- ベストアンサー
WinNT4.0WSのセキュリティ
LANのセキュリティレベルについて一般的な見解が知りたくて質問します。 Win9xで構成されるTCP/IPのLANにファイルサーバーとしてWinNT4.0WSがおいてあります。WinNT4.0WSに共有フォルダを作成しパスワードをかけてアクセス制限していますが、これはどの程度安全なものなのでしょう?子供だまし程度でしょうか、それとも善良な注意をもって管理していたと堂々と申し開きできるものでしょうか。 ハッキングするほうのレベルと情報の重要度にもよると思いますが、組織内にどの程度のハッキング技術をもつ者がいたら危険にさらされているといえるでしょうか? 尚、質問の便宜上下記の前提をつけます。 ・サービスパック等のパッチは全くあてていない。 ・当該ネットワークはイントラネットとファイヤーウオールを経由して繋がっているが(NATあり)内部犯行に限定。またネットワーク上にモデム等はない。 ・パスワードは直接他人に知られない(メモ書等していない)。 以上よろしくお願い致します。
- LANLAN
- お礼率100% (4/4)
- ネットワーク
- 回答数4
- ありがとう数5
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
結論からいうと、管理しているうちに入らないです。 > Win9xで構成されるTCP/IPのLANにファイルサーバーとして > WinNT4.0WSがおいてあります。 95とかがあると暗号化パスワードが使用されない場合があるので ネットワークモニターをつかわれたらアウトかとおもいます。 (Swithcing Hubとか途中にあれば可能性は低減しますが...) あと例えば、Windows9xのログインパスワード、POPパスワードが一緒 だったりした場合も同様のリスクがあります。(POPはパスワードを暗号化していないです) APOP、SMTPAUTHなどの導入も検討する必要があります。 ・サービスパック等のパッチは全くあてていない。 サービスパックを当てた上で構成と運用しているサービスに応じて MicrosoftがだしているHotfixをあてる必要があります。 WEBブラウザやIIS等は結構任意のファイルが読めるようになるとかいう 瑕疵が結構あるのでパッチを当てていないと悪意のあるユーザまたは 管理者の攻撃にはたえられないです。 あと、行ったほうが良い作業としては (1)セキュリティポリシーを作る。 (2)サーバのソフト・ハードの構成情報一覧を作成する。 (3)(2)にかんするセキュリティ情報を複数の箇所から入手する。(www.sans.org, www.cert.org, www.microsoft.com等) (3)管理責任者の定例ミーティングで定期的に(3)の情報を報告する。 (4)セキュリティホールを塞ぐパッチは即時当てる。 (5)その他のパッチに付いては検証の上あてる。 といったところかとおもいます。
その他の回答 (3)
- h_hikita
- ベストアンサー率40% (104/257)
自分が管理者だったらと思うとめまいがしたもので、ちょっと突き放した 書き方をしました。m(_ _;m 体制を作るのは時間がかかるのですぐに出来る対応としては、 ・セキュリティパッチをあてる。 ・ログを採取する。定期的に監査する。 でしょうか... ミーティングでの瑕疵の報告と対処方法の決定、議事録の承認は 事故時の責任を分散するうえでは必須でしょう...
