2006年01月07日
MS06-001 [B. Microsoft] [セキュリティ]
私個人は、年末年始を完全にオフラインで過ごしていたため耳にも入らなかったのですが、WMF(Windows メタファイル)/Graphics Rendering Engine の脆弱性に絡む情報が飛び交っていたようですね。
で、昨日付けでMS06-001としてセキュリティ更新プログラムが緊急リリースされたようです。
⇒ http://www.microsoft.com/japan/technet/security/bulletin/ms06-001.mspx
2006年は謹賀新年の挨拶代わりに緊急リリースですか。。。 今年一年の騒乱の予感でしょうか?
何はともあれ、しっかりテストした上で確実にあてるようにしましょう。
--
今回の脆弱性の問題に関しては、第三者がパッチを開発・公開したり、開発中の修正モジュールが外部に出回ってしまったりと、いろいろと騒動があったようで。
セキュリティに熱心なのはいいと思うんですが、このような非公式パッチが出回るのは勘弁してほしいですね。確かに今回は exploit code が早くから公開されていて、緊急性を要することはよく分かるんですが、ノン・サポートのパッチを適用することのリスクのほうが遥かに大きいはずです。
投稿者 HAWK : 18:00 | コメント (0) | トラックバック
2005年12月22日
共有コンピュータのセキュリティを確保する Shared Computer Toolkit [B. Microsoft] [セキュリティ]
12月7日の Blog でも触れたんですが、「Microsoft Shared Computer Toolkit for Windows XP」 の日本語版が正式リリースされ、ダウンロードできるようになったようです。
【Microsoft(R) Shared Computer Toolkit for Windows(R) XP 日本語版」を12月21日(水)に提供開始】
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=2537
SUS/WSUSのようにどんな環境でも適用できるツールではないかもしれませんが、今後徐々に引き合いは出てくると思います。
私の中での、2005年リリース注目フリーツールとしては、Access-based Enumeration (ABE) に次ぐ第2位にランクインされます。
ただ、"ABE"にしても今回の"Shared Computer Toolkit"にしても、できれば日本語版には日本語のツール名を付けてほしかったですね。
ぱっと見ただけだと、日本人にはいまいち何ができるツールなのかわからないですから。
まぁ何はともあれ、今後着実に注目を浴びる場面が出てくるツールになると思いますので、ぜひ今のうちにチェックしておきましょう。
投稿者 HAWK : 00:08 | コメント (0) | トラックバック
2005年12月07日
Shared Computer Toolkit 日本語版 [B. Microsoft] [セキュリティ]
ちょっと正式な発表が書いてあるところを見つけられなかったんですが、メディア各社によると、12月15日に「Microsoft Shared Computer Toolkit for Windows XP 日本語版」の提供が開始されるようです。
いくつかリンクを張っておきます。
【マイクロソフト、学校など向けWindows XPセキュリティツールを無償公開】
http://itpro.nikkeibp.co.jp/article/NEWS/20051205/225701/
【漫画喫茶、学校の共有PCを安全に、MSがツールを無償配布】http://www.itmedia.co.jp/enterprise/articles/0512/05/news085.html
【「設定変更は禁止、ダウンロードファイルは再起動で削除」:マイクロソフトの無償ツール】
http://japan.zdnet.com/news/itm/story/0,2000052525,20092160,00.htm
なぜかこのBlogでは今まで紹介していなかったようなんですが、簡単に言うと、グループ ポリシーにあるようなセキュリティ関連やユーザー操作制御系の仕組みを集めて、容易にセキュリティ・レベルを高めてくれるツールです。最近何かと問われることが多い「ユーザーの操作を制限したい!」という要望を、かなり簡単に実現してくれるツールで、英語版は半年ほど前にリリースされていました。
# 容易に実現できることがコンセプトなので、グループ ポリシーほど多くの制御はできません。
# また、グループ ポリシーのように、複数端末を一括管理するといったこともできません。
# 対象クライアントは、Windows XP の SP2が適用されているものに限定されます。
(Edition で見ると、Home/Professional/Tablet PC の3つがカバーされるようです。)
対象は、主に学校やインターネットカフェなどの共用PCとなっていますが、用途や条件さえ合致すれば企業レベルでも十分に実用に耐えうるものだと思っています。まぁ私も半年前に、少しだけ英語版を触ってみた程度なので、まだ断言はできませんけどね。
今後、どのような形で、どの程度普及が進むかは未知数なところも多いですが、日本語のWebサイトもすでに提供されていますので、興味のある方はぜひ確認してみてください。
