マイクロソフトは2005年上半期に，WindowsServer 2003 Service Pack 1（SP1）の提供を開始する予定である。SP1は，単にそれまでに公開されたセキュリティ更新プログラムを集めただけではなく，次のような機能が追加される。

　これらの機能を利用するとサーバーをより安全に保てるが，使い方を間違えるとそれまでサーバーで提供していた機能がクライアントから使えなくなってしまう。そこで本連載では，いち早くWindows Server 2003 SP1で追加される機能の仕組みや使い方を説明する。Windows Server 2003SP1の提供が始まってからあわてないよう，今から準備しておこう。

　また，SP1と同時にAMD64/Intel EM64T対応の64ビット版OSである「Windows Server 2003x64 Edition」が出てくる。連載の途中で，x64Editionについても触れる予定だ。

　なお，Windows Server 2003 SP1およびWindowsServer 2003 x64 Editionは，2004年11月現在，MSDN（Microsoft Developer Network）の会員やベータ・テスターなど一部のユーザーに対して，テクニカル・ベータ版が配布されている。12月中には，パブリック・ベータ版が一般のユーザーに対しても広く配布される予定である。

ウィザード形式で不要なサービスを止める
　連載の初回となる今回は，セキュリティ構成ウィザードを取り上げる。

　サーバーの安全性を高める基本は，不要なサービスを止め，極力TCP/IPのポートを閉じることである。動かすサービスや開けるポートは必要最低限にしたい。だが，Windowsで動作しているサービスの中には，ほかのサービスから利用されているものもある。TCP/IPのポートに関しても，すべてのサービスやプロトコルについて，それぞれ何番ポートを使っているかを詳細に把握しておくのは困難だ。むやみにサービスを止めてしまったり，ポートを閉じてしまったりすると，必要な機能まで利用できなくなってしまう。

　Windows Server 2003 SP1が新たに備えるセキュリティ構成ウィザードには，(1)ファイル・サーバーやWebサーバーなど主なサーバーの役割，(2)それぞれの役割が利用するサービスやポートなどの情報，(3)サービス間の依存関係——などがあらかじめ登録されている。ウィザードの画面に従って，サーバーに必要な役割や機能，サービスなどを選べば，不要なサービスを止め，使わないポートを閉められる。

　ウィザードの途中では，各種サービスの内容，それが使用するサービスやTCP/IPのポート番号などを表示する。ネットワークのサービスやプロトコルに精通していなくても，設定は簡単で確実にできる。さらに，一度設定した内容（セキュリ ティ・ポリシー）をXML（拡張マークアップ言語）形式のファイルに保存し，別のサーバーにそれを適用できる。OSを新規インストールしたときに，自動的に適用することも可能だ。

　また，セキュリティ構成ウィザードの情報はXML形式のファイルに書かれている。これを編集することで，独自に開発したサーバー・アプリケーション/サービスについても，ウィザードで設定できるようになる。

△　図をクリックすると拡大されます 図1●セキュリティ構成ウィザードのインストール

プログラムの追加と削除で別途インストール
　セキュリティ構成ウィザードを利用するには，Windows Server 2003 SP1のインストール後，別途，コントロール・パネルの［プログラムの追加と削除］−［Windowsコンポーネントの追加と削除］でインストールする必要がある（図1）。インストールが完了すると，［管理ツール］に［セキュリティ構成ウィザード］が追加されるはずだ。

△　図をクリックすると拡大されます 図2●セキュリティ構成ウィザード

　セキュリティ構成ウィザードの一般的な使い方は次の通りである。ウィザードを起動したら，最初に次の4項目—— (1)新たにセキュリティ・ポリシーを作る，(2)既存のセキュリティ・ポリシーを編集する，(3)既存のセキュリティ・ポリシーを適用する，(4)一度適用したセキュリティ・ポリシーをロールバックする（元に戻す）——の中からどれか1つを選択する（図2）。ここでは新たにセキュリティ・ポリシーを作るので，(1)を選ぶ。(2)または(3)を選んだときは，既に作ってあるセキュリティ・ポリシー（XMLファイル）を選択する。(4)を選んだときは，ロールバックするサーバーを選んだ後，ロールバックが始まる。つまり，リモートからの遠隔操作も可能である。

　図2で［新たにセキュリティ・ポリシーの作成］を選んだときは，次に，これから作るセキュリティ・ポリシーのベース・ラインとするサーバーを選ぶ。Windows Server 2003 SP1が適用されているリモートのマシンも選択可能だが，通常はローカル・マシンを選ぶことになるだろう。サーバーを選ぶと，そのサーバーで動作しているサービスなどが調べられ，「セキュリティ構成データベース」に格納される。

△　図をクリックすると拡大されます 図3●セキュリティ構成データベース

　このデータベースには，ASP.NETやDHCP（動的ホスト構成プロトコル）サーバーといった(1)サーバーの役割，DHCPクライアントやFTP（ファイル転送プロトコル）クライアントといった(2)クライアントの機能，コンピュータ・ブラウザなどの(3)サービス，(4)TCP/IPのポート，(5)アプリケーション，(6)管理とそのほかのオプション——という6項目の分類により，それがどのような内容で，インストールされているかどうか，実行されているかどうか，という情報が格納されている。一覧表示も可能だ（図3）。DHCPサーバーのように，中には役割とサービスといった複数の項目に同じ情報が表示されるものもある。また，Windows Server 2003の標準機能だけでなく，Exchange ServerやSQL Serverなどのサーバー・アプリケーションについても調べる。