現在の閲覧者数:

先行き不透明なブログ?(仮題)

管理人自身も方針を決めかねているサイトです。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  1. --/--/--(--) --:--:--|
  2. スポンサー広告

パソコンのセキュリティ

2010年4月22日:リンク切れ修正しました。私のブログの1番の人気ページ(検索エンジンからの来訪者数)なので(笑)。

 以下、ウインドウズのセキュリティ強化法の紹介です(基本的にWindows XP用で、紹介しているソフトは全て無料です)。歯科に関する記事のアタマに載せるつもりで書いていたのですが、長くなり過ぎたため独立した記事にしました(笑)。私自身の覚え書きでもあります。
 以下の方法を実行すると、最悪の場合、OSが起動しないなどの問題が起こる可能性がありますので、重要なファイルやブックマーク(お気に入り)はDドライブなどの他ドライブに移したり、DVD-RやCD-Rにバックアップすることをオススメします(お気に入りのバックアップの方法が分からない方は「お気に入りのエクスポート」で検索してみて下さい)。
①ウイルス対策ソフト「avast!」とファイアウォール「PC Tools Firewall Plus」の紹介
②ウイルス対策強化ソフト「System Safety Monitor(フリー最終版)」の紹介(上記ソフトとの併用をオススメします)
③情報漏洩対策強化ソフト「Unleak」の紹介(上記ソフトとの併用をオススメします)
④OSの基本設定(Windows XP)
⑤インターネットオプションの設定(Internet Explorer 6)
⑥サービスの設定(Windows XP)

この記事の内容を実行して、不具合・不都合が起きても当方は責任を負えませんので自己責任で御利用下さい。また、詳しくないので質問も一切受け付けません!(爆)

------------------------------------------------------------

 ウイルス対策ソフト「avast!」とファイアウォールについて追加記事があります(2010年2月24日現在、私が使っているファイアウォールはComodoです。以下で紹介するPC Tools Firewall Plusは使っていません追加記事を御覧下さい)。。

 あなたのパソコンはセキュリティ対策がしてありますか?。メーカー製のパソコンを購入すると、セキュリティソフトが入っていることが多いので「入っている」という方がいるかも知れません。
 確かに、ファイアウォールについては古いソフトのものでも、それなりに有効です。でも、ウイルスについては、どんどん新しいウイルスが出てきているので、古いままでは新しいウイルスに対抗できません。ウイルスの「最新定義」をダウンロードできることが大切なのです。
 通常、購入したセキュリテイ対策ソフトは1年間しか有効期限がなく(新しく買ったメーカー製のパソコンの場合、サービスで付属しているだけなので3ヶ月程度)、1年を過ぎると新しいソフトを買わなければなりません。買ってますか?。
 買っていないなら、無料のソフト(個人使用に限る)「avast!」を導入してみてはいかがでしょうか?。海外製(チェコ製)のソフトですが、日本語で使用できます(私自身は「avast!」をオススメしますが、より軽いソフトをお望みなら「AVG Anti-Virus Free Edition 日本語版」をオススメします。「avast!」の方が高機能だと思いますが。基本的に、私がオススメするのは日本語対応ソフトのみです)。

 但し、どんなウイルス対策ソフトも同じですが(ファイアウォールソフト一体型を除く)、ファイアウォールソフトとウイルス対策ソフトを別々にインストールする場合、必ずファイアウォールソフトを先にインストールして下さい。先にウイルス対策ソフトをインストールすると、まれにファイアウォールソフトがウイルス対策ソフトの通信を遮断してしまうことがあるようです(その場合、一旦、ウイルス対策ソフトをアンインストールし、再度、ウイルス対策ソフトをインストールし直すと不具合は解消するようです)。
 avast!はウイルス対策専門のソフトなので、ファイアウォールソフト一体型をアンインストールしてavast!を新しくインストールする場合は、必ず、先にファイアウォールをインストールして下さい(下記でファイアウォールも紹介しています)。

 avast!を使用するに当たっては、利用者登録をしてライセンスキーを取得する必要がありますが、登録すれば14ヶ月間無料で利用でき、14ヶ月後、再登録すれば、さらに14ヶ月間無料で利用できます。利用者登録の際、メールアドレスを入力することになりますが、私の場合、そのことで迷惑メールなどが届くことはありませんでした(このソフトを使いはじめて数年経ちます)。念のためhotmailのような使い捨てのフリーメールを利用すれば万全でしょう。
 登録後、しばらくすると18桁前後のライセンスキーが記されたメールが送られてくるので「タスクトレイのアイコンをクリック→avast!アンチウイルスを起動をクリック→登録をクリック」してライセンスキーをコピー&ペーストすればOKです。
 使い方サイト「おじいちゃんのメモ」もありますので参考にして下さい。

