【 ここから本文 】
OSプラットフォーム
ソーシャルブックマークに登録 :
印刷用ページの表示
Windows Server 2003 SP1とx64 Editionの新機能
新しいセキュリティ機能と64ビット版Windowsのメリットを理解する
(2005年03月10日)
マイクロソフトは今年上半期、サーバ向けOSを大幅に強化すべく、2つのソフトウェアを投入する予定だ。1つはWindows Server 2003のService Pack 1、もう1つはx64 Editionである。前者はWindows Server 2003に大幅なセキュリティ強化を施すアップデート・モジュールであり、後者は64ビット拡張機能を備えたx86アーキテクチャ向けの64ビットOSである。本稿では、この2つの“Windows Server”によって提供される新機能を明らかにする。
谷山俊介
サーバ向けWindowsのロードマップ
| 図1:Window Serverのロードマップ |
 |
初めに、マイクロソフトのサーバ向けWindowsのロードマップを整理しておこう(図1)。
マイクロソフトは、サーバ向けWindowsのメジャー・バージョンアップ版を約4年ごとに、またメジャー・バージョンアップ版のリリースから約2年後にマイナー・バージョンアップ版をリリースすると表明している。したがって、2003年4月(日本語版は同年6月)にリリースされたサーバ向けWindowsの現行バージョン、Windows Server 2003については、マイナー・バージョンアップ版が2005年に、メジャー・バージョンアップ版が2007年にリリースされることになる。実際、マイクロソフトはこのスケジュールどおりに開発が進んでいるとしており、前者はWindows Server 2003 R2、後者はLonghornという開発コード名で呼ばれている。
| 図2:Windows Server 2003の主なFeature Pack |
 |
また、同社はすでに、Windows Server 2003にさまざまな新機能を追加するためのモジュールであるFeature Pack(図2)を無償で提供している。加えて、2005年上半期には、Windows Server 2003の出荷開始以来初のService Packとなる「Windows Server 2003 Service Pack 1」(以下、2003 SP1)を提供する予定だ。同社によると、この2003 SP1には、これまでに提供されたすべての不具合修正モジュールが内包されているほか、後述するさまざまな新機能が含まれているという。なお、昨年12月15日からマイクロソフトのWebサイトにて、2003 SP1のRelease Candidate(リリース候補版)日本語版の無償ダウンロード提供も開始されている。
さらにもう1つ、要注目なのが、2003 SP1と同時期のリリースが予定されているWindows Server 2003 x64 Edition(以下、x64 Edition)の存在である。
x64とは、AMDの64ビット拡張技術であるAMD64を備えたOpteronプロセッサやAthlon 64プロセッサと、インテルの64ビット拡張技術であるEM64Tを備えたXeonプロセッサやPentium 4プロセッサを指している。x64を搭載したサーバ・マシンはすでに複数のサーバ・ベンダーから市場に投入されており、今後発表されるサーバ・マシンの多くもx64を搭載してくるだろう。x64 Editionがリリースされれば、Windows環境の64ビット化が本格的に進むものと期待されている。
以下、本稿では、2003 SP1の新機能とx64 Editionの特徴について説明する。
セキュリティ機能の追加を含むWindows Server 2003 SP1
| 図3:Windows Server 2003 SP1の主な新機能 |
 |
2003 SP1は、これまでに公開された不具合修正のためのパッチを一度に適用できるだけではなく、図3に示すような新機能を備えている。以下、主要な機能について紹介しよう。
■Windows XP SP2で追加されたセキュリティ機能
2003 SP1には、昨年8月に公開された「Windows XP Service Pack 2 セキュリティ強化機能搭載」(以下、XP SP2)において初めて実装されたセキュリティ機能が含まれている。Windowsファイアウォール、RPC(*G1)インタフェースの制限、DCOM(*G2)のセキュリティ強化、データ実行防止機能のDEP(*G3)などがそれである。
ただし、2003 SP1とXP SP2では、セキュリティ関連機能のデフォルト設定が異なっている部分もある。例えば、XP SP2ではWindowsファイアウォールがデフォルトで有効となっているが、2003 SP1の場合はみずから有効にする必要がある。また、DEPについても、XP SP2では「重要なWindowsのプログラムおよびサービスについてのみ有効」となっていたが、2003 SP1では標準で「すべてのプログラムに対して有効」に変更されている。
*G1:RPC……Remote Procedure Callの略。ネットワークを介して異なるマシン上で処理を実行するための手段
*G2:DCOM……Distributed Component Object Modelの略。マイクロソフトが提唱している分散オブジェクト技術の仕様
*G3:DEP……Data Execution Preventionの略。データと見せかけて不正なプログラムをメモリに読み込ませ、強制的に実行させるバッファ・オーバーフロー攻撃からシステムを保護する機能
■セットアップ直後のセキュリティ保護機能
CD-ROMなどのオフライン・メディアからWindowsをインストールした場合、最新の修正パッチを入手するには、インターネットに接続しなければならないことが多い。ところが、修正パッチを入手するためにインターネットに接続した際に、ワームに感染してしまう可能性があるのだ。この問題への対策として考え出されたのがセットアップ直後のセキュリティ保護機能である。同機能は、2003 SP1がインストールされた時点で、Windowsファイアウォールを有効にすることで、インターネット上から最新の修正パッチをダウンロードし、その適用が完了するまでの間、システムを保護してくれる(その後、Windowsファイアウォールが無効にセットされる)。
■セキュリティの構成ウィザード
| 画面1:セキュリティの構成ウィザード |
 |
セキュリティの構成ウィザードは、ウィザード形式の質問に答えていくだけで、最適なセキュリティ・ポリシーを設定してくれる機能である(画面1)。セキュリティを強化するには、不要なサービスをすべて停止することが望ましい。しかし、使用しないTCP/IPポートのブロックやWindowsサービスの無効化、LDAP(Lightweight Directory Access Protocol)やSMB(Server Message Block)などのプロトコルの禁止といった細かな設定を行うには、Windowsやセキュリティに関する深い知識と経験が求められる。このような困難な作業を簡便化してくれるのが同ウィザードなのである。
■リモート・アクセス検疫制御
私用のPCがウイルスやワームに感染しているとは知らずに、社内のネットワークにリモート・アクセスしてしまい、甚大な被害を与えてしまったという例は過去にいくつもある。このようなリスクを回避するための機能が、リモート・アクセス検疫制御である。同機能は、外部からリモート・アクセスを行おうとしているPCの状態を検査し、条件に合致しない場合はリモート・アクセスによる接続を拒否する。
リモート・アクセス時の条件に加えられる項目としては、Service Packやセキュリティ・パッチがインストールされているか、最新のパターン・ファイルを適用したウイルス対策プログラムが稼働中であるか、Windowsファイアウォールが有効になっているか、などがある。さらに、条件に合致しなかったPCを専用のサーバに誘導し、条件を満たすために必要なコンポーネントのインストールを促すこともできる。もちろん、条件に合致する環境を整えてから再度リモート・アクセスを行えば、社内ネットワークへ参加できるようになる。
