PCのシステム情報を取得する方法

Paspbbery Piとは?その2がまだでごめんなさい。。必ず書きますからね(>_<)!
昨日とあるセミナーへ行ってきたので、そこで学んだ情報を先にまとめます。

今回は、PCのシステム情報の収集方法についてです。
PCに何か障害が起こった時や、リプレイスを検討している時など
あらゆるシステム情報が必要なことがありますよね。

そんなときに、重要な情報を一括で取得し、エクスポートまでできちゃう方法があります。
やり方はとっても簡単で、<ファイル名を指定して実行>に「msinfo32」と入力し、「OK」をクリックするだけです!
じゃーん!一度にこんなにいろんな情報が取得できます。
Alt

OS情報を確認するには、コントロールパネルのシステムを開いて…
スタートアップに設定しているアプリを確認するにはまずスタートアップを開いて…
なんて、各場所をたどって確認する必要はございません(`・ω・´)

私、IT関連のお仕事をしてもうすぐ丸6年になるにもかかわらず、このコマンドを知りませんでした。(恥
とても便利ですね。
これからリプレイスを控えている端末が数台あるので、棚卸の際には活躍しそうです。
どんな情報が取得できるか、一度試してみてくださいね~。

パッチを適用するセキュリティ対策~WSUS~

久々の更新になってしまいました(´・ω・`); セミナー勉強会、出張などここ最近はイベント盛りだくさんでした。まとめたいことは山ほどあるのですが。。。

今回は、先日2日間にわたって受講してきた「WindowsServer運用実践セキュリティ編」で勉強してきたことのひとつ、Microsoft社が提供する更新プログラム適用制御用のサーバ・アプリケーションWindows Server Update Services 通称WSUS(ダブルサス)についてまとめます。

みなさん個人の端末は、自分のタイミングでアップデートをかければよいですが、会社のたくさんある端末達のパッチ適用はどうやったら効率的なのか、WSUSのサービスと合わせてみていきましょう。


そもそもパッチ適用はなんで必要?

まず下の図をみてください。(わかりにくい、デザインのイケてなさはごめんなさい・・・)         Alt text    

アプリケーションは、主にこの4つの手法で脆弱性をねらった攻撃をうけます。    

一昔前は左上の「メールの添付ファイルを実行」といった手法が主でしたが、最近は多様化してきているようです。
たとえば右上の「USBメモリ内のプログラム実行」。これはUSBを挿されたらオートラン機能が働いて悪いプログラムが実行され…アウトです。
このような「攻撃」事態を防ぐのはとても難しいので、「脆弱性」をなくす対策が重要になってきます。   

Microsoftは、このような脆弱性に対する更新プログラムを、毎月第2火曜日の翌日にリリースしています。
だからといって、リリースされたプログラムをむやみにインストールするのはとても危険な行為です!!
それは、Windowsの更新が既存の業務アプリケーションに影響することがあるからです。
アップデートをかけたらIEのバージョンがあがってしまったが、使っている業務アプリが新しいIEに対応してなくて使えなくなった、どうしよう!なんてことが起きないためにパッチ適用は次のサイクルで行うとうまくいくでしょう。

パッチ管理サイクル

パッチ適用は、調査→識別→評価→展開 のサイクルで行います。それぞれどのような作業になるのか下記に記します。
Alt text  

  • 調査・・・コンピュータの状態を調査
    管理しているコンピュータの確認、コンピュータごとにどのようなアプリケーションを使用しているか確認します。
  • 識別・・・必要なパッチを識別
    調査での確認結果をもとに、適用する必要があるパッチ、適用しないパッチを識別します。(サービスパックやIEのバージョンアップは大幅な更新になるので普通はすぐにはしないと思います)
  • 評価・・・パッチをテスト導入
    パッチ適用後に、OS、Office、業務アプリなどが正常に動作するか確認します。チェックリストを作成しておくとよいでしょう。
  • 展開・・・各コンピュータへ導入
    正常動作が確認できたら、各コンピュータへ導入します。ここでWSUSを使います!

