先週の本連載で、セキュリティポリシーテンプレート(以下「ポリシーテンプレート」)の追加・編集・エクスポートについて解説した。今週は、そのポリシーテンプレートを適用する際の手順について解説する。

ポリシーテンプレートを適用するには、MMC管理ツールを用いる方法と、コマンドプロンプトでseceditコマンドを使用する方法がある。

ポリシーテンプレートの適用(GUI編)

他のコンピュータからコピーしてきた、あるいは手元のコンピュータで作成したポリシーテンプレートは、それだけでは単にテンプレートが存在しているだけで、コンピュータの設定に影響しない。実際にポリシーテンプレートに設定した内容を反映させるには、ポリシーテンプレートの適用操作が必要になる。

まず、[セキュリティの構成と分析]スナップインを使用する方法について解説する。これはMMC.EXEにスナップインを追加して管理ツールを用意する必要があるが、その作業はすでにできているものとする。

  1. [セキュリティの構成と分析]スナップインのツリー画面で[セキュリティの構成と分析]を選択して、[操作]-[データベースを開く]、あるいは右クリックして[データベースを開く]を選択する。

  2. 続いて表示するダイアログで、データベースのファイル名を指定する。名前は自由に指定できるので、後で意味が分かるような名前を入力して[開く]をクリックする。存在しないファイル名を指定すると、新規作成になる。

  3. 続いて表示する画面で、ポリシーテンプレートを選択する。ここでは、適用したいポリシーテンプレートに対応する「*.INF」ファイルを選択して、[開く]をクリックする。

  4. 元の画面に戻ったら、左側のツリー画面で[セキュリティの構成と分析]を選択する。

  5. 選択したポリシーテンプレートの内容を適用する場合には、[操作]-[コンピュータの構成]、あるいは右クリックして[コンピュータの構成]を選択する。

  6. 続いて表示する画面で、ログファイルの出力先を指定する。

  7. ポリシーテンプレートの適用を行う。作業終了後にログの内容を調べて、エラーが発生していないかどうかを確認する。

なお、「5.」で[操作]-[コンピュータの分析]、あるいは右クリックして[コンピュータの分析]を選択して、ポリシーテンプレートの分析だけを行うこともできる。この場合、適用は行わないので、コンピュータの設定も変わらない。

[コンピュータの構成]は、ポリシーを適用する際に選択する。[コンピュータの分析]はポリシー設定を分析するだけで、実際の適用は行わない

ポリシーテンプレートの適用(コマンド編)

続いて、seceditコマンドを使用する方法について解説する。MMCスナップインを使用する場合と同様、ポリシーテンプレートの分析だけを行うことも、分析と適用の両方を行うこともできる。その際に使用するコマンドの構文は以下の通りだ。

ポリシーテンプレート「hisecws.inf」の内容を検証する

secedit /validate /cfg hisecws.inf

「hisecws.inf」ファイルを適用して、セキュリティ設定を行う

secedit /configure /db hisecws.sdb /cfg hisecws.inf /overwrite /log hisecws.log

現在のセキュリティ設定を、データベース「hisecws.sdb」に保存している内容と照合・分析する

secedit /analyze /db hisecws.sdb

以下に、seceditコマンドの構文と引数一覧を示す。分析だけを行うときには「/analyze」、適用まで行うときには「/configure」という違いになる。そのほか、ポリシーテンプレートのインポートやエクスポートも行える。

構文

secedit /configure /db [/cfg ] [/overwrite][/areas ...] [/log ] [/quiet] secedit /analyze /db [/cfg ] [/overwrite] [/log ] [/quiet] secedit /import /db /cfg [/overwrite][/areas ...] [/log ] [/quiet] secedit /export [/db ] [/mergedpolicy] /cfg [/areas ...] [/log ] secedit /validate /cfg secedit /generaterollback /cfg /rbk [/log ] [/quiet]

seceditコマンドの引数一覧

引数 解説
/import ポリシーテンプレートをデータベースに取り込む
/validate 取り込んだポリシーテンプレートの内容を検証する
/analyze 現在のシステム設定を、データベースに保存してある設定と照合・分析する。分析結果はデータベースの別の領域に保存して、[セキュリティの構成と分析]で参照可能
/configure データベースに保存したセキュリティ設定を使って、システムを構成する
/export データベースに保存したセキュリティ設定を、別のファイルにエクスポートする
/generaterollback 復元用のロールバックテンプレートを生成する
/db データベースのファイル名を指定する
/cfg ポリシーテンプレートのファイル名を指定する
/rbk ロールバック情報を書き込むセキュリティテンプレートを指定する。そのセキュリティテンプレートは事前に、MMCスナップイン[セキュリティテンプレート]で作成しておく
/overwrite ポリシーテンプレートをインポートする前に、インポート先となるデータベースを空にする。これを省略するとインポートによって設定が累積していく。ただし、インポートした内容とデータベースの内容が競合した場合には、インポートしたテンプレートを優先する
/mergedpolicy ドメインのグループポリシーとローカルセキュリティポリシーのセキュリティ設定を結合して書き出す
/areas ... システムに適用するセキュリティの領域(セキュリティポリシーの設定項目)を指定する。スペースで区切って、同時に複数の指定が可能。省略すると、データベースで定義したセキュリティ設定すべてを適用する
/log 構成処理のログを出力するファイル名を指定する。省略すると「%windir%\security\logs\scesrv.log」を使う
/quiet ユーザーに確認を求めないで構成処理を行う

引数「areas」で使用する、セキュリティ領域指定の一覧

領域名 対象となる領域
securitypolicy アカウントポリシー、監査ポリシー、イベントログ、セキュリティオプション
group_mgmt 制限されたグループ
user_rights ユーザー権利の割り当て
regkeys レジストリ
filestore ファイルシステムのアクセス許可
services システムサービス