Symantec pcAnywhere のセキュリティ対策 (ベストプラク
ティス)
この文書では pcAnywhere 12.5 SP4 および pcAnywhere Solution 12.6.7 で強化されたセキュ リティ機能と、これらの主要な強化機能が動作するしくみ、およびセキュリティリスクを低減する ためのいくつかの手順について説明します。
SSL ハンドシェイクと TCP/IP の暗号化
現在、TCP/IP 接続の安全性は 256 ビット SSL 暗号化または 128 ビット SSL 暗号化により確 保されています。暗号化を使用しない[なし]オプションも提供されていますが、データ整合性チ ェックは行われます。 セキュリティを最適化するため、デフォルトの 256 ビット暗号化を使用することをお勧めします。 128 ビットオプションおよび[なし]オプションは、パフォーマンスが重視される安全な環境で使用 することを目的に提供されています。自己署名 SSL 証明書
pcAnywhere は自己署名 SSL 証明書を使用しています。Host.key と Host.cer という主要な 2 つのファイルを使用します。Host.key には専用キーが含まれています。Host.cer には公開キー が記載された X.509 証明書が含まれています。専用キーは Administrators、Power Users、 SYSTEM にのみアクセスを許可する ACL によって保護されています。 警告: 専用キーファイルは保護する必要があります。 権限を持たないユーザーが専用キーファイルにアクセスできる場合、ホストを偽装したり、ホス トをリモートで制御しようとするユーザーに対して中間者 (MITM) 攻撃を実行したりされる可能 性があります。 ホスト専用キーの安全性が低下していると思われる場合は、次の手順を実行して新しいキーを 生成できます。 1. ホスト処理を停止します。 2. 専用キーファイルと証明書ファイルを削除します。 3. 信頼できる証明書のリストを消去します。 手順については、この文書の「信頼できる証明書のリスト」を参照してください。 4. ホスト処理を再起動します。 この処理中、ホストの起動時にキーファイルが存在しない場合は、新しいキーファイルのセット が自動的に生成されます。
SSL サムプリントの検証
SSL サムプリントの検証はリモートユーザーがホストの信頼性を検証するために使用します。 この検証はリモートとホスト間の接続の安全性を確立して MITM 攻撃から保護するために実行 する必要があります。 デフォルトで、リモートユーザーが TCP/IP を使用してホストに接続しようとすると、このユーザ ーに対してホストの公開キーのサムプリントを示すダイアログボックスが表示されます。リモー トユーザーはこのダイアログボックスが示すサムプリントとホストのサムプリントを一致させる必 要があります。 このサムプリントを秘密にする必要はありません。印刷、電子メール、電話でやりとりできます。 サムプリントはホストディレクトリ内の cert.thumbprint.txt に格納されています。 リモートユーザーがホストの証明書を[常に信頼する]をクリックして受け入れた場合、ホストの 公開キーはローカルの信頼できる証明書のリストに格納され、ホストの証明書は今後の接続 時に自動的に受け入れられるようになります。信頼できる証明書のリストについて詳しくは、こ の文書の「信頼できる証明書のリスト」を参照してください。モデムの変更
現在、モデム通信向けに新しい 256 ビット暗号化レベルが提供されています。新しい暗号化レ ベルを使用することをお勧めします。低いレベルの暗号化はセキュリティの重要性がほとんど ない場合にのみ使用することをお勧めします。ただし、これらのオプションを使用すると、環境 によってはパフォーマンスが向上することがあります。 モデム通信向けのセキュリティにはサムプリントの検証は含まれないため、ホストの偽装や MITM 攻撃の影響を受けやすくなります。攻撃者がこれらの攻撃を実行するには、電話回線で 信号を積極的に操作できる必要があります。攻撃者が回線上の通信の監視のみを実行できる 場合、脆弱性は発生しません。アップグレード中または新規インストール中に接続を受け入れるかどうかを確認
するときのタイムアウトの変更
デフォルトのタイムアウトは 10 秒から 30 秒に延びました。デフォルトの設定
AES256 はすべての接続におけるデフォルトの暗号化レベルです。セキュリティのデフォルト設 定を手動で確認することをお勧めします。セキュリティのデフォルト設定を確認するには、この セクションの手順を完了します。また、pcAnywhere 12.5 SP4 または pcAnywhere Solution 12.6.7 にアップグレードしている場合、 [接続時の確認]の設定はアップグレード前に行った設定から変更されません。このオプション を設定して他のすべてのデフォルト設定を確認するには、このセクションの手順を完了します。