Windows Server Update Servicesとは

Windows Server Update ServicesとはMicrosoftが提供する、Windows OSやアプリケーションの更新プログラム、デバイスドライバ等をクライアントPCの「自動更新」コンポーネントを利用して配布する、クライアント・サーバ・モデルのアプリケーションです。
・・・ちょっとわかりにくいですか?
たくさんあるコンピュータのパッチ管理を、一台ずつ設定するのではなくサーバ側で一括設定することができるのです。
WSUSを運用するのに必要なのは、WSUS用サーバ、ドメインコントローラだけです。WSUSも簡単にインストールすることができます。
どのようなしくみなのか図と合わせて簡単に説明していきます。 Alt text 

一般の個人用端末であれば、クライアントから直接MicrosoftUpdateにつないでパッチをインストールしますが、WSUSを使った場合は、WSUSサーバがMicrosoftUpdateからパッチをダウンロードしてきます。
ダウンロードしてきたパッチから、必要なパッチを識別します。コンピュータは、OS別、用途別などにグループをわけることができ、適用するパッチもそれぞれグループに合わせて選択することができます。 ドメインコントーラでは、グループポリシーで各クライアントのWindowsUpdateの設定(更新元の変更)を制御します。
かなりはしょって説明してしまいましたが、以上の設定をすることで、クライアントのパッチ管理をすることができます。

またこのWSUSは下の図のように、MicrosoftUpdateに接続するWSUSサーバ(アップストリーム)の下に、さらに中継地点を複数置くことができます。(ダウンストリーム)
クライアント数が多い企業では、支店ごとにダウンストリームを置くことで負荷分散ができます。 Alt text 

以前の職場ではこのWSUSでパッチ管理を行っていましたが、今の職場では学期末ごとに1台ずつ設定している現状なので、導入できそうか検討してみたいと思います。

多層防御とは2/2 2014.2.14

「多層防御とは1/2」の続きになります。

前回は多層防御の考えについて勉強しました。多層防御には階層があり、それぞれの階層で起こる問題、対策が違いましたね。

階層のイメージが沸きにくかったかもしれないので、図にします★

tasoubougyo

・・・どうでしょうか?

今回は、多層防御によるセキュリティ対策をWindowsの機能で実現する場合、どんな機能があるのか階層ごとにまとめてみます。

1.データ層
ファイルやフォルダー対するアクセス許可。アクセス許可には「共有アクセス許可」と「NTFSアクセス許可」の2種類があり、2種類のアクセス許可を組み合わせて使うことができる。
☆共有アクセス許可(フォルダを共有させた時に設定可能なアクセス許可。)
☆NTFSアクセス許可(NTFSでフォーマットされたドライブに保存されたファイルやフォルダに対するアクセス許可。ローカルまたはネットワークからのアクセスにかかわりなくアクセス許可をチェックし、可否を判断する。)

→ファイルやフォルダに対して、適切なアクセス許可を割り当てることによって、重要なファイルが第三者の手にわたることを防ぐ。

2.アプリケーション層
パッチをインストールする。不要なアプリケーションは使わない、などの対策。
☆WSUS(WindowsServerUpdateServices)を利用した組織的なパッチ管理。

