[運用]
常時接続時代のパーソナル・セキュリティ対策
(第1回)

4.セキュリティ対策その1:インターネット側のファイル共有サービスを禁止する

デジタルアドバンテージ
2000/12/23

インターネット側のファイル共有サービスを禁止する

 さてそれでは実際に、Windows 2000マシン側で可能なセキュリティ対策について見ていくことにしよう。まずは、ファイル共有サービスに関する対策である。

 Windows 2000には、最初からファイル/プリンタ共有サービス(サーバおよびクライアント機能)がインストールされており、システムに装着したLANカードからは、デフォルトでこれらのサービスが利用できるようになっている(ダイヤルアップ接続のときは、デフォルトではオフになっている)。つまり何も対策を施さないと、CATVやADSLのケーブル・モデム側、つまりインターネット側(のイーサネット・カード)からもこのサービスが利用できるようになっているのである(外部からWindows 2000マシンの共有リソースを利用したり、逆に、Windows 2000マシンから外部のWindowsマシンのリソースを利用したりできる)。

 このサービスを禁止するには、各接続ごとのプロパティを使ってサービスとのバインドを外すか、以下のように、[ネットワークとダイヤルアップ接続]の[詳細設定]メニューから設定を行う(どちらでも同じ効果が得られる)。Windows 2000では、各ネットワーク・インターフェイスごとにこの設定を行うことができるので、インターネット側でサービスを禁止しても(以下の各チェックボックスをすべてオフにする)、ローカルのLAN側では通常どおりにファイル共有サービスを利用することができる。

[詳細設定]ダイアログ
[ネットワークとダイヤルアップ接続]ダイアログの[詳細設定]メニューから[詳細設定]を実行する。そして[アダプタとバインド]タブで、各インターフェイスごとのサービスとのバインド状態を設定する。「Microsoftネットワーク用ファイルとプリンタ共有」をオンにすると、そのマシンの共有リソースをアクセスできるようになる。「Microsoftネットワーク用クライアント」をオンにすると、そのインターフェイスを経由して、その先にあるWindowsマシンのリソースを利用できるようになる。
  利用可能なネットワーク・インターフェイスを選択する。ここでは、「インターネット接続」を選択する。
  このマシンの共有リソースをネットワークに対して公開するサービス。このチェックボックスをオフにすると、外部からはアクセスできなくなる。
  TCP/IP経由(つまりNetBIOS over TCP/IP(NBT)経由)で、このサービスを公開する。このチェックボックスもオフにする。
  このマシンから、外部のWindowsマシンの公開リソースを利用するためのサービス。これも必要ないので、チェックボックスはオフにする。
  NBT経由でリソースを使うための設定。これもオフにする。

ダイヤルアップ接続のファイル共有サービスについて

 ところで、ダイヤルアップ接続の場合は、デフォルトではファイル共有などのサービスは利用できなくなっている。CATVインターネットやADSLインターネットではなく、ダイヤルアップ接続(フレッツ・ISDNとTAを組み合わせて接続しているような場合も含む)を使ってこのような接続共有環境を構築している場合は、念のために、ファイル共有サービスがオフになっているかどうかを確認しておこう。間違って共有可能になっていれば、やはり外部からマシンの内容を覗かれたり、クラックされたりするかもしれないからだ。

 ダイヤルアップ接続のためのセキュリティ設定は、以下のように、ダイヤルアップ接続のためのアイコンの[プロパティ]メニューから行う。

ダイヤルアップ接続のプロパティ
[ネットワークとダイヤルアップ接続]ダイアログ中にあるダイヤルアップ接続のアイコンを1つ選び、右クリックして[プロパティ]メニューを起動する。そして[ネットワーク]タブを選択し([セキュリティ]タブではない)、ファイル共有サービスのチェックボックスをオフにする。
  ダイヤルアップする先の設定。インターネットに接続する場合は、この「PPP: Windows 95/98/NT4/2000, Internet」を選択する。
  ダイヤルアップ接続時に利用するプロトコルやサービスを選択する。
  通常はこの「インターネット プロトコル(TCP/IP)」だけをオンにし、そのほかはオフにして利用する。
  このマシンの共有リソースをネットワークに対して公開するサービス。ダイヤルアップ経由で外部からアクセスされないように、このチェックボックスはオフにする。
  このマシンから、外部のWindowsマシンの公開リソースを利用するための設定。これも必要ないので、チェックボックスはオフにする。
 

 INDEX
  [運用]常時接続時代のパーソナル・セキュリティ対策(第1回)
    1.ネットワークの「接続共有」機能とは
    2.セキュリティ対策の必要性
    3.ネットワーク環境について
  4.セキュリティ対策その1:インターネット側のファイル共有サービスを禁止する
    5.セキュリティ対策その2:NBTを禁止する
    6.セキュリティ対策その3:パケット・フィルタを設定する(1)
    7.セキュリティ対策その3:パケット・フィルタを設定する(2)
    8.セキュリティ対策その3:パケット・フィルタを設定する(3)
    9.セキュリティ対策その3:パケット・フィルタを設定する(4)
 
 「運用 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間