監査ポリシーとIISについても同様に設定
　セキュリティ構成ウィザードの残りのセクションは，［システム監査ポリシー］と［インターネットインフォメーションサービス］（IIS）の2つである。どちらもスキップ可能だ。IISに関する設定画面は，このウィザードで役割としてWebサーバーを選択しなければ表示されない。

　システム監査ポリシーのセクションでは，ユーザーのログオン/ログオフ，ファイルやフォルダへのアクセス，ユーザー・アカウントの管理などについて，イベント・ログを残すかどうかを設定する。ウィザードの画面で選択できるのは，(1)監査しない，(2)成功のアクティビティを監査する，(3)成功と失敗のアクティビティを監査する——の3つのオプションのいずれかである。デフォルトでは(2)になる。

△　図をクリックすると拡大されます 図11●監査ポリシーの設定

　これらは，管理ツールの［ローカルセキュリティポリシー］や［ドメインコントローラセキュリティポリシー］などで設定するのと同じ内容である（詳細はこちら）。ただし，管理ツールを使った場合には，複数ある監査項目のそれぞれについて，成功，成功と失敗，監査しない——のいずれかを選べるのに対して，セキュリティ構成ウィザードではすべての項目について成功，成功と失敗，監査しない——のいずれかを一度に設定する。個別には設定できない（図11）。また，［特権の使用］については設定しない。

ここで監査するよう設定した場合は，監査対象のイベントが発生するたびにログに記録される。その内容は，イベント・ビューアの［セキュリティ］セクションで閲覧できる。

　一方，IISに関する設定内容は3種類ある。

△　図をクリックすると拡大されます 図12●Internet Information Servicesの動的コンテンツ提供用Webサービス拡張の設定

　1つ目は，ASPやWebDAV（Webによる分散オーサリングおよびバージョン管理）といったIISによる動的コンテンツを提供するための，Webサービス拡張の各サービスを動かすか止めるかである。これは，管理ツールの［インターネットインフォメーションサービス（IIS）マネージャ］で設定する内容に相当する。例えば，ASPやWebDAVのほか，FrontPage Server Extensions2002などが表示される（図12）。必要なサービスだけをチェックし，不要なサービスを止めるようにしよう。

　2つ目は，［IISAdmin］といったこれまでのIISで使われていた仮想ディレクトリ（レガシーな仮想ディレクトリ）のうち，残しておくものを設定する。不要な仮想ディレクトリを残したままにしておくと，情報漏えいの原因にもなりやすい。必要セキュリティ構成ウィザードな仮想ディレクトリだけにチェックを入れ，不要なものは削除したい。デフォルトではすべてがチェックされておらず，すべてのレガシーな仮想ディレクトリが削除される。

　最後の3つ目の画面では，Webサーバー（IIS）に対する匿名ユーザーの書き込みアクセスを許可するか禁止するかを設定する。［コンテンツファイルへの匿名ユーザーの書き込みアクセスを拒否する］というチェック・ボックスが1つあり，チェックしたときに匿名ユーザーでは，閲覧は可能だが，書き込みができなくなる。匿名ユーザーによる閲覧も拒否するには，［インターネットインフォメーションサービス（IIS）マネージャ］で別途設定する必要がある。

設定した内容をXMLファイルに保存
　以上のすべての設定が終わると，その内容（セキュリティ・ポリシー）をXMLファイルに保存するのでファイル名を指定する。その次の画面では，セキュリティ・ポリシーを，後で適用するか，今すぐ適用するかを選べる（デフォルトは後で適用）。今すぐ適用を選択すれば，その場で適用される。

　後で適用を選択したときには，このウィザードの最初の画面（図2）で，［既存のセキュリティポリシーの適用］オプションを使って適用できる。適用対象は，ローカル・マシンだけでなく，リモート・マシンでも構わない。リモート・マシンのコンピュータ名を指定したときは，そのリモート・マシンにログオンするためのユーザー・アカウントも指定できる。

独自アプリケーションの設定をセキュリティ構成ウィザードに登録
　以上のように，セキュリティ構成ウィザードを使えば，Windows Server 2003が標準で備えている機能や，SQL ServerやExchange ServerといったMicrosoft製のサーバー・ソフトに関しては，簡単に設定できる。独自アプリケーションについても，セキュリティ構成ウィザードにあらかじめ役割情報を登録しておけば，同様に設定可能だ。最後に，独自アプリケーションの役割情報を，セキュリティ構成ウィザードに登録する方法を説明する。

　セキュリティ構成ウィザードは，役割やサービスに関する情報をXMLファイルとして備えている。そのXMLファイルは，％WINDIR％\security\msscw\kbsフォルダ内に格納されている。％WINDIR％はWindowsのシステム・フォルダを表し，標準でC:\WINDOWSである。

　独自の役割を追加するには，まずkbreg.xmlファイルに役割名（任意）を登録する。そして，その役割名をファイル名としたXMLファイルに実際の情報を記述する。具体的には次の通りだ。

△　図をクリックすると拡大されます 図13●セキュリティ構成ウィザードの役割情報を格納したkbreg.xmlファイルの内容

　まず，kbreg.xmlに独自の役割を登録する。ここでは「MyCustomService」とした。各役割名は，タグの項目に，タグを使って記述する。既に，「BizTalk」や「Exchange」など11項目が登録されているので，12番目に追加した（図13）。

　次に，同じフォルダにMyCustomService.xmlと，MyCustomServiceLoc.xmlという2つのファイルを作る。これらのファイルには，kbreg.xmlに登録した役割名と同じファイル名を付ける必要がある。

　MyCustomService.xmlには，(1)役割の種類と名前，(2)デフォルトでその役割を使うかどうか，(3)この役割に必要なサービス，(4)この役割が利用するTCP/IPのポート—— などを記述する（図14）。一方のMyCustomServiceLoc.xmlには，ウィザードの画面に表示する説明をタグを使って記述する（図15）。

△　図をクリックすると拡大されます △　図をクリックすると拡大されます 図14●独自アプリケーションが利用するサービスなどを記述したXMLファイルの内容 図15●ウィザードの画面に表示する説明を記述したXMLファイルの内容

△　図をクリックすると拡大されます 図16●独自に追加登録した役割がセキュリティ構成ウィザードで表示された

　このようにXMLファイルを作ってからウィザードを起動すると，図16のように独自アプリケーションに関する情報がウィザード表示される。