネットワーク ソケット機能) は、LSP (Layered Service Provider) と呼ばれるメカニズムを使用して拡張できます。Winsock LSP は、インターネットのペアレンタル コントロールや Web コンテンツのフィルタリングなど、さまざまな目的に使用できます。以前のバージョンの Windows Server 2003 では、形式が正しくない ("buggy") LSP を削除すると、レジストリ内の Winsock カタログが壊れ、すべてのネットワーク接続が失われる可能性がありました。SP 1 では、ユーザーがこのような LSP を削除した後に、自己回復する機能が Winsock に実装されました。 新しい Winsock Netsh コマンド — Windows Server 2003 Service Pack 1 で、2 つの新しい Netsh コマンドが導入されました。 netsh winsock reset catalog このコマンドは、Winsock カタログを既定の構成にリセットします。これは、形式が正しくない LSP がインストールされているために、ネットワーク接続が失われた場合に便利です。このコマンドを使用するとネットワーク接続を復元できますが、これまでにインストールしていた LSP を再インストールする必要があるため、使用する場合は注意が必要です。 netsh winsock show catalog このコマンドは、コンピュータにインストールされている Winsock LSP の一覧を表示します。 SYN 攻撃からの保護が既定で有効 — SYN 攻撃を受けているホストでの影響を緩和するために、TCP/IP により、不完全な TCP 接続に使用するリソースの量が最小化され、不完全な接続を破棄するまでの時間が短縮されます。Windows Server 2003 と Windows XP の TCP/IP では、SYN 攻撃が検出されると、SYN-ACK セグメントの再転送数を削減し、TCP の3 方向ハンドシェイクが完了するまで、その接続にメモリ リソースやテーブル エントリ リソースを割り当てません。 新しい SYN 攻撃通知 IP ヘルパ API — IP ヘルパ API では NotifySecurityHealthChange および CancelSecurityHealthChangeNotify という新しい SYN 攻撃通知 API をサポートしているので、SYN 攻撃が発生していることを、アプリケーションからネットワーク管理者に通知できるようになります。 インテリジェントな TCP ポート割り当て — Windows Server 2003 SP1 の TCP/IP には、インテリジェントな TCP ポート割り当てアルゴリズムを実装しているので、アプリケーションで TIME WAIT 状態になっている接続と同じ組み合わせのソケット アドレスを使用した接続は作成されません。アプリケーションで任意の使用可能な TCP ポートが要求された場合、TCP/IP では最初に、TIME WAIT 状態にある接続に該当しない使用可能なポートの検出を試みます。ポートが見つからない場合は、任意の使用可能なポートが選択されます。この新しい動作により、同じ接続先に接続する際に、アプリケーションが TIME WAIT 状態の TCP ポートに割り当てられる可能性が大幅に減少します。 |
WebDAV リダイレクタ |
WebDAV リダイレクタ (DAVRdr) を使用することで、Windows Server 2003 が動作しているコンピュータから、Windows SharePoint Services や MSN コミュニティのような WebDAV (Web-based Distributed Authoring and Versioning) サーバーを、標準のファイルサーバーであるかのように使用できます。これは、Windows NT® リモート ファイル システム スタックに接続するカーネル コンポーネントと、ファイル システム要求を WebDAV 要求に変換するユーザー レベルのコンポーネント (Web クライアント サービス) から構成されます。 |
Windows ファイアウォール |
Windows ファイアウォール (以前はインターネット接続ファイアウォールと呼ばれていました) は、Microsoft Windows Server 2003 用のソフトウェア ベースのステートフル ファイアウォールです。Windows ファイアウォールでは、インターネット プロトコル Version 4 (IPv4) とインターネット プロトコル Version 6 (IPv6) の着信トラフィックのうち、コンピュータの要求に応じて送信されたトラフィック (要求トラフィック) または許可されていても要求されていないトラフィック (例外トラフィック) のどちらにも該当しないトラフィックを破棄することで、ネットワークに接続されたコンピュータを保護します。 (詳細については、この後の「機能強化」を参照してください。) |
Windows Media Player |
Windows Media Player 10 は、Windows Server 2003 Service Pack 1 のコンポーネントとしてインストールされます。このバージョンの Windows Media Player には、セキュリティの修正プログラムおよび新機能が組み込まれています。 |
ワイヤレス ネットワーク |
ワイヤレス プロビジョニング サービス (WPS) を使用すると、クライアントの自動プロビジョニングとシームレスローミングにより、一貫したユーザー エクスペリエンスを提供し、公共の Wi-Fi ホットスポットにシームレスに接続できます。WPS により、ワイヤレス インターネット サービス プロバイダ (WISP) が標準ベースの統合プラットフォームを使用して、Wi-Fi ホットスポットのセキュリティを向上でき、Wi-Fi ホットスポットが使用および管理しやすくなります。また、企業はプライベート ワイヤレス ネットワークへのゲスト アクセスを、セキュリティを強化した形式で容易に提供できるようになります。 |
機能強化
サービスでのより強固な既定値と特権の削減
