▼マイクロソフトは4月19日,製品の出荷以来,初のサービス・パックとなる「Windows Server 2003 Service Pack 1(SP1)」を公開した。
▼SP1は,セキュリティ強化のための機能を多く含むのが特徴。Windows XP SP2に含まれていたもののほか,サーバー独自のセキュリティ機能も盛り込んだ。
▼サーバーの運用を考慮してWindowsファイアウオールをデフォルトでオフにするなど,SP1はXP SP2とは異なる面がある。適用には十分な検証が必要だ。

表1●Windows Server 2003 Service Pack 1(SP1)の主な変更点
図1●CD-ROMからのWindows Server 2003 SP1をインストールする手順
CD-ROMを挿入するとWebページが自動的に開き,[ここ]をクリックするとインストールできる。不具合が発生したときにサービス・パックをアンインストールできるよう,インストールの過程で必ずシステム・ファイルのバックアップを作成する。
図2●セキュリティ構成ウィザードのインストール方法
[プログラムの追加と削除]から[Windowsコンポーネントの追加と削除]を選択し,[Windowsコンポーネントウィザード]で[セキュリティの構成ウィザード]を選択。[次へ]をクリックして,インストールを進める。
図3●セキュリティ構成ウィザードの設定画面
[コントロールパネル]−[管理ツール]ー[セキュリティ構成のウィザード]を選択して,ウィザード画面を開く。サーバーの役割選択(左)や,開くポート(右)を選択して,設定する。
表2●Windows Server 2003 Service Pack 1に含まれている主な修正項目
各項目は,Webブラウザで「http://support.microsoft.com/kb/文書番号」と入力すると,詳細情報を閲覧できる。修正項目の一覧は,http://support.microsoft.com/kb/824721を参照。
 マイクロソフトは4月7日,Windows Server 2003 Service Pack 1(SP1)日本語版の開発完了を発表した。ダウンロードは同社のWebサイト◆1で4月19日から開始されている。Windows Small Business Server 2003用のSP1も準備中で,6月までに公開される。

 Windows Server 2003 SP1は,セキュリティを強化するための様々な機能を盛り込んだ(表1[拡大表示])。これらには,2004年9月に公開されたWindows XP Service Pack 2(SP2)と同様の機能に加え,Windows Server 2003向けの独自機能も含まれている。このほか,Windows Server 2003出荷以降のセキュリティ修正プログラムを一括して提供する。マイクロソフトは「SP1により信頼性,基本性能,セキュリティが向上する」とメリットを説明し,SP1の適用を訴えている。

インストール前に情報を収集

 SP1はCD-ROMで入手するほか,マイクロソフトのダウンロード・センター,Windows Updateのサイトからダウンロードできる。以下では最終評価版のCD-ROMを使って,SP1をインストールする流れを見てみよう。

 まず,CD-ROMを挿入するとWebページが自動で開く(図1[拡大表示])。自動で開かない場合は,「AUTORUN.HTM」をダブル・クリックする。開いたWebページでは,SP1をインストールする前準備として,Webサイトで公開している最新情報を参照するよう呼びかけている。

 参照すべきWebサイトは,Microsoft TechNetでSP1を紹介しているサイト◆2とサポート技術情報のサイト◆3である。SP1の既知の問題についてはサポート技術情報の文書番号889101,必要なハードディスク容量については892807,SP1に収録されている修正プログラムについては824721にそれぞれ記述してある。

 さらに,アプリケーションやデバイスの動作情報も確認しておく必要があるだろう。マイクロソフトはWebサイトの「Application Guide for Windows Server 2003◆4」で,これらの情報を公開している。4月中旬時点ではStandard Editionの場合,データベースや会計ソフトなど113件が登録されていた。

 こうした最新情報を確認した後,SP1のCD-ROMから開いたWebページのリンクをクリックし,開いた画面で[開く]をクリックすると,使用許諾契約書への同意を経てインストールが始まる。

セキュリティ向上の新機能を設定

 SP1ではXP SP2と同様に,アプリケーションから必要とされる以外のすべての外部からの着信接続を遮断するWindowsファイアウオール機能を備えている。ただしXP SP2とは異なり,デフォルトではオフになっているため,SP1の適用直後にアプリケーションが動作しなくなるなどの影響は出にくいだろう。SP1の適用後にトラブルが発生したときは,SP1で実施されたRPC(リモート・プロシージャ・コール)やDCOM(分散COM)の仕様変更が影響しているかもしれない。

 アプリケーションの動作に影響を与えず,ファイアウオールを適切に設定できるのが,SP1で追加された「セキュリティの構成ウィザード」である。セキュリティ構成ウィザードのインストールは,[コントロールパネル]から[プログラムの追加と削除]を開き,[Windowsコンポーネントの追加と削除]を選択(図2[拡大表示])。[セキュリティの構成ウィザード]を選択して,[次へ]をクリックしてインストールを進める。

 インストール後は,[コントロールパネル]−[管理ツール]−[セキュリティ構成のウィザード]を選択すると,サーバーの役割や開くポートを選択するウィザードが開く(図3[拡大表示])。ウィザードに従って設定を進めていくだけで,Windowsファイアウオールによって,必要でないポートを閉じて受信不可にする,といった設定ができる。必要のないサービスを停止する設定も同時にできる。

 もう1つの新機能として,リモート・アクセス接続するクライアント・パソコンを検疫する機能があるが,これは簡単には利用できない。SP1では新しいサービスとして「リモート・アクセス検疫サービス」が追加されたが,この設定とは別にVPN(仮想プライベート・ネットワーク)サーバーを設置したり,接続してきたクライアント・パソコンに最新のパッチが適用されているかどうかを調べるスクリプトを記述したりするなどの作業が必要になる。

 リモート・アクセス検疫サービス自体は,図2で示した[Windowsコンポーネントウィザード]の[ネットワークサービス]を選択し,[詳細]から[リモート・アクセス検疫サービス]を選択して,インストールする。検疫のためのスクリプトは,マイクロソフトのWebサイト◆5にあるサンプルが参考になるだろう。

約200項目の修正を一括して提供

 SP1では,Windows Server 2003が2003年6月に出荷されてから公開された212項目の修正パッチが,一括して提供されている(表2[拡大表示])。セキュリティ関連の項目が最も多く,3月9日に公開された修正までを含めて50件ある。

 そのほか,COM+やネットワークなどでもセキュリティを強化するための修正が目立つ。例えば,バッファ・オーバーラン(オーバーフロー)を阻止するものや,ネットワーク経由のプログラム・コード実行を阻止するものなどである。

 SP1を適用済みのWindows Server 2003のCD-ROMが登場したときは,「セットアップ後のセキュリティ更新」機能への注意が必要になる。この機能は,OSをインストールしている間,ファイアウオール機能をオンにして,外部からの通信を遮断するものである。最新のセキュリティ更新プログラムが適用されるまでは,ファイアウオールがオンになっているので,アプリケーションの動作に影響が出る可能性がある。

(坂口 裕一)