|
不要なサービスをオフにしてセキュリティを高く保つ
セキュリティ構成ウィザードは,Windows Server 2003で動作する各種アプリケーションやサービスを,ウィザード形式でオン/オフするツールである。今でもWindows Server 2003に標準で備わっている管理ツールの[サービス]を使ってサービスの動作を制御したり,ルーティングとリモート・アクセス(RRAS)やインターネット接続ファイアウオール(ICF)を利用してTCP/IPのポートの開け閉めは可能だ。ただしそのためには,サーバーで動作させるアプリケーション/サービスに対する深い理解が必要である。
セキュリティ構成ウィザードは,どのアプリケーション/サービスがインストールされていて,それぞれがTCP/IPのどのポートを利用するか,別のどのアプリケーション/サービスを利用するかを一覧表示する。管理者はそれを見ながら,目的のアプリケーション/サービスだけを動かし,不要なTCP/IPポートを閉められる。一度設定した内容を,XML形式のセキュリティ・ポリシーとして保存でき,それを使って別のサーバーに同じ設定が可能である。
セキュリティ構成ウィザードの操作の具体的な手順は次の通りだ。
まず,これから作るセキュリティ・ポリシーの基本となるサーバーを指定する。通常はローカル・マシンのコンピュータ名を指定することになるだろう。すると,セキュリティ構成ウィザードが現在のサーバーの設定内容を調査し,その情報を「構成データベース」に格納する。構成データベースには,(1)DHCP(動的ホスト構成プロトコル)サーバーやファイル・サーバーといった「サーバーの役割」,(2)FTP(ファイル転送プロトコル)クライアントやMicrosoftネットワーク・クライアントといった「クライアントの機能」,
(3)分散ファイル・システムやインデックス・サービスといった「サービス」,(4)TCP/IPのポート番号,(5)アプリケーション,(6)ファイル・レプリケーションやメッセンジャーといった「管理とそのほかのオプション」――の6種類に分類してデータが格納される。一覧表示も可能だ(図4)。
サーバーの役割ごとに機能のオン/オフを選択
次に,サーバーの役割に基づいて必要なサービスを構成する。DFS(分散ファイル・システム)サーバー,ファイル・サーバー,プリント・サーバーといった役割の中から,必要な役割を選ぶ。その際,サーバーに既にインストールされている役割の中から選んだり,インストールされていない役割の中から選んだり,まだインストールされていないものも含めたすべての役割の中から選んだりできる。このときも,各役割を選ぶとどういう機能が利用できるようになるかという説明が表示されるので分かりやすい(図5)。クライアントの機能,管理オプションとその他のオプションについても,同様に選択する(図6)。
次に,TCP/IPのポート番号ごとに,開くかどうかを選択する。標準で,先ほど選択したサーバーの役割に必要なポート番号が表示されるが,任意のポート番号も追加できる。各ポート番号には,サーバーの役割のときと同様に,そのポートを利用するプロトコル名や,どのようなときに使われるかといった説明が表示される(図7)。
IISの役割についても設定可能
セキュリティ構成ウィザードでは,IIS(Internet Information Services)の役割についても設定できる。IISは,単なるHTTP(ハイパーテキスト転送プロトコル)のホスティングだけでなく,アプリケーション・サーバーとしての役割や,拡張機能も備えている。例えばASP(Active Server Pages)やASP.NET,FrontPage Server Extensions,WebDAV(Webによる分散オーサリングおよびバージョン管理)などだ。それらの各機能を個別にオン/オフできる(図8)。不要な機能を無効にしておくことで,セキュリティをより強固にできる。
IISの拡張機能は,専用の管理ツールである[インターネット・インフォメーション・サービス(IIS)マネージャ]でも制御できるが,セキュリティ構成ウィザードを使えば,セキュリティ・ポリシーとしてその内容をXMLファイルに保存できる。
ほかにもIISに関しては,(1)仮想ディレクトリの有効/無効の制御,(2)匿名ユーザーによるアクセスの拒否――についても設定可能だ。
| 
