Windows 2000, of course, doesn't allow Recovery Console users to access a hard drive without a password, if one previously existed.
とか、
That's all well and good - but the fact remains that Windows 2000 doesn't allow anyone with an old CD to get password-free access, and Windows XP does.
OSセキュリティの問題なの? (スコア:5, 参考になる)
#レスキューのために、全く別のOSでデータを抜くってのもよくやったしね。
そもそも、勝手にブートされる時点で運用セキュリティがダメダメじゃないかと。
Re:OSセキュリティの問題なの? (スコア:5, 参考になる)
元記事 [briansbuzz.com]の
とか、
ってとこがミソのようで。
Windows2000では元のパスワード無しではHDDにアクセスできないようになっていた(やるじゃん、MS)のに、XPではアクセスできてしまうということですね。
つまりは、「もっともセキュアなバージョン」とうたわれるXPであるにも関わらず、2000からデグレードしてるのではないかという問題提起かと思われます。2000からXPに乗り換えたようなユーザ(います?)なら、文句を言う権利はあるかも。
Re:OSセキュリティの問題なの? (スコア:1)
「回復コンソール」を使ってDiskにアクセスしようとすると Local-Admin のパスワードを求められますね。
WinXP のシステムに対して Win2000 の CD を使って同様のことをすると、
パスワード無しにDiskにアクセスできてしまうというのであれば、ちょっとお粗末と言えるでしょうね。
Re:OSセキュリティの問題なの? (スコア:0)
Win2000のシステムにWin9x(or NT4)のCD突っ込んだり、WinXPのシステムにWinXPのCD突っ込んだらどうなるんでしょうか?
教えて、偉い人。
Re:OSセキュリティの問題なの? (スコア:1)
そもそも、Win9x の CD はブータブルじゃありませんが、Win9x では NTFS を扱えません。
Re:OSセキュリティの問題なの? (スコア:2, 参考になる)
ところが、こんなツール [sysinternals.com]もあります。これはDOSからNTFSを読み書きするツールです。Linux/FreeBSD用のNTFSドライバもあるはずですし、基本的にマシンに対する物理的アクセスの前にはOSのセキュリティなど皆無に等しいということでしょう。
そう考えると、結局Windows2000の回復コンソールがパスワードを要求することは一見役立つようで、実は何の意味も持たないのではないかと私は思います。
# あ、ちなみにWin98のCDはブータブルですよ。Meは持ってないので知りませんが、ブータブルであると考えるのが妥当でしょう。
Re:OSセキュリティの問題なの? (スコア:1)
MeのOEM版はブータブルでした。
またMSDN版についてはどのOSも注意が必要で、かならずしもブータブルとは限りません。
#各種アップグレード版はよくしらないのですがどうなのでしょうか?
Re:OSセキュリティの問題なの? (スコア:1)
Win98SEのアップグレード版のCDはブートできませんでした。
Win2kのアップグレード版は学割パックを購入したのですが、アップグレード対象に各種UNIXやfreeなLinuxが入ってまして、店員に聞いたら中身は製品版と同じだとのことでした。もちろんCDブートできましたね。
補足 (スコア:1)
bootableもあります。OEM版Windows98/Me等がそうです。(95に関しては失念)
またMSDN版はw2k等も1つのCDに複数のバージョンが収められているものはbootableではありません。
