セキュリティの構成ウィザード(SCW)の考察
セキュリティの構成ウィザードはWindows Server 2003 SP1より搭載された機能になります。ただしSP1を導入したらすぐに使えるわけではなく自分で追加インストールする必要があることから以外に使われていなかったりするんですよね~
当然、Windows Server 2008にも搭載されています。これはWindows Server 2008をインストールするとすぐに使えます。
このSCWはセキュリティ ポリシーの作成、編集、適用、またはロールバックを表示される手順に従って行うことができます。要するにこのツールの目的は、役割ベースのセキュリティ管理ツールで自動的に使用されていない役割やサービスを無効にしてセキュリティを高めることになります。特徴として、既に50以上の役割があらかじめ用意されていることも利点になります。
Windows Server 2003環境においてのセキュリティ構成を行う場合は、マイクロソフトが用意したセキュリティテンプレートを使うのが一般的になります。これをベースにカスタマイズして使用することにより企業の負担を減らすことが可能になります。SCWではこれらのテンプレートに相当するものがあらかじめ入っているのはいいところですね~
参考
実はWindows Server 2003以前の環境において特にスタンドアロン環境では、「セキュリティの構成と分析」スナップインを使用してセキュリティテンプレートを適用させることが推奨されていました。しかし、これには問題があってロールバックができなかったんです。ということは一旦適用させたセキュリティテンプレートは元に戻すことができないということになります。これを元に戻すにはあらかじめNtbackupツールを使用してシステムをバックアップしておき、それを復元するしかありません。
企業においては、カスタマイズしたセキュリティテンプレートを作成したのちテストを繰り返して本番環境に適用させますがこのテストがやりずらかったというのが現状になります。
通常は、ドメイン環境でテストしたのちスタンドアロン環境に適用させるなどの手段を取っていたのではないでしょうか?ドメイン環境ならばGPOのリンクを外すことにより容易にロールバックができるからです。
そこでWindows Server 2003 SP1よりSCWが追加されました。そしてWindows Server 2008でも機能強化されて搭載されています。
Windows Server 2008においては役割に基づいたサーバーマネージャーにより必要なものだけをインストールするのでそもそもSCWを使用する機会は減るかもしれません。ただし、次のようなことを考える管理者にとっては有用なツールになります。
- セキュリティに関して重要度が高い
SCWを使用することによって本当に必要な役割と機能を構成することができる - さまざまなコンポーネントの関係を理解する
SCWは役割、機能、サービス、NWポート間の関係が記載されてxmlファイルを吐き出す
またマイクロソフトの動向を探ってみると、SCWに対応したxmlファイルの配布を行っているので、今後はこのSCWが主流になるような気がします(例えばExchange 2007を導入するとExchange2007.xmlが入っている)。
ではGPOを使用してのセキュリティの割り当ては無くなるのか?これはノーです。どちらかというと、棲み分け的にはドメイン環境では相変わらずGPOを使用し、スタンドアロン環境ではSCWという使い方になると思われます。
さて、ここで問題になってくることは今までGPOを使用してベースラインセキュリティを各サーバーに適用させていた企業があります。当然ながらスタンドアロン環境においてもそのベースラインセキュリティを適用させたいと考えます。その場合は該当するセキュリティテンプレートの.infファイルをSCWに取り込むことができます。
その逆はどうでしょうか?
SCWで作成した.xmlファイルをドメイン環境で使用したいという場合はどうするのか?実はこれもできるんです。SCWで作成した.xmlファイルをGPOに変換することが可能です。
scwcmd transform /p:<ポリシーファイル名>.xml /g:<GPOの表示名>
ただし注意しなくてはいけないのが、SCWとセキュリティテンプレートは完全なイコールではないということです。この点は移行時に考慮する必要があります。
セキュリティ設定の優先順位
では2つ一緒に使用した場合にはどうなるのか?これは次のことを覚えておく必要があります。
- ADベースのGPOはSCWより優先
- GPO間の優先順位はscwcmdで設定されたポリシーに依存しない。よって今まで通りL-S-D-OUという順番。
- SCWのxmlとそれに添付したinfは競合の場合SCWのxmlが優先。
- SCWのxmlに添付した複数のinfは上位に表示されているものが優先。
まとめ
Windows Server 2008になって少々影が薄くなったSCWですが、これを使用することによってかなりセキュアな環境を簡単に作成することができます。特にすごいのは、サービス関連ですかね~。現在使用しているサービスと使用していないサービスをほとんど正確に導き出してくれるのはGoodです。
管理者でセキュリティを重視した管理を行う方はぜひ一度お試しあれ