DCOM機能の制限方法について
- DCOM機能の制限方法について考えています。レジストリ設定やローカルセキュリティポリシーのセキュリティオプションを変更することで制限を行うことができますが、設定には注意が必要です。
- エクスプローラやサービスの起動ができなくなる可能性があります。インターネット側やLAN内の他PCからのDCOM関係の要求は制限し、自PC内のエクスプローラやサービスは通常通り使用できるようにするためにはどのような設定が適切か悩んでいます。
- 現在の設定では、コンピュータアクセス制限とコンピュータ起動制限を行っていますが、さらに適した設定があれば教えていただきたいです。使用OSはWindows7ProfessionalSP1です。
- ベストアンサー
DCOM機能の制限をしたいです。
IE'erというプログラムを使って、IEやOfficeをリモートから起動させられたりパラメータを取得されたりする、という記事を読んで恐ろしいと思い、DCOMをぎりぎりまで制限したいと考えています。 そこでまずレジストリ設定で"EnableDCOM"をNに変更したのですが、他にもローカルセキュリティポリシーのセキュリティオプション内にもDCOMの制限が出来る設定があり、ここでも出来る限りの制限を設けたいと思っています。 …が、Microsoftのページではエクスプローラやサービスが起動しなくなる恐れがあると記載されており、実際適当に拒否にチェックを入れていくとExplorer.exeが起動不能に陥ってしまいます。 インターネット側から、またLAN内の他PCからのDCOM関係の要求は全て制限しつつ、自PC内のエクスプローラやサービスは通常通り使用できるようにするにはどう設定を組み合わせればよいでしょうか?ルータとPFWで135番へのインバウンド接続はシャットアウトしていますが、心配なのでOS側でも適切に遮断したいと考えています。自PCの用途はネットサーフィンとメール程度で、リモートアクセスやNASへのアクセス、サーバーの運用は考えていません。使用OSはWindows7ProfessionalSP1です。 とりあえず自分なりに設定してみた感じだと、 ・コンピュータアクセス制限 ローカルアクセス|リモートアクセス Everyone 許可|拒否 Performance Log Users 拒否|拒否 Distributed COM Users 拒否|拒否 ANONYMOUS LOGON 拒否|拒否 ・コンピュータ起動制限 ローカルからの起動|リモートからの起動|ローカルからのアクティブ化|リモートからのアクティブ化 Everyone 許可|拒否|許可|拒否 Administrators 許可|許可|許可|許可 Performance Log Users 拒否|拒否|拒否|拒否 Distributed COM Users 拒否|拒否|拒否|拒否 こんなところですが、設定に不備があったり、もっと適した設定があれば指摘していただきたいです。 よろしくお願いします。
- xdfsa11a
- お礼率99% (1021/1023)
- ネットワーク
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
個人的には、ある程度一般的に「止めても良い」とされるDCOM機能をストップさせて、あとはファイアーウォールソフトを導入して、「このソフトの通信を認める・認めない」を指定すればいいと思っています。 ただし、最近のスパイウエアなどは、通常、通信が認められるはずのアプリを乗っ取ったりするので、これで万全とはいえませんがね。 私の場合は、攻撃側の高度に洗練された手法を雑誌やセキュリティのセミナーで知ると、もう「Windowsを使う限り、完璧な防御は無理!」と考えています。 なので、「ちょっと変かな?やられたかな?」と思えたときに、初めの状態(OSとよく使うアプリをインストールしてメールなどの設定完了状態)に戻せるように、その時点でのハードディスクのCドライブのイメージをバックアップして、数ヶ月とか半年ごとに、その状態に戻しています。(メールやマイドキュメントなどはDドライブ以降に割り当ててあります)
関連するQ&A
- Windows7のフォルダアクセス制限について
WindowsXPを使ってた時は、管理者用のフォルダ(たとえばWindowsフォルダやマイドキュメントなど)を管理者以外のアカウントからアクセスできないようにエクスプローラ上で設定してたはずなのですが、Windows7ではどこで設定できるのでしょうか? エクスプローラ上のフォルダ→プロパティ→「セキュリティー」タブを開くと、 「グループ名またはユーザー名」の欄に、Everyone と自分(管理者)のアカウントがあったので、Everyoneのところを選んで、アクセス許可/拒否のところを色々いじってみたのですが、自分もアクセスできなくなったりで、なんだかうまくいきません。設定するところも色々あり、何をどう設定すれば良いのやら・・ 自分(管理者)以外のアカウントからフォルダへの制限をかける方法を教えて下さい。。 OS:Windows7 Pro
- 締切済み
- その他([技術者向] コンピューター)
- 外付けHDDのアクセス制限を元に戻すには?
