脅威とその対策

システム サービスは、脆弱性、対策、および考えられる影響が、すべてのサービスでほぼ同じであるため、このガイドの他の設定とは異なった方法で記述しています。

Microsoft® Windows Server™ 2003 または Microsoft Windows® XPを最初にインストールしたとき、一部のサービスは既定でインストールされ、コンピュータの起動時に実行されるよう構成されます。既定でインストールされるサービスは Windows 2000 Server の場合よりも少なく、Windows Server 2003 の特定のサービスは、各サーバーに割り当てられた役割によって異なります。お使いの環境で既定のサービスがすべて必要とは限りません。不必要なサービスは無効にして、セキュリティを強化することができます。

この章では、各サービスの機能と目的を示します。また、アプリケーションとクライアントの互換性を提供したり、コンピュータ システム管理を容易にするために、Windows Server 2003 と Windows XP で有効のまま残されたサービスについて説明します。このガイドのダウンロード バージョンに付属の「Windows Default Security and Services Configuration」という Microsoft Excel® ブックに、システム サービスの既定の設定が記載されています。

トピック

	サービスの概要
	サービス オブジェクトにアクセス許可を設定しない
	システム サービスの説明
	関連情報

サービスの概要

サービスは、オペレーティング システムのリソースおよびオブジェクトにアクセスするために、ログオンする必要があります。ほとんどのサービスは既定のログオン アカウントを変更するようには設計されていません。既定のアカウントを変更すると、サービスは失敗します。サービスとしてログオンする権限を持たないアカウントを選択した場合、Microsoft 管理コンソール (MMC) サービス スナップインにより、そのアカウントに対して、サービスとしてコンピュータにログオンするための権限が自動的に付与されます。ただし、この自動の構成によってそのサービスが開始することは保証されません。Windows Server 2003 には、さまざまなシステム サービス用のログオン アカウントとして使用するローカル アカウントが 3 つ組み込まれています。

重要 : サービスの既定の設定を変更すると、主要なサービスが正しく動作しない場合があります。既定で自動的に開始するよう構成されているサービスの [スタートアップの種類]と [ログオン方法]の設定を変更するときは特に注意が必要です。

システム サービスの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\システム サービス\

脆弱性

どのサーバーまたはアプリケーションも、攻撃ポイントとなる可能性があります。そのため、お使いの環境にある不要なサービスや実行可能ファイルはすべて無効にするか、削除する必要があります。Windows Server 2003 には、オペレーティング システムの既定のインストールではインストールされない、証明書サービスなどの追加のオプション サービスがあります。

これらのオプション サービスを既存のコンピュータに追加するには、[コントロール パネル] の [プログラムの追加と削除] または Windows Server 2003 のサーバーの構成ウィザードを使用します。または、カスタマイズした Windows Server 2003 の自動インストール版を作成します。http://go.microsoft.com/fwlink/?LinkId=14845 の「Windows Server 2003 セキュリティ ガイド」で説明されているメンバ サーバー ベースライン ポリシー (MSBP) では、これらのオプション サービスおよびその他の不要なサービスは無効になっています。

重要 : 追加のサービスを有効にすると、それらのサービスが他のサービスに依存する場合があります。組織でサーバーが実行する役割に関するポリシーに、特定のサーバーの役割に必要なサービスをすべて追加してください。

対策

不要なサービスはすべて無効にしてください。

各システムのサービス状態は、グループ ポリシーを介して割り当てることができます。このグループ ポリシーで設定可能な値は、以下のとおりです。

サービス セキュリティを管理するもう 1 つの方法は、ユーザー定義のアカウント一覧のあるサービスごとにアクセス制御リスト (ACL) を構成することです。この方法では、サービスの起動および実行中のサービスへのアクセスを制御する方法を提供します。

考えられる影響

セキュリティ アカウント マネージャなどの一部のサービスが無効の場合、コンピュータを再起動できません。また、一部の重要なサービスを無効にすると、ドメイン コントローラでコンピュータを認証できない場合もあります。一部のシステム サービスを無効する場合、非運用コンピュータで変更した設定をテストしてから、運用環境で変更してください。

ページのトップへ

サービス オブジェクトにアクセス許可を設定しない

サービスの編集に使用できるグラフィカル ユーザー インターフェイス (GUI) べースのツールがあります。ただし、以前のバージョンの Windows オペレーティング システム (Windows Server 2003 以前) に付属のツールでは、サービス プロパティのいずれかを構成すると、各サービスに自動的にアクセス許可が適用されます。グループ ポリシー オブジェクト エディタや MMC セキュリティ テンプレート スナップインなどのツールは、セキュリティ構成エディタ DLL を使用して、これらのアクセス許可を適用します。

たとえば、MMC セキュリティ テンプレート スナップインを使用して、Windows XP のサービスのスタートアップ状態を構成する場合、次のダイアログ ボックスが表示されます。

図 7.1 : サービスのセキュリティに関するダイアログ ボックス
画像をフルサイズで表示

[OK]と [キャンセル]のどちらをクリックしても、構成中のサービスにアクセス許可が適用されます。このダイアログ ボックスで提案されるアクセス許可は、Windows に含まれるサービスのほとんどの既定の許可と一致しません。実際、アクセス許可は、多くのサービスでさまざまな問題の原因になります。Microsoft では、Windows XP または Windows Server 2003 に含まれるサービスのアクセス許可を変更しないことをお勧めします。既定のアクセス許可は十分に制限されているからです。

この機能は Windows Server 2003 で変更され、Windows Server 2003 のセキュリティ構成エディタ DLL は、サービスのプロパティを編集する際にアクセス許可の構成を強制しません。この難しい状況に対応するには、いくつかのオプションがあります。

セキュリティ テンプレートを手動で編集する

メモ帳などのテキスト エディタを使って、セキュリティ テンプレートを手動で編集することができますが、セキュリティ テンプレートは複雑なファイルです。不適切に定義されたテンプレート仕様で作成されたセキュリティ テンプレートを使うと、コンピュータが起動しなくなります。ほとんどのミスはそれほど深刻な問題を起こすものではありませんが、セキュリティ テンプレートを手動で編集する必要がある場合は、細心の注意を払って作業してください。

GUI ベースのツールの 1 つを使ってセキュリティ テンプレートのサービスを構成する場合、ファイルの “Service General Setting” セクションに構成情報が格納されます。次のサンプル テキストは、Alerter、クリップブック、および Computer Browser サービスのスタートアップ状態が [無効]、DHCP Client サービスのスタートアップ状態が [自動]に構成されているセキュリティ テンプレートから抜粋したものです。

[Service General Setting] 
Alerter,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) 
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)
(A;;CCLCSWLOCRRC;;;IU) 
S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" 
ClipSrv,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) 
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)
(A;;CCLCSWLOCRRC;;;IU) 
S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" 
Browser,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) 
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)
 S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" 
Dhcp,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) 
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)
(A;;CCLCSWLOCRRC;;;IU) 
S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

各エントリのフォーマットには、コンマで区切られた 3 つのフィールドがあります。

セキュリティ構成ウィザードを使用するのに、SDDL の詳細を理解する必要はありません。SDDL の詳細については、MSDN® の記事 http://msdn.microsoft.com/library/en-us/secauthz/security/security_descriptor_definition_language.asp の「Security Descriptor Definition Language」
(英語情報) を参照してください。

サービス オブジェクトのアクセス許可に関する潜在的な問題を解決するためには、3 番目のフィールドの SDDL 文字列を削除し、二重引用符のペアのみをそのまま残します。この場合、例の 4 つのサービスは、次のような記述になります。

[Service General Setting] Alerter,4,"" ClipSrv,4,"" Browser,4,"" Dhcp,2,""

セキュリティ テンプレートのすべてのサービスから SDDL 情報を削除した後、ファイルを保存します。これで、任意の一般的な方法でセキュリティ テンプレートを適用できます。もちろん、運用コンピュータに適用する前に、セキュリティ テンプレートを十分テストすることが重要です。

ページのトップへ

システム サービスの説明

次のサブセクションでは、Windows Server 2003 と Windows XP のサービスを説明します。既定でインストールされるサービスと、コンピュータに追加できるサービスの両方があります。

注 : サービスが開始しない場合、そのサービスに依存する他のサービスも開始に失敗します。したがって、1 つのサービスの状態を変更すると、それが表面上は関係なさそうなサービスに影響する可能性があります。このような依存は、このセクションで説明するすべてのサービスに存在します。サービスの依存を確認するには、[MMC サービス] スナップインでサービスのプロパティ ダイアログの [依存関係]タブをクリックします。

