■2005年上半期提供のWindows Server 2003 Service Pack 1では,Windows XP SP2と同様な機能の強化に加えて,サーバーならではのセキュリティ機能が加わる。最新のベータ版をもとに新機能の情報をまとめた。4回の連載でお届けする。

(山口 哲弘)


新ウィザードなどでもう1ランク上のセキュリティ強化
 コンピュータ・ウイルス(ワーム)によってコンピュータのセキュリティが脅かされる中,セキュリティに対する意識が高まっている。米Microsoftは,2002年1月に「Trustworthy Computing(信頼できるコンピューティング)」と呼ぶ施策を発表し,セキュリティに対する取り組みを強化した。Windows Server 2003は,そのTrustworthy Computingに基づいて開発された最初の製品である。

 ただし,セキュリティに関して大きく設計が見直されたとはいえ,発売以降,いくつかのセキュリティ修正プログラムが出されている。2003年6月の出荷開始からおよそ1年半が経過しており,そろそろ最初のサービス・パックの提供が視野に入ってきた。


△ 図をクリックすると拡大されます
図1●Windows Server 2003 Service Pack 1登場の背景

 Microsoftが発表しているロードマップによると,Windows Server 2003 Service Pack 1(SP1)の提供は,2005年上半期に予定されている。このWindows Server 2003 SP1は,2004年9月に提供が始まったWindows XP Service Pack 2セキュリティ強化機能搭載(SP2)と同様に,単に出荷後に提供されたセキュリティ修正プログラムを集めただけではなく,セキュリティに関する1ランク上の強化がなされる(図1)。



△ 図をクリックすると拡大されます
図2●Windows Server 2003 Service Pack 1で強化される機能

 そこで,ここでは,Windows Server 2003 SP1で強化される機能を,ベータ版を基にいち早く紹介したい。SP1では,図2のように,(1)セキュリティ構成ウィザード,(2)RAS Quarantine Service(リモート・アクセスのネットワーク検疫制御),(3)Post-Setup Security Updates(セットアップ直後のネットワーク保護),(4)TCPやSSLなどの処理性能向上――など,セキュリティの強化に関連した機能が搭載される予定だ。

 まず,セキュリティ構成ウィザードは,サーバーの役割に応じて不要なサービスやアプリケーションを止めたり,TCP/IPのポートを閉めたりするのを,ウィザード形式で実行するツールである。サービス間の依存関係も表示するので,分かりやすい。設定内容をXML(拡張マークアップ言語)ファイルに保存し,別のサーバーに同じ内容を適用することも可能だ。

 一方,リモート・アクセスのネットワーク検疫制御は,リモート・アクセス・クライアントがLANに接続する前に,そのクライアントの設定を検査する機能である。セキュリティ面で弱くなりがちな外部ネットワークからのリモート・アクセス時に重宝する。例えば,最新のセキュリティ更新プログラム(パッチ)を適用しているか,ウイルス対策ソフトの最新定義ファイルがインストールされているかといった,あらかじめ定義した接続要件をリモート・アクセス・クライアントが満たしているかどうかを調べ,要件を満たしていないときにはリモート・アクセス・クライアントからの接続を切断できる。また,要件を満たすために必要なプログラム/データをインストールするための制限付きネットワークにルーティングすることもできる。

Windows XP SP2と同じセキュリティ強化も実装
 Windows Server 2003 SP1では,上記の機能に加えて,Windows XP SP2と同様なセキュリティに関する機能も実装されている。すなわち,Windowsファイアウオール,データ実行防止機能(DEP),RPC/DCOMのセキュリティ強化,ポップアップ・ブロックといったInternet Explorerのセキュリティ強化――などである。


△ 図をクリックすると拡大されます
図3●データ実行防止機能

 ただし,サーバー向けのWindows Server 2003 SP1では,クライアント向けのWindows XP SP2と初期設定などが異なる部分もある。Windowsファイアウオールは,Windows Server 2003 SP1の適用前にあらかじめICF(インターネット接続ファイアウオール)を有効にしておかない限り,標準で無効になる。DEPは,Windows XP SP2では「重要なWindowsのプログラムおよびサービスについてのみ有効」だったのが,Windows Server 2003 SP1では標準ですべてのプログラムに対して有効になる(図3)。つまり,boot.iniファイルに記述する起動オプションが,標準で「/noexecute=optout」になっている。そしてXP SP2のセキュリティ状態を監視する「セキュリティ・センター」は,Windows Server 2003 SP1にはない。

 なお,本記事の内容はベータ版を基にしているため,正式出荷版では仕様が変更になる場合がある。Windows Server 2003 SP1ベータ版は,ベータ・テスト参加者やMSDN(Microsoft Developer Network)の会員など,一部のユーザーに対して既に配布が始まっている。


(『日経Windowsプロ』2004年11月号掲載「速報Windows Server 2003 SP1の新機能」より)