にわか管理者のためのWindowsサーバ入門

【第92回】セキュリティの構成ウィザード(SCW)の概要

今回から複数回に分けて、「セキュリティの構成ウィザード」を取り上げることにしよう。名称が長いので、以後はSCW(Security Configuration Wizardの略)と表記する。このSCWを利用できるWindowsサーバのバージョンは、以下の通りである。

• Windows Server 2003(SP1以降)
• Windows Server 2003 R2
• Windows Server 2008
• Windows Server 2008 R2

SCWでできること

SCWとは、セキュリティ対策を講じるために必要な各種の設定を一括して行うツールである。サーバのセキュリティ対策においては、そのサーバがどういう環境で、どういう用途のために使われているかによって適切な対応策に違いが生じると考えられるが、それをSCWによって自動的に行うことで、重大な取りこぼしを避ける役に立つと考えられる。

SCWは、適用対象となるサーバで有効になっている役割(用途)に関する情報をもとに、何を有効にするかあるいは無効にするかを判断して、然るべき設定を適用する仕組みになっている。例えば、不必要なサービスの停止、不必要なポート番号をリッスン(着信)しないようにするためのファイアウォール設定、セキュリティ強化に必要なレジストリ設定変更、監査ポリシーの設定、個別のサーバ機能に関する設定変更といった具合である。

SCWが行う設定に関する情報は、「セキュリティポリシーファイル」(以下ポリシーファイル)と呼ばれるXML文書ファイルに保存する。ポリシーファイルの作成と適用を一気に行うことも、とりあえずポリシーファイルの作成だけ行うことも、既存のポリシーファイルを指定して適用だけ行うこともできる。他のコンピュータからポリシーファイルを持ってきて適用することもできるので、複数のサーバに対して同じ設定を確実に適用する際には、手作業で行うより確実性が高く、有用である。

また、ポリシーファイルの適用に際してはロールバック機能があるので、直近に適用した設定変更を取り消して、元の設定に戻すこともできる。ただし、遡れるのは一段階だけである。

なお、SCWを実行する方法は他の管理ツールと同じで、[スタート]メニューの[管理ツール]以下に[セキュリティの構成ウィザード]というアイテムがあるので、それを選択すればよい。

Windows Server 2003ではコンポーネント追加が必要

ところで、Windows Server 2003(SP1以降)の初期状態ではSCWを組み込んでいないので、まずSCWを追加する作業が必要になる。

それには、[コントロールパネル]の[プログラムの追加と削除]で[Windowsコンポーネントの追加と削除]をクリックする。続いて、コンポーネント一覧で[セキュリティの構成ウィザード]のチェックをオンにして続行する。これにより、SCWの利用が可能になる。

Windows Server 2003(SP1以降)でSCWを利用するには、コンポーネントの追加が必要