お礼
・セキュリティパッチをあてる。 ・ログを採取する。定期的に監査する。 あと ・ユーザのこまめなパスワード変更と管理 このあたりがwin9xの混在するセキュリティ上脆弱なLANで最低限やっておくべきこと(それなりに管理しているといえるところ)でしょうか。 ・ミーティングでの瑕疵の報告と対処方法の決定、議事録の承認 組織としてのポリシーが出来ていない場合は、運用を確実にする担保としてやっておかなくてはいけないですねえ。 大分整理ができてきました。有難うございました。
- selenity
- ベストアンサー率41% (324/772)
Windowsに認証パスワードはHash化暗号が使われています。 手作業によるパスワードの逆解析は難しいですが、 その手のツールを使えば比較的簡単に元パスワード の割り出しができます。 最近のパソコンは計算速度が速いため、総当たりで パターンチェックをしてもそんなに時間は かかりません。 基本的な対策としては ・パスワードを長いものにする ・複雑なパスワードにする ・まめにパスワードを変更する をユーザに根気よく洗脳するしかないでしょう。
お礼
>ユーザに根気よく洗脳するしかないでしょう。 大事なことですよね。 大変参考になりました。有難うございました。
- m_nkgw
- ベストアンサー率47% (42/89)
下記のサイトの情報はなにかお役に立ちますでしょうか。
お礼
有難うございました。 でも、全部理解しようと思うと、 フーッ(ため息)。
関連するQ&A
- 2つのネットワークを・・・。
現在、職場には2つのネットワークが存在しています。 1つは地域全体を結ぶイントラネット(TCP/IPで運用中) もう一つは職場だけのネットワーク(netBIUEで運用中) です。細かい制約のためどうしても2つのネットワークに分けているのですが、 プリンターを共有するために、イントラネットのPCをもう一つのネットワークに 乗せています。(LANボードを2つ使い分けている。) 今までは問題なく使えていたのですが、XPをネットワークに乗せようとして 行き詰まってしまいました。 主にnetBEUIで運用しているネットワークにXPを乗せたいのですがどうしたらよいのでしょう。 XPにはnetBEUIがありませんよね。もし使うならどこから入手したら良いのかも知りたいです。 また、別の方法で構築できる技があれば知りたいです。
- 締切済み
- その他(インターネット接続・通信)
- 集合住宅でのインターネットセキュリティについて
光回線を引いているマンションに住んでいます。 最近随分と重くなるのでハッキングの可能性があると思いました。ファイヤーウォールはマカフィを入れていたのですが、引越しをしたので引越し先での再設定をしてないので有効になっていないかもしれません。タイプはLANです。Cドライブの中の共有ドキュメント共有設定はグレーになっていてプライベートにチェックできませんが自分(=PCの管理者)のマイドキュメントはプライベートにチェックが入っていました。 危険を感じたので色々と調べ、とりあえずウィンドウズネットワーク設定で・「ネットワーククライアント」と・「ネットワーク共有サービス」を削除しました。技術的なことは分からないのですが、どのレベルまで見られてた可能性があるのでしょうか? (メールのパスワードとかマイドキュメントの中身とか) 重くなるということはハッカーが私のPCを踏み台?にインターネットにアクセスしているのでしょうか? また、今後どのような対策をすればいいのか(ファイヤーウォールはどこをポイントに設定すればいいのでしょうか?)教えて頂けないでしょうか? 質問が多くなってしまい申し訳ないですが何卒 よろしくお願いいたします。
- 締切済み
- ネットワーク
- YAMAHAルータRT58iでのIPマスカレード設定
YAMAHAルータを初めて設定します. 色々とご教授いただければ幸いです. ネットワーク構成は次のようになっております +(1)172.17.64.0/24 | 172.17.64.128[lan2] (2)RT58i 192.168.0.254[lan1] | +(3)192.168.0.0/24 +--(サーバA)192.168.0.1 +--(サーバB)192.168.0.2 更に172.17.64.128は外部のネットワークへ静的NATが設定されており,こちらは当方の管轄外となっております. 現在,192.168.0.0/24のネットワーク内に2つのWeb/SSHサーバが存在しております. これを外部から,接続したいと考えております. その際,ポート番号によってサーバを制御したいのですが,この方法がわかりません. 具体的には,サーバAに接続するにはWeb(172.17.64.128:8001<->192.168.0.1:80),SSH(172.17.64.128:2201<->192.168.0.1:22), サーバBに接続するにはWeb(172.17.64.128:8002<->192.168.0.2:80),SSH(172.17.64.128:2202<->192.168.0.2:22) としたいのです. 以下,設定した内容です. --- ip route default gateway 172.17.64.254 ip lan1 address 192.168.0.254/24 ip lan2 address 172.17.64.128/24 nat descriptor type 1 nat-masquerade nat descriptor masquerade static 1 1 192.168.0.1 tcp 2201=22 nat descriptor masquerade static 1 2 192.168.0.1 tcp 8001=80 nat descriptor masquerade static 1 3 192.168.0.2 tcp 2202=22 nat descriptor masquerade static 1 4 192.168.0.2 tcp 8002=80 ip lan2 nat descriptor 1 ip lan2 nat descriptor 1 nat descriptor type 2 nat-masquerade nat descriptor address outer 2 172.17.64.128 nat descriptor address inner 2 192.168.0.1-192.168.0.191 ip lan2 nat descriptor 2 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.128-192.168.0.191/24 dns service recursive dns notice order dhcp server dns server 172.17.0.1 dns private name example.com no analog supplementary-service pseudo call-waiting no analog extension dial prefix line no analog extension dial prefix sip prefix="9#" --- DHCPは確認のために設定し,内部から外部へ接続が可能であることを確認しました. また,サーバから外部のアップデートファイルを取得できたので,内部から外部へは全く問題はないものと考えております. 現在はフィルタなどを一切設定しておりません. 当方の理解では,フィルタを設定しなければ完全にパスするのではないかと思い, やはりマスカレードの設定がうまくいっていないのではないかと悩んでいます. 言葉足らずで申し訳ございませんが,何とぞよろしくお願いいたします.
