前回から、「セキュリティの構成ウィザード」(以下SCW: Security Configuration Wizard)を取り上げているが、今回は、新規設定する際の手順がテーマだ。
現行製品であるWindows Server 2008を想定プラットフォームとして、ポリシーファイルの新規作成について解説する。Windows Server 2003はSCWを後から追加する必要があるが、その方法は前回で取り上げているので、そちらを参照していただきたい。
ポリシーファイルの新規作成手順(1)
SCWを実行する方法は他の管理ツールと同じで、[スタート]メニューの[管理ツール]以下に[セキュリティの構成ウィザード]というアイテムがあるので、それを選択する。なお、以下の手順によって作成したポリシーファイルの内容をその場で適用することも、作成と保存だけで適用は後回しにすることもできる。
(1) [スタート]-[管理ツール]-[セキュリティの構成ウィザード]を選択して、SCWを起動する。
(2)ウィザード2画面目で、これから実行する操作を選択する。新規作成の場合、[新しいセキュリティ ポリシーの作成]を選択して[次へ]をクリックする。
(3)ウィザード3画面目で、適用対象となるサーバを指定する。既定値は、現在作業中のサーバである。他のコンピュータに適用する際は、ログオン中のユーザーが相手側コンピュータに対する管理者権限を持っている必要がある。
(4)続いて、セキュリティ構成データベースの処理を行う。作業が完了すると表示される画面で[構成データベースの表示]をクリックすると、サーバの役割一覧などを確認できる。この確認画面では、役割の名称をクリックすると説明文が展開するので、よく分からない項目があったときには確認しておくようにしたい。
(5) [次へ]をクリックすると、サービスに関する設定を行うウィザードに遷移する。そのウィザードの2画面目で、適用対象となるサーバで動作させる役割(サーバ機能)のチェックボックスをオンにする。この時、[表示]リストボックスで[インストールされている役割]を選択すると、チェックがオンになったものだけが表示される。逆に、[インストールされていない役割]を選択するとチェックがオフになったものだけが表示される。既存の役割を外す時は前者、役割を追加する時は後者を利用するとよい。
(6)次の画面で、クライアントとしての機能の選択を行う。こちらは、他のコンピュータに接続して何かをするための機能を選択する画面である。この画面の使い方は「5.」と同様なので、解説は割愛する。
(7)次の画面で、管理機能(管理オプションとその他のオプション)に関する役割の選択を行う。この画面も使い方は(5)と同様だが、[表示]リストボックスの内容が(5)(6)とは異なり、機能分野別の選択になっている。
(8)次の画面で、追加のサービスに関する選択を行う。この画面も、使い方は(5)と同様である。
(9)次の画面で、SCWの適用対象一覧に含んでいないサービスについて、スタートアップモードを変更するかどうかを指定する。通常は[サービスのスタートアップ モードを変更しない]を選択する。サードパーティー製のサーバ製品に関連するサービスを勝手に止めないための配慮から、こういう仕様になっている。
(10)次の画面で、スタートアップモードを変更するサービスの一覧を表示する。現在の状況と変更後の状況を並べて表示しており、それを参考にして、どれとどれが変更の対象になるのかを確認する。なお、リストボックスで[変更されるサービス]を選択すると、変更対象になるサービスだけを表示するので、確認が容易になる。
ポリシーファイルの新規作成手順(2)
続いて、ネットワークセキュリティの設定を行うウィザードに遷移する。手順は連続しているので、ナンバリングは前項の追番としている。なお、ウィザード初期画面でウィザードの実行をスキップするよう指示することもできる。
(11)ウィザードの初期画面に続く2画面目で、ファイアウォール関連の設定変更について確認する。ここの動作はWindows Server 2003とWindows Server 2008で違いがある。
Windows Server 2008 →有効にするWindowsファイアウォールの規則一覧を表示する。[表示]リストボックスの選択肢は、[すべての規則][選択された役割からの規則][SCWのユーザーによって追加された規則][SCWによって自動生成された規則][追加制約付きの規則]の5種類。
Windows Server 2003 →リッスン対象となるポートの一覧を表示する。[表示]リストボックスの選択肢は、[すべてのポート][制限されるポート][制限されないポート][セキュリティが必要なポート][セキュリティを要求するポート]の5種類。なお、「制限」とはファイアウォールによって阻止するという意味、セキュリティとはIPsecを利用するという意味である。
