Smily Books Blog 2023年7月更新中

ネットワークセキュリティHACKS Andrew Lockhart(オライリー・ジャパン)

1.Windowsシステムセキュリティ
(1)パッチ適用状況のチェック
MBSA(Microsoft Baseline Security Analyzer)のmbsacli /hfコマンド
(HFNetChk:旧ShavlikTechnologiesにより提供。現在はMBSAのmbsacli.exeで実行)
(2)オープン状態のファイルとオープンしているプロセスのリスト取得
Handleを利用する(http://www.sysinternals.com/ntw2k/freeware/handle.shtml)
(3)稼動中サービスとオープンされているポートリスト取得
FPortを利用する(http://www.foundstone.com/resources/proddesc/fport.htm)

(4)Windows既存機能
①監査機能を有効にする
[コントロールパネル]-[管理ツール]-[ローカルセキュリティポリシー]-[監査ポリシー]で設定
②イベントログをセキュアにする
AppEvent.Evt、SecEvent.Evt、SysEvent.Evtファイル(通常%SystemRoot%\system32\configディレクトリ)の
・[セキュリティ]でAdministratorのみアクセス可能とする
・[グループ名またはユーザ名]をAdministrators、SYSTEMSのみとする
③ログファイル最大サイズを変更する
[コントロールパネル]-[管理ツール]-[イベントビューア]を起動し、各ログファイルの
・最大ログサイズ(デフォルト512KB)を変更(通常1MB以上)
・古いファイル上書き(デフォルト7日経過後)を変更(通常31日以上)
④デフォルト共有の解除
レジストリ編集として
HKEY_LOCAL_MACHINE¥SYSTEM\CURRENTCONTROLSET\SERVICES¥LANMANAGER\PARAMETERSキーに
・[編集]-[新規]-[DWORD値]でAutoShareWksを追加し、値0で設定(2000 Professional)
・[編集]-[新規]-[DWORD値]でAutoShareServerを追加し、値0で設定(2000 Server)
最後にnet shareで確認

※ただし、デフォルト共有を解除すると、
 HFNetChkやSMS(System Management Server)が利用不可となる可能性有り
⑤シャットダウン時にページングファイルを初期化する
レジストリ編集として
HKEY_LOCAL_MACHINE¥SYSTEM\CURRENTCONTROLSET\CONTROL¥Session Manager\MemoryManagementの
[ClearPageFileAtShutdown]の値を1にする