管理できないPCやサポート切れOSの入ったPCの扱い方 その1
実家のパソコンなど遠隔地で管理できないパソコンの扱い
・実家の両親がPCに詳しくなく、管理が不安
・遠隔地の社員が使ってるPCの管理が不安
こんなケースの場合、何かあった時にすぐサポートできるように準備したり、安全にPCを使ってもらうための作業が必要です。
PCを渡す前に必要なこと
・できるだけ、期限切れにならないまっとうなセキュリティソフトを入れておく。
当たり前ですが、ウィルス定義が常に更新されるような設定をしておく必要があります。
期限が切れてメンテナンスが必要な場合、サポートできるようにしておく必要もあります
・遠隔操作ソフト、または VPN ソフトのサーバーを入れておく
UltraVNC VNC, Remote Access, Support Software, Remote Desktop Control Free Opensource
遠隔で接続できる(ポート開放・ファイアーウォールの設定が必要)
TeamViewer - ネット経由のパソコン遠隔操作(リモートコントロール)ソフト
遠隔で接続できる(ファイアーウォールの設定が必要)
SoftEther VPN - 窓の杜ライブラリ
遠隔で接続できる(ポート開放・ファイアーウォールの設定が必要)
注意しなくてはいけないのは、遠隔操作ソフトの場合、ゲートウェイがない場合ルーター等の設定をして、ポートを開放したりする必要があります。
TeamViewerなどは、ゲートウェイをサービスとして提供してるので設定をしなくても利用可能です。
SoftEather は設定で対象となるPCの環境に接続してネットワークに参加できるので 接続後 RemoteDesktop を使ったり、RPC によるメンテナンスができる様になるメリットがあります。
トラブルが起こった時に電話などで相手先に操作してもらってインストールしてもらうのは困難です。あらかじめ準備しておきましょう
セットアップした後、ちゃんと接続できるか確認してみましょう。
Firewallのダイアログが出る場合は、常に接続を許可するように設定しましょう。
・管理者権限アカウントは通常使わせない
大事な点が3つあります。
・通常のアカウントにも管理者向けアカウントにもちゃんとしたパスワードをかけておく。
・通常使ってもらうアカウントに管理者権限を付加しないことによって、万が一、マルウェアなどを実行してしまっても、被害を最小限にすることができること。
勝手に後からソフトをインストールしたりできないようにすることです。
・VPN
等でこちらが自由な時間にメンテナンスできる場合はこれなで問題ありません、しかしそうでない場合は、管理者向けのアカウントを完全に使えないようにして
しまうと、Flash Player などの更新すらもできなくなってしまうので、定期的に管理者アカウントのログインをしてもらう必要があること。
ただし、どうしてもインストールしたいアプリがある場合に、ユーザーが勝手に実行してしまわないように、連絡などを取る約束は決めておきましょう。
・Windows Update の設定について
VPN接続などができない場合、扱いが難しいのが Windows Update です。
お薦めは、火曜日の23:00に設定しておくことです。
Windows Update のプログラムの配信が 第2火曜日の翌日なので、こうしておくことによって、配信から6日遅らせることができます。
致命的な不具合があった場合、Microsoftは更新プログラムの配信を中止しますから、問題を回避できる可能性が高くなります。
管理者アカウントが有効なら、Flashや Javaも自動で更新できるように設定しておいて構わないでしょう。
※不要ならインストール自体しなくていいと思います。
・IE の設定
既定のインターネットゾーンの設定を『高』に設定した上で
ActiveXの実行は無効、Javaアプレットは無効、アクティブスクリプトは無効 などにし、基本的に Firefox や Chrome 等を利用してもらいます。
どうしてもIEが必要なサイトについては信頼済みサイトに登録してもらいます。ただし 面倒でも、* は使わないようにします。
また、Firefox なら、クリックしてから実行、Chrome ならば、右クリックで確認して実行できるように設定しておきましょう。
Windows Update ではなく、Microsoft Update が実行されるように設定しておきましょう
PCを渡した後必要なこと
毎月もしくは、隔週でメンテナンスするのが望ましいと思います
例外として、Flash や Java の緊急更新があった場合は、臨時で適用しましょう。
遠隔での接続が可能にした場合、管理者権限の譲渡や、Windows Updateの設定などをしていないと思います。
この場合は、定期的に、セキュリティが担保できているか確認する必要があります。
Windows Update については2週間遅れ位で実行するのを推奨します(Flash Player やSilverlight などの更新プログラムに不具合が起こっても影響が少なく、致命的なものについてはすぐ実行した方がいいです)
重要なチェック項目
・セキュリティソフトの定義が更新されているか
・Java/Flash/Reader/Microsoft Update などの更新確認
・スタートアップ・サービス・タスクに変なプログラムが登録されていないか
特に Windows Vista はタスク経由でウィルス感染していることが多い
・前のメンテナンス以後できたフォルダの中にある exe / dll / ocx / ax 等のファイルを確認・スキャンする。
(Windows Vista 以降はファイル検索が正しくできないので、必ず信頼できるソフトで検索する。また、隠しファイルやフォルダも見えるようにしてからスキャンすること)
・異常なネットワークができてないか確認する (netstat など)
サポート切れOSの扱いなどはその2に続きます ・ω・
Translate
@電話と同一人物ですw
Secunia PSI
ttps://secunia.com/vulnerability_scanning/personal/
↑これ入れて
Sandboxie
ttp://www.sandboxie.com/index.php?DownloadSandboxie
砂箱経由でブラウザを使わせるという手は?
ところでハナシは変わりますが・・・
Adblock Plusなどに
*.exe
これでドライブバイダウンロードを防げるような気がしますが、どうなんでしょ?
pale moonのAdblock Latitudeに
*.swf を入れてようつべとかに行くと、動画がブロックされるのでw
>遠隔地の社員が使ってるPC
使用者本人に確認を取りながら、いろいろとアップデートして引き上げたんですが、
後日、業務で利用するサイトがJavaのバージョン違いで使用できなくなった、とそっちの担当から苦情が来たことがあります。
Oracle が買収してから、マイナーアップデートで基幹アプリがうごかなくなって
NECなどの大手メーカーがアナウンス出すような騒ぎがもう3回起こっていますからねぇ…。
で、どうなったかというと、Java7とJava8 は動作の違うブランチが余分にできましたとさ