アカウント名:
パスワード:
プロキシサーバ やファイヤーウォール、ルータなどで、SSL(443) のポートを制限した環境下で、クライアントから Windows Update に接続した場合、「更新をスキャンする」を実行後、「現在利用可能な更新はありません」などが表示される場合があります。
うぁ、これだったのか。先日来、
修正プログラムをインストールするのではなく、コンポーネントのバージョンを上げる
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
実は定番 (スコア:3, すばらしい洞察)
最近は企業もセキュリティーへの意識が強いために社内の端末は
パッチやワクチンソフトはきっちりしているのですが
個人で所有しているノートパソコンなどは意外と
ワクチンソフト等が入っていなくて,それでも業務上どうしても
必要という事でつなぐことあるんですよねぇ.
で,あとはご存じの通りとw.
まぁ,せめてWindows Updateだけはやっておけという事ですね.
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:実は定番 (スコア:1, 参考になる)
今回のような、普段はオフラインのPCにどうやってWindows Updateをかけろと?
Windows Updateの実行中にワーム感染してしまいますよ。
#普段からサービスパックのCDをばらまけ>MS ってことです。
Re:実は定番 (スコア:2, 参考になる)
WindowsUpdate カタログ [microsoft.com]を使えってことでしょう
コピーはメモリスティックなりCD-Rなり好きなのを..
Re:実は定番 (スコア:0)
あるいは、SUSなんて買えねーよと言いたかったのかも。
#メタモデしました。
SUSは無料ですよー(-1激しく揚げ足取り(笑)) (スコア:1, 参考になる)
ダウンロードして使ってたのでちょっとびっくりしました
「Microsoft(R) Software Update Services」日本語版を6月24日(月)より提供開始 [microsoft.com]
一回SUSサーバーが同期してしまえば、Windows Updateが混んでても各端末に反映できるのが良いです
無論完全隔離なネットワークにはWindows Update カタログしか使えませんが...
(Proxy経由/FW経由等によりSUSとMSのUpdateサイトとの接続を確立する必要があるため)
あと自動更新機能のみでしかUpdateできないのも...
Windows UpdateみたいにWebで出来れば便利なんですけどねぇ
Re:実は定番 (スコア:0)
SMS [microsoft.com]を導入したいAC
Re:実は定番 (スコア:2, 参考になる)
すべてのWindowsUpdateが終わるまでwww.windowsupdate.comを開く以外の操作を禁止にすれば、まずウィルスに感染することはない。
ローカルエリア接続->インターネットプロトコル->詳細設定->オプション->TCP/IPフィルタリング
以外と知られてないけど再セットアップ後のWindowsUpdateはこれでやるのが安全。もちろんパッチを保管しておくのがベストですがね。
# 再セットアップ用のCD-ROMはサービスパック適用済みにしておくののも忘れずに。
# この簡易ファイアーウォール、ひとつひとつポート設定しないといけないのが大変・・連番で指定できればラクなのに・・
Re:実は定番 (スコア:1, 参考になる)
揚げ足をとる気はないですが、Windows Updateでは443/tcp(HTTPS)もつかいますよ。
Windows Update で使用されるポートについて [microsoft.com]
Re:実は定番 (スコア:0)
ご指摘感謝です。
Re:実は定番 (スコア:0)
うぁ、これだったのか。先日来、
Re:実は定番 (スコア:0)
「Proxy経由で接続していた…。 」という結論は早計では?
Re:実は定番 (スコア:0)
>「Proxy経由で接続していた…。 」という結論は早計では?
この文だけでは早計に読めるけど
ブラウザにプロキシサーバ設定する時
http(とftp) だけ設
Re:実は定番 (スコア:0)
Re:実は定番 (スコア:1)
#保守用のマシンならなおさらそのような環境を整えておくべき。
みんつ
Re:実は定番 (スコア:2, 興味深い)
これに限らず今後盲点になりそうなのはこの例 [impress.co.jp]のように組み込みOSに脆弱性があることを認識できずに臨時にプリンタの貸し借りやってしまって感染してしまうなどということが起こりえるということですね。
プリンタに限らずインテリジェントっぽいものなら何でも。
ひょっとして「この製品はWindowsXXが組み込まれています」という表示を義務付ける必要があるかな?
Re:実は定番 (スコア:1)
脆弱性の識別/検知という意味では「内容を表示しておく」というのは、十分に効果のある方法だと思いますよ。
でも、組み込みでも Windows 系に限らず、TRON だろーが何だろうが OS やミドルウェアに脆弱性はあるものと考えるべきでしょう。アップデート不能なものかもしれませんし。
100%の防御は不可能ですが、確率を100分の1、1000分の1にする方策はいくらでもあるはずです。小さな対策からでいいから、それを考え実践していくことが大事なのではないかと。
みんつ
Re:実は定番 (スコア:2, 参考になる)
>脆弱性の識別/検知という意味では「内容を表示しておく」
>というのは、十分に効果のある方法だと思いますよ。
そうですね。商品の購入時の判断基準にもなり得るでしょう。そしてそれがポジティブに働けば一種のブランドを形成することにも繋がるのだと思います。
おまけ
ネットワークプリンタの組み込みOSなどの脆弱性にからむ危険性についてピンと来ない方はプリンターを買うときはネットワークプリンターを買うべきではない [iij4u.or.jp]を読むと分かりやすいかも。
Re:プリンターを買うときはネットワークプリンターを (スコア:1)
事が間違いじゃないでしょうか?
私もネットワークプリンタを使っていますが
デフォルトゲートウェイを空白にして同一サブネットから
のみアクセス可能にしています
大きな組織でも別サブネットのプリンタが応答する
必要があることは少ないと思うので
十分セキュアだと思っています
もちろん社内に不心得物がいないという前提ですが・・・
Re:プリンターを買うときはネットワークプリンターを (スコア:1)
#この辺になると「そこまでリスク考えるの?」って話になるけどね。
Re:実は定番 (スコア:0)
Re:実は定番 (スコア:0)
感染力が強い、被害範囲の大きいワームが出ることはめったにないので、
普段からWindowsUpdateをやっておけば大丈夫でしょう?
それか、修正パッチは単体でも配付されているので、それを安全なマシンで取得、
フロッピーやCD-Rに入れて持ち込み、当てればいいんじゃないですか?
MSが修
Re:実は定番 (スコア:0)
>Windows Updateの実行中にワーム感染してしまいますよ。
というコメントに対し、
>普段からWindowsUpdateをやっておけば大丈夫でしょう?
というのはズレてませんか?
現状の運用をMSの都合の合わせて頻繁にオンラインにつなげろと?
>それか、修正パッチは単体でも配付されているので、それを安全なマシンで取得、フロッピーやCD-Rに入れて持ち込み、当てればいいん
Re:実は定番 (スコア:2, 参考になる)
>それとも片っ端から全部とっておけ?
Windows Update嫌いな私めと致しましては、コレ実践しちゃってます。
作業がうっとうしいったらありゃしない。
でもWindows Update嫌いなんだから仕方が無い。
あきらめが付いてるからそうしてますが、素人に限らずオススメできるものではありませんね。確かに。
私んとこには該当する機械が2台しかないからマシなんだと思いますが、管理者の中の人は大変でしょうね。
しかし、Windows Updateの動作がイマイチ信用ならねぇ [microsoft.com]んで、単体パッチをダウンロードして当てて回れば結果が見えるぶん安心できるかも知れません。
Re:実は定番 (スコア:1)
片っ端から全部 その2 (Re:実は定番) (スコア:0)
ただし、別に Windows Update が嫌いというわけではなく、単に 56kbpsのアナログモデムによるダイアルアップ接続だから という理由なのですが (w
Windowsを再インストールしたとき、また繋ぎにいくとなると(テレホ時間帯でない限り)、金がかかりまくるのがイヤなわけで...
# なんで不具合修正のためにまた金を払わなあかんねん (--;
で、ひと通り作業が終わってからネットに接続して Windows Update でチェックするようにしてます(念のためにね)
>単体パッチをダウンロードして当てて回れば結果が見えるぶん安心できるかも知れません。
そうですね。
あと、他に、
Re:実は定番 (スコア:1, 興味深い)
私がウン年前NECに入社したときは、McAfee VirusScanは持ち帰り放題、
自宅PCに入れ放題と説明を受けましたが…
なんでも社員やってる限り、自宅でも使ってもいい契約になってるのだそうです。
自宅PCで感染→会社でバラマキされるくらいなら、
多少費用がかさんでもそういう対策を採るんだな、と当時は感心した記憶があります。
まぁCordRed以降は、さすがに自宅PCの接続自体がタブーとなっていますが。。。。
#当時はUSBメモリもなかったし、持ち帰りには苦労したな。
#クロスケーブルでmobio繋いでmobioのHDD内に落としてた。