⇒ http://www.microsoft.com/japan/windowsxp/sharedaccess/default.mspx
投稿者 HAWK : 03:20 | コメント (0) | トラックバック
2005年11月05日
Windows Defender [B. Microsoft] [セキュリティ]
これまで "Microsoft Windows AntiSpyware" (現在β版公開中) として説明されてきた、Microsoft のアンチスパイウェアですが、その名を "Windows Defender" と変更し、さらにその方向性にも大きな変化が行われることになったようです。
【What's in a name?? A lot!! Announcing Windows Defender! 】
http://blogs.technet.com/antimalware/archive/2005/11/04/413700.aspx
注目点をピックアップしてみると、「Windows Vista に内蔵されるが、XPにも対応する」「Windows Update (Microsoft Update) や WSUS から更新をかけることができる」「スパイウェアだけではなく rootkit などにも対応範囲を広げる」といったところでしょうか。
最近は、毎日のようにプロダクトやその機能に変更が発表されていて、ついていくのが大変です。。。
投稿者 HAWK : 23:53 | コメント (0) | トラックバック
2005年10月30日
Windows XP Security Guide 2.1 [B. Microsoft] [Vista/XP] [セキュリティ]
10日ほど前のことになりますが、Windows XP Security Guide Version 2.1 がリリースされていたようです。
【Windows XP Security Guide】
http://www.microsoft.com/downloads/details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&displaylang=en
2.0 から 2.1 へと番号的にはマイナーアップデートですが、全面的(特に「高セキュリティ環境(Specialized Security – Limited Functionality)」における対応)に見直しが入っているようです。
各種テンプレートやサンプルスクリプトも多く付属する大変貴重なドキュメントですので、これまで読んだことがないという方は、ぜひこれを機に一読されることをお勧めします。
--
ちなみに日本語版もあるんですが、なぜか主要ドキュメントの提供形態が Word(.doc) ではなく PDF なんですよね。。。 なぜ、わざわざ再利用が面倒な PDF に変換して提供するんでしょうか?
【Windows XP セキュリティ ガイド】
http://www.microsoft.com/japan/technet/security/prodtech/windowsxp/secwinxp/xpsgch01.mspx
# ページ右側に、ダウンロードリンクがあります。
もしかしたら Word版もどこかで提供されているのかもしれませんが、日本語版はバージョンも相当古いので、できれば英語のほうを読んだほうがいいですね。
投稿者 HAWK : 16:08 | コメント (0) | トラックバック
2005年10月14日
Windows の パスワード [B. Microsoft] [セキュリティ]
TechNet に "Frequently Asked Questions About Passwords" という記事が公開されました。
http://www.microsoft.com/technet/community/columns/secmgmt/sm1005.mspx
特に目新しい内容があるわけではありませんが、Windows におけるパスワードの動作・仕組みといったものの説明から、結局のところユーザーや管理者はどうすればいいの?ということへ回答が一通り説明されています。興味がある方、今一度パスワード関連の仕組みをざっくり確認したい方におすすめです。
# これも新人さんの学習参考資料としてよいかも。
投稿者 HAWK : 23:15 | コメント (0) | トラックバック
2005年10月08日
Microsoft Client Protection [B. Microsoft] [セキュリティ]
以前から話題に出ることは何度かありましたが、Microsoft がクライアント向けアンチウィルスの世界にも正式に動き出してきました。
【米Microsoft,企業向けウイルス対策ソフト「Microsoft Client Protection」などを発表】
http://itpro.nikkeibp.co.jp/article/USNEWS/20051007/222423/
記事によると、Microsoft Client Protection という新製品は、ウイルスやワームに加え、スパイウエア、ルートキットといったあたりの対策を行う、総合セキュリティ対策ソフトウェアとなりそうです。特徴は、WSUSやADとの統合だとか。
