エクスポート (0) 印刷
すべて展開

"Windows XP Service Pack 2 セキュリティ強化機能搭載" での機能の変更点 - 第 2 部 : ネットワーク保護技術

 

最終更新日: 2004年8月6日

本文書は「Windows XP Service Pack 2 での機能の変更点」の第 2 部であり、同時に Windows XP Service Pack 2 に含まれているネットワーク保護技術の詳細説明を提供しています。続きは Microsoft ダウンロード センター (http://www.microsoft.com/downloads/details.aspx?FamilyId=77B9C4E0-9812-42EE-A973-DE5B8F23951C&displaylang=ja) から入手できます。

この暫定版ドキュメントは、Windows XP Professional および Windows XP Home Edition の 32 ビット バージョン用 Microsoft® Windows® XP Service Pack 2 (SP2) に適用されます。なお、Service Pack 2 の最終リリースに含まれるすべての変更が、説明されているわけではありません。

トピック
Alerter と Messenger サービス Alerter と Messenger サービス
Bluetooth Bluetooth
クライアント管理ツール クライアント管理ツール
DCOM セキュリティの強化 DCOM セキュリティの強化
RPC インターフェイスの制限事項 RPC インターフェイスの制限事項
WebDAV リダイレクタ WebDAV リダイレクタ
Windows ファイアウォール Windows ファイアウォール
Windows Media Player Windows Media Player
Windows Messenger Windows Messenger
ワイヤレス プロビジョニング サービス ワイヤレス プロビジョニング サービス
ワイヤレス ネットワーク セットアップ ウィザード ワイヤレス ネットワーク セットアップ ウィザード

Alerter と Messenger サービス

Alerter と Messenger の機能

Alerter と Messenger は、Windows のコンポーネントであり、これを使えばネットワーク上のコンピュータ間で簡単なメッセージをやりとりできます。Messenger サービスは別のアプリケーションやサービスからのメッセージを中継しますが、Alerter サービスは管理上の警告を促すことに特化したサービスです。

この機能の適用対象

ユーザーとのコミュニケーションがある管理者は、このようなサービスに対する変更を把握しておくことをお勧めします。また、このようなサービスを利用してユーザーにイベント通知を行い、ネットワークにメッセージを配信している開発者も、このような変更を把握しておくことをお勧めします。このような変更は Microsoft Windows XP Service Pack 2 が動作するすべてのコンピュータに適用されますが、影響を受けるのはネットワークに接続されているコンピュータだけです。

Windows XP Service Pack 2 で変更された既存機能

Alerter と Messenger サービスの無効化

詳細説明

Windows の以前のバージョンでは、Messenger サービスは自動的に開始されますが、Alerter サービスは手動で起動する設定になっています。Windows XP Service Pack 2 では、このサービスは両方とも無効状態に設定されます。このサービスに対するこれ以外の変更はありません。

この変更の重要性 - 軽減される脅威

このサービスが開始されると、ネットワーク接続を許すことになり、攻撃対象を提供します。これによりセキュリティ リスクが高まります。また、現在のコンピューティング環境では、このようなサービスが使われることはあまりありません。サービスが攻撃対象を増やしていること、および一般的に利用されることがあまりないことから、既定で無効化されています。

動作が異なるか停止する機能依存関係の存在

ユーザーとのコミュニケーションを行う目的で Alerter や Messenger サービスを使用しているアプリケーションやサービスは、既定では正常に動作しません。

これらの問題の解決法

この問題を解決するには 2 通りの方法が考えられます。推奨される方法は、ソフトウェアを修正し、ユーザーとのコミュニケーションに別の方法を使用することです。これにより、Alerter や Messenger サービスを使わずに、強化されたセキュリティの中でユーザーとコミュニケーションすることができます。

もう 1 つの方法は、Alerter や Messenger サービスを利用する前に、あらかじめアプリケーションでそのサービスを起動しておくことです。サービスの起動に関する情報は、オンライン ヘルプと MSDN で見つけることができます。例が必要であれば、http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/management/
svrxpser_2.mspx
(英語) にあるマイクロソフトの Web サイトの「Using the Services Administrative Tool to Configure Services (サービス管理ツールの使用によるサービスの設定、英語)」を参照してください。

Windows XP Service Pack 2 で動作させるためにコードの修正が必要か?

Messenger または Alerter サービスを使うコードがある場合には、そのコードを変更する必要があります。詳細については、上記の「これらの問題の解決法」を参照してください。

Bluetooth

Bluetooth の機能

Bluetooth®ワイヤレステクノロジは、モバイルデバイス接続用の低コスト、短距離ワイヤレス仕様です。Bluetooth ワイヤレステクノロジは Windows XP Service Pack 2 に含まれています。このサポートはこれまでマイクロソフトから直接的には、提供されていませんでした。このテクノロジを Windows オペレーティング システムのコア技術として追加して欲しいという要望が顧客より寄せられたため、現在は含められています。

このリリースでは、次のことができるようになります。

・  

Bluetooth デバイスのコンピュータへの接続

・  

Bluetooth のキーボードとマウスを使ったワイヤレス デスクトップの作成

・  

Bluetooth デバイスとのファイル送受信

・  

Bluetooth プリンタへの印刷

・  

Bluetooth モバイルフォンからコンピュータ ネットワークまたはインターネットへの接続

・  

Bluetooth モバイル フォンを通じたインターネットへのインターネット プロトコル (IP) 接続の設定

マイクロソフトまたはサードパーティから適切なソフトウェアプログラムが提供されていて、Windows XP にインストールされていれば、Bluetooth デバイスに対して次のような操作を行うことができます。

・  

Bluetooth モバイルフォンや PDA (Personal Digital Assistant) との連絡先とカレンダーとの同期

・  

GPS 受信機からの座標読み出し

このリリースでは、次のような Bluetooth プロファイルもサポートしています。

・  

PAN (Personal Area Networking)。Bluetooth ワイヤレス技術との IP 接続で使用

・  

HCRP (Hard Copy Replacement Profile)。印刷で使用

・  

HID (Human Interface Device)。Bluetooth キーボード、マウス、およびジョイスティックで使用

・  

DUN (Dial-Up Networking)。Bluetooth モバイル フォンのモデム機能で使用

・  

OPP (Object Push Profile)。ファイル転送で使用

・  

仮想 COM ポート (SPP)。レガシー プログラムの Bluetooth デバイスとの通信で使用

さらに、次の Bluetooth 機能が追加されています。

・  

セレクティブサスペンド。USB (Universal Serial Bus) 接続の Bluetooth トランシーバによる電力消費の節約

・  

ブートモードキーボード。ある特定の構成に基づいた Bluetooth キーボードの BIOS 変更画面での使用

システムに Bluetooth トランシーバが存在していない場合には、システム動作に変更はありません。WHQL (Windows Hardware Quality Labs) が承認している Bluetooth デバイスが存在する場合には、Bluetooth サポートが有効になります。

Bluetooth サポートが有効になっている場合には、コントロール パネルの [ネットワーク接続] に [パーソナル エリア ネットワーク]が追加されています。また、[Bluetooth デバイス] というコントロール パネル項目も追加されています。タスク バーの通知エリアにも Bluetooth アイコンができています。このアイコンをクリックすると、Bluetooth 関連作業の実行可能メニューが表示されます。さらに、[スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に[アクセサリ] をポイントして、[通信] を選択して、[Bluetooth ファイル転送ウィザード] を選択することでも、Bluetooth ファイル転送ウィザードを新規に開始できます。

マイクロソフト以外の Bluetooth ドライバが既にインストールされている場合には、Windows XP Service Pack 2 にアップグレードしても既存のドライバを置き換えることはしません。後から手作業またはプログラムで置き換えることができます。

Windows XP Service Pack 2 の Bluetooth に関する完全なドキュメントについては、オンラインヘルプを参照してください。

クライアント管理ツール

クライアント管理ツールの機能

クライアント管理ツールは MMC (Microsoft Management Console) スナップインを集めたもので、ローカルおよびリモートコンピュータ上のユーザー、コンピュータ、サービス、およびその他のシステムコンポーネントの管理に利用できます。また、これらのスナップインが管理目的で使用する、システムに組み込まれたダイアログ ボックスが 2 つあります。[ユーザー、コンピュータ、またはグループの選択] と [ユーザー、連絡先、およびグループの検索] の 2 つです。[ユーザー、コンピュータ、またはグループの選択] は、共有フォルダにアクセス制御リスト (ACL) を設定する際に使用し、リモート コンピュータを指定しスナップインが管理する対象を変更して管理するか、またはローカル ユーザーとグループを管理します。[ユーザー、連絡先、およびグループの検索] は、マイ ネットワークで Active Directory を検索し、プリンタの追加ウィザードでプリンタを検索し、Active Directory ユーザーとコンピュータ スナップインでディレクトリ内のオブジェクトを探すのに使用します。

両方のダイアログボックスとも、ローカルコンピュータまたは Active Directory から、ユーザー、コンピュータ、プリンタ、およびその他のセキュリティプリンシパルのようなオブジェクトの検索と選択に利用されます。別のアプリケーションでもこのダイアログ ボックスを利用できますが、ここではクライアント管理ツールへの変更点だけを説明します。

この機能の適用対象

この機能は、影響がある以下の管理ツールを使い、遠隔地から Windows XP を管理する必要がある管理者向けに適用されるものです。このツールをローカル コンピュータの管理に利用している管理者とユーザーは影響を受けません。

Windows XP Service Pack 2 で変更された既存機能

リモート接続性

詳細説明

ここで挙げた管理ツールがリモートコンピュータに接続するには、リモートコンピュータ側で TCP ポート 445 からネットワークトラフィックが入ってくるように設定する必要があります。ただし、Windows XP Service Pack 2 における Windows ファイアウォールの既定の設定では、TCP ポート 445 からのネットワーク トラフィックをブロックしています。結果的に次のようなエラー メッセージを受け取る可能性があります。以下のようなメッセージを受け取る場合には、例として挙げているメッセージ内で斜体で表記されている箇所は、エラー状態に応じて適切なシステム変数と置き換えられます。

・  

コンピュータ Computer_Name. にアクセスできません。エラーは「アクセスが拒否されました」でした。

・  

コンピュータ Computer_Name. にアクセスできません。エラーは「ネットワークパスが見つかりませんでした」でした。

・  

Computer_Name 上のグループポリシーオブジェクトを開くことができませんでした。適切な権利がない可能性があります。

・  

詳細 : ネットワーク パスが見つかりませんでした。

・  

次の名前のオブジェクト (コンピュータ) が見つかりません : "Computer_Name"。選択したオブジェクトのタイプと場所の正確さをチェックし、オブジェクト名を正しく入力したことを確認するか、または選択対象からこのオブジェクトを削除します。

・  

Computer_Nameという名前のコンピュータは管理できません。ネットワークパスが見つかりませんでした。別のコンピュータを管理するには、[別のコンピュータへ接続] を [操作] メニューから選びます。

・  

システムエラー 53 が発生しました。ネットワークパスが見つかりませんでした。

リモート管理に次の MMC スナップインを使えば、このようなエラーが発生する可能性があります。

・  

証明書

・  

コンピュータ管理

・  

デバイス マネージャ

・  

ディスク管理

・  

イベント ビューア

・  

グループ ポリシー

・  

インデックス サービス

・  

IP セキュリティ モニタ

・  

IP セキュリティ ポリシー

・  

ローカル ユーザーとグループ

・  

リムーバブル記憶域管理

・  

ポリシーの結果セット

・  

サービス

・  

共有フォルダ

・  

WMI 制御

MMC スナップイン以外に、次のダイアログ ボックスと管理ツールが影響を受けます。

・  

ユーザー、コンピュータ、またはグループの選択

・  

ユーザー、連絡先、およびグループの検索

・  

Net.exe

これらの問題の解決法

Windows ファイアウォールを有効にした Windows XP を動作させているコンピュータにリモート接続する目的で、このツールを使用するには、リモートコンピュータ上でファイアウォールの TCP ポート 445 を開く必要があります。これは以下の手順で行います。

1.

[スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に [アクセサリ] をポイントし、[コマンドプロンプト] をクリックします。

2.

コマンドプロンプトから、「netsh firewall set portopening TCP 445 ENABLE」と入力し、Enterキーを押します。

注 : ファイアウォールポートを開くことは、セキュリティの脆弱性になり得ます。設定変更については注意深く計画し、テストしてから行ってください。

DCOM セキュリティの強化

DCOM の機能

Microsoft コンポーネント オブジェクト モデル (COM) は、対話可能なバイナリ ソフトウェア コンポーネントを作成するための、プラットフォームに依存しない分散型のオブジェクト指向システムです。分散コンポーネント オブジェクト モデル (DCOM) では、開発者とアプリケーションにとって最も適切な場所に、アプリケーションを分散させることが可能になります。DCOM ワイヤ プロトコルは、COM コンポーネント間に、信頼性が高く、安全で効率のよい通信のサポートを透過に提供します。詳細については、「Component Object Model (コンポーネント オブジェクト モデル)」 (http://www.microsoft.com/isapi/gomsdn.asp?target=/library/en-us/dnanchor/html/componentobjectmodelanchor.asp) (英語) を参照してください。

この機能の適用対象

このセクションでは、インプロセスCOM コンポーネントから COM を使用するだけの場合については想定していません。

この機能は、以下の条件の 1 つに該当する COM サーバーアプリケーションがある場合が対象となります。

・  

アプリケーションへのアクセス許可は、実行に必要な許可ほど厳格ではない。

・  

アプリケーションは通常は、リモート COM クライアントによって管理者アカウントなしで、Microsoft Windows XP が動作しているコンピュータ上でアクティブ化される。

・  

既定ではアプリケーションは、Windows XP が動作しているコンピュータ上で認証なしのリモートコールバックを使用する。

・  

アプリケーションはローカルでのみ使用されるように意図されている。つまり、COM サーバー アプリケーションがリモートからアクセスできないように制限することができる。

Windows XP Service Pack 2 でこの機能に追加された新機能

コンピュータ単位の制限

詳細説明

COM には、コンピュータ上でのすべての呼び出し、アクティブ化、および起動要求へのアクセスを統括するコンピュータ単位のアクセス制御を提供する変更が行われています。これらのアクセス制御について考える最も簡単な方法は、コンピュータ上の任意の COM サーバーの各呼び出し、アクティブ化、または起動についてコンピュータ全体のアクセス制御リスト (ACL) に対して行われる追加の AccessCheck 呼び出しです。AccessCheck が失敗した場合、呼び出し、アクティブ化、または起動の要求は拒否されます (これは、サーバー固有の ACL に対して実行される AccessCheck に加えて実行されます)。実際には、コンピュータ上のいずれの COM サーバーにアクセスする場合にも通過しなければならない最低限の承認標準を提供します。アクティブ化権限と起動権限をカバーする起動許可用のコンピュータ単位の ACL と、呼び出し権限をカバーするアクセス許可用のコンピュータ単位の ACL があります。これらは、コンポーネント サービス Microsoft 管理コンソール (MMC) を使って設定できます。

これらのコンピュータ単位の ACL は、特定のアプリケーションによって CoInitializeSecurity を使って指定される弱いセキュリティ設定、またはアプリケーション固有のセキュリティ設定を変更する方法を提供します。これは、特定のサーバーの設定に関わりなく、通過しなければならない最小限のセキュリティ基準を提供します。

これらの ACL は、RPCSS によって公開されたインターフェイスがアクセスされるときにチェックされます。これは、このシステム サービスにアクセス権を持っているかを制御する方法を提供します。