Alerter

Alerter サービスは、選択したユーザーおよびコンピュータに管理警告を通知します。このサービスを使用すると、ネットワークに接続している指定のユーザーに警告メッセージを送信できます。

警告メッセージでは、セキュリティ、アクセス、およびユーザー セッションに関する問題がユーザーに警告されます。警告メッセージはサーバーからクライアント コンピュータへ送信されます。ユーザーが警告メッセージを受信するには、クライアント コンピュータで Messenger サービスを実行している必要があります (悪質なユーザーが虚偽の通知を送信しないように、Windows XP および Windows Server 2003 では Messenger サービスは既定で無効になっています)。

Alerter サービスをオフにすると、NetAlertRaise または NetAlertRaiseEx アプリケーション プログラミング インターフェイス (API) を使用するアプリケーションは、Messenger サービスのメッセージ ボックスを通じて、管理警告が行われたという通知をユーザーまたはコンピュータに送信できません。たとえば、Uninterruptible Power Supply (UPS) 管理ツールの多くは、Alerter サービスを使用して、UPS 関連の重要なイベントを管理者に通知します。このサービスを使用する場合、外部コンポーネントが必要に応じてこのサービスを使用できるように、スタートアップ状態を [自動]に構成しておく必要があります。

Application Experience Lookup Service

Application Experience Lookup Service (AELookupSvc) は Application Compatibility Administrator の一部です。このサービスは、アプリケーションが起動した際にアプリケーション互換性の参照要求を処理し、ドメイン上の Windows Server 2003 コンピュータへのサポートの提供、互換性の問題のレポート生成、およびプログラムへのソフトウェア更新の自動適用を行います。

アプリケーション互換性ソフトウェアの更新が自動的に適用されるには、Application Experience Lookup Service が有効でなければなりません。このサービスはオペレーティング システムが内部的に使用するため、カスタマイズすることはできません。このサービスは、どのようなネットワーク、インターネット、または Active Directory® ディレクトリ サービス リソースも使用しません。

Application Experience Lookup Service を無効にすると、サービスは実行されたままですが、サービスに対する呼び出しは行われません。実際のプロセスを停止することはできません。

Application Layer Gateway Service

Application Layer Gateway Service は、Windows ネットワーク サブシステムのサブコンポーネントです。ネットワーク プロトコルがファイアウォールを通過し、インターネット接続共有 (ICS) の背後で動作できるようにするプラグインのサポートを提供します。ALG (Application Layer Gateway) プラグインでは、ポートを開いて、ポートや IP アドレスなど、パケットに埋め込まれたデータを変更できます。ファイル転送プロトコル (FTP) は、Windows Server 2003 Standard Edition と Windows Server 2003 Enterprise Edition にプラグインが組み込まれた唯一のネットワーク プロトコルです。

ALG FTP プラグインは、アクティブな FTP セッションを、Windows に含まれたネットワーク アドレス変換 (NAT) エンジンを介してサポートするよう設計されています。ALG FTP プラグインは、これを行うために、NAT を経由するポート 21 へのすべてのトラフィックを、ループバック アダプタ上の 33000 から 5000 までのプライベート リスン ポートへリダイレクトします。そして、FTP データ チャネルのために NAT を介してポートのマッピング情報を取得できるようにするため、FTP コントロール チャネルのトラフィックを監視し、更新します。また、この FTP プラグインは FTP コントロール チャネルのストリームにおけるポート情報も更新します。

Application Layer Gateway Service を停止すると、これらのプロトコルのネットワーク接続が利用できなくなり、ネットワークに悪影響が及びます。たとえば、このサービスを無効にすると、Windows Messenger および MSN® Messenger インスタント メッセージング アプリケーションは失敗します。

Application Management

Application Management サービスは、Assign、Publish、および Remove などのソフトウェア インストール サービスを提供します。組織のネットワークを通じて配置されたアプリケーションを、列挙、インストール、および削除するための要求を処理します。ドメインに参加しているコンピュータの [コントロール パネル] の [プログラムの追加と削除] で [追加]をクリックすると、プログラムがこのサービスを呼び出して、配置されたアプリケーションの一覧を取得します。このサービスは、[プログラムの追加と削除] でアプリケーションをインストールまたは削除するときにも呼び出されます。また、シェルや COM などのコンポーネントが、コンピュータ上に存在しないファイル拡張子、COM (Component Object Model) クラス、または ProgID を処理するためのアプリケーションのインストール要求を行う場合にも呼び出されます。このサービスは最初の呼び出しで起動し、いったん起動すると終了しません。

注 : COM、COM クラス、または ProgID の詳細については、www.microsoft.com/windows/reskits/webresources の「Windows Resource Kits - Web Resources」ページの「Software Development Kit (SDK) information in the MSDN Library」(英語情報) を参照してください。

Application Management サービスを停止または無効にすると、ユーザーは、Microsoft IntelliMirror® 管理テクノロジを介して Active Directory に配置されたアプリケーションをインストール、削除、または列挙できません。このサービスを無効にすると、配置されたアプリケーションの情報は取得されず、この情報は [コントロール パネル] の [プログラムの追加と削除] の [プログラムの追加]セクションにも表示されません。[ネットワークからプログラムを追加]ダイアログ ボックスに次のメッセージが表示されます。

ネットワーク上に利用可能なプログラムはありません

このサービスはいったん開始すると、コンピュータを再起動するまで停止できません。このサービスが不要な場合は、開始しないように無効にしておく必要があります。

ASP .NET State Service

ASP .NET State Service は、ASP.NET のプロセス外セッション状態をサポートします。ASP.NET には、セッション状態という概念があります。つまり、クライアント セッションに関連した値の一覧が、[セッション]設定を指定することにより ASP.NET のページからアクセスできるということです。セッション データを保存するためのオプションは、プロセス内、Microsoft SQL Server™ データベース、プロセス外セッション状態サーバーの 3 つです。

ASP .NET State Service はセッション データをプロセス外に保存します。このサービスは、ソケットを使用して Web サーバー上で稼動する ASP.NET と通信します。このサービスを停止または無効にすると、プロセス外の要求は処理されません。このサービスの実行可能コードは既定でインストールされますが、サービスのスタートアップの種類を手動で [自動] または [手動] に変更するまで、サービス自体は無効です。

Automatic Updates

Automatic Updates サービスを利用すると、Windows および Office のセキュリティに関する更新をダウンロードし、インストールできます。このサービスにより、最新の更新、ドライバ、および拡張が Windows コンピュータに自動的に提供されます。セキュリティの更新や情報を手動で検索する必要はなく、オペレーティング システムによりコンピュータに直接配信されます。オペレーティング システムはオンライン接続されていることを認識して、そのインターネット接続を利用し、Windows Update サービスから適切な更新を検索します。構成の設定に応じて、ダウンロードやインストール前に通知されるか、更新が自動的にインストールされます。

自動更新機能をオフにするには、[コントロール パネル] の [システム]設定を使用します。または、[マイコンピュータ]アイコンを右クリックして [プロパティ]をクリックします。

MMC グループ ポリシー オブジェクト エディタ スナップインを使用すると、Microsoft Update サイトの更新をホストする Windows Server Update Services によって構成されるイントラネット サーバーを構成することもできます。この設定を使用すると、ローカル ネットワーク上のサーバーを指定して社内の更新サービスとして利用できます。"自動更新" のクライアントは、このサービスを検索してネットワーク上のコンピュータに適用する更新があるかを確認します。

注 : Windows Server Update Services についての詳細は、Web サイト http://www.microsoft.com/japan/windowsserversystem/updateservices/evaluation/previous/default.mspx の「Microsoft Software Update Services (SUS)」を参照してください。

Automatic Updates サービスを停止または無効にすると、更新がコンピュータに自動的にダウンロードされません。適用可能な修正の検索、ダウンロード、インストールは、Web サイト http://update.microsoft.com の「Microsoft Update」から行ってください。

Background Intelligent Transfer Service (BITS)

Background Intelligent Transfer Service はバックグラウンドでファイルを転送するメカニズムを持つキュー マネージャです。BITS はクライアントと HTTP サーバー間で非同期にファイルを転送します。既定では、BITS への要求が送信されると、ブラウズなどの他のネットワーク関連アクティビティが影響を受けないよう、ファイルは他のアイドル状態のネットワーク帯域幅を使用して送信されます。