 avast!は無料のウイルス対策ソフト(常駐タイプ)としてはトップクラスの実力を持っているそうで、日本国内で市販されているソフトと大差ないようです(部分的には上回っているそうです)。
 avast!をインストールする時は(どんなウイルス対策ソフトも同じですが)、必ず、現在、パソコンにインストールされているウイルス対策ソフトをアンインストール(削除)して下さい(「スタートメニューをクリック→コントロールパネル→プログラムの追加と削除」から、ご利用のソフトを選択し、削除をクリック)。
 どんなウイルス対策ソフトも同じですが「ウイルス対策ソフト」というのはウイルスに似た性質を持っており、現在使っているウイルス対策ソフトをアンインストール(削除)せずに新しいウイルス対策ソフトをインストールしようとすると不具合が発生します。
 万一、起動時にパソコンが不安定になる場合、タスクトレイのアイコンをクリックし「プログラム設定→トラブルシューティング」の項目にある「avast!サービスを他のシステムサービスの後に読み込む」にチェックを入れ、OKをクリックすれば改善される可能性があります。

 avast!を導入すれば、ウイルスに対しては、かなり安心できますが、avast!は、日本国内で市販されている多くのソフトと違い、ウイルス対策のみでファイアウォール機能が付いていません。そのため、ファイアウォールソフトを別にインストールする必要があります(現在、お使いのソフトを必ずアンインストール[削除]してから、新しいソフトをインストールして下さい)。

 そこでフリーのファイアウォール「PC Tools Firewall Plus」を紹介したいと思います(2010年2月24日現在、私が使っているファイアウォールはComodoです。PC Tools Firewall Plusは使っていません。追加記事を御覧下さい)。。
 このソフト、何と、リークテストの結果を見ると、85%の防御率(Very good)で10位の結果を誇っています(2008年11月9日現在)。
 「10位?、それじゃ頼りない」って?……そんなことを言うのは、電器店でよく見かける黄色い箱に入った有料有名ソフトの結果が71%(Good)の13位、同じく、電器店でよく見かける赤い箱に入った有料有名ソフトの結果が27%(None)の18位というリークテストの結果を見てからにして下さい。
 PC Tools Firewall Plusの結果は有料ソフトを加えると10位、無料ソフトでは4位という結果ですが、私が、このソフトを薦めるのは何といっても日本語に対応している点に尽きます。
 ポートの開放など、細かな設定については一癖あるソフトなので使いにくいと思いますが、ネットの閲覧やメールなどしかしないようなユーザーには有力候補だと思います(初期のPC Tools Firewall Plusは不安定なソフトでしたが、現在は安定したソフトになっていると思います)。

 但し、PC Tools Firewall Plusをインストールする際「Spyware Doctor」のインストールを薦めてきますが、評判の悪いソフトなので(すごく重い)、インストールしないようにして下さい。
 また、ソフトの設定画面で「アプリケーションフィルタリング」「アプリケーションルールを自動作成」「パケットフィルタリング」「ステルスモード」「ステイトフルパケットインスペクション」は「有効」にし「コードインジェクション」に関しては「無効」にして下さい。「有効」でも問題ないのですが、少々、「ウザく」なりますし(笑)、ルールの作成を間違えると、最悪の場合、OSを起動できなくなる可能性があります

------------------------------------------------------------

 さらにセキュリティを高めるためにオススメしたいソフトにはSystem Safety Monitor(フリー最終版)があります。
 普通のウイルス対策ソフトが「パソコンにウイルスが侵入するのを防ぐ」のに対して、このソフトは、侵入することを防ぐことは出来ませんが、基本的に「全てのプログラム」が起動するのを受け入れたりブロックすることが出来ます。普通のウイルス対策ソフトの場合、そのソフトが持っている「ウイルスの定義」によって、全てのプログラムを「ウイルスかどうか?」を判断していますので、そのソフトのウイルスの定義に漏れてしまったウイルスを見逃してしまう可能性がありますが、このソフトは全てのプログラム(基本的に)の起動を監視し「起動して良いか?」を問うてきます。ですので、起動した覚えがないプログラムや、信頼のおけるプログラム以外のプログラムが起動しようとしてきた場合、それをブロックすれば、万一、ウイルスが侵入しても起動することは出来ません。但し、システムの大事なプログラムの起動をブロックしてしまうと、最悪の場合、OSは起動しなくなりますので中級者以上のソフトと言えるかも知れませんので、自己責任で御利用下さい。

