アカウント名:
パスワード:
サーバ・クライアント型の配信システムを構築して大本だけ手動でアップデートしているかVPNとかでメーカー直結しているとかそんなのかも。
ウイルス対策ソフトを配信して駆除作業を実施したが、
PC端末にはウイルス対策ソフトを入れてないみたいですね。
ウィルス対策ソフトをインストールしないというのも1つの選択肢です。
ウイルス対策ソフトをインストールしないというのは、まあ選択肢の一つだと思いますが、Windows Update をしないのも選択肢の一つですか?
社内システムとの検証ができてないのでXP SP3使用禁止!ってまま放置プレイの会社があります。まあそれは極端でも、IE7にすんな!ってところは結構あると思う。
IE7にはする意味自体がもともと無いから
> Windows Updateによって不正なファイルが入り込むこともありますし、仕様変更によって正常に稼働していたシステムが期待に反する動作をすることもありますから。
上記のとおり「期待に反する動作」が無いと保証できない限り、パッチやパターンファイルを導入することは許されませんよね。銀行とか。もしくは、誤検出などのリスクを理解していただくか。
もちろんネットワークが隔離されていることが前提ですが。
Windows Update、ウイルス対策ソフトの導入を禁止しておきながら、USB メモリーなどで外部からのファイルの持ち込みを許可していたから、W32.Downadup.B なんて古いセキュリティーホールを突くワームにやられたと。
設計者の想定範囲内の事態だから問題ないですね!
素人は黙ってなよ。
これは余計。誰にでも意見を表明する権利はある。専門家なら、素人に解りやすく説明できるのが当然。そうでないなら半人前。君は半人前ではないんだから、余計なことは書かないこと。
> 余計なことは書かないこと。
できれば、ほんの少しだけでも我が身を振り返って頂けると……。
ウイルス対策ソフトにより、MS08-067(RPCの境界チェックの不具合)を利用したウイルス感染を防ぐことができるものなのでしょうか?
ウイルス対策ソフトは、Webやディスクからのファイルを経由した感染は拾ってくれるでしょうが、パケットの細かいところまで見てパケットを破棄してくれているわけではないような気がします。
誰かテストされた方は教えてください。
そんな製品は法人向けならいくらでもあると思いますよ。
インターネット上から最新のパターンを取得できるサーバが一台あれば、それを見に行くようにしておけば良いし。
Kasperskyにはパターンファイルを共有する機能があります。http://blog.shiten.info/2008/09/-pc--.html [shiten.info]
という要件を提示したとき、それを満たす案を考えてみてくれないか。 「できません」と答えるのはナシな。そういう奴はプロジェクトから真っ先に外されるから。 元コメのようなネットワーク構成と、全て人力を介して管理するのと コストを算出してみるとどちらが現実的かよーく分かるぞ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
外部に繋いでないなら (スコア:1)
まさかUSBメモリで内部のサーバに手作業で注入?
Re:外部に繋いでないなら (スコア:1, 興味深い)
サーバ・クライアント型の配信システムを構築して大本だけ手動でアップデートしているかVPNとかでメーカー直結しているとかそんなのかも。
Re:外部に繋いでないなら (スコア:1)
ウイルス対策ソフトを配信して駆除作業を実施したが、
PC端末にはウイルス対策ソフトを入れてないみたいですね。
Re:外部に繋いでないなら (スコア:3, 参考になる)
特定の業務専用のPCとネットワークならば、
ウィルス対策ソフトをインストールしないというのも1つの選択肢です。
その代わり、外部からファイルが持ち込まれないように対策をしますし、
ネットワークの事業所や部署などの境界にファイアウォールを設置して、
業務専用のカスタムなプロトコル以外をすべて遮断し、
ワーム等が持ち込まれても感染が一部に留まるようにします。
Re: (スコア:0)
ウイルス対策ソフトをインストールしないというのは、まあ選択肢の一つだと思いますが、Windows Update をしないのも選択肢の一つですか?
Re:外部に繋いでないなら (スコア:1, すばらしい洞察)
隔離されたネットワークでは自動アップデートを行わない事は珍しいことではありません。
Re:外部に繋いでないなら (スコア:1, 参考になる)
社内システムとの検証ができてないのでXP SP3使用禁止!ってまま放置プレイの会社があります。
まあそれは極端でも、IE7にすんな!ってところは結構あると思う。
Re: (スコア:0)
IE7にはする意味自体がもともと無いから
Re: (スコア:0)
Windows Updateによって不正なファイルが入り込むこともありますし、仕様変更によって正常に稼働していたシステムが期待に反する動作をすることもありますから。
Re:外部に繋いでないなら (スコア:3, 参考になる)
> Windows Updateによって不正なファイルが入り込むこともありますし、仕様変更によって正常に稼働していたシステムが期待に反する動作をすることもありますから。
上記のとおり「期待に反する動作」が無いと保証できない限り、パッチやパターンファイルを導入することは許されませんよね。銀行とか。
もしくは、誤検出などのリスクを理解していただくか。
もちろんネットワークが隔離されていることが前提ですが。
Re: (スコア:0)
Windows Update、ウイルス対策ソフトの導入を禁止しておきながら、USB メモリーなどで外部からのファイルの持ち込みを許可していたから、W32.Downadup.B なんて古いセキュリティーホールを突くワームにやられたと。
設計者の想定範囲内の事態だから問題ないですね!
