まだまだ現役、Windows XPのセキュリティ強化に役立つ5つのレジストリキー
11月12日16時14分配信 TechTargetジャパン
「Windows XPにはちょっと詳しい」というシステム管理者に話を聞くときは必ず、「あなたのお気に入りのレジストリキーは?」と尋ねることにしている。そして大抵の場合、うつろな視線が返って来る。
そこで本稿では、わたしのお気に入りのレジストリキーを5種類紹介する(※)。システムのセキュリティ強化に役立つはずだ。
※編注:レジストリはWindowsの動作に影響を与えます。変更については自己責任にてお願いします。
●1.Hidden
わたしが最も気に入っているレジストリキーは「Hidden」だ。このレジストリ値を追加すると、Windows XP搭載PCをネットワーク閲覧リストから消去できる。これにより、たまたまネットワークに接続してきたようなユーザーが、「マイ ネットワーク」画面でマシンを見つけてしまう事態を防止できる。わたしはこれを自分自身のコンピュータと、ほかの人にいじってほしくない大切なノートPCとデスクトップPCに使っている。
キーの名前:HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
値の名前:hidden
型:REG_DWORD
値のデータ:1
0 コンピュータ名とコメントが別のコンピュータから見える(デフォルト)
1 コンピュータ名とコメントが別のコンピュータから見えない
●2.AutoShareWks
Windows XPシステムは、コンピュータ上のドライブ名ごとに、自動的に共有を作成する。これらの共有は、管理者権限を持ったユーザーのみがリモートで利用できる。しかし場合によっては、こうした「自動管理共有」が作成されない方がいいこともある。単純にエクスプローラで該当する共有を右クリックして削除しても、コンピュータを再起動すればその共有は復活する。そこで「AutoShareWks key ()」を設定すれば、こうした共有が作成されずに済む。
キー:HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
値の名前:AutoShareWks
型:REG_DWORD
値のデータ:0
・0 共有削除
・1 共有作成(デフォルト)
●3.NoLMHash
3番目のお気に入りは「NoLMHash」のレジストリキーだ。このレジストリ設定では、パスワードのLanManハッシュをコンピュータ上に保存しないよう、コンピュータに指示を出す。LanManハッシュはパスワードの形態としては極めて脆弱で、コンピュータ上のパスワードの守りを全般的に弱めてしまう可能性がある。すべてのデスクトップPCでLanManハッシュの保存を無効にすれば、ネットワークのセキュリティを大幅に強化できる。あるいは「thrashlm」ツールを実行してLanManハッシュをコンピュータから削除するという手もある。
キー:HKLM\System\CurrentControlSet\Control\LSA\Parameters
値の名前:NoLMHash
型:REG_DWORD
値のデータ:1
・0 LanManパスワードハッシュを保存する(デフォルト)
・1 LanManパスワードハッシュの保存を無効にする
●4.CachedLogonsCount
3番目と近い関係にあるのが「CachedLogonsCount ()」だ。コンピュータからドメインにログオンするために使われる各ユーザーアカウントとパスワードは、ローカルのシステム上にキャッシュされている。これによって、マシンをネットワークに接続していないときでも、ドメインアカウントでコンピュータにログオンすることが可能になる。便利な機能ではあるが、キャッシュされたパスワードはパスワードクラッキングツールを使えば入手することができてしまう。可能な限り、キャッシュされるログオン情報の数は制限しておくのがベストだ。別のやり方として、「trashpwhist」ツールを使ってキャッシュされたパスワードをマシンから消去することもできる。
キー:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
値の名前:CachedLogonsCount
型:REG_SZ
値のデータ:1
・0 ユーザーアカウントとパスワードをキャッシュしない
・1〜50 数字分の人数のユーザーアカウントとパスワードをキャッシュする(デフォルトは10)
●5.RequireSecuritySignature
ユーザーが社内ネットワークから悪質なWebサイトや悪質なSMB(Server Message Block)リレー(※)サーバを閲覧するのが心配なら、「RequireSecuritySignature」のキーを有効にしておくのが最善かもしれない。これで、あらゆる形態のクレデンシャルリフレクション攻撃の実行を阻止できる。
※中間者(man-in-the-middle)攻撃によりSMBセッションを乗っ取る手法。サーバへの不正ログインなどに用いられる。
キー:HKLM\System\CurrentControlSet\Services\LanManServer\Parameters
値の名前:RequireSecuritySignature
型:REG_DWORD
値のデータ:1(有効)
・0 SMB署名が不要(デフォルト)
・1 SMB署名が必要
以上のレジストリキーは、グループポリシーの設定、あるいはそれぞれのマシンで実行される「.reg」ファイル経由で導入できる。「これ1つでXPシステムのセキュリティは万全」といえるようなレジストリキーは存在しないが、この5種類のレジストリキーをXPシステムに導入すれば、ネットワークのセキュリティを守る一助となる。ただし全社的な導入の前に、これらレジストリ設定について十分な検証を怠ってはいけない。
本稿筆者のエリック・シュルツ氏は独立系のセキュリティコンサルタント。最近ではShavlik TechnologiesでMicrosoftのパッチ管理ソリューション設計を手掛けた。Shavlik入りする前はMicrosoftに勤務し、セキュリティ速報とパッチ配信プロセスの管理にかかわった。ウォール街で内部監査役をしていた過去は忘れたいと思っている。
そこで本稿では、わたしのお気に入りのレジストリキーを5種類紹介する(※)。システムのセキュリティ強化に役立つはずだ。
