Windows TIPS

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ インターネット常時接続時の基本セキュリティ設定 3．ステップ2：NBTを禁止する デジタルアドバンテージ 2001/06/22

---

　以上のステップ1の対策により、ファイル公開サービスや、外部のファイル共有サービスを利用するためのインターフェイスを禁止することができたが、まだNBT（NetBIOS over TCP/IP）プロトコルそのものは有効になっている。このプロトコルを使うほかのサービスがインターネット側からアクセスされたり、クラックされたりしないように、NBTプロトコルそのものもオフにしておこう。この対策を施さないと、ファイル／プリンタ・サービス以外で、NBTを使う各種のプログラムやサービスがやはり外部からアクセスされてしまう可能性があるからだ。もちろん、そのような余計なサービスを使わないという方法もあるが、実際にはどのプログラムがNBTを使っているのかなどは、よほどシステムの内部に精通していなければ分からないだろう（たとえばメッセンジャ・サービスなどはNBTを使っている）。したがって、インターネット側のNBTそのものを禁止するのが、いちばん確実で、簡単な方法だといえる。

　NBTを禁止するには、［インターネット接続］のプロパティからTCP/IPの詳細設定を呼び出し、そこで設定する。

［インターネット接続］のプロパティ

NBTだけをオフにするには、まず［ネットワークとダイヤルアップ接続］ダイアログ中にある［インターネット接続］を右クリックして、［プロパティ］メニューを起動する。そして「インターネット プロトコル(TCP/IP)」の［プロパティ］をクリックする。

TCP/IPのプロパティを実行する。 　 ［プロパティ］をクリックする。→へ

　

TCP/IPのプロパティ

ここでは、インターネット側のTCP/IPに関する各種設定を行う。

IPアドレスなどの情報をDHCPでインターネット側から自動取得するには、こちらを選択する。通常はこちらを選択する場合が多いが、プロバイダによってはを選択して、固定的なIPアドレスを設定するケースがあるかもしれない。 　 固定的なIPアドレスを使用する場合は、こちらを選択する。 　 DNSサーバのIPアドレスをDHCP経由で自動取得する場合は、こちらを選択する。通常はこちらを選択することが多いが、プロバイダによってはでDNSアドレスを直接指定するケースもある。 　 DNSサーバのIPアドレスを手動で設定する場合はこちらを選択する。 　 NBTをオフにするには、さらにこの［詳細設定］をクリックする。→へ

　

TCP/IPの詳細設定

NBTをオフにするには、［WINS］タブの下に3つ並んだラジオボタンから［NetBIOS over TCP/IPを無効にする］を選択する。

［WINS］タブを選択する。 　 デフォルトではこちらが選択されており、「インターネット接続」でもNBTが有効になっている。 　 NBTをオフにするにはこちらを選択する。するとこのインターフェイスではNBTが無効になる。この設定はインターフェイスごとに個別に設定できる。ローカルのLAN側では有効にしておかないと、ファイル共有機能が利用できなくなる。 　 NBTを使うかどうかを、DHCPサーバからの情報で決める。今回の環境では、DHCPサーバの動作はすべて接続共有機能で自動的に制御されているので、利用できない。

　以上の設定で、インターネット側のNBTが無効になり、安全性が増すことになる。具体的には、TCPの139番とUDPのポート137番、138番が無効になる。コマンドプロンプトからnetstatコマンドを実行し、これらが正しく無効化されているかどうかを確認する。

1：C:\>netstat -a -n  2：  3：Active Connections  4：  5：Proto  Local Address          Foreign Address        State  6：TCP    0.0.0.0:135            0.0.0.0:0              LISTENING  7：TCP    0.0.0.0:445            0.0.0.0:0              LISTENING  8：TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING  9：TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING 10：TCP    192.168.0.1:139        0.0.0.0:0              LISTENING 11：TCP    192.168.0.1:3002       0.0.0.0:0              LISTENING 12：TCP    192.168.0.1:3003       0.0.0.0:0              LISTENING 13：TCP    192.168.0.1:3004       0.0.0.0:0              LISTENING 14：UDP    0.0.0.0:135            *:* 15：UDP    0.0.0.0:445            *:* 16：UDP    0.0.0.0:3001           *:* 17：UDP    0.0.0.0:3005           *:* 18：UDP    192.168.0.1:53         *:* 19：UDP    192.168.0.1:67         *:* 20：UDP    192.168.0.1:68         *:* 21：UDP    192.168.0.1:137        *:* 22：UDP    192.168.0.1:138        *:* 23：UDP    192.168.0.1:500        *:* 24：UDP    210.XXX.XXX.XXX:500    *:*

NBTをオフにした場合のポートの状態

「netstat -a -n」コマンドを実行することにより、現在待ち受けしているTCPやUDPのポート番号の状態を表示することができる。ここに表示されているのは、すべて待ち受け状態にあるポートの番号。「Local Address」フィールドの数値「AAA.AAA.AAA.AAA:PORT」は、「AAA.AAA.AAA.AAA」がインターフェイスのIPアドレス、「PORT」がポート番号を表す。TCPの139番とUDPのポート137番、138番は、IPアドレスが「192.168.0.1」となっているので（10、21、22行目）、「ローカル接続」側でしか待ち受けしていないことが確認できる。

　

この記事と関連性の高い別のWindows TIPS Windows XPのファイアウォール機能を活用する Windows 2000／Windows XPのICSを活用する（NATを利用する方法） ポート445（ダイレクト・ホスティングSMBサービス）に注意 ノートPCのTCP/IP設定を簡単に切り替える方法 XP SP2のファイアウォールでリモート管理を有効にする このリストは、（株）デジタルアドバンテージが開発した 自動関連記事探索システム Jigsaw（ジグソー） により自動抽出したものです。 generated by

INDEX
	［Windows TIPS］インターネット常時接続時の基本セキュリティ設定
	1．想定する環境、前提条件
	2．ステップ1：インターネット側のファイル共有サービスを禁止する
	3．ステップ2：NBTを禁止する
	4．ステップ3：RRASサービスを開始する
	5．ステップ4：RRASのオリジナル設定をバックアップする
	6．ステップ5：RRASのパケット・フィルタを設定する
	7．ステップ6：フィルタ機能の確認

　

「Windows 2000 TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）