 このソフトはデフォルト状態では英語表示ですが、常駐アイコンを右クリックして「Preferences」を選択し「Options→Language」で「Japanese」を選択し「Apply Options」をクリックすれば完全日本語化できます。
 このソフトは、常駐アイコンを右クリックし「アプリケーションルールを有効」にチェックしておけば、プログラムの起動を検知して「起動して良いか?」を訊いてくるので、拒否するとプログラムの起動を拒否できるので、ウイルスへの感染を予防できます(但し、設定を間違えるとパソコンが起動しなくなる可能性がありますので注意して下さい)。
 このソフトが監視するのは、主に「プロセス」「DLLのフック」で、PC内部で何らかのプログラムが開始されようとすると警告が出るので、プルダウンメニューの中から対応を選んでブロックするか許可するかを指定します。プログラムを許可する場合、プルダウンメニューの選択肢は、セキュリティが高い順に
「このアクションを今回のみ」
「この親アプリケーションからの、このアプリケーションの実行」
「このアプリケーションの実行」
です。

 開始されようとするフックを許可する場合のプルダウンメニューの選択肢は、セキュリティが高い順に
「このアクションを今回のみ」
「このアプリケーションによる、このライブラリからのグローバルフック設置 」
「このアプリケーションによる、グローバルフック設置」
「アプリケーションを問わず、このライブラリからのグローバルフック設置」
です。

------------------------------------------------------------

 もう1つ、セキュリティを高めるためにオススメしたいのが「Unleak」です。このソフトはファイルに対して、パソコン内の特定のプログラム以外のアクセスをブロックするので、PC内部のファイルを読み込んでネット上に情報を流出させるタイプのウイルスからファイルを守るので情報漏洩を防ぐことが出来ます。使い方はこちらを参照して下さい。
 ファイルを読めなくなった場合、原因は、このソフトが閲覧を拒否している可能性が高いので、その場合は設定画面から「除外プログラムの設定」を行って下さい。ファイルの閲覧ソフトを起動した状態で「実行中のプログラムを追加」をクリックし、該当ソフトを指定すれば大丈夫です。

 ファイアウォールとウイルス対策ソフトと、以上2つのソフトの併用をオススメしますが(旧版は、きちんと動作しないので最新版「version 0.52 Beta」を利用して下さい:記事執筆時点の最新版)、不具合・不都合が起きても当方は責任を負えませんので自己責任で御利用下さい。また、質問は一切受け付けません!

 また、「Sandboxie」や「SafeSpace」といったソフトを使い、パソコンの中に独立した仮想空間を作り出して、万一、ウイルスが侵入しても、仮想空間が感染するだけで、仮想空間を削除してしまえばOS本体を無傷にすることも出来ますので、その中でネットをすれば安全性が非常に高まるのですが、日本語に対応しておらず、説明するにも長くなりすぎるので、興味のある方は調べてみて下さい(私自身は「SafeSpace」を使ったことはありませんし)。ちなみに、私の環境ではSandboxieのVersion 3.02で不具合が発生しており、Version 3.20以降では勝手にスタートアップに登録するようになっているようなので(確認したのはVersion 3.02とVersion 3.20のみですが)、Sandboxieを使うならVersion 2.86までをオススメしたいと思います(本家サイト「Old Versions」からダウンロードできます。Version 2.86以降、プログラムが大幅に変わっているようです)。

 追記……現時点(2009年10月20日)で最新版のVer.3.40を使ってみましたが不具合は発生しなくなっています。日本語で使いやすいです。使いにくくなった面もありますが(笑)。念のために書いておきますと、このソフトは仮想空間の中にファイルをためこんで肥大化していきますので、タスクトレイアイコンを右クリックし「DefaultBox→内容を削除→サンドボックスを削除」で、小まめにファイルを削除して下さい。ちなみに、スタートアップに登録したくない場合は「スタートメニュー→ファイル名を指定して実行」で「msconfig」と入力し「スタートアップ」タブの「SbieCtrl」のチェックを外して再起動して下さい(再起動後、ダイアログが表示されますが問題ありません。チェックを入れて「OK」をクリックして下さい)。