これらの ACL は、コンピュータ上のすべての COM サーバーに適用される汎用承認ポリシーを管理者が設定できる一元的な場所を提供します。

Windows XP コンピュータの制限設定は、既定では次のとおりです。

「アクセス許可」の種類 Administrator Everyone Anonymous

起動

Local (Launch)

Local Activate

Remote (Launch)

Remote Activate

Local (Launch)

Local Activate

 

アクセス

 

Local (Call)

Remote (Call)

Local (Call)

この変更の重要性 - 軽減される脅威

多くの COM アプリケーションでは、セキュリティ固有のコード (たとえば、CoInitializeSecurity の呼び出し) が含まれていますが、弱い設定を使っており、プロセスへの認証なしのアクセスを許すことがしばしばあります。現在のところ、Windows の以前のバージョンでは管理者がこの設定を変更してより強いセキュリティを強制する方法はありません。

COM のインフラストラクチャには、RpcSc という、システムのスタートアップ時に実行され、その後も常に実行されるシステムサービスが含まれています。これは、COM オブジェクトの起動と実行中オブジェクト テーブルを管理し、DCOM リモーティングに対するヘルパー サービスを提供します。これは、リモートから呼び出し可能な RPC インターフェイスを公開します。一部の COM サーバーでは認証なしのリモート アクセスが許可されるので (前のセクションで説明)、これらのインターフェイスは、認証されていないユーザーも含めて誰からでも呼び出しが可能です。その結果 RpcSs は、リモートの認証されていないコンピュータを使う悪意あるユーザーからの攻撃が可能になります。

Windows の以前のバージョンでは、管理者がコンピュータ上の COM サーバーの公開レベルを理解する方法はありませんでした。管理者は、コンピュータ上で登録されているすべての COM アプリケーションについてのセキュリティ設定をシステム的にチェックすることで、公開レベルの概念を得ることはできましたが、Windows XP の既定のインストールでは約 150 の COM サーバーがあるとなると、その作業は気の遠くなるものです。ソフトウェアにセキュリティを組み込んでいるサーバーの設定を調べる方法は、そのソフトウェアのソースコードを調べることを問題外とすれば、事実上ありません。

DCOM のコンピュータ単位の制限は、以上の 3 つの問題を軽減します。また、入ってくる DCOM のアクティブ化、起動、および呼び出しを無効にする手段を管理者に与えるものです。

動作が異なるか停止する機能

既定では、すべての人にローカル起動、ローカルアクティブ化、およびローカル呼び出しの許可が与えられます。これは、ソフトウェアまたはオペレーティング システムの変更なしにすべてのローカル シナリオが機能することを可能にするはずです。

既定では、すべての人にリモート呼び出しの許可が与えられます。これにより、COM クライアントがリモート サーバーにローカル参照を渡す一般的なケースも含めて、ほとんどの COM クライアント シナリオが可能になり、実質的にクライアントをサーバー化します。これにより、認証なしのリモート呼び出しを必要とするシナリオが無効になる可能性があります。

また既定では、リモートのアクティブ化と起動の許可は管理者だけに与えられます。これにより、インストールされている COM サーバーに対する管理者以外からのリモートのアクティブ化は無効になります。

これらの問題の解決法

COM サーバーを実装して、非管理の COM クライアントまたはリモート非認証呼び出しからのリモートアクティブ化のサポートを想定している場合は、それが最良の設定であるかどうか検討する必要があります。それが最良であると判断した場合は、この機能の既定の設定を変更する必要があります。

これらの ACL は、以下のレジストリに格納されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\MachineAccessRestriction= ACL

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\MachineLaunchRestriction= ACL

これは、コンピュータ上のすべての COM クラスと COM オブジェクトにアクセスできる責任者の ACL を記述するデータを含む REG_BINARY 型に設定される名前付きの値です。ACL 内のアクセス権限は次のとおりです。

COM_RIGHTS_EXECUTE 1

COM_RIGHTS_EXECUTE_LOCAL 2

COM_RIGHTS_EXECUTE_REMOTE 4

COM_RIGHTS_ACTIVATE_LOCAL 8

COM_RIGHTS_ACTIVATE_REMOTE 16

これらの ACL は、通常のセキュリティ機能を使って作成できます。COM_RIGHTS_EXECUTE の権利は常に存在する必要があります。たとえば、COM_RIGHS_EXECUTE_REMOTE の権限を付加するには、COM_RIGHTS_EXECUTE との論理和である 5 を指定します。この権利が欠如していると、破損セキュリティ記述子が生成されます。

これらの設定を変更できるのは管理者権限を持つユーザーだけです。

Windows XP Service Pack 2 で変更された既存機能

COM 許可に固有の事項

詳細説明

COM サーバー アプリケーションの許可の種類には、起動許可とアクセス許可の 2 種類があります。起動許可は、COM サーバーが常に動作していない場合に、COM のアクティブ化中に COM サーバーを開始するための承認を制御します。この許可は、レジストリ設定で指定されるセキュリティ記述子として定義されます。アクセス許可は、動作中の COM サーバーを呼び出す承認を制御します。このような許可はセキュリティ記述子として定義され、CoInitializeSecurity API またはレジストリ設定を通じて、COM インフラストラクチャに提供されます。起動許可とアクセス許可は、両方ともプリンシパルに基づいてアクセスを許可または拒否し、呼び出し元がサーバー ローカルかリモートかは区別しません。

この他の変更では、距離に基づいて COM アクセス権を区別します。定義されている 2 つの距離は、ローカルとリモートです。ローカル COM メッセージは LRPC (Local Remote Procedure Call) プロトコルによって到着し、リモート COM メッセージは伝送制御プロトコル (TCP) に似たリモート プロシージャ コール (RPC) ホスト プロトコルによって到着します。

COM アクティブ化とは、CoCreateInstance またはこの変化形を呼び出すことにより、クライアントの COM インターフェイス プロキシを取得することです。このアクティブ化プロセスの副次効果として、クライアント要求を満たすために、COM サーバーを起動することが必要となることがあります。起動許可 ACL では、COM サーバーを開始できる人を指定しています。アクセス許可 ACL では、COM オブジェクトを起動できる人を指定するか、COM サーバーが動作中の場合に、そのオブジェクトを呼び出すことができる人を指定しています。

その他の変更としては、呼び出し権限とアクティブ化権限を分離して、2 つの操作が独立していることを反映させたことと、アクセス許可 ACL から起動許可 ACL にアクティブ化権限を移動していることがあります。アクティブ化と起動はどちらもインターフェイス ポインタの取得に関わるので、論理的にはアクティブ化と起動の権限は共に 1 つの ACL に所属します。また、起動許可の指定は (しばしばプログラム的に指定されるアクセス許可と違って) 常に設定を通じて指定されるので、アクティブ化許可を起動許可 ACL に配置すると、管理者にアクティブ化の制御手段を提供することになります。

この起動許可 ACE は、次の 4 つのアクセス権に分かれています。

・  

ローカル起動 (LL)

・  

リモート起動 (RL)

・  

ローカル アクティブ化 (LA)

・  

リモート アクティブ化 (RA)

このアクセス許可セキュリティ記述子は次の 2 つのアクセス権に分かれます。

・  

ローカル呼び出し (LC)

・  

リモート呼び出し (RC)

この COM セキュリティにより、管理者は独自性の強いセキュリティ設定を適用できるようになります。たとえば、COM サーバーがローカル呼び出しはすべての人から受け入れ、リモート呼び出しは管理者からのみ受け入れるような設定ができます。こうした区別は、COM 許可セキュリティ記述子を変更することによって指定できます。

この変更の重要性 - 軽減される脅威

以前のバージョンの COM サーバーアプリケーションでは、DCOM を通してネットワーク上でアプリケーションを公開することなしにアプリケーションをローカルでのみ使用できるように制限する方法がありません。ユーザーが COM サーバー アプリケーションにアクセスできる場合には、ローカルでもリモートでもアクセスが可能です。

COM サーバーアプリケーションは、認証なしのユーザーに自分自身を公開して COM コールバックシナリオを実装しようとする場合があります。このシナリオでは、アプリケーションは非認証ユーザーにまでアクティブ化を公開する必要があります。このことにより、非認証ユーザーがこのシナリオを使ってサーバーに未承認アクセスを行うことができるようになり、好ましくありません。

的確な COM 許可では、コンピュータの COM 許可ポリシーの制御に関する柔軟性を管理者に与えます。このような許可により、記述されたシナリオのためのセキュリティが可能になります。

動作が異なるか停止する機能 - 依存関係の存在

下位互換性を提供するために、既存の COM セキュリティ記述子はローカルアクセスとリモートアクセスの両方を同時に許可または拒否すると解釈されます。つまり、アクセス制御エントリ (ACE) はローカルとリモートの両方を許可するか、ローカルとリモートの両方を拒否します。

呼び出しと起動の権限については下位互換性の問題はありません。しかし、アクティブ化権限には問題があります。COM サーバーの既存のセキュリティ記述子で、設定されている起動許可がアクセス許可より制限が強く、またクライアントのアクティブ化シナリオで最低限必要とされるものより制限が強い場合、起動許可 ACL は承認済みクライアントに適切な許可を与えるように変更しなければなりません。

既定のセキュリティ設定を使う COM アプリケーションでは互換性の問題はありません。COM アクティブ化を使って動的に起動されるアプリケーションでは、起動許可には既にオブジェクトをアクティブ化できるすべての人が含まれているので、そのほとんどには互換性の問題はありません。これらの許可が正しく設定されていない場合、COM サーバーがまだ実行されていないときに起動許可のない呼び出し元がオブジェクトをアクティブ化しようとすると、アクティブ化の失敗がランダムに起こる可能性があります。

互換性問題が最も大きいアプリケーションは、他の何らかのメカニズム (Windowsエクスプローラやサービス コントロール マネージャなど) によって起動されている COM アプリケーションです。これらのアプリケーションは、呼び出し許可よりも制限の強い既定のアクセスおよび起動許可を変更する、前述の COM アクティブ化によっても起動できます。この互換性問題の詳細については、次の「これらの問題の解決法」セクションを参照してください。

Windows XP Service Pack 2 にアップグレードされたシステムが以前のサービスパックに戻された場合、ローカルアクセス、リモートアクセス、またはその両方を許可するように編集されていたアクセス制御エントリは、ローカルアクセスとリモートアクセスの両方を許可するものと解釈されます。ローカル アクセス、リモート アクセス、またはその両方を拒否するように編集されていた ACE は、ローカル アクセスとリモート アクセスの両方を拒否するものと解釈されます。サービスパックをアンインストールするときには、すべての ACE を検証する必要があります。

これらの問題の解決法

COM サーバーを実装して既定のセキュリティ設定を変更する場合は、アプリケーション固有の起動許可 ACL が適切なユーザーにアクティブ化許可を与えるようになっているか確認してください。そうなっていない場合には、アプリケーション固有の起動許可 ACL を変更して、適切なユーザーにアクティブ化許可を与えるようにし、DCOM を使用するアプリケーションと Windows コンポーネントが障害を起こさないようにする必要があります。このアプリケーション固有の起動許可はレジストリに格納されます。起動許可の詳細については、MSDN Web サイトの「LaunchPermission」(http://www.microsoft.com/isapi/gomsdn.asp?target=/library/en-us/com/htm/reg_8j3i.asp) (英語) を参照してください。

COM ACL は、通常のセキュリティ機能を使って作成または変更できます。

Windows XP Service Pack 2で追加または変更された設定

注意 : この設定の使用を誤ると、DCOM を使用するアプリケーションおよび Windows コンポーネントが障害を起こす可能性があります。

設定名 場所 以前の既定値 (該当する場合) 既定値 設定可能な値

MachineLaunch
Restriction

HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Ole\

Everyone = LL,LA,RL,RA

Anonymous =

LL、LA、RL、RA

(これは新しいレジストリキーです。これらは、既存の動作に基づいて有効な値をとります。)

Administrator = LL,LA,RL,RA Everyone = LL,LA

ACL

MachineAccess
Restriction

HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Ole\

Everyone = LC, RC

Anonymous = LC, RC

(これは新しいレジストリキーです。これらは、既存の動作に基づいて有効な値をとります。)

Everyone = Local, Remote.

Anonymous = Local

ACL

CallFailure
LoggingLevel

HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Ole\

ありません。

このレジストリキーは存在していませんが、キーあるいは値が存在しない場合は 2 であるとみなされます。

このイベントは既定でロギングされません。この値を 1 に変更して、この情報のロギングを開始し、問題点のトラブルシューティングを行うのであれば、このイベントは大量のエントリを生成するため、必ずイベントログの大きさを監視するようにしてください。

1

(COM サーバープロセス呼び出し中のイベントロギング失敗を常にロギングします)

2

(COM サーバープロセス呼び出し中のイベントロギング失敗をロギングしません)

InvalidSecurity
Descriptor
LoggingLevel

HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Ole\

ありません。

このレジストリキーは存在していませんが、キーあるいは値が存在しない場合は 1 であるとみなされます。

このイベントは既定でロギングされます。このようなことはまれにしか発生しません。

1

(COM インフラストラクチャが破損したセキュリティ記述子を発見した時は、イベントログ失敗を常にロギングします)

2

(COM インフラストラクチャが破損したセキュリティ記述子を発見した場合でも、イベントログ失敗をロギングしません)

DCOM: SDDL (セキュリティ記述子定義言語) でのコンピュータ起動あるいはアクセス制限

(グループ ポリシー オブジェクト) : Computer
Configuration\ Windows
Settings\ Local Policies
\Security Options

ありません。

未定義

SDDL フォーマットのアクセス制御リスト。このポリシーが存在することにより、上記のレジストリキー MachineLaunchRestriction あるいは MachineAccessRestriction の値を上書きします。

DCOM: SDDL (Security Descriptor Definition Language) シンタックスにおけるマシン アクセス制限

(グループ ポリシー オブジェクト) Computer Configuration\Windows Settings\Local Policies\Security Options

ありません。

未定義

SDDL フォーマットのアクセス制御リスト。このポリシーが存在することにより、上記のレジストリ キー MachineAccessRestriction の値を上書きします。

RPC インターフェイスの制限事項

RPC インターフェイス制限の機能

Windows XP Service Pack 2 ではリモートプロシージャコール (RPC) サービスに変更がいくつか加えられ、既定で RPC インターフェイスの安全性を高め、Windows XP の攻撃対象を縮小する一助となっています。最も重要な変更は、RestrictRemoteClients レジストリ キーの追加です。このキーは、システム上のすべての RPC インターフェイスの動作を変更し、例外はありますが、既定でシステム上の RPC インターフェイスへのリモート匿名アクセスを除去します。他の変更としては、EnableAuthEpResolution レジストリ キーの追加や、3 つの新しいインターフェイス登録フラグがあります。

この機能の適用対象

この機能は、RPC アプリケーション開発者が対象です。システム管理者も、RPC のこの変更について理解しておく必要があります。

Windows XP Service Pack 2 でこの機能に追加された新機能

RestrictRemoteClients レジストリ キー

詳細説明

RpcServerRegisterIf を使ってインターフェイスを登録すると、RPC はサーバーアプリケーションがそのインターフェイスへのアクセスを、通常はセキュリティコールバックを通じて制限することを許可します。RestrictRemoteClients レジストリ キーは、インターフェイスに登録済みのセキュリティ コールバックがない場合でも、すべてのインターフェイスの追加のセキュリティ チェックを RPC に実行させます。

