必要な役割や機能を選べばセキュリティの構成が完了

△　図をクリックすると拡大されます 図4●サーバーの役割を選択する

　表示を［アンインストールされている役割］または［すべての役割］にすればそのサーバーにまだインストールしていない役割も選択可能である。例えば，セキュリティ・ポリシーを適用対象とは別のサーバーで作り，それを本稼働しているサーバーに適用する，といった使い方もできる。ただし，この場合，未インストールの役割を利用するよう設定しても，セキュリティ構成ウィザードがそのコンポーネントをインストールすることはない。あくまでも，そのサーバーに新たに役割を追加するには，必要なコンポーネントを［プログラムの追加と削除］を使ってインストールする必要がある。

　このように，セキュリティ構成ウィザードのポリシーを作るときに，ベース・ラインとしたサーバーにインストールされていない機能についても設定できるので，社内にあるすべてのサーバーで個別にウィザードを動かさなくても済む。社内のすべてのサーバーに共通のポリシーを1つ作っておきさえすれば，各サーバーに適用するときにインストールされていない機能については無視されるからだ。ポリシーを適用するのは，リモートからも可能である。

△　図をクリックすると拡大されます 図5●サーバーで利用するクライアント機能を選ぶ

　続いて同様に，［クライアントの機能］や［管理オプションとその他のオプション］，［追加のサービス］について選択していく。クライアントの機能には，DHCPクライアントやFTPクライアント，Microsoftネットワーク・クライアントなどが分類されている。各項目——例えばFTPクライアントをクリックすると，それがどのような働きをするか，それに必要なサービスは何か，などの説明が表示される（図5）。管理オプションとその他のオプションなどについても同様だ。サーバーに必要な役割や機能にチェックを入れ，不要な役割やサービスのチェックを外しておく。

△　図をクリックすると拡大されます 図6●ウィザードで変更した内容を確認する

　これらの設定が終わると，［指定されていないサービスの処理］に関する設定画面に移る。この画面では，セキュリティ構成ウィザードに登録されていないサービス——例えば独自開発したサーバー・アプリケーションなどがサーバーで実行されていた場合，それをそのまま動かしておくか，止めるかを指定する。通常はそのまま動かしておく［サービスのスタートアップモードを変更しない］を選んだ方が無難だろう。

　次の画面に移ると，このウィザードで変更した内容が一覧表示される（図6）。ここで，必要なサービスが動くよう設定されているか，不要なサービスは止められるかなど，もう一度内容を確認しておこう。もしも内容を変更する必要がある場合は，前のページに戻って修正する。

サーバー・アプリケーションごとにTCP/IPのポートを設定

△　図をクリックすると拡大されます 図7●TCP/IPのポートに関して，開くか閉じるかを指定する △　図をクリックすると拡大されます 図8●一部のリモート・コンピュータに対してアクセスを許可できる

　ここでも，各ポート番号について，そのポートの使用目的などの説明が表示される。設定方法は次の通りである。

　そのポートを完全に閉じてしまうならば，各ポート番号のチェックを外す。一部のリモート・コンピュータだけから接続を許可する場合は［詳細設定］で，接続を許可するコンピュータを指定する（図8）。ウィザードの画面には，［次のリモートアドレスのみに対してこのポートへのアクセスを制限する］と書かれている。そのため，ここではアクセスを禁止するコンピュータを設定するように思えるが，実際にはアクセスを許可するコンピュータを設定するので注意が必要だ（この点は正式出荷までに修正される可能性がある）。アクセスを許可するコンピュータは，IPアドレス（とサブネット・マスク）またはコンピュータ名で指定する。接続するのに必要な条件として署名または暗号化などを設定可能である。

△　図をクリックすると拡大されます 図9●ウィザードで変更したTCP/IPポートに関する内容を確認する

　なお画面には，このウィザードの中で有効にした役割が使用するポートだけが表示される。例えば，TCPの80番（HTTP）は，「Webサーバー」という役割を選択しなければ表示されない。独自にポート番号を追加するには，［追加］ボタンをクリックし，ポート番号とプロトコル（TCPまたはUDP）を指定する。サーバー・アプリケーション（exeファイル）を指定することでも追加が可能である。exeファイルで指定した場合は，［次の役割が使用するポート］として表示される。

　次の画面に移ると，役割のときと同様に，このウィザードで変更した内容が一覧表示される（図9）。［戻る］で設定の変更が可能だ。

Windowsネットワークの認証方式について設定
　次のセクションは，「レジストリの設定」である。ただし，すべてのレジストリ・キーについて設定するのではなく，対象となるのはWindowsネットワークの認証方式に関するものだけである。このセクションもスキップ可能だ。

　設定する項目は次の3つである。

　(1)はSMB（サーバー・メッセージ・ブロック）のセキュリティ署名に関するものである。相当するレジストリ・キーはHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\lanmanserver\parameters\requiresecuri-tysignatureで，値に0を設定すると無効，1で有効になる。グループ・ポリシーでは，［ローカルコンピュータポリシー］−［コンピュータの構成］−［Windowsの設定］−［セキュリティの設定］−［ローカルポリシー］−［セキュリティオプション］の［Microsoftネットワークサーバー：常に通信にデジタル署名を行う］の項目に当たる。

　セキュリティ署名を利用すると，サーバーとクライアントの両方で，送られてきたメッセージが今通信している相手からのものであることを互いに確認できるようになる。これによって，中継攻撃などを防げる。ただし，これを有効にすると，処理性能が平均で10～15％下がる。CPU使用率が低く，ネットワーク上のセキュリティが重要である場合にのみ有効にするとよいだろう。

△　図をクリックすると拡大されます 図10●SMBのセキュリティ署名に関する設定

　ウィザードの，これに関する画面には2つのチェック・ボックスがある（図10）。このチェック・ボックスを2つともチェックしたときだけ，この項目が有効に設定される。

　(2)と(3)はLAN Manager認証レベルに関するものである。［管理ツール］−［ローカルセキュリティポリシー］の，［ローカルポリシー］−［セキュリティオプション］−［ネットワークセキュリティ：LAN Manager認証レベル］で設定する内容に相当する。どちらも，相当するレジストリ・キーはHKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Control\Lsa\lmcompatibilitylevelと
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\Lsa\nolmhashである。

　ウィザードの(2)の画面には，［ドメインアカウント］，［リモートコンピュータ上のローカルアカウント］，［Windows 95，Windows 98またはWindows Millennium Editionでのファイル共有パスワード］の3つのチェック・ボックスがあり，今設定対象としているサーバーから別のコンピュータにアクセスしたときの認証方法を指定する。

　ウィザードの(3)の画面には［LAN Manager認証を必要とするコンピュータ］と［NTLMv2認証を使用するように構成されていないコンピュータ］の2つのチェック・ボックスがあり，今設定対象としているサーバーに別のコンピュータからアクセスされたときの認証方法を指定する。