2.3.4 リモートからのアクセス制限

（１） サービスへのアクセス制限

Windows XPでは、さまざまなプログラムが動作し、ネットワークからアクセスできるようになっています。攻撃者はこの機能を利用して、不正アクセスを試みます。対策としては、ネットワークからの利用者に許可するポートを必要最小限にします。
ここでは、ネットワークのファイアウォール機能を使用して、パケットフィルタリングを行い、必要なポートだけを開放する設定を行います。

1. 「スタート」メニューから「接続」を選択し、「すべての接続の表示」を選択します。
2. 接続一覧の中から、ひとつを選択し、右ボタンメニューから、「プロパティ」を選択します。
   
   
   「全般」タブが選択されています。
   
   この接続が、直接インターネットに接続する場合は「インターネットプロトコル(TCP/IP)」のみチェックマークを付けます。「Microsoft ネットワーク用クライアント」 と「Microsoft ネットワーク用ファイルとプリンタ共有」は、オフにします。
   この二つは、信頼できるネットワークに接続している場合のみ、チェックマークを付けます。
   特に、ダイアルアップやADSL,FTTHを使って、この「接続」が直接インターネットに接続している場合、「Microsoft ネットワーク用ファイルとプリンタ共有」を有効にすることは危険です。この「接続」が無線LANの場合も、ホットスポットにてインターネットと接続する場合があるますので、同様に危険です。
   
   
3. 「詳細設定」タブを選択します。
4. 「インターネット接続ファイアウォール」にチェックマークを付けます。
   
   
   
   
5. 「設定」ボタンを選択します。
   ここでは、許可するポートを指定します。このコンピュータで許可するポートにのみチェックマークを付けてください。
   「msmsgs」で始まる設定は、Windows Messenger の設定です。Windows Messenger に関する設定は、Windows Messenger プログラムが自動的に行いますので、操作する必要はありません。
   
   
   
   
6. 許可するポートを追加したい場合は、「追加」ボタンを選択します。
   
   

以上で、設定は終わりです。複数のネットワーク接続設定がある場合は、すべての設定を確認してください。特に、ダイアルアップ接続、無線LAN接続は、ファイアウォールを有効にすることをお勧めします。

さらに、この設定を行った後は、できる限り通信テストを行うことをお勧めします。設定は簡単ですが、ファイアウォール機能を有効にすると、思わぬ機能が使用できなくなることも考えられます。また、ポートスキャナツールをつかって、必要なポートのみ公開されているか確認してください。
なお、ファイアウォール機能を有効にしても、公開されているポートを使用して、悪意のあるユーザーが攻撃を試みるかもしれません。特に、セキュリティホールが見つかった場合は、その弱点をついた攻撃を受けるかもしれません。よって、日ごろのサーバ管理と、セキュリティ情報のチェックが必要です。

（２） null(ヌル)接続の制限

null(ヌル)接続とは、ユーザー名とパスワードが空(null)の状態でサーバなどに接続を行うことをいい、Windows特有の問題です。
しかも、null接続そのものは非常に簡単です。悪意のあるユーザーは、この方法でサーバに接続した後、さまざまなテクニックを使って、ネットワーク情報、共有、ユーザー、グループ、レジストリなど、可能な限りの情報を収集しようと試みます。「レッドボタン」問題、nullセッション接続、匿名ログオンなどとも呼ばれ、侵入者が使用する最も危険な手段の1つとなっています。

Windows XPでは、この接続に対する制限を行う機能を持っています。
以下に説明するレジストリの変更によって、この方法による情報漏洩の大部分を防ぐことができます。

1. Windowsのスタートメニューから[ファイル名を指定して実行]を選び、「regedit32.exe」と入力して、「OK」ボタンをクリックします。
2. レジストリエディッタが表示されます。
3. レジストリから、「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA」を選択します。
4. 「restrictanonymous」をダブルクリックし、データの欄に「1」を設定します。
   ※ただし、この設定には注意事項があります。下記リンクを参照ください。
   JP246261: RestrictAnonymous レジストリ値を使用する方法
   http://support.microsoft.com/default.aspx?scid=kb;JA;JP246261
   
   
   
   
5. レジストリエディッタを終了し、マシンを再起動します。

null接続による動作を制限しているだけで、接続は可能です。 しかも、この制限をしているにもかかわらず、ある特定のツールを使用した、ユーザーとグループ情報の取得方法が知られています。もちろん、この問題も他の対策と組み合わせることで解決できます。

    © 2002 Information-technology Promotion Agency, Japan. All rights reserved.