不正アクセスの対策方法とは?

前へ 次へ
このQ&Aのポイント
  • パソコンのセキュリティポリシーに不審な項目があります。不正アクセスの対策方法を教えてください。
  • 監査ポリシーやユーザー権の割り当てに異常があります。不正アクセス対策について教えてください。
  • セキュリティオプションに問題があります。不正アクセスへの対策方法を教えてください。
回答を見る
  • ベストアンサー

不正アクセス?

不正アクセス? 不審な点があり、ローカルセキュリティポリシーXP Proも見たところ、規定値と違う項目があります。 パソコンは一台で、日常的使用者です。購入当初からセキュリティソフトは入っており、家庭内のみで、一人で使用しています。 対策をお教えいただければと思います。 1.監査ポリシー アカウント ログオン イベントの監査--既定値: 成功→成功・失敗ともチェックなし アカウント管理の監査---既定値: 成功 (ドメイン コントローラの場合) 監査しない (メンバ サーバーの場合)→成功・失敗ともチェックなし システム イベントの監査---既定値: 成功 (ドメイン コントローラの場合) 監査しない (メンバ サーバーの場合)→成功・失敗ともチェックなし ログオン イベントの監査---既定値: 成功→成功・失敗ともチェックなし 2.ユーザー権の割り当て        グローバルオブジェクトの作成---規定値設定なし→Administrators, INTRACTIVE, SERVICE コンピュータとユーザー アカウントに委任時の信頼を付与---既定値: ドメイン コントローラ上の Administrators→なし サービスとしてログオン---既定値: なし→NETWORK SERVICE, *x-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx システム パフォーマンスのプロファイル---既定値: Administrators,Local System→Administrators セキュリティ監査の生成---既定値: Local System→LOCAL SERVICE,NETWORK SERVICE ターミナル サービスを使ったログオンを拒否する---既定値: なし→*x-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx トークン オブジェクトの作成---既定値: Local System→なし ドッキング ステーションからコンピュータを削除---既定値: 無効→Administrators,Users,Power Users ドメインにワークステーションを追加---既定値: Authenticated Users (ドメイン コントローラ)→なし ネットワーク経由でコンピュータへアクセス---既定値:ワークステーションとサーバー: Administrators,Backup Operators,Power Users,Users,Everyone→*x-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx 以外は規定値:ワークステーションとサーバーと同一 ネットワーク経由でコンピュータへアクセスを拒否する---既定値: なし→Guests,SUPPORT_xxxxxxxx バッチ ジョブとしてログオン---既定値: Local System →SUPPORT_xxxxxxxx,*x-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx,Administrator ファームウェアの環境値の修正---既定値: Administrators,Local System→Administrators プログラムのデバッグ---既定値: Administrators,Local System→Administrators プロセスのメモリ クォータの増加---既定値: Administrators→Administrators,LOCAL SERVICE, NETWORK SERVICE ローカルでログオンを拒否する---既定値: なし→Guest,SUPPORT_xxxxxxxx,*x-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx 永続的共有オブジェクトの作成---既定値: Local System→なし 単一プロセスのプロファイル---既定値: Administrators,Power users,Local System→Administrators,Power users 認証後にクライアントを偽装---規定値表示なし→*x-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx,Administrators,SERVICE 3.セキュリティオプション ネットワーク アクセス: 匿名でアクセスできる名前付きパイプ---既定値: なし→COMNAP COMNODE SQL\QUERY SPOOLSS LLSRPC browser

質問者が選んだベストアンサー

  • ベストアンサー
  • Lchan0211
  • ベストアンサー率64% (239/371)
回答No.3

あなたが何に困っていて何がしたいのか書いてないので、 補足に書かれた質問の意図もよくわからないのですが、 最初の質問に書かれてある設定状況を見る限り、特に不正アクセス されたような形跡を示す不審な点はないです。 漠然とした不安を持っていて、ローカルセキュリティポリシーの 設定を初期状態に戻したいのであれば、OS再インストールや OSリカバリをして初期化するのが最もリスクが少ないよい方法だと 思います。 「システムの復元」を使用するのはローカルセキュリティポリシー以外の 他の設定を中途半端に復元する可能性がありますので、お勧めしません。

100302
質問者

お礼

ご提案のようにさせていただきます。 ありがとうございました。

その他の回答 (2)

  • Lchan0211
  • ベストアンサー率64% (239/371)
回答No.2

最初から設定されている値と現在設定されている値が違っていても 一概に不正アクセスによるものとは言えません。 使用しているアプリやセキュリティソフトがローカルセキュリティポリシーの 設定を変更することはあります。