------------------------------------------------------------

 さらに、パソコンのセキュリティを万全にしたいと思ったら、一度、「セキュリティミニ診断」というソフトで診断してみて下さい(システムを汚さないソフトなので、パソコンに不具合などが起こりにくいソフトです)。多分、大多数の人が危険な項目を指摘されると思います(「ページファイルの削除」という項目の推奨情報が表示されますが、この設定にするとWindowsの終了が遅くなり過ぎるので、私はオススメしません)。
 この状態を改善するにはレジストリを書き換えなければなりませんが、レジストリの書き換えには危険を伴い、最悪の場合、Windowsが起動しなくなってしまいます。そのため、そのまま放置してしまいがちです。
 いろいろと検索しても「このキーの値を○○にする」などと書かれているだけで、レジストリを書き換える不安は変わりませんよね。
 そこで、読み込むだけでレジストリの値を書き換えるファイルの作り方を紹介します。出来上がったファイルをダウンロードできるようにしようと思っていたのですが、このブログには画像以外のファイルをアップできないので、作り方を紹介することにしました(こういうファイルの作り方って他のサイトでは見たことありませんが、質問は受け付けません!。笑。いや……冗談ではなく……)。

 作り方……Windows標準のメモ帳を起動して(「スタートメニュー→すべてのプログラム→アクセサリ→メモ帳」で起動)、以下記載の、それぞれの項目の「-----」内をコピペし「ファイル→名前を付けて保存」で適当な名前をつけて、その名前の後ろに「.reg」と付け加えて保存(「.txt」にせず「.reg」にして保存)すれば出来上がりなので、非常に簡単です(当方で作成したファイルをアップしようと思ったのですが、このブログは「.reg」や圧縮ファイルをアップできないので、作り方だけ紹介します)。出来上がったファイルをクリックしてレジストリに結合し、再起動すれば設定が反映されます(再起動するまで設定は反映されません)。

 注意……以下、半角の「¥」が「\」という風に表示されています。メモ帳などにコピペすると、半角の「¥」になりますが、半角の「¥」が正解です。

 但し、以下のキーはWindows XPのもので、他のOSで使えるかどうかは未確認ですので、ご利用はWindow XPだけにして欲しいと思います(Window XPの場合も自己責任で利用して下さい)。

不具合・不都合が起きても当方は責任を負えませんので自己責任で御利用下さい。また、詳しくないので質問も一切受け付けません!(爆)

-----管理共有の無効&サーバアナウンスメントの無効-----
 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:0
"Hidden"=dword:1

-----管理共有&サーバアナウンスメントを有効にしたい場合-----

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:1
"Hidden"=dword:0

-----匿名ユーザの制限-----

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"RestrictAnonymous"=dword:1

-----匿名ユーザの制限を解除(復元)したい場合-----

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"RestrictAnonymous"=dword:0

-----SYN攻撃防御・ソースルーティング無効化-----

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
"DisableIPSourceRouting"=dword:2
"SynAttackProtect"=dword:2

-----SYN攻撃防御・ソースルーティング無効化を解除(復元)したい場合-----

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
"DisableIPSourceRouting"=dword:0
"SynAttackProtect"=dword:1


-----簡単な解説-----

 管理共有……「AutoShareWks」の有効値は0~1で、無効にしたい場合は「dword:0」、有効にしたい場合は「dword:1」にする
サーバアナウンスメント……「Hidden」の有効値は0~1で、無効にしたい場合は「dword:1」、有効にしたい場合は「dword:0」にする
 匿名ユーザ……「RestrictAnonymous」の有効値は0~2で、制限したい場合は「dword:1」にし、制限を解除したい場合は「dword:0」にする(有効値=0~2)
 SYN 攻撃……「SynAttackProtect」の有効値は0~2で、無効化したい場合は「dword:2」にし、無効化を解除した場合は「dword:0」にする
 ソースルーティング(有効値=0~2)……「DisableIPSourceRouting」の有効値は0~2で、無効化したい場合は「dword:2」にし、無効化を解除した場合は「dword:1」にする

------------------------------------------------------------

インターネットオプション

 ネットをする上でのセキュリティで1番わかりにくいのがインターネットオプション(上図をクリックすると拡大します)の設定ではないでしょうか?。
 まず、最初に断っておきますが、以下で紹介する設定は「最善」ではありません。ガチガチにパソコンを防衛しようと思ったら、インターネットオプションの設定は、デフォルト設定の「高」にすれば良いのです。でも、いろんなサイトを利用できなくなるでしょうね。以下で紹介する設定は、リスクと利便性を天秤にかけた許容範囲です。言わば、以下の設定は私のバランス感覚による「リスクと利便性」の釣り合いが取れる設定だと言えるでしょう。
 ですので、決して過信しないで下さい。「Sleipnir」などのIEコンポーネントブラウザを利用して、普段は「ActiveXの実行」や「ActiveXのダウンロード」「Java」「JavaScript」をオフにしておいて、必要なサイト(不都合が出る、信頼できるサイト)でオンに切り替えるようにして欲しいと思います。

