リモートからのアクセス制限

3. 「全般」タブが選択されています。 

この接続が、直接インターネットに接続する場合は「インターネットプ ロトコル(TCP/IP)」のみチェックマークを付けます。「Microsoft ネッ トワーク用クライアント」と「Microsoft ネットワーク用ファイルとプ リンタ共有」は、オフにします。 

この二つは、信頼できるネットワークに接続している場合のみ、チェッ クマークを付けます。 

特に、ダイアルアップや ADSL、FTTH を使って、この「接続」が直接イン ターネットに接続している場合、「Microsoft ネットワーク用ファイル とプリンタ共有」を有効にすることは危険です。この「接続」が無線 LAN の場合も、ホットスポットにてインターネットと接続する場合があるま すので、同様に危険です。 

4. 「詳細設定」タブを選択します。 

「インターネット接続ファイアウォール」のチェックマークを付けます。 

5. 「設定」ボタンを選択します。 

ここでは、許可するポートを指定します。このコンピュータで許可する ポートにのみチェックマークを付けてください。 

「msmsgs」で始まる設定は、Windows Messenger の設定です。Windows  Messenger に関する設定は、Windows Messenger プログラムが自動的に 行いますので、操作する必要はありません。 

6. 許可するポートを追加したい場合は、「追加」ボタンを選択します。 

以上で、設定は終わりです。複数のネットワーク接続設定がある場合は、すべ ての設定を確認してください。特に、ダイアルアップ接続、無線 LAN 接続は、

ファイアウォールを有効にすることをお勧めします。 

さらに、この設定を行った後は、できる限り通信テストを行うことをお勧めし ます。設定は簡単ですが、ファイアウォール機能を有効にすると、思わぬ機能 が使用できなくなることも考えられます。また、ポートスキャナツールをつか って、必要なポートのみ公開されているか確認してください。 

なお、ファイアウォール機能を有効にしても、公開されているポートを使用し て、悪意のあるユーザが攻撃を試みるかもしれません。特に、セキュリティホ ールが見つかった場合は、その弱点をついた攻撃を受けるかもしれません。よ って、日ごろのサーバ管理と、セキュリティ情報のチェックが必要です。 

（2） null(ヌル)接続の制限 

null(ヌル)接続とは、ユーザ名とパスワードが空(null)の状態でサーバなどに 接続を行うことをいい、Windows 特有の問題です。 

しかも、null 接続そのものは非常に簡単です。悪意のあるユーザは、この方法 でサーバに接続した後、さまざまなテクニックを使って、ネットワーク情報、

共有、ユーザ、グループ、レジストリなど、可能な限りの情報を収集しようと 試みます。「レッドボタン」問題、null セッション接続、匿名ログオンなどと も呼ばれ、侵入者が使用する最も危険な手段の 1 つとなっています。 

Windows XP では、この接続に対する制限を行う機能を持っています。 

以下に説明するレジストリの変更によって、この方法による情報漏洩の大部分 を防ぐことができます。 

1. Windows のスタートメニューから[ファイル名を指定して実行]を選び、

「regedit32.exe」と入力して、「OK」ボタンをクリックします。  

2. レジストリエディッタが表示されます。  

3.  レ ジ ス ト リ か ら 、 「 HKEY̲LOCAL̲MACHINE¥SYSTEM¥Current Control  Set¥Control¥LSA」を選択します。  

4. 「restrict anonymous」をダブルクリックし、データの欄に「2」を設定 します。 

※この設定には注意事項があります。下記リンクを参照ください。 

JP246261: RestrictAnonymous レジストリ値を使用する方法 

http://support.microsoft.com/default.aspx?scid=kb;JA;JP246261 

5. レジストリエディッタを終了し、マシンを再起動します。 

この設定は、null 接続による動作を制限しているだけで、接続は可能です。 

しかも、この制限をしているにもかかわらず、ある特定のツールを使用した、

ユーザとグループ情報の取得方法が知られています。もちろん、この問題も他 の対策と組み合わせることで解決できます。