100302
質問者

補足

(1)最初から設定されている値をどこかで照会できても、 (3.セキュリティオプションで掲示できなっかた項目があります) 値の変更が難しいと思われる項目はどちらでしょうか。 (2)個別変更が難しい場合、システムの復元でしょうか。 よりリスクの低い方法はありますか。   (3)使用しているアプリやセキュリティソフトがローカルセキュリティポリシーの 設定を変更するという場合は、(1)のケースとどのような点で違いますか。 よろしくお願いします。

  • Lchan0211
  • ベストアンサー率64% (239/371)
回答No.1

何を質問したいのかよくわかりません。 ロールセキュリティポリシーの各項目で、 「既定値」と説明されている値と 実際に設定されている値が異なるのは 問題ないか? という質問であれば、何も問題ありません。 WindowsXPのローカルセキュリティポリシーには、 質問に掲示されているような値が最初から設定されています。 「既定値」とは、何も値が設定されていない場合に、 その項目の値をどう扱うかを定義したものであり、 実際に設定されている値と異なるのは普通です。

100302
質問者

補足

ご回答ありがとうございます。 最初から設定されている値が掲示した実際に設定されている値と違う項目があれば、 不正アクセスによるものかと思ったのですが、いかがでしょうか。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 夫が私の不在中に私のパソコンを触った形跡があるのですが

    XPのセキュリティログを見てみたら、ダンナが私の不在中に私のパソコンに触った形跡がありました。 たくさんのログがありましたが、主なものは以下のとおりです。 (日付や時刻は適当ですが、ダンナによると思われるログは2分間だけでした) 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 850 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 849 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 848 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 615 NETWORK SERVISE 成功の監査 2008/3/15 15:47:30 Security ログオン/ログオフ 540 ANONYMOUS LOGON 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 806 SYSTEM 失敗の監査 2008/3/15 15:47:30 Security ログオン/ログオフ 529 SYSTEM 失敗の監査 2008/3/15 15:47:30 Security アカウントログオン 680 SYSTEM 成功の監査 2008/3/15 15:47:30 Security システムイベント 515 SYSTEM 成功の監査 2008/3/15 15:46:30 Security 特権の使用 576 LOCAL SERVISE 成功の監査 2008/3/15 15:46:30 Security ログオン/ログオフ 528 LOCAL SERVISE 成功の監査 2008/3/15 15:46:30 Security 特権の使用 576 NETWORK SERVISE 成功の監査 2008/3/15 15:46:00 Security ログオン/ログオフ 528 NETWORK SERVISE 成功の監査 2008/3/15 15:45:30 Security システムイベント 518 SYSTEM 成功の監査 2008/3/15 15:45:30 Security システムイベント 515 SYSTEM 成功の監査 2008/3/15 15:45:30 Security システムイベント 514 SYSTEM 私はパソコンは素人ですが、ダンナが何をしたのか知りたくて、 gooのQ&Aの過去ログを参考に、以下のページで調べてみました。 http://support.microsoft.com/kb/299475/ja その結果、 アカウントログオンが失敗となっているので、ログオンできなかったことはわかりました。 また、過去ログによると、ユーザー欄がNETWORK SERVICEやLOCAL SERVICEとなっているログや、 「新しいログオンへの特権の割り当て」というログは、特に怪しいものではないらしいですね。 以上のことから、この2点について教えてください。 (1)ANONYMOUS LOGON なるものが成功しています。これは何でしょうか? (2)結局、ダンナは私のパソコンで何をしようとした(何をやった)のでしょうか? なお、私のパソコンはXP home sp2ですが、私のアカウントをAdministratorにして、ログオンパスワードを設定しています。 guestアカウントはOFFにしています。 よろしくお願いします。 ちなみに、どうでもいいですがダンナとは仲は良いです。

  • 共有フォルダのアクセス権

    ファイルサーバーにアクセスできるユーザーを指定した共有フォルダがあります。 そのフォルダに、ドメイン参加済みのPCにローカルユーザとしてログインしてアクセスさせたいのですがうまくいきません。 詳細は以下の通りです。 ■共有フォルダの設定■ ・アクセス制御をするため、アクセスできるドメインユーザを指定 ■ローカルPCの情報■ ・ローカルユーザーでログイン ・ドメイン参加済み ・ローカルユーザはローカルAdministratorsに追加 ・セグメントが異なります IPを指定して共有フォルダをドライブに割り当てする際に、ユーザー名とパスワードを聞かれる画面が表示されるので、ドメインユーザ名とパスワードを入力しますが拒否されます。 どなたかいい案ありませんでしょうか?