Windows XP および Windows Server オペレーティング システム ファミリも含め、Windows NT カーネル ベースの Microsoft Windows オペレーティング システムは、リモート プロシージャ コール (RPC) サービスを利用して実行されています。一方、分散コンポーネント オブジェクト モデル (DCOM) は、Windows 全体で RPC が使用されていることを利用して、ユーザーが任意の方法で各自のネットワーク全体にアプリケーションを分散できるようにしています。
Service Pack 1 では、DCOM および RPC 関連のセキュリティが強化されています。RPC (および RPC をベースにしている DCOM) は、基本的に、別のコンピュータ上のプログラムからリモート呼び出し、アクティベーション、起動を行うためのもので、当然、ハッカーには望ましい機能です。SP1 では、コンピュータ レベルのアクセス制御リスト (ACL) を基に、プログラムのアクティベーションや起動をすべて確認し、この攻撃経路を防御します。このようにコンピュータ レベルの ACL を使用することで、あるコンピュータでのすべてのプログラム呼び出しに対して最低限の認証基準を確立でき、システム サービスへのアクセス権を所有しているユーザーと所有していないユーザーを区別できます。
多くの COM アプリケーションには、何らかのセキュリティ固有コード (CoInitializeSecurity 呼び出しなど) が含まれていますが、設定が緩やかなので、プロセスへの認証されていないアクセスが許可されてしまいます。以前のバージョンの Windows Server 2003 では、これらの設定を管理者が上書きして、より強いセキュリティを強制する方法はありませんでした。
COM インフラストラクチャには、RPCSS が含まれています。RPCSS は、システムのスタートアップ時とそれ以降常に実行されるシステム サービスで、COM オブジェクトのアクティベーションと、オブジェクト テーブルの実行を管理し、DCOM リモーティングのヘルパ サービスを提供します。これは、リモートから呼び出し可能な RPC インターフェイスを公開します。一部の COM サーバーでは認証なしのリモート アクセスが許可されるので (前のセクションで説明)、これらのインターフェイスは、認証されていないユーザーも含めて誰からでも呼び出しが可能です。その結果 RPCSS は、悪意あるユーザーからリモートの認証されていないコンピュータを使用して攻撃される可能性があります。
以前のバージョンの Windows では、管理者がコンピュータ上の COM サーバーの公開レベルを把握する方法はありませんでした。管理者は、コンピュータに登録されているすべての COM アプリケーション向けに構成されているセキュリティ設定を系統的に確認することで、公開レベルを把握することは不可能ではありませんが、Windows の既定のインストールでも約 150 の COM サーバーがあることを考えると、この作業にはなかなか手をつけられません。ソフトウェアにセキュリティを組み込んでいるサーバーの設定を調べる方法は、そのソフトウェアのソース コードを調べる以外にはありません。
DCOM のコンピュータ レベルの制限により、以上の 3 つの問題が緩和されます。また、管理者により DCOM のアクティベーション、起動、および呼び出しの着信を無効にできます。
データ実行防止機能
データ実行防止機能 (DEP : Data Execution Prevention) とは、メモリに対して付加的なチェックを行う一連のハードウェア テクノロジとソフトウェアテクノロジのことです。この付加的なチェックは、悪意のあるコードによる攻撃を防ぐ上で役立ちます。Windows Server 2003 Service Pack 1 は、ハードウェアとソフトウェアの両方を使用して、DEP を実行します。
ハードウェアによる DEP では、明示的に実行可能コードが実装されていない限り、プロセス内のすべてのメモリ領域を非実行可能領域としてマークします。攻撃の種類として、非実行可能メモリ領域にコードを挿入し、そこから実行を図るものがあります。DEP は、このような攻撃をインターセプトし、例外を生成することで、防御します。Advanced Micro Devices™ (AMD) および Intel Corporation は、Windows 対応の DEP アーキテクチャを開発、発表しています。Service Pack 1 は、AMD が開発した NX (no-execute page-protection) プロセッサ機能または、Intel が開発した XD (Execute Disable bit) 機能を使用します。(注 : 32 ビット プロセッサがこの機能を利用するには、物理アドレス拡張モードで実行される必要があります。)
Windows Server 2003 に Service Pack 1 を適用すると、さらにその他の DEP セキュリティ チェックが追加されます。これらのチェックは、ソフトウェア DEP と呼ばれ、Windows の例外処理メカニズムを利用した攻撃を軽減します。ソフトウェア DEP は、Service Pack 1 を適用した Windows Server 2003 に対応するプロセッサであれば、実行できます。既定では、プロセッサのハードウェア DEP 機能にかかわらず、ソフトウェア DEP の保護対象となるのは、限られたシステム バイナリのみです。
ソフトウェア DEP は、Windows の例外処理メカニズムに対する付加的なチェックを実行します。プログラムのイメージ ファイルが、SafeSEH (Safe Structured Exception Handling) を使用して作成されている場合は、ソフトウェア DEP により、例外がディスパッチされる前に、例外ハンドラがイメージ ファイル内の関数テーブルに登録されているかどうかが確認されます。プログラムのイメージ ファイルが、SafeSEH を使用して作成されていない場合は、ソフトウェア DEP により、例外がディスパッチされる前に、例外ハンドラが実行可能とマークされたメモリ領域内に読み込まれているかどうかが確認されます。
DEP の最大のメリットは、既定のヒープやさまざまなスタック、メモリ プールなどのデータ ページからのコード実行を防げることです。システムの通常の動作では、コードが既定のヒープやスタックから実行されることはほとんどありません。ハードウェア DEP は、これらの領域から実行されるコードを検出し、見つかった場合は、例外を生成します。この例外が処理されないと、プロセスは終了されます。カーネル モードで保護されたメモリからコードが実行されると、エラーになります。