(12)この画面では、[追加]をクリックすると表示するダイアログで、任意の規則、ポート、あるいは特定のアプリケーションを一覧に追加できる。アプリケーションの追加は、同じプロトコルを利用するアプリケーションが複数あり、その中の一部にだけ通信を許可したい場合に使用する。
(13)Windows Server 2003では次の画面で、リッスン対象となるポート番号と、それに対応するプロトコルの一覧を表示する。Windows Server 2008では、この画面は出てこない。
続いて、レジストリに関する設定を行うウィザードに遷移する。手順は連続しているので、ナンバリングは前項の追番としている。なお、ウィザード初期画面でウィザードの実行をスキップするよう指示することもできる。
(14)最初の画面は、SMB(Server Message Block)デジタル署名を利用するかどうかを指定するものである。既定値では有効になっているが、SMBデジタル署名を利用できないOSを使用している場合には、無効にする必要がある。
(15)次の画面で、LDAP(Lightweight Directory Access Protocol)署名を利用するかどうかを指定する。Windows 2000 SP2以前のOSが共存している場合は、LDAP署名を無効化する必要がある。既定値は無効だが、Windows 2000 SP3以降のOSしか存在しない場合は有効にしておくほうがよい。
(16)次の画面で、サーバの認証方法を指定する。既定値では[ドメインアカウント]にだけチェックが入っているので、Active Directoryで認証を受けたユーザー以外は接続を拒否する。しかし、クライアントPCのローカルアカウント、あるいはWindows 9x/Meのパスワードファイルを使って認証を受けたユーザーも、チェックをオンにすると接続を許可できる。この設定変更が必要になるのは、ワークグループ環境とドメイン環境が共存している場合である。
(17)次の画面で、ドメインアカウントの認証に使用するNTLM認証の種類を設定する。既定値はNTLM v1対応だが、より堅固なNTLMv2を有効にすることもできる。Windows Server 2003では[選択したサーバーのクロックと同期しているクロック]チェックボックスをオンにすると、続いて表示する画面でNTLMv2使用の可否を指定できるようになる。もっとも、Windows 2000/XP/Vista/7とWindows Server 2003/2008ではNTLM認証ではなくKerberos v5認証を使用するので、ここの設定は変更しなくてもよいだろう。
(18)次の画面で、ここまで設定してきたレジストリ関連の変更項目一覧を表示する。変更対象となるレジストリキーを表示しているので、念のために確認しておくほうが良い。
続いて、監査ポリシーの設定を行うウィザードに遷移する。手順は連続しているので、ナンバリングは前項の追番としている。なお、ウィザード初期画面でウィザードの実行をスキップするよう指示することもできる。
(19)最初にシステムの監査ポリシーを設定するが、既定値では成功のアクティビティだけを監査する設定になっている。監査対象を増やすと、セキュリティログの内容がどんどん増える可能性がある点に注意。
(20)次の画面で、その他の項目も含めた監査設定の一覧を表示する。
(21)Windows Server 2003でIISを使用している場合、この次にIISの設定を行うウィザードに遷移する。IISのセキュリティを強化して、不要な機能、あるいはファイルを削除するもので、Windows 2000 Server用に提供していたIIS Lockdown Toolに相当する。具体的な機能は以下の通り。
○利用可能な機能の選択→ IIS管理ツールで設定する[Webサービス拡張]と同じ内容で、その中から実際に利用する機能だけを有効にする。
○仮想ディレクトリの一覧→利用する仮想ディレクトリのチェックだけをオンにして、それ以外はオフにする。
○匿名ユーザーによるファイル書き込みの可否→既定値はオフで、書き込みは認めません。必要に応じて変更する。
○変更項目一覧の確認
(22)最後の作業として、ここまで設定してきた内容をポリシーファイルとして保存するための指定を行う。保存するファイルのパスに加えて、ポリシーファイルの説明を指定できる。このとき、[セキュリティポリシーの表示]をクリックすると、設定したポリシーの内容を確認できる。
(23)最後に、作成したポリシーをその場で適用するか、後で適用するかを選択する。[後で適用する]を選択すると、ポリシーファイルを出力するだけで適用は行わない。そして[次へ]をクリックすると、ポリシーファイルの出力と、(指示した場合には)適用を行う。