すでにβ版が公開されている 「Microsoft Windows AntiSpyware」とどういう関係になっていくのかとか、独禁法がらみの話は出てこないのか、とかいろいろ気になる点もありますが、今年末にはβ1がリリースされる予定ということで、Windows Vista ともども注目すべき製品がまたひとつ増えました。
--
# 追記
PressPass にあった、Microsoft Client Protection に関する一問一答形式の記事です。
【Microsoft Announces New Product to Help Protect Business Customers】
http://www.microsoft.com/presspass/features/2005/oct05/10-06ClientProtection.mspx
投稿者 HAWK : 22:31 | コメント (0) | トラックバック
2005年08月24日
Patch Management Best Practices @ Microsoft [B. Microsoft] [SMS] [セキュリティ]
ちょっと前のことになってしまいましたが、TechNet Blogs にこんなものが。
⇒ http://blogs.technet.com/tonyso/archive/2005/08/18/409429.aspx
おそらくほとんどのドキュメントは目を通しているはずなんですが、改めて一覧を見てみると、実は頭の中には何も残っていなかったり…(´・ω・`)
言い訳をさせていただくと、どのドキュメントも結局は同じことを言っていて、あまり代わり映えしないんですよね。まぁパッチ・マネージメントのベストプラクティスがいくつも出てくるようでは、それはそれで困りますけど。
投稿者 HAWK : 02:11 | コメント (0) | トラックバック
2005年08月21日
Sysinternals Process Explorer Buffer Overflow [A. IT全般] [セキュリティ]
http://www.securitytracker.com/alerts/2005/Aug/1014742.html
先日のBlogでご紹介した Sysinternals ですが、そこで提供されているツールのひとつ、"Process Explorer" に脆弱性が見つかったようです。使っている人は限られているだろうし、この手のツールを日常から利用している人であれば何かあってもすぐに対応できちゃったりするかと思いますが、念のため。
--
別に今回に始まったわけではないですが、Sysinternals をはじめとして、世の中には多くの有用なフリーソフトが存在します。(こういうツール群のおかげで、私のようにプログラミングと距離を置いている人間でもシステム運用管理ができてしまうわけです。)
ただ、これらは個人で使う分にはそれほど問題にはならないんですが、ある程度まとまった環境とかで利用しようとすると、やっぱりサポート関連がネックになってきますね。
投稿者 HAWK : 01:57 | コメント (0) | トラックバック
2005年08月20日
情報漏えい対策ガイド (Windows 編) [B. Microsoft] [セキュリティ]
http://www.microsoft.com/japan/windowsserver2003/activedirectory/kinko/default.mspx
http://www.exconn.net/Blogs/team02/archive/2005/08/19/2514.aspx
昨日付けでリリースされたホワイトペーパーです。
- リムーバブル記憶装置の使用制限
- 暗号化ファイルシステム (EFS) による情報漏えい対策
- Active Directory に格納されている個人情報を隠す
どの分野も実務レベルで応用できそうなサンプル スクリプトもついており、なかなかの良書です。
実は「リムーバブル記憶装置の使用制限」 に関しては、とあるお客様の要件で、半年ほど前に相当苦労して検証しておりました。
そのときの苦労を考えると、こうやって綺麗なドキュメントが公開されてしまうのはやや残念に思ってしまったりしますが、まぁ仕方がない。
その他の内容も、社内向けドキュメントをサマっている最中でしたが、リンクを貼ればよくなってしまった_| ̄|○
--
少しだけ経験に基づく細かい情報を加えておきますと、今回のホワイトペーパーにある方法をそのまま利用しても、一部のリムーバブル記憶装置(外部接続デバイス)の利用を禁止することができないケースがあります。
たとえば、「一見 USBストレージデバイス(つまり、UsbStor.inf ファイルを読み込むデバイス)に見えるが、実は独自のINFファイルを利用しているUSBメモリー」なんかが世の中には存在していまして、これをユーザーに使用されちゃうと、USBメモリーが使えてしまうという現象が発生します。(かなりのレア・ケースではあると思いますが…)
また、それ以外にも実は外部接続デバイスって、H/Wメーカー固有のデバイス・ドライバを持っているケースも多く、すべての端末で使用制限をかけるためには、全H/Wメーカーの端末で検証しておく必要があります。
というわけで穴もあったりしますが、それでも企業のセキュリティ・レベルを高めるためには相当の効果があると思いますので、ぜひホワイトペーパーを読んで試してみてください。
--
蛇足、というか 宣伝。
