Windows TIPS
System Environment
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

インターネット常時接続時の基本セキュリティ設定

3.ステップ2:NBTを禁止する

デジタルアドバンテージ
2001/06/22

 以上のステップ1の対策により、ファイル公開サービスや、外部のファイル共有サービスを利用するためのインターフェイスを禁止することができたが、まだNBT(NetBIOS over TCP/IP)プロトコルそのものは有効になっている。このプロトコルを使うほかのサービスがインターネット側からアクセスされたり、クラックされたりしないように、NBTプロトコルそのものもオフにしておこう。この対策を施さないと、ファイル/プリンタ・サービス以外で、NBTを使う各種のプログラムやサービスがやはり外部からアクセスされてしまう可能性があるからだ。もちろん、そのような余計なサービスを使わないという方法もあるが、実際にはどのプログラムがNBTを使っているのかなどは、よほどシステムの内部に精通していなければ分からないだろう(たとえばメッセンジャ・サービスなどはNBTを使っている)。したがって、インターネット側のNBTそのものを禁止するのが、いちばん確実で、簡単な方法だといえる。

 NBTを禁止するには、[インターネット接続]のプロパティからTCP/IPの詳細設定を呼び出し、そこで設定する。

[インターネット接続]のプロパティ
NBTだけをオフにするには、まず[ネットワークとダイヤルアップ接続]ダイアログ中にある[インターネット接続]を右クリックして、[プロパティ]メニューを起動する。そして「インターネット プロトコル(TCP/IP)」の[プロパティ]をクリックする。
  TCP/IPのプロパティを実行する。
  [プロパティ]をクリックする。→
 
TCP/IPのプロパティ
ここでは、インターネット側のTCP/IPに関する各種設定を行う。
  IPアドレスなどの情報をDHCPでインターネット側から自動取得するには、こちらを選択する。通常はこちらを選択する場合が多いが、プロバイダによってはを選択して、固定的なIPアドレスを設定するケースがあるかもしれない。
  固定的なIPアドレスを使用する場合は、こちらを選択する。
  DNSサーバのIPアドレスをDHCP経由で自動取得する場合は、こちらを選択する。通常はこちらを選択することが多いが、プロバイダによってはでDNSアドレスを直接指定するケースもある。
  DNSサーバのIPアドレスを手動で設定する場合はこちらを選択する。
  NBTをオフにするには、さらにこの[詳細設定]をクリックする。→
 
TCP/IPの詳細設定
NBTをオフにするには、[WINS]タブの下に3つ並んだラジオボタンから[NetBIOS over TCP/IPを無効にする]を選択する。
  [WINS]タブを選択する。
  デフォルトではこちらが選択されており、「インターネット接続」でもNBTが有効になっている。
  NBTをオフにするにはこちらを選択する。するとこのインターフェイスではNBTが無効になる。この設定はインターフェイスごとに個別に設定できる。ローカルのLAN側では有効にしておかないと、ファイル共有機能が利用できなくなる。
  NBTを使うかどうかを、DHCPサーバからの情報で決める。今回の環境では、DHCPサーバの動作はすべて接続共有機能で自動的に制御されているので、利用できない。

 以上の設定で、インターネット側のNBTが無効になり、安全性が増すことになる。具体的には、TCPの139番とUDPのポート137番、138番が無効になる。コマンドプロンプトからnetstatコマンドを実行し、これらが正しく無効化されているかどうかを確認する。

 1:C:\>netstat -a -n
 2:
 3:Active Connections
 4:
 5:Proto  Local Address          Foreign Address        State
 6:TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
 7:TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
 8:TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING
 9:TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING
10:TCP    192.168.0.1:139        0.0.0.0:0              LISTENING
11:TCP    192.168.0.1:3002       0.0.0.0:0              LISTENING
12:TCP    192.168.0.1:3003       0.0.0.0:0              LISTENING
13:TCP    192.168.0.1:3004       0.0.0.0:0              LISTENING
14:UDP    0.0.0.0:135            *:*
15:UDP    0.0.0.0:445            *:*
16:UDP    0.0.0.0:3001           *:*
17:UDP    0.0.0.0:3005           *:*
18:UDP    192.168.0.1:53         *:*
19:UDP    192.168.0.1:67         *:*
20:UDP    192.168.0.1:68         *:*
21:UDP    192.168.0.1:137        *:*
22:UDP    192.168.0.1:138        *:*
23:UDP    192.168.0.1:500        *:*
24:UDP    210.XXX.XXX.XXX:500    *:*
NBTをオフにした場合のポートの状態
「netstat -a -n」コマンドを実行することにより、現在待ち受けしているTCPやUDPのポート番号の状態を表示することができる。ここに表示されているのは、すべて待ち受け状態にあるポートの番号。「Local Address」フィールドの数値「AAA.AAA.AAA.AAA:PORT」は、「AAA.AAA.AAA.AAA」がインターフェイスのIPアドレス、「PORT」がポート番号を表す。TCPの139番とUDPのポート137番、138番は、IPアドレスが「192.168.0.1」となっているので(10、21、22行目)、「ローカル接続」側でしか待ち受けしていないことが確認できる。
 

 INDEX
  [Windows TIPS]インターネット常時接続時の基本セキュリティ設定
    1.想定する環境、前提条件
    2.ステップ1:インターネット側のファイル共有サービスを禁止する
  3.ステップ2:NBTを禁止する
    4.ステップ3:RRASサービスを開始する
    5.ステップ4:RRASのオリジナル設定をバックアップする
    6.ステップ5:RRASのパケット・フィルタを設定する
    7.ステップ6:フィルタ機能の確認
 
「Windows 2000 TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH