トピック@Windows Server 2003 SP1 のインストール後の設定は?DCOM のセキュリティ強化は、既定で有効になっています。DCOM セキュリティ強化を利用するために、Windows Server 2003 SP1 をインストール後に設定を行う必要はありません。 
DCOM のセキュリティ強化は、Windows Server 2003 のオペレーティング システムに組み込まれたセキュリティ機能です。そのため、Windows Server 2003 SP1 を適用後に DCOM のセキュリティ強化を無効に設定変更することはできません。 |
A セキュリティが強化された DCOM のメリットは?DCOM に対するリモートからの不正アクセスおよび悪用を防止します。
ネットワークを介して利用される分散コンポーネント オブジェクト モデル (DCOM) は、匿名での呼び出しを許可すると、外部からの不正アクセスによって悪用される可能性があります。Windows Server 2003 SP1 をインストールすることで、DCOM に対して匿名アクセスによる利用を制限することができるため、外部から悪用される可能性のあるアプリケーションのセキュリティを強化し、サーバーやネットワークの安全性を確保できます。 
DCOM のセキュリティ強化では、COM に対するアクティブ化権限が追加されています。さらに権限をローカルとリモートに分割し、Everyone や Anonymous アカウントがリモートからアクティブ化や起動を行う権限をなくし、Administrators グループのユーザーのみがリモートからのアクティブ化と起動の権限を持ちます。 起動およびアクティブ化 | ローカルおよびリモートからの起動とアクティブ化 | ローカルのみの起動とアクティブ化 | | アクセス | ローカルおよびリモートからのアクセス | ローカルおよびリモートからのアクセス | ローカルおよびリモートからのアクセス |
B DCOM のセキュリティ強化による影響は?DCOM のセキュリティ強化によって、既存のアプリケーション環境に影響を与える場合があります。 | • | マイクロソフト製アプリケーションだけを利用している場合
Windows Server 2003 の標準機能とサービスのみを利用している場合にはほとんど影響がありません。
マイクロソフト製のアプリケーションを利用している方は、こちらをご参照ください。 | | • | 他社製アプリケーションやサービスを利用している場合
マイクロソフト以外のアプリケーションやサービスをインストールしている場合には、既存環境に影響を与える可能性があります。たとえば、管理者以外の権限でリモートからアクティブ化と起動を行っているアプリケーション、アプリケーション固有のアクセス制御リスト (ACL) を使用して、Network Service アカウントに対してレジストリのアクセスを許可していないアプリケーションなどは、DCOM のセキュリティ強化によって影響を受ける場合があります。 → DCOM のセキュリティ強化対策をご確認ください。 |
C セキュリティが強化された DCOM を利用する場合の対策は?リモートからの匿名アクセスが制限された DCOM を利用する場合には、次のような対策を行うことで既存環境への影響を回避できます。 | • | DCOM のセキュリティ強化対策
COM の各コンポーネントに対して、リモートからアクティブ化および起動を行えるように、アプリケーションのアクセス制御リストに適切な権限を設定します。 ※ Windows Server 2003 SP1 の DCOM のセキュリティ強化では、既定の設定で Anonymous にリモートからのアクセス権が有効であるため、匿名でリモート アクセスを行うアプリケーションに問題が発生する可能性はほとんどありません。 |
| 