1. pcAnywhere で、[ホスト]オプション、[セキュリティのオプション]の順に選択し、次の設 定を選択します。 [リモート TCP/IP セッションリクエストを受信した際にプロンプトを表示] - この設定によってサムプリントのダイアログボックスがホスト上に表示され るかどうかが決まります。 [接続時の確認] - この設定によってリモートの制御要求を承認または拒 否するためのダイアログボックスがホストユーザーに表示されるかどうかが 決まります。ダイアログボックスが表示されてタイムアウト (デフォルトは 30 秒) に達すると、リモートユーザーがスーパーユーザーではない場合はア クセスが拒否されます。リモートユーザーがスーパーユーザーである場合 はアクセスが許可されます。ダイアログボックスを表示しない場合は、すべ てのリモートユーザーに対して接続が続行されます。 2. [リモート]オプション、[暗号]の順にクリックし、次の設定を選択します。 [信頼できないまたは不明なホストに TCP/IP を使用して接続している場合 はメッセージを表示する] - この設定によってホストの公開キーのサムプリ ントを示すダイアログボックスが表示されるかどうかが決まります。 ホストのサムプリントのダイアログボックスが表示されるのは、リモートで[信頼できないまたは 不明なホストに TCP/IP を使用して接続している場合はメッセージを表示する]が選択されてい るとき、リモートユーザーが 5 秒以内に受け入れまたはキャンセルを選択しなかった場合に限 られます。 ホストのサムプリントのダイアログボックスはホストが公開キーをリモートコンピュータに送信し てから 5 秒後に表示されます。セッション要求が続行されるのは、リモートで[信頼できないま たは不明なホストに TCP/IP を使用して接続している場合はメッセージを表示する]が設定され ていない場合、ホストの証明書がすでに信頼できる証明書のリストに含まれている場合、また はリモートユーザーが 5 秒以内に接続を[信頼する]または[拒否する]ように選択した場合で す。接続が続行される場合、デフォルトではホストユーザーに対して接続の確認を求めるダイ アログボックスが表示されます。
接続ハンドシェイクの手順
手順 リモートコンピュータ ホストコンピュータ 1 [信頼できないまたは不明なホストに TCP/IP を使用して接続している場合 はメッセージを表示する]が選択されて いる場合、リモートは ssl_ctx_set_verify API を使用してコールバックを登録しま す。 2 リモートは ssl_connect を呼び出して接 続を開始します。 3 ホストは ssl_accept を呼び出して接続要求 を受け入れます。4 ホストは 5 秒後にサムプリントのダイアログ ボックスを表示するようにスケジュールしま す。 5 リモートが手順 1 でコールバックを登録 している場合、リモートでコールバック 機能が呼び出されてサムプリントのダ イアログボックスが表示されます。 ユーザーが[常に信頼する]を選択 した場合、公開キーは今後の参照 用に格納され、リモートはハンドシ ェイク処理を続行します。 ユーザーが[一度だけ信頼する]を 選択した場合、リモートはハンドシェ イク処理を続行します。 ユーザーが[拒否する]を選択した 場合、リモートは接続処理を中止し ます。* *リモートユーザーが[拒否する]を選択した 場合、接続は中断され、ホストのサムプリン トのダイアログボックスは 5 秒経過していな い場合には表示されず、すでに表示されて いた場合には自動的に閉じられます。 ダイアログボックスには[閉じる]ボタンが含 まれているため、リモートユーザーはダイア ログボックスを閉じることができます。ただ し、リモートユーザーが[信頼する]または [拒否する]をクリックした場合、接続は続行 /中止され、ダイアログボックスは自動的に 閉じられます。 6 ハンドシェイク処理が続行し、接続が確立されます。 7 ホストのサムプリントのダイアログボックス がまだ表示されていない場合 (5 秒後に表 示されます)、スケジュールはキャンセルさ れてダイアログボックスは表示されません。 8 リモートがホストに認証情報を送信しま す。 9 ダイアログボックスを表示するようにホスト が設定されている場合 (2 つ目のホストオプ ション)、この時点でダイアログボックスが表 示されます。 ホスト上のユーザーが[はい/受け入れ]を 選択した場合、この情報がユーザー認証に 使用され、処理が続行されます。 ホスト上のユーザーが[いいえ/拒否]を選 択した場合、接続はホストによって閉じられ ます。
証明書の管理
古い証明書の管理機能は削除されました。新しい信頼のシステムでは、デフォルトでコンピュ ータの信頼オプションを設定するようにリモート管理者にダイアログボックスが表示されます。 管理者が[常に信頼する]を選択した場合、コンピュータは信頼できる証明書のリストに追加さ れ、このコンピュータに接続するときに管理者にダイアログボックスは表示されなくなります。管理者が[一度だけ信頼する]を選択した場合、次の接続時に信頼オプションの設定を要求する ダイアログボックスは再び表示されます。
信頼できる証明書のリスト
信頼できる証明書のリストは、信頼できるホストコンピュータの証明書が記載されたファイルで す。このリストは trusted_certs.PEM ファイルに格納されています。ホスト専用キーの安全性が 低下したと思われる場合は、trusted_certs.PEM ファイルを削除する必要があります。すべての ホストと再び信頼を確立する必要があります。pcAnywhere コンピュータのイメージ作成