→脆弱性を悪用した攻撃によって、ウィルス感染や不正アクセスを防ぐ。

3.ホスト層
コンピュータの設定確認や、認証設定の強化、監査設定の実装。
☆グループポリシー
☆イベントログ

→アカウントやパスワード情報が盗まれることを防ぐ。一般ユーザが管理者と同等の操作をすることを防ぐ。

4.内部ネットワーク層
ネットワークの通信を暗号化。
☆IPsec
☆無線LANの暗号化
☆デジタル署名

→盗聴、なりすまし、改ざん、否認といった危険から守る。

5.境界層
ネットワークの境界部分へのファイアウォールを設置。プロキシサーバによる外部アクセスの仲介。
☆IPsec
☆無線LANの暗号化

→不正な通信を防ぐ。

6.物理セキュリティ層
ハードディスクの暗号化
☆データを暗号化するEFS
☆ドライブ全体を暗号化するBitLocker

→データの外部流出を防ぐ。

------------------------------------------

以上、階層別セキュリティ機能の紹介でした。各機能の具体的な設定方法はまた別でまとめることにします。

多層防御とは1/2 2014.2.14

セキュリティーポリシーで定めたセキュリティ対策を実践するときに、「多層防御」という概念があります。

これは、複数のセキュリティ保護対策を組み合わせて、「漏れなく」セキュリティ対策をしましょう!というもの。
例えば、会社のPCのハードディスクが盗まれて、大事なデータが外部に流れてしまった(´;ω;`)!なんて事故が起きないためにどんな対策がとれるか考えてみます。

まずは、
会社自体に外部の人間を簡単に侵入させないために、ICカードやバイオメトリクス認証で入館を厳しくする。

それでも侵入されて、PCに不正アクセスされる可能性を考えて、認証設定を強化しておく。

アクセスできないからHDDごと盗んじゃえ!となっても、データまたはドライブごと暗号化しておけば、中身を見られないで済む。

…といったように、たとえひとつめを破られても次で守ることができる、何重もの強いセキュリティ対策が大事なんですね。

この「多層防御」は、次の6つの層にわけて考えることができます。
それぞれの層でどんな対策が行われるのかも合わせてみてみます。
--------------------------------------------
1.データ層
ファイルとして存在する企業の情報資産が盗まれることによる問題を防ぐ。
→アクセス許可などのセキュリティ対策が行われる。

2.アプリケーション層
企業で使用するアプリケーションが悪用されることを防ぐ。
→パッチインストールなどのセキュリティ対策が行われる。

3.ホスト層
コンピュータの設定不備による問題を防ぐ。
→定期的な設定確認をするなどの対策が行われる。

4.内部ネットワーク層
ネットワーク内の不正パケットによって起こる問題を防ぐ。
→通信の暗号化などの対策が行われる。

5.境界層
外部ネットワークからの不正アクセスなどの攻撃を防ぐ。
→インターネットと企業内ネットワークの境界に、ファイアウォールを設置するなどの対策が行われる。

6.物理セキュリティ層
コンピュータからハードディスクを取り出すなどの物理的な不正利用を防ぐ。
→ハードディスク内のデータを暗号化するなどの対策が行われる。

--------------------------------------------

「多層防御とは2/2」では、Windowsの機能で実現する場合、どんな機能があるのか?
もうすこし具体的に、図もあわせて書きたいと思います。

今日はここまで。

セキュリティソフトの挙動を確認できるテストウィルス″eicar” 2014.2.13

(´・ω・`) {eicarとは、現在利用している、マルウェア対策ソフトウェアの挙動を確認するための試験用ウィルスです。

右記URL(http://www.eicar.org/85-0-Download.html)にアクセスして、画面下の「Download area using the standard protocol http」または「Download area using the secure, SSL enabled protocol https」と紫太字で表示されている枠内の数種類のファイルをクリックしてみましょう。

今使用しているウィルスソフトの、実際にウィルスが検知されたときの動作や、ウィルス検知の精度を検証することができます。

本当のウィルスではないのでご安心を★

でも一点注意があります!それは、むやみに社内のPCでやらないこと。

社内のセキュリティシステムがしっかりしてるほど、管理サーバに通知がいってしまったり、サイトにアクセスできなくなったり、面倒なことになりかねないですよ。

ーーーーーーーーーーーーーーーーーーーーーーーーー

以上、今日セミナーで覚えてきたことのひとつでした。

他にも、WSUS構築やアカウント管理など、Winサーバのセキュリティについていろいろ勉強してきたので、それはまたのちほど。