BITS は、接続が失われた場合やユーザーがログオフした場合は転送を一時停止します。BITS 接続は継続しているため、ユーザーがログオフしている間、ネットワークの切断後、そしてマシンの再起動中でも情報は転送されます。ユーザーがログオンすると、BITS はユーザーの転送ジョブを再開します。

BITS はキューを使用してファイル転送を管理します。転送ジョブの優先度はキューの中で決定でき、ファイルの転送をフォアグラウンド、バックグラウンドのどちらで行うかを指定できます。バックグラウンド転送は、BITS が、利用可能なアイドル状態のネットワーク帯域幅の量に基づいて、ファイルの転送速度を増減 (またはスロットル) することによって最適化されます。ネットワーク アプリケーションの消費する帯域幅が増えると、BITS はその転送速度を下げて、ユーザーの対話を継続できるようにします。

BITS には 1 つのフォアグラウンド優先レベル、3 つのバックグラウンド優先レベルがあり、それによって転送ジョブの優先度を決定できます。優先度の高いジョブが優先度の低いジョブより先に処理されます。優先レベルが同じジョブは転送時間を共有でき、ラウンドロビン方式のスケジューリングにより、大きなジョブが転送キューをふさいでしまうことはありません。優先度の低いジョブは、優先度の高いジョブがすべて完了するか、エラー状態になるまで転送時間を与えられません。

BITS は、Windows Server 2003 と Windows XP の両方で、手動で開始するように設定されています。最初のジョブが送信されると、オンデマンドで開始します。すべての未処理ジョブが完了すると、BITS は停止します。

BITS を停止すると、自動更新などの機能は、プログラムや他の情報を自動的にダウンロードできなくなります。これは、企業の Software Update Services サーバーがグループ ポリシーを通じて構成されている場合、コンピュータも Software Update Services から自動アップデートを受信できないことを意味します。このサービスを無効にすると、このサービスに明示的に依存しているすべてのサービスは、Internet Explorer などの他の方法で直接ファイルを転送する緊急時のメカニズムがない限り、ファイルを転送できなくなります。

Certificate Services

Certificate Services サービスは、中核となるオペレーティング システムとして機能し、企業が自社の証明機関 (CA) として、S/MIME (Secure/Multipurpose Internet Mail Extensions)、SSL (Secure Sockets Layer)、暗号化ファイル システム (EFS)、IP セキュリティ (IPsec)、およびスマート カード ログオンなどのアプリケーション用のデジタル証明書を発行し、管理できるようにします。Windows Server 2003 は、オフライン CA とオンライン CA を含む、複数のレベルの CA 階層と相互認証されたトラスト ネットワーク をサポートします。

Certificate Services は、既定ではインストールされません。管理者は、[コントロール パネル] の[プログラムの追加と削除] を使ってインストールする必要があります。証明書サービスをインストール後に停止または無効にすると、証明書の要求は受け入れられず、証明書失効リスト (CRL) と Delta CRL は発行されません。このサービスを CRL の期限が切れるまで停止したままにすると、既存の証明書は検証されません。

Client Service for NetWare

NetWare 用クライアント サービスがインストールされたサーバーでは、対話的にログオンしたユーザーが、NetWare ネットワーク上のファイルとプリント リソースにアクセスできます。Client Service for NetWare を利用すると、NDS (Novell Directory Services) またはバインダリ セキュリティ (NetWare Version 3.x または 4.x) を実行する Netware サーバーのファイルとプリント リソースに、自分のコンピュータからアクセスできます。

Client Service for NetWare は IP プロトコルをサポートしないため、このサービスを使用して IP 専用環境で NetWare 5.x との相互運用はできません。これを実現するには、NetWare 5.x サーバーに IPX (Internetwork Packet Exchange) プロトコルをロードするか、NCP (Netware Core Protocol) と互換性があり、ネイティブ IP をサポートするリダイレクタを使用する必要があります。

Client Service for NetWare を停止または無効にすると、NetWare 用 Novell クライアントをインストールしていない限り、NetWare ネットワーク上のファイルとプリント リソースにアクセスできなくなります。このサービスは、既定ではインストールされず、有効になっていません。

ClipBook

ClipBook サービスによって、クリップブック ビューアではリモート ユーザーが表示するデータのページを作成し、共有できます。このサービスは NetDDE (Network Dynamic Data Exchange) サービスに依存して、他のコンピュータが接続できる実際のファイル共有を作成します。クリップブック アプリケーションおよびサービスを使用すると、ユーザーは共有するデータのページを作成できます。

ClipBook サービスは既定でインストールされますが、スタートアップ状態は [無効]に構成されます。このサービスを停止すると、クリップブック ビューアはリモート コンピュータと情報を共有できなくなります。その場合でも、Clipbrd.exe を使用してローカル クリップボードを表示することはできます。ローカル クリップボードにデータを保存するには、ユーザーがテキストを強調表示し、[編集]メニューから [コピー]をクリックするか、キーボードで Ctrl キーを押しながら C キーを押します。

Cluster Service

Cluster Service は、サーバー クラスタ操作を制御し、クラスタ データベースを管理します。クラスタとは、独立した複数のコンピュータの集合のことで、まとまって動作し、負荷分散とフェールオーバー サポートを提供します。Microsoft Exchange Server や Microsoft SQL Server などのクラスタ認識アプリケーションは、クラスタを使って 1 つの仮想コンピュータをユーザーに表示します。クラスタ ソフトウェアは、クラスタのノードの間にデータと計算を分散します。あるノードが失敗すると、そのノードが提供していたサービスやデータは別のノードが提供します。ノードが追加または修理されると、クラスタ ソフトウェアは一部のデータと計算のタスクをそのノードに移行します。

Windows プラットフォームのクラスタ ソリューションには 2 種類あり、それぞれ異なるアプリケーション スタイルをサポートします。1つはサーバー クラスタで、もう 1 つはネットワーク ロード バランシング (NLB) クラスタです。サーバー クラスタは、データベースやファイル サーバーなど、長時間実行されるアプリケーション用に可用性の高い環境を実現し、緊密に統合されたクラスタ管理によるフェールオーバー サポートを提供します。NLB クラスタは、フロントエンド Web サーバーなど、その他の種類のアプリケーション用に可用性とスケーラビリティの高い環境を提供し、複数の同種サーバー間でクライアント要求を負荷分担します。

Cluster Service は、サーバー クラスタをサポートします。サーバー クラスタは、クラスタ操作のすべての要素を制御し、クラスタ データベースを管理する重要なソフトウェア コンポーネントです。クラスタ内の各ノードは、Cluster Service のインスタンスを 1 つ実行します。

Windows Server 2003 では、Windows の Enterprise Server エディションと Datacenter Server エディションのどちらの場合も、最大 8 台のノード サーバー クラスタをサポートします。ただし、1 台のクラスタ内のノードはすべてどちらかのバージョンに統一されていなければなりません。2 つのバージョンは混在できません。

サーバー クラスタは、次の 3 つのいずれかに構成できます。

Cluster Service は既定ではインストールされず、有効になっていません。Cluster Service をインストール後に停止すると、クラスタは使用できなくなります。Windows クラスタのセキュリティを構成する方法の詳細情報については、この章の末尾の「関連情報」セクションの関連リンクを参照してください。

COM+ Event System

COM+ Event System サービスは、このサービスを購読している COM コンポーネントに自動的にイベントを配布します。COM+ イベントは COM+ プログラミング モデルを拡張して、発行側または購読側とイベント システムの間の遅延バウンド イベントまたはメソッド呼び出しをサポートします。イベント システムは情報が利用できるようになったときにイベント コンシューマに通知を出し、サーバーを繰り返しポーリングすることはしません。

COM+ Events Services は、発行側と購読側のほとんどのイベントのセマンティクスを処理します。発行側はイベントの種類を発行し、購読側は特定の発行側のイベントの種類を要求します。購読は発行側と購読側の外部に維持され、必要なときに取得されます。これによって、発行側、購読側の両方のプログラミング モデルが簡素化されます。購読側には購読を構築するためのロジックを含める必要はありません。購読側の構築は COM コンポーネントを構築する場合と同じように簡単にできます。購読のライフ サイクルは、発行側または購読側のライフ サイクルとは異なります。購読は購読側または発行側がアクティブになる前に構築できます。

このサービスは既定でインストールされますが、アプリケーションが要求するまで開始しません。COM+ Event Services を停止すると、System Event Notification サービスは閉じられ、ログオンおよびログオフ通知を提供できなくなります。Windows バックアップ、および Windows バックアップ API に依存するバックアップ アプリケーションで必要な Volume Shadow Copy は、このサービスを必要とします。

