【解説】
Windows Server 2008への完全移行「6つの重要チェック」

最新サーバOSの実力を120％引き出すための勘所

（2008年05月16日）

Check 2
セキュリティ機能の変更点を理解する
パスワード・ポリシーの変更やUACでユーザーが戸惑わないために

　Windows Server 2008におけるセキュリティ関連の変更点としては、Administratorにデフォルト設定されたパスワード・ポリシーが挙げられる。Windows Server 2003 R2以前は、ドメイン構成でのみ要求されていた「パスワードは複雑さの要件を満たす必要がある」ポリシーが、ワークグループでもデフォルトで要求されるようになる。

　そのほか、大きな変更点としては、「ユーザー・アカウント制御（UAC）」機能の追加がある。UACは、Windows Vistaで新たに追加されたセキュリティ機能で、管理者権限を持つユーザーであっても、通常は一般ユーザーの権限でプログラムが実行され、管理者権限が求められる操作には、権限を昇格するための対話的な“許可”が必要になる。

　UACは、Administratorでログオンした場合は動作しないが、他のユーザーの場合は、「Administrators」や「Domain Admins」グループのメンバーであっても、その対象となる。こうした点は、アプリケーションがバックグラウンドで特権タスクを自動実行するようなケースで多少面倒なことになるかもしれない。

　Windowsファイアウォールについても、Windows Server 2008ではデフォルトで有効になっており、インストール直後の状態ではすべての着信トラフィックがブロックされる（画面1）。加えて、「セキュリティが強化されたWindowsファイアウォール」が採用されているため、「着信の規則」「発信の規則」に基づき、着信／発信トラフィックを制御可能である。

画面1：Windows Server 2008では、Windowsファイアウォールがデフォルトで有効。「セキュリティが強化されたWindowsファイアウォール」スナップインで構成する

　さまざまなネットワーク・サービスを提供するWindows Server 2008では、ファイアウォールの構成が一見難しそうであるが、実際はそんなことはない。Windows Server 2008の各種機能で必要になる規則は事前に定義されており、各種ウィザードを利用してインストールすれば、標準的な許可設定が自動的に行われる。

　Windowsコンポーネントについては、Windowsファイアウォールの規則が自動構成されるが、リモート管理系の規則は手動で構成する必要がある。Windows Server 2008に搭載されている「MMC（Microsoft管理コンソール）」スナップイン・ベースの各種管理ツールは、そのほとんどがリモート管理に対応しているが、リモートからの接続要求は基本的にWindowsファイアウォールでブロックされてしまう。そのため、管理対象によっては、Windowsファイアウォールだけでなく、管理用サービスでリモート管理を有効にしなければ、リモートから接続できないケースもある。

前のページへ < ｜1｜2｜3｜4｜5｜6｜ > 次のページへ