Windows XPシステムに付属の "ローカルセキュリティポリシー"は非常に優れたシステムセキュリティ管理ツールです。まず、「ローカルセキュリティポリシー」の始め方について話しましょう。 [コントロールパネル]、[管理ツール]、[ローカルセキュリティポリシー]の順にクリックすると、ローカルセキュリティポリシーのメインインターフェイスに移動します。メニューバーのコマンドでさまざまなセキュリティポリシーを設定したり、表示モード、エクスポートリスト、インポートポリシーを選択したりできます。次に、「ローカルセキュリティ戦略」の魔法を探りましょう。列挙型アカウントを禁止するハッキングのあるワームの中には、Windows 2000 /XPシステムの指定ポートをスキャンしてから、共有セッションを通じて管理者システムのパスワードを推測する可能性があることを知っています。そのため、ローカルセキュリティポリシーでアカウントの列挙を禁止することで、このような侵入を防ぐ必要があります:ローカルセキュリティポリシーの左側にある[セキュリティ設定]ディレクトリツリーで、レイヤーを1層ずつ展開します。ローカルポリシーセキュリティオプション。右側の関連ポリシーの一覧を表示し、[ネットワークアクセス:SAMアカウントと共有の匿名列挙を許可しない](図1)を見つけて右クリックし、ポップアップメニューの[プロパティ]を選択してポップアップメニューを表示します。ダイアログボックスで、ここで[有効]オプションを有効にし、最後に[適用]ボタンをクリックして設定を有効にします。アカウント管理侵入者がこの脆弱性を悪用してマシンにログインするのを防ぐために、システム管理者アカウントの名前を設定し、guestアカウントを無効にする必要があります。設定方法は次のとおりです。「ローカルポリシー」、「セキュリティオプション」の順に選択し、「アカウント:ゲストアカウントの状態」ポリシーを探し、ポップアップメニューの「プロパティ」をクリックして、ポップアップのプロパティダイアログボックスでステータスを「はい」に設定します。終了するには「無効にして、最後に「OK」をクリックします。次に、「アカウント:システム管理者アカウント名の変更」ポリシーを見て、そのプロパティダイアログボックスを呼び出し、テキストボックス内のアカウント名をカスタマイズしましょう(図2)。ローカルユーザー権限の割り当てシステム管理者は、グループアカウントまたは単一のユーザーアカウントに特定の権限を割り当てることができます。 [セキュリティの設定]で、[ローカルポリシー]、[ユーザー権利の割り当て]の順に選択し、右側の[設定]ビューで、その下にある各ポリシーのセキュリティ設定を行うことができます(図3)。たとえば、レジストリキー、プロセスとスレッド、NTFSファイルとフォルダオブジェクトなど、システム内の使用可能なオブジェクトの所有権をユーザーに許可する場合(このポリシーの既定の設定は管理者のみです)。まず、リストの中に「ファイルや他のオブジェクトの所有権を取得する」というポリシーがあるはずです。マウスで右クリックし、ポップアップメニューで「プロパティ」を選択し、ここで「ユーザーまたはグループの追加」ボタンをクリックしてください。そして動作を確認してください。 IPポリシーの使用どの種類のハッキングプログラムでも、ほとんどの場合、ポートをチャネルとして使用します。したがって、侵入チャネルになる可能性があるポートを閉じる必要があります。関連する危険なポート情報をオンラインで確認して準備できます。 Telnetで使用されているポート23の例を見てみましょう(作成者のオペレーティングシステムはWindows XPです)。最初にボックスの中の "Run"をクリックして "mmc"とタイプしEnterキーを押すとコンソールウィンドウが表示されます。 [ファイル]、[スナップインの追加と削除]、[個別のタブバーの[追加]の順にクリックします。[IPセキュリティポリシーの管理]を選択し、最後にプロンプトに従います。このとき、「コンソールルートノード」に「ローカルコンピュータ上のIPセキュリティポリシー」(以下「IPセキュリティポリシー」と呼びます)を追加しました(図4)。今すぐ新しい管理ルールを作成するために、「IPセキュリティポリシー」をダブルクリックします。 [IPセキュリティポリシー]を右クリックし、表示されるショートカットメニューから[IPセキュリティポリシーの作成]を選択して、[IPセキュリティポリシーウィザード]を開き、[次へ]をクリックします。注:[次へ]をクリックするときは、[属性の編集]が選択されていることを確認してから[完了]をクリックし、[新しいIPセキュリティポリシーの属性]ウィンドウを表示します(図5)。 [追加]をクリックし、[追加ウィザードを使用]オプションを選択せずに[次へ]をクリックします。アドレス指定フィールドの送信元アドレスは「任意のIPアドレス」、宛先アドレスは「自分のIPアドレス」にする必要があります(ミラーを選択する必要はありません)。 [プロトコル]タブで、種類がTCPになっていることを確認し、任意のポートからこのポート23にIPプロトコルポートを設定して、最後に[OK]をクリックします。このとき、[IPフィルタ一覧]に[新しいIPフィルタ]が表示されますので、それを選択して[フィルタ操作]タブバーに切り替え、[追加]、[名前はデフォルトの[新しいフィルタ操作]]を選択します。 「ブロック」「完了」を追加します。具体的な方法は、「新しいIPセキュリティポリシー」を右クリックして、作成したばかりの戦略を「割り当てる」を選択することです。さて、別のコンピュータから強化されたコンピュータにtelnet接続すると、システムはログイン失敗を報告し、スキャンツールでマシンをスキャンすると、ポート23がまだサービスを提供していることがわかります。同様に、他の疑わしいポートをブロックして、招かれていないゲストに「良くない」と叫ぶことができます。パスワードセキュリティを強化する[セキュリティ設定]で、まず右側の設定ビューで[アカウントポリシー]、[パスワードポリシー]の順に選択して、システムパスワードが比較的安全でクラックしにくいように適切な設定を行うことができます。ハッキング防止の重要な手段はパスワードを定期的に更新することですこれに応じて次の設定をすることができます:「最大パスワード保持期間」を右クリック、ポップアップメニューの「プロパティ」を選択、ポップアップダイアログボックスパスワードを使用できる期間を定義します(1〜999の範囲内)。さらに、[ローカルセキュリティ設定]を使用して、[オブジェクトアクセスの監査]を設定して、ユーザーアカウント、ログイン試行、システムのシャットダウンまたは再起動などのファイルやその他のオブジェクトへのアクセスイベントを追跡できます。このようなセキュリティ設定は同じではありません。実用的なアプリケーションでは、人々は徐々に "ローカルセキュリティ設定"が確かに不可欠なシステムセキュリティツールであることを見つけるでしょう。