COM+ System Application

COM+ System Application サービスは、COM+ に基づいたコンポーネントの構成と追跡を管理します。このサービスを停止すると、COM+ に基づいたコンポーネントは正しく機能しなくなります。Windows バックアップ、および Windows バックアップ API に依存するバックアップ アプリケーションで必要な Volume Shadow Copy は、このサービスを必要とします。このサービスは、既定ではインストールされず、有効になっていません。

Computer Browser

Computer Browser サービスは、ネットワーク上のコンピュータの最新一覧を管理し、一覧を要求したプログラムに提供します。Computer Browser サービスは、ネットワーク ドメインやリソースを参照する必要がある Windows ベースのコンピュータに使用されます。ブラウザとして指定されたコンピュータは、ネットワーク上で使用されるすべての共有リソースが含まれた参照リストを保持します。マイ ネットワーク、NET VIEW コマンド、および Windows NT® Explorer など、Windows アプリケーションの初期のバージョンはすべて、ブラウズ機能を必要とします。たとえば、Windows 95 ベースのコンピュータで [マイネットワーク] を開くと、ブラウザとして指定されたコンピュータがドメインとコンピュータの一覧を生成します。

コンピュータは、ブラウズ環境でいくつかの異なる役割を実行します。特定のブラウザの役割が割り当てられたコンピュータの障害やシャットダウンなどという一部の条件の下では、ブラウザまたはブラウザになる可能性のあるコンピュータの操作上の役割が変更される場合があります。

Computer Browser サービスは既定で有効になっており、自動的に開始します。停止すると、ブラウザ一覧の更新や維持は行われません。

Cryptographic Services

Cryptographic Services は、コンピュータのキー管理サービスを行います。Cryptographic Services は次の 3 つの管理サービスで構成されます。

Cryptographic Services は既定で有効になっており、自動的に開始します。このサービスが停止すると、前の段落で説明した管理サービスが正常に機能しません。

DCOM Server Process Launcher

以前のバージョンの Windows では、Remote Procedure Call (RPC) サービス (RPCSS) は、ローカル システムとして動作しました。Windows の攻撃対象領域を減らし、防御を強化するために、Windows XP Service Pack 2 と Windows Server 2003 Service Pack 1 では、RPC サービス機能が 2 つのサービスに分割されました。

RPCSS サービスではローカル システム特権を必要としなかった元のすべての機能が保持され、Network Service アカウントで実行されるようになりました。DCOM Server Process Launcher (DCOMLaunch) サービスにはローカル システム特権を必要とした RPC サービスの元の機能が組み込みまれ、ローカル システム アカウントで実行されます。このサービスは既定で有効になっており、自動的に開始します。

DCOM Server Process Launcher サービスを停止すると、ローカル コンピュータの Remote Procedure Call と DCOM 要求が正しく機能しません。特に、Windows ファイアウォール サービスが失敗します。

DHCP Client

DHCP Client サービスは、ネットワーク構成を管理します。コンピュータの IP アドレスと DNS 名を登録および更新します。さまざまな場所からネットワークに接続するラップトップにみられるように、クライアント コンピュータの IP 設定は手動で変更する必要はありません。クライアント コンピュータは、サブネットから DHCP Server にアクセスできる限り、再接続するサブネットにかかわらず自動的に新しい IP アドレスが与えられます。DNS または WINS の設定を手動で構成する必要はありません。DHCP Server がこうした情報を発行するように構成されている場合は、これらの設定をクライアントに渡すことができます。クライアントでこのオプションを有効にするには、[DNS サーバーのアドレスを自動的に取得する]オプションをクリックします。IP アドレスが重複していても、競合は発生しません。

DHCP Client サービスを停止すると、コンピュータは動的 IP アドレスを受信できず、動的 DNS の自動更新は DNS サーバーに登録されなくなります。

DHCP Server

DHCP Server サービスは、DHCP クライアントに対して IP アドレスを割り当て、DNS サーバーや WINS サーバーなど、ネットワーク設定の高度な構成を自動的に有効にします。DHCP は、クライアント/サーバー モデルを使用します。ネットワーク管理者は、DHCP サーバーを設定することによって、TCP/IP の設定情報を維持し、その内容をクライアント コンピュータに提供します。このサーバーのデータベースには次の情報が含まれます。

DHCP は、アドレス構成の管理の煩雑さを緩和するために設計された IP 標準です。サーバー コンピュータを使用して、IP アドレスなど、ネットワーク上で使用される構成の詳細を集中管理します。Windows Server 2003 ファミリは DHCP サービスを提供します。このサービスにより、サーバー コンピュータは DHCP サーバーとして動作し、ネットワーク上の DHCP 対応クライアント コンピュータを構成できます。これについては、最新の DHCP ドラフト標準、IETF (Internet Engineering Task Force) RFC (Request for Comments) 2131 に記載されています。

DHCP には MADCAP (Multicast Address Dynamic Client Assignment Protocol) が組み込まれています。このプロトコルを使用して、マルチキャスト アドレスの割り当てを実行します。登録されたクライアント コンピュータに MADCAP を通じて IP アドレスが動的に割り当てられると、これらのクライアントはリアルタイム ビデオやオーディオ ネットワーク伝送などのデータ ストリーム プロセスに効率的に参加できます。

ネットワークに DHCP サーバーをインストールして構成すると、DHCP 対応クライアント コンピュータは、起動してネットワークに参加するたびに、IP アドレスと、関連した構成パラメータを動的に取得できます。DHCP サーバーでは、クライアント コンピュータへのアドレス リースの提供という形でこの構成を実現します。

DHCP Server サービスを停止すると、サーバーは、IP アドレスやその他の構成パラメータを自動的に発行しなくなります。このサービスは、Windows Server 2003 コンピュータを DHCP サーバーとして構成する場合にのみ、インストールされ、有効になります。

Distributed File System

Distributed File System サービスは、LAN または WAN に分散された論理ボリュームを管理しており、Active Directory SYSVOL 共有に必要なサービスです。DFS (Distributed File System) サービスは、異なるファイル共有を 1 つの論理名前空間に統合する分散サービスです。

この名前空間は、ネットワーク ユーザーが使用できる、ネットワーク上に保存されているリソースを論理的に表したものです。Distributed File System サービスを停止すると、ユーザーは論理名前空間を通じてファイル共有またはネットワーク データにアクセスできなくなります。このサービスが停止しているときにデータにアクセスするには、ユーザーは名前空間に含まれるすべてのサーバーと共有の名前を知る必要があり、また、これらの対象に個別にアクセスする必要があります。このサービスは、Windows Server 2003 コンピュータに既定でインストールされ、実行されます。

Distributed Link Tracking Client

Distributed Link Tracking Client サービスは、コンピュータ内にある NTFS ファイル システム (NTFS) ファイル間のリンク、またはネットワーク ドメイン内のコンピュータ間のリンクを維持します。このサービスは、ターゲット ファイルを名前変更または移動した後も、ショートカットとオブジェクトのリンクと埋め込み (OLE) リンクが引き続き機能するようにします。

NTFS ボリューム上のファイルへのショートカットを作成すると、分散リンク トラッキングが、リンク ソースと呼ばれるターゲット ファイルに一意のオブジェクト ID をスタンプします。ターゲット ファイルを参照する側のファイル (リンク クライアント) も、オブジェクト ID に関する情報を内部に保存します。分散リンク トラッキングは、次の場合にこのオブジェクト ID を使用してリンク ソース ファイルを検索します。

Distributed Link Tracking Server サービスを利用できる Windows 2000 または Windows Server 2003 ドメインでは、リンク ソース ファイルは次のような場合に見つけることができます。

Distributed Link Tracking Server サービスが使用される場合は、Distributed Link Tracking Client サービスが動作しているクライアントコンピュータで、DLT_AllowDomainMode システム ポリシーが Windows XP SP 1 または SP2 を実行するクライアント用に構成されている必要があります。上記のどの場合でも、リンク ソース ファイルは Windows 2000、Windows XP、または Windows Server 2003 ファミリを実行する NTFS ボリューム上になければなりません。NTFS ボリュームはリムーバブル メディア上には作成できません。

注 : Distributed Link Tracking Client サービスは NTFS ボリュームのアクティビティを監視し、メンテナンス情報を Tracking.log というファイルに保存します。このファイルは各ボリュームのルートにある System Volume Information という隠しフォルダの中にあります。このフォルダは、コンピュータのみがアクセスできるアクセス許可によって保護されています。このフォルダはインデックス サービスなど、他の Windows サービスによっても使用されます。

