--Windows XP SP2(2004年の講習記録)--
Vistaが発売され今は、懐かしい記録です
内容はこちらから・・・
(私のフィルターを通して書いてますので、中身についてはofficialサイトをご覧下さい)Windows XP SP2 FAQ 集 http://support.microsoft.com/?scid=kb;ja;884757
感想
2004/12/16 (木) 京都ぱるる 5F会議室このセミナーに参加してから自分のにインストールしようとおもった。でも話はやはり細かい。身近なインストールしての「こまった!」に利用できるセミナーではなくネットワーク環境でのインストールする話。グループポリシーとか・・・なんどきいてもイメージがわきにくいです。バーチャルコンピュータもまたしても登場だけれど・・・。設定もGUIで簡単になったとはいえ、うちのいえで即関係あるというのではないです。
でも、SP2はなんとなくイメージできた。いつインストールしようかな??ダイアログにすっとたちうちできそうな感じにはなってきたけれど。2004/12/16 (木)
Microsoftのセミナーに京都ぱるる会館まで行って来ました。後半はばてばてでしたが、とりあえずはインストールした方がよさそうと思って帰ってきました。その晩、インストールしました。
SP2の主なsecurity機能 ・SP2の強化された機能
- コンピュータの保守性の向上
- 安全性の高いワイヤレスネットワーク
2002年9月にSP1(修正Pack)
2004年9月にSP2(修正Packプラス大幅なセキュリティー機能)
攻撃がウイルスソフトだけでは防げないのでMSの多層防御の考え。アプリケーションlevelではなくてOSlevelで防御していこうという考えである。
セキュリティーセンター(セキュr費ティーを管理する新しいアプリケーションである)
- 自動更新の設定
・WindowsXPに標準設定である
・ウイルスソフトのファイアーウォールをいれていると例外などは同時に設定が必要なので、高機能の方をひとつだけ動かす方がよい
・「無効にする」監視していません・・・・とでる。この状態でもOK
・警告がでても干渉しないように設定はできる - Windowsのファイアーウォールの設定
WindowsXPに標準設定である、大幅に強化された。
・ステートフルファイアーウォール(なんでもかんでもブロックするわけではない)・・・・接続の状態をみていいものはすべて通す
・アウトバンド(内から外はすべて許可)コンピューターから接続要求があった外部のコンピュータからの応答は許可はOK、例外リストに登録したアプリとポートはOK。それ以外の外部からの設定は通さない
・新機能(標準で設定が有効になる。起動時のセキュリティー。スコープの変更など)
・インターベースごとの詳細設定が選べるし、まとめて設定できるというグローバル設定が追加された。GUIでもコマンド(netshコマンドで詳細が確認できる・・・もともとあったコマンドで、ネットワークの様々な設定ができるもので、その中のファイアーウォールの設定が追加された。batファイルでメモ帳で作成すると各マシンごとにすると便利。ドメイン環境だとポリシーで一括管理ができる。
・無人セットアップ:Netfw.infファイルをインストールするファイルにコピーしたりあとでもコピーするとファイアーウォールを導入ができる。この中身がリセットされる規定値になる。「規定値にもどす」。書式についてはファイアーウォール設定の導入でヘルプがある。・・・・私には無理そうだけど、きっと便利そうなんだろう。
・複数の(ドメインプロファイルと標準プロファイル)プロファイルを自動的に切り替えられる・・・社外用と社内用を作っておくと起動時に自動的に切り替えてくれるので便利。ワークグループの環境では一種類のプロファイルしかもてないので、例外設定などをうまく設定するしかない。 - ウイルス対策ソフトの設定
・別途購入する必要がある
・ウイルスソフトをいれていてもSP2に対応していないバージョンは「状態が不明」と表示される。ウイルスソフトも正しくうごいていてもこう出るのでエラーとはいえない。 - インターネットオプションの設定
メモ
- 警告のみの設定ダイアログがあります。うるさいときは設定が必要なのですって
- バーチャルコンピューターなどは規定値でセキュリティーセンターの有効無効の表示は見せない
- セキュリティーポリティーはクライアントには見せない。一括管理されているから
ファイアーウォールの例外
- プログラムごとポートごとに設定ができる
FTPの場合はポート番号「21」を利用できるし、「サービス」欄にはよく使うポートがリストになっているのでそこからでも設定できる。ポート番号を知らなくてもGUIで追加できる