Re:外部に繋いでないなら (スコア:1, おもしろおかしい)
現実に顕在化した問題だけについて最適化された結果論はナンセンスよ。
しかも、WindowsUpdateしてたって今回のワームには対処できないんだしぃ。
Re: (スコア:0, オフトピック)
素人は黙ってなよ。
これは余計。誰にでも意見を表明する権利はある。
専門家なら、素人に解りやすく説明できるのが当然。そうでないなら半人前。君は半人前ではないんだから、余計なことは書かないこと。
Re:外部に繋いでないなら (スコア:1, おもしろおかしい)
> 余計なことは書かないこと。
できれば、ほんの少しだけでも我が身を振り返って頂けると……。
ウイルス対策ソフトが入っていれば拡散が防げるのか (スコア:1)
ウイルス対策ソフトにより、MS08-067(RPCの境界チェックの
不具合)を利用したウイルス感染を防ぐことができるものなの
でしょうか?
ウイルス対策ソフトは、Webやディスクからのファイルを経由した
感染は拾ってくれるでしょうが、パケットの細かいところまで見て
パケットを破棄してくれているわけではないような気がします。
誰かテストされた方は教えてください。
Re:ウイルス対策ソフトが入っていれば拡散が防げるのか (スコア:1)
それはいわゆるウイルス対策ソフトの機能というよりネットワークIDSのような…。
そういうのもセットにした製品もあるでしょうけどそこらへんの量販店で売っている製品にはないですな。
たぶん一般ユーザにはIDSにつきものの誤検知問題をハンドルする、そしてメーカーや販売チャンネルが
それをサポートするのは現実的に無理だと思うんですがどうでしょう。
Re:ウイルス対策ソフトが入っていれば拡散が防げるのか (スコア:1)
Re: (スコア:0)
打たせて取る方式なのは、ヤバいよね。
任意のコードを実行されて冒されたあとに、
冒されたファイルを元に戻そうとするなんて。
たとえばNTFSのMFTをゼロクリアされた後に、
ウイルス対策ソフトができることは、もう・・・
ま、パターンファイルのアップデートで対応するよりも、
WindowsUpdateで穴を塞いだほうがいいってことなんだろうな。
Re: (スコア:0)
そんな製品は法人向けならいくらでもあると思いますよ。
インターネット上から最新のパターンを取得できるサーバが一台あれば、それを見に行くようにしておけば良いし。
Kasperskyにはパターンファイルを共有する機能があります。
http://blog.shiten.info/2008/09/-pc--.html [shiten.info]
Re: (スコア:0)
それって外部のネットワークと繋がっている、って言うんじゃないの?
そのサーバは外部と通信できるし、内部の「外部のネットワークに繋いでいない」はずのクライアントとも通信できるんでしょ?
Re:外部に繋いでないなら (スコア:1, 興味深い)
|
GW
|
Front-End
|
Back-End
のようなシステムで、バックエンドはフロントエンドを経由せずに
直接GWにたどり着けないなんてのはごく普通にあることです。
ここで、バックエンドの更に奥にNASやSANを置き、
別の隔離されたネットワークからNASやSANだけ共有すると、
外部と直接通信できなくても外部からデータを取り込めるネットワークが完成します。
SUSに使うようなサーバと、SUSからアップデータを受けるクライアントは
隔離されたネットワークに置けばよいのです。
Re: (スコア:0)
ゲートウェイなりフロントエンドなりにワームが入り込めば、あとはもう・・・。
Re:外部に繋いでないなら (スコア:1, 興味深い)
普通こういうものです。
Re:外部に繋いでないなら (スコア:1, 興味深い)
という要件を提示したとき、それを満たす案を考えてみてくれないか。
「できません」と答えるのはナシな。そういう奴はプロジェクトから真っ先に外されるから。
元コメのようなネットワーク構成と、全て人力を介して管理するのと
コストを算出してみるとどちらが現実的かよーく分かるぞ。
Re:外部に繋いでないなら (スコア:1, 参考になる)
ま、それらの企業のほうで、辿っていけばインターネットに繋がってるから無意味だっていう話をされると、まぁ、あれですが。
Re:外部に繋いでないなら (スコア:1, 参考になる)
業務用ネットワーク内に配布サーバ置いて更新データをネットワークを介さずにメディア等でもってくるだけだろ。
元コメにもあるがWindowsアップデートならWSUS、ウイルス定義なら各メーカーでEnterprise向け製品があるだろうが。
そいつらを直接インターネットに繋げなければ良い。
なんでインターネットから直接取得して更新しないといけないなんて考えるだ?
そもそもWindowsアップデートなんて通常月一回だし、実際は毎月更新せざるをえないわけじゃない。
ウイルス定義の更新だって、各端末は毎日行うようにしておいても業務ネットワーク内の配布元の更新は毎日やる必要性はない。一時配布元(メーカのことな)が通常は毎日更新なんかしない。
更にいえば公開されるパッチのうち何時どれを適用するかは自社でコントロールするだろうし、事前に検証もするだろ。
インターネットと遮断したいなんて要求出すレベルのところじゃ、これぐらいはコスト増にはならん。
元コメにある構成は確かに有用な構成なんだが、これをもって遮断しているとは言わん。
直接は繋がっていないけど間接しているので、外部とは繋がっている。
レスにもあるようにGWなりがやられたら終わりだ。
遮断したいという要求には満たしていない。
# 要求する側が「遮断したい」という言葉を言っているだけで、実際は元コメのようなものを要求しているというのは別の話な。