  • フォルダ共有出来ない

    教えてください。 ルータ経由でWin2000Serverに対して、フォルダ共有をしようとしていますがネットワークパスが見つかりません、といわれます。(net use x: \\XX.XX.XX.XX\共有名 /USER:XXXX password コマンドにて) IPアドレス指定でPing、Ftpは成功します。 また、別のネットワーク上にあるPCから同じコマンドラインでnet useを行うと成功することから、経路上のルーターでファイル共有サービスをアクセス拒否していると予想しておりますが、上記コマンドを通すためのポートNoは何番になるのでしょうか。

  • イベントビューアのセキュリティでの、匿名ログオンとポリシーの変更について。

    パソコン(Windows XP Home Edition)起動後、イベントビューアのセキュリティを見ると、気になる点があります。 匿名ログオンと、やたらとポリシーの変更があるんです。 1.匿名ログオンについて。 ANONYMOUS LOGONの成功の監査のプロパティには、 日付:xxxx/xx/xx ソース:Security 時刻:xx:xx:xx 分類:ログオン/ログオフ 種類:成功の監査 イベント ID:540 ユーザー:NT AUTHORITY\ANONYMOUS LOGON コンピュータ: xxx とあります。その下の説明(D):にも何かが書いてあります。 匿名ログオンは第三者にログオンされている可能性はあるのでしょうか。 パソコンを買ったばかりの時は匿名ログオンは無いと他の記事で読んだのですが… ユーザー名とパスワードは自動的に入れる設定にしてありません。 この匿名ログオンを禁止する方法はありますか? 2.やたらとポリシーの変更が多くあります。 数えてみたところ、パソコン起動後、毎回32個のポリシーの変更があります。 その中でも特に気になるのが、イベントID:850の項目5個です。 日付:xxxx/xx/xx ソース:Security 時刻:xx:xx:xx 分類:ポリシーの変更 種類:成功の監査 イベント ID:850 ユーザー:NT AUTHORITY\SYSTEM コンピュータ: xxx 説明: Windows ファイアウォールの開始時に、次のポートが例外として一覧表示されていました。 ※上記の成功の監査のプロパティに、下記の説明(D):がそれぞれあります。 ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: NetBIOS ネーム サービス ポート番号: 137 プロトコル: UDP 状態: 有効 スコープ: ローカル サブネットのみ ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: NetBIOS データグラム サービス ポート番号: 138 プロトコル: UDP 状態: 有効 スコープ: ローカル サブネットのみ ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: NetBIOS セッション サービス ポート番号: 139 プロトコル: TCP 状態: 有効 スコープ: ローカル サブネットのみ ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: SMB over TCP ポート番号: 445 プロトコル: TCP 状態: 有効 スコープ: ローカル サブネットのみ ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: リモート デスクトップ ポート番号: 3389 プロトコル: TCP 状態: 無効 スコープ: すべてのサブネット これはポートが開いてるということなのでしょうか? ポート137~139とポート445は閉じた方が良いと他の記事で読んだ事があるのですが… 開いているのなら、閉じる方法を詳しく教えてもらえませんでしょうか。 詳しい方いましたら、質問を締め切るまで宜しくお願い致します。

  • Windows2000サーバの各ユーザのアクセス権について

    最近、Windows2000 Server(IIS)の フォルダのアクセス権を追加する場面で、 以下のユーザー(コンピュータ・グループ?)がリストや欄に出てきましたが、いまいち使い分けがわかりません。 何に、どのようなアクセス権をほどこせばいいのか・・・、 それと、いくつかのユーザーへはアクセス権を放っておけばいいでしょうか? Administrator Administrators ASPNET Cert Publishers DHCP Administrators DHCP Users DnsAdmins DnsUpdateProxy コンピュータ名(例:Chocotan) Domain Computers Domain Controllers Domain Guests Domain Users Enterprise Admins Group Policy Creator Owners Guests DIALUP CREATOR OWNER CREATOR GROUP ENTERPRISE DOMAIN CONTROLLERS SERVICE SELF RESTRICTED PROXY IUSR_Chocotan IWAM_Chocotan krbtgt Everyone NETWORK RAS and IAS Servers Schema Admins TsInternetUser WINS Users Users Backup Operators Replicator Server Operators Account Operators Print Operators Pre-Windows 2000 Compatible Access ANONYMOUS LOGON Authenticated Users BATCH SYSTEM S-1-5-32-547 サーバの構築目的は、下のようなものです。 Web・Ftpサーバの運用。 Telnet、DNS、DHCPサーバのテスト運用。 家庭内LANの、他のPC1~2台(192.168.11.*)で、 構築サーバの接続の確認や、 ファイルの共有のテスト・勉強です。 とりあえず、わかったことは、 ・Administrators、SYSTEM → フルコントロール ・IUSR_Chocotan、IWAM_Chocotan → 読み取りと実行は必要? ・everyone → フルコントロールにはしてはいけない。 あと、AdministratorとAdministratorsの違いって何ですか? アクセス権なんて、構築環境によるだろうから、回答しづらいかもしれませんが、ざっくりでいいので使い分けでも教えて下さい。 言葉が足りなかったら補足します。よろしくお願いします。