Distributed Link Tracking Client サービスを停止すると、コンピュータのコンテンツへのいかなるリンクも維持または追跡されなくなります。

Distributed Link Tracking Server

Distributed Link Tracking Server サービスでは、情報を保存して、ボリューム間で移動したファイルを、ドメイン内の各ボリュームでトラッキングできるようにします。Distributed Link Tracking Server サービスは、有効にするとドメイン内の各ドメイン コントローラで実行されます。このサービスにより、Distributed Link Tracking Client サービスが、同じドメイン内の別の NTFS ボリューム内の場所に移動した、リンクされたドキュメントを追跡できます。

Distributed Link Tracking Server サービスは既定で無効になっています。有効にする場合、ドメインのすべてのドメイン コントローラで有効にする必要があります。Distributed Link Tracking Server サービスをドメイン コントローラで有効にして、そのドメイン コントローラが Windows Server の新しいバージョンにアップグレードされた場合、このサービスを手動で再度有効に設定する必要があります。

Distributed Link Tracking Server サービスを有効にした場合、Windows XP クライアント コンピュータで DLT_AllowDomainMode システム ポリシーも有効にしないと、このサービスを利用できません。Distributed Link Tracking Server サービスをいったん有効にした後に無効にする場合は、Active Directory の中のこのサービスのエントリも除去してください。詳細については、マイクロソフト サポート技術情報の記事 http://support.microsoft.com/kb/312403/ の「Windows ベースのドメイン コントローラでの分散リンク トラッキング」を参照してください。

Distributed Link Tracking Server サービスを停止または無効にすると、Distributed Link Tracking Client サービスによって維持されているリンクの信頼性は低下していきます。

Windows Server 2003 では、Distributed Link Tracking Server サービスは既定でインストールされますが、無効になっています。

Distributed Transaction Coordinator

Distributed Transaction Coordinator サービスは、複数のコンピュータ システムやリソース マネージャ (データベース、 メッセージ キュー、ファイル システム、その他のトランザクションベースのリソース マネージャなど) に分散されたトランザクションを調整します。このサービスは、トランザクション コンポーネントを COM+ を使用して構成する場合に必要です。また、複数のコンピュータにまたがるメッセージ キュー (MSMQ) および SQL Server 操作のトランザクション キューにも必要です。

Distributed Transaction Coordinator サービスは既定でインストールされ、有効になっています。このサービスを停止すると、このサービスを使用するトランザクションが実行されなくなります。トランザクション サービスを利用する、Microsoft Exchange、SQL Server、またはその他のアプリケーションのクラスタ化したインストールは、このサービスの停止により影響を受ける場合があります。

DNS Client

DNS Client サービスは、コンピュータの DNS 名を解決してキャッシュします。DNS Client サービスは、DNS 名を解決するすべてのコンピュータで実行する必要があります。DNS 名の解決は、Active Directory ドメインでドメイン コントローラを検索する場合に不可欠な処理です。DNS Client サービスは、DNS 名の解決によってデバイスの位置を識別する場合にも必要です。

Windows Server 2003 で実行される DNS Client サービスは、次の機能を実装します。

DNS Client サービスを停止すると、コンピュータは DNS 名を解決できず、Active Directory ドメイン コントローラを検索できません。ユーザーはコンピュータにログオンできない可能性があります。

DNS Server

DNS Server サービスは、DNS 名の解決を有効にします。このサービスは、DNS 名のクエリと更新要求に応答します。DNS 名を使用して識別されるデバイス、および Active Directory 内でドメインコントローラを検索する場合、DNS サーバーが必要です。

DNS Server サービスを停止または無効にすると、DNS の更新は行われません。DNS Server サービスをすべてのコンピュータで実行する必要はありません。ただし、DNS 名前空間の特定の部分に対する権限を持つ DNS サーバーがない場合、その名前空間の部分では DNS 名を使用してデバイスを探すことはできません。Active Directory ドメインに名前を付けるときに使用する DNS 名前空間に対する権限を持つ DNS サーバーがない場合、そのドメインではドメイン コントローラを探すことはできません。

DNS Server サービスは、Windows Server 2003 コンピュータを DNS サーバーとして構成する場合にのみインストールされ、有効になります。

Error Reporting Service

Error Reporting Service は、予期しないアプリケーションのエラーや終了の情報を収集、保存し、Microsoft に報告します。また、非標準環境で実行されているサービスとアプリケーションに関するエラー報告を許可します。このサービスは、ドライバやアプリケーションのバグを修正するための有効かつ効果的な情報を Microsoft 製品グループに提供します。

エラー報告は、Microsoft 固有のエラー情報を送信し、オペレーティング システム エラー、Windows コンポーネント エラー、またはプログラム エラーに関するレポートを生成するように構成できます。オペレーティング システム エラーが発生すると、エラー コードが記載された停止画面がコンピュータに表示されます。プログラムまたはコンポーネントのエラーが発生すると、そのプログラムまたはコンポーネントが動作を停止します。

インターネットに接続している場合は、これらのエラーを直接 Microsoft に報告できます。プログラム エラーに対応するためのエラー報告を構成する方法は 2 つあります。1 つは、エラーが発生したらすぐに [エラー報告]ダイアログ ボックスに、Microsoft にエラー報告を送信するようユーザーに指示するメッセージを表示させる方法です。もう 1 つは、次回管理者がログオンしたときに [エラー報告]ダイアログ ボックスに、Microsoft にエラー報告を送信するよう管理者に指示するメッセージを表示させる方法です。

Windows では、オペレーティング システム エラーと予期しないシャットダウンは、プログラム エラーとは異なる方法で処理されます。オペレーティング システム エラーまたは予期しないシャットダウンが発生すると、エラー情報がログ ファイルに書き込まれます。次回管理者がログオンしたときに、[エラー報告]ダイアログ ボックスには管理者にエラーを報告するように指示するメッセージが表示されます。インターネットを通じて Microsoft にエラー報告を送信するときは、Microsoft の社員が将来の製品の改善に利用できるような技術的な情報を提供してください。このデータは品質管理のみを目的として使用され、販売の目的で個々のユーザーやシステムを追跡するために使用されることはありません。問題の解決に役立つ情報がある場合、その情報へのリンクを含む [エラー報告]ダイアログ ボックスが表示されます。

または、組織でグループ ポリシーが構成されている場合、IT 部門の管理者は企業内エラー報告を使用して、重要と思われるエラーだけを収集し、報告することができます。企業内エラー報告ツール用にワークステーションとサーバーを構成するには、管理者はエラー報告ポリシー設定を有効にし、企業のアップロード ファイル パスを、企業内エラー報告ツールがインストールされているローカル ファイル サーバーに構成します。エラーが発生すると、情報は自動的にこのファイル サーバーにリダイレクトされます。管理者はそのエラー情報を調査し、重要なデータを特定して、それを企業内エラー報告ツールを使用して Microsoft に送信します。企業エラー報告ツールは、Web サイト http://www.microsoft.com/japan/office/ork/appndx/tools.asp の「Office XP リソース キット」からダウンロードできます。

Error Reporting Service を停止すると、エラー報告は行われません。[エラー報告]ダイアログ ボックスで [エラーの通知を表示する]を有効にした場合、問題が発生したことを示すメッセージが表示されますが、ユーザーはこの情報を Microsoft またはローカル ネットワーク共有に報告することはできません。このサービスは既定でインストールされ、有効になっています。

Event Log

Event Log サービスを利用すると、Windows ベースのプログラムとコンポーネントが発行したイベント ログ メッセージをイベント ビューアに表示できます。イベント ログ メッセージには、アプリケーション、サービス、およびオペレーティング システムに関する問題の診断に役立つ情報が記載されています。ログは、イベント ログ API か、MMC イベント ビューア スナップインを使用して表示できます。

既定では、Windows Server 2003 ファミリ オペレーティング システムを実行するコンピュータは、イベントを次の 3 種類のログに記録します。

ドメイン コントローラとして構成された Windows Server 2003 ベースのコンピュータは、さらに別の 2 つのログにイベントを記録します。

DNS サーバーとして構成された Windows を実行するコンピュータは、さらにもう 1 つ別のログにイベントを記録します。

Event Log サービスは停止できません。このサービスを無効にすると、イベントの追跡ができなくなり、コンピュータの問題を正常に診断する能力が大幅に損なわれます。さらに、セキュリティ イベントは監査されず、MMC イベント ビューア スナップインを使用して前のイベント ログを表示することもできません。