名前付きパイププロトコルシーケンス (ncacn_np) を使用する RPC クライアントは、このセクションで説明しているすべての制限の対象外です。名前付きパイプ プロトコル シーケンスは、重要な下位互換性の問題がいくつかあるため、既定では制限されません。

RestrictRemoteClients レジストリキーは、下記の 3 つの値をとることができます。このキーが存在しない場合は、RPC_RESTRICT_REMOTE_CLIENT_DEFAULT 値を持つことと同等になります。

・  

RPC_RESTRICT_REMOTE_CLIENT_NONE (0) 値では、システムは新しい RPC インターフェイス制限をバイパスします。適切な RPC 制限を課すのは、完全にサーバー アプリケーションの責任になります。この設定は、Windows の以前のバージョンの動作と同等です。

・  

RPC_RESTRICT_REMOTE_CLIENT_DEFAULT (1) 値は、Windows XP Service Pack 2 の既定値です。この値は、すべての RPC インターフェイスへのアクセスを制限します。リモート匿名コールはすべて RPC ランタイムによって拒絶されます。インターフェイスがセキュリティ コールバックを登録していて、RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH フラグを提供している場合、この制限はそのインターフェイスには適用されません。

・  

RPC_RESTRICT_REMOTE_CLIENT_HIGH (2) 値は、RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH フラグがインターフェイスを除外しないことを除いて、RPC_RESTRICT_REMOTE_CLIENT_DEFAULT 値と同じです。この値を設定すると、システムは RPC を使ってリモート匿名コールを受信できなくなります。

この変更の重要性 - 軽減される脅威

コールに認証を必要とするようにすれば、比較的低いレベルの認証であっても、インターフェイスへの攻撃は大幅に難しくなります。これは特に、匿名接続を通じてリモートから起動できる、悪用可能なバッファ オーバーランに依存するワーム対策として有効です。

動作が異なるか停止する機能

RPC アプリケーションがリモート匿名 RPC クライアントからのコールを想定している場合、この変更によってアプリケーションが正常に動作しなくなる可能性があります。

これらの問題の解決法

これらの問題を解決する選択肢は 3 つあります。以下に、望ましい順に列挙します。

・  

RPC クライアントがサーバーアプリケーションとコンタクトするときに、RPC セキュリティを使用させます。これは、セキュリティに対する脅威を軽減する最良の方法です。

・  

インターフェイス登録時に、RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH フラグを設定して、インターフェイスの認証を免除します。これにより RPC は、そのアプリケーションのインターフェイスへの接続についてのみ、匿名接続を許可するように設定されます。

・  

このレジストリキーを RPC_RESTRICT_REMOTE_CLIENT_NONE (0) に設定して、RPC に以前のバージョンの Windows と同じ動作をさせます。RPC は、すべてのインターフェイスへの接続を受け入れるようになります。このオプションは、コンピュータ全体のセキュリティを下げることになるので、可能な限り使わないでください。

EnableAuthEpResolution レジストリ キー

詳細説明

リモートから匿名でアクセスでき、既定で Windows XP に登録される RPC インターフェイスは、重大な攻撃対象をさらすことになります。RPC 自体は、このようなインターフェイスを登録して、動的エンドポイントを使用するコールのためにエンドポイント解決を提供しなければなりません。

RestrictRemoteClients フラグの追加により、既定では RPC エンドポイントマッパーインターフェイスは匿名ではアクセスできません。これはセキュリティの重要な強化ですが、エンドポイント解決のタスクを変化させることになります。現在、動的エンドポイントを使用するコールを行おうとする RPC クライアントは、最初にサーバー上の RPC エンドポイント マッパーに問い合わせて、どのエンドポイントに接続すべきかを決定します。RPC クライアント コール自体は RPC セキュリティを使って行われていても、この問い合わせは匿名で行われます。

RPC エンドポイントマッパーインターフェイスの匿名コールは、Windows XP Service Pack 2 では新しい RestrictRemoteClients キーの既定値のために、既定では失敗します。このことから、エンドポイント マッパーへの認証付き問い合わせを行うために、RPC クライアント ランタイムの変更が必要になります。EnableAuthEpResolution キーが設定されている場合、RPC クライアント ランタイムは NTLM を使ってエンドポイント マッパーに対する認証を行います。この認証付き問い合わせは、実際の RPC クライアント コールが RPC 認証を使用している場合にのみ行われます。

この変更の重要性

この変更には RPC クライアントを有効にし、Windows XP Service Pack 2 が動作しているシステムに動的なエンドポイントを登録している RPC サーバーを呼び出す必要があります。このクライアント コンピュータにはこのレジストリ キーを設定し、RPC エンドポイント マッパーに認証付き問い合わせを行う必要があります。

動作が異なるか停止する機能

このレジストリキーは、前のセクションで説明した特定のシナリオを有効にするために使われます。このキーを有効にすると、認証付きコールのために実行されるすべての RPC エンドポイント マッパー問い合わせは、NTLM 認証を使って実行されます。

新しい RPC インターフェイス登録フラグ

詳細説明

3 つの新しいインターフェイス登録フラグが作成され、アプリケーション開発者が RPC インターフェイスの安全性を高めることが容易になっています。

・  

RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH

このフラグが登録されると、呼び出しセキュリティの設定に関わりなく、RPC ランタイムはすべての呼び出しに対して登録済みセキュリティを起動します。このフラグが設定されていないと、RPC は認証されていない呼び出しがセキュリティ コールバックに達する前に、その呼び出しを拒絶します。このフラグは、セキュリティ コールバックが登録されている場合にのみ機能します。

・  

RPC_IF_SEC_NO_CACHE

セキュリティコールバックは、インターフェイスがそのインターフェイスへのアクセスを制限するために登録されます。一般的なセキュリティ コールバックでは、クライアントになり代わって、クライアントがそのインターフェイスを呼び出すのに十分な権限を持っているかどうかを決定します。特定のクライアント アイデンティティがセキュリティ コールバックを一度通過すると、通常は同じセキュリティ コールバックが毎回通過します。

RPC ランタイムは、個々のクライアントアイデンティティがセキュリティコールバックを通過させるときに、記憶によってこのパターンの利点を活用し、そのクライアントから同じインターフェイスへの以降の呼び出しではセキュリティコールバックをスキップします。この機能は、「セキュリティコールバックキャッシング」と呼ばれ、Windows 2000 から存在しています。Windows XP Service Pack 2 では、RPC_IF_SEC_NO_CACHE フラグを使って、インターフェイスごとにセキュリティ コールバック キャッシングを無効にすることができます。これは、セキュリティ チェックが変更される可能性がある場合、つまり以前は許可されたクライアント アイデンティティが拒絶されるような場合に有効です。

・  

RPC_IF_LOCAL_ONLY

インターフェイスがこのフラグ付きで登録された場合、RPC はリモート RPC クライアントからの呼び出しを拒絶します。また、すべての ncadg_* プロトコル シーケンスおよびすべての ncacn_* プロトコル シーケンスに対するローカル呼び出しも (ncacn_np を使用する名前付きパイプを除いて) 拒絶されます。呼び出しが ncacn_np に対して行われた場合、RPC は、その呼び出しがSVR から来たものでない場合のみ、呼び出しを許可します。SVR は、すべてのリモート呼び出しをフィルタリングして除きます。Ncalrpc 呼び出しは常に許可されます。

この変更の重要性

この変更は、RPC アプリケーション開発者に、RPC インターフェイスの安全性を高める追加のセキュリティツールを提供します。

動作が異なるか停止する機能

このようなフラグを利用しても、既存の Windows XP アプリケーションに影響を与えることも、正常動作を妨げることもありません。これらの新しいフラグの使用は、アプリケーション開発者の裁量に任されます。

Windows XP Service Pack 2 で追加または変更された設定

設定名 場所 既定値 設定可能な値

RestrictRemoteClients

HKEY_LOCAL_MACHINE\SOFTWARE
\Policies\Microsoft\Windows NT\RPC

1 - 既定値

0 - なし

1 - 既定値

2 - 高

EnableAuthEpResolution

HKEY_LOCAL_MACHINE\SOFTWARE
\Policies\Microsoft\Windows NT\RPC

0 - 無効

0 - 無効

1 - 有効

Windows XP Service Pack 2 で動作させるためにコードの修正が必要か?

Windows XP Service Pack 2 で動作させるにはコードの変更が必要になることがあります。必要になる可能性があるアプリケーション変更に関する詳細については、RestrictRemoteClientsEnableAuthEpResolution に関する記述がある以前のセクションを参照してください。

WebDAV リダイレクタ

WebDAV リダイレクタの機能

WebDAV リダイレクタ (DAVRdr) を使用することにより、Windows XP が動作しているコンピュータは、Windows SharePoint Services や MSN コミュニティのような WebDAV (Web-based Distributed Authoring and Versioning) サーバーを、標準のファイルサーバーであるかのように使用できるようになります。これは、Windows NT リモート ファイル システム スタックに接続するためのカーネル コンポーネントと、ファイル システム要求を WebDAV 要求に変換するユーザー レベルのコンポーネント (Web クライアント サービス) から構成されます。

この機能の適用対象

この機能は、リモート ファイル システムを通じて WebDAV サーバーにアクセスする人が利用します。WebDAV リダイレクタは、リモート ファイル システム スタックに実装されます。コンピュータ資格情報のセキュリティに関心があるクライアント管理者とユーザーは、WebDAV サーバー上のリモート ファイルに UNC (Universal Naming Convention) (たとえば、\\ServerName\ShareName\File.txt) でアクセスするたびに、WebDAV リダイレクタにより処理されることを意識する必要があります。

クリア チャネルを利用する基本認証の無効化

詳細説明

WebDAV は HTTP (Hypertext Transfer Protocol) の拡張であり、基本認証 (BasicAuth) を利用するものでもあります。BasicAuth は、ユーザー認証の一形態、または高い安全度でユーザーがサーバーに識別される方法です。BasicAuth を使用すると、クライアントはユーザーの資格情報 (ユーザー名やパスワード) をサーバーに送信します。通常の HTTP トラフィックのように、チャネルが暗号化されていない場合には、ネットワーク上にあるコンピュータならどれでも、ユーザーのユーザー名とパスワードを見ることができ、ID を盗めることになります。DAVRdr では暗号化した HTTP (HTTPS または SSL) をサポートせず、サーバーが基本認証をサポートしていれば、ユーザーの資格情報を (暗号化をしない) クリアな状態で送信します。サーバーで基本認証を使用する設定が行われることはあまりありませんが、ユーザーの資格情報を取り出すように明示的にサーバーを設定することは可能です。

この可能性があるため、Windows XP Service Pack 2 では、DAVRdr による BasicAuth の使用の有効/無効を切り替える能力を追加しています。既定により、BasicAuth の利用は SP2 では無効になっています。BasicAuth が無効になると、クライアントは (サーバーがサポートしている場合) 別の認証方法を使用するか、または要求に失敗します。

この変更の重要性

ユーザーは、パスワードがクリアテキストで送信されることを恐れずに WebDAV サーバーにログオンでき、リモートファイルにアクセスできます。

軽減される脅威

Contoso Corporation の社員が公共ネットワーク上のファイル共有である \\Contoso_Server\Sales に日常的にアクセスしていて、通常のバックグラウンド活動の一環でその共有ファイルにアクセスするアプリケーションを使用していると仮定します。ユーザーのポータブル コンピュータは社内ネットワーク外にあるため、要求は失敗します。ただし、ポータブル コンピュータがアクセスを試みていたサーバーが実際には SMB サーバーであったとしても、DAVRdr は、Contoso_Server という名前の DAV サーバーがあるかどうかを探る要求を送信します。

攻撃者は WINS 要求をスプーフィングするコンピュータを使って、同じ公共ネットワークを使うことができ、WINS 要求に対する応答に自分へのポインタを含めて返すことができます。このポータブル コンピュータは、この不正サーバー上で DAV 共有にアクセスを試みます。もしもこの不正サーバーが認証メソッドとして BasicAuth で応答してくれば、ユーザーの資格情報を求めるダイアログ ボックスが現れます。このダイアログ ボックスからサーバーが Contoso_Server であることを識別できるので、ユーザーは要求が正当なものであると信じます。ここでユーザーが自分のユーザー名とパスワードを入力すると、クライアントはその情報をクリアテキストで送信するので、攻撃者はユーザーのログイン情報にアクセスできることになります。ユーザーにとってはチャネルが安全ではない、または要求は DAVRdr によって処理される、あるいはポータブル コンピュータはユーザー名とパスワードをクリアテキストで送信するかどうかを示すものはありません。現在の既定の Windows 認証メソッドでは、ユーザーのパスワードをクリアテキストで送信することは決してないことに注意してください。

動作が異なるか停止する機能

既定動作への変更は DAVRdr にしか影響を与えないので、正常に動作しない唯一のシナリオは、基本認証を必要とするものと DAVRdr を使用するものです。例としては、Notepad.exe を使い、BasicAuth だけを許す Web サイトにアクセスするものがあります。このシナリオはうまく行きません。また、サーバーが基本認証だけを使う設定になっていたとしても、Office のような別アプリケーションは、異なる DAV クライアントを使用するので、動作を続けます。

これらの問題の解決法

次のレジストリキーを追加して BasicAuth を有効にし、非ゼロの値に設定することができます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient
\Parameters\UseBasicAuth (DWORD)

レジストリキーを削除するか、0 に設定すると、動作は既定に戻り、BasicAuth の利用を無効とします。

WININET: クリアチャネルを利用する基本認証の無効化

詳細説明

DAVRdr は、リモートファイルシステムスタックの一環であるため、コンピュータがリモートからファイルにアクセスを試みるたびに攻撃にさらされることになります。インターネット API を使用する別のアプリケーションへの脅威は、DavRDR へのものよりも厳しくありませんが、アプリケーション (またはユーザー) が URL にアクセスを試みるときにはいつでも、同様な攻撃の発生が考えられます。この理由から、WinInet では DAVRdr がインターネット API の他ユーザー向けの BasicAuth を無効とする機構を公開しています。

Windows XP Service Pack 2 には、クリア チャネル (暗号化されていない) 上で基本認証の使用をブロックする方法が 2 種類あります。

・  

次のレジストリキーを作成し、非ゼロ値に設定します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Internet Settings\DisableBasicOverClearChannel (DWORD)

これにより、チャネルの安全性が確保されて (HTTPS または SSL) いなければ、WININET が BasicAuth の利用を試みることを防ぐことができます。

・  

アプリケーションからのネットワークに接続時に BasicAuth の利用を無効にするには、INTERNET_OPTION_AUTH_FLAGS を利用した InternetSetOption への呼び出しの中で供給される値に、AUTH_FLAG_DISABLE_BASIC_CLEARCHANNEL フラグ (0x4) を設定します。

この変更の重要性

ユーザーは、パスワードがクリアテキストで送信されることを恐れずに WebDAV サーバーにログオンでき、リモートファイルにアクセスできます。

軽減される脅威

http://www.contoso.com/sales のWeb サイトに日常的にアクセスしている従業員がいると仮定します。企業外の公共ネットワークを使用していても、ユーザーは Internet Explorer を使って、そのサイトへのアクセスを試みます。ラップトップは企業外にあるため、要求は「サーバーは見つかりませんでした」というメッセージが出て失敗に終わります。攻撃者は WINS 要求をスプーフィングするコンピュータを使って、同じ公共ネットワークを使うことができ、WINS 参照に対する応答に自分へのポインタを含めて返すことができます。ラップトップは次に不正サーバーからページをロードする HTTP 要求を送信しようとします。不正サーバーが認証メソッドとして BasicAuth で応答すれば、ラップトップはユーザーに応答して、ユーザーの資格情報を尋ねます。不正サーバーは http://www.contoso.com/sales のサイトを識別し、要求が正式なものであることをユーザーに信じさせるように導きます。ここでユーザーが自分のユーザー名とパスワードを入力すると、クライアントはその情報をクリアテキストで送信するので、攻撃者はユーザーのログイン情報にアクセスできることになります。特に、チャネルが安全でないことも、ラップトップがユーザー名とパスワードをクリアテキストで送信していることも、ユーザーには知る方法がありません。

動作が異なるか停止する機能

既定で、WININET アプリケーションの動作には (上記で述べた DAVRdr 以外には) 変更はありません。この設定が無効になると、ユーザーは基本認証しかサポートしていない HTTP サーバーには接続できなくなります。

Windows XP Service Pack 2 で追加または変更された設定

設定名 場所 以前の既定値 (該当する場合) 既定値 設定可能な値

UseBasicAuth

HKEY_LOCAL_MACHINE
\System\CurrentControlSet
\Services\WebClient
\Parameters\UseBasicAuth

ありません。

キーは存在しません

(BasicAuth は DAVRdr 向けに無効)

0, または非ゼロ

DisableBasicOverClearChannel

HKCU\SOFTWARE\Microsoft\
Windows\CurrentVersion
\Internet Settings
\DisableBasicOverClearChannel

ありません。

キーは存在しません (BasicAuth はその他すべてに有効化)

0, または非ゼロ

Windows XP Service Pack 2 で動作させるためにコードの修正が必要か?