  • Administrators設定時のエラー

    会社で使用するPC用にWindows2000Proを購入しました。 通常、仕事中はドメインに参加している環境にしようとしています。 その為、ドメインユーザーのアカウントにローカルのAdministrator権限を与ようと考えています。 『コントロールパネル→コンピュータの管理→システムツール→ローカルユーザーとグループ→グループ』と開いて行き、Administratorsにドメインユーザーを登録しようとしたのですが、アカウント選択後に【適用】ボタンを押すとAdministratorsの中の一覧から表示が消えてしまいます。再度同じアカウントを追加使用とすると下のようなメッセージが出ます。 『グループAdministratorsのプロパティをコンピュータ××に保存しようとしたときに次のエラーが発生しました 指定されたアカウント名は既にローカルグループのメンバです。』 一覧に載っていない為、アカウントを削除する事もできません。 原因や対処方法についてアドバイスをお願い致します。

  • ファイルサーバー上のファイル操作における監査

    マイクロソフトから提供された文書”ファイルサーバー上のファイル操作における監査”にしたがって監査ポリシーと監査エントリの設定をしてみたのですがID540のイベントログを見てもネットワークアドレスが記録されていません。何かこの文書に書かれていない設定があるのでしょうか。 (例) ネットワーク ログオンの成功: ユーザー名: dswing ドメイン: KOJIMA-C ログオン ID: (0x0,0x2C8F484) ログオンの種類: 3 ログオン プロセス: Kerberos 認証パッケージ: Kerberos ワークステーション名:

  • ファイルサーバーのアクセス許可

    Windows2003Serverをファイルサーバとして利用していますが、各ユーザ専用のフォルダを作成することができません。 誰でも、そのフォルダ内を読み込み・書き込みができてしまっています。 【実施したこと】 フォルダAを1つ作成し、その下に各ユーザごとのフォルダを作成しています。 フォルダAの共有のアクセス許可は、ローカールのAdministratorsと、Everyoneとしています。(読み込み・書き込み可) その中の各ユーザフォルダのセキュリティは、 ・ローカルAdministrators ・CREATOR OWNER ・SYSTEM ・ローカルUsers ・各ユーザ自身 の登録としています。 この設定で、問題があるとすれば、どこでしょうか? ご存知の方いらっしゃいましたら、ご教示いただければと思います。

  • アクセス権に付きまして

    お世話になります。 ServerAの階層と権限が以下の様になっております。 OS:Windows 2003 Server 階層:ServerA\D$\Dir1\Dir2\Dir3 共有:Dir1 Dir1:Everyone権限なし,Domain\User1権限なし Dir2:Everyone権限あり,Domain\User1権限なし Dir3:Everyone権限あり,Domain\User1権限なし ※ServerAはドメイン"Domain"上にあります。 Dir3の権限が上記の時下記コマンドでネットワーク接続が出来ましたが、 権限"Dir3:Everyone権限なし,Domain\User1権限あり"の時、接続できません。 net use X: \\ServerA\Dir1\Dir2\Dir3 Pass /user:Domain\User1 これを実現する為には、Dir3はどの様な設定が必要でしょうか。 ただし、Dir3にEveryone権限を設定することが出来ません。 簡単に申しますと、Dir2とDir3のアクセス権が違う状態で、パス\\ServerA\Dir1\Dir2\Dir3に対して参照を行いたいのです。 説明が大変下手で申し訳御座いません。 この状態から推測されご教授頂けたらと存じます。 不明な点も多々あると存じますので、ご指摘頂けましたら補足させていただきます。 以上お手数をお掛け致しますが、宜しくお願いいたします。

  • コンピュータアカウントをドメインからワークグループに変更したらログオンできなくなった

    Windows 2000 Proを使用しています。 以前はコンピュータアカウントもドメイン、ユーザーアカウントもドメインでパソコンを使用していました。 自分のドメインユーザーアカウントをローカルのAdministratorsグループに追加していたので、元からあったローカルユーザーのAdministratorを削除していました。 この状態で、コンピュータ名等を変更するためにコンピュータアカウントをドメインからワークグループにしたら、再起動後にログオンできなくなってしまいました。(「ドメイン名\ユーザー名」でログオンできると勘違いしてました) どうかこのアホにログオンできるようにする方法を教えて下さい。よろしくお願いします。 ※コンピュータアカウントをドメインからワークグループに変更するとき、Administratorsグループにローカルユーザーアカウントがないかをチェックする仕組みを搭載して欲しかった・・・。>マイクロソフト

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する