Re:補足 (スコア:1)
#メーカ向けOEM版は出荷時期によって、中身が若干変わってる場合がある様で…
/* Kachou Utumi
I'm Not Rich... */
追記 (スコア:1)
ブータブルのCD-ROMは起動しません。
起動順番も、少なくとも、HDDよりも優先させてですが。
#個人的には、FD,CD-ROM,(PCMCIA),Network,HDDの順番で起動させるように手持ちの
マシンは全部設定してます。
/* Kachou Utumi
I'm Not Rich... */
Re:追記 (スコア:0)
職場のCompaqが
- HDD
- FDD
という起動順になっていてのけぞりました(CD-ROMはブート不可になってた)。リカバリするなってか?Re:追記 (スコア:0)
さらにbiosにパスワードでもかかってれば別だが、運用上問題があるとは思えないが。
Re:追記 (スコア:1)
分類されるので、どうだか…
#FD入れたままで起動しては、「マシンが壊れた」と泣き付かれるのが嫌で管理者がそうしたとも。
/* Kachou Utumi
I'm Not Rich... */
Re:追記 (スコア:1)
で、電源入れたときに、FDが差さったままだと No system disk だかなんだか文句を言われたり、本当にブートしてきてしまうのは迷惑以外のなにものでもない。なので、私も HDD 以外からブートはできないように設定してます。
CDやFDからブートしたけりゃ、その時 BIOS いじればいいだけ。 そんな機会よりも、入れ忘れたまま電源落とすことの方が遥かに多いので。
Re:追記 (スコア:1, 参考になる)
# 元ACっす。
これがまた判りづらいとこに設定があったんですよ。リムーバブルメディアからのブートをenableにしてから、起動デバイスの検索順をいじるんだったかな。 ま、よその部署からの貰い物でマニュアルが無かったってのも問題に拍車をかけてたんですが。
でも、こないだ入れたDELLでは、起動時のBIOS画面でF12を押すとブートデバイスをいじれるようになってました。そういうマシンや、あらかじめFD起動を優先にしてあるマシンと比べると、リカバリするのにBIOSいじってから、というのはちと面倒かな、と。
Re:追記 (スコア:1)
英語のメッセージを読む気が皆無の人たちに囲まれてました、ええ。
Norton AntiVirus入れたら、シャットダウンのときFDDを見て抜けって警告してくれるようになったので、こういう事件が減りました。
[udon]
Re:追記 (スコア:1)
苦情を申される方が多いですし、ホーム/オフィス向けの機種では
むしろ当然の設定ではないかと。
どうせ、OSプレインストールで、FD起動なんて一般人はしませんし。
リカバリ手順書に、「BIOSの設定を変えて。。。。設定を戻して」
って書いた方がらくでしょ。
wild wild computing
Windows2000の回復コンソールは (スコア:0)
それらもデータ読みとりに関しては結構な制限があったはずです。
どうも流れから見てXPは(通常の回復コンソールで)パスワードを入れれば
データを抜き取れるように見えるのですが、そうなんですか?
現在2000使用でXPは使ったことないので…
Windows2000の回復コンソールは (スコア:1)
ローカルポリシーエディタでセキュリティポリシー内の回復コンソールの項目に「すべてのドライブとフォルダのアクセスを許可」だかなんだかの項目があります。
これをenableにしておけば回復コンソールからの操作の柔軟性が上がります。
回復に回復コンソールを使わないワタシにとっては気休めですが、Onにしておいて損はないのでとりあえずOnに(笑
これはXPでも同様の操作で可能。
>どうも流れから見てXPは(通常の回復コンソールで)パスワードを入れれば
>データを抜き取れるように見えるのですが、そうなんですか?