 インターネットオプションはブラウザ上部のメニュー「ツール(上図の赤色で示した部分)→インターネットオプション」をクリックして設定します(以下、Internet Explorer 6での設定)。

 まず「イントラネット」と「信頼済みサイト」はデフォルトセキュリティレベルの「中」で良いと思います。
 次に「制限付きサイト」ですが、これはデフォルトのセキュリティレベルを「高」にし、「ダウンロード」の項目の「ファイルのダウンロード」を「有効」、「その他」の項目の「ファイルのドラッグ/ドロップ、またはコピー/貼り付け」を「無効」にして下さい(「ファイルのドラッグ/ドロップ、またはコピー/貼り付け」はFTPサイトで利用する機能で、ホームページを運営していない人や「FTPサイトって何?」って方の大部分は「無効」で問題ないと思います)。

IEオプション推奨設定

 最も難しいのが「インターネットゾーン」の設定です。私のオススメの設定は上図の通りです(クリックすると拡大します)。
 まず「規定のレベル」をクリック、スライダーを「高」にして「適用」をクリックします。次に「レベルのカスタマイズ」をクリックして、以下の項目を変更します。

◆ActiveXコントロールとプラグイン◆

ActiveXコントロールとプラグインの実行=有効にする(すでにパソコンにダウンロード・インストールされているActiveXをオンにし、フラッシュなどを閲覧できるようにする設定です。すでに悪意あるActiveXがインストールされている場合、「有効」では問題がありますが、ここでは、現在のパソコン内に悪意あるActiveXがインストールされていない状態を想定しています。今後については、下記「署名済みActiveXコントロールのダウンロード」の項目でダウンロードの際にダイヤログを表示し「適切な対応をとっていればActiveXを有効にしても問題はないでしょ」という設定です。但し、フラッシュなどにセキュリティホールが見つかった場合、悪意あるサイトで影響を受ける可能性があるので、IEコンポーネントブラウザを利用して、信用できるサイト以外は「ActiveXの実行」をオフにしておくことをオススメします)

スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行=有効にする(「無効」では不便ですし「ダイアログを表示する」に設定するのが理想かも知れませんが、ダイアログが多くなり、非常にウザいです)

図①:バイナリビヘイビアとスクリプトビヘイビア=有効にする(「無効」でも構いませんが地図サイトで地図を閲覧できないことがあります。「無効」にしておいて、閲覧できないサイトを「信頼済みサイト」に登録するのが理想でしょう)

署名済みActiveXコントロールのダウンロード=ダイアログを表示する(これから「ActiveXをダウンロードしよう」という設定です。「無効」にすると必要なActiveXコントロールをダウンロードできなくなります。当然ですが、信頼できないサイトでダイアログが出てきたらダウンロードは必ずキャンセルして下さい)

◆スクリプト◆

図②:Javaアプレットのスクリプト=チャットやネットゲーム、Webカメラを御利用の方は「有効」、それ以外の方は「無効」のままにしておいて下さい。

図③:アクティブスクリプト=有効にする(マイクロソフトのサイトでウインドウズのアップデートが出来なくなるなど、「無効」にすると多くのサイトが正常に閲覧できません)。

◆その他◆

図④:IFRAMEのプログラムとファイルの起動=無効(「無効」のままで構わないのですが、WEBサイトの小さなフレーム(窓)「インラインフレーム」が表示されなくなります。この技術を使った悪意あるサイトが増えているようで「無効」が望ましいです。インラインフレームによる「更新履歴」などが見られなくなりますが、多くの場合、それほど不便はないでしょう。「ダイアログを表示する」にしておいて信用できるサイトでのみ表示するのも良いと思います)

図⑤:UserDataの常設=「無効」のままで構いませんが、オンラインブックマークが使えなくなる可能性があります。個人情報が漏洩する可能性があり、無効を推奨します。