変更は必要ありません。インターネット API を使用するアプリケーションを書き、DavRDR のように BasicAuth を無効にしたい開発者は、InternetSetOptions()への呼び出しを追加可能です。

Windows ファイアウォール

Windows ファイアウォールの機能

Windows ファイアウォール (以前はインターネット接続ファイアウォールまたは ICFと呼ばれていました) は、Microsoft Windows XP および Microsoft Windows Server™ 2003 用のステートフルフィルタファイアウォールです。Windows ファイアウォールは、TCP/IP バージョン 4 (IPv4) およびバージョン 6 (Ipv6) を通じた、要求に基づかない外からの接続を回避することにより、ネットワークに接続される PC に対する保護を提供します。以下の設定オプションがあります。

・  

インターフェイスごとの有効化

・  

静的ポート公開の利用

・  

基本 ICMP オプションの設定

・  

パケット ドロップと接続成功のロギング

IPv4 の Windows ファイアウォールの詳細については、マイクロソフトの Web サイト (http://www.microsoft.com/technet/prodtechnol/winxppro/plan/icf.mspx) (英語) で、「Internet Connection Firewall Feature Overview (インターネット接続ファイアウォール機能の概要)」を参照してください。Advanced Networking Pack for Windows XP の IPv6 Windows ファイアウォールのリリースで、IPv6 トラフィックのフィルタリングのサポートが追加されました。Advanced Networking Pack は、マイクロソフト Web サイト (http://windowsupdate.microsoft.com/) 上の Windows Update から入手できます。

この機能の適用対象

この機能は、以下に対して適用されます。

・  

ネットワークに接続されるすべてのコンピュータ

・  

ネットワーク上でリッスンを行うすべてのアプリケーションとサービス

・  

ステートフル フィルタリングで動作しないすべてのアプリケーション

Windows XP Service Pack 2 でこの機能に追加された新機能

既定でオン

詳細説明

Windows ファイアウォールは、すべてのネットワークインターフェイスにおいて既定でオンになります。これにより、新しいインストール時および更新時に Windows XP では既定でネットワーク保護が強化されます。既定でオンであることにより、システムに追加される新しいネットワーク接続も同様に保護されます。これは IPv4 と IPv6 の両方のトラフィックに適用され、システム上に別のファイアウォールが既に存在していても有効になります。

この変更の重要性 - 軽減される脅威

Windows XP Service Pack 2 に先だってリリースされた Windows XP では、Windows ファイアウォールは既定でオフになっていました。ユーザーは、ウィザードを実行するかネットワーク接続フォルダに移動して、Windows ファイアウォールを手動でオンにする必要がありました。これは多くのユーザーには難しすぎたため、多数のコンピュータにファイアウォール保護機能が導入されませんでした。

Windows ファイアウォールを既定でオンにすることにより、ネットワークベースの多くの攻撃からのコンピュータの保護が強化されます。たとえば、Windows ファイアウォールが既定でオンになっていれば、ユーザーが最新の更新プログラムを適用しているかどうかに関わらず、新しい MSBlaster 攻撃の脅威は大幅に軽減されます。

動作が異なるか停止する機能

Windows XP Service Pack 2 のインストール後には、Windows ファイアウォールは既定でオンになります。これにより、既定でステートフル フィルタに対応していないアプリケーションの場合には、アプリケーションの非互換を作り出す可能性があります。また、その他の動作しているソフトウェア ファイアウォールやハードウェア ファイアウォールとも競合します。

これらの問題の解決法

アプリケーションをステートフルファイアウォールに対応させる修正については、この文書の「Windows XP Service Pack 2 で動作させるためにコードの修正が必要か?」で詳細を説明しています。

起動時のセキュリティ

詳細説明

Windows の以前のバージョンでは、ネットワークスタック実行と Windows ファイアウォールが保護を提供するときの間に時間の開きがありました。その結果、Windows ファイアウォール フィルタリングなしでパケットを受け取ってサービスに渡していたために、潜在的にコンピュータの脆弱性が露出されていました。これは、ファイアウォール サービスがロードされ、適切なポリシーが適用されるまで、ファイアウォール ドライバがフィルタリングを開始しなかったことによります。ファイアウォール サービスには依存関係がいくつかあり、その依存関係が解消されるまでサービスは待機し、ポリシーはドライバに伝わりません。この時間の間隔は、コンピュータの速度に基づくものです。

Windows XP Service Pack 2 では、ファイアウォールドライバには、ステートフルフィルタを実行するための静的なルールがあります。この静的ルールは「起動時ポリシー」と呼ばれます。これによってコンピュータは、DNS や DHCP などの基本的なネットワーキング タスクを実行し、ドメイン コントローラと交信してポリシーを取得することができます。ファイアウォール サービスが実行されると、実行時 Windows ファイアウォール ポリシーがロードされて適用され、起動時フィルタは削除されます。起動時ポリシーの内容を設定することはできません。

Windows ファイアウォールが無効になっていると、起動時セキュリティは存在しません。

この変更の重要性 - 軽減される脅威

この変更により、コンピュータは起動時およびシャットダウン時に攻撃を受けることは少なくなります。

動作が異なるか停止する機能

Windows ファイアウォールサービスが起動に失敗すると、起動時セキュリティが有効となって残ります。これは、すべての接続の受け入れがブロックされることを意味しています。この場合には、リモート デスクトップで使用されるポートも含めて、すべてのポートが閉じられているため、管理者はリモートからこの問題のトラブルシューティングを行うことはできません。

これらの問題の解決法

Windows ファイアウォールサービスの開始に、リモートデスクトップ以外の方法を使用します。

グローバルな設定

詳細説明

Windows の以前のバージョンでは、Windows ファイアウォールはインターフェイスごとに設定されていました。つまり、各ネットワーク接続はそれぞれ個別にファイアウォール ポリシー (たとえば、ワイヤレス用にあるポリシー、イーサネット用には別のポリシー) を持っていました。そのため、接続間でポリシーを同期させることは困難でした。また新しい接続には、既存の接続に適用された設定の変更が何も反映されませんでした。

グローバル設定では、設定の変更があるたびに、すべてのネットワーク接続に適用されます。新しい接続が作成されると、設定はそれにも同様に適用されます。設定は、インターフェイスごとに行うことも可能です。非標準のネットワーク接続は、グローバル設定だけを持つことになります。設定変更は IPv4 と IPv6 の両方に適用されます。

IPv6 用の Windows ファイアウォールが既にグローバル設定をサポートしているように、この新機能は IPv4 用の Windows ファイアウォールに適用します。

この変更の重要性

グローバルポリシーがあることにより、ユーザーによるすべてのネットワーク接続に対するファイアウォールポリシーの管理が容易になります。これにより、1 つの設定オプションで任意のインターフェイス上でアプリケーションを動作させることも可能になります。

動作が異なるか停止する機能

Windows の以前のバージョンでは、Windows ファイアウォール設定はインターフェイスごとに行われていました。Windows XP Service Pack 2 では、設定はグローバルであり、IPv4 と IPv6 の両方に適用します。

これらの問題の解決法

アプリケーションまたはサービスで静的なオープンが機能することが必要な場合は、「Windows XP Service Pack 2 で動作させるためにコードの修正が必要か?」で説明している新しい API を使用する必要があります。

ローカル サブネットの制限

詳細説明

既定では、ポートがオープンされると、そのポートはグローバルにオープンとなり、受信トラフィックは、ローカルネットワークやインターネットなど、どのようなネットワーク位置からでも到達できます。Windows XP Service Pack 2 では、ローカル サブネットからのソース アドレスを持つネットワーク トラフィックしか受け取らないようにポートを設定することができます。

NetShare アプリケーションプログラミングインターフェイス (API) またはネットワークセットアップウィザードを使って、あるいは Windows ファイアウォールユーザーインターフェイスを通じて、ファイル共有ポートが開かれている場合、既定でローカルサブネット制限が適用されます。また、UPnP™ ポートが開かれる際も、ローカル サブネットに限定されます。

ローカルネットワーク上での通信に使用される静的ポートには、すべてローカルサブネット制限を適用することが推奨されます。これは、Windows ファイアウォール Netsh Helper または Windows ファイアウォール ユーザー インターフェイスを通して、プログラム的に行うことができます。

これは IPv4 ポート構成に適用されます。IPv6 では、リンク ローカル アドレスとサイト ローカル アドレスを使用することにより、本質的にローカル サブネット ポートを制限してしまうため、IPv6 ポート設定ではこの制限をサポートする必要がありません。

この変更の重要性 - 軽減される脅威

一部のアプリケーションでは、ローカルネットワーク上の他のホストとのみ通信し、インターネット上のホストとは通信の必要がない場合があります。ローカル サブネットからのトラフィックのみをポートが受け取るようにすると、ポートにアクセスできるホストのスコープを制限できます。このようにすることで、どのような場所からでも接続できるコンピュータ向けにポートを開いているために発生する攻撃を低減できます。

動作が異なるか停止する機能

ファイルとプリンタの共有が有効な場合、4 つの決まったポートがローカルサブネット制限の影響を受けます。以下のポートは、ローカル サブネットからのトラフィックのみを受け取ります。

・  

UDP ポート 137

・  

UDP ポート 138

・  

TCP ポート 139

・  

TCP ポート 445

アプリケーションまたはサービスがこれらのポートを使用する場合には、ローカルサブネット上のノードとしか通信できなくなります。

UPnP アーキテクチャが有効になると、次の 2 つのポートがローカルサブネット規制の影響を特に受け、ローカルサブネットからのトラフィックしか受け取ることができなくなります。

・  

UDP ポート 1900

・  

TCP ポート 2869

これらの問題の解決法

この制限のためにアプリケーションまたはサービスが動作しない場合は、このドキュメントで後述する「Windows XP Service Pack 2 で動作させるためにコードの修正が必要か?」で説明しているように、新しい API を使用してグローバル接続用にポートを開く必要があります。

コマンドライン サポート

詳細説明

Windows ファイアウォール Netsh Helper は、Advanced Networking Pack で Windows XP に追加されました。このヘルパーは IPv6 Windows ファイアウォールにのみ適用されます。Windows XP Service Pack 2 では、ヘルパーの構造が変更され、Ipv4 の設定もサポートするように拡張されています。Netsh Helper によって以下のことが行えます。

・  

Windows ファイアウォールの既定状態を設定 (オフ、オン、例外なくオン)

・  

どのポートを開くかの設定。これには、ポートにグローバル アクセスを許可するかローカル サブネットに限定するか、およびポートをすべてのインターフェイスに対して開くかインターフェイス単位に開くかも含まれます。

・  

ログ オプションの設定

・  

インターネット制御メッセージ プロトコル (ICMP) 処理オプションの設定

・  

例外リストに対するアプリケーションの追加または削除

これは、機能が Windows ファイアウォールのみに限定されている場合を除き、Windows ファイアウォールと IPv6 Windows ファイアウォールの両方に適用されます。

この変更の重要性

コマンドラインインターフェイスにより、管理者はグラフィックユーザーインターフェイスを使わずに Windows ファイアウォールを設定することができます。コマンドライン インターフェイスは、ログイン スクリプトおよびリモート管理で使用できます。

動作が異なるか停止する機能

この機能により、Windows ファイアウォールに設定の柔軟性が加わります。この追加に伴う Windows ファイアウォールの機能の変更はありません。

「例外を許可しない」の運用モード

詳細説明

Windows ファイアウォールは、通常の使用時に、要求されない入力トラフィックを許可するように設定される場合があります。これは通常、ファイルとプリンタの共有のようなキー シナリオを有効にする必要性によるものです。コンピュータで動作中のリッスンしているサービスまたはアプリケーションにセキュリティの問題が見つかった場合は、コンピュータをクライアント専用モード (「例外を許可しない」と呼ばれています) に切り換える必要があるかもしれません。クライアント専用モードへの切り換えにより、ファイアウォールの再設定なしで、要求されない内部トラフィックを回避するよう Windows ファイアウォールが設定されます。

このモードにある場合は、すべての静的ホールを閉じ、既存のいかなる接続も切断します。静的ホールを開く API 呼び出しはすべて許可され、その設定は保管されますが、Windows ファイアウォール動作モードが通常モードに戻るまで適用はされません。アプリケーションからのリッスン要求もすべて無視されます。

これは、Windows ファイアウォール v4 と IPv6 Windows ファイアウォールの両方に適用されます。

この変更の重要性 - 軽減される脅威

ウイルス、ワーム、攻撃者は、付け込むサービスを探します。この動作モード時には、Windows ファイアウォールはこの種の攻撃が成功するのを防ぐ一助となります。

動作が異なるか停止する機能

この動作モード時には、コンピュータはネットワークから来る要求をリッスンできません。発信接続のみが、成功する接続です。

これらの問題の解決法

この動作モード時には、厳格なネットワークセキュリティが実施されるため、一部の機能は失敗するものと想定されます。動作モードを既定の状態であるオンに戻すことにより、機能を復元することができます。この脅威が識別され、軽減されてからユーザーの手によってこのアクションを行うことをお勧めします。これはこのアクションの実行により、コンピュータのセキュリティ レベルが下がるからです。

Windows ファイアウォール例外リスト

詳細説明

一部のアプリケーションは、ネットワーククライアントおよびサーバーの両方として機能します。サーバーとして機能する場合、前もってピアを識別できないので、要求されない受信トラフィックの進入を許可する必要があります。

Windows の以前のバージョンでは、アプリケーションは Windows ファイアウォール API を呼び出して必要なリスニングポートをオープンできるようにする必要がありました。あらかじめポートがわからない場合には、ピア ツー ピアの状況ではこれが難しいことは明らかでした。いったん通信が完了すると、ポートを再度閉じるかどうかはアプリケーション次第でした。アプリケーションが予期しない状態で終了した場合に、ファイアウォールに不必要にオープンになっているポートがありました。