そうではなくて、Win2KのCDなどからブートしてコンソールに入れば管理者アカウントを持たなくてもファイル操作が可能になってしまう、ということです。
ワタシはこっちのほうが便利だと思う、管理者アカウントのパスを紛失してしまった!などというトラブル(これがけっこう相談多い(TT))にもある程度対処できそう(笑
Re:Windows2000の回復コンソールは (スコア:1)
>回復コンソールの項目に「すべてのドライブとフォルダの
>アクセスを許可」だかなんだかの項目があります。
ま、そもそも、回復コンソールをあらかじめインストールしておかないと
いけないって点が、Win2Kではいささかまずいかと。
説明書きもものすごくわかりにくく書いてあったし。
#セキュリティ云々で薦めないとか書いてあるけど、上記の設定も
#トラブルを起こす前にやっておかないと意味ないし。
会社のPCで、HDDのハード故障でWin2Kが立ち上がらなくなった
PCがあって、PCサポートの連中がいろいろいじくってたんですが、
レンタルで提供されていてOSなんて各自で媒体も持てない状態で
渡されていたそのPC、回復コンソールは入ってなかったっす。
・・・意味ねーっつーの(汗)。
結局ファイルの名称までは見えるのに他にコピーできない、OSの
区画を新たに確保してWin2kをインストールしてもHDDがもうだめで
起動できない、ってな状況で、そのPCにため込まれたデータは
露と消えました・・・。
#おまけに来たサポートのヒト、サポートの癖にWin2k使ったことがなく、
#その場でwebでもなんでも調べようともしない最悪のレベルで、
#しかも隣の席でガチャガチャやってるものだから至極
#うざったかったという悪印象だけ覚えてます。
ちなみに、ヒトは違うんですが、別の機会にPCのハード故障で
全交換してデータを移植するためにサポートを呼んだら、マシンの
名称、adminのパスワードが全く同じものを同時期にネットワークに
接続して、古いマシンにネットワーク越しにマウントする
マシンの取り違えを起こして、確認もせずに渡してくれて、
わたしの仕事時間を数時間以上奪ってくれました(泣)。
#・・・しかも、それで料金しっかりとられてるし(汗)。
#うちの社内のサポートって、いい商売だな、って思いました。
---- redbrick
Re:OSセキュリティの問題なの? (スコア:2, すばらしい洞察)
ということでしょうね。
別のメディアでブートしても絶対に内容が読めないということは、
安全である反面、そのOSがブートできなくなったらもはや手も足も
出ないということになりますね。
特定のキーを持つブートメディアであれば読める、というような
方法があればいいのかも知れませんが、一枚一枚のCD(でなくても
いいけど)に個別のキーを書き込むとコストがかかりそうです。
それに「メディアをなくした」「メディアが壊れた]という場合は
結局、トラブル→リカバー、ということに。
そういえば、ハードウェアでデータを暗号化する装置(たとえば
これ [analogtech.co.jp])なんかは、ハードウェアの故障に備えて合い鍵は作れるん
でしょうか。
Re:OSセキュリティの問題なの? (スコア:1)
その論法で行けば、少なくともLinuxディストリビューションはほぼ全滅になりますよね。
インストーラのCDで立ち上げてコマンドラインから叩けばなんとでもなります。
# rm -rf ./.
Re:何言ってんだ (スコア:1)
言うだけ野暮だとは思いますが、# rm -rf ./. というのはramsy氏の署名です。っていうか、[返事を書く]の引用画面に署名が引っ張ってこられなかった時点で気付かない?
Hiroki (REO) Kashiwazaki
Re:何言ってんだ (スコア:0)
核心を突いてないし、ましてや人の話を聞いていないDQNなので
何言っても無駄でしょう。
ramsy氏の署名に気付かないということは、普段から周りを
全く見渡していないということです。
Re:何言ってんだ (スコア:0, フレームのもと)
コメントの後ろの署名ははっきりそれと分かるようにして貰いたい。つーか、掲示板の文章最後に署名書く輩は自己顕示欲丸出しのバカとかまで思ってしまうAC
Re:何言ってんだ (スコア:0)
> 判別が付きづらく、読みにくくしているだけです(特に常連に多い)
まぁ文章か署名かを判別しやすくするのは、システム側の責任でしょうね。
と
Re:何言ってんだ (スコア:1)
いや、署名の選択について「考える」のは野暮というものでしょう。
どう書いてあっても、それはただの「模様」だと見るのが、スジというもののようで。
#そういや猫に見える模様ってのも有ったよな…
Re:何言ってんだ (スコア:0)
アンタのコメントいろいろ見たけど、
どれもこれも揚げ足取りだね
Re:何言ってんだ (スコア:0)
>どれもこれも揚げ足取りだね
G7氏の方がまだかわいい?