OS:Vista Home Premium ユーザーアカウントはは自分だけです。 自分の外付けHDDにアクセス制限をかけようと思い、 マイコンピュータ→HD-CNU2(F:)(外付けHDD)→右クリックでプロパティを選択→セキュリティタブを選択→Everyoneのアクセスを全て拒否 したところ、HDD内のフォルダ、ファイルにアクセスできなくなってしまいました。。 なんとか元に戻そう(Everyoneのアクセスを全て許可(フルコントロール)にしよう)と試み、セキュリティタブからオブジェクトの所有権を取得して、Everyoneのアクセスを全て許可(フルコントロール欄にチェック)しました。 しかし、その後OKを押してもHDDを開いた直後にあるフォルダ以下のサブフォルダ、ファイルには セキュリティ情報を適用中にエラーが発生しました。 F:\****\****\*** アクセスが拒否されました。 とメッセージが出てアクセスできない状況です。 外付けHDDのセキュリティの詳細設定にあるアクセス許可エントリのEveryoneにおける適用先には最初からですが、「このフォルダ、サブファイルおよびファイル」になっているのでどうも腑に落ちません。。 HDD内の全てのファイルにアクセスできるようにするにはどうしたらいいでしょうか? 自分のミスで大変申し訳ありませんが皆様のお力をお借りしたいです。よろしくお願いいたします。
- ベストアンサー
- その他(パソコン)
- 2000serverファイル共有でのアクセス制限について
今まではアクセス制限の必要がなかったため、ユーザ名はeveryoneで通していました。 この度制限する必要があり、新しいアカウントを作り、"共有"の中の アクセス許可と、セキュリティタブ内にそれぞれそのアカウントを入れ、 これでOK!と思っていたら、制限どころかパスワードすら聞いてくれず、 アクセス許可がありません!と出ます。。 他の非制限フォルダには全く問題なく入れるのですが‥。 もうかれこれ半日やってます。。参考になるURLでも構いませんので、 どなたかお教え頂けませんでしょうか‥。 よろしくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- ディスクへのアクセス許可をすべて「拒否」にしてしまった!時の対処は?
まったくバカなことをしてしまいました。 増設したハードディスクへのアクセスを一部のユーザーから制限しようとして/ローカルディスクのプロパティ/セキュリティ/からEveryoneのアクセス許可をすべて「拒否」に設定してしまいました。当然このディスクへのアクセスが拒否されるようになりました。 OSはwindows2000sp4です。 その後このディスクに対して、/ローカルディスクのプロパティ/セキュリティ/詳細/から「すべての子オブジェクトのアクセス許可を元に戻し、継承可能なアクセス許可を継承できるようにする」を実行したところエクスプローラーでディスクを開いて中のフォルダやファイルを見ることができるようになりました。しかしそれら自体はアクセス拒否されるため、上記と同様の方法で各フォルダごとに「すべての子オブジェクトのアクセス許可を元に戻し、継承可能なアクセス許可を継承できるようにする」を実行することで一部のファイルはアクセスできるようになりました。ただ今もほとんどのファイルがアクセス拒否されて開くことができません。 なにか元どおりに回復させる方法があればお知らせください。よろしくお願い申し上げます。
- ベストアンサー
- Windows系OS
- ファイル共有のユーザー数制限
XPで、LANを構築し、バックアップ用のPCを用意しました。そのPCで、共有用のフォルダ作成し、プロパティーで、「このフォルダを共有する」にチェックし 「ユーザー数制限」で「無制限」にチェックを付けましたが、10人以上がアクセスすると、アクセスを拒否されます。また、「許可するユーザー数」にチェックを付け、20人を指定しましたが、10人でアクセスが拒否されます。他にどこか設定しなければならないのですか?