また、このようなポートは、アプリケーションがローカル管理者のセキュリティコンテキスト内で実行されている場合にしか開くことができませんでした。これによりアプリケーションは管理コンテキストで動作する必要が発生し、最小限必要な特権だけで動作するという最小特権の原則に反しています。

Windows XP Service Pack 2 では、ネットワークをリッスンする必要があるアプリケーションは、Windows ファイアウォール例外リストに追加することができます。アプリケーションが Windows ファイアウォール例外リストに載っている場合には、Windows はアプリケーションのセキュリティ コンテキストのいかんに関わらず、必要なポートを自動的にオープンします。

Windows ファイアウォール例外リストにアプリケーションを追加することに関する詳細情報については、このドキュメントで後述する「これらの問題の解決法」を参照してください。

ステートフル フィルタに対応するアプリケーションは、Windows ファイアウォール例外リストに配置する必要はありません。管理者だけが Windows ファイアウォール例外リストにアプリケーションを追加できます。

この変更の重要性 - 軽減される脅威

アプリケーションが Windows ファイアウォール例外リストにあるときには、必要なポートだけが開かれ、アプリケーションがそのポートでリスニング中に開いているのはそれらのポートだけになります。アプリケーションでは、使用していないポートを開くことはできません。これにより、意図的であれ偶然であれ、別のアプリケーションまたはサービスをそのポートからネットワーク トラフィックに公開してしまうのを防ぐことができます。

これにより、ネットワークのリスニング中のアプリケーションが通常ユーザーとして実行されることも可能になります。Windows の以前のバージョンでは、ユーザーはこのようなアプリケーションを管理者権限で実行しなければなりませんでした。

動作が異なるか停止する機能

アプリケーションがネットワークでリッスンする必要がある場合、Windows ファイアウォール例外リストに載っている必要があります。もしもこのリストに載っていない場合には、Windows ファイアウォールで必要なポートは開かれず、アプリケーションは要求していない受信トラフィックを受け取ることはできません。

これらの問題の解決法

アプリケーションは、次の 3 種類の形で Windows ファイアウォール例外リストに追加されます。

まず、アプリケーションによりプログラム的に追加可能です。独立系ソフトウェア製造元 (ISV) の場合には、アプリケーションのインストール中に Windows ファイアウォール例外リストに載せることを推奨します。

2 つ目は、通知を利用できます。アプリケーションが TCP のリッスンまたは UDP の特定のポートへのバインドを行う場合には、ネットワークスタックがアプリケーション名とポートを Windows ファイアウォールに渡します。Windows ファイアウォールは例外リスト中にアプリケーション名があるかどうかを探しにいきます。アプリケーションが例外リストに載っていてかつ有効になっている場合、対応するポートがファイアウォール内で開かれます。例外リストに載っているアプリケーションが無効になると、対応するポートはファイアウォール内で開かれません。アプリケーションが例外リストにない場合には、ユーザーに選択が委ねられます。ユーザーが管理者の場合には、アプリケーションがネットワークでリッスンすることを許可する (例外リストには有効として追加し、ポートをオープンします)、アプリケーションがネットワークでリッスンすることを許可しない (例外リストには無効として追加し、ポートはオープンしません)、または後で再度尋ねてもらう (例外リストに追加せず、ポートもオープンしません) のどれかとします。ユーザーが管理者ではない場合には、アプリケーションはネットワークでリッスンすることは許可されず、管理者にアプリケーションを有効にしてもらうように、という通知を受けます。この時点では、アプリケーションは例外リストに無効として登録されています。

3 つ目の形としては、ユーザーが手作業で設定します。手作業で有効とするアプリケーションは、[スタート] メニューから見つかるアプリケーション リストから選択して決めることも、コンピュータのハードディスク上にあるアプリケーションを参照して決めることもできます。

詳細情報については、後述の「Windows XP Service Pack 2 で動作させるためにコードの修正が必要か?」を参照してください。

複数のプロファイル

詳細説明

Windows ファイアウォールでの複数のプロファイルのサポートにより、コンピュータが企業ネットワークに接続している場合用と接続していない場合用のファイアウォール ポリシーの 2 つのセットを作成することができます。コンピュータが会社のネットワークに接続しているときには、ビジネス アプリケーションが動作するように、厳格性の低いポリシーを指定できます。また、コンピュータが会社のネットワークから離れているときには、アグレッシブなセキュリティ ポリシーを指定して、インターネット経由の攻撃に対する保護を強化できます。

Windows ファイアウォールの複数のプロファイルは、ドメインに加わっているコンピュータにのみ適用されます。ワークグループ内のコンピュータでは、プロファイルは 1 つだけです。

この変更の重要性 - 軽減される脅威

モバイルコンピュータについては、Windows ファイアウォール設定は複数あることが望まれます。信頼できるネットワーク上では安全な設定が、インターネット上では攻撃を受けやすいということはよくあります。すなわち、信頼できるネットワーク上ではポートを開き、インターネット上では開かないようにできることが、どんな場合でも必要なポートしか公開しないようにするために必要となります。

動作が異なるか停止する機能

アプリケーションを正しく動作させるために Windows ファイアウォール例外リストに登録する必要がある場合、2 つのプロファイルがポリシーの同じセットを持っていないために、どちらのネットワークでも動作しないことがあります。アプリケーションをすべてのネットワークで動作させるためには、両方のプロファイルに登録しなければなりません (Windows ファイアウォール例外リストについては、前のセクションを参照してください)。

これらの問題の解決法

コンピュータがドメインに参加している場合、アプリケーションは両方のファイアウォール設定に登録されていなければなりません。

RPC サポート

詳細説明

Windows の以前のバージョンでは、Windows ファイアウォールはリモートプロシージャコール (RPC) 通信を遮断していました。Windows ファイアウォールは、RPC エンドポイント マッパーへのネットワーク トラフィックを許可するように設定できましたが、RPC が使用するポートは認識されず、アプリケーションは失敗していました。

RPC にネットワークを介した通信が許可されないと、多くのエンタープライズアプリケーションとコンポーネントが動作に失敗します。以下のいくつかの例があります (これだけに限定されません)。

・  

ファイルとプリンタの共有

・  

コンピュータ管理機能および多くのアプリケーションが使用する [ユーザー、コンピュータ、またはグループの選択] ダイアログボックスのようなリモート管理

・  

リモート Windows Management Instrumentation (WMI) の設定

・  

リモート クライアントおよびサーバーを管理するスクリプト

RPC はポートをいくつか開き、多数の異なるサーバーをそれらのポート上で公開します。Windows XP にはかなりの数の RPC サーバーが含まれているため、Windows ファイアウォールは RPC には異なるアプローチを取っています。ポートを開く場合には、呼び出し元はポートを RPC 用途で使用することを要求できます。Windows ファイアウォールは、呼び出し元が Local System、Network Service、または Local Service セキュリティ コンテキスト内で実行中の場合にのみ、この要求を受け入れます。Windows ファイアウォールは、呼び出し元が Windows ファイアウォール例外リストになくても RPC ポートのオープンを有効にするプロファイル レベル フラグをサポートします。

ただし、承認されたアプリケーションの設定は常に汎用の RPC 設定より優先されることに注意してください。たとえば、RPC 設定が「ローカルを許可」であって、RPC サーバー実行可能ファイルは、"ローカル サブネットのみ" が False として Windows ファイアウォール例外リストにもある場合、RPC サーバーのポートはすべてのサブネットに対して開きます。

この変更の重要性 - 軽減される脅威

企業全体にわたる導入では多くの場合、Windows ファイアウォールと RPC が共存して動作することが必要となります。しかし、すべての RPC サービスを既定でネットワークに公開したくはありません。より高い精度を使うことで、どの RPC サービスをネットワークに公開するかを制御できます。

動作が異なるか停止する機能

既定では、RPC は Windows ファイアウォールを通じては機能しません。RPC を使用するすべてのサービスとアプリケーションが影響を受けます。ただし、Windows ファイアウォールは、サービスに使えるように RPC を許可する設定を行うことができます。

これらの問題の解決法

後述の「Windows XP Service Pack 2 で動作させるためにコードの修正が必要か?」を参照してください。

既定の復元

詳細説明

これまではユーザーが Windows ファイアウォールの設定をリセットする手段はありませんでした。時間の経過と共に、Windows ファイアウォール例外リストにアプリケーションまたはポートを追加することにより、要求しない受信トラフィックを許可するように Windows ファイアウォールを設定することが可能となっています。これによって、ユーザーは既定の設定に簡単かつ迅速に戻ることが難しくなっています。

このオプション(Netsh Helper の reset コマンドを使用)により、ユーザーは Windows ファイアウォール設定を元の既定設定に復元することが可能となります。さらに、OEM やビジネスがカスタム設定オプションを提供することにより、Windows ファイアウォールの既定は、修正可能となります。

この変更の重要性

このオプションにより、エンドユーザーは Windows ファイアウォール設定をオリジナルの既定値に復元することができます。

動作が異なるか停止する機能

この機能により、Windows ファイアウォールに設定の柔軟性が加わります。この追加に伴う Windows ファイアウォールの機能の変更はありません。

無人セットアップ サポート

詳細説明

Windows の以前のバージョンでは、インストール中に Windows ファイアウォールを設定することはできませんでした。このことは、コンピュータをエンドユーザーに配布する前に、OEM やビジネスが Windows ファイアウォールを前もって設定しておくことを困難にしていました。Windows XP Service Pack 2 では、無人セットアップにより、Windows ファイアウォールの以下のオプションを設定できます。

・  

動作モード

・  

Windows ファイアウォール例外リストにあるアプリケーション

・  

例外リスト上の静的ポート

・  

ICMP オプション

・  

ログ オプション

この変更の重要性

Windows ファイアウォールを前もって設定できる方法が提供されたことにより、Windows の再販業者や大規模企業では、Windows ファイアウォールに関して柔軟性とカスタマイズに富んだオプションを利用できるようになりました。

動作が異なるか停止する機能

この機能により、Windows ファイアウォールに設定の柔軟性が加わります。この追加に伴う Windows ファイアウォールの機能の変更はありません。

Windows XP Service Pack 2 で変更された既存機能

マルチキャストとブロードキャスト サポートの強化

詳細説明

マルチキャストおよびブロードキャストネットワークトラフィックは、応答が未知のホストから来る点で、ユニキャストトラフィックと異なります。そのため、ステートフル フィルタは、応答が受け付けることを拒否します。これにより、ストリーミング メディアからディスカバリまで、さまざまなシナリオが動作しなくなります。

このようなシナリオを有効にするために Windows ファイアウォールは、マルチキャストまたはブロードキャストトラフィックの送出元である同じポートに返ってくるユニキャスト応答を、そのソース アドレスからでも 3 秒間は許可します。

この変更の重要性 - 軽減される脅威

これにより、ユーザーまたはアプリケーションやサービスがファイアウォールポリシーを変更しなくても、通信にマルチキャストおよびブロードキャストを使用するアプリケーションおよびサービスの動作が許可されます。これは、NETBIOS over TCP/IP などには重要であり、ポート 135 などの危険性の高いポートが隠蔽されます。

動作が異なるか停止する機能依存関係の存在

Windows の以前のバージョンでは、Windows ファイアウォールはマルチキャストまたはブロードキャストフィルタリングをまったく実行しませんでした。Windows XP Service Pack 1 では、Windows ファイアウォールはマルチキャストおよびブロードキャスト トラフィックをステートフルにフィルタリングし、ユーザーは応答を受信するポートを手動で開く必要がありました。Service Pack 2 では、マルチキャストまたはブロードキャスト トラフィックへの応答が許可されます。

Windows ファイアウォールと IPv6 Windows ファイアウォールの統合

詳細説明

Windows XP と共に導入された Windows ファイアウォールのバージョンでは、IPv4 トラフィックのみをフィルタリングしました。IPv6 Windows ファイアウォールは、Advanced Networking Pack for Windows XP と共に導入されました。この 2 つのファイアウォールが別々であったときは、それぞれが独自の設定オプションを使用していました。Windows XP Service Pack 2 では、Windows ファイアウォールと IPv6 Windows ファイアウォールは 1 つのコンポーネントに統合されています。

この変更により、いかなる設定変更も IPv4 と IPv6 トラフィックの両方に適用されます。たとえば、静的ポートがオープンされると、これは IPv4 と IPv6 の両方のトラフィックにオープンされます。

この変更の重要性

これによって、設定管理とアプリケーション互換性維持が容易になります。

動作が異なるか停止する機能

別物であった IPv6 ファイアウォールサービスはシステムから削除され、IPv4 と IPv6 の両方のトラフィックをフィルタリングする Windows ファイアウォールサービスに置き換えられています。Advanced Networking Pack for Windows XP に導入されたすべての API は、Windows XP Service Pack 2 に導入された新 API により置き換わります。

これらの問題の解決法

詳細情報については、後述の「Windows XP Service Pack 2 で動作させるためにコードの修正が必要か?」を参照してください。

更新された Netsh Helper

詳細説明

Windows ファイアウォール Netsh Helper は、Advanced Networking Pack for Windows XP と共に導入されました。これは IPv6 Windows ファイアウォール にのみ適用されていました。Windows ファイアウォールと IPv6 Windows ファイアウォールの統合により、ファイアウォール Netsh Helper は、もはや IPv6 コンテキストでは動作しません。

この変更の重要性

この変更により、Windows ファイアウォールへの変更と、既存のファイアウォールの Netsh Helper の IPv4 フィルタリング設定オプションの統合とが行われます。

動作が異なるか停止する機能

Advanced Networking Pack の追加と共に登場するファイアウォールコンテキストを使用する既存のスクリプトは動作しなくなります。

これらの問題の解決法

使用するスクリプトはすべて更新して、新しいファイアウォールコンテキストを含むようにしてください。

ユーザー インターフェイスの更新

詳細説明

Windows ファイアウォールユーザーインターフェイスは、Windows XP Service Pack 2 で、新しい設定オプションと IPv6 Windows ファイアウォールの統合とを提供する形に更新されています。これによりユーザーは、操作状態、グローバル設定、ログ オプション、および ICMP オプションを変更できるようになります。最終的なインターフェイスは現在も開発中です。

ユーザーインターフェイスへの最初の入口は、接続の [プロパティ] ダイアログボックスからコントロールパネルアイコンへ移動しました。古い位置からのリンクも提供されています。また、Windows XP Service Pack 2では、[ネットワーク接続] フォルダからのリンクも作成します。

この変更の重要性

Windows XP Service Pack 2 で追加される機能では、ユーザーインターフェイスの更新が必要となりました。

動作が異なるか停止する機能

ユーザーインターフェイスは、ネットワーク接続の [プロパティ] ダイアログボックスの [詳細設定] タブから移動しています。

新しいグループ ポリシーのサポート

詳細説明

Windows の以前のバージョンでは、Windows ファイアウォールのグループポリシーオブジェクト (GPO) は "DNS ドメインネットワーク上でのインターネット接続ファイアウォールの使用を禁止する" の 1 つだけでした。Windows XP Service Pack 2 では、すべての設定オプションはグループ ポリシーを通じて設定可能です。新しく利用可能な設定オプションの例としては次のものがあります。

・  

動作モード (オン、例外なくオン、オフ)

・  

例外リスト上のプログラムを許可

・  

静的ポートのオープン

・  

ICMP 設定

・  

RPC と DCOM の有効化

・  

ファイルとプリンタ共有の有効化

これらのオブジェクトは、それぞれコーポレートおよび標準プロファイルの両方で設定できます。グループ ポリシー オプションの完全なリストについては、マイクロソフト ダウンロード センターの http://www.microsoft.com/downloads/details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1&DisplayLang=en (英語) にある「Microsoft Windows XP Service Pack 2 向け Windows ファイアウォール設定の導入」を参照してください。

この変更の重要性

管理者にとっては、Windows ファイアウォールポリシーを管理して、アプリケーションおよびシナリオがコーポレート環境で動作することが重要です。

動作が異なるか停止する機能

IT 管理者は、既定の Windows ファイアウォールポリシーをどれに設定するかを決められるようになりました。これにより、アプリケーションおよびシナリオを使用可または使用不可に設定できます。これによって制御範囲が広がりますが、ポリシーが Windows ファイアウォールの基盤となる機能を変更することはありません。

Windows XP Service Pack 2 で追加または変更された設定

英語のドキュメントにある表は、現状の RC1 の仕様とは異なるため、本ドキュメントでは削除されています。

グループ ポリシー オプションの完全なリストについては、http://www.microsoft.com/downloads/details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1&DisplayLang=en (英語) にあるマイクロソフト ダウンロード センターの「Microsoft® Windows® XP Service Pack 2 向け Windows ファイアウォール設定の導入」を参照してください。

Windows XP Service Pack 2 で動作させるためにコードの修正が必要か?