実は先に書いたプロジェクト経験をもとに、「リムーバブル記憶装置の使用制限」 とほぼ同じ内容を、日経Windows Pro 7月号 「トラブル解決 Q&A」コーナーに寄稿していたりします。タイトルは、"PCの外部接続デバイスの利用を広く禁止したい"です。
読者限定(要 ID& Password) ですが、日経Windows Pro のサイトにも掲載がありますので、ご参考までに。
投稿者 HAWK : 04:05 | コメント (0) | トラックバック
2005年08月05日
W2K SP4用 アップデート・パッケージ [B. Microsoft] [セキュリティ]
MS,Windows 2000 SP4向けパッチ集(UR1)を再リリースへ
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20050805/1/
あぁ、やっぱりね。という感じですが、この調子で勢いづいて、「SP5をリリース(再開発)します」なんてことにならないよう、お願いいたします。
私の中では、NT4.0はもとより、2000も"レガシー"の領域に入りつつあるプロダクトですので。
# Windows 2000 SP4向けロールアップ・パッケージに関する詳細は、 http://support.microsoft.com/kb/891861/ja を参照。
投稿者 HAWK : 23:44 | コメント (0) | トラックバック
2005年08月03日
Tech・Ed 2005 2日目 [B. Microsoft] [DPM] [SMS] [Tech・Ed] [Windows Server] [セキュリティ]
Tech・Ed 2005 Yokohama 2日目。
昨日に引き続き、簡単に内容をご紹介。
【IT2 Windows Storage Server 2003 と Data Protection Manager 2006 によるデータ回復ソリューションの構築 】
本日が正式なイベント初日に当たるということで、朝一は基調講演が行われていました。
しかし私は、基調講演の次のコマで行われる CPLS Hands-on Lab の"Data Protection Manager 2006 (DPM) 構築トレーニング"の先着順キャンセル待ちをGetするために、ずっと外でスタンバイ。おかげですんなり座席を確保することができ、DPMについて学んできました。
DPMは今年後半にリリース予定の新製品でして、簡単に言うと「ディスクtoディスクのバックアップを実現するWindowsファイルサーバー専用バックアップS/W」ということになります。これだけだと、既存のディスク・ベース・バックアップS/Wと大差ありませんが、Windows Server 2003 特有機能であるVSSなどとうまく連携できるような仕組みになっている点がポイントです。
ただ、実際には複雑なシステム要件やその他機能上のさまざまな制約があり、現状ではあまり使えるものではないという印象を受けました。単純なバックアップ・システムにもかかわらず、ADが必須だったり、Windows Server 2003 SP1以降でないと稼動しなかったり、リモート コンソールがなかったり、エージェントはPushインストールでしか導入できなかったり… などなど、相当の制約があります。
- Lunch Time -
一部の人曰く、「ここにいかなければTech・Edは語れない!」という焼肉店、“ドラゴンカルビ”へ連れていかれました。ここは、通常だと2,940円する特別ランチが、Tech・Edチケットを見せると1,500円になる(飲食券を使うと、タダ!)ということから有名らしく、店に着いたときにはTech・Edチケットを首からぶら下げた人々が相当の列を作っていました。
店に入るまでに40分、入ってから食事を終えるまでに60分以上かけてしまい、見事に午後一番目のセッションはパスとなりました。気になるセッションはあったのですが、まぁこういうのも一日ぐらいあってもいいかな、という感じです。
【T5-351 Active Directory によるセキュリティ確保の要点 】
というわけで、相当ゆっくりした昼食を終えて次に向かったセッションがこれです。
が、個人的には完全にセッション選択ミスでした。それって常識レベルでしょ、という内容の上、何度も見たことがあるようなプレゼン・チャートが並んでおり、退屈でございました。焼肉満腹効果も発動して、半分以上はこっくりといってしまっていたようです…
【T5-364 Systems Management Server 2003 による更新プログラム管理 ~ 実践的な運用プロセスと Microsoft Update 連携のご紹介 ~ 】
次のセッションは、SMS 2003の更新プログラム管理に関するセッション。
前半はMicrosoft社内のパッチ管理についての説明。これはいろいろなところで、何度となく聞かされている内容なので、特に目新しいものはなし。
後半はSMS2003のFeature Packとして近日リリースされる予定の、"SMS Inventory Tool For Microsoft Updates (ITMU)"を中心とした、新しいアプローチの紹介。SMSは私の現在の重要なミッションのひとつなのですが、じつはITMUについてはまったく手をつけることができておらず、なかなか貴重なセッションとなりました。
