第3回:Windowsファイアウォール設定を一括管理(1/4 ページ)

Windows XP SP2を社内で利用するには、まずアプリケーションの動作検証を行うことが必須になる。だが問題なければ、管理者は興味深いこれら機能をユーザーに使わせたいだろう。Active Directoryのグループポリシーを活用すれば、一括管理が可能だ。

» 2004年09月22日 14時49分 公開
[吉成大知,ITmedia]

 Windows XP SP2は過去のセキュリティパッチをまとめているだけでなく、セキュリティ機能が大幅に追加された。目立つものだけでも、「ネットワークの保護機能」、バッファオーバーランを防ぐ「データ実行防止機能」、電子メールやメッセンジャーなどによるウイルス感染を防ぐ「添付ファイル実行サービス(AES)API」や、受動的攻撃に対するブラウザのセキュリティ機能の強化が含まれる。また、これら機能を管理できるセキュリティセンターをはじめ、ポリシーの機能強化がされている。

 XP SP2を社内で利用するには、まずは社内で使用しているアプリケーションの動作検証を行う必要があるが、問題なければ、管理者は興味深いこれら機能をユーザーに使わせたいであろう。

 しかしその行為自体が、管理者の負担を増加させることがある。ユーザーが利用している時間帯にもかかわらず、管理者が自らおもむいて一台一台設定したり、ユーザーに設定してもらうために「XP SP2導入後のセキュリティ設定マニュアル」を作成し、講習会を開くなどといったことを考えていないだろうか?

 10人20人程度のシステムであれば、このような手法でなんとかなってしまう。だが、50人以上の規模になるとそうはいかない。マニュアルの記述ミスは起こりうるミスであり、管理者自らの設定は管理台数の増加に伴いミスが増加するものである。これらミスはシステムトラブルを発生させ、セキュリティ対策以前に、そもそもシステムが正常に動作せず本末転倒だ。

 Windows 2000 Server以降に備わっているActive Directory(AD)の機能を利用すれば、グループポリシーを活用してWindows XP SP2の最新の機能を一括管理することが可能だ。今回は、このグループポリシーを利用して、Windows XP SP2の最新の機能を一括管理する方法を紹介する。

グループポリシー導入編

 グループポリシーを利用して、SP2の機能を利用する方法は2通りある。「ServerのグループポリシーにADMファイルを読み込ませる」方法と、「ドメインの管理者権限にてログインしたマシンからMMCのグループポリシーオブジェクトエディタを使用して読み込ませる」方法の2つだ。

 前者は、ADが出た時から使用する方法であるが、Microsoftから公開されている資料は少ない。一方、後者は各項目の説明が日本語化されている(画面1、2)

画面1 画面1■ServerのグループポリシーにADMファイルを読み込ませる方法を利用した場合
画面2 画面2■ドメイン管理者権限でログインしたマシンから読み込ませた場合

 しかし、後者の方法では、設定した後、サーバ上のグループポリシーエディタを用いて操作すると、Stringエラーとなってしまう(画面3)。ここでは、この2通りの設定方法を紹介しよう。

画面3 画面3■ドメイン管理者権限でログインしたマシンから読み込ませた場合に出るStringエラーのアラート

注:StringエラーはMicrosoftとしては問題であると認識しているようである。修正プログラム(Windows Server 2003用Windows 2000用)もリリースされている。

サーバのグループポリシーにADMファイルを読み込ませる方法

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