セキュリティの構成ウィザード (SCW) を使用すると、セキュリティ ポリシーを作成、編集および適用できます。ポリシーが期待どおりに機能しない場合は、最後に適用したセキュリティ ポリシーをロールバックすることもできます。
SCW に含まれるコマンド ライン ツール Scwcmd を使用すると、さまざまなタスクを実行できます。詳細については、
新しいセキュリティ ポリシーを作成する
サービス、セキュリティが強化された Windows ファイアウォール、監査ポリシーの設定、および特定のレジストリ設定を構成するセキュリティ ポリシーを作成できます。セキュリティ ポリシーは .xml ファイルであり、ポリシーの編集や適用は SCW で実行できます。ポリシーは、Scwcmd コマンド ライン ツールを使用して、グループ ポリシー オブジェクト (GPO) に変換できます。一度 SCW を開始しても、すべてのセクションを同じセッションで完了する必要はありません。セクションをスキップするには、未完了の各セクションの最初にある [このセクションをスキップする] チェック ボックスをオンにしてポリシーを保存し、後で SCW を使ってポリシーを編集します。セクションの一部を構成した後で [このセクションをスキップする] チェック ボックスをオンにすると、加えた変更は適用も保存もされません。スキップされたセクションの設定は、セキュリティ ポリシーを編集し、それらの設定を構成するまで未定義のままです。
既存のセキュリティ ポリシーを編集する
SCW で既に作成したセキュリティ ポリシーは編集することができます。編集するセキュリティ ポリシーの場所を参照する前に、[既存のセキュリティ ポリシーの編集] をクリックする必要があります。編集するポリシーは、ローカルに保存することもネットワーク上に保存することもできます。SCW で編集できるのは、拡張子 .xml のポリシー ファイルです。拡張子 .inf のセキュリティ テンプレートは SCW では編集できません。
手動によるセキュリティ ポリシーの編集はサポートされていません。SCW で作成したセキュリティ ポリシーは、SCW で編集する必要があります。
既存のセキュリティ ポリシーを適用する
SCW でセキュリティ ポリシーを作成したら、テスト サーバーや運用環境に適用することができます。Scwcmd コマンド ライン ツールを使用すると、複数のサーバーに同じポリシーを適用できます。また、scwcmd transform コマンドでは GPO を作成できます。SCW を使用して適用できるのは、.xml 形式のセキュリティ ポリシーのみです。
選択したサーバーが Active Directory ドメインのメンバーである場合、ドメイン ベースの GPO セキュリティ ポリシーが SCW で直接設定したレジストリ設定よりも優先されます。これを防ぐには、scwcmd transform を使用して GPO を作成し、その GPO を Active Directory ドメイン サービス (AD DS) で適用します。
SCW でレジストリ値を構成する方法については、「レジストリの設定」を参照してください。
重要 | |
新しく作成または変更したセキュリティ ポリシーは、実際の運用環境に導入する前にテストを行うことを強くお勧めします。テストを行うことで、新しいポリシーが運用環境で互換性に関する問題などの予期しない問題を起こす可能性を最小限に抑えることができます。 |
最後に適用されたセキュリティ ポリシーをロールバックする
SCW でセキュリティ ポリシーを適用した後、サーバーの機能低下やその他の好ましくない結果が発生した場合は、そのセキュリティ ポリシーが今後サーバーに適用されないようにロールバックすることができます。ただし、ポリシーの適用後に、そのポリシーがローカル セキュリティ ポリシーで編集されている場合、編集された内容は元に戻すことができず、最新の設定内容として残ります。
サービスおよびレジストリ値については、構成時に変更された設定をロールバック処理で復元できます。セキュリティが強化された Windows ファイアウォールについては、ロールバック処理を行うと、現在有効なすべての SCW ポリシーが削除され、構成時に有効になっていた以前のポリシーが適用されます。