・「21」で登録すると、そのポートは開けっ放し
・「ftp」で登録するとそのプログラムのみとおすのでポートの追加よりはとプログラムの追加安全といえる
・Servicet(自動的にバックグラウンドで動く:Windowsの起動のみでうごくもの)でうごいているものはプログラムの追加はできないのでポートの追加しかできない・・・コレに対してプログラムやアプリケーションはユーザーがログインしないとうごかないものである(サービスと比較して)
★プログラムとポート、サービスとアプリケーションの違いを把握して例外設定をしよう - 共有設定・・・・「ファイルとプリンタの共有」だけは自動でチェックがはいるようになっている。これ以外は手動で設定が必要です。ただし、共有の解除はすべて手動です。
メモリ保護機能
DEP データ実行防止とその操作
- インテルなど順次つかえるものがふえている
- バッファオーバーランの攻撃を防御防御
SP2によるより高い安全性の高いメール
OutlookExpressとMessengerの添付ファイルマネージャー
- 安全な添付ファイルなど見分ける・・・拡張子を見分けるようになった。
- 拡張子が安全・疑わしい・危険を3段階でわけている 883873で検索するとでてくる
添付ファイルの段階をポリシーで変更はできる
セキュリティータブのイメージのダウンロードのチェックをはずすと今までどおりにダウンロードするようになる。自己判断で - コンテンツブロック:画像を見に行かない限りみえない
SP2によりセキュリティー管理 インターネットエクスプローラー
ポップアップのWindowsブロック
- Windowsの制限で大きな画面にしてもかならずステータスバーが必ず表示されるようになった
- ダウンロードするときにセキュリティーの警告で発行元の表示や安全性がより簡単に確認できるようになった。
よりセキュアなローカルコンピューター
- ブラウザのゾーンごとの設定のカスタマイズができる
アドオンの追加
- ツールメニューからアドオンが一括管理できる
- 読み込まれていても簡単に無効に設定ができる
その他
DCOMの強化
- DCOM:COMの部品の分散処理をすること
- DCOMのアクセス権などの設定などの設定が「ローカルアクセス」や「リモートアクセス」ごとに設定ができる
- マイコンピューターのアクセス権のアクセス権と2段階で制御できるのでより制御がしやすくなった。管理者がシステムワイドなセキュリティー設定を構成可能になった。改良点。
安全なリモートプロシージャコール(RPC)
- ポート番号がランダムに変わるので、それを知りえないとアクセスできない。SP2は匿名アクセスでも通信できたがSP2は認証が必要になったのでセキュリティー強化になった
SP2で標準で無効となったサービス
代替案:プログラムから起動する。ファイアーウォールの設定でサービスの編集をする。139と137- Alerter
- Messenger
SP2 展開のための準備
SP2 のインストール
手順の選択
- アップデート(アップデート・統合・組み合わせインストールの方法がある)
- インストールにはツールやファイルを利用することができる
- ネットワークでいれるのはテストで試してからいれてみる
- ・SMS2.0を利用してSP2をインストールすると情報の収集や管理や配布の機能がある。
・SMS2003を利用するとマシンごとの修正プログラムの管理もことこまかくできる(レポート情報の管理ができる)・・・・ただし、有償版である。別途SQLサーバーがデータベース管理のために必要とある。一元管理の手段としてあるがかなり大規模向けの話です - (無償)グループポリシーでインストールする ActiveDirectoryユーザーとコンピュータの管理をしておく
企業システムでもSP2管理
- ネットワークUPnP対応の装置:Windowsfirewallはセキュリティー確保のため標準で必要。WindowsXPでUpnpの実行に必要なポート1099と2869をブロックする
- ワイアレスネットワーキングセットアップウイザードがついた
フラッシュメモリなどをつかって簡単にネットワーク設定を作成・配布が可能です - グループポリシーでSP2を設定する方法(ドメイン環境を前提にしているって・・・ついていってません)うまくすると自動設定ができるらしい 842933の修正モジュールをダウンロードしてから設定する方がいいです。
WindowsXPからSP2を削除する
- 統合インストールされたSP2は削除することができない
- コントロールパネルのプログラムの追加と削除をするか「"/uninstall」オプションを使用する