送信接続

説明

典型的なホームユーザーとオフィス コンピュータの関係においては、コンピュータはネットワーク上のクライアントです。コンピュータ上のソフトウェアは、サーバーに向けて接続 (送信接続) し、サーバーから応答を受信します。Windows ファイアウォールは、すべての送信接続を許可しますが、コンピュータに送り返されてくる受信内容には種々の規則を適用します。伝送制御プロトコル (TCP) およびユーザー データ プロトコル (UDP) 送信接続の一部として Windows ファイアウォールが許可するネットワーク トラフィックについては、下記の「注」を参照してください。

必要なアクション

ありません。Windows ファイアウォールは、プログラムおよびユーザーコンテキストに関わりなく、すべての送信接続を自動的に許可します。

あるコンピュータから相手のコンピュータに向けて TCP セッション要求を開始すると、その相手のコンピュータからのみ応答を受け取ります。

コンピュータが UDP パケットを送信すると、Windows ファイアウォールは、90 秒間どの IP アドレスからでも UDP パケットを送信したポートへの UDP 応答を許可します。

マルチキャストおよびブロードキャストトラフィックに対するユニキャスト応答は、その応答がマルチキャストトラフィックが送信されたポートあてのものであり、かつそのコンピュータと同じサブネット上の IP アドレスからのものであれば、Windows ファイアウォールを通して 3 秒間許可されます。ファイアウォール設定によりこの動作を制御しますが、これは既定で有効になっています。

・  

Microsoft Internet Explorer を使った Web サーフィン

・  

Outlook Express での電子メールチェック

・  

MSN Messenger または Windows Messenger でのチャット

アプリケーション向けの要求していない受信接続

説明

このシナリオは、TCP ソケット上でリッスン操作を完了するか、または Winsock を通じて特定の UDP ソケットへのバインドに成功したアプリケーションをカバーします。このシナリオでは、Windows ファイアウォールは、アプリケーション側の必要に応じて自動的にポートを開くことと閉じることができます。

必要なアクション

アプリケーションがポート上でリッスンする必要があるとき、または管理者によってポートがインストール中のとき、ユーザーはアプリケーションがファイアウォール内でポートを開くことを許可してほしいかどうかを示さなければなりません。

ユーザーがこれに同意する場合、アプリケーションは INetFwAuthorizedApplication API を使用して自分自身を Enabled として AuthorizedApplications コレクションに追加する必要があります。

ユーザーが同意しない場合は、アプリケーションは INetFwAuthorizedApplication API を使用して自分自身を Disabled として AuthorizedApplications コレクションに追加する必要があります。

INetFwAuthorizedApplication API を使用してアプリケーションを AuthorizedApplications コレクションに追加するときには、以下の値が必要です。

・  

イメージファイル名。これは、Winsock を呼び出してネットワークトラフィックをリスニングするファイルです。これはフルパス名でなければなりませんが、環境変数を含んでいてもかまいません。

・  

フレンドリ名。これは Windows ファイアウォールユーザーインターフェイスでユーザーに示す、アプリケーションの説明です。

以下はオプションの値です。

・  

ローカルサブネットのみ。既定では、すべてのトラフィックは開いているポートを通して許可されます。アプリケーションでローカル サブネットからのトラフィックしか受信する必要がない場合、この値は Windows ファイアウォールを通じたローカル サブネットからのトラフィックのみを許可するようにする必要があります。

・  

有効。既定では、AuthorizedApplications コレクションへのアプリケーションのエントリは有効になっています。上記のように、この値は、アプリケーションがポートを開くことにユーザーが同意しない場合は、アプリケーションのエントリを無効として追加するために使用する必要があります。これにより、Windows ファイアウォール ユーザー インターフェイスでアプリケーションをユーザーが見えるようになり、後で有効にすることが可能になります。

Windows ファイアウォールは、Winsock をモニタリングして、ポート上でのリスニングの開始と終了を確認します。その結果として、アプリケーションのエントリが Windows ファイアウォール例外リストで有効になっていれば、ポートはアプリケーションのために自動的に開いたり閉じたりします。したがって、Winsock アプリケーションではポートを実際に開いたり閉じたりするアクションは必要ありません。

次のことに注意します。

・  

アプリケーションは、管理者権限を持つユーザーのコンテキストで実行し、アプリケーション自身を Windows ファイアウォール例外リストに追加しなければなりません。

・  

許可された Winsock アプリケーションでは、アプリケーションが実行されているユーザーコンテキストに関わりなく、ポートは自動的にオープンまたはクローズされます。

・  

アプリケーションは、自分自身を AuthorizedApplications コレクションに追加する前に、ユーザーの同意を得る必要があります。

・  

Svchost.exe は、AuthorizedApplications コレクションに追加することはできません。

異なる動きをするマイクロソフトアプリケーションを含むタスク例。

・  

MSN Messenger または Windows Messenger でのオーディオおよびビデオの使用

・  

MSN Messenger または Windows Messenger でのファイルの転送

・  

マルチプレーヤー ゲームのホスティング

サービス向け受信接続

説明

開発者には他のすべてのシナリオに AuthorizedApplication API を使うことが推奨されますが、固定ポート上でリッスンするサービスには Windows ファイアウォールのグローバルポート API の使用が推奨されます。これらのポートは常に開いているので、ポートの動的なオープンにはわずかな利点しかありません。グローバル ポート API が使用される場合には、ユーザーはこれらの固定ポートに関するファイアウォールの設定をカスタマイズすることが可能になります。

必要なアクション

サービスが固定ポート上でリッスンする必要がある場合、そのサービスがファイアウォール内でポートを開くことを許可するかどうかをユーザーに問い合わせる必要があります。理想的には、これはサービスのインストール時に問い合わせることをお勧めします。

ユーザーがこれに同意する場合、サービスでは INetFwOpenPort API を使ってルールを Windows ファイアウォールに追加し、固定ポートまたはサービスで必要とするポートを開く必要があります。これらのルールは有効にしておく必要があります。

ユーザーが同意しない場合も、サービスではやはり INetFwOpenPort API を使ってルールを Windows ファイアウォールに追加し、固定ポートまたはサービスで必要とするポートを開く必要があります。ただし、これらのルールは有効にしないでおきます。

INetFwOpenPort API を開いているポートを Windows ファイアウォールに追加するときに、以下の値が必要となります。

・  

ポート。これは、開くポートの数です。1 以上、65,536 以下でなければなりません。

・  

フレンドリ名。これは Windows ファイアウォールユーザーインターフェイスでユーザーに示す、ポートオープン機能の説明です。

以下はオプションの値です。

・  

プロトコル。この値は、開くポートが TCP か UDP かを指定するために使用されます。指定がない場合は、TCP であると仮定されます。

・  

ローカルサブネットのみ。既定では、すべてのトラフィックは開いているポートを通して許可されます。この値はポートを限定するために使用されるので、Windows ファイアウォールを通じてローカル サブネットからのトラフィックのみが許可されます。ポートを開くときに、可能であればサービスはポートをローカル サブネットに限定する必要があります。

・  

有効。既定では、追加されたときにはポートのオープンは有効です。上記のように、この値は、サービスがポートを開くことにユーザーが同意しない場合は、ポートのオープンを無効として追加するために使用する必要があります。これにより、Windows ファイアウォール ユーザー インターフェイスでサービスをユーザーが見えるようになり、後で有効にすることが可能になります。

サービスが無効の場合は、もう一度 INetFwOpenPort API を使って、開いた静的ポートを可能なときに閉じる必要があります。そのポートを使用している唯一のサービスであれば、これは容易に行えます。しかし、他のサービスとポートを共有している可能性がある場合には、他のサービスがポートを使用していないことを確認できるまで、ポートを閉じないでください。

Windows ファイアウォール内で静的にポートを開くには、アプリケーションは管理者権限を持つユーザーのコンテキストで実行していなければなりません。

次のことに注意します。

・  

INetFw API を通して静的にポートを開く場合、可能であればサービスはローカルサブネットからのトラフィックのみに自分自身を限定する必要があります。

・  

Windows ファイアウォールで静的にポートを開く前に、サービスでユーザーの同意を得ておく必要があります。サービスは、先にユーザーに警告せずに、ポートを自動的に開いてはなりません。

受信接続を必要とするサービス例をいくつか示します。

・  

ファイルとプリンタの共有

・  

UPnP アーキテクチャ

・  

リモート デスクトップ

RPC と DCOM ポートにおける受信接続

説明

一部のアプリケーションおよびサービスでは、受信接続には直接 DCOM または RPC を通じて RPC ポートを使用する必要があります。RPC ポートを開くときのセキュリティ上の重要な意味合いから、これらのポートは特殊なケースとして処理され、開発者は絶対的に必要な場合に限り、Windows ファイアウォールを通じて RPC を有効にする必要があります。

必要なアクション

Windows ファイアウォールには、RPC 用ポートの自動的なオープンとクローズを有効にする明示的な設定がファイアウォール内にあります。したがってアプリケーションおよびサービスは、受信接続用に RPC を使用するために特定のポートを開く必要はありません。ただし、既定では RPC は Windows ファイアウォールによってブロックされます。これは、アプリケーションまたはサービスは Windows ファイアウォールで RPC ポートを許可する必要があることを意味しています。

RPC ポートが既に許可されている場合、アプリケーションまたはサービスは正しく機能させるために何もする必要はありません。

ユーザーが RPC ポートの許可に同意した場合、アプリケーションまたはサービスは、RPC ポート経由のトラフィックを許可するために、INetFwProfile API を使って AllowRpcPorts を TRUE に設定する必要があります。

ユーザーが RPC ポートの許可に同意しない場合、アプリケーションまたはサービスは、RPC ポートを許可するために Windows ファイアウォールを設定してはなりません。

次のことに注意します。

Windows ファイアウォールで RPC ポートの自動的なオープンを有効または無効にするには、アプリケーションまたはサービスは管理者特権を持つユーザーのコンテキストで実行されていなければなりません。

アプリケーションまたはサービスは、Windows ファイアウォールを通じて RPC ポートを許可する前に、ユーザーの同意を得る必要があります。

アプリケーションまたはサービスは、絶対的に必要な場合にのみ、Windows ファイアウォールを通じて RPC ポートを許可するようにしなければなりません。

RPC ポートの設定は、ローカルシステム、ネットワークサービス、またはローカルサービスのコンテキストで実行される RPC サーバーでのみ機能します。他のユーザー コンテキストで動作している RPC サーバーによって開かれたポートは、この設定からは有効になりません。その代わり、このような RPC サーバーは、Windows ファイアウォール例外リストを使用することをお勧めします。

Windows Media Player

Windows Media Player の機能

Windows Media Player は、メディアコンテンツを提供し、メディアファイルを再生し、格納されているメディアファイルの関連付けに役立つアプリケーションです。

この機能の適用対象

Windows Media Player を使用するすべてのユーザーは、Windows XP Service Pack 2 で組み込まれた変更に注意することをお勧めします。

Windows XP Service Pack 2 でこの機能に追加された新機能

Windows Media Player 9 シリーズ

詳細説明

Windows Media Player 9 シリーズは、Windows XP Service Pack 2 の一部としてインストールされます。このバージョンの Windows Media Player には、セキュリティ関係の修正と新機能を含んでいます。

Windows XP Service Pack 2 のインストール中に、ファイルをアーカイブするオプションを選択しておくと、Windows Media Player 9 シリーズを後から削除できます。これを行うには、[プログラムの追加と削除] を利用してサービス パックを削除します。Windows Media Player 9 シリーズはサービス パックと共に削除され、Windows Media Player の以前のバージョンとオペレーティング システムの両方が以前のバージョンに復元されます。

Windows の以前のバージョンが動作しているコンピュータに Service Pack 2 を含む Windows XP の新規インストールを実行すると、オペレーティングシステムは置き換えられ、Windows Media Player 9 シリーズは削除できなくなります。詳細情報については、マイクロソフト Web サイトを参照してください。

この変更の重要性 - 軽減される脅威

Windows Media Player の初期のバージョンには、セキュリティ上の脆弱性が含まれていました。この脆弱性はソフトウェア更新のタイミングで修正されましたが、さらに完璧なソリューションとしては、初期のバージョンを Windows Media Player 9 シリーズにアップグレードすることです。Windows Media Player 9 シリーズは、完全なテストとアップデートを行い、Windows XP Service Pack 2 に含まれるその他のセキュリティ強化と共存できることが確かめられています。

動作が異なるか停止する機能

Windows XP Service Pack 2 をアンインストールするのであれば、以前にライセンスを受けたコンテンツの再生を行うために、コンテンツによっては再度ライセンスを取得する必要がある可能性があります。これはコンピュータを Windows 2000 からアップグレードするか、または Windows XP から Windows XP Service Pack 2 にアップグレードする場合に適用されます。根拠としては Windows Media Player 9 シリーズではデジタル コンテンツ ライセンスの扱いが以前のバージョンとは異なるからです。

これらの問題の解決法

Windows XP Service Pack 2 を削除した後でも、手持ちのライセンス付きコンテンツを Windows Media Player で引き続き利用できるようにするには、次のどれか 1 つを実施します。

・  

コンピュータを Windows XP Service Pack 2にアップグレードする前に、ライセンスをデジタルメディアファイルにバックアップします (これは Windows Media Player のライセンス管理機能で行います)。次にサービスパックを削除する前に、取得している追加ライセンスがあれば、バックアップします。サービス パックの削除後に、このすべてのライセンスを復元します。

・  

Windows XP Service Pack 2 の削除後に、マイクロソフトの Windows Media ダウンロードセンターから Windows Media Player 9 シリーズをダウンロードしてインストール可能です。

Windows Messenger

Windows Messenger の機能

Windows Messenger は、一種のインスタントメッセージプログラムで、Windows Messenger または MSN Messenger を使用する人とリアルタイム会話を行うことができます。

