[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:00477] Re: secure system with win9X

はまもとです。

> win9xに侵入してリモートから制御権を奪おうとするとなると、なんらかのリモー
> トツールを送り込むというのがほとんど必須となります。この方法は受動的攻撃
> でもいいし、メールに添付するだけでもよい訳で、こういう手口から一番身を
> 守ってくれるのはいわゆるアンチウィルスソフトになります。

御意。

> 実はウィルス関係はこれまで私の興味外だったので、アンチウィルスソフトにつ
> いてもあまり詳しく知りません。どなたか紹介して頂けないでしょうか?

シマンテックのノートンアンチウィルス
ネットワークアソシエイツのウィルススキャン
トレンドマイクロのウィルスバスターが御三家でしょう。
企業ユースだと山田洋行が代理店をしているヨーロッパ出身のF-Secureという
製品が安くて良いですが、ftpダウンロードに対応していなかったりと、個人
ユースでは難があります。

この御三家のアンチウィルスに関する技術レベルはほとんど同格といわれてい
ますが、I Love youウィルスのときにネットワークアソシエイツはウィルスパ
ターンの更新に乗り遅れました。なんでも、ゴールデンウィーク中に社屋が引
越し中で、ネットワークが断絶状態で対応が遅れたとか。今後はこういう所で
危機管理体制が問われそうですね。

パーソナルファイアウォールでは、シマンテックとトレンドマイクロが名乗り
をあげています。ネットワークアソシエイツはここでも乗り遅れています。今
後の展開はどうするんでしょうね? 今もMSと仲が良いですから、Windows標
準添付とかの戦略を取ってきそうです。今後の展開が要注目です。

個人的にはこの御三家の中のシマンテックに注目しています。最近、セキュリ
ティ製品を多数そろえるAxentを買収しました。これにより、シマンテックは
10億ドル規模のセキュリティ会社となり、セキュリティに関する品揃えをフル
サポートできる体制が整いつつあるようです。

> DoS関係で最新パッチは5月19日に出てますね
> http://www.microsoft.com/japan/support/kb/articles/J049/9/50.htm
> の「断片化された IGMP パケットでサービスが不能になる」
> #windows updateは分かりにくくて使いにくいです。
> この項は休日にでも改めて調べて整理します。

お願いします。

> > もちろん、物理的接触をされれば
> > 何でもありなのは皆さんよくご存知でしょうが、
> 
> 起動用フロッピーを突っ込まれてリブートされると手も足もでませんが、
> スクリーンセーバーからの復帰をpassword入力するようにしておくとか、
> リブートした時にもpassowrodを入れないといけないようなソフトを導入
> するとかしておくと短時間の間に攻略されることは防げます。

CD-ROMのAUTO RUNが有効になっていると、クラックソフトをいれたCD-ROM
を突っ込まれて内部の情報取得という手もありますね。

> 私は鍵言葉というのを使っています。

BIOS Passwordも多少の役には立ちますね。(BIOS Crackerとかありますが)

> 鍵言葉:(Free)
> http://www.vector.co.jp/vpack/browse/pickup/pw2/pw002894.html
> この類のソフトはVectorなら
> http://www.vector.co.jp/vpack/filearea/win/util/security/index.html
> に山ほどあります。

OSのセキュリティを高めるのであれば、やっぱりWindows2000でしょうねぇ。
標準で暗号化機能を持っていますし、syskeyや管理コンソールでそれなりの
設定(admin Userの名前の変更、ブルートフォース対策等)をすれば、物理的
接触による攻撃もかなり防げますし。 HDDを増設されてDriveCopyとかやられ
たらきついですが、重要なフォルダは暗号化しておけば普通の人で突破は難
しいと思います。

改造ブートディスクによるWindows2000のパスワード書き換えの方法ってご
存知です?>Officeさん
NT4用のツール(FD LinuxとPWDDUMPを組み合わせたものとか)はいくつか持っ
てますが、 Windows2000用はまだ見たことがないんですよねぇ。SAMファイ
ルがなくなったから、そういう事は基本的にできなくなったんでしょうか?
回復コンソールあたりで、できそうな予感はしますが。。。
# まだ、不勉強でWin2000の認証系の技術は追いきれてないんですよね。

> > もちろん、シングルユーザOSですし、
> 
> シングルユーザOSが何故よくないのかどなたか説明して頂けませんか?
> 実は私自身今一つ納得できていません。

シングルユーザというか、ログインユーザがアクセス権限の概念を持って
いない=シングルユーザOSという意味じゃないですか?

> > DoSやウィルスにも弱いですので、
> > よりセキュリティを高めたいならWin2000やLinuxでFirewallを構築した
> > 方が良いことは言うまでもありません。
> 
> これには全く異存ありません。
> あとFreeBSDもね。;-)

私の身近ではOpenBSDが流行っています。


> pcap:(Free)
> WinDump:(Free)
> snort:(Free)
> などなど。

もし、初心者向けの情報としてまとめるのなら、この手のツールは参考情報
程度にして、日本語対応の定番方法を3つくらいにまとめたほうが混乱しな
いで良いかもしれません。

> Stone:(Free)
> パケットリピーター。SSLも使えます
> http://www.gcd.org/sengoku/stone/Welcome.ja.html

stoneはいいですよねぇ。大好きです。応用性高いですし。;-)

> 忘れないうちに書いておくとmacの個人用Firewallとして
> DoorStop Personal Firewall:Single license $59
> http://www2.opendoor.com/doorstop/

●不法アクセスからMacintoshを守るセキュリティウェアを発売
http://www.zdnet.co.jp/macwire/0008/21/n_netbarrier.html
IntegoのMacintosh用セキュリティウェア「ネットバリア」の日本語版。お値段、
15,800円也。

> > Win2kは初心者には難しいですねぇ。まとめると結構なボリュームになりそ
> > うです。
> 誰か〜!

基本はNTといっしょです。(というかネットワーク上で見るとNTとかわらん)
だから、
・C$、D$、ADMIN$などの隠し共有とNULL接続を削除
・ブルートフォース対策
・パケットフィルタリング
・MS系のサーバアプリを使わない
あたりでまとめれば、分量的に少なくてすみますかね。
一度設定してしまえば、ポリシーとしてファイル化できますから、それを配れ
ば一般の人の負担も少なくてすみますね。

意外な所で、パスワードの命名規則って、良いのがないですよねぇ。
むかーし、ネットニュースとかでどなたかがまとめられたもので良いものが
ありましたが、同じようなのをWEB上でさがしたのですが、良いものがあり
ませんでした。


+---------------------------------------------------------------------
| はまもと
| ■常時接続の宴
| http://www.hicat.ne.jp/home/hamamoto/
| インターネット常時接続の経験とノウハウを気楽に話し合うための場所です
| ■24 時間常時接続メーリングリスト開催中
| http://www.hicat.ne.jp/home/hamamoto/ml/connect24h.html
+----------------------------------------------------------------------