Fast User Switching Compatibility

Fast User Switching Compatibility サービスは、複数ユーザーの環境でサポートを必要とするアプリケーションを管理します。Windows XP のユーザーの簡易切り替え機能は、同時にコンピュータにログオンした複数のユーザーが簡単にセッションを切り替えられるようにします。ユーザーは、アプリケーションをシャットダウンし、ログオフする必要がありません。

多くのプログラムは複数ユーザーの環境で実行するように設計されていないため、複数のユーザーがコンピュータにログオンした場合に問題が発生する可能性があります。Fast User Switching Compatibility サービスが有効の場合、特定の問題のあるプログラムが使用されると、次の 4 つのアクションのいずれかが実行されます。

Fast User Switching Capability サービスを無効にすると、ユーザーの簡易切り替え機能を有効にしているコンピュータで、一部のアプリケーションが正常に動作しない場合があります。

Fax Service

Fax Service は TAPI (Telephony Application Programming Interface) 準拠のサービスで、ユーザーのコンピュータに FAX 機能を追加します。Fax Service により、ユーザーは、ローカル FAX デバイスまたは共有ネットワーク FAX デバイスのいずれかを使用して、デスクトップ アプリケーションから FAX を送受信できるようになります。このサービスには次の機能があります。

印刷スプーラまたはテレフォニー サービスを無効にすると、Fax Service は正常に起動しません。このサービスを停止すると、ユーザーは FAX の送受信ができなくなります。Fax Service は、FAX を利用しないときは停止し、必要に応じて再起動します。

File Replication

File Replication サービスにより、ファイルは自動的にコピーされ、複数のサーバー上に同時に維持されます。ファイル複製サービス (FRS) は、Windows 2000 と Windows Server 2003 ファミリの自動ファイル複製サービスです。このサービスの機能は、システム ボリューム (SYSVOL) 上のコンテンツをドメイン内のすべてのドメイン コントローラに複製することです。さらに、このサービスはフォールト トレラント DFS に関連付けられた代替ターゲット間でファイルを複製するよう構成できます。

File Replication サービスを停止すると、ファイルの複製は行われず、サーバーのデータは同期されません。また、ドメイン コントローラの動作に重大な影響を与える可能性があります。File Replication サービスは Windows Server 2003 に既定でインストールされますが、スタートアップ状態は [手動]に構成されます。

File Server for Macintosh

File Server for Macintosh サービスを使用すると、Macintosh コンピュータのユーザーが Windows Server 2003 を実行するコンピュータにファイルを保存したり、それらのコンピュータのファイルにアクセスしたりできます。このサービスを無効にすると、Macintosh クライアント コンピュータは Windows Server 2003 ベースのコンピュータにファイルを保存したり、それらのコンピュータのファイルにアクセスしたりできません。このサービスは、既定ではインストールされず、有効になっていません。

FTP Publishing Service

FTP Publishing Service は、インターネット インフォメーション サーバー (IIS) スナップインを介して、帯域幅のスロットル、セキュリティ アカウント、および拡張ログを含む FTP 接続と管理を行います。このサービスには新しい FTP ユーザーの分離機能があります。この機能を利用すると、ユーザーは FTP サイトの自分のファイルだけにアクセスできます。さらに、インターネット サポートも改善されています。

FTP Publishing Service を停止すると、サーバーは FTP サーバーとして機能できません。このサービスは既定ではインストールされません。

Help and Support

Help and Support サービスにより、ユーザーのコンピュータ上でのヘルプとサポート センター アプリケーションの実行、アプリケーションのサポート、およびクライアント アプリケーションとヘルプ データ間の通信が可能になります。このサービスでは、ヘルプ トピックに関するメタデータと情報を含む分類データベースなどのストアおよびサービス、登録済みサポート プロバイダのためのデータ収集を可能にするサポート自動化フレームワーク、ユーザー履歴と基本設定情報、および検索エンジン マネージャへのアクセスを提供します。検索、キーワード、または目次などのヘルプとサポート センターの機能を利用するときは、このサービスでこれらのすべての機能のデータ トランザクション サポートが可能になります。

Help and Support サービスが [手動]に構成されている場合、ユーザーがデスクトップからヘルプとサポート センターにアクセスしたときにサービスが起動します。このサービスを無効または停止すると、ヘルプとサポート センター アプリケーションは基本的に使用不能となり、ユーザーに次のメッセージが表示されます。

システム サービスが実行中でないため、ヘルプとサポートを開くことができません

ユーザーはローカル コンピュータにキャッシュされている可能性のある一部の高レベルのトピックにはアクセスできますが、ヘルプとサポート センター アプリケーションのほとんどの機能 (リモート アシスタンスを含む) は Help and Support サービスを有効にしないと動作しません。ただし、その場合でもユーザーは Windows\Help フォルダにある *.HLP ファイルと *.CHM ファイルを表示することができます。Help and Support サービスは　Windows XP および Windows Server 2003 に既定で インストールされ、自動的に開始します。

HTTP SSL

HTTP SSL サービスを利用すると、IIS で SSL (Secure Sockets Layer) 機能を実行できます。SSL は、セキュリティで保護された通信チャネルを確立するためのオープンな標準であり、クレジット カード番号などの重要な情報が傍受されるのを阻止できます。SSL は、主に World Wide Web 上でセキュリティで保護された電子金融取引に利用されていますが、他のインターネット サービスにも利用できるように設計されています。

HTTP SSL サービスを停止すると、IIS は SSL 機能を実行できなくなります。このサービスは IIS がインストールされるとインストールされます。IIS がインストールされていない場合は、インストールされず、有効ではありません。

Human Interface Device Access

Human Interface Device Access サービスは、キーボードやマウスなど、ユニバーサル シリアル バス (USB) デバイスへの一般的な入力アクセスを可能にします。このサービスは、キーボード、リモート コントロール、およびその他のマルチメディア デバイスであらかじめ定義されたホット ボタンを有効にし、維持します。このサービスは Windows XP コンピュータおよび Windows Server 2003 コンピュータに既定でインストールされ、自動的に開始します。

Human Interface Device Access サービスを停止すると、このサービスによって制御されているホット ボタンが機能しなくなります。たとえば、USB キーボードの [戻る]、[進む]、[音量]、[前のトラック] などのホットキー ボタン、および USB スピーカーの音量ボタンは機能しません。

IAS Jet Database Access

IAS Jet Database Access サービスでは、リモート認証ダイヤルイン ユーザー サービス (RADIUS) プロトコルを使用して、認証、承認、およびアカウンティングのサービスを提供します。このサービスは 64 ビット バージョンの Windows でのみ使用できます。IAS (Internet Authentication Services) を利用すると、ユーザーの認証、承認、およびアカウンティングを集中管理できます。また IAS を使用して、Windows NT 4.0、Windows 2000、または Windows Server 2003 オペレーティング システムを実行するドメイン コントローラでユーザーを認証することもできます。IAS は、同機種ネットワークと異機種ネットワークの両方で同様の機能を発揮します。

IAS を RADIUS プロキシとして使用すると、RADIUS クライアント (アクセス サーバー) と RADIUS サーバー (接続の試みがあったときにユーザーの認証、承認、およびアカウンティングを実行します) の間で RADIUS メッセージをルーティングできます。RADIUS プロキシとして使用するとき、IAS は RADIUS アクセスとアカウンティング メッセージが通過する中央のスイッチング ポイントまたはルーティング ポイントになります。IAS は、転送されるメッセージに関する情報をアカウンティング ログに記録します。

RADIUS の認証、承認、およびアカウンティング インフラストラクチャは、次のコンポーネントで構成されます。

IAS Jet には 2 つのデータベースがあります。Ias.mdb は IAS を構成するために使用され、Dnary.mdb は IAS が RADIUS 互換のネットワーク アクセス サーバーのベンダ固有の属性を追跡するために使用するディクショナリを検証するために使用されます。Jet データベースは変更しないでください。

IAS Jet Database Access サービスを停止すると、ユーザー認証を必要とするリモート ネットワーク アクセスが利用できなくなります。たとえば、リモート アクセス ダイヤルアップ、VPN、ワイヤレス LAN (802.1x)、およびイーサネット 802.1x LAN アクセスは機能しません。このサービスを無効にすると、ルーティングとリモート アクセス サービス (RRAS) と IAS サービスはどちらも開始しません。また、RRAS または IAS をローカルでもリモートでも管理できなくなります。このサービスは、すべてのバージョンの Windows に既定ではインストールされません。Windows Server 2003 ファミリの Itanium ベースのバージョンでのみ利用できます。

