Windows XPに付属の "ローカルセキュリティポリシー"は、非常に優れたシステムセキュリティ管理ツールです。
まず、我々は、それを開始する方法を見ていき、「ローカルセキュリティポリシー。」 [コントロールパネル]、[管理ツール]、[ローカルセキュリティポリシー]の順にクリックすると、ローカルセキュリティポリシーのメインインターフェイスに移動します。メニューバーのコマンドでさまざまなセキュリティポリシーを設定したり、表示モード、エクスポートリスト、インポートポリシーを選択したりできます。
次は魔法のような「ローカルセキュリティポリシー」を探ります。アカウントの列挙を禁止するハッキングのあるワームの中には、Windows 2000 /XPシステムの指定されたポートをスキャンしてから、共有セッションを通じて管理者システムのパスワードを推測することができることを知っています。次のようにそのため、我々はこれらの侵入をアカウントの列挙に「ローカルセキュリティポリシー」を設定することで無効に必要なので、レジストの手順は以下のとおりです。「ローカルで
で
セキュリティポリシーの左側にある[セキュリティ設定]ディレクトリツリーで、[ローカルポリシー]、[セキュリティオプション]の順に展開します。右側の関連ポリシーの一覧を表示し、[ネットワークアクセス:SAMアカウントと共有の匿名列挙を許可しない](図1)を見つけて右クリックし、ポップアップメニューの[プロパティ]を選択してポップアップメニューを表示します。ダイアログボックスで、ここで[有効]オプションを有効にし、最後に[適用]ボタンをクリックして設定を有効にします。アカウント管理侵入者がこの脆弱性を悪用してマシンにログインするのを防ぐために、ここでシステム管理者アカウントの名前を設定し、guestアカウントを無効にする必要があります。設定方法は次のとおりです。「ローカルポリシー」、「セキュリティオプション」の順に選択し、「アカウント:ゲストアカウントの状態」ポリシーを探し、ポップアップメニューの「プロパティ」をクリックして、ポップアップのプロパティダイアログボックスでステータスを「はい」に設定します。終了するには「無効にして、最後に「OK」をクリックします。次に、[アカウント:システム管理者アカウント名の変更]ポリシーを確認し、そのプロパティダイアログボックスを表示して、テキストボックスでアカウント名をカスタマイズします(図2)。ローカルユーザー権限の割り当てシステム管理者は、グループアカウントまたは単一のユーザーアカウントに特定の権限を割り当てることができます。 [セキュリティの設定]で、[ローカルポリシー]、[ユーザー権利の割り当て]の順に選択し、右側の[設定]ビューで、その下にある各ポリシーのセキュリティ設定を行うことができます(図3)。
たとえば、ユーザーがシステム内で使用可能なオブジェクト(レジストリキー、プロセスとスレッド、NTFSファイルとフォルダオブジェクトなど)の所有権を取得できるようにする場合(このポリシーのデフォルト設定は管理者のみです)。まず、リストの中に「ファイルや他のオブジェクトの所有権を取得する」というポリシーがあるはずです。マウスで右クリックし、ポップアップメニューで「プロパティ」を選択し、ここで「ユーザーまたはグループの追加」ボタンをクリックしてください。そして動作を確認してください。 IPストラテジーの使用どのような種類のハッキングプログラムであっても、それらのほとんどはチャンネルとしてのポートを経由していることがわかっています。
したがって、我々は侵略のチャネルになる可能性があり、これらのポートを閉じる必要があります。関連する危険なポート情報をオンラインで確認して準備できます。 Telnetで使用されているポート23の例を見てみましょう(作成者のオペレーティングシステムはWindows XPです)。
最初にボックス内の "Run"をクリックし、 "mmc"と入力してEnterキーを押すとコンソールウィンドウが表示されます。 [ファイル]、[スナップインの追加と削除]、[個別のタブバーの[追加]の順にクリックします。[IPセキュリティポリシーの管理]を選択し、最後にプロンプトに従います。このとき、「コンソールルートノード」に「ローカルコンピュータ上のIPセキュリティポリシー」(以下「IPセキュリティポリシー」と呼びます)を追加しました(図4)。今すぐ新しい管理ルールを作成するために、「IPセキュリティポリシー」をダブルクリックします。 [IPセキュリティポリシー]を右クリックし、表示されるショートカットメニューから[IPセキュリティポリシーの作成]を選択して、[IPセキュリティポリシーウィザード]を開き、[次へ]をクリックします。注:[次へ]をクリックするときは、[属性の編集]が選択されていることを確認してから[完了]をクリックし、[新しいIPセキュリティポリシーの属性]ウィンドウを表示します(図5)。 [追加]をクリックし、[追加ウィザードを使用]オプションを選択せずに[次へ]をクリックします。アドレスバーに
で
送信元アドレスは、ターゲットアドレスが「私のIPアドレスを」(画像を選択する必要はありません)を選択し、「任意のIPアドレス」を選択してください。 [プロトコル]タブで、種類がTCPになっていることを確認し、任意のポートからこのポート23にIPプロトコルポートを設定して、最後に[OK]をクリックします。このとき、[IPフィルタ一覧]に[新しいIPフィルタ]が表示されますので、それを選択して[フィルタ操作]タブバーに切り替え、[追加]、[名前はデフォルトの[新しいフィルタ操作]]を選択します。 「ブロック」「完了」を追加します。具体的な方法は、「新しいIPセキュリティポリシー」を右クリックして、作成したばかりの戦略を「割り当てる」を選択することです。さて、別のコンピュータから強化されたコンピュータにtelnet接続すると、システムはログイン失敗を報告し、スキャンツールでマシンをスキャンすると、ポート23がまだサービスを提供していることがわかります。同様に、他の疑わしいポートをブロックして、招かれていないゲストに「良くない」と叫ぶことができます。
パスワードセキュリティを強化する
[セキュリティの設定]で、最初に[アカウントポリシー]、[パスワードポリシー]の順に選択し、右側の設定ビューで、必要に応じて対応する設定を行います。私達のシステムパスワードを比較的安全にし、そしてクラックすることを困難にしなさい。ハッキング防止の重要な手段はパスワードを定期的に更新することですこれに応じて次の設定をすることができます:「最大パスワード保持期間」を右クリック、ポップアップメニューの「プロパティ」を選択、ポップアップダイアログボックスパスワードを使用できる期間を定義します(1〜999の範囲内)。さらに、[ローカルセキュリティ設定]を使用して、[オブジェクトアクセスの監査]を設定して、ユーザーアカウント、ログイン試行、システムのシャットダウンまたは再起動、およびファイルやその他のオブジェクトにアクセスするための同様のイベントを追跡できます。このようなセキュリティ設定は同じではありません。実用的なアプリケーションでは、人々は徐々に "ローカルセキュリティ設定"が確かに不可欠なシステムセキュリティツールであることを見つけるでしょう。