モンキッチ教授のセキュリティ講座 

四時限目

教授

Windowsの共有、なぜ危険なの?ど〜したらいいの?チャンと教えて!!
 確かに最近は、掲示板で「危険だ!」とか「覗かれてるかも知れない」とか騒ぎたてたりagitateする人は 目に付きますが、分かり易く説明しているのはあまり見かけません。本音を言うと知識のある人が 作ったサイトにリンクして済ませたいのですが、見つけられなかったので教授に調べてもらいました。

何を共有すべきか?
 必要なものだけをコピーして、出来ればシステムとは別ドライブに共有専用フォルダを 作ってその中で使う。LANで削除を行うとごみ箱には入らずその場で消えてしまうので元に 戻せません、無くなると困るものはバックアップしましょう。システムと別ドライブにする意味は 間違った、あるいは悪意のある操作で限度まで書き込んだ場合でもシステムのハングアップを 防ぐ為ですが無理にする必要もないでしょう。
 最悪なのはCドライブそのものを共有してしまうことです。CD-ROMドライブの 共有などはなかなか便利なのもですが、システムの入っているドライブを共有する事にメリットは ありません。必要以外の物を共有しない癖をつけておけば万一の場合の被害が少ない筈です、 その点ではMeでのマイドキュメント共有というデフォルト設定は落第点だと思ってます。
パスワードなどのアクセス制限等
 これは利便性とセキュリティが相反するので難しいところです、各自ご判断ください。 わたしはWindows Meでは読み取り専用とフルアクセスを使い分けてますがパスワードは使ったことが ありません、面倒くさがりなのです。
 パスワードは複雑なほど効果があり時々変更する事も必要です。いちいちパスワードを入れるのは面倒ですが ID Managerなどパスワード管理ソフトを 使用すれば入力作業の手間を軽減することも可能です。
 ワークグループはデフォルトのMSHOMEやWorkgroupから変更しておきましょう、Windowsでは デフォルト設定に問題が無いか疑ってかかるのが基本です。
 Windows 2000の チェックリストです、少なくてもAdministratorアカウント名の変更、ロックアウトを厳しくする、 Guest無効などは必要と思います。
 Windows XPが発売されましたがユーザー関連の設定がWindows 2000とは少し違うしHomeとProでも かなり異なるしどう変えたのかMSはわかりやすく説明しないしで大変です。 @IT  ZDNet  ZDNet.  KB.  ITPro  チェックリスト.

 余談ですがBBSなどで自分がXP ProとHomeのどちらを使っているのか書かずに質問してる人や XP ProとHomeの違いがわからず同じような物だと思い込んでに回答している人をちらほら見かけます、 LAN関連についてはかなり大きく異なるOSとなっているので「ポッケ」君も気をつけるように!

 以上の方法にはPCへの不正アクセスを防ぐ効果はありませんが、万一の時には確実に被害が少なくなります。 加えて費用もかからないので、是非やっておいて欲しいです。

 三時限目の繰り返しになる部分もありますが防衛策を以下に挙げます。
  1. ルータ導入、フィルタリング(前の時間に説明しました) *** @ITの新着記事へのリンクを追加します。***
  2. パーソナル・ファイヤーウォール・ソフトの導入(これも説明済み)
  3. インターネットに接続するアダプタでバインドを外す(Tips のなかのセキュリティで以前から解説してましたね)
 1と2の場合、遮断するポートはTCP/UDP 137〜139 です、ついでにTCP/UDP 135, 445 も塞いでしまいましょう。

 3の場合は多少問題があります、一部のCATV局などで複数IPアドレスを与えられている場合にこの方法では 家庭内LANが出来なくなってしまいます。対策としてはLANアダプタにNetBEUIを追加しこれで家庭内LANを 行います、つまりバインドを外したTCP/IPとバインドしたNetBEUIの併用です。
 NetBEUIはTCP/IPと異なりルータを越えての共有が出来ないプロトコルとされています、絶対にルータを 越えないわけでは無いらしいのですが通常は心配しなくても良いようです。
 (でもモデムも越えられないと断言出来ません、モデムの製品ごとの仕様や回線業者のシステムも関係してくるので ホームページなどでよく確認してください。以前使ってたJ-COMでは家庭内LANはNetBEUIを使うようにと 書いてあった記憶がありますが今はルータが使えるのでもう書いてないかもしれません。NetBEUIを使えば 無条件で安全ということはあり得ないんです、TCP/IPを使うと覗かれるとも決まってないのと同じですね、 要は条件次第ということです。)

 Yahoo!BBで右図のつなぎ方でIPアドレスが複数取得できるためPCの複数台接続が可能であり、またなぜか 他人のPCが覗けてしまうと言う話がネット上で噂となってます。わたしが住んでいる地区ではそのような事は 確認できないのでYahoo!BB全体の問題ではないようです。
そもそも、このつなぎ方はYahoo!BBの規約に触れてるようです。それにグローバルIPアドレスでNBT (TCPでのWindowsの共有)を有効にしている個人に全く非がないとは思えません。NBTについては Windows 98の責任もありますし(Meでは軽い警告があるし、XPはNBTがデフォルトでOFFです、 数年前のOSでは常時接続時代に対応出来てないのは当然です。) Yahoo!BB側もモデムの説明書・Webで告知をしてます、 しかしいくら説明してあっても『気がつかない人』や、つながる事が先決でこの種の説明は 『不要な情報である自己判断する人』がいても仕方のない事なので一方的にYahoo!BBばかり責めるのは ちょっと違うんじゃないかなと考えます。
 その後かなり状況は改善されてきたみたいです、基本的に単独での接続にしか責任を持たない回線業者が 多いのでLAN環境へ適応させるのは個人の責任でということですね。

 心配な方が多いかも知れませんので申し上げておきますが、このように設定してないPCは必ず覗かれてしまう 訳ではありません。ISP(プロバイダ)側の適切な設備・設定で不具合など発生しないことも多いでしょうし、 見られて困るものでなければ見せてあげても良いではありませんか。それに、読み取り専用なら簡単に 書き換えられることもありません。
 仕事上、大切なデータを扱うのであればそれなりの費用と手間を惜しまずファイヤーウォールを構築すべきですが、 一般の家庭内LANにおいては大切なデータは共有せず出来ればHDDに置かなければ実害の軽減は意外に容易です。
 あなた自身でリスクを判断して必要と思う対策をとるべき事柄です、リスク覚悟で対策などはしない という選択肢もあるんですョ。



終了です、失礼しました。
前へ Top
SEO [PR] 爆速!無料ブログ 無料ホームページ開設 無料ライブ放送