先週の本連載で、セキュリティポリシーテンプレート(以下「ポリシーテンプレート」)の追加・編集・エクスポートについて解説した。今週は、そのポリシーテンプレートを適用する際の手順について解説する。
ポリシーテンプレートを適用するには、MMC管理ツールを用いる方法と、コマンドプロンプトでseceditコマンドを使用する方法がある。
ポリシーテンプレートの適用(GUI編)
他のコンピュータからコピーしてきた、あるいは手元のコンピュータで作成したポリシーテンプレートは、それだけでは単にテンプレートが存在しているだけで、コンピュータの設定に影響しない。実際にポリシーテンプレートに設定した内容を反映させるには、ポリシーテンプレートの適用操作が必要になる。
まず、[セキュリティの構成と分析]スナップインを使用する方法について解説する。これはMMC.EXEにスナップインを追加して管理ツールを用意する必要があるが、その作業はすでにできているものとする。
[セキュリティの構成と分析]スナップインのツリー画面で[セキュリティの構成と分析]を選択して、[操作]-[データベースを開く]、あるいは右クリックして[データベースを開く]を選択する。
続いて表示するダイアログで、データベースのファイル名を指定する。名前は自由に指定できるので、後で意味が分かるような名前を入力して[開く]をクリックする。存在しないファイル名を指定すると、新規作成になる。
続いて表示する画面で、ポリシーテンプレートを選択する。ここでは、適用したいポリシーテンプレートに対応する「*.inf」ファイルを選択して、[開く]をクリックする。
元の画面に戻ったら、左側のツリー画面で[セキュリティの構成と分析]を選択する。
選択したポリシーテンプレートの内容を適用する場合には、[操作]-[コンピューターの構成]、あるいは右クリックして[コンピュータの構成]を選択する。
続いて表示する画面で、ログファイルの出力先を指定する。
ポリシーテンプレートの適用を行う。作業終了後にログの内容を調べて、エラーが発生していないかどうかを確認する。
なお、「5.」で[操作]-[コンピューターの分析]、あるいは右クリックして[コンピューターの分析]を選択して、ポリシーテンプレートの分析だけを行うこともできる。この場合、適用は行わないので、コンピュータの設定も変わらない。ただし、ログは出力するので、ログに関する指定は必要である。
 |
[コンピューターの構成]は、ポリシーを適用する際に選択する |
 |
[コンピューターの分析]はポリシー設定を分析するだけで、実際の適用は行わない |
ポリシーテンプレートの適用(コマンド編)
続いて、seceditコマンドを使用する方法について解説する。MMCスナップインを使用する場合と同様、ポリシーテンプレートの分析だけを行うことも、分析と適用の両方を行うこともできる。その際に使用するコマンドの構文は以下の通りだ。
・ポリシーテンプレート「hisecws.inf」の内容を検証する :secedit /validate /cfg hisecws.inf
・「hisecws.inf」ファイルを適用して、セキュリティ設定を行う :secedit /configure /db hisecws.sdb /cfg hisecws.inf /overwrite /log hisecws.log
・現在のセキュリティ設定を、データベース「hisecws.sdb」に保存している内容と照合・分析する :secedit /analyze /db hisecws.sdb
以下に、seceditコマンドの構文と引数一覧を示す。分析だけを行うときには「/analyze」、適用まで行うときには「/configure」という違いになる。そのほか、ポリシーテンプレートのインポートやエクスポートも行える。
構文
secedit /configure /db [/cfg ] [/overwrite][/areas ...] [/log ] [/quiet]
secedit /analyze /db [/cfg ] [/overwrite] [/log ] [/quiet]
secedit /import /db /cfg [/overwrite][/areas ...] [/log ] [/quiet]
secedit /export [/db ] [/mergedpolicy] /cfg [/areas ...] [/log ]
secedit /validate /cfg
secedit /generaterollback /cfg /rbk [/log ] [/quiet]seceditコマンドの引数一覧
| 引数 | 解説 |
|---|---|
| /import | ポリシーテンプレートをデータベースに取り込む |
| /validate | 取り込んだポリシーテンプレートの内容を検証する |
| /analyze | 現在のシステム設定を、データベースに保存してある設定と照合・分析する。分析結果はデータベースの別の領域に保存して、[セキュリティの構成と分析]で参照可能 |
| /configure | データベースに保存したセキュリティ設定を使って、システムを構成する |
| /export | データベースに保存したセキュリティ設定を、別のファイルにエクスポートする |
| /generaterollback | 復元用のロールバックテンプレートを生成する |
| /db | データベースのファイル名を指定する |
| /cfg | ポリシーテンプレートのファイル名を指定する |
| /rbk | ロールバック情報を書き込むセキュリティテンプレートを指定する。そのセキュリティテンプレートは事前に、MMCスナップイン[セキュリティテンプレート]で作成しておく |
| /overwrite | ポリシーテンプレートをインポートする前に、インポート先となるデータベースを空にする。これを省略するとインポートによって設定が累積していく。ただし、インポートした内容とデータベースの内容が競合した場合には、インポートしたテンプレートを優先する |
| /mergedpolicy | ドメインのグループポリシーとローカルセキュリティポリシーのセキュリティ設定を結合して書き出す |
| /areas ... | システムに適用するセキュリティの領域(セキュリティポリシーの設定項目)を指定する。スペースで区切って、同時に複数の指定が可能。省略すると、データベースで定義したセキュリティ設定すべてを適用する |
| /log | 構成処理のログを出力するファイル名を指定する。省略すると「%windir%\security\logs\scesrv.log」を使う |
| /quiet | ユーザーに確認を求めないで構成処理を行う |
引数「areas」で使用する、セキュリティ領域指定の一覧
| 領域名 | 対象となる領域 |
|---|---|
| securitypolicy | アカウントポリシー、監査ポリシー、イベントログ、セキュリティオプション |
| group_mgmt | 制限されたグループ |
| user_rights | ユーザー権利の割り当て |
| regkeys | レジストリ |
| filestore | ファイルシステムのアクセス許可 |
| services | システムサービス |
航空機の技術とメカニズムの裏側 第464回 最近の時事ネタ(17)Open Fanとデジタル・エンジニアリング