Windows Messenger を使えば次のことができます。

・  

同じく Messenger を使用している友達、家族、同僚のメンバリストを作成できます。

・  

Windows Messenger にサインインしたメンバを確認することができます。

・  

メンバとテキスト メッセージをやりとりできます。

・  

非常に低料金で世界中ほぼどこにでも電話をかけられます。また、マイクまたはヘッドフォンを使用して話ができます。

・  

メンバのコンピュータを無料で呼び出し、お互いの姿を見ながら会話ができます。

・  

絵、音楽、またはドキュメントをメンバに送信できます。

・  

既定の電子メール プログラムの電子メール受信箱へのリンクがあります。

・  

ゲームを楽しむ、コンピュータ上のプログラムを見る、またはホワイトボードを一緒に使うために、相手を招待できます。

・  

リモート アシスタンスを利用し、コンピュータのことで誰かに助けてもらうことができます。

・  

マイクロソフトの .NET Alerts を使用し、最新の情報を受信することができます。

この機能の適用対象

Windows Messenger ユーザーであれば、Windows XP Service Pack 2 で行われた機能変更について知っておくことをお勧めします。

Windows XP Service Pack 2 でこの機能に追加された新機能

Windows XP Service Pack 2 で Windows Messenger に次の機能が追加されました。

・  

安全ではないファイル転送のブロック

・  

ユーザーの表示名の要求

・  

Windows Messenger と Windows ファイアウォール

安全ではないファイル転送のブロック

詳細説明

あなたのコンピュータに被害を与える可能性があるコンテンツを含んでいる場合には、ファイル転送はブロックされます。誰かがあなたにファイルを送ろうとしている場合に、Windows Messenger はまず、送り主があなたの連絡先リストに含まれている人かどうかをチェックします。次に、ファイルをセキュリティ チェックに通します。

以下の両方にあてはまる場合にはファイル転送はブロックされます。

・  

送り主があなたの連絡先リストに載っていない。

・  

安全ではないと考えられるファイルを誰かがあなたに送ろうとしている。

.jpg、.txt、および .gif の拡張子を持つファイルは一般的に安全であると考えられ、連絡先リストに載っていない人からでも受け取ることができます。

ある種のファイル タイプの場合には、送り主が分かっていても、実行可能コードを含んでいる可能性があるため、注意して開くことをお勧めします。連絡先リストに載っている人からある種のファイルを受け取る場合には、そのファイルの処理方法を尋ねられます。そのファイルのコンピュータのハードディスクに格納可能ならば、まず受け取り、その後アンチウィルス プログラムでスキャンして、開くことをお勧めします。

次のファイルタイプの場合には、開く前にプロンプトが出力されます。

・  

.doc、.ppt、.xls のようなマイクロソフト Office ファイル。

・  

.zip、.wpd、および .pdf のような他のアプリケーション用のファイル。

・  

コンピュータ アプリケーション、プログラム、またはマクロ、実行可能ファイル、および JavaScript を初めとするソフトウェア コードやスクリプトを含む任意のファイル。

・  

.exe、.cmd、.wsh、.bat、.vb、.vbs、.pif、.scr、.scf の拡張子を持つファイル。

・  

その他のファイル タイプ。

一般的に安全ではないと考えられているファイルの一覧については、マイクロソフトの Web サイトの http://www.microsoft.com/isapi/gosupport.asp?target=/default.aspx?scid=kb;ja;291369&sd=tech にある「Internet Explorer 6 の安全でないファイル (Unsafe File) 一覧に関する情報」を参照してください。

この変更の重要性 - 軽減される脅威

あなたのコンピュータに被害を与える可能性があるコンテンツを含んでいる場合には、ファイル転送はブロックされます。

動作が異なるか停止する機能

ファイル転送がブロックされるファイルがあります。

これらの問題の解決法

以下の両方にあてはまる場合にはファイル転送はブロックされます。

・  

送り主があなたの連絡先リストに載っていない。

・  

誰かがあなたに送ろうとしているファイルが安全ではないと考えられる。

そのファイルが安全であるとわかっている場合、そのユーザーを連絡先リストに追加すれば、そのリストに載っている人からのファイル転送は成功します。

ユーザーの表示名が必要

詳細説明

Windows XP Service Pack 2の Windows Messenger では、ユーザーの電子メールアドレスとは異なるユーザー表示名を必要とします。

この要件は、ユーザーが Windows Messenger にサインインし、[オプション] ダイアログボックスで表示名を更新すると実施されます。

ユーザーが Windows Messenger にサインインすると、ログオンに先立ってユーザー表示名を示すようにというプロンプトが出力されます。表示名が入力されない場合には、ログオンできません。

ユーザーが [オプション] ダイアログボックスで表示名を更新すると、Windows Messenger は表示名と電子メールアドレスが一致するかどうかを検証します。

この変更の重要性 - 軽減される脅威

インスタント メッセージの会話を後から参照するために、[ファイル] メニューの [名前を付けて保存] で保存する場合には、ユーザーの表示名がテキスト ファイル内に、関連するテキスト メッセージと共に格納されます。ウイルス アプリケーションは、このテキスト ファイルから電子メール アドレスを見つけ出し、このインスタント メッセージ会話に同じく参加しているユーザーの連絡先に伝播させる目的で使うことができます。

動作が異なるか停止する機能

ユーザーはユーザーの表示名を提供するまでサインインできません。

これらの問題の解決法

サインイン中にプロンプトが出た場合には、ユーザーはユーザーの表示名を提供する必要があります。

Windows Messenger と Windows ファイアウォール

詳細説明

Windows Messenger は、Windows ファイアウォール経由でインターネットに接続する許可を必要とします。

インターネットに接続する許可を Windows Messenger に与えるには、[スタート] ボタンをクリックし、[コントロールパネル] をクリックします。次に [セキュリティセンター] をクリックし、[Windows ファイアウォール] をクリックして、[例外] をクリックします。[プログラムおよびサービス] の [Windows Messenger] をクリックします。

この変更の重要性 - 軽減される脅威

ユーザーのコンピュータを保護するために、既定で Windows ファイアウォールの動作が開始されています。

動作が異なるか停止する機能

Windows Messenger は動作しません。

これらの問題の解決法

Windows Messenger を Windows ファイアウォール例外リストに追加します。

Windows XP Service Pack 2で追加または変更された設定

Windows XP Service Pack 2 では、クライアントポリシーは変更されていません。

Windows XP Service Pack 2 で動作させるためにコードの修正が必要か?

コードの変更は必要ありません。

ワイヤレス プロビジョニング サービス

ワイヤレス プロビジョニング サービスの機能

拡大する公共ワイヤレス ネットワークや Wi-Fi (Wireless Fidelity) ホットスポットを介してインターネットにアクセスするユーザーが増加しています。Windows XP Service Pack 2 と Windows Server 2003 Service Pack 1における WPS (Wireless Provisioning Services) を使うと、ワイヤレスユーザーにクライアントの自動プロビジョニングとシームレスローミングにより、一貫したエクスペリエンスと公共の Wi-Fi ホットスポットへのシームレスな接続性を提供できます。WPS を使用すると、WISP (Wireless Internet Service Providers) は標準ベースの統合プラットフォームを利用し、利用と管理が容易でセキュリティの強化された Wi-Fi ホットスポットを提供できます。さらに、WPS を使うことで、企業はプライベート ワイヤレス ネットワークへのゲスト アクセスを、セキュリティを強化した形で容易に提供できるようになります。

WPS を使えば、WISP と企業は、モバイルクライアントがインターネットに接続する場合も企業ネットワークに接続する場合も同様に、モバイルクライアントにプロビジョニング情報と設定情報を送信できます。これによりモバイル クライアントのシームレスで自動的で安全性の高い設定が可能となり、企業だけでなく、さまざまな公共ネットワーク プロバイダやホットスポットにまたがる、一様なサインアップ エクスペリエンスを実現できます。

注:この機能を使って、ここで説明するユーザーシナリオを実現するには、Windows Server 2003 Service Pack 1 が必要です。Windows Server 2003 Service Pack 1 はまだリリースされていません。

この機能の適用対象

ワイヤレス プロビジョニング サービスは、次の 3 種類の組織を対象として設計されています。

・  HSP (Hotspot Service Provider)

HSP はショッピングモールや空港などの公共の場所にワイヤレスアクセスポイントを導入しますが、HSP は ISP (Internet Service Provider) ではありません。その代わり、HSP は複数の ISP と契約することにより、ユーザーがインターネット アクセス用のアカウントを作成したい時に、ユーザーが選択可能な複数のプランを提供します。

・  WISP (Wireless Internet Service Provider)

WISP は、公共の場所に Wi-Fi ホットスポットを導入するか、または Wi-Fi ホットスポットサービスを HSP にアウトソーシングします。

・  企業

企業は WPS テクノロジを使用し、企業ネットワークに対して管理されたゲスト アクセスを提供できます。

Windows XP Service Pack 2 でこの機能に追加された新機能

ワイヤレス プロビジョニング サービス

詳細説明

ワイヤレス プロビジョニング サービスは、Windows XP と Windows Server 2003 に存在する、今までのワイヤレス サービスとユーザー インターフェイスを拡張するものです。このサービスは、ワイヤレス AutoConfiguration および PEAP (Protected Extensible Authentication Protocol) や WPA (Wi-Fi Protected Access) といったワイヤレス セキュリティ機能のように、既に Windows に存在しているワイヤレス機能の上に構築されています。WPS には、Windows Server 2003 への変更も含まれています。Windows 2003 IAS (Internet Authentication Service) コンポーネントを変更し、プロビジョニングプロセスでクライアントのゲスト認証を行えるようにしています。

WPS にはプロビジョニング サービス コンポーネントがあり、これを使うことにより、WISP (Wireless Internet Service Provider) と企業は、インターネットや企業ネットワークに接続を試みているモバイル クライアントにプロビジョニング情報と設定情報を送信することができます。WPS を使用することにより、WISP はネットワーク内の複数の場所でサービスを提供し、複数のネットワーク名 (SSID: Service Set IDentifier) を使用できます。ユーザーがある場所から WISP にサインアップを済ませるか、またはプロビジョニング情報をあらかじめ得ているかダウンロードしておけば、以後さまざまなホットスポット地点で WISP が提供するネットワークを使ってインターネットに自動的に接続できます。ワイヤレス自動設定サービスは、提供されているプロビジョニング ファイルに基づき、WISP に属しているネットワークを自動的に正しく選びます。WSP では、プロバイダが異なっていても自動的でシームレスなローミングを可能としています。

さらに、WPS を利用した場合には、クライアント コンピュータは自分のコンピュータに格納しているプロビジョニング情報を自動的に最新のものに更新します。これによって、プロバイダはサービスを中断することも、ユーザーにシステムを再設定させることもなく、ネットワーク設定の変更や新しいホットスポット地点の追加などを行うことができます。

ユーザーがコンピュータを WISP に接続し、初めてアカウントを作成する場合には、次の 4 段階の処理が行われます。

・  

Wi-Fi ホットスポットで、コンピュータが WISP ネットワークを発見します。

・  

ユーザーはゲストアカウントで認証され、コンピュータは Wi-Fi ネットワークに接続されます。

・  

モバイル クライアントはプロビジョニングとして接続されるので、ユーザーは WISP にアカウントを登録します。

・  

ユーザーは新しいユーザー アカウント資格情報を使って、Wi-Fi ネットワークで認証を受けます。

これらの段階については、次のシナリオで 1 つずつ詳細に説明します。

Windows XP SP2 とワイヤレスプロビジョニングサービスが動作しているポータブルコンピュータを持ったユーザーが Wi-Fi ホットスポットに到着します。このコンピュータが WISP アクセス ポイント ビーコンの範囲内に入ると、次のことが起きます。

1.

クライアントコンピュータの WAC (Wireless Auto Configuration) サービスが、アクセスポイントが発しているビーコン情報を検出します。これは SSID (Secure Set Identifier) のブロードキャストが有効になっていることによって可能です。SSID はネットワーク名に等しいものです。

2.

ユーザーは Windows XP から、ワイヤレスネットワークを利用できることを知らされます。ユーザーはネットワークのフレンドリ名を含む情報を Windows XP で表示します。この例では、ユーザーはアカウント作成に使用するプロモーション コードを所有しており、[接続] をクリックして先に進みます。これにより、WPS クライアントは権限が制限されたゲスト アカウントを使って、ユーザーのコンピュータをワイヤレス ネットワークに接続させます。

ゲスト アカウントが Wi-Fi ネットワークで認証されると、次のことが起きます。

1.

WAC は 802.1x と PEAP (Protected Extensible Authentication Protocol) を使って、アクセスポイントから WISP ネットワークにゲストとして接続し、認証を行います。これによりユーザー名とパスワードが空白のままで WISP の IAS (Internet Authentication Service) サーバーに自動的に受け渡されます (IAS はマイクロソフトRADIUS サーバーとしても知られています)。アクセス ポイントはゲートウェイ デバイスに接続されていて、ゲートウェイ デバイスではサインアップ プロセスを完了するためにクライアントからのトラフィックをネットワークのプロビジョニングサービスに受け渡しますが、クライアントのインターネットへのアクセスはブロックします。

2.

IAS サーバー (または RADIUS サーバー) は、ゲスト接続するユーザーにとっては、PEAP 認証システムであり、TLS (Transport Layer Security) エンドポイントでもあります。TLS トンネルがクライアントと IAS サーバー間で作成されます。クライアントとサーバー間でこれ以降にやりとりされるメッセージはすべてこのトンネルを通り、アクセス ポイントとゲートウェイ デバイスを通過します。

3.

EKU (Enhanced Key Usage) 拡張内に埋め込まれたサーバー認証目的を含む証明書を利用して、IAS サーバーがクライアントコンピュータに対して ID を証明することによって、サーバー認証が行われます。この証明書は、クライアント コンピュータが信頼する、公的に信頼されているルート CA (Certification Authority) により発行されます。

4.

IAS サーバーは、ユーザーをゲストとして認証し、承認します。IAS サーバーがクライアントに送信する Access-Accept メッセージには、プロビジョニング情報への URL を含むコンテナがあります。この URL では、クライアントで動作する WPS エンジンに、XML マスター ファイルの場所を提供します。

クライアントが情報提供を受けると、ユーザーは次のようにしてアカウントを作成します。

1.

クライアントコンピュータ上で、WPS はプロビジョニングサーバーから XML マスターファイルとサブファイルをダウンロードします。このマスター ファイルには、処理中のクライアントの進捗状況を制御する XML サブ ファイルへのポインタが含まれています。XML サインアップ スキーマのダウンロードが済むと、サインアップ ウィザードがクライアント上で起動され、ユーザーは WISP のアカウントを作成し、支払いを行うことができます。

2.

クライアントコンピュータ上のサインアップウィザードを使用して、ユーザーはアカウントのサインアッププロセスを進めます。ユーザーは、名前、住所やクレジット カード番号といった個人的データだけでなく、プロモーション コードも入力します。ユーザーが入力したデータは、WPS クライアントが XML ドキュメントに変換します。

3.

ユーザーのサインアップデータを含む XML ドキュメントは、WISP プロビジョニングサーバー上の Web アプリケーションに送られます。

4.

この Web アプリケーションは、ユーザーが入力したプロモーションコードをプロモーションコードデータベース (例 : SQL Server データベース) と突き合わせてチェックします。このプロモーション コードが妥当なものであれば、Web アプリケーションはユーザー データの処理を継続します。

5.

Web アプリケーションはユーザーの支払い情報を処理します。支払いについての確認が済み、サインアップ情報処理が正常に終了すると、Web アプリケーションはプロモーション コード データベースからドメインとセキュリティ グループ情報を読み出し、(Active Directory のような) ID サービスでユーザー アカウントを作成し、このアカウントをセキュリティ グループに追加します。この Web アプリケーションでは、プロモーション コード データベースに新しいユーザー名も入力します。

6.