図⑥:ファイルのドラッグ/ドロップ、またはコピー/貼り付け=無効にする(FTPサイトなどからファイルのドラッグ/ドロップ/コピー/貼り付けを許可するかどうかの設定。FTPサイトにアクセスする機会が少ない場合は無効にしておいて下さい。ホームページを運営しない人や「FTPサイトって何?」という人の大部分は「無効」を推奨します)。

ページの自動読み込み=有効にする(WEBサイトの引越し先などへ自動で飛べなくなります。「ダイアログを表示する」が理想かも知れませんが面倒です)。

より権限の少ないWebコンテンツゾーンのWebサイトがこのゾーンに移動できる=有効にする(そんなサイトは一杯あります)。

暗号化されていないフォームデータの送信=有効にする(「無効」は不便過ぎますし「ダイアログを表示する」ではウザ過ぎます)。

図⑦:異なるドメイン間のサブフレームの移動=「無効」のままで構いませんが、一部サイトでサブフレームが表示されなくなります。こういうサイトは基本的に「怪しい」です。

拡張子ではなく、内容によってファイルを開くこと=無効にする(プログラムファイルの拡張子を他の拡張子に偽って開かせようとすることが出来るので「無効」をススメますが、画像を保存させない対策として、画像の拡張子を「txt」に偽っているYahoo!ブログなど、画像などが正常に表示されないサイトがあります)

図⑧:混在したコンテンツを表示する=ダイアログを表示する(セキュリティの甘い「http」サイトの内容と、セキュリティの高い「https」サイトの内容が混在しているという意味です。つまり、通信の機密性を高める暗号化がなされている部分と、暗号化されていない部分が混在しているという意味です。クレジットカード番号を入力する画面でダイアログが出る場合、クレジットカード番号が漏洩する危険性があることを意味します)

◆ダウンロード◆

ファイルのダウンロード=有効にする(「無効」では不便でしょ?。笑)

◆ユーザー認証◆

図⑨:ログオン=ユーザー名とパスワードを入力してログオンする(ログイン画面で「ユーザー名」と「パスワード」を毎回手入力するという設定です。「いつも自動ログインしていて『ユーザー名』『パスワード』なんて覚えていない」という人は「現在のユーザー名とパスワードで自動的にログオンする」にしておいて下さい。但し、ユーザー名やパスワードが漏洩する可能性があります。「イントラネットゾーンでのみ自動的にログオンする」はルーターなど、LAN内部でのみ自動的にログオンするという意味で「匿名でログオンする」は暗号化してログオンするという意味で、暗号化できないLAN内部やhttpサイトではログオンできなくなります)

以上の項目のオススメ参考サイト=ここここ

-----コンテンツタブの項目-----

オートコンプリート=「フォームのクリア」「パスワードのクリア」をクリックし「Web アドレス」「フォーム」「フォームのユーザー名およびパスワード」のチェックを外して「OK」をクリック(文字を入力する際、過去に入力した文字列を自動的に表示する機能をオフにします。これらの文字列をパソコン内に保存しないことによって、情報漏洩の危険性を減らします。「この機能がないと面倒」「覚えてられないから、この機能がないと困る」という人は、この項目は触らないで下さい)。