#-1:余計なものなのでAC
Re:何言ってんだ (スコア:1)
#嘘なのでG7
セキュリティと便利さを両立するのはやっぱり難しい (スコア:1)
「このマシンのセキュリティは万全だ」と盲信せずに常に可能性を追求し続ける姿勢が大切だと思う。
でも最近のマシンってリムーバブルドライブを付けてなくてもUSBに付けてしまえばそこからブートできたりするやつもあるから厄介だよねぇ。便利ではあるんだけど。
#旦那がこっそり溜め込んだ工口画像を
#奥さんがぶっこ抜いて・・・
#なんてことがこの先起こったりするのかな
Re:暗号化パーティション (スコア:1)
秘密(^^;)のデータはPGP disk
に入れてます。
Re:セキュリティと便利さを両立するのはやっぱり難し (スコア:1, おもしろおかしい)
ダメダメ運用だったと反省しております。
Re:セキュリティと便利さを両立するのはやっぱり難し (スコア:0)
Re:セキュリティと便利さを両立するのはやっぱり難し (スコア:1)
> USBに付けてしまえばそこからブートできたりするやつも
> あるから厄介
『iPod』は格好の「万引き」道具? [hotwired.co.jp]
iPodから起動しちゃえば、なんでもコピーし放題ですなー。
[udon]
Re:リムーバブルディスク (スコア:1)
帰宅時には外して引き出しにいれて施錠する。
という運用をしたことがあるのですが、
引き出しにしまうのを忘れると、逆に簡単に
盗まれてしまう。という欠点がありました
Re:OSセキュリティの問題なの? (スコア:0)
「WindowsXP を使用中に、」ってとこで WindowsXP で動作している PC の CD-ROM Drive に Windows2000 の CD-ROM を読ませるとなんかあやしいプログラムが動きだして…、とかそういうのを想像してしまいましたよ ;-)
Re:OSセキュリティの問題なの? (スコア:0)
これで抜き取りには対処可能だと思うのですが上書きは対処できないのかな。
Re:OSセキュリティの問題なの? (スコア:2, 参考になる)
自分のディレクトリやファイルを暗号化する人にかぎって
「パスワード忘れたからなんとかしろ」って言って来るんだ。
(そしてそれはたいがい「エライ人」)
そういう人は、自分がやめるときに引継ぎせずにデータ満載の
PCを置いて行っちゃう…。そして、後任のこれまた「エライ人」
がパスワード不明でどうにかしろって言って来る…。
Re:OSセキュリティの問題なの? (スコア:1)
#違うのでG7
Re:OSセキュリティの問題なの? (スコア:1)
記事の方法ではXP Proの暗号化されたディスクでもアクセスできるんでしょうか。
元記事でもそのことは書かれていなかったと思いますが(見落としていましたら失礼)、どなたか試されたかたは居られないでしょうか?
Re:OSセキュリティの問題なの? (スコア:0)
(まあ、運用対処できる範疇だから個人的には「フーン」だけどね)
でなかったらかなりアレゲなタレコミだなあ。
脊髄反射が恥ずかしいのは全世界共通っす。
Re:OSセキュリティの問題なの? (スコア:1)
ついでにLinuxでも入れといてあげる、とか。(笑)
Re:OSセキュリティの問題なの? (スコア:0)
Re:OSセキュリティの問題なの? (スコア:0)
暗号化ファイルシステムって2000の頃からあったと思うけど。NTFS5以降で実装された機能でしょ?
あれ、システムの入ったドライブも暗号化できるんだっけ?
Re:OSセキュリティの問題なの? (スコア:1)
できます。ただ、システムファイルは暗号化できません。一般的には「マイ ドキュメント」とかその辺を暗号化するものでしょうね。あとはテンポラリファイルが作られるところを。
Re:OSセキュリティの問題なの? (スコア:0)
それ以来、自分のノートパソコンはホームディレクトリだけEncrypted FSをかけています。
でも、それすら破られるようなら論外ですね。パソコンは外に持ち歩く
Re:OSセキュリティの問題なの? (スコア:2, 参考になる)
現在,自分はPGPで必要なファイルを暗号化する程度にとどめています.
Re:OSセキュリティの問題なの? (スコア:1, 参考になる)
暗号化ファイルシステム [ascii24.com]を導入しておけば良いのでは?