今回のITMUもそうですが、ほかにもWSUSやMBSA2.0など、数年前には想像できないほど、昨今のパッチ管理は容易になってきているように感じます。もはやパッチ適用云々だけで一プロジェクトになるようなものでもなくなってきたと思うので、私自身、もう少し視点を広げていかなければいけないなと感じました。
【オープン・ステージ: セキュリティ 今後の注目動向と必修テクノロジー 】
正式なセッションとは別に、夕刻にセキュリティ・ネタがショート セッションとして行われたので参加。
通常のセッションと違って、ワイワイガヤガヤの環境でのプレゼンだったため、あまり声が聞こえず…
- Microsoft Tech・Ed 2005 Attendee Party-
全セッション終了後、今年の Global Sponsor である Intel 主催のPartyが行われました。
実際に参加するまでは、「紳士なイメージ」を抱いていたのですが、実際にはコージー冨田がゲストとしてくるわ、ビンゴゲームが行われるわ、会場の端ではラジコンが走るわで、見事なまでに予想を裏切られました。
コージー冨田はともかくとして、大変楽しい時間となりました。
このような感じで、2日目も終了。やや酔っ払い気味で明日が心配ですが、明日も当然参加です。
投稿者 HAWK : 23:58 | コメント (0) | トラックバック
2005年08月02日
Tech・Ed 2005 1日目 [B. Microsoft] [Tech・Ed] [Windows Server] [セキュリティ]
行ってまいりました! Tech・Ed 2005 Yokohama に。
とりあえず今日一日を振り返って見ます。
【会場入り】
会場はパシフィコ横浜。
何よりも強烈に覚えているのが、みなとみらい駅を出たときの湿気のすごさ。
蒸し死に?してしまうんではないかと、冗談とも本気とも取れないような感じでした。
会場に入って、受付でIDカードを通し、各種資料やノベルティ・グッズが入ったTech・Edバッグをゲットします。
ちなみにIDカードは、何かと流行のRFIDです。
ここからは早速、受けてきたセッションについて。
セッション一覧やそれぞれの概要は、公式サイトを参照。
【L7-1 Windows Server をインターネット環境に展開する~ ほんとうに大丈夫?どうすればいいの?~ (Part I)】
【L7-2 Windows Server をインターネット環境に展開する~ ほんとうに大丈夫?どうすればいいの?~ (Part II)】
午前中は、2コマ連続のセッションに参加。
インターネット環境にWindows Server 2003 を配置するという考え方と、その方法や考慮点についての説明でした。
思いっきり単純にしてまとめると、
- もはやプラットフォーム(OS)がどうこうという争いは過去のもの。考え方は同じ。
- Windows ベースとしては、Windows OSとIISそれぞれのハードニングで十分安全である。
- とはいえ、IISでの厳密な管理は難しいので、ISA Server を使うと簡単&安全になる。
技術的に特に目新しいものや興味を引いたものはありませんでしたが、まぁよい復習になりました。
- Lunch Time -
毎年のことらしいのですが、Tech・Ed参加者には、一日当たり¥1,500 (計¥6,000)の「みなとみらい21 共通飲食券」が配布されます。というわけで、おいしい料理を、格安or無料でGetできます。
本日はイタリアン・レストランでくつろいでおきました。
【L14 Enabling Secure Remote Access in Your Environment】
午後一つ目のセッションは迷いましたが、これを受講。
タイトルからわかるように、海外からの公演者(Microsoftのセキュリティ専門家)のセッションです。
主にセキュリティの観点から、リモートアクセスの3つの方法(下記)について説明し、結局のところどうすればいいの?ということを解説していました。
- External access to internal web-based applications
- Providing users with "desktop over HTTPS" capabilities
- Building full IP-based virtual private networks
そういえば、このセッションでもISA Server に触れていました。Microsoft今年の一押し製品に取り上げているのかもしれません。
【L1-2 SOA の設計手法】
午後2コマ目は、どういうわけか自分に関連するセッションがまったくなく、なんとなく興味は持っていたSOAのセッションを受講。
SOAについて広く話してくれることを期待しましたが、途中から完全にDeveloper 向けの内容になってしまい、完全に興味の範囲外にいってしまいました。結局ほとんど聴くことなく、これまで受けたセッションの資料やその他資料を読みふけっておりました。
- その他 -
午後3コマ目のセッションも用意されていたのですが、やはり興味のもてるものはなかったので、受講せず。
その時間を使って、各種ブースにいる方への挨拶巡りをしておきました。
その結果、ストラップを2本と、TechNet ステッカーをGetできました。(イベントは、やはりこういうものがあるから楽しいんです。)
というわけで、一日目は終了。やや期待していたものと違うセッションにいくつか当たってしまいましたが、まぁ初日のLerning Dayであることを考えると、明日以降に期待です。