プロセスの終了やエラーによるシステムの実行停止は、理想的な操作であるようには思えませんが、悪意のあるコードの実行を防ぐ上では有効です。システムで悪意のあるコードが実行されないようにすることで、ユーザーのシステムの損害や、悪意のあるコードの伝播を防ぐことができます。ほとんどの場合、悪意のあるコードによる被害の方が、プロセスの強制終了やシステム エラーによる影響よりも大きくなります。
DEP により、ある種のセキュリティ攻撃を軽減できます。特に、DEP は、ウイルスなどの攻撃で、余分なコードをプロセスに読み込み、この読み込んだコードの実行を図るタイプの攻撃を防ぐことができます。DEP が実装されているシステムでは、このようなコードが実行されると、例外が生成されます。ソフトウェア DEP は、Windows の例外処理メカニズムを悪用した攻撃を軽減します。
DEP の 2 番目のメリットは、優れたエンジニアリングとベスト プラクティスを基に、アプリケーションやドライバが開発されるようになることです。開発者がデータ ページを明示的に実行可能としてマークしない限り、DEP により、データ ページからコードを実行できなくなります。
新機能
Windows ファイアウォール
Windows ファイアウォールは、Microsoft Windows XP Service Pack 2 および Microsoft Windows Server™ 2003 Service Pack 1 用のソフトウェア ベースのステートフル ホスト ファイアウォールです。Windows ファイアウォールでは、有効な例外に相当しない、IPv4 と IPv6 の未承認の着信トラフィックを破棄することで、ネットワークに接続されたコンピュータの保護を強化します。
構成オプションには、以下のものがあります。
実行モードの追加 : オン、ただし例外は許可されません
ポートの静的例外の有効化
プログラム (アプリケーションやサービス) の例外の有効化
特定の種類の ICMP トラフィックの有効化
破棄されたパケットと正常な接続をログ ファイルに記録
Windows Server 2003 Service Pack 1 がインストールされるときは、セットアップでのセットアップ後のセキュリティ更新部分の実行時以外は、Windows ファイアウォールが既定でオフになります。初回のインストール中に Windows ファイアウォールを有効にすることで、セットアップや構成中の多くのネットワーク ベースの攻撃からコンピュータをより保護できるようになります。インストール後は、セキュリティの構成ウィザードでの構成に従ってサーバーで実行される役割に対して、Windows ファイアウォールを有効にすることをお勧めします。ただし、無効にすることが適切であると判断される例外は除きます。たとえば、Windows ファイアウォールが有効にされていれば、最近の MSBlaster 攻撃による影響は、コンピュータに最新の更新が適用されているかどうかにかかわらず、実際よりもかなり小さくて済んだでしょう。
以下の表に、Windows ファイアウォールの機能と機能強化をまとめます。
Windows ファイアウォールの機能と機能強化
| 機能 | 説明 |
ブート時セキュリティ |
以前のバージョンの Windows では、ネットワーク スタックが起動してから、インターネット接続ファイアウォール (ICF) による保護が有効になるまでに時間差がありました。このため、インターネット接続ファイアウォールによるフィルタ処理が行われずに、パケットを受信し、サービスに配信できてしまい、コンピュータが危険にさらされる可能性がありました。これは、インターネット接続ファイアウォールのユーザー モード サービスが読み込まれ、適切なポリシー設定を適用するまでは、ICF のドライバがパケットのフィルタ処理を開始しないためでした。このインターネット接続ファイアウォールのサービスには、依存関係が多いため、これらの依存関係の処理が完了しないと、ポリシーをドライバに適用できませんでした。この時間差は、コンピュータの処理速度によって異なります。 Windows Server 2003 Service Pack 1 では、IPv4 および Ipv6 対応のファイアウォール ドライバに、ステートフル フィルタを実行する静的ルールが実装されます。この静的ルールは、ブート時ポリシーと呼ばれます。これにより、コンピュータが DNS や DHCP などの基本ネットワーク作業を実行し、アドレス構成と DNS、および関連するプロトコルを取得して、ドメイン コントローラと通信してポリシー設定を取得できるようになります。Windows ファイアウォール サービスが実行されると、実行時ポリシー設定の読み込みおよび適用が行われ、ブート時フィルタが削除されます。ブート時ポリシーを構成することはできません。 ホスト ファイアウォールによる保護を拡張してブート時にも適用されるようにすることで、ユーザーのコンピュータが起動時に攻撃にさらされる危険性を軽減しています。 |
グローバル構成 |
Windows ファイアウォールの特徴の 1 つは、グローバル構成が可能なことです。以前のバージョンの Windows では、インターネット接続ファイアウォールはインターフェースごとに構成していました。したがって、たとえば、ワイヤレス ネットワークに 1 つの設定、イーサネットに 1 つの設定という具合に、ネットワーク接続ごとに固有のファイアウォール設定のセットがあったことになります。このため各接続間で設定を同期させることが困難でした。また、新しい接続には、既存の接続に施された構成の変更がまったく反映されないことになります。専用のダイヤラによって作成されたものなど非標準のネットワーク接続 (ISP が構成したダイヤルアップ ネットワーク接続など) は保護できませんでした。 グローバル構成が可能になったことで、構成が変更された場合でも、この変更は、マイクロソフト以外のダイヤラの接続も含めて、ネットワーク接続フォルダにあるすべてのネットワーク接続に自動的に適用されます。新しい接続が作成された場合も、同様に既存の構成が適用されます。ただし、インターフェイスごとに構成を実行することもできます。非標準のネットワーク接続は、グローバル構成のみが適用されます。構成の変更は、IPv4 にも IPv6 にも適用されます。 グローバル構成により、ユーザーがより容易にネットワーク接続すべてのファイアウォール設定を管理し、グループ ポリシーを利用した構成を実現できるようになります。また、同じ構成オプションが設定された接続で動作するように、プログラム例外を構成できるようになります。 |