- ベストアンサー
- その他([技術者向] コンピューター)
- HPがインターネットから見えない
サーバー移転に伴い、ルーター(yamahaRTX 1000)の設定を変更しました。 NAT変換をし、公開しているサーバーですが、あるタイミングでネットワークの外からHPが見えなくなります。(タイミングは何がトリガーかは不明ですが時間は4時間程度です) サーバーからIEで外を見るとその後は外からも見えるようになります。 ルーターの定義を添付します。 NAT変換の設定もしくはその他何かルーターの定義に問題があるのでしょうか。 サーバーはWin2003R2でNICを2枚増設しています。オンボードはしようしていません。(以前からなのでなぜかは不明)、1枚は公開用(このルータに接続)もう1枚はイントラネット用です。公開なので困っています。よろしくお願いします。 ルーターの定義です ip route default gateway xxx.xxx.xxx.xxx ip lan1 address 192.168.0.1/24 ip lan2 address xxx.xxx.xxx.xxx/27 ip lan2 nat descriptor 1 nat descriptor type 1 nat nat descriptor address outer 1 xxx.xxx.xxx.xxx. nat descriptor address inner 1 192.168.0.2 nat descriptor static 1 1 xxx.xxx.xxx.xxx=192.168.0.2 1
- 締切済み
- ネットワーク
- NetBEUIのセキュリティ
こんばんはお世話になってます。 質問ですが インターネットセキュリティ関連のサイトをみてて少し気になったのですが 不安なのは「自分のPCの情報なりデータ等、他人のPCに漏れてはいないのか?」 ということです。 いろいろなセキュリティ関連のサイトでは 1.「少し設定すれば誰でも簡単に(他人のPCの情報を)盗み見ることはできる」とか 2.「LAN回線ならもっと簡単」 3.「LAN回線で他人の家のPCの中身が見えることもある」 4.「漏えい対策としてNetBEUIのプロトコルに設定したほうがいい」等 これらの4つが質問の内容です。 こちらのPCはケーブルテレビ関連会社のインターネットサービスを利用しており LAN回線でインターネットに接続しています。 OSはWin98SE IE6.0(アップデートもこまめに更新してます) 現在のネットワークの設定 Microsoft ネットワーク クライアント LANのアイコン ダイヤルアップ アダプタ IPX/SPX 互換プロトコル-> LAN IPX/SPX 互換プロトコル-> ダイヤルアップ アダプタ NetBEUI-> LAN NetBEUI-> ダイヤルアップ アダプタ TCP/IP-> LAN TCP/IP-> ダイヤルアップ アダプタ 優先的にログオンするネットワーク Windows ログオン ファイルとプリンタの共有 2つともチェックなし アクセスの制御 共有レベルでアクセスを制御する ←これにチェックがあります ネットワークに詳しい方よろしくお願いします。 ちなみに「確認くん」等のブラウザ情報とかは知ってはいます。 ウイルス対策ソフトも最新に更新しています。(03/04/16) ファイアウォールとAd-awareがはいっています。
- ベストアンサー
- ネットワーク
- 無線LANかコンセントを通してのインターネット
いつもお世話になっております。 現在有線LANでネットをしております。 以前、無線LANを導入しようとしたら、無線LANはどんなにセキュリティーが高くても、あるパスワードがあれば簡単にハッキングできる・・・。といわれました。 なので、見送りになったわけなのですが、最近ACコンセントを通してインターネットができるという品が2万円程度で販売されていると思います。 これもやはり無線LAN同様ハッキングされやすいのでしょうか? よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- Windows Server 2008のインストール後インターネットが通信出来ない.
