リモートからのアクセス制限

1.「アカウントロックアウトのポリシー」の中にある、「ロックアウト期間」を実行します。

2.「ロックアウト期間のプロパティ」画面が表示されます。

3.ロックアカウントの期間を分単位で指定します。

4.指定したら、「OK」を選択します。

画面06：「ルーティングとリモートアクセス」画面。

4.「ルーティングとリモートアクセスサーバのセットアップウィザード」画面が表示されますので、「次 へ」を選択します。

5.「標準的な構成」の選択肢から、「手動で構成したサーバ」を選択し、「次へ」を選択します。

画面07：「手動で構成したサーバ」を選択

6.「完了」を選択して、セットアップウィザードを終了します。

7.「サービスを開始しますか？」の確認メッセージでは、「はい」を選択します。

8.「ルーティングとリモート アクセス」画面に戻り、左側のツリーコントロールから、「FILESERVER」

の中の「IPルーティング」を選択します。

画面08：「IPルーティング」を選択

9.さらに「全般」を実行します。

10.インターネット側にあたる、インタフェース（この例では、ローカルエリア接続）を、マウスの右ボ タンでクリックし、表示されたコンテキストメニューから、「プロパティ」を選択します。

画面09：「ローカルエリア接続」をマウスの右ボタンでクリックし、表示された「プロパティ」を選択

11.表示された「ローカルエリア接続のプロパティ」画面より、「入力フィルタ」を選択します。

画面10：「入力フィルタ」を選択

12.表示された「入力フィルタ」画面にて、「追加」を選択し、許可するフィルタ情報を入力します。

画面11：許可するフィルタ情報を入力

13.「OK」を選択し、「入力フィルタ」画面に戻ります。「フィルタ」一覧に追加されていることを確認

します。

14.「下の条件に一致するパケットを除いたすべてのパケットを破棄する」を選択し、「OK」を選択し ます。

画面12：「下の条件に一致するパケットを除いたすべてのパケットを破棄する」を選択

13.プロパティ画面に戻り、さらに「出力フィルタ」を選択して、「出力フィルタ」を設定します。

14.フィルタの設定を終え、プロパティ画面に戻り、「OK」を選択し、設定を反映させます。

  以上で、パケットフィルタの設定が終わりました。

  なお、ここまでの説明では、イントラネット側のパケットフィルタの設定は行っていません。必要に 応じて同様の手順で設定してください。

  上記の設定では、HTTP接続だけを許可しました。小規模のネットワークで使用されることが多い以 下のサービスについて、必要に応じてフィルタを設定してください。

・DNS

・HTTP（Webサーバ）

・SMTP

・SSH

・SSL

2) null（ヌル）接続の制限

  null（ヌル）接続とは、ユーザ名とパスワードが空（null）の状態でサーバなどに接続することをい

い、Windows特有の問題です。

  しかも、null接続そのものは非常に簡単です。悪意のあるユーザは、この方法でサーバに接続した後、

さまざまなテクニックを使って、ネットワーク情報、共有、ユーザ、グループ、レジストリなど、可能 な限りの情報を収集しようと試みます。

  Windows 2000 Serverでは、この接続を制限する機能を持っています。

  以下に説明するレジストリの変更によって、この方法による情報漏洩の大部分を防ぐことができます。

ただし、レジストリの変更は影響が大きいため、慎重に行うようにします。

1.Windowsのスタートメニューから「ファイル名を指定して実行」を選び、「regedit」と入力して、「OK」

を選択します。

2.レジストリエディタが表示されます。

3.レジストリから、「HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥LSA」を 選択します。

4.「restrictanonymous」を実行し、データの欄に「2」を設定します。

画面13：データの欄に「2」を設定

5.レジストリエディッタを終了し、マシンを再起動します。

  この設定は、null接続による動作を制限しているだけで、接続は可能です。しかも、この制限をして いるにもかかわらず、ある特定のツールを使用した、ユーザとグループ情報の取得方法が知られていま す。

  この問題も他の対策と組み合わせることで解決できます（Routing and Remote Accessによるパケッ トフィルタリングなど）。