監査ログ |
監査ログを使用すると、Windows ファイアウォールの設定に加えられた変更を追跡し、どのアプリケーションまたはサービスがユーザーのコンピュータにポートのリッスン要求を発行したかを参照することができます。監査ログが有効にされると、監査イベントがセキュリティ イベント ログに記録されます。監査ログは、Windows XP Service Pack 2 を実行しているクライアント コンピュータおよび Windows Server 2003 Service Pack 1 を実行しているサーバーで有効にすることができます。Windows ファイアウォールの動作の監査は、ユーザーのシステムに対する攻撃にすばやく対処できるようにするための、従深防御の一環として提供されています。 |
例外トラフィックのスコープの制限 |
インターネット接続ファイアウォールでは、ポート例外を構成する場合、その例外はグローバル スコープで開かれていました。ローカル ネットワークやインターネットなど、ネットワークのあらゆる場所からの着信トラフィック受信できました。また、Windows ファイアウォールでは、IPv4 と IPv6 のルーティング テーブルのコンテンツに基づいて直接参照できる発信元アドレスを含むネットワーク トラフィック ([ユーザーのネットワーク (サブネット) のみ] スコープ) または特定の IPv4 アドレスおよびアドレス範囲 ([カスタム] スコープ) のネットワーク トラフィックしか受信しないように、ポートおよびプログラム ベースの例外を構成できます。 ファイル共有ポートが、NetShare アプリケーション プログラミング インターフェイス (API)、ネットワーク セットアップ ウィザード、または Windows ファイアウォール ユーザー インターフェイスによって開かれた場合は、直接参照できるスコープの制限が適用されます。 ワークグループのコンピュータの場合、ポートの一部が既定で直接参照できるアドレスに対してしか開かれないように制限されています。このようなポートは、ファイルとプリンタ共有、ユニバーサル プラグ アンド プレイ (UPnP™) フレームワークに必要なポートです。また、これらのポートが、インターネット接続の共有 (ICS) サービスを提供するホスト上の直接参照できるアドレスに対して開かれた場合、ポートは ICS パブリック インターフェイス上では開かれません。ユーザーがグローバル スコープでこれらのポートを開いた場合は、ICS パブリック インターフェイス上でも開かれますが、これはお勧めしません。 アプリケーションによっては、ローカル ネットワーク上の他のホストとのみ通信するだけで、インターネット上のホストとは通信する必要がないものもあります。直接参照できるアドレスからのトラフィックのみを受信するようにポートを設定することで、ポートにアクセスできる発信元を制限することができます。これにより、あらゆる場所のコンピュータに対してポートが開かれることにより発生する攻撃を軽減できます。 |
コマンドライン サポート |
Windows Server 2003 Service Pack 1 には、Netsh Windows ファイアウォール ヘルパが含まれているので、コマンドラインで以下の Netsh コマンドを使用して、Windows ファイアウォールを完全に構成できます。
Windows ファイアウォールの既定の状態の構成 (無効、有効、例外を許可しない)。
有効にする例外の構成。この構成には、各例外のスコープ (グローバル、直接参照できるアドレス、特定の IPv4 アドレスまたはアドレス範囲)、および例外を有効にする範囲 (すべてのインターフェイスまたはインターフェイス単位のいずれか) を含みます。
ログ オプションの構成。
インターネット制御メッセージ プロトコル (ICMP) 処理オプションの構成。
例外の一覧への例外の追加または削除。
コマンドライン インターフェイスを提供することで、管理者がグラフィカル ユーザー インターフェイスを使用せずに、Windows ファイアウォールを構成できるようになります。コマンドライン インターフェイスは、スクリプトにも使用できます。 |
"実行を許可しない" 実行モード |
通常の使用時は、特定の種類の未承認の着信トラフィックを許可するように、Windows ファイアウォールに例外を構成できます。これは通常、ファイルとプリンタの共有のような重要なシナリオを実現する必要があるためです。コンピュータ上で実行されている、接続を待機する側のサービスまたはアプリケーションの少なくとも 1 つで、セキュリティ上の問題が見つかった場合は、このコンピュータをクライアント専用モード ("無効、有効、例外を許可しない" モード) に切り換える必要があるかもしれません。構成または有効化された例外に関係なく、クライアント専用モードに切り換えることで、ファイアウォールを再構成することなく、未承認の着信トラフィックを拒否するよう Windows ファイアウォールを構成できます。 このモードで実行されている場合は、すべての静的ポートが閉じられ、既存の接続がすべて切断されます。静的ポートを開くための Windows ファイアウォールへの API 呼び出しはすべて受け入れられ、要求されたファイアウォール構成は格納されますが、実行モードが通常のモードに戻るまでは有効になりません。アプリケーションからのリッスン要求もすべて無視されます。 ウイルス、ワーム、攻撃者は、利用できるサービスを探しています。この実行モードで実行されている場合は、Windows ファイアウォールにより、この種の攻撃による被害を防ぐことができます。 |
プログラム ベースの例外 |
