[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00311] Re: WatchGuard ServerLock

To: port139@xxxxxxxxxxxxx
Subject: [port139:00311] Re: WatchGuard ServerLock
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Sat, 23 Jun 2001 09:25:13 +0900

おはようございます、Port139 伊原です。

On Fri, 22 Jun 2001 13:49:08 +0900
KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx> wrote:

>  ここから white paper 入手できます:
>
><http://www.watchguard.com/Infocenter/>

やっと PDF を斜めに見てみました。

仕組み的には大雑把にですが、こうなっているようですね。

ServerLock をファイルシステム フィルタ ドライバとしてシステムへ
インストール
↓
ファイルシステムへの書き込み要求が発生
↓
ServerLock（フィルタ ドライバ）が検知し、保護対象のファイルと一
致するか確認。
↓
保護対象のファイルは、書き込みを拒否。それら以外は許可。

ServerLock はレジストリの保護も可能ですが、そちらはレジストリへ
の書き込みをフックして対処してるようです。

簡単にいえば「カーネルレベルで、書き込みを見張って許可されたファ
イルやレジストリへは書き込ませない」ということみたいですね。

そいう意味では、[*]IPD と同じで、例えば悪意のあるドライバをシス
テム領域に書き込めないようにすることで、rootkit の混入を防ぐとか
そーいう方向のようですね。

[*]IPD
http://pedestalsoftware.com.cnchost.com/intact/ipd/index.htm

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139:00312] Re: WatchGuard ServerLock
  - From: Hideaki Ihara

References:
- [port139:00305] WatchGuard ServerLock
  - From: Hideaki Ihara
- [port139:00306] Re: WatchGuard ServerLock
  - From: KOJIMA Hajime / 小島肇

Prev by Date: [port139:00310] Re: WatchGuard ServerLock
Next by Date: [port139:00312] Re: WatchGuard ServerLock
Previous by thread: [port139:00306] Re: WatchGuard ServerLock
Next by thread: [port139:00312] Re: WatchGuard ServerLock
Index(es):
- Date
- Thread