2.2 Windows XP pro
2.2.5 リモートからのアクセス制限
4. 指定したら、「OK」ボタンをクリックし、「ローカル セキュリティ ポ リシーの設定」画面を閉じます。
5. 設定を反映するために、「ローカル セキュリティ設定」画面を閉じます。
(8) ロックアウト期間
この機能は、実際にロックアウトを行う期間を指定します。
1. 「アカウント ロックアウトのポリシー」の中にある、「ロックアウト期 間」をダブルクリックします。
2. 「ロックアウト期間のプロパティ」画面が表示されます。
3. ロックアカウントの期間を分単位に指定します。
4. 指定したら、「OK」ボタンをクリックします。
「全般」タブが選択されています。
3. この接続が、直接インターネットに接続する場合は「インターネットプ ロトコル(TCP/IP)」のみチェックマークを付けます。「Microsoft ネ ットワーク用クライアント」と「Microsoft ネットワーク用ファイルと プリンタ共有」は、オフにします。この二つは、信頼できるネットワー クに接続している場合のみ、チェックマークを付けます。
特に、ダイアルアップや ADSL、FTTH を使って、この「接続」が直接イン ターネットに接続している場合、「Microsoft ネットワーク用ファイル とプリンタ共有」を有効にすることは危険です。この「接続」が無線 LAN の場合も、ホットスポットにてインターネットと接続する場合があるの で、同様に危険です。
4. 「詳細設定」タブを選択します。
5. 「インターネット接続ファイアウォール」のチェックマークを付けます。
6. 「設定」ボタンを選択します。ここでは、許可するポートを指定します。
このコンピュータで許可するポートにのみチェックマークを付けてくだ さい。
7. 「msmsgs」で始まる設定は、Windows Messenger の設定です。Windows Messenger に関する設定は、Windows Messenger プログラムが自動的に 行いますので、操作する必要はありません。
8. 許可するポートを追加したい場合は、「追加」ボタンを選択します。
以上で、設定は終わりです。複数のネットワーク接続設定がある場合は、すべ ての設定を確認してください。特に、ダイアルアップ接続、無線 LAN 接続では、
ファイアウォールを有効にすることをお勧めします。
さらに、この設定を行った後は、できる限り通信テストを行うことをお勧めし ます。設定は簡単ですが、ファイアウォール機能を有効にすると、思わぬ機能 が使用できなくなることも考えられます。また、ポートスキャナツールをつか って、必要なポートのみ公開されているか確認してください。
なお、ファイアウォール機能を有効にしても、公開されているポートを使用し て、悪意のあるユーザが攻撃を試みるかもしれません。特に、セキュリティホ ールが見つかった場合は、その弱点をついた攻撃を受けるかもしれません。よ って、日ごろのサーバ管理と、セキュリティ情報のチェックが必要です。
(2) null(ヌル)接続の制限
null(ヌル)接続とは、ユーザ名とパスワードが空(null)の状態でサーバな どに接続を行うことをいい、Windows 特有の問題です。しかも、null 接続その ものは非常に簡単です。悪意のあるユーザは、この方法でサーバに接続した後、
さまざまなテクニックを使って、ネットワーク情報、共有、ユーザ、グループ、
レジストリなど、可能な限りの情報を収集しようと試みます。「レッドボタン」
問題、null セッション接続、匿名ログオンなどとも呼ばれ、侵入者が使用する 最も危険な手段の 1 つとなっています。
1. Windows XP では、この接続に対する制限を行う機能を持っています。
以下に説明するレジストリの変更によって、この方法による情報漏洩の 大部分を防ぐことができます。
2. Windows のスタートメニューから[ファイル名を指定して実行]を選び、
「regedit32.exe」と入力して、「OK」ボタンをクリックします。
3. レジストリエディッタが表示されます。
4. レ ジ ス ト リ か ら 、 「 HKEY̲LOCAL̲MACHINE¥SYSTEM¥Current Control Set¥Control¥LSA」を選択します。
5. 「restrict anonymous」をダブルクリックし、データの欄に「2」を設定 します。
※ この設定には注意事項があります。下記リンクを参照ください。
① JP246261: RestrictAnonymous レジストリ値を使用する方法
② http://support.microsoft.com/default.aspx?scid=kb;JA;JP24626 1
6. レジストリエディッタを終了し、マシンを再起動します。
この方法は、null 接続による動作を制限しているだけで、接続は可能です。し かも、この制限をしているにもかかわらず、ある特定のツールを使用した、ユ ーザとグループ情報の取得方法が知られています。もちろん、この問題も他の 対策と組み合わせることで解決できます。