一部のアプリケーションは、ネットワーク クライアントおよびサーバーの両方として機能します。サーバーとして機能する場合、前もってピアを識別できないので、未承認の着信トラフィックの進入を許可せざるを得ません。 以前のバージョンの Windows では、アプリケーションは Windows ファイアウォール API を呼び出して必要なリスニング ポートが開かれるようにする必要がありました。ピア ツー ピアの場合は、あらかじめポートがわかっていないと、これは難しいことがわかりました。通信の完了後に、ポートを再度閉じるかどうかはアプリケーション次第でした。このようにしないと、アプリケーションが予期せず終了した場合に、ファイアウォールに不要なホールができてしまうことになります。 また、このようなポートは、アプリケーションがローカル管理者のセキュリティ コンテキストで実行されていないと開くことができませんでした。このため、アプリケーションは管理コンテキストで実行しなければならず、最小限必要な特権しか付与しないようにするという原則に反していました。 Windows Server 2003 Service Pack 1 では、ネットワークをリッスンする必要のあるプログラム (アプリケーションまたはサービス) は Windows ファイアウォールの例外の一覧に追加できます。プログラムが Windows ファイアウォールの例外の一覧に追加されている場合には、アプリケーションのセキュリティ コンテキストの如何を問わず、Windows により必要なポートが自動的に開閉されます。 ステートフル フィルタに対応するプログラムは、Windows ファイアウォールの例外の一覧に追加する必要はありません。また、Windows ファイアウォールの例外の一覧にプログラムを追加できるのは、管理者のみです。 プログラムが Windows ファイアウォールの例外の一覧に追加されている場合は、必要なポートだけが開かれ、このプログラムがそれらのポートでリッスンしている間しか開かれません。プログラムは、使用する必要のないポートは開くことができません。これにより、意図的であれ偶然であれ、そのポートから他のアプリケーションまたはサービスがネットワーク トラフィックを受け付けられる状態になるのを防ぐことができます。 これにより、ネットワークをリッスンするプログラムをより特権の少ないアカウントを使用して実行できるようにもなります。以前のバージョンの Windows では、このようなプログラムは、管理者権限で実行する必要がありました。 |
複数のプロファイル |
Windows ファイアウォールでは、複数のプロファイルをサポートできるため、コンピュータが管理された組織ネットワークに接続している場合 (ドメイン プロファイル) と接続していない場合 (標準プロファイル) の 2 種類のファイアウォール ポリシーのセットを作成できます。コンピュータが管理された組織ネットワークに接続する場合は、基幹業務アプリケーションが動作するように、制約が比較的少ないポリシーを指定できます。同様に、コンピュータが会社のネットワークの外部にある場合は、より制約の厳しいセキュリティ ポリシーを指定して、モバイル ユーザーを保護できます。 モバイル コンピュータに対しては、Windows ファイアウォールの構成を複数用意した方がよいでしょう。プライベート ネットワークでは安全な構成であっても、インターネットでは攻撃を受けやすい場合が多くあります。したがって、どのような場合でも必要なポートしか公開されないようにするためには、プライベート ネットワークではポートが開かれ、それ以外のネットワークでは開かれないようにできることが必要です。 |
システム サービスに対する RPC のサポート |
以前のバージョンの Windows では、インターネット接続ファイアウォールはリモートプロシージャコール (RPC) 通信をブロックしていました。インターネット接続ファイアウォールは、RPC エンドポイント マッパーへのネットワーク トラフィックを許可するように設定できましたが、RPC が使用するポートは認識されず、アプリケーションは失敗していました。 ネットワーク経由の通信に RPC が利用できないと、多くのエンタープライズ アプリケーションやコンポーネントが失敗します。以下のいくつか例を挙げます。ただし、この例だけに限られるわけではありません。
[コンピュータの管理] や [ユーザー、コンピュータ、またはグループの選択] ダイアログ ボックスなど、多くのアプリケーションが使用するリモート管理
リモートからの Windows Management Instrumentation (WMI) による構成
リモート クライアントおよびサーバーの管理用スクリプト
RPC はポートをいくつか開き、多数の異なるサーバーをそれらのポート上で公開します。Windows XP および Windows Server 2003 にはかなりの数の RPC サーバーが含まれているため、Windows ファイアウォールは RPC を使用するシステム サービスには異なる方法を取っています。Windows ファイアウォールは、呼び出し元が Local System、Network Service、または Local Service セキュリティ コンテキストで実行されている場合にのみ、この要求を受け入れます。 リモート管理シナリオを実現するには、企業規模の展開では多くの場合、既定で Windows ファイアウォールと連携する、RPC を使用するシステム サービスが必要となります。より細かい指定を行うことで、どの RPC サービスをネットワークに公開するかを制御できます。 |
既定の設定の復元 |
これまではユーザーがインターネット接続ファイアウォールの構成をリセットする手段はありませんでした。時間の経過と共に、Windows ファイアウォールの構成に複数の例外が含まれるようになり、ユーザーがすばやく簡単に既定の構成に戻ることが難しくなる場合があります。 既定の設定の復元オプションを使用すると、ユーザーは Windows ファイアウォールの設定を元の既定の設定に復元することができます。さらに、相手先ブランド供給元 (OEM) や企業は、Windows ファイアウォールの既定の構成を変更して、カスタムの既定の構成オプションを提供できます。 |
自動セットアップのサポート |
以前のバージョンの Windows では、インストール中にインターネット接続ファイアウォールを構成することはできませんでした。このため、OEM や企業がコンピュータをエンドユーザーに提供する前に、インターネット接続ファイアウォールを事前構成するのは困難でした。Windows Server 2003 Service Pack 1 では、自動セットアップ時に、Windows ファイアウォールの以下のオプションを構成できるようになりました。