(1)ネットワーク接続→ローカルエリア接続のインターネットプロトコル(TCP/IP)のプロパティでIPアドレスは設定しました. (2)インターネットオプション→[接続]TAB→[LANの設定]で,プロキシサーバのアドレスを設定し,[詳細設定]のプロキシの設定もしました. この同じ設定で,VistaやXPの場合はインターネット通信出来るのだが,Server 2008の場合はイントラネット(社内LAN)は見れるのだが,インターネットが見れない. インターネットオプションのセキュリティレベルが"高"になっており,これを変更出来ない. どこを変更したら良いでしょうか? 宜しくお願いします.
- 締切済み
- Windows系OS
- ネットワークドライブの割り当てができない
YahooBBのモデムで無線LAN接続している状態です。 モデムの方で1-61000ポートのTCPとUDPを通すようにしました。(ポート転送) クライアント(WindowsXP)側のコントロールパネルのネットワーク接続にあるインターネット接続のプロパティの設定では445/udp、445/tcp、139/tcp、139/udp、138/udp、137/udpがコンピュータ名:192.168.3.2で登録されています。 ネットワークドライブの割り当てを何度してもIDとパスワードを求められてしまいます。 他のPC(OCN)では接続できるのですが・・・
- 締切済み
- Windows XP
- 会員専用のHPの作成方法
小さな会社なのですが、HPを立ち上げました。 今は、会社案内程度のコンテンツしかありませんが、 近々、社員専用のHPとお得意様専用のHPを追加したいと考えています。 よく、会員専用のところをクリックしたら、小さなダイアログが開いて IDとパスワードの入力画面になる、あんな感じにしたいなと思います。 そこで、教えて頂きたいのですが、 1.どうやって(どんなしくみ?)でIDとパスワードの入力画面を 作るのですか? (実際の作業は、委託して作成してもらおうと考えていますが、 予備知識として知っておきたいのです。そのレベルで、 素人でもわかる説明を頂けたら幸いです。) 2.安全性(ハッキングの可能性?)はどんなものでしょうか? (インターネットに100%の安全性は期待できないことは、承知しています。 その上で、どの程度の安全性を確保できるのでしょうか? 実際にハッキングされるとしたら、どんな手法?でハッキングされる のでしょうか?) よろしくお願いします。
- ベストアンサー
- ネットワーク
- インターネットに繋がらない環境でのセキュリティ対策
4月から新しい職場にきたのですが 現在社内LANはインターネットに接続できない状態にあります。 ある基幹システムが動いていて外部からの侵入が0とはいえないという理由で 導入会社がインターネットに接続できないと言ってきたかららしいのですが、 インターネットに繋がっていないため、Windowsのセキュリティパッチはひとつもあたっていない状態ですし、 パターンファイルの更新は月に1度別にインターネットができる端末からダウンロードして当てる程度です。 しかも、特にUSBメモリとか規制されているわけでもなく権限もすべてAdministratorです。 回線も基幹と事務系ひとつですし・・・。 いつかネットワークが止まってしまう気がするので せめて、Adminiをやめてセキュリティパッチとウイルスのパターンファイルを最新にしたいと思っています。 インターネットに繋がらない環境で使用されている企業はどのように運用されていますでしょうか?
- 締切済み
- セキュリティ対策
お礼
ご指摘のとおり、根本対策はセキュリティポリシーからの組織だった運用だとおもいます。 大変参考になりました。有難うございました。