- 締切済み
- SE・インフラ・Webエンジニア
- レジストリのリモートアクセス
いつもお世話になっています。 只今、レジストリのリモートアクセスを行う方法について調査を行っているのですが、行き詰まってしまった為、どなたかアドバイスをして頂けたらなと思います。 http://support.microsoft.com/kb/314837/ja 上記のページを見て、リモートアクセスを行うには、2通りの方法があると解釈しました。 (1)下記のレジストリキーのアクセス許可を変更(Everyoneを追加?) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg (2)下記のレジストリに許可するレジストリのパス文字列を追加 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\ Winreg\AllowedPaths\Machine (1)では全ての値を参照可能にし、(2)では設定されているパスのみを参照可能にすると解釈して、(2)の方法で試してみました。 リモートアクセス先がWindows2000の場合は(2)の方法で期待した通り、レジストリの参照が行えたのですが、リモートアクセス先がWindowsXPの場合、(2)の方法では、アクセス許可が無いといったようなエラーとなってしまいました。 (1)の方法で設定した場合は、XPが対象でもアクセスすることが、出来たのですが、出来れば(2)のように指定したレジストリのみ、またはアクセス許可をEveryoneでなく、決まったユーザとしたいのですが、Everyon以外にどのユーザ(オブジェクト)を指定すれば良いのかがわかりません。 または、上記以外にレジストリのリモートアクセスする術がありましたらアドバイスして頂けないでしょうか? 御教授のほどよろしくお願いします。
- 締切済み
- Windows系OS
- ユーザー数制限とアクセス許可について
共有のことについてあまり詳しくないので初歩的な質問をさせていただきます。 ユーザー数制限とアクセス許可はどう違うのでしょうか?たとえば、ユーザー数制限で制限数を10にしてもアクセス許可で11人以上のアカウントへそのフォルダに対してアクセスできるように設定ができるというのはどうしてなのかがわかりません。 見識のある方ご教授ください。よろしくお願いします。
- ベストアンサー
- Windows XP
- TeraStationのアクセス制限ができない?
初めまして。 TeraStationを長く利用しているのですが、アクセス制限をかける必要が出てきまして、設定しましたら、 「 アクセス許可がない 」 というエラーが出てアクセスさせてくれません。 構成は、 'TeraStation (Hd-htglde8)' の share 'TeraStation (Hd-htglde8)' の share2 とRAID1×2にしています。 TeraStationの名称 HD-HTGLDE8 TeraStationの説明 TeraStation ファームウェアバージョン 2.13 IPアドレス 192.168.1.25 HDD状態 RAIDアレイ1 30.0 GB / 232.1 GB (12.9 %) RAIDアレイ2 109.8 GB / 232.1 GB (47.3 %) ウェブの管理画面から、share2にアクセス制限をかけ、アクセスできるユーザを設定しまして、アクセス制限を許可しているwindowsアカウントでアクセスすると、ルートにあるフォルダやファイルは表示されますが、いざフォルダにアクセスするとアクセス許可エラーになります。 share2にだけアクセス制限を設定してもshareの中のフォルダまでアクセスできなくなりますし、share2の中でも、アクセスできるフォルダと出来ないフォルダがあり、安定していない感じです。 アクセス制限を許可していないwindowsアカウントでは、 share,share2ともにアクセスできないので、 アクセス制限の動作はしているのですが、 正しく動作しません。 PC,TeraStationとも再起動しても結果は同じでした。 TeraStationのユーザとパスワードは WindowsXP Proで設定しているものと同一です。 もうずっと(一年くらい)悩んでいます。 ヒントがございましたら、ぜひいただければ 幸甚です。