実行モード
プログラム ベースの例外
ポート ベースの例外
ICMP オプション
ログ オプション
Windows ファイアウォールを事前構成できるようになったことで、Windows の再販業者や大規模企業では、Windows ファイアウォールの構成をより柔軟にカスタマイズできるようになりました。 |
マルチキャストとブロードキャスト サポートの強化 |
マルチキャストおよびブロードキャスト ネットワーク トラフィックは、ユニキャスト トラフィックとは異なり、不明なホストから応答が返されます。そのため、ステートフル フィルタにより、不明なホストからの応答は受信されないようになっています。これは、メディアのストリーミングから発見にいたるまで、さまざまなシナリオの実現を妨げています。 Windows ファイアウォールでは、このようなシナリオを実現するため、発信元アドレスがどのようなアドレスであってもマルチキャストまたはブロードキャスト トラフィックを発信したポートと同じポートで 3 秒間はユニキャスト応答を許可します。 これにより、ユーザー、アプリケーション、またはサービスがファイアウォール ポリシーを変更しなくても、通信にマルチキャストおよびブロードキャストを使用するアプリケーションやサービスが動作できるようになります。これは、NETBIOS over TCP/IP などには重要であり、ポート 135 などの危険性の高いポートが隠蔽されます。 このオプションは Windows ファイアウォールのグループ ポリシーの設定を経由して構成できます。 |
IPv6 のサポート |
以前のバージョンの Windows では、インターネット接続ファイアウォールは IPv4 トラフィックしかフィルタ処理しませんでした。Windows ファイアウォールには IPv6 のサポートが含まれ、すべての IPv6 接続に対して自動的に有効化されます。IPv4 と IPv6 では、例外トラフィックに同じ設定を使用します。たとえば、ファイルとプリンタの共有トラフィックを例外にする場合、未承認のファイルとプリンタの共有トラフィックの着信が、IPv4 ベースとの IPv6 ベースの両方で許可されます。 Windows ファイアウォールでは、例外のカスタム スコープを構成する際に特定の IPv6 アドレスまたはアドレス範囲を構成することはサポートされていません。 |
ユーザー インターフェイスの更新 |
Windows Server 2003 Service Pack 1 では、Windows ファイアウォール ユーザー インターフェイスが、新しい構成オプションに合わせて更新されています。新しいユーザー インターフェイスを使用して、実行モード、プログラム ベースおよびポート ベースの例外、およびログ オプションや ICMP オプションなどの詳細設定を変更できます。 Windows ファイアウォール ユーザー インターフェイスには、主にコントロール パネルの Windows ファイアウォール コンポーネントからアクセスすることになります。ただし、プロパティ ダイアログ ボックスからも、引き続きアクセスできます。また、Windows Server 2003 Service Pack 1 では、[ネットワーク接続] フォルダからのリンクも含まれます。 |
新しいグループ ポリシーのサポート |
以前のバージョンの Windows では、インターネット接続ファイアウォールのグループポリシーオブジェクト (GPO) は、[DNS ドメインネットワーク上でのインターネット接続ファイアウォールの使用を禁止する] の 1 つだけでした。Windows Server 2003 Service Pack 1 では、コントロール パネルの Windows ファイアウォール コンポーネントにより使用できる構成オプションのほとんどは、[コンピュータの構成]、[管理用テンプレート]、[ネットワーク]、[ネットワーク接続]、[Windows ファイアウォール] にある Windows ファイアウォールのグループ ポリシー設定により設定できます。新しく利用できるようになった構成オプションの例としては、次のものが挙げられます。
プログラムの例外を定義する
ローカル プログラムの例外を許可する
ポートの例外を定義する
ローカル ポートの例外を許可する
ICMP の例外を許可する
通知を禁止する
ファイルとプリンタの共有の例外を許可する
ログの記録を許可する
これらのオブジェクトはそれぞれ、ドメイン プロファイル (コンピュータが管理された組織ネットワークに接続されている場合) と標準プロファイル (コンピュータが管理された組織ネットワークに接続されていない場合) の両方に設定できます。 |
Windows ファイアウォールの詳細については、以下のリソースを参照してください。
Microsoft® Windows® XP Service Pack 2 向け Windows ファイアウォール設定の導入
Windows XP Service Pack 2 の Windows ファイアウォールを手動で構成する
Troubleshooting Windows Firewall in Microsoft Windows XP Service Pack 2 (英語)
これらのリソースでは Windows XP Service Pack 2 の Windows ファイアウォールについて説明されていますが、同じ情報のほとんどが Windows Server 2003 SP1 の Windows ファイアウォールに適用されます。
セットアップ後のセキュリティ更新
セットアップ後のセキュリティ更新は、サーバーが初めて起動されてから、Windows Update の最新のセキュリティの更新を適用するまでの間に、サーバーがウイルスに感染しないようにするものです。Service Pack が適用されている Windows Server 2003 の新規インストールでは、サーバーを保護するために Windows ファイアウォールが有効になります。Windows ファイアウォールが有効で、この有効化が管理者により自動セットアップ スクリプトまたはグループ ポリシーを使用して明示的に行われていない場合は、管理者の初回のログオン時にセットアップ後のセキュリティ更新が表示されます。[セットアップ後のセキュリティ更新] ダイアログ ボックスの [完了] ボタンを管理者がクリックするまで、サーバーの着信接続はブロックされるため、Windows Update から安全に更新をダウンロードし、インストールできます。管理者が、グループ ポリシーを利用して、またはインストール時にリモート デスクトップを有効にすることで、ファイアウォールに例外を設定している場合は、これらの例外に割り当てられた着信接続はブロックされません。
