今更聞けないWindows 2000/XP の10つのセキュリティチェック

Windows 2000やXPのパソコンもそろそろ年季が入ってきて、リカバリやOSの乗せ換えをしている人が結構います。

そこで、基本的なセキュリティをもう一度見直してみようと思います。

関連記事
セキュリティ向上指令『ブルートフォースアタックを阻止せよ』
アカウント乗っ取り型ウィルスを予防するための簡単な設定
ダイアルアップネットワークに繋いだWindows の受ける不正ログオン


1. 簡単なパスワードは設定してはいけない。パスワードなしはもってのほか

ウィルスの中には、Administrator IDを使って、パスワードを複数試行して管理者権限を乗っ取るものがずいぶん昔からあります。

簡単なパスワードを設定しなければとりあえずは安心です。

ちなみに、XPはパスワード設定しないと、リモートデスクトップが使えなくなります。

管理者が乗っ取られてしまうとファイアーウォールもあまり意味がないですよね

2. アカウントのロックアウトの設定を忘れない。

1.のパスワード試行も、初期設定で制限がないから簡単に行えるわけで、ロックアウトの設定をしておくとずいぶんセキュアになります。

ァイル名を指定して実行(Win+R)でsecpol.msc と打ち込むことでも起動できます。
secure1

3. ネットワークにつなぐ前に、セキュリティアップデートやセキュリティソフトのインストールをしてしまう。

Windows Update 中にウィルスに感染してしまっては意味がありません。
USBやCDなどで先にファイアーウォールを設定しましょう。

ブロードバンドルータなどにその機能があれば安心ですね。

4. ユーザ名の一覧は標準設定で見えてしまう

匿名アクセス(NULLセッション)という特殊なアカウントによるアクセスができます。これを使うと、そのPCのユーザー名が全て見えてしまうために、管理者IDを変更しても丸見えになってしまうので意味がなくなってしまいます

これを回避するために、
HKEY_LOCAL_MACHINE の SYSTEM\CurrentControlSet\Control\Lsa
の RestrictAnonymous に DWORD で 1 を設定します。

Windows 7などでは標準で1が設定されています

5. 管理共有を無効にしよう

デフォルト共有(管理共有)を停止させる方法 - @IT

C$やD$といった管理者専用のドライブ共有が初期設定にあるため、管理権限があれば、簡単にドライブの中身が見えてしまいます。

特別な場合を除いて、セキュリティのために無効にしておきましょう。

6. セキュリティソフトの定義ファイルの更新がサポートされているか確認しよう

サポート切れOSだからこそ、セキュリティソフトの更新サービスの継続は最重要事項になります。

sec
うちは、Symantec Endpoint Protection MR7を使っているので、更新サービスについては数年大丈夫です。
ウィルス定義の日付を確認するのも大事だよ。

7. Internet Explorer は使わない

特にWindows 2000の場合はセキュリティアップデートはもう終了しているので、危険なのでできるだけ使わないのが吉です。
一応セキュリティパッチが今も出ています。ISOから取り出すのが面倒な人は、うちのサイトのWLUから落としましょう。

Firefox のIETabから使うと、既にインストールされているActiveXコンポーネントしか動かないので意外とセキュアだったりします|。・ω・)

Twitter 等のサービスは IEからではなく、Firefox やクライアントから使いましょう。

8.USB を使うときは気を付ける

一般的にウィルスに感染したUSBメモリは、autorun.inf 経由で実行されるので、SHIFTを押しながら差し込めば、自動的に実行される危険はほとんどなくなります。

自動起動はレジストリから無効にすることもできます。

USBメモリのAutoRun無効化パッチ、自動更新で配布開始、適用徹底を -INTERNET Watch

9. 毎日起動直後のタスク数をチェックしよう

初心者でも簡単にできるウィルス感染チェック。

boot
タスクマネージャーをパソコン起動直後に起動して、プロセス数をチェックしてみよう。
自動起動するソフトをインストールしない限り、初期の数字は変わらない。
これが増えた時や減ったときは、詳しく検査してみたほうがいいよ|・ω・)

ウィルス対策ソフトを無効化するウィルスに感染した場合は逆に減ることもあるのだ。

10. URLのリンクをクリックするときは、すぐクリックせずに確認

http://www.yahoo.co.jp/

書かれているリンクが正しいとは限らないので、クリックする前に、右クリック、
リンクのURLをコピーしてみて、本当に、見たいサイトと一致するか確認しよう。
「フィッシングサイト」と呼ばれるサイトは、ステータスバーに表示されるリンクさえ、JavaScriptで偽装してることがあるから注意が必要なのだ

これに類似したもので、ファイルの拡張子の問題があるよ。
ファイルの拡張子を信じないで、まず、プロパティで「ファイルタイプを確認してみよう」
もちろん、フォルダオプションで登録されている拡張子を表示しないのチェックを外しておくと一部のウィルスについては予防にはなるよ。

『登録されている拡張子を表示しない』にしていなくても危険なファイル

どうだった?まだ、Windows 2000/XPで戦うための資格はあったかな?

おすすめ

2件のフィードバック

  1. :D より:

    こういうのは非常にためになります。ありがたやー

  2. とーとーエっくちゅぴ(元:トーシロwin2k) より:

    スンマセン。m(_ _;)m
    よーやくIBMのXP機が入手できましたんで設定してるのですが、4の”RestrictAnonymous”が見つけられまへん。…orz
    どのディレクトリなんでしょか?(^.^;
    因みに
    ThinkPad G41 2881-43J
    です。どうかご指南頂ければ幸いです。m(_ _;)m

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です