セキュリティ向上指令『ブルートフォースアタックを阻止せよ』

Windows のちょっとしたローカルポリシーの設定で、オーソドックスなハッカーやウィルスの侵入を食い止めることができるのをご存知ですか？

実はこの設定をするだけで、ウィルスやハッキングの何割かを食い止めることができます。

１．ブルートフォースアタック(Brute Force Attack)を防ぐ[NT/2000/XP/2003/Vista]

コントロールパネルの、管理ツールの中にある、ローカルセキュリティポリシーの設定をすることで簡単に実現できます。
ブルートフォースアタックとは、思いつく、パスワードを片っ端から試して、管理者でログインしようと試みるハッキングのことです。
銀行の口座や、一般的なサイトでは、ログインや暗証番号を３回間違えると、エラーになってしまいますよね？
実は、Windows の初期設定では、無制限に試行を試みることができます。
つまり、認証を恐ろしい速さで試みれば、簡単なパスワードを設定していると、あっという間に破られてしまうというわけです。

ローカルセキュリティポリシーはファイル名を指定して実行(Win+R)でsecpol.msc と打ち込むことでも起動できます。

アカウントポリシーの中のアカウントロックアウトの設定を選択して、値を設定すればOKです。
アカウントのロックアウトのしきい値…ログオンに何度失敗したら発動するかを指定します。３～５回くらいを指定しておくとよいでしょう。
ロックアウトカウントのリセット…例えば、１分に設定しておくと、２回ログオンに失敗した後、１分放置しておくと、カウントがリセットされます。
ロックアウト期間…実際にしきい値を超えてしまった場合、この時間、ログオンできなくなります。一般的には、ブルートフォースアタックをしてくるようなシステムの場合、ロックアウト期間のリセットを考慮していることはまず無いので、リセット＜ロックアウト期間 に設定しておくとよいでしょう。

ちなみに、このログオンの試行をイベントログに取っておくこともできます。
いつ、攻撃を受けたか以外にも、自分がログインした時間などを管理するのにも便利です。

同じローカルセキュリティポリシーの中の、監査ポリシーに、ログオンイベントの監査というのがあるので、攻撃履歴を見たい場合は、「失敗」だけチェック、履歴を全部保存する場合は、「成功」と「失敗」にチェックを入れるとよいでしょう。

イベントビューアは管理ツールの中にあります。

例えば、このイベント 681と529は全て、ブルートフォースアタックですが、全て５回目の試行で食い止めていることが分かります。

ウィルスの中にも、１００～１０００程度の簡単なパスワードリストを持っていて、それを使ってログインを試みるものがありますが、そういうものにも有効です。

２．ウィルス対策ソフト、生きてる？[Windows全製品]

ウィルス対策ソフトをインストールしたからといって安心しきっていませんか？
まず、ウィルス定義が最新になっているかチェックしてみましょう。
ウィルスの中には、セキュリティ製品を無効にしてしまうものもあるのです。
２週間以上ウィルス定義が滞っているようなら、もしかすると、感染しているのかもしれませんよ？

あと、アンチウィルス製品が動作しているか簡単にチェックする方法として、
EICAR_TEST というものがあります。
これは、何の害も無いテキストファイルですが、各種セキュリティベンダーのソフトはこれに必ず反応するように作られています。
ためしに、右クリックで名前をつけて保存して、メモ帳で開いて見ましょう。
セキュリティソフトが反応すればOKです。