セットアップ後のセキュリティ更新は、[スタート] メニューからはアクセスできません。これは、PSSU が Service Pack が適用された完全な Windows Server 2003 (Windows Server 2003 Service Pack 1 以降のバージョン) にしか対応していないためです。PSSU は、以下のオペレーティング システムからアップグレードする場合は、表示されません。
Windows 2000 から Windows Server 2003 Service Pack 1 へのアップグレード
Windows Server 2003 から Windows Server 2003 Service Pack 1 へのアップグレード
ただし、Windows NT 4.0 から Windows Server 2003 Service Pack 1 にサーバーをアップグレードした場合は、PSSU が表示されます。また、自動セットアップ スクリプトや Windows ファイアウォールの有効または無効を指定するグループ ポリシーを使用した Windows Server 2003 のインストールでは、PSSU は機能しません。
.gif "図 5. セットアップ後のセキュリティ更新 : ユーザー インターフェイス")
図 5. セットアップ後のセキュリティ更新 : ユーザーインターフェイス
拡大表示する
.gif){kind=link}
.gif "図 6. セットアップ後のセキュリティ更新 : 警告画面")
図 6. セットアップ後のセキュリティ更新 : 警告画面
IT セキュリティは、有機的に絶えず変化する状況下での戦いです。マイクロソフトから、オペレーティング システムのインストール用ファイルのリリース後に、ウイルスの脅威を緩和するセキュリティの更新がリリースされている可能性があります。新しいサーバーがネットワークに接続した際に、ファイアウォールが有効でないと、このサーバーはセキュリティの更新をダウンロードし、インストールする前に、ウイルスに感染する可能性があります。セットアップ後のセキュリティ更新は、Windows ファイアウォールを使用して、このリスクを緩和しています。
セキュリティの構成ウィザード
セキュリティの構成ウィザード (SCW) は、ユーザーのサーバーの攻撃を受けやすい面を縮小するための手順を示します。SCW は、一連の質問を使って、ユーザーのサーバーの機能要件 (このサーバーの役割) を特定します。SCW は、50 種以上ものサーバーの役割 (Microsoft Exchange Server や SQL Server などの Windows Server System アプリケーションの役割も含む) ごとに設定されているサービスやポート、その他の機能要件を定義している拡張 XML 知識ベースから取得した役割 ベースのメタファを使用します。サーバーが実行する役割に必要のない機能は無効にされます。
SCW は、この拡張 XML 知識ベースを使用して、役割の検出を実行し、ユーザー入力を要求します。また、サービスの無効化、ポートのブロック、レジストリ値の変更、監査設定の構成を行うためのセキュリティ ポリシーを編集します。ブロックしないポートであっても、アクセス元を制限したり、インターネット プロトコル セキュリティ (IPSec) を使用して保護できます。SCW を使用すると、以前適用したポリシー設定をロールバックできます。また、SCW は、管理スクリプトや他の管理ユーティリティと連携して、ユーザーの組織内のサーバー グループへのセキュリティ構成の適用や、サーバーが適用予定のポリシーに準拠しているかどうかの分析に使用できるコマンドライン ツールも提供しています。SCW は Active Directory とも連携して、SCW により作成されたポリシー設定をグループ ポリシーを利用して展開することもできます。
SCW セキュリティの対応範囲
SCW を使用すると、以下の操作を容易に実行できます。
不要なサービスの無効化
不要な IIS Web 拡張の無効化
マルチホーム シナリオのサポートも含め、使用されないポートのブロック
ブロックされないポートの IPSec を使用した保護
Lightweight Directory Access Protocol (LDAP)、LAN Manager、サーバー メッセージ ブロック (SMB) のプロトコルの公開
高度な SN 比 (signal-to-noise ratio) を使用した監査設定の構成
ウィザードで構成できない設定を含む Windows セキュリティ テンプレートのインポート
SCW の機能
SCW は役割 ベースのセキュリティ ポリシー作成支援以外に、以下の機能もサポートしています。
ロールバック — SCW のセキュリティポリシーの適用前の状態にサーバーを復帰させることができます。これは、適用したポリシーが原因でサービスが正常に機能しなくなった場合に有用です。
分析 — サーバーが適用予定のポリシーに準拠しているかどうかを確認できます。
リモートアクセス — リモート アクセスによる構成および分析操作をサポートします。
コマンドラインサポート — サーバー グループをリモートから構成および分析できます。
Active Directory 統合 — グループ ポリシーを使用して SCW ポリシーを展開できます。
編集 — サーバーの役割の再定義の時期など、SCW のニーズにより作成されたセキュリティ ポリシーを変更できます。
XSL ビュー — XML 形式の知識ベース、ポリシー、分析結果ファイルに保存されているデータを参照できます。
攻撃を受けやすい面の縮小は基礎的なセキュリティのベスト プラクティスですが、必要な機能を停止させることなく、Windows サーバーを適切に保護、テスト、展開する時間をなかなか取れないことが多くあります。その結果、組織内に脆弱なサーバーが存在することになる可能性があります。SCW は、ロックダウン プロセスを自動化する機能です。また、マイクロソフトにより完全にテストおよびサポートされています。脆弱性が悪用された場合、その脆弱性がすべての構成に存在しているとは限らないので、Windows サーバーの攻撃を受けやすい面を縮小することで、直ちに更新を適用すべきサーバーの台数を削減できます。