新しいアカウントの資格情報を含む XML ドキュメントは、WISP プロビジョニングサーバーからクライアント コンピュータ上の WPS クライアントに送信されます。クライアント コンピュータは、この資格情報を使って WISP の名前で WAC と 802.1x を設定します。この新しいユーザー アカウントのパスワード ベースの資格情報 (ユーザー名とパスワード) で接続をやり直します。

最後に、ユーザーが新しいアカウント資格情報を使って認証を済ませ、インターネットアクセスが行えるようになるには、次のことが起きます。

1.

クライアントコンピュータ上の WAC (Wireless Auto Configuration) サービスは WISP の SSID とのアソシエーションを再起動します。

2.

WAC は、WISP の他の情報と共にXML マスターファイルにダウンロードされている正しい 802.11 プロファイルを探します。WAC は正しいプロファイルを使用して、アクセス ポイントと再連携します。

3.

WAC は 802.1x を使用して認証プロセスを開始します。この際に WPS クライアントから 802.1x に渡される新しいアカウント資格情報を利用して、PEAP-MSCHAPv2 (Protected Extensible Authentication Protocol and the Microsoft Challenge Handshake Authentication Protocol version 2) を組み合わせて使用します。

4.

クライアントが PEAP-MSCHAPv2 認証で認証プロセスを開始すると、TLS チャネルがユーザーのクライアントコンピュータと WISP IAS サーバー間に作成されます。

5.

PEAP-MSCHAPv2 認証の第 2 段階で、WISP IAS サーバーはユーザーアカウントデータベース (例 : Active Directory) の新アカウントに対する接続要求を認証し、承認します。IAS サーバーは、アクセス ポイントに対し、Access-Accept メッセージを送信します。Access-Accept メッセージに含まれるのは、ユーザーがインターネットにアクセスできることを示す属性です。

6.

アクセスポイントは、クライアントをインターネットへアクセス可能な論理的なネットワークセグメントに割り当てるようにゲートウェイデバイスに指示します。

軽減される脅威 - この変更の重要性

ワイヤレスプロビジョニングサービス (WPS) を使用することにより、セキュリティを犠牲にすることなく、ワイヤレスホットスポットを簡単に利用できるようになります。Windows Server 2003 Service Pack 1 とマイクロソフト IAS (RADIUS サーバーとしても知られています) を使用する WPS を利用すれば、ユーザーのコンピュータはセキュリティが強化された状態でワイヤレス ホットスポットをより簡単に発見し、接続し、ローミングすることができます。

・  

WISP とのサインアップと利用に使用している現在の接続モデルはセキュリティ保護がなされていません。ほとんどの Wi-Fi ホットスポットは、オープン認証であり、データ暗号化なしの設定になっています。ユーザーが WISP サービスへの初期サインアップとその後のログインを行うには、Web ブラウザを起動する必要があるのが一般的です。WPS では、クライアントとワイヤレス ネットワーク間の通信に暗号化と認証を追加して、この脅威を軽減しています。

・  

ブラウザのリダイレクトを行う導入方法には、多数のユーザビリティ問題があります。ユーザーは接続する際にブラウザを起動する必要があることさえ知らない可能性があります。別の例としては、インターネットにアクセスするためにブラウザでプロキシ設定を行い、ユーザーが直接に企業ネットワークに接続している場合です。この場合には、ブラウザのリダイレクトはうまく行かず、ユーザーはプロキシ設定を無効にしないとホットスポットに接続できないことを知る必要があります。このことは WISP へのサポート コールまたは企業のヘルプデスクへのコールに費用がかかる結果となります。

・  

ブラウザベースの導入は、たとえば不正サーバーを使用する悪意あるフロントエンドサーバーによる man-in-the-middle 攻撃に対して脆弱です。このアクセス ポイントから問い合わせを受けたユーザーは、知らず知らずのうちに個人情報やクレジット カード情報を渡してしまうことがあります。Web にログインする必要性をなくすことで、WPS はこの種の攻撃に弱い WISP ユーザーの脆弱性を改善しています。

・  

追加のホットスポットクライアントソフトウェアがなければ、ユーザーは簡単にホットスポットを検出することもできず、ホットスポットにサインアップする統一的な仕掛けもないことになります。ユーザーが WISP に関する情報を探すことも、WISP 対応のホットスポット地点を検索することも容易ではありません。ユーザーがあるホットスポットでサインアップしても、必ずしも別のホットスポットを自動的に利用できる設定が必要とは限りません。さらに、ユーザーへのプロビジョニング情報と設定情報を最新に保つ標準的な仕掛けもありません。

・  

アドオン型のホットスポット クライアント ソフトウェアは特定の WISP ネットワークにアクセスするのには役立ちます。しかながら、アドオン型のソフトウェアはオペレーティング システムに元から存在しているワイヤレス サービスとも衝突する可能性があり、または別のプロバイダのクライアント ソフトウェアは潜在的に互換性問題を引き起こし、システム全体のワイヤレス設定を制御しようとしてシステムの不安定さを招くことさえあります。WISP 設定の更新は、クライアント ソフトウェアの更新を必要とするのが一般的です。このような理由から、企業の IT 部門では、自社のユーザーにサードパーティ製のホットスポット クライアント ソフトウェアを導入することに消極的です。

・  

WISP を見渡してもユーザーのサインアップと設定の更新を処理する標準的な機構はありません。結果的に、ユーザー エクスペリエンスは寸断されたものとなり、プロバイダを超えて自動的かつシームレスなローミングを行うことは困難です。

ワイヤレス ネットワーク登録ウィザード

詳細説明

ワイヤレスネットワーク登録ウィザードは、ワイヤレスホットスポットへのサインアップを行うユーザーインターフェイスを提供し、ユーザーがプロビジョニングプロセスを進めていく上でガイダンスを提供します。このウィザードは、WISP が提供するプロビジョニング情報 (XML ファイル) からコンテンツを構築します。このプロビジョニング情報は動的にダウンロードすることもクライアント システムに前もってインストールしておくことも可能です。プレインストールは、新システム向けに OEM が提供することも、組織内の IT 部門が提供することも、WISP の Web サイトから提供することもできます。WISP はこのプロビジョニング情報を所有、作成し、ユーザーのサインアップとプロビジョニングエクスペリエンスを推進します。次の例では、プリペイド コードで行う簡単なワイヤレス ネットワーク登録ウィザード エクスペリエンスを示します。XML スキーマとウィザードは柔軟で、より複雑なサインアップ エクスペリエンスを実現できます。

まず、ユーザーは通知エリアにあるワイヤレスネットワークアイコンを右クリックして、[利用できるワイヤレスネットワークの表示] をクリックするか、または近くに新しいワイヤレスネットワークがあることを示す通知エリアの通知メッセージにユーザーが応答することができます。[ワイヤレスネットワークの選択] が現れると、ユーザーは新しいワイヤレス ネットワークを選択し、優先ネットワーク リストにそのネットワークを追加します。

次にユーザーはネットワーク名 (SSID) を選択し、[接続] をクリックしてワイヤレス ネットワークに接続します。WPS ベースの Wi-Fi ホットスポットの場合には、クライアントはネットワークとプロバイダに関するさらに詳細なプロビジョニング情報が XML ファイル形式で用意されていることを検出します。このプロビジョニング情報をダウンロードすべきかどうか、ユーザーに確認します。非 WPS ネットワークの場合には、このエクスペリエンスは今の Windows XP と同じで、セキュリティ保護がかかっているネットワークに接続する際にユーザーがセキュリティ キーを要求されるか、または接続しようとしているネットワークはセキュリティ保護がされておらず、それでも接続したいかどうかという警告をユーザーが受け取ります。

ダウンロードが完了すると、ワイヤレスネットワーク登録ウィザードが自動的に起動され、ユーザーのサインインプロセスを導きます。最初の画面には、プロバイダがカスタマイズしたロゴ (またはバナー) とプロバイダ提供のコンテンツを表示します。

この後に、サブスクリプションプランの選択、クレジットカード情報や個人情報等の入力画面が続きます。この例では、プランは 1 つだけで、ユーザーはプリペイド コードまたはプロモーション コードを入力してネットワークにアクセスします。次に、[Wi-Fi ホットスポット導入] ではサービス契約に関する条項とプライバシーに関する説明のような、選択プランに関する情報を表示します。

最後の画面では、接続を行う際の設定についてウィザードがユーザーに問い合わせます。このような既定の設定はプロバイダが設定しますが、ユーザーが上書きできます。たとえば、データ量に制限のない月決めのサブスクリプションを選択していると、ユーザーは近くにネットワークがある場合には常に自動的にネットワークに接続することを望むと思われます。ユーザーが「プリペイド (pay-as-you-go)」プランを選択した場合は、接続タイミングは自分で制御したいと思われ、設定として手動接続オプションを選択するものと考えられます。

2 番目のオプションは、クライアントがプロビジョニング情報を自動的に更新し続けるかどうかを決定します。たとえば、プロバイダが新しいネットワーク名、新しいホットスポット地点を追加するか、またはネットワークやセキュリティ設定を変更すると、クライアントはネットワーク接続中にユーザーが介入しなくても自動的にその情報を更新できます。

同じ場所か違う場所かにはこだわらず、プロバイダまたはプロバイダのローミングパートナーが提供するホットスポットに何度も訪れる場合、自動接続を選択している場合には、ユーザーはモバイルコンピュータを開くか、またはスタンバイ状態からレジューム操作を行うだけで、自動的に接続されます。接続が行われると、([利用できるワイヤレスネットワークの表示] の通知ウィンドウから開く) [ワイヤレスネットワークの選択] ダイアログ ボックスに複雑なネットワーク名や SSID を示す代わりに、見慣れたプロバイダ名が、プロバイダのロゴと共に示されます。

このダイアログボックスから、ユーザーは利用可能なホットスポットの地点を検索することも、また WISP が提供するヘルプとサポート情報を表示させることもできます。ヘルプとホットスポット地点に関する情報の両方とも、プロビジョニング情報の一環としてダウンロード可能です。ホットスポットの場所に関する情報は、オンラインでもオフラインでも検索、表示可能です。

Windows XP Service Pack 2 で変更された既存機能

ワイヤレス ユーザー インターフェイスが変更され、新しい [利用できるワイヤレス ネットワークの表示] ダイアログ ボックスによって既存のダイアログ ボックスが置き換わります。

Windows XP Service Pack 2 で動作させるためにコードの修正が必要か?

ワイヤレスプロビジョニングサービスは、既存のアプリケーションに変更は必要ありません。WPS には新しい API が 2 つあります。新しい API の 1 つは、マシン上の XML データの追加とクエリー手順を提供します。この API は (スタンドアロン アプリケーションを利用する) ユーザー、OEM、または IT 部門が、WISP Web サイトからクライアントに事前にプロビジョニングする際に利用できます。

ワイヤレス ネットワーク セットアップ ウィザード

ワイヤレス ネットワーク セットアップ ウィザードの機能

ワイヤレス ネットワーク セットアップ ウィザードを使うことにより、ユーザーはセキュリティを強化したワイヤレス ネットワークを設定でき、コンピュータやその他デバイスでワイヤレス ネットワーク接続を設定するプロセスを単純化できます。このウィザードを使うと、設定やセキュリティ キーを含むワイヤレス設定を USB フラッシュ デバイスのようなリムーバブル メディアに格納でき、これを持ち歩くことにより、他のデバイスやコンピュータにワイヤレス ネットワークを構成することができます。このウィザードでは、設定情報を簡単に印刷する方法も提供しているので、リムーバブル メディアから情報を読み取れないデバイスにでも設定情報を手作業で入力可能です。

この機能の適用対象

以下のようなハードウェア コンポーネントを備えたコンピュータを有するユーザー。

・  

USB ホスト ポート

・  

インストール済みワイヤレス ネットワーク

注 : このウィザードはワイヤレス接続していないコンピュータからでも実行可能です。

Windows XP Service Pack 2 でこの機能に追加された新機能

ワイヤレス ネットワーク セットアップ ウィザード

詳細説明

ワイヤレス ネットワーキングが普及するにつれて、家庭にワイヤレス ネットワークを設置し、ネットワークに接続するコンピュータやその他デバイスを導入するユーザーが増えてきています。Windows XP Service Pack 2 以前の状況では、セキュリティ保護されたワイヤレス ネットワークを作成し、そのワイヤレス設定をワイヤレス クライアントや追加アクセス ポイントに送り込むことは非常に困難でした。ワイヤレス ネットワーキング ハードウェア (ワイヤレス アクセス ポイントまたは WAP として知られています)、ワイヤレス クライアント (コンピュータやその他デバイスのクライアント) を設定し、ブートストラップする、簡単で安全な方法を求めるニーズの増大に対処するため、このワイヤレス ネットワーク セットアップ ウィザードが設計されました。

Windows ユーザーは、このワイヤレス セットアップ ウィザードを使うと、XML (Extensible Markup Language) スキーマとリムーバブル メディアを使って、簡単にネットワーク設定を作成、配布する手段が手に入ります。将来的には、ワイヤレス LAN (WLAN) だけでなく、ワイド エリア ネットワーク (WAN)、ローカル エリア ネットワーク (LAN) の転送設定にも、この XML スキーマを使えるようになるでしょう。ただし、この Windows XP SP2 用のワイヤレス ネットワーク セットアップ ウィザードで作成した XML ファイルは、WLAN の転送構成設定にしか利用できません。

この変更の重要性

家庭用のワイヤレス ネットワークでは、すべてのネットワーク コンポーネントにセキュリティ識別子を付加する作業が面倒なため、セキュリティ オプションなしで導入している所が多いのが現状です。このウィザードを使えば、ユーザーはセキュリティを強化したワイヤレス ネットワークを簡単に作成できるようになります。ワイヤレス ハードウェア サポートを標準で備えたコンピュータやデバイスが数多く製造されるようになるにつれて、この機能を簡単に設定、実装する方法を求める声が大きくなってきました。しかし、多くのデバイスがセキュリティを強化したワイヤレス ネットワーク設定を入力する手段を持っていません。このウィザードを使えば、このようなデバイスの設定が単純化され、セキュリティを強化したワイヤレス ネットワークの導入は荷が重い作業ではなくなります。次に示すリストでは、ワイヤレス ネットワーク セットアップ ウィザードを使って設定できるデバイスの例を示しています。

・  

ワイヤレス アクセス ポイント

・  

デスクトップ コンピュータ

・  

ネットワーク プリンタ

・  

フォト ステーション

・  

デジタル メディア レシーバー

・  

電子フォトフレーム

・  

セットトップ ボックス

・  

ポータブル コンピュータやポータブル デバイス

軽減される脅威

セキュリティ オプションなしで導入されるワイヤレス ネットワーク。セキュリティ保護されていないワイヤレス ネットワークは、悪意あるユーザーがデジタル情報やその他のネットワーク資産にアクセスする入口を提供します。

動作が異なるか停止する機能

これはワイヤレス ネットワークを構成する新しい機構を提供する新しいウィザードです。コンピュータやデバイスが、このアーキテクチャを直接にサポートしていなくても、このウィザードは便利な設定ツールです (ワイヤレス ネットワークを作成し、設定を印刷すれば、ワイヤレス デバイスやワイヤレス コンピュータに手作業で設定を入力できるからです)。


表示:
© 2014 Microsoft