セキュリティ確保に関する示唆？

2006年6月21日

この日記も今日でついに4万アクセスを突破しました。

しょうもない日常のことを毎日書いているだけなのに、こんなにも多くの方々が来てくださったことに深く感謝しますm(_ _)m

一応の目標である三年継続もいよいよあと半年ほどで達成できそうです。

ここ最近はわりと順調にまとめ書きをすることもなく来ているので、このまま半年一気にいってしまいたいものです。

そしてそれから先のことは……それから考えるとしましょう。

ともかく。

本当に、本当にありがとうございます＆これからもよろしくお願いします！

[PC] んもー

一度up0パッチについて触れてしまったせいかぽつぽつとそのキーワードでお客さんがいらっしゃいますね。

共有ツールを利用しつつもアップはいやだというなんて図々セキュリティに気を遣っているのだろうと思いますが、ここにはパッチもパッチのありかも記載されていないのであしからず。

まぁそれだけでは何なので

少しでも安全に使うテクニックのようなものを記載してみようかと思います。

万一ウィルスに感染した際の安全装置として使えなくもないので一応一般的な記事でもあるのかな？

まずはじめに、コントロールパネルからユーザーの新規作成を行います。下記のページあたりを参考にどうぞ。

「http://h10025.www1.hp.com/ewfrf/wc/document?lc=ja&cc=jp&dlc=ja&product=90764&docname=c00080709」

このときアカウントの種類は制限にします。

管理者と同じ権限を持たせてしまっては意味がありません。

とはいえこの「制限ユーザー」非常に不便です。

ソフト一つ動かすのにもいろいろと制限がかかり面倒この上ありません。

このままでは使い物にならないということで、一つ権限をあげてやることにします。

スタートメニューの「ファイル名を指定して実行」というところをクリックし出てきたウィンドウの名前の欄に「control userpasswords2」と入力しOKを押します。

すると下記のページ(このページ自体はWindows2000用解説ですが、ここの画面は同じ。何で面倒な作業をしてこのウィンドウを出したのかといえば、XPの「一見」の操作を簡単にするためにこのウィンドウをあえて隠したから)が出てきます。

「http://allabout.co.jp/internet/netsecurity/closeup/CU20030224A/index2.htm」

今作成したばかりのユーザーはグループが「Users」になっていると思います。そのユーザーを左クリックで選択しプロパティを押します。

「全般」と「グループメンバシップ」というタブがあり、後者を開きます。ここで「制限ユーザー」が選択されていますが、一つ上の「標準ユーザー」に選択し直して「適用」→「OK」

これで晴れてそこそこどんなソフトも扱える、それでいてほかのユーザーのファイルを勝手にのぞいたり、システム自体にアクセスなんてことはできないユーザーのできあがりです。

さて

せっかく作ったお試し・人柱用ユーザー。これを活用しないことにはどうしようもありません。

一番ベストなのは怪しげなソフト・実行ファイルを起動させる際はログオフなりユーザーの切り替えなり使って、このユーザーでログインし直してから使用することです。

ところが人間堕落するというか、そんな面倒な手段はとっていられるか！となって、ついついいつものユーザーのまま実行ファイルを起動して……などはあり得そうな話です。

というわけでせっかく作ったユーザーを活用しつつほかの作業はいつものユーザー（デスクトップ）のままやる方法を。

別のユーザーとして実行

WindowsXPからはこの機能が標準で表示されるようになりました。

……もっとも基本的に管理者か制限ユーザー(IEとワード・エクセル・DVD鑑賞しか絶対にしない！程度の用途でないと不便きわまりない)での二択しかないXPでこの機能が使われることがどの程度あるのかあるのか疑問ではありますが('A`)(実のところかなり重要かつ知っている人は使う機能ではありますが、「知っている人が」程度の機能を標準ですぐ使える場所にあるというのは結局意味がないような)

この機能、実行ファイルを右クリックすると「開く」の下あたりに出てきます。

ここで、先ほど作成したユーザーの権限にて実行するのです。(共有ソフト自身だけでなくそれでダウンロードした怪しげなファイルも)

するとそれがたとえばマイドキュメントやデスクトップを勝手に共有させてしまうウィルスだった場合、その矛先は作成したユーザーのマイドキュメント・デスクトップとなります。

もしくは管理者のマイドキュメント・デスクトップを狙ってくるかもしれませんが、この場合は権限不足(実際に作成したユーザーでいつも使用しているデスクトップをのぞいてみれば分かるがエラーが出てのぞくことができない)でやはりアップフォルダに指定することができません。

こうして一番守りたいエリアは仮に感染したとしても保護されます。

もっとも

この方法をもってしてもソフト自身に脆弱性・いわゆるセキュリティーホールが存在した場合はその種類によっては(管理者権限を乗っ取れるようなタイプの場合。実行者の権限を利用するものなら乗っ取られても上の対策が有効。)防ぎきれません。これに関しては誰かがその脆弱性を修正しない限りは何とも。

では上の対策は結局意味がないものかと言われれば、やらないよりは今まで何も対策していなかった人ならましでしょう。

追記

忘れてました。

当然のことながら作成したユーザーにアクセスできる場所にソフト本体をおかないとそもそも実行できません。(たとえばいつものデスクトップにソフトを置いておいてもデスクトップ自体作成したユーザーにはアクセスする権限がないので実行できない、もしくは実行できたとしてもエラーが発生する可能性が高い)

どうやればアクセスできることになるのかよく分からない方は作成したユーザーでログインし直して、適当にどこかにフォルダを作成しその中に使いたいソフトをあらかじめインストールなりコピーなりしておきましょう。

するといつも使っているユーザー（つまり管理者）からそのフォルダは当然のぞけますから改めて「別のユーザーとして実行」です。

日常

Posted by TTG