-----詳細設定タブの項目-----

この項目のオススメサイト=ここここ

●JavaJITコンパイラの使用=無効(Javaを使ったチャットやゲームを利用しないなら無効に設定)
●HTTP 1.1 を使用する=有効(HTTP 1.1という新しい通信規格を使用する設定です。データ転送を効率化できるようです)
●検索するとき=「アドレスバーから検索しない」か「メインウィンドウに検索結果を表示する」(場合によっては危険なサイトを直接開いてしまう可能性があります)
●SSL 2.0 を使用する=有効(暗号規格を利用できる場合には利用するという意味のようです)
●SSL 3.0 を使用する=有効(暗号規格を利用できる場合には利用するという意味のようです)
●TLS 1.0 を使用する=有効(暗号規格を利用できる場合には利用するという意味のようです。但し、一部のショッピングサイトなどで正常に利用できなくなる可能性があるようです)
●サーバー証明書の取り消しを確認する=有効(暗号化されたページの有効期限が切れていないかをチェックする機能のようです)
●フォームの送信がリダイレクトされた場合に警告する=有効(メールフォームなどに入力した内容を送信しようとした時、第三者によって、勝手に送信先を変更された場合に警告する設定のようです)
ブラウザを閉じたとき、[Temporary Internet Files]フォルダを空にする=有効(「表示したページをパソコン内に保存しない」設定です。ダイアルアップ接続などの時代の名残として残っている機能で、ADSLや光回線での影響は殆ど無いと言って良いでしょう)
●プロファイルアシスタントを使用する=無効(勝手に個人情報を送信しない設定)
●暗号化されたページをディスクに保存しない=有効(SSL保護されたウェブページをパソコン内に残さないようにする設定)
●保護付き/保護なしサイト間を移動する場合に警告する=無効(警告されてもユーザーには何も出来ませんので「有効」にすると面倒なだけだと思います)
●無効なサイト証明書について警告する=有効
●オン デマンドでのインストールを有効にする(Internet Explorer)=無効(悪意あるプログラムを勝手にダウンロードさせられないようにします。オンラインゲームなどを利用する場合は必要になる場合があります)
●オン デマンドでのインストールを有効にする(その他)=無効(悪意あるプログラムを勝手にダウンロードさせられないようにします。オンラインゲームなどを利用する場合は必要になる場合があります)
●スクリプト エラーごとに通知を表示する=無効(ホームページ作成者が自分のページを閲覧する時には意味がありますが、それ以外では必要ありません)
●スクリプトのデバッグを使用しない(Internet Explorer)=有効(ホームページ作成者が自分のページを閲覧する時には意味がありますが、それ以外では必要ありません)
●スクリプトのデバッグを使用しない=有効(ホームページ作成者が自分のページを閲覧する時には意味がありますが、それ以外では必要ありません)
●ダウンロードする画像のプレースホルダを表示する=有効(ホームページを表示する体感速度をアップします)

-----危険なポート137、138、139を閉じる(インターネットオプションとは無関係の項目です)-----

ポート137、138、139を閉じる=「コントロールパネル→ネットワーク接続」で「ローカルエリア接続」を右クリックしてプロパティを選択。「全般」タブの「インターネットプロトコル(TCP/IP)」をクリックし、「プロパティ→詳細設定」で「WINS」タブの「NetBIOS設定」の「NetBIOS over TCP/IPを無効にする」にチェックを入れて「OK→OK」をクリック。

------------------------------------------------------------

 ウインドウズの不要な「サービス」についての設定です。基本的に既定の設定では「何でもできる」ような設定になっていますが、それがセキュリティホール(危険な穴)に成りえます。実際に危険度が高いサービスもありますし、余計なサービスは停止しておいた方がパソコンの動作が軽くなりますので、使用しないサービスは停止しておいた方が良いと思います。私自身、詳しい訳ではなく、覚え書きを兼ねて書いていて、私の環境で停止して問題の無かったものを紹介していますが(私自身が実行していても環境依存が大きいと思われるサービスについては紹介していませんし、WindowsXP Professionalについては分かりません)、ファイル共有ソフトを使っていたり、使用環境によっては問題が起こる可能性もあるので自己責任で行って下さい。

