- - PR -
ゲスト用パソコンの設定について
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-12-09 13:50
今度、社内のショールームにパソコンを設置して来社された
お客様にインターネットなどを使用していただくことを検討 しています。 つきましてはセキュリティを考慮した形でセットアップを 行いたいと考えていますのでご教授ください。 ◆環境 OS:W2KPro ネットワーク: @社内LANに接続してインターネット利用 A拠点間をVPN接続しておりショールームからは本社にある Proxyサーバ経由にてインターネット利用 Bワークグループにて設定 C全てのPCでIPアドレスを固定している(DHCPは使用していません) 利用ソフト:IE、Office2000のみ ◆現在検討中の対策 ・利用するアカウントのアクセス権をGestsにする ・ネットワークのセグメント分ける ・ショールーム用のルータを設置し、社内LANへルーティング ・社内LANに接続する為、マイネットワークを隠す(窓の手によりレジストリの書き換え) ・コントロールパネルを使用不可にする(窓の手によりレジストリの書き換え) ・ソフトなどをインストールされなくするため、FDとCDを隠す(窓の手によりレジストリの書き換え) 上記のほかに、「USBメモリを使用不可」にしたり「メールを使用不可」にしたり、 「ネットワークドライブの割り当てを使用不可」にしたいと考えていますが方法が見当たり ませんので知っている方がいらっしゃいましたら回答お願いします。 メールについてはローカルエリア接続のプロパティの詳細設定でTCP/IPフィルタリング にてポート「53(DNS)」と「80(HTTP)」のみ許可にしてテストしたのですが、メール クライアント(OE)とDOS窓からメールサーバにアクセス出来てしまいました。 また、他に対策すべきことなどをありましたらご教授ください。 (説明が足りないようでしたらご指摘ください) 宜しくお願いします。 | ||||||||
|
投稿日時: 2004-12-09 14:20
その端末を社内LANに繋がなければいけない理由が何かあるのでしょうか。
もし必要ないのであれば、割り切ってお客様用にADSLとか引いてしまうのもありかと。 あとはADSL用のルータでポート塞いでしまうのも良いでしょうし。 USBメモリとかは、BIOSでUSB自体使用不可にしたり。 個人的には第三者に社内ネット繋がってる端末を触らせるのは…と思います。 #あくまで個人的になのであまり気にしないでくださいね。 | ||||||||
|
投稿日時: 2004-12-09 14:36
はじめまして。
Win2000標準のフィルタリング機能は、外→内には有効ですが、内→外には 適用されません。もしサービスをフィルタされたいのでさればショールーム用 のルータにてフィルタリング設定するのが良いかと思います。 | ||||||||
|
投稿日時: 2004-12-09 15:17
綾瀬さん、ニックさん早速のご回答ありがとうございます。
綾瀬さんのおっしゃるとおりだと思います。 私もその様にしたかったのですが、「余計な費用はかけたくない」との事で 既設のLANを使用する方向で検討させられています。
そうだったんですか、ありがとうございます。 それでは、ルータにて行います。 引き続き、何か良い案などありましたらご教授ください。 宜しくお願いします。 [ メッセージ編集済み 編集者: ミニミニ管理者 編集日時 2004-12-09 15:18 ] | ||||||||
|
投稿日時: 2004-12-09 15:48
まぁ、そう思うのは仕方のないことなんでしょうね。 社内に繋ぐことのリスクを説明すれば納得してもらえたりしませんかね? PCでポート制限をかけたければ、パーソナルファイアウォールの類を 入れてあげては如何でしょうか。 ポート制限のついでに通信先の制限も出来ると思うので、proxyサーバのみ 通信可にしてしまえば良いのではないでしょうか。 あとは、また逃げに入りますが、インターネットだけ出来れば良いのであれば WinではなくLinuxとかにしてみるとかはどうでしょう。 sambaとか入れなければWin環境には繋がらなくなりますし、iptablesなどで ポート制限も可能です。 また、操作方法わかるお客様も少ないでしょうから、変なことをされる 危険性(?)も減ると思います。 インストールが面倒であれば1CD-Linuxとかもありますし。 #でもこれだとOfficeが使えないからダメですかね。 | ||||||||
|
投稿日時: 2004-12-09 15:55
こんにちは。
proxyを利用したインターネット利用だけを想定されるの でしたら53ポートを開く必要は無いかと思います。 ルータでは、80ポートのみ許可すれば良いかと思います。 これによって、必然的にネットワークドライブの割り当て やネットワークコンピュータの使用も不可になります。 またUSBを無効にしたいのであれば、「マイコンピュータ」 右クリック→管理→デバイスマネージャ→USBコントローラ のメニューにてデバイスを無効にすればUSBは使用出来なく なります。 | ||||||||
|
投稿日時: 2004-12-10 21:57
不必要なサービスやポートを徹底的に禁止したいのなら、次のような方法はいかがでしょうか。
■ファイル共有関連サービスを止める ファイル共有やネットワークログオンなどのサービスを止めると、同一セグメント上のマシンからもアクセスできないようすることができます。止めてもよさそうなサービスとしては、「サーバ」「ワークステーション」「ネットワーク・ブラウザ」、(ドメインへのログオンも不要らしいので)「ネットワークログオン」ぐらいでしょうか。ちなみにRPCサービスも止めたら、手元ではえらいことになりましたので、これはやらないほうがいいかも。 ■ネットワークのバインドを外す コントロールパネルのネットワークとダイヤルアップ接続にある詳細設定メニューで、ローカルエリア接続のバインドを、(念のために)全部外します。これでファイル共有はできなくなります(もちろん、NetBEUIプロトコルも入れないようにします)。 ■出力フィルタの設定 Windows 2000 Proでは、GUI設定は利用できませんが、RRAS(Routing and Remote Acces)サービスを利用すると、出力向きフィルタを設定することができます。これで、例えばプロキシサーバへの通信だけを許可すれば、Webブラウズ以外はできなくなります。RRASについては以下の記事などを参照してください。 ・常時接続時代のパーソナル・セキュリティ対策(第2回)―Routing and Remote Accessサービスのパケット・フィルタリング機能― http://www.atmarkit.co.jp/fwin2k/operation/personalsecurity2/personalsecurity1.html なお、あんまりポートを閉めすぎたり、サービスを止めすぎたりすると、システムが起動しなくなったり、メンテナンスが困難になりますので、システムのバックアップを十分取ってから実行してください(何が起こっても責任は持てません。すみません)。ハードディスクの状態を丸ごとコピーするようなツールを使うと、いざというときに、システム設定をすぐに戻せるので便利です(ユーザーに設定を変えられたりしても、すぐにリカバリできますし)。 | ||||||||
|
投稿日時: 2004-12-13 08:54
こういうときって、固定ユーザー プロファイルは有用なのでしょうか。
使ったことがないのですが、興味があります。 |