pcAnywhere コンピュータ (物理または仮想) のイメージを作成するとき、次の場所に存在する 専用キー、証明書、ローカルの暗号化レジストリキーのファイルは削除することをお勧めします。 64 ビット版 : HKLM\Software\Wow6432Node\Symantec\pcAnywhere\CurrentVersion\{hash} 32 ビット版 : HKLM\Software\Symantec\pcAnywhere\CurrentVersion\{hash} 新しいイメージまたはクローンを配備するとき、これらの値は pcAnywhere の初回の実行時に 再確立されます。パスワード処理
暗号が[なし]に設定されているとき、pcAnywhere のパスワードは平文で送信されます。 リモートにアクセスするときは、どのような場合でもドメイン管理者の信用証明は使用しないこと をお勧めします。代わりに、リモート制御用に新しいセキュリティ信用証明を作成します。また、 次のような標準のパスワードポリシーを実行することをお勧めします。 パスワードを頻繁に変更する 強力なパスワードを使用する セキュリティ信用証明のアクセスと配布を制限する 信用証明にアクセスするリモートの権限とアクセス許可を制限するディスク上の暗号化
ホストとリモートの設定ファイルはディスク上に暗号化形式で格納されます。これらのファイル はコンピュータごとに一意のキーで暗号化されます。pcAnywhere がインストールされている別 のコンピュータからコンピュータのクローンを作成した場合、これらのコンピュータのキーは同じ になり、お互いのファイルを読み取ることができます。 デフォルトでは Administrators、Power Users、SYSTEM のみがホストの設定ファイルにアクセ スできます。また、デフォルトではコンピュータ上のすべてのユーザーはリモートの設定ファイル にアクセスできます。これらのファイルは暗号化されていますが、安全性は確保されていませ ん。これらのファイルにアクセスできるすべてのユーザーは、ファイルを解読して内容を参照できます。これらのファイルの安全性を確保するためには、ファイルに適切な ACL を設定する必 要があります。 Mac または Linux システムでは暗号化は実行されません。これらのシステム上でファイルを保 護するには、ファイルアクセス許可を使用してください。
設定ファイルのインポートとエクスポート
ホストとリモートの設定ファイルはデフォルトで暗号化されます。これらのファイルのいずれかを 別のコンピュータに移動する場合は、最初に awFileMgr.exe を使用して暗号化を解除する必要 があります。 暗号化を解除した後、ファイルを新しいシステムに移動し、同じツールを使用してファイルをイン ポートできます。インポート処理によってファイルは新しいコンピュータのキーを使用して暗号化 されます。ホストとリモートの実行
ホストを実行できるユーザー
Administrators と Power Users がホスト処理を実行できます。これらのユーザーはホストの設 定ファイル、専用キー、X.509 証明書のすべてにアクセスできます。
リモートを実行できるユーザー
コンピュータにログオンできるすべてのユーザーがリモートを実行できます。これらのユーザー はリモートの設定ファイル、信頼できる証明書のリストのすべてにアクセスできます。ホストを使用するユーザー
ホストへの接続が許可されているリモートユーザーは、システムの安全性を低下させるホストシ ステムを操作することができます。リモートユーザーがリモートセッション中に行える操作として は、以下が含まれます。 管理者コマンドプロンプトを起動する コンピュータを再起動する ホストをサービスとして実行する場合は信用証明を要求するダイアログボックスが表示されま す。ただし、ホストをアプリケーションとして実行する場合は信用証明を要求されません。インターネットベースのリモート制御セッション
pcAnywhere Access Server はインターネットベースのリモート制御セッションで安全性が確保 されません。Access Server の通信を詳しく分析した結果、Access Server は使用しないことを お勧めします。
Access Server を使用する代わりに VPN をインターネットベースのリモート制御セッションで使 用することをお勧めします。
「指定されたデバイスにアタッチできません」エラー
「指定されたデバイスにアタッチできません」というエラーメッセージがさまざまな状況で表示さ れます。問題の根本的な原因を特定するには、次の手順を上から順に完了します。 1. リモートとホストの両方で同じ暗号が使われていることを確認します。 2. 認証の種類を見直して正しい信用証明を入力していることを確認します。 3. 次の場所にあるホスト/キーファイルを管理者として削除し、pcAnywhere コンソールを 再起動することにより、これらのファイルを再生成します。 Vista 以上: C:\ProgramData\Symantec\pcAnywhere\Hosts XP: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts4. 正しいネットワークが確立されていてホストシステムに接続できることを確認します。た とえば、ファイアウォールが正しく設定されていること、ホストシステムに ping を実行で きることを確認してください。