※編注:レジストリはWindowsの動作に影響を与えます。変更については自己責任にてお願いします。
●1.Hidden
わたしが最も気に入っているレジストリキーは「Hidden」だ。このレジストリ値を追加すると、Windows XP搭載PCをネットワーク閲覧リストから消去できる。これにより、たまたまネットワークに接続してきたようなユーザーが、「マイ ネットワーク」画面でマシンを見つけてしまう事態を防止できる。わたしはこれを自分自身のコンピュータと、ほかの人にいじってほしくない大切なノートPCとデスクトップPCに使っている。
キーの名前:HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
値の名前:hidden
型:REG_DWORD
値のデータ:1
0 コンピュータ名とコメントが別のコンピュータから見える(デフォルト)
1 コンピュータ名とコメントが別のコンピュータから見えない
●2.AutoShareWks
Windows XPシステムは、コンピュータ上のドライブ名ごとに、自動的に共有を作成する。これらの共有は、管理者権限を持ったユーザーのみがリモートで利用できる。しかし場合によっては、こうした「自動管理共有」が作成されない方がいいこともある。単純にエクスプローラで該当する共有を右クリックして削除しても、コンピュータを再起動すればその共有は復活する。そこで「AutoShareWks key ()」を設定すれば、こうした共有が作成されずに済む。
キー:HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
値の名前:AutoShareWks
型:REG_DWORD
値のデータ:0
・0 共有削除
・1 共有作成(デフォルト)
●3.NoLMHash
3番目のお気に入りは「NoLMHash」のレジストリキーだ。このレジストリ設定では、パスワードのLanManハッシュをコンピュータ上に保存しないよう、コンピュータに指示を出す。LanManハッシュはパスワードの形態としては極めて脆弱で、コンピュータ上のパスワードの守りを全般的に弱めてしまう可能性がある。すべてのデスクトップPCでLanManハッシュの保存を無効にすれば、ネットワークのセキュリティを大幅に強化できる。あるいは「thrashlm」ツールを実行してLanManハッシュをコンピュータから削除するという手もある。
キー:HKLM\System\CurrentControlSet\Control\LSA\Parameters
値の名前:NoLMHash
型:REG_DWORD
値のデータ:1
・0 LanManパスワードハッシュを保存する(デフォルト)
・1 LanManパスワードハッシュの保存を無効にする
●4.CachedLogonsCount
3番目と近い関係にあるのが「CachedLogonsCount ()」だ。コンピュータからドメインにログオンするために使われる各ユーザーアカウントとパスワードは、ローカルのシステム上にキャッシュされている。これによって、マシンをネットワークに接続していないときでも、ドメインアカウントでコンピュータにログオンすることが可能になる。便利な機能ではあるが、キャッシュされたパスワードはパスワードクラッキングツールを使えば入手することができてしまう。可能な限り、キャッシュされるログオン情報の数は制限しておくのがベストだ。別のやり方として、「trashpwhist」ツールを使ってキャッシュされたパスワードをマシンから消去することもできる。
キー:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
値の名前:CachedLogonsCount
型:REG_SZ
値のデータ:1
・0 ユーザーアカウントとパスワードをキャッシュしない
・1〜50 数字分の人数のユーザーアカウントとパスワードをキャッシュする(デフォルトは10)
●5.RequireSecuritySignature
ユーザーが社内ネットワークから悪質なWebサイトや悪質なSMB(Server Message Block)リレー(※)サーバを閲覧するのが心配なら、「RequireSecuritySignature」のキーを有効にしておくのが最善かもしれない。これで、あらゆる形態のクレデンシャルリフレクション攻撃の実行を阻止できる。
※中間者(man-in-the-middle)攻撃によりSMBセッションを乗っ取る手法。サーバへの不正ログインなどに用いられる。
キー:HKLM\System\CurrentControlSet\Services\LanManServer\Parameters
値の名前:RequireSecuritySignature
型:REG_DWORD
値のデータ:1(有効)
・0 SMB署名が不要(デフォルト)
・1 SMB署名が必要
以上のレジストリキーは、グループポリシーの設定、あるいはそれぞれのマシンで実行される「.reg」ファイル経由で導入できる。「これ1つでXPシステムのセキュリティは万全」といえるようなレジストリキーは存在しないが、この5種類のレジストリキーをXPシステムに導入すれば、ネットワークのセキュリティを守る一助となる。ただし全社的な導入の前に、これらレジストリ設定について十分な検証を怠ってはいけない。
本稿筆者のエリック・シュルツ氏は独立系のセキュリティコンサルタント。最近ではShavlik TechnologiesでMicrosoftのパッチ管理ソリューション設計を手掛けた。Shavlik入りする前はMicrosoftに勤務し、セキュリティ速報とパッチ配信プロセスの管理にかかわった。ウォール街で内部監査役をしていた過去は忘れたいと思っている。
最終更新:11月12日16時14分
ソーシャルブックマークへ投稿 0件
主なニュースサイトで Windows の記事を読む
この記事を読んでいる人はこんな記事も読んでいます
- 新「GREE」正式公開 IEに対応、Twitter連携機能追加(ITmedia News) 9日(月)17時33分
- [販売戦略]キューアンドエー、PC・デジタル家電サポートの新店舗を自由が丘にオープン[photo](BCN) 9日(月)14時55分
- [経営戦略]ノジマ、中間決算は増収増益、ヘルパー撤廃し店員増強・サポート強化が奏功(BCN) 12日(木)10時20分