当たり前。すぐに適用すべし。
●Microsoft
┣Windows 2000 Service Pack 4
┗セキュリティ情報一覧
▼以下、SP4対象外▼
┣MS01-022: WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う
┣MS02-008: XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる
┣MS03-008: Windows スクリプト エンジンの問題により、コードが実行される (814078)
┣MS03-011: Microsoft VM の問題により,システムが侵害される (816093)
┃┗サポート技術情報 - 820101 Microsoft VM および Windows 2000 Service Pack 4 に関するよく寄せられる質問
┣MS03-014: Outlook Express 用の累積的な修正プログラム (330994) 2003/04/24
┣MS03-021: Windows Media Player の問題により,メディア ライブラリがアクセスされる (819639) 2003/06/26
┣MS03-039: RPCSS サービスのバッファ オーバーランによりコードが実行される (824146) 2003/09/11
┣MS03-043: メッセンジャ サービスのバッファ オーバーランにより、コードが実行される (828035) 2003/10/16
┣MS03-048: Internet Explorer 用の累積的な修正プログラム (824145) 2003/11/12
┗MS03-049: Workstation サービスのバッファ オーバーランにより、コードが実行される (828749) 2003/11/17
●日経IT Pro
┣日本語版の公開間近,Windows 2000 SP4を解説する 2003/07/01
┣Windows 2000 SP4日本語版と日本語情報が公開,さらなる注意点が明らかに 2003/07/08
┗11カ月ぶりのサービス・パック Windows 2000 SP4を検証 2003/08/28
管理ツールの「ローカル セキュリティポリシー」で、クラッカーに狙われ易いWindows標準のビルトインアカウントAdministratorとGuestの名称を変更する。もちろんAdminとかrootなんて推測し易い名称は論外。複数ワードを組み合わせて推測しづらい名称にすべし。
ついでにGuestは無効化する事も検討すべし。これは「ユーザーとパスワード」で設定可能。ネットワーク共有で接続する必要がある時は該当者のアカウントを同じアカウント名/パスワードで作成するべき。管理が面倒だけど。Windows XPではさらにパスワード無しのネットワーク接続は拒否されるデフォルト設定になっているので注意。これも「ローカル セキュリティポリシー」で変更可能。
●Port139
┗Windows 2000 セキュリティ チェックポイント(3) - Administrator、Guest の名前を変更する
●@IT Windows Tips
┗Windows XPにネットワーク接続できない
パスワードを設定してセキュリティを強化したと言えども、毎度毎度パスワードを入力するのは実際面倒なので自動ログインの設定をする。確かにセキュリティ的にちょっと弱くなるのは否めないが、物理的に接触できる環境を考えるとパソコンごと持って行かれたらパスワードによる防御なんて無意味。そういうわけで、ネットワークから勝手に入られない為だけでもパスワードを設定するのが○と。
[スタート]−[ファイル名を指定して実行]から"rundll32 netplwiz.dll,UsersRunDll"を起動して、「ユーザーがこのコンピュータを使うには、ユーザー名とパスワードの入力が必要」のチェックを外す。
●Windows.FAQ
┗Windows XP に自動ログオンするには?
