■Windows Server 2003 Service Pack1の新機能の1つに,「セットアップ後のセキュリティ更新」がある。これは,SP1適用済みのインストールCDを使ってクリーン・インストールした後に,Windowsファイアウオールを有効にしてセキュリティ・パッチを適用する機能だ。
■インストール中やインストール直後の,Windows Updateを実行するまでの間にさらされる脅威からシステムを守れる。Windows Server 2003 SP1のWindowsファイアウオールはWindows XP SP2と同じものだが,セキュリティ更新後,無効になる。

(山口 哲弘)


 コンピュータのセキュリティが最も脅かされるのは,Windowsのセットアップ直後だ。セキュリティ更新プログラム(パッチ)が1つも適用されていない状態だからである。パッチを入手するためには,通常,マイクロソフトのWebサイトにアクセスしなければならない。だが,パッチを適用していない状態でインターネットに接続すると,様々なセキュリティ上の脅威にさらされる。


△ 図をクリックすると拡大されます
図1●セットアップ後のセキュリティ更新
 Windows Server 2003 Service Pack 1(SP1)は,OSのセットアップ中から,セットアップ後にWindows Updateを実行するまで,Windowsファイアウオールを自動的に有効にして外部の攻撃から守る「セットアップ後のセキュリティ更新」と呼ぶ仕組みを備えている(図1)。

 有効になるWindowsファイアウオールは,Windows XP SP2に実装されたものと同じ機能だ。コンピュータ外部からのアクセスを基本的にすべて遮断しつつ,Windows Updateのような内部から外部へのアクセスは許可する仕組みだ。これによってセキュリティ・パッチを安全に適用できるようになる。

 セットアップ後のセキュリティ更新は,SP1適用済みのWindows Server 2003インストールCDを使って,クリーン・インストールしたときに有効である。既にWindows Server 2003がインストールしてあり,そこに後からSP1を適用するときには効かないが,セットアップ直後のセキュリティに着目して,それを改善する点で画期的だ。

 連載3回目となる今回は,セットアップ後のセキュリティ更新を中心にWindowsファイアウオールについても説明する。

クリーン・インストールしたときにのみ有効
 最初に「セットアップ後のセキュリティ更新」の具体的な処理内容を説明しよう。

 この機能は,まず,Windowsのインストール時にWindowsファイアウオールを自動的に有効にする。Windowsでは出荷から時間がたつと,いくつかのセキュリティ上のぜい弱性が発見される。実際,Windows Server 2003にもぜい弱性が見つかり,修正パッチが提供されている。だが,インストール中は最新のパッチが適用されていない状態になり,危険にさらされている。そのため,Windowsのセットアップ時は,ネットワーク・ケーブルを物理的に外しているユーザーも多いはずだ。Windows Server 2003 SP1では,インストール中に自動的にWindowsファイアウオールを有効にして外部からのアクセスを遮断するので,安全にセットアップできる。


△ 図をクリックすると拡大されます
図2●セットアップ後のセキュリティ更新が行う処理の内容
 セットアップが完了し,初めて管理者(Administrator)がログオンすると,図1の画面が表示される。ここでは,(1)Windows Updateを実行する,(2)自動更新を設定する——という2つのステップを踏む。これらを確実に実行し,システムが安全な状態になったら[完了]ボタンをクリックする。この時点でWindowsファイアウオールが無効になる。

 以上のような,Windowsのインストール時からのセキュリティを守る一連の機能が,セットアップ後のセキュリティ更新である(図2)。

マイクロソフトは,Windows Server 2003 SP1の出荷後,SP1適用済みのインストールCDを提供する予定である(しばらくは,適用前と適用済みの2種類を併売の予定)。SP1出荷後に,WindowsServer 2003を新規購入すれば,SP1適用済みのインストールCDが手に入る。また,ボリューム・ライセンス契約をしているユーザーは,ディスク・キットを購入することでSP1適用済みのWindows Server 2003インストールCDを入手可能だ。

 何らかの理由でWindows Server 2003を再インストールする場合,Windows Server 2003をインストールし,次にSP1を適用するならば,最初から適用済みのインストールCDを使った方が,セットアップ時間が短くなり,セットアップ後のセキュリティ更新があるので安全である。だが,Windows Server 2003のパッケージ版を購入した既存のユーザーが,SP1適用済みのCDをマイクロソフトから入手する方法はない。

 そこで,パッケージ版を購入したユーザーには,手元にあるWindows Server 2003のインストールCDとSP1を使って,SP1適用済みのインストールCDを自分で作る方法を勧める。