【連載】

にわか管理者のためのWindows Server 2012入門

【第56回】セキュリティポリシーテンプレートの適用

[2014/01/20 09:00]井上孝司 ブックマーク ブックマーク

  • サーバ/ストレージ
  • ● 関連キーワード
  • サーバ

サーバ/ストレージ

先週の本連載で、セキュリティポリシーテンプレート(以下「ポリシーテンプレート」)の追加・編集・エクスポートについて解説した。今週は、そのポリシーテンプレートを適用する際の手順について解説する。

ポリシーテンプレートを適用するには、MMC管理ツールを用いる方法と、コマンドプロンプトでseceditコマンドを使用する方法がある。

ポリシーテンプレートの適用(GUI編)

他のコンピュータからコピーしてきた、あるいは手元のコンピュータで作成したポリシーテンプレートは、それだけでは単にテンプレートが存在しているだけで、コンピュータの設定に影響しない。実際にポリシーテンプレートに設定した内容を反映させるには、ポリシーテンプレートの適用操作が必要になる。

まず、[セキュリティの構成と分析]スナップインを使用する方法について解説する。これはMMC.EXEにスナップインを追加して管理ツールを用意する必要があるが、その作業はすでにできているものとする。

  1. [セキュリティの構成と分析]スナップインのツリー画面で[セキュリティの構成と分析]を選択して、[操作]-[データベースを開く]、あるいは右クリックして[データベースを開く]を選択する。

  2. 続いて表示するダイアログで、データベースのファイル名を指定する。名前は自由に指定できるので、後で意味が分かるような名前を入力して[開く]をクリックする。存在しないファイル名を指定すると、新規作成になる。

  3. 続いて表示する画面で、ポリシーテンプレートを選択する。ここでは、適用したいポリシーテンプレートに対応する「*.inf」ファイルを選択して、[開く]をクリックする。

  4. 元の画面に戻ったら、左側のツリー画面で[セキュリティの構成と分析]を選択する。

  5. 選択したポリシーテンプレートの内容を適用する場合には、[操作]-[コンピューターの構成]、あるいは右クリックして[コンピュータの構成]を選択する。

  6. 続いて表示する画面で、ログファイルの出力先を指定する。

  7. ポリシーテンプレートの適用を行う。作業終了後にログの内容を調べて、エラーが発生していないかどうかを確認する。

なお、「5.」で[操作]-[コンピューターの分析]、あるいは右クリックして[コンピューターの分析]を選択して、ポリシーテンプレートの分析だけを行うこともできる。この場合、適用は行わないので、コンピュータの設定も変わらない。ただし、ログは出力するので、ログに関する指定は必要である。

[コンピューターの構成]は、ポリシーを適用する際に選択する

[コンピューターの分析]はポリシー設定を分析するだけで、実際の適用は行わない

ポリシーテンプレートの適用(コマンド編)

続いて、seceditコマンドを使用する方法について解説する。MMCスナップインを使用する場合と同様、ポリシーテンプレートの分析だけを行うことも、分析と適用の両方を行うこともできる。その際に使用するコマンドの構文は以下の通りだ。

・ポリシーテンプレート「hisecws.inf」の内容を検証する :secedit /validate /cfg hisecws.inf

・「hisecws.inf」ファイルを適用して、セキュリティ設定を行う :secedit /configure /db hisecws.sdb /cfg hisecws.inf /overwrite /log hisecws.log

・現在のセキュリティ設定を、データベース「hisecws.sdb」に保存している内容と照合・分析する :secedit /analyze /db hisecws.sdb

以下に、seceditコマンドの構文と引数一覧を示す。分析だけを行うときには「/analyze」、適用まで行うときには「/configure」という違いになる。そのほか、ポリシーテンプレートのインポートやエクスポートも行える。

構文


secedit /configure /db <ファイル名> [/cfg <ファイル名>] [/overwrite][/areas <領域1> <領域2>...] [/log <ファイル名>] [/quiet]

secedit /analyze /db <ファイル名> [/cfg <ファイル名> ] [/overwrite] [/log <ファイル名>] [/quiet]

secedit /import /db <ファイル名> /cfg <ファイル名> [/overwrite][/areas <領域1> <領域2>...] [/log <ファイル名>] [/quiet]

secedit /export [/db <ファイル名>] [/mergedpolicy] /cfg <ファイル名> [/areas <領域1> <領域2>...] [/log <ファイル名>]

secedit /validate /cfg <ファイル名>

secedit /generaterollback /cfg <ファイル名> /rbk <ファイル名> [/log <ファイル名>] [/quiet]

seceditコマンドの引数一覧

引数 解説
/import ポリシーテンプレートをデータベースに取り込む
/validate 取り込んだポリシーテンプレートの内容を検証する
/analyze 現在のシステム設定を、データベースに保存してある設定と照合・分析する。分析結果はデータベースの別の領域に保存して、[セキュリティの構成と分析]で参照可能
/configure データベースに保存したセキュリティ設定を使って、システムを構成する
/export データベースに保存したセキュリティ設定を、別のファイルにエクスポートする
/generaterollback 復元用のロールバックテンプレートを生成する
/db <ファイル名> データベースのファイル名を指定する
/cfg <ファイル名> ポリシーテンプレートのファイル名を指定する
/rbk <ファイル名> ロールバック情報を書き込むセキュリティテンプレートを指定する。そのセキュリティテンプレートは事前に、MMCスナップイン[セキュリティテンプレート]で作成しておく
/overwrite ポリシーテンプレートをインポートする前に、インポート先となるデータベースを空にする。これを省略するとインポートによって設定が累積していく。ただし、インポートした内容とデータベースの内容が競合した場合には、インポートしたテンプレートを優先する
/mergedpolicy ドメインのグループポリシーとローカルセキュリティポリシーのセキュリティ設定を結合して書き出す
/areas <領域1> <領域2>... システムに適用するセキュリティの領域(セキュリティポリシーの設定項目)を指定する。スペースで区切って、同時に複数の指定が可能。省略すると、データベースで定義したセキュリティ設定すべてを適用する
/log <ファイル名> 構成処理のログを出力するファイル名を指定する。省略すると「%windir%\security\logs\scesrv.log」を使う
/quiet ユーザーに確認を求めないで構成処理を行う

引数「areas」で使用する、セキュリティ領域指定の一覧

領域名 対象となる領域
securitypolicy アカウントポリシー、監査ポリシー、イベントログ、セキュリティオプション
group_mgmt 制限されたグループ
user_rights ユーザー権利の割り当て
regkeys レジストリ
filestore ファイルシステムのアクセス許可
services システムサービス

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
1022
2
【連載】にわか管理者のためのWindows Server 2012入門 [56] セキュリティポリシーテンプレートの適用
先週の本連載で、セキュリティポリシーテンプレート(以下「ポリシーテンプレート」)の追加・編集・エクスポートについて解説した。今週は、そのポリシーテンプレートを適用する際の手順について解説する。
https://news.mynavi.jp/itsearch/2015/10/19/windows_server_2012/56_index.jpg
先週の本連載で、セキュリティポリシーテンプレート(以下「ポリシーテンプレート」)の追加・編集・エクスポートについて解説した。今週は、そのポリシーテンプレートを適用する際の手順について解説する。

会員登録(無料)

セキュリティ・キャンプ2017 - 精彩を放つ若き人材の『今』に迫る
ぼくらのディープラーニング戦争
クラウドアンケート
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
人事・経理・総務で役立つ! バックオフィス系ソリューション&解説/事例記事まとめ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る