Windows の管理者は、現在はほとんどの場合、ドキュメント化されたガイドを参照するか、特定のシナリオ用の既存のセキュリティ テンプレートを利用して、セキュリティ テンプレート スナップインにより独自のセキュリティ ポリシーを定義しています。SCW は、これとは対照的に、一連の質問に答えることでカスタムのセキュリティ ポリシーを作成できるオーサリング ツールです。ウィザードによって構成できない設定については、既存のセキュリティ テンプレートをインポートできます。
SCW ユーザー インターフェイス
SCW は、既定ではインストールされません。ただし、簡単にインストールできるように、Windows コンポーネントの一覧に表示されます。SCW がインストールされると、サーバーの [スタート] メニューの [管理ツール] から起動できるようになります。
SCW は標準的な Microsoft ウィザード インターフェイスを備えており、一貫性のある、直感的な操作性を提供しています。SCW では、この標準的なウィザード インターフェイスを使用して、新しいセキュリティ ポリシーの作成や、既存のポリシーの編集手順を示します。また、SCW を使用すると、既存のポリシーを他のサーバーに繰り返し適用したり、以前適用したポリシーを取り消すこともできます。
.gif "図 7. セキュリティの構成ウィザード : 実行する操作の選択")
図 7. セキュリティの構成ウィザード : 実行する操作の選択
拡大表示する
.gif){kind=link}
新しいポリシーを作成する場合は、まず新しいポリシーの基本となるサーバーをベースラインとして選択します。セキュリティ ポリシーが作成できたら、同様の構成の他のサーバーにも適用できるため、管理者は時間を節約できます。
.gif "図 8. セキュリティの構成ウィザード : 基本のサーバーの選択")
図 8. セキュリティの構成ウィザード : 基本のサーバーの選択
SCW は、セキュリティ構成 (Security Configuration) データベースを作成して、ユーザーのポリシー設定情報を保存します。SCW により、セキュリティ構成データベースが構築されると、ユーザーはデータベース内の情報を参照できます。
.gif "図 9. セキュリティの構成ウィザード : セキュリティ構成データベース")
図 9. セキュリティの構成ウィザード : セキュリティ構成データベース
SCW は、役割 (特定のサーバーに対してユーザーが設定した役割) を基にセキュリティ ポリシーを作成します。同様に、特定のサーバーに実行させるクライアント ロールも指定します。また、監査ポリシーおよびレジストリ設定をカスタマイズすることもできます。
.gif "図 10. セキュリティの構成ウィザード : サーバーの役割の選択")
図 10. セキュリティの構成ウィザード : サーバーの役割の選択
SCW では、ウィザードで指定されないサービスの処理、サーバーが処理する追加の管理作業、ポートの処理も構成できます。ユーザーは、ブロックしないネットワーク ポートとブロックするネットワーク ポートを明示的に指定できます。
.gif "図 11. セキュリティの構成ウィザード : 公開するポートの指定")
図 11. セキュリティの構成ウィザード : 公開するポートの指定
ページのトップへ
まとめ
Windows Server 2003 Service Pack 1 は、マイクロソフトの「信頼できるコンピューティング (Trustworthy Computing)」の活動の一環として提供される製品の 1 つであり、さらに優れたセキュリティと信頼性を備えた管理しやすいソフトウェア製品の開発を続けることへのマイクロソフトの取り組みを示すものです。Service Pack 1 では、システムの累積更新をまとめて提供しています。また、さまざまな機能強化や、Windows ファイアウォール、セットアップ後のセキュリティ更新、セキュリティの構成ウィザードなどの新機能も導入されています。これらの新機能は、初めて Windows Server 2003 を導入するユーザーにとっても、既に導入済みのユーザーにとっても役立つ機能です。Service Pack 1 を導入すれば「攻撃を受けやすい面」を縮小できるので、あらゆる業種の企業でセキュリティを強化し、管理の簡素化を図ることができます。
ページのトップへ
関連リンク
詳細については、以下のリソースを参照してください。
ここにはサポートに関する情報も公開されています。
Microsoft .NET (https://www.microsoft.com/japan/net/)
Windows XP Professional オペレーティング システム (https://www.microsoft.com/japan/windowsxp/pro/default.mspx)
Microsoft .NET Enterprise Servers (https://www.microsoft.com/japan/windowsserversystem/default.mspx)
MSDN (https://www.microsoft.com/japan/msdn/)
TechNet (https://www.microsoft.com/japan/technet/default.mspx)
Windows Server 2003 の最新情報については、https://www.microsoft.com/japan/windowsserver2003/default.mspx の Windows Server 2003 Web サイトを参照してください。 このサイトで公開されているリソースの中には、Windows Server 2003 のテクノロジや機能を解説している技術文書が多数あります。技術概要のページを直接参照する場合は、https://www.microsoft.com/japan/windowsserver2003/techinfo/overview/default.mspx にアクセスしてください。
ページのトップへ