IIS Admin Service

IIS Admin Service では、FTP、アプリケーション プール、Web サイト、Web サービス拡張、および NNTP (Network News Transfer Protocol) 仮想サーバーと SMTP (Simple Mail Transport Protocol) 仮想サーバーなどの IIS コンポーネントを管理できます。このサービスを停止または無効にすると、Web、FTP、NNTP、または SMTP のサイトを実行できません。

Windows 2000 では、IIS Admin Service と関連のサービスは既定でインストールされます。Windows Server 2003 ファミリの場合は、Windows コンポーネントの追加と削除かサーバーの構成を使用して IIS コンポーネントをインストールする必要があります。

IMAPI CD-Burning COM Service

IMAPI CD–Burning COM Service は、IMAPI (Image Mastering Applications Programming Interface) COM インターフェイスによる CD の焼き付けを管理し、Windows Explorer、Windows Media® Player (WMP)、またはこの API を使用するサードパーティ アプリケーションを通じてユーザーから要求されると、CD-R への書き込みを実行します。アプリケーションは IMAPI を利用して、単純なオーディオまたはデータ イメージを CD-R と CD-RW デバイス上に焼き付けることができます。API は、Redbook オーディオ形式と、Joliet と ISO 9660 の両方のデータ ディスク形式をサポートします。このアーキテクチャでは、サポートされている形式セットを後で拡張できます。

IMAPI CD–Burning COM Service を停止または無効にすると、コンピュータで Windows XP および Windows Server 2003 に組み込まれた機能を使用して CD に記録できなくなります。サードパーティの CD-RW アプリケーションを使用している場合、このサービスをオフにしても、そのサードパーティ ソフトウェアがこのサービスに依存していなければ、CD-R への記録には影響しません。ログオンした後にこのサービスを開始した場合、いったんログオフしてからログオンし直さなければ、Windows Explorer を使用して CD-R デバイスで CD-R メディアにデータを書き込めません。このサービスは Windows XP では既定でインストールされます。ただし、ユーザーが Windows エクスプローラを介して CD-R 書き込みを要求するまで開始しません。Windows Server 2003 では既定でインストールされますが、無効になっています。

Indexing Service

Indexing Service は、ローカル コンピュータとリモート コンピュータ上のファイルのコンテンツとプロパティにインデックスを付け、柔軟性が高い照会言語を使用してファイルに高速にアクセスできるようにします。Indexing Service を利用すると、ローカル コンピュータとリモート コンピュータで高速なドキュメント検索ができ、Web 上で共有されているコンテンツの検索インデックスを作成できます。このサービスはファイルとドキュメントに含まれるすべてのテキスト情報のインデックスを構築します。初期のインデックス構築が完了すると、Indexing Service はファイルが作成、変更、または削除されるたびに、そのインデックスをメンテナンスします。

初期のインデックス作成には、多くのリソースが使用される場合があります。既定では、Indexing Service は手動で開始するように設定されます。このサービスが有効の場合、コンピュータがアイドル状態のときにだけインデックスが作成されます。ただし、MMC インデックス スナップインを使用すると、アイドル状態以外のときでもインデックスを作成できるようにこのサービスを構成できます。MMC でも、このサービスのリソース割り当て構成を、クエリまたはインデックスの使用パターンに応じて最適化できます。

Indexing Service を停止すると、テキスト ベースの検索速度が遅くなります。

Infrared Monitor

Infrared Monitor サービスを使用すると、赤外線接続を使用してファイルとイメージの共有が可能になります。このサービスは Windows XP では既定で、オペレーティング システムのインストール時に赤外線デバイスが検出された場合にのみインストールされます。Windows Server 2003 Web、Enterprise または Datacenter の各 Server Edition では利用できません。

Infrared Monitor サービスを停止すると、赤外線接続を使用してファイルとイメージを共有することはできません。

Internet Authentication Service

Internet Authentication Service (IAS) は、VPN 機器、リモート アクセス装置 (RAS)、または 802.1x ワイヤレスとイーサネット/スイッチのアクセス ポイントを使用して、ネットワーク (LAN またはリモート) に接続するユーザーの集中認証、承認、監査、およびアカウント管理を実行します。

IAS は、異機種ネットワーク アクセス機器を有効にする IETF 標準 RADIUS プロトコルを実装します。IAS を停止または無効にすると、バックアップの IAS サーバーがあれば、認証要求はそのサーバーにフェールオーバーされます。バックアップ IAS サーバーが利用できない場合、ユーザーはネットワークに接続できません。このサービスは手動でインストールする必要があり、Windows Server 2003 ファミリのメンバでのみ有効です。

Intersite Messaging

Intersite Messaging サービスを利用すると、Windows Server サイトを実行するコンピュータ間でメッセージの交換が可能になります。このサービスは、サイト間のメールベースの複製に使用されます。Active Directory では、IP トランスポートで SMTP を使用することで、サイト間の複製がサポートされます。SMTP サポートは IIS のコンポーネントである SMTP サービスによって提供されます。

サイト間の通信に使用されるトランスポートの設定には拡張性が必要です。したがって、各トランスポートは、別々のアドイン ダイナミック リンク ライブラリ (DLL) で定義されます。これらのアドイン DLL ファイルは Intersite Messaging サービスにロードされ、これがサイト間の通信を実行できるすべてのドメイン コントローラで実行されます。Intersite Messaging サービスが適切なトランスポート アドイン DLL ファイルに送受信要求を送ると、DLL ファイルが宛先のコンピュータの Intersite Messaging サービスにメッセージを転送します。

Intersite Messaging サービスを停止すると、メッセージは交換されず、サイト間メッセージングの複製は機能しなくなり、他のサービスのためのサイト ルーティング情報も計算されません。このサービスは Windows Server 2003 では既定でインストールされます。ただし、サーバーがドメイン コントローラの役割に昇格されるまでは無効です。

IP Version 6 Helper Service

IP Version 6 Helper Service は、インターネット プロトコル Version 4 (IPv4) ネットワーク上でインターネット プロトコル Version 6 (IPv6) の接続を行います。IPv6 は、インターネットのネットワーク層の新しい標準プロトコルです。IPv4 で指摘されているアドレスの枯渇や、セキュリティ、自動構成、拡張性などに関する多くの問題を解決するために設計されました。このサービスは「6to4」と呼ばれることもあり、IPv6 対応のサイトとホストが、インターネットなどの IPv4 インフラストラクチャ上で IPv6 を使用して通信できるようにします。IPv6 のサイトとホストは、6to4 のアドレス プレフィックスとインターネットを使用して通信できます。インターネット サービス プロバイダ (ISP) から IPv6 グローバル アドレス プレフィックスを取得したり、6bone (インターネットの IPv6 対応部分) に接続する必要はありません。

6to4 は RFC 3056 で説明されているトンネリング技術です。6to4 ホストでは手動の構成は必要なく、標準の自動構成を使用して 6to4 アドレスを作成します。6to4 は 2002:WWXX:YYZZ::/48 というグローバル アドレス プレフィックスを使用します。この WWXX:YYZZ はサイトまたはホストに割り当てられた IPv4 のパブリック アドレス (w.x.y.z) のコロン区切りの 16 進表記で、6to4 の NLA (Next Level Aggregator) 部分とも呼ばれます。

IPv6 Helper Service は、IPv4 マルチキャスト トンネリングとも呼ばれる 6over4 もサポートしています。これは RFC 2529 で説明されるトンネリング技術です。6over4 では、IPv6 と IPv4 のノードが、IPv4 インフラストラクチャ上で IPv6 を使用して通信できます。6over4 はマルチキャスト対応リンクとして IPv4 インフラストラクチャを使用します。6over4 が正しく動作するには、IPv4 インフラストラクチャが IPv4 マルチキャスト対応でなければなりません。

IP Version 6 Helper Service を停止すると、コンピュータはネイティブの IPv6 ネットワークに接続された場合、IPv6 接続しか確立できません。このサービスは既定ではインストールされず、有効になっていません。

IPSec Policy Agent (IPSec Service)

IPSec Policy Agent (IPSec Service) サービスは、TCP/IP ネットワーク上のクライアントとサーバーの間にエンド ツー エンドのセキュリティを提供し、IPsec ポリシーを管理し、インターネット キー交換 (IKE) を起動して、IPsec ポリシー設定を IP セキュリティ ドライバに合わせて調整します。このサービスは NET START または NET STOP コマンドを使って制御します。