以下の設定は「スタートメニュー→コントロールパネル→パフォーマンスとメンテナンス→管理ツール→サービス」から行います。

以下の項目のオススメサイト=ここ

●Alerter=システム管理者が複数台のパソコンを一括管理するのに用いるサービスのようです。個人ユーザーは「無効」で良いでしょう。
●Application Layer Gateway Service=Windows標準ファイアウォールと接続共有に関するサービスのようです。ファイアウォールソフトをインストールしている場合など、使わない場合は「無効」で良いでしょう。
●ClipBook=クリップブックに保存した情報を他のパソコンと共有するためのサービスのようです。リモートアシスタンスなどの機能を利用していない場合は「無効」で良いようです。
●Computer Browser=ファイルやプリンタの共有を行う場合やMy Networkを参照する場合以外は「無効」が良いようです。人によっては切らない方が良いサービスだと言う人もいるようですが、私は無効にしています。
●Distributed Link Tracking Client=一般家庭でドメイン管理をしている人は殆どいないと思われるため「無効」で良いようです。
●Error Reporting Service=アプリケーションエラーなど、マイクロソフトにエラーを報告するサービスのようです。マイクロソフトに協力したい人以外は「無効」で良いと思います。
●Fast User Sweitching Compatibility=複数ユーザーが同時にログオンするためのサービスのようです。利用中のユーザーアカウントに問題が生じた場合に別のユーザーがログオンして問題解決を行う時には必要なようですが、普通は使わないですよね?。
●Help and Support=「ヘルプとサポートセンター」を有効にしてネットワーク経由でヘルプサービスを実行するためのサービスのようです。「手動」で良いでしょう。
●Indexing Service=ファイル検索を早くするための「インデックスサービス」を行うサービスのようですが、ハッキリ言って「無効」でも殆ど変わらないと思います。
●IPSEC Services=全ての通信を暗号化するIPセキュリティポリシーを利用するためのサービスのようです。ドメインに参加していない場合やVPNなどIPセキュリティが必要な通信をしていない場合は不要らしく、そもそも、今の個人ユーザーには殆ど必要ないようなので「無効」で良いでしょう。
●Messenger=システム管理者や警告サービスから送信されるメッセージを受信するサービスらしく、Windows MessengerやYahoo!メッセンジャーなどのメッセンジャーソフトとは無関係のサービスのようです。ドメインに参加している場合は「自動」、参加していない場合は「無効」が良いようです(情報漏洩の危険性が高まるようです)。
●Net Logon=ドメイン内ユーザー名とパスワードを認証する際に利用するサービスのようです。ドメインに参加していない場合は「無効」で良いようです。
●NetMeeting Remote Desktop Sharing=NetMeetingを利用して他のパソコンからデスクトップにアクセスするためのサービスのようで、基本的には「無効」にしておくべきでしょう。必要な場合は「手動」で問題ないと思います。
●QoS RSVP=通常は利用していないプロトコルらしく「無効」で良いようです。
●Remote Access Auto Connection Manager=Internet Explorer以外のアプリケーションから自動的にダイヤルアップ接続を行うためのサービスのようですが、ADSLや光回線では「無効」で良いようです。
●Remote Desktop Help Session Manager=リモートアシスタンスを利用していない場合は「無効」が良いようです。
●Security Center=ウインドウズ標準の「セキュリティセンター(「コントロールパネル→セキュリティセンター」)」が「『ウインドウズ標準のファイアウォール』が働いているか『ウインドウズの自動アップデート』を有効にしているか『ウィルス対策ソフト』を導入しているかを監視するサービス」らしいです。このサービスが直接セキュリティに関わっている訳ではなく、ファイアウォールやウイルス対策ソフトを導入している場合は「無効」で良いと思います。
●Server=Remote Produce Callサービスのサポートとファイル、印刷、および名前付きパイプ共有をサポートするサービスらしいですが「切らない方がいいサービス」に挙げる方もいるようです。「自動」でも問題ないようですが、セキュリティを高めたければ「手動」に変更にした方が良いようです(私は「手動」にしています)。LAN内ファイル共有をする場合は「自動」にする必要があるようです。
●Smart Card=記録メディアとは別の、セキュリティ認証として利用されるスマートカードへのアクセス制御と管理を行うサービスのようです。通常は「無効」で良いようです。
●SSDP Discovery Service=ユニバーサルプラグアンドプレイ機器の検出に利用されるサービスのようです。ネットワーク内でユニバーサルプラグアンドプレイ機器を利用していなければ「無効」で良いようです。
●TCP/IP NetBIOS Helper=NetBIOS over TCP/IPのサポートを行うサービスのようです。ファイル共有を利用していない場合は「無効」で良いようです。
●Telephony=ダイヤルアップ接続を行うためのサービスのようです。予め「Remote Access Auto Connection Manager」を無効にした上で「無効」にすると良いと思います(但し、携帯電話との接続を行う場合は「手動」にして下さい)。
●Terminal Services=リモートアシスタンスと同じように、他のパソコンのデスクトップを表示して操作する「ターミナル」機能のためのサービスのようです。「無効」で良いと思います。
●Uninterruptible Power Supply=パソコンに接続されたUPS(無停電電源装置)を管理するためのサービスのようです。UPSが接続されていない場合は「無効」で良いでしょう。
●Universal Plug and Play Device Host=「UPnP」を利用しない場合は「無効」が良いでしょう。
●WebClient=WebDAVを利用しない場合は「無効」で良いようです(停止中でも旧WebDAVクライアントは使えるようです)。
●Wireless Zero Configuration=特別な設定をすることなくワイヤレスネットワークに接続するためのサービスのようです。無線LANアダプタを利用していない場合は「無効」で良いでしょう。


スポンサーサイト
  1. 2008/11/11(火) 00:28:29|
  2. 未分類
  3. | トラックバック:0
  4. | コメント:0
<<メドはつきました | ホーム | 更新>>

コメント

コメントの投稿

管理者にだけ表示を許可する

トラックバック

トラックバックURLはこちら
http://sakiyukifutoumei.blog49.fc2.com/tb.php/49-fb9e43ac
この記事にトラックバックする(FC2ブログユーザー)
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。