- ベストアンサー
- その他(PCパーツ・周辺機器)
- BUFFALO アクセス制限について
BUFFALO社製 LS-WXL105を使用してアクセス制限設定を行っているのですが ルーター(NTT Web CasterV110)設定などを行いWeb上で遠方からデータを 確認できるようになったのですがアクセス制限をかけるとLAN接続されている PCからアクセス制限をかけたフォルダーを開こうとすると \\Ls-wxl105\taroにアクセスできません。このネットワークリソースを使用するアクセス許可が ない可能性があります。アクセス許可があるかどうかこのサーバー管理者に問い合わせてください。 アクセスが拒否されました。 以上のエラーメッセージがでます。 webアクセス設定内容 taro(フォルダー) ディスク領域(RAIDアレイ) 属性(書込可能) アクセス制限(レ)チェック入 Webアクセス(登録グループ/ユーザのみ) 対象PCユーザーアカウント hana パスワード 1234 ユーザー/グループ設定は上記ユーザーアカウント、パスワードで設定しました。 共有フォルダー設定 アクセス制限(レ)チェック入 hana 権限 書込可能 以上が現状の設定です。 原因になるような設定わかりますでしょうか? 質問が2つになりますがWeb上からhanaでログインしても フォルダー内にあるEXCELデーターの変更を行おうとしても 出来ません。これも上記設定不足によるせいでしょうか? Web確認はInternet Explorer8を使用しております。 以上内容で不足していることが有りましたら補足致しますため 宜しくお願いいたします。
- ベストアンサー
- その他(PCパーツ・周辺機器)
- ローカルディスクのセキュリティ設定の変更
Windows Vistaのローカルディスクのセキュリティ設定についてなのですが、先日誤ってローカルディスクのアクセス許可を、読み取りだけにしてしまいました。なので、管理者なのに自動更新の設定や、ユーザーアカウントの設定ができなくなってしまい、困っています。しかもそれを変更しようとしても「アクセス制限エディタを開けません。アクセスが拒否されました」と出てしまいます。 その誤った設定の経緯を詳しく書くと、プロパティ→セキュリティ→編集→「変更」等のアクセス許可のチェックを外す→適用 となります。 どなたかコンピューターに詳しい方、解決策をご指南いただけないでしょうか? よろしくお願いします。
- ベストアンサー
- Windows Vista
お礼
回答ありがとうございます。セキュリティーのセミナー、機会を見つけて行ってみたいと思います。 ファイアウォールソフトは現在KasperskyからComodoに乗り換えてちょこちょこ弄くってます。プロセス毎の許可・拒否の学習設定はテンプレートがあると助かるのですが、試行錯誤していくしかないみたいです。 ただlv4uさんの言われるように、ちゃんと学習させていても信頼しているプロセスに注入されるとダメみたいですね。ほとんど使われないプロセスに乗り移ってから、よりよく使われるプロセス(IEとか)に乗り移るものがあるとか。しかも出回る前にきちんと検出されないか検証したり、自身をアップデートするプログラムも入れておくなど、すごいなと感心してしまいます。 ある程度インストールや設定を済ませてあるバックアップは私も取っているのですが、なんというか、あまりにリカバリを掛ける間隔が短いので参っている次第です。SELinuxは設定次第では要塞になるとも言われているみたいですし、ディストリビューションを決め打ちして、セキュリティ設定を狙って書いている書籍やウェブを参考に一個一個穴を塞いでいくのがよいのかもしれませんね... 話がずれましたが、Linuxの話は別で質問を立てるとして、DCOMの話はある程度の目途がつくまで質問を受け付けたいと思います。一般的に止めても良いとされるDCOM機能が何なのか、それと原則止めてはいけないDCOM機能は何なのか、その辺のことを伺いたいです。(自分でも調べていきますが)よろしくお願いします。