| あなたはActive Directoryドメインの管理者である。あなたは,各部門のメンバー・サーバーのためにセキュリティ・テンプレートを作成し,配布している。各部門のサーバー管理者は,テンプレートに従い適切な設定を行っているはずである。あなたは,社内監査のため,各部門のサーバー設定を監視したい。適切なツールはどれか。2つ選びなさい。 1:SECEDITコマンド 2:[グループポリシーエディタ] 3:[システムポリシーエディタ] 4:[セキュリティの構成と分析]スナップイン 適切なものを2つ選んでください。 正解:1,4 |
社内のコンピュータに統一したセキュリティ設定を行う場合,グループ・ポリシーを使うのが最も効果的だが,「セキュリティ構成エディタ」を利用してセキュリティ設定を構成することもできる。
 図1●[セキュリティの構成と分析]ツールでコンピュータのセキュリティ設定を分析した結果 セキュリティ・テンプレートが推奨するセキュリティ設定と検査したコンピュータの現在の設定内容を並べて表示する。ぜい弱な設定項目が一目で分かる。セキュリティ・テンプレートの使い方はぜひマスターしておきたい。 [画像のクリックで拡大表示] |
このツールは,「現在の設定を分析する」「指定した設定に従ってコンピュータを構成する」という2つの機能を持つ。OU(組織単位)管理者が正しくポリシーを設定しているかどうか,監査する用途にも使える。
セキュリティ構成エディタにはGUI版とコマンド版の2種類がある。GUI版は[セキュリティの構成と分析]スナップインである。メニューに登録されていないので,MMC(Microsoft管理コンソール)のコンソールを起動し,[セキュリティの構成と分析]スナップインを追加して使用する。
[セキュリティの構成と分析]スナップインの使い方は次のようになる。まず,このスナップインを起動したら,[セキュリティの構成と分析]アイコンを右クリックして[データベースを開く]を選択し,構成と分析の結果を保存するデータベース・ファイルを指定する。新しいファイルを指定することもできる。
次に,コンピュータの種類(ドメイン・コントローラやワークステーションなど)ごとに推奨する設定を定義した「セキュリティ・テンプレート」を指定する。このテンプレートに,構成したいセキュリティ設定を指定しておく。
続いて,コンピュータのセキュリティ設定を分析する。[セキュリティの構成と分析]アイコンを右クリックして[コンピュータの分析]を選び,現在のセキュリティ設定とテンプレート(推奨設定)との違いを表示する(図1[拡大表示])。同じメニューから[コンピュータの構成]を選べば,テンプレートの指定通りにセキュリティ項目を設定できる。
コマンド版のセキュリティ構成エディタは「SECEDIT」コマンドである。Windows 2000のSECEDITコマンドはセキュリティの構成を分析するときやグループ・ポリシーの強制適用に利用できたが,Windows XP以降ではグループ・ポリシーの適用処理にGPUPDATEコマンドを使うようになった。
SECEDITでセキュリティを分析する場合,次のコマンドを実行する。
secedit/analyze/db <データベース>
/cfg <テンプレート・ファイル>
コンピュータを構成する場合には,以下のコマンドを実行すればよい。