IPsec は IP 層で動作し、他のオペレーティング システム サービスやアプリケーションに対して透過的です。このサービスはパケットのフィルタ処理を行い、IP ネットワーク上のコンピュータ間でセキュリティをネゴシエートします。IPsec を構成すると、次のことが可能になります。

IPsec はレイヤ 2 トンネリング プロトコル (L2TP) VPN 接続もセキュリティで保護します。

IPSec Policy Agent (IPSec Service) サービスを停止すると、ネットワーク上のクライアントとサーバーの間の TCP/IP セキュリティが損なわれます。このサービスは Windows XP コンピュータおよび Windows Server 2003 コンピュータに既定でインストールされ、自動的に開始します。

Kerberos Key Distribution Center

Kerberos Key Distribution Center サービスは、Kerberos v5 認証プロトコルを使用してユーザーがネットワークにログオンし、認証を受けることができます。

Kerberos プロトコルの他の実装と同様に、KDC (Kerberos Key Distribution) は 2 つのサービスを提供する 1 つのプロセスです。

Kerberos Key Distribution Center サービスを停止すると、ユーザーはネットワークへのログオンとリソースへのアクセスができなくなります。このサービスはすべての Windows Server 2003 コンピュータにインストールされていますが、ドメイン コントローラ上でのみ実行されます。このサービスを無効にすると、ユーザーはドメインにログオンできません。

License Logging

License Logging は、クライアント アクセス ライセンス情報を監視および記録します。このサービスは、IIS、ターミナル サービス、ファイルとプリンタの共有など、オペレーティング システムに含まれる部分と、SQL Server や Microsoft Exchange Server など、オペレーティング システムに含まれない製品で利用できます。

License Logging を停止または無効にすると、ライセンスは適用されますが、監視は行われません。このサービスは Windows Server 2003 コンピュータでは既定で無効になっています。

Logical Disk Manager

Logical Disk Manager サービスは、新しいハード ディスク ドライブを検出して監視し、ディスク ボリューム情報を Logical Disk Manager Administrative Service に送信し、構成します。このサービスは、プラグ アンド プレイ イベントを監視して新しいドライブを検出し、管理者サービスとウォッチドッグ サービスを使用します。コンピュータ内にダイナミック ディスクがある場合は、このサービスを無効にしないでください。

Logical Disk Manager サービスは Windows Server 2003 コンピュータおよび Windows XP コンピュータで既定で実行されます。このサービスを停止すると、ダイナミック ディスクのステータスと構成情報が最新でなくなる可能性があります。たとえば、ハード ディスク ドライブは検出されなくなります。管理者サービスとウォッチドッグ サービスは本来 1 つのコンポーネントです。管理者サービスは、ドライブやパーティションを構成したとき、または新しいドライブが検出されたときにだけ開始されます。

Logical Disk Manager Administrative Service

Logical Disk Manager Administrative Service は、ディスク管理要求に対して管理サービスを実行し、ハード ディスク ドライブとボリュームを構成します。このサービスは、ドライブやパーティションを構成したとき、または新しいドライブが検出されたときにだけ開始します。このサービスは既定では開始しませんが、ダイナミック ディスクの構成が変更された場合や、MMC ディスク管理スナップインまたは Diskpart.exe ツールを開くと有効になります。このサービスを有効にする変更には、ベーシック ディスクのダイナミック ディスクへの変換、フォールトトレラント ボリュームの復元、ボリュームのフォーマット、ページ ファイルの変更などがあります。

Logical Disk Manager Administrative Service は構成処理中だけ実行され、その後停止します。このサービスを無効にした場合、MMC ディスク管理スナップインを使用してディスクを構成しようとすると、次のエラー メッセージが表示されます。

論理ディスク マネージャに接続できません

Machine Debug Manager

Machine Debug Manager サービスは、Microsoft Script Editor、さまざまなバージョンの Office アプリケーション スイート、Microsoft Visual Studio など、多数のアプリケーションのローカル デバッグおよびリモート デバッグを管理します。

Machine Debug Manager サービスを無効にすると、スクリプトまたはプロセスのデバッグに失敗し、次のエラー メッセージが表示されます。

デバッグを開始できません。Machine Debug Manager Service は無効です。

また、ユーザーは Web ページのスクリプト エラーのデバッグもできません。

Message Queuing

Message Queuing サービスは、Windows 用の分散メッセージング アプリケーションを作成するためのメッセージング インフラストラクチャおよび開発ツールです。このようなアプリケーションでは、異種ネットワーク間での通信、および一時的に接続することができないコンピュータ間でのメッセージ送信が可能です。このサービスは、メッセージの確実な配信、効率的なルーティング、セキュリティ、および優先度に基づいたメッセージングを提供します。また、トランザクション内のメッセージの送信をサポートし、Microsoft Win32® API と COM API の両方を、管理を含めたあらゆるプログラム機能に提供します。

Windows XP のMessage Queuing サービスで実装されるリモート読み取り機能を使用すると、認証されていないユーザーがキューに接続できます。悪質なユーザーがキューを削除し、サービス拒否の状況を作り出すことも可能です。さらに、メッセージ キュー のリモート読み取りデータはネットワーク上をプレーンテキストで送信されるため、ネットワーク データを取得できる悪質なユーザーに読み取られることもあります。

このため、インターネットなど、信頼されないネットワークに接続された Windows XP コンピュータにはMessage Queuing サービスをインストールしないことをお勧めます。このサービスは、Windows XP に既定ではインストールされないので、ほとんどの組織ではこの脆弱性から保護されます。

Message Queuing サービスを停止すると、分散メッセージは利用できなくなります。このサービスを無効にすると、このサービスに明示的に依存するサービスは開始しません。また、COM+ キュー コンポーネント (QC) 機能、WMI (Windows Management Instrumentation) の機能の一部、およびMessage Queuing Triggers サービスが影響を受けます。このサービスは Windows Server 2003 コンピュータでは既定ではインストールされません。

Message Queuing Down Level Clients

Message Queuing Down Level Clients サービスは、ドメイン コントローラでMessage Queuing サービスを使う Windows NT 4.0、Windows 9x、および Windows 2000 クライアントに Active Directory アクセスを提供します。Message Queuing サービスは、宛先公開キーなどのセキュリティ関連オブジェクトに関するルーティング情報を取得したり、パブリック キューについて知るために、Active Directory で発行された情報をオプションで使用します。Message Queuing をワークグループ モードでインストールすると、Active Directory にはアクセスしません。このサービスは、Message Queuing サービスを実行する Windows Server 2003 ドメイン コントローラにのみ必要です。

ドメイン コントローラで Message Queuing Down Level Clients サービスを停止すると、Vversion 3.0 より前の Microsoft メッセージ キューのクライアントは、パブリック キューの発見、メッセージ ルーティング、およびサイト認識を実行するために必要な Active Directory サービスを、指定されたドメイン コントローラで取得できなくなります。このサービスは Windows Server 2003 コンピュータでは既定ではインストールされません。

Message Queuing Triggers

Message Queuing Triggers サービスは、Message Queuing サービスのキューに到着するメッセージを規則に基づいて監視し、規則の条件が満たされると、COM コンポーネントまたはスタンドアロンの実行可能プログラムを起動して、メッセージを処理します。

Message Queuing Triggers サービスは Message Queuing サービスの必須部分としてインストールされます。メッセージ キュー サービスはオプションの Windows コンポーネントで、Windows XP Home Edition を除くすべての Windows バージョンで利用できます。

Message Queuing Triggers サービスを停止すると、規則に基づいた監視を適用できなくなり、メッセージを自動的に処理するためのプログラムを起動することもできません。このサービスは Windows Server 2003 コンピュータでは既定ではインストールされません。

Messenger

Messenger サービスは、ユーザー、コンピュータ、管理者、および Alerter サービスと、メッセージの送受信を実行します。このサービスは、MSN を通じて利用できる無料のインスタント メッセージング サービスである Windows Messenger とは関連していません。

Messenger サービスを無効にすると、コンピュータまたは現在ログオン中のユーザーとの間で Messenger の通知を送受信できません。また、NET SEND および NET NAME シェル コマンドは機能しなくなります。このサービスは Windows Server 2003 コンピュータおよび Windows XP コンピュータに既定でインストールされ、自動的に開始します。

Microsoft POP3 Service

Microsoft POP3 Service は、電子メールの転送と取得サー