%SystemRoot%のアクセス権設定を変更しよう |
Port139推奨
上記設定で問題がある場合は、下記マイクロソフト推奨設定を参考に。
●Microsoft
┣Windows 2000 の既定のアクセス権により、トロイの木馬プログラムが実行される (Q327522) (MS02-064)
┗<マイクロソフト セキュリティ情報 (MS02-064) : よく寄せられる質問
●Port139
┗Windows 2000 セキュリティ チェックポイント(8) -システムドライブのアクセス権を強化する
DCOMは不要なので、セキュリティホール発覚に備えて予め無効にしておく。
●kjm's home page http://www.st.ryukoku.ac.jp/~kjm/
┗DCOM を無効にする方法
●マイクロソフト サポート技術情報 http://support.microsoft.com/
┗825750 Windows の DCOM サポートを無効にする方法 2003/08/14
いちいちオリジナル版をインストールしてからService Packを適用するのは邪魔臭いので、最初からService Packを適用した状態でインストールできる環境を作成する。
まず最初にオリジナルCDの内容を全て書換可能なボリュームにコピーする。ここではd:\Win2kにコピーした事にする。
Service Pack 3の場合は"W2KSP3.EXE -s:d:\Win2k"を実行するだけでService Pack統合インストール環境が出来あがるので、あとは"d:\Win2k\setup.exe"を起動すればWindows 2000 SP3が一気にインストールできるわけだ。
Service Pack 2以前の場合は、まず"W2KSP2.EXE -x"でService Packを構成するファイルを任意の一時フォルダに展開し、それから展開されたI386\UPDATEフォルダ中にあるUPDATE.EXEに対して、"UPDATE.EXE -s:d:\Win2k"を実行する。
統合が完了すれば任意の一時フォルダは削除してかまわない。
あとはd:\Win2k配下の環境をCD-Rにでも焼いておけば良いだろう。但しこのCDを単に起動可能としただけではオリジナルのような自動的にsetupが走るようなCDにはならない事に注意する必要がある。起動したあとでキーボードから"i386\WINNT.EXE"とか叩く分には問題無いと思われるが…
ちなみにService Pack統合インストール環境に対してもセキュリティ修正プログラムを適用して「ホントにこれだけインストールすればいい!」というAll-in-oneなCDを作る事もできるようだが、どうせCD焼いた後にも続々と修正プログラムが出てくるのが見えているので、そこまではしない方が良いと思う。
●@IT Windows Insider
┗Windows Tips
・Windows 2000のインストールとService Packの適用を一度に行う方法
・Windows 2000のインストール用起動フロッピーを作成するには
が、ここまでできたらオリジナルのように自動的にsetupが走るようなCDにしたいと思うのが人の常。Googleで検索して調べた結果、面倒は面倒だけど何度もやらなければならない作業でもないので、暇つぶしにやってみる事に。
CD-R書込みソフトCDRWIN(シェアウェア)がお薦めな様だが、せっかくなのでB's Recorder GOLDでやろうと、裏窓 : Windows2000+SP3 bootable cd を作ろう!を参考にISOイメージの作成を行って、B's Recorder GOLDで書込んで無事に成功。これで完璧…と思ったが、Ironでは起動するもののToasterでは起動しなかった。問題なのはCeleron 300A時代のマシンなのでBIOSの相性かもしれないけれど、取り敢えずいいや。f(^^;;
ちなみにCD bootの仕組みに関してはMaking Bootable CD of Windows2000 with ServicePackが詳しい。bootセクタの読み出しもCDmageでできる、というのは備忘録。
●Making Bootable CD of Windows2000 with ServicePack (by CDRWIN)
●Win2000 SP3 統合版 BootableCD の作成 (by CDRWIN)
●Windows2000 SP3 Bootable CD-ROMを作ろう (by CDRWIN)
●裏窓 : Windows2000+SP3 bootable cd を作ろう! (by B's Recorder)
●起動可能な Windows2000 のインストール CD を作成する (by Linux)
以下、英語サイト
●Bink's Site
┗Make your own SP2 slipstreamed win2k Boot CD (by NERO)
●Nu2 Productions
┗Bart's way to create bootable CD-Roms (via ISOimage)
●Microsoft
┣Windows 2000 Service Pack 1
┣Windows 2000 Service Pack 2
┃┗Windows 2000 Security Rollup Package 1 (Windows 2000 Service Pack 2からのアップデート)
┣Windows 2000 Service Pack 3
┣Windows 2000 Service Pack 4
┣Windows 2000 Professional ベースライン セキュリティ チェックリスト
┣Microsoft Windows 2000 セキュリティ構成ガイド
┗[HOW TO] Windows 2000 でサービス拒否攻撃に対する TCP/IP スタックを強化する方法
●Windows.FAQ
●Port139
┣セキュリティ(NT Security)
┗Windows 2000 セキュリティ チェックポイント