Windows Server 2003のうちSP1以降では、「セキュリティの構成ウィザード」(SCW: Security Configuration Wizard)という機能が加わっている。通常なら個別に設定しなければならないさまざまなセキュリティ関連設定について、ウィザード形式で問いに答えていくと、まとめて設定してくれるというものだ。

これを活用すれば、最小限の手間で最大限に安全性が高い設定が可能になる。もちろん、ウィルス対策、spamメール対策、スパイウェア対策などは別個に行わなければならないが、Windowsサーバ自身の設定をセキュアにできるだけでもメリットは大きい。

なお、SCWを使用する前に、サーバとして必要な設定を完了させておく必要がある。つまり、Webサーバ、メールサーバ、データベースサーバといった機能を提供するためのソフトウェアのセットアップや、それらのソフトウェアに対する設定作業をすべて済ませてからSCWを実行しなければならない。そうしないと、SCWが行う設定変更が原因となって、サーバとしての機能を果たせなくなる可能性がある。

SCWで行う設定

SCWによって設定できる項目は、以下のように大別できる。

・不必要なサービスの停止
・ファイアウォールの設定により、必要なプロトコル以外は通過させないようにする
・レジストリの設定変更
・監査ポリシーの設定
・IISを使用している場合、IISで利用する機能の選択と、不必要な仮想ディレクトリの削除が可能

SCWの特徴は、設定内容を「セキュリティポリシーファイル」と呼ばれるXML文書ファイルに保存する点だ。これを利用すると、同じ用途に使用している複数のサーバに対して、同じセキュリティ設定を確実に適用できる。ただし、用途が異なればセキュリティ設定の内容も違ってくるので、個別にSCWを実行しなければならない点に注意してほしい。

このほか、作成済みのポリシーファイルを修正する機能や、直近に適用した内容を取り消して元に戻すロールバック機能もある。ただし、ロールバック機能で遡れるのは一段階だけで、それ以上は戻れない。

SCWの利用方法

Windows Server 2003の場合、コントロールパネルの[プログラムの追加と削除]以下にある[Windowsコンポーネントの追加と削除]で、SCWのコンポーネントを追加する必要がある(Windows Server 2008では、当初から組み込み済みになる)。

Windows Server 2003の場合、コントロールパネルの[プログラムの追加と削除]で[Windowsコンポーネントの追加と削除]を使って、SCWを追加する必要がある

SCWを追加すると、[スタート]-[管理ツール]以下に[セキュリティの構成ウィザード]というアイテムが加わる。それをクリックするとSCWを実行できる。

新規にポリシーファイルを作成する場合、ウィザード2画面目で[新しいセキュリティポリシーの作成]を選択して続行する。その後は以下のようにして設定を進めていくことになる。

SCWでは、ポリシーの作成・編集・適用・ロールバックのうちいずれを行うかを、最初に選択する
  1. 対象となるサーバの指定。既定値は、現在作業中のサーバ。他のサーバを対象とする場合、そのサーバに対する管理者権限を持つユーザーアカウントでログオンしていなければならない
  2. セキュリティ構成データベースの処理
  3. 設定対象となるサーバで利用する機能についての設定。サーバとしての機能とクライアントとしての機能のそれぞれについて、利用する機能についてチェックボックスをオン、利用しない機能についてチェックボックスをオフにする
  4. 同じ要領で、管理機能に関する役割の選択と、追加のサービスに関する選択を行う
  5. これらの設定を受けて、どのサービスが必要なのかをSCWが判断してサービスのスタートアップモードを変更できる
  6. ファイアウォールを通過させる、TCP/IPアプリケーションのポート指定。インストールしてあるサーバ機能に対応するポート番号の一覧を表示しており、その中から必要なものについて通過を許可する。一覧にないポートを手作業で追加したり、特定のプログラムの通信だけ通過を許可したりすることもできる
  7. SMBデジタル署名の設定。既定値では有効
  8. LDAP署名の設定。既定値では無効だが、Windows 2000 SP3以降のOSしか使用していなければ有効にできる
  9. サーバの認証方法指定。Active Directoryドメインで認証を受けたユーザー以外は接続を拒否する設定に加えて、クライアントPCのローカルアカウントやWindows 9x/Meのパスワードファイルを使って認証を受けたユーザーに接続を許可する設定が可能
  10. NTLM認証の設定。既定値ではNTLMv1対応となっているが、NTLMv2を使用するように設定できる
  11. 監査ポリシーの設定。この機能については本連載で後日、取り上げる予定だ
  12. (IISを使用している場合)IISで利用する機能の選択、仮想ディレクトリの選択・削除、匿名ユーザーによるファイルの書き込みを認めるかどうかの設定(既定値は不可)が可能

たいていの機能はSCWが自動的に設定するため、ユーザーが意識的に設定を変更しなければならない場面はほとんどない。設定中のサーバで動作している機能について、機能選択の場面(「3.」と「4.」)で、チェックがオフになってしまっていないかどうかを確認するだけでよいだろう。

最後に、設定してきた内容をポリシーファイルとして保存する。その際に設定内容を確認できるほか、作成したポリシーをその場で適用するか、後で適用するかの選択が可能になっている。

設定対象となるサーバで利用する機能に合わせて設定の確認や変更を行い、それを反映させて適切なポリシー設定を作成・適用することで、セキュアな設定を確実に実現できる

本連載で使用している富士通のPCサーバ「PRIMERGY ECONEL 100 S2」「PRIMERGY TX120」の詳細は、同社のWebを参照してください。また、高鹿陽介氏によるレビュー記事も掲載中です。