Win 2003でセキュリティ構成ウィザードを改善する方法

セキュリティ設定ウィザードを使用すると、グループポリシーを使用して同じ役割を果たす複数の対象サーバーに適用できる役割に基づいて、サーバーのセキュリティポリシーを簡単に作成または変更できます。回復の目的でSCWを使用してポリシーを以前の構成にロールバックすることもできます。 SCWを使用すると、サーバーのセキュリティ設定を必要なセキュリティポリシーと比較して、システム内の脆弱な構成を確認できます。セキュリティ構成ウィザードを使用すると、

初めてこのツールを実行する場合は、サーバーを用意する必要があります（グループ内の各サーバーには、役割が異なるため異なるセキュリティポリシーがあります）。ウィザードでは、サーバーとクライアントを含むサーバーの役割のリストを確認できます。たとえば、SMS 2003サーバーを実行しているサーバーと、SMS 2003クライアントをインストールしている他のマシンがあるとします。サーバーの役割を選択します。 BITS（バックグラウンドメッセージングサービス）、ブラウザ、ブラウザ管理、リモートデスクトップ、AQLサーバープロキシなどの管理サービスを許可するかどうかを選択できます。マイクロソフトはサーバー上で可能性のあるすべてのサービスを提供することはできません。そのため、ウィザードには、一覧に含まれていないサービスを "無視"または "制限"するオプションもあります。

サービスに加えて、ウィザードではTCP /IPポートを有効または無効にすることもできます。このツールを使用して、指定したTCP /IPポートへのログインからコンピュータまたはIPアドレスのセットを制限することもできます。たとえば、ネットワークライセンスを管理する人だけにリモートデスクトップを使用した接続の作成を許可する場合は、サブネットのポートを3389に制限できます。

ポリシーを変更して、SMBファイルの処理と印刷に影響を与えることができます。たとえば、サーバーに十分な容量がある場合、すべてのSMBトラフィックをマークし、クライアントの両側からの攻撃を防ぐことができます。同じ方法を使用してLDAPトラフィックをマーキングすることもできます。このポリシーでは、Windows 2000 SP3以降を実行しているすべてのクライアントは、ネットワーク上のLDAP情報を保護するのに役立つように指示されています。

その他の分野：

監査設定：監査が可能かどうかを判断し、成功したログインまたは成功したアクティビティと失敗したアクティビティを監査します。

IIS：どのIIS拡張をアクティブにする必要がありますか？たとえば、ASP.NET 1.1、ASP.NET 2.0、Server Side Includes、WebDAVなどです。どの仮想ディレクトリをアクティブにする必要がありますか？たとえば、IISAdminファイルのログインディレクトリをブロックすることができます。

簡単に言うと、セキュリティ設定ウィザードには極端な傾向があり、 "適切な"状態に調整するのにはかなりの時間がかかりますが、セキュリティ効果には非常に有益です。 Windows Server 2003 SP1およびR2では、マイクロソフトは、Windows Server 2003システムで実行されているプログラムを特定するのに役立つ新しいツールを構成し、攻撃の可能性を減らしました。つまり、セキュリティ構成ウィザードを使用して、システム全体を監視し、不要な機能を停止することができます。