第2回 Windows XP SP2の導入でセキュリティを向上
他力本願堂本舗
杉谷智宏
2004/10/23
Windows XP SP2の登場 |
Windows XP Home EditionおよびWindows XP Professional Editionのセキュリティ対策を大幅に改善し、機能強化を行うService Pack2(SP2)が公開されて2カ月がたつ。SP2を適用すると何が変わるのだろうか?
SP2での大きな変更は、セキュリティ機能の大幅な改善と追加だ。特にウイルス対策やパーソナルファイアウォール機能の改善は影響が大きい。ハードウェアに直接アクセスするようなアプリケーションや、OS(オペレーティングシステム)の動作と深くかかわるウイルス対策ソフトの中には、SP2に対応したものに更新しないと機能が制限されてしまうこともある。これはシステムへのアクセス権を厳密に適用することで、悪意のプログラムが動作しにくい環境を作り出そうとしていることの影響だろう。
このように書くと若干の使いづらさを感じるとは思う(実際に多くの企業や団体では導入を急がず、様子見の状態だ)。だが、OSの進化の方向としては妥当なものとも考えられる。
特に昨今のクライアントPCへのウイルス感染による脅威に「何とか対策しよう」という意気込みには賛同できる。ユーザー教育によるセキュリティ対策が極めて脆弱(ぜいじゃく)な対処法でしかない(*1)ことを顧みても、コンピュータの機能としてセキュリティ機能を強化することは対策手法の1つとして十分選択する価値が高い。
(*1) しかし、実際にそういった行動をただ1人が行うだけで、重要な情報が2度と削除できない可能性が極めて高いネットワークに流出してしまった。彼が高度なセキュリティ教育を受けていたとしても、果たして防げたかどうかは分からない。そもそも教育で平均レベルは上げられても、最低レベルを上げることは難しい。 |
今回は、Windows XP SP1の環境とWindows XP SP2の環境におけるセキュリティ対策を比較することで、その違いを把握したい。まずは現状のSP1環境を復習してから、SP2で強化された部分を見ていこう。
なお、本記事において単に「Windows XP」または「XP」と表記している場合、Service Packを適用していないWindows XP Professionalを指す。「Windows XP SP1」や単に「SP1」とした場合、同様にWindows XP ProfessionalにService Pack 1を適用したものを指す。「SP2」についても同様だ。
Windows XP SP1環境でのセキュリティ対策 |
Windows XP SP2を適用する前に、2004年10月1日現在、店頭で購入できるコンピュータで一般的なSP1環境について触れておこう。Windows XPを利用している環境ではすでに大部分でSP1が適用されていることと思う。。
Windows XP SP1の環境でも、パーソナルファイアウォール機能が利用できる。しかし、デフォルトの設定では大半の接続を拒否することができるが、コンピュータからネットワークへの接続を拒否することができないため、機能としては不完全といえる。そのため、別途パーソナルファイアウォール製品を導入するケースもある。また、ウイルス対策製品の多くにも簡易版とはいえパーソナルファイアウォール機能が搭載されているため、そちらを利用しているケースもある。一般的に、Windows XP SP1標準のファイアウォール機能は使われていないようだ。
Windows XP SP1のファイアウォール機能 |
さて、Windows XP SP1で標準のファイアウォール機能を設定した場合はどのような効果があるのだろうか。全くファイアウォールを設定しない場合と、Nmapによるスキャン結果によって比較してみよう。
まずはSP1導入直後のXPでファイアウォール設定なしの状態をスキャンした結果を見てみよう。
図1 XP SP1でファイアウォール設定なしのNmap |
特徴的なものは、Windows 2000から追加されたPort 445でのlistenだ。ユニバーサルプラグ&プレイに関係するポートも見える。また、NetBIOS over TCP/IPによるファイル共有のlistenがPort 139で行われている。
もし、このままインターネットに接続したとしたら、さまざまなリスクが発生すると考えられる。2003年に発生したウイルスの感染経路として使われたDCOM RPCの接続が開かれているため、Blasterのようなワームに感染してしまう可能性がある。また、ファイル共有機能を使ってNull接続を行い、システムの情報を取り出されるかもしれない。
それでは、標準のファイアウォール機能を設定してみることにしよう。設定はスタートメニューから「全てのプログラム」→「アクセサリ」→「通信」と選択し、ネットワーク接続を開いてローカルエリア接続のプロパティから「詳細設定」タブを選択する。ファイアウォールの使用にチェックを入れて、「詳細設定」ボタンを押すと次のダイアログが表示される。
図2 ファイアウォールの設定画面 |
アクセスを許可するサービスにチェックを入れるようになっているので、このまま「OK」をクリックすればすべてのサービスについて外部からのアクセスを拒否できる。そこで、実際に上記画面で「OK」をクリックして設定を有効にしてから再度Nmapでスキャンしてみた。Nmapをデフォルトで使うと、あらかじめPingを打って対象が応答するかどうかを確認するため、Pingに反応しない端末にはスキャンを行わない。そこで、Pingを打たないようオプションをつけてスキャンした。
図3 XP SP1でファイアウォール設定ありのNmap |
図3からすべての接続が拒否されていることが分かる。このようにしてSP1環境では外部からの接続をコントロールすることが可能だ。詳細設定画面でチェックを入れることで、例えばファイル共有だけを許可することもできる。
ただし、SP1のファイアウォールは、既知のサービスをすべて停止することで成り立っている。そのため、例えばFTPのPassive接続においてクライアントがポートを開いても、これを検出してブロックするといった動作はなかった。
SP1におけるセキュリティ機能は基本的にはこれだけといっても過言ではない。これに対してSP2では、よりきめ細やかな設定が可能となったファイアウォールだけでなく、ウイルスに対抗する機能も盛り込まれている。
「第1回」へ |
1/3
|
Index | |
Windows XP SP2の導入でセキュリティを向上 | |
Page1 Windows XP SP2の登場 Windows XP SP1環境でのセキュリティ対策 Windows XP SP1のファイアウォール機能 |
|
Page2 Windows XP SP2のファイアウォール機能 未知なる通信をブロック |
|
Page3 ウイルス対策ソフトとの連携 Windows Updateの自動更新機能 セキュリティセンターからアクセスできる保護機能 導入すべきか、見送るべきか |
関連記事 | |
クライアントセキュリティチャンネル | |
管理者のためのウイルス対策の基礎 | |
Windows XP SP2のセキュリティ機能 (Windows Server Insider) | |
ノートPCからの情報漏えいを防ぐ便利グッズ (System Insider) |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|