セキュリティ向上指令『ブルートフォースアタックを阻止せよ』

secure7
Windows のちょっとしたローカルポリシーの設定で、オーソドックスなハッカーやウィルスの侵入を食い止めることができるのをご存知ですか?

実はこの設定をするだけで、ウィルスやハッキングの何割かを食い止めることができます。


1.ブルートフォースアタック(Brute Force Attack)を防ぐ[NT/2000/XP/2003/Vista]

コントロールパネルの、管理ツールの中にある、ローカルセキュリティポリシーの設定をすることで簡単に実現できます。
ブルートフォースアタックとは、思いつく、パスワードを片っ端から試して、管理者でログインしようと試みるハッキングのことです。
銀行の口座や、一般的なサイトでは、ログインや暗証番号を3回間違えると、エラーになってしまいますよね?
実は、Windows の初期設定では、無制限に試行を試みることができます。
つまり、認証を恐ろしい速さで試みれば、簡単なパスワードを設定していると、あっという間に破られてしまうというわけです。

ローカルセキュリティポリシーはファイル名を指定して実行(Win+R)でsecpol.msc と打ち込むことでも起動できます。
secure1
アカウントポリシーの中のアカウントロックアウトの設定を選択して、値を設定すればOKです。
アカウントのロックアウトのしきい値…ログオンに何度失敗したら発動するかを指定します。3~5回くらいを指定しておくとよいでしょう。
ロックアウトカウントのリセット…例えば、1分に設定しておくと、2回ログオンに失敗した後、1分放置しておくと、カウントがリセットされます。
ロックアウト期間…実際にしきい値を超えてしまった場合、この時間、ログオンできなくなります。一般的には、ブルートフォースアタックをしてくるようなシステムの場合、ロックアウト期間のリセットを考慮していることはまず無いので、リセット<ロックアウト期間 に設定しておくとよいでしょう。

ちなみに、このログオンの試行をイベントログに取っておくこともできます。
いつ、攻撃を受けたか以外にも、自分がログインした時間などを管理するのにも便利です。
secure2

同じローカルセキュリティポリシーの中の、監査ポリシーに、ログオンイベントの監査というのがあるので、攻撃履歴を見たい場合は、「失敗」だけチェック、履歴を全部保存する場合は、「成功」と「失敗」にチェックを入れるとよいでしょう。

イベントビューアは管理ツールの中にあります。
secure3
例えば、このイベント 681と529は全て、ブルートフォースアタックですが、全て5回目の試行で食い止めていることが分かります。

ウィルスの中にも、100~1000程度の簡単なパスワードリストを持っていて、それを使ってログインを試みるものがありますが、そういうものにも有効です。

2.ウィルス対策ソフト、生きてる?[Windows全製品]

ウィルス対策ソフトをインストールしたからといって安心しきっていませんか?
まず、ウィルス定義が最新になっているかチェックしてみましょう。
ウィルスの中には、セキュリティ製品を無効にしてしまうものもあるのです。
2週間以上ウィルス定義が滞っているようなら、もしかすると、感染しているのかもしれませんよ?

あと、アンチウィルス製品が動作しているか簡単にチェックする方法として、
EICAR_TEST というものがあります。
これは、何の害も無いテキストファイルですが、各種セキュリティベンダーのソフトはこれに必ず反応するように作られています。
ためしに、右クリックで名前をつけて保存して、メモ帳で開いて見ましょう。
セキュリティソフトが反応すればOKです。

おすすめ

5件のフィードバック

  1. ugiko より:

    avastだとテキストには反応しませんね
    EICAR_TEST公式?からcomとか落とすと反応します

  2. blackwingcat より:

    テキストだと反応しないようにしてるのかもしれませんね。
    Symantec製品とWindows Defenderだと反応するみたいです。

  3. Y.S.K より:

    >ウィルスの中には、セキュリティ製品を無効にしてしまうものもあるのです。
    USBメモリを介して感染したPCがありますが、確かにセキュリティ対策ツールが自動アップデートしなくなってしまいました。
    ウイルスは駆除したと思うのですがこれだけが直らずに困っています。

  4. blackwingcat より:

    単にウィルスがアップデートの間隔の設定を上書きするだけの場合もあるので、確認してみましょう。

  5. 風の松原 より:

    MSサポートからローカル ユーザー アカウントに対してセキュリティ イベント 529 がログに記録しますで
    、Q811082_WXP_SP2_X86 が提供されていますがWIN2000でそのまま適用できるでしょうか。
    失敗の管理が出現しているので多少でも減少させたいと思っています。
    windows NT logon APP winlogon.exe
    v18での、現在のrev.502195.7061 (180KB)
    で提供側が 512600.1158 (472KB)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です