- - PR -
MBSA2.0でリモートスキャン
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-07-28 12:40
MBSA2.0をテスト中です
・スキャンする側 :Windows 2000 server SP4 ・スキャンされる側 :Windows XP SP2 Professional XPのWindows FirewallをOFFにするとスキャンできます ONにすると ・セキュリティの評価結果:スキャン未完了 ・セキュリティ更新プログラムのスキャン結果:ファイアウォール設定のため、対象のコンピュータ上の Windows Update エージェントに接続できません。 FirewallをONにして参照のURLを元にいろいろ試してみましたが、私が未熟な為に「スキャン未完了」なままです。 リモートスキャンを行うにはどのような設定を行えばよいのか教えてください。 | ||||||||
|
投稿日時: 2005-07-28 20:07
こんばんわ.
うろ覚えですが, 調査する対象の管理者権限が必要だったと思います. その辺はどうでしょう? | ||||||||
|
投稿日時: 2005-07-29 13:17
>調査する対象の管理者権限が必要だったと思います
ハイ管理者権限はあります。 Windows FirewallをOFFにするとスキャンは出来るので、Firewall関連の設定の問題ではないかな?と考えています。 もしかして、この問題で悩んでいるのは私のところの環境が悪いだけであって、他のMBSA2.0を試された方々はリモートスキャンは問題なく行えている…のかな? | ||||||||
|
投稿日時: 2005-07-29 13:50
こんにちわ.
ゴメンナサイ,見落としていました.
firewall はどのように設定しましたか? http://www.microsoft.com/japan/technet/security/tools/mbsa2/datasheet.mspx の「システム要件」や「必要なサービス」は確認されていますか? | ||||||||
|
投稿日時: 2005-07-29 19:04
こんにちは・・・あれ、外は暗くなってきたようなのでこんばんわ
>「システム要件」や「必要なサービス」は確認されていますか? 用件にある下記のサービスは確認しました ・Server service ・Remote registry service ・File & Print Sharing ・COM+ FirewallをOFFにすることで問題は発生しないので、必要最低限のサービスとシステム用件は満たしていると思います。 >firewall はどのように設定しましたか? その1:Windows ファイアウォールの「例外」タブにて ・ファイルとプリンタの共有:チェック ・「ポートの追加」にて「TCP:135」「UDP:139」を追加 その2:[コンピュータの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]−[Windows Firewall]−[標準プロファイル] Windows ファイアウォール:リモート管理の例外を許可する Windows ファイアウォール:ファイルとプリンタの共有の例外を許可する 「要請されない着信メッセージを許可するアドレス」にスキャンする側のIPアドレス その3:コンポーネント サービス\\\\コンピュータ\\\\マイ コンピュータ\\\\DCOM\\\\Windows Update Agent Remote Access 「エンドポイント」 タブを使用して静的なポートに135 以上の設定を行い実験中です。 | ||||||||
|
投稿日時: 2005-07-29 21:14
この他に >・「ポートの追加」にて「TCP:135」「UDP:139」を追加 445/tcp を開けるのでは? ここを参照すると http://support.microsoft.com/kb/884512/JA/ > Windows ファイアウォール:リモート管理の例外を許可する という記述ではないようです. | ||||||||
|
投稿日時: 2005-09-02 14:35
kazさん、ありがとうございます
立て込んでいたために、1ヶ月ほど検証を延ばしてしまいました・・・すみません。 もう一度、ここを読み直してみました http://www.microsoft.com/japan/technet/security/tools/mbsa2/qa.mspx 必要そうなところを抜粋すると >Q. MBSA を実行するために必要なサービスおよびポートは何ですか? TCPの135,139,445だけで良さそう。(社内ルーターは制限を掛けていない) 検証に利用している2台のPCをブロードバンドルーターに接続して試してみました。 ・それぞれのIPアドレスは192.168.1.xxx ・サブネットマスクは255.255.255.0 この環境だと「ファイルとプリンタの共有」と「TCP135」を開放していれば、Windows FirewallがONでもリモートスキャンできました さて上記のPCをそのまま社内環境に移して試します。 ・それぞれのIPアドレスはxxx.xxx.10.10とxxx.xxx.11.184です。 ・サブネットマスクが255.255.254.0(ブロードバンドルーターと異なるのはこれぐらい) <FirewallをOFF> 全項目のリモートスキャンできる <FirewallをON> ・セキュリティ更新プログラムのスキャン結果:ファイアウォール設定のため、対象のコンピュータ上の Windows Update エージェントに接続できません ・そのほかのスキャン結果は問題なく検査されている FirewallにてTCPの135,139,445のスコープも変更してみました ・任意 ・サブネット ・カスタム(スキャンするPCのIPアドレスを指定) どれも「セキュリティ更新プログラム」をスキャンすることができません。 #Firewallの例外って信頼できるものなのか自信なくなってきました・・・ | ||||||||
|
投稿日時: 2005-09-03 20:37
はじめまして。
私も同じ症状で悩んでいたため、このスレッドも参考にさせていただいておりましたが、本日手探りで何とか解決しましたので、原因となっていると思われるところを記載してみます。 先のリンクのMBSA2 Q&Aの >Q.ファイアウォールで保護されているコンピュータはどのようにスキャンできますか? を読むと、「Windows Update Agent –Remote Access」のために、TCP135の他に、任意の(といっても、別アプリ等で競合しない)TCPポートを1つ開けてあげる必要があることがわかります。(FWオン時の破棄パケットログやFWオフ時のEtherealでも確認できます) そこで、並と卵と味噌汁さんが先日設定された ---以下、引用 その3:コンポーネント サービス\\コンピュータ\\マイ コンピュータ\\DCOM\\Windows Update Agent Remote Access 「エンドポイント」 タブを使用して静的なポートに135 ---以上、引用 に、任意のTCPポートをもう1つ追加してあげて、TCP135と追加した任意TCPポートをFWの例外にて開放してあげることで、リモートスキャンが可能になるかと思われます。 参考までに、当方環境ではエンドポイントに破棄パケットログにて破棄されていたパケットの宛先ポートを使用してます。 以上、参考になりましたら幸いです。 [ メッセージ編集済み 編集者: JTK 編集日時 2005-09-03 20:40 ] | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。