標的型攻撃対策④(Windowsファイル共有)

前回までは、標的型攻撃を受けないためのパソコンの設定になりますが、

今回は、それでも攻撃を受けてしまった場合に、被害を小さくするための対策になります。

そもそも標的型攻撃は

 

①侵入活動

→メールやウェブ経由でマルウェアに感染させる

②侵入した端末で情報の収集

③他の端末でマルウェアをコピー

④サーバ等に侵入しデータの搾取→

 

のような流れで攻撃を行います。(ざっくりですが、、、)

 

前回までの対策は主に①を防ぐためですね。

 

で、今回は「③ 他の端末でマルウェアをコピー」 の対策です。

 

この「他の端末でマルウェアをコピー」の活動は主に、Windowsのファイル共有サービスを利用する

と言われています。

この時

・パソコン間でadministrator権限のID・パスワードが共通
・パソコンのファイル共有が利用可能

の条件がそろうとあっという間に③が成功してしまう らしいです。

 

なので対策としては

1)パソコン間のローカル管理アカウントを個別に設定する。
2)パソコン間でのファイル共有を禁止(共有はファイルサーバのみとする)
→ファイル共有の受信方向のみ停止

1)はパソコンの台数が多ければ多いほど、大変(全PCのパスワードの管理とか・・・)なので、力技で頑張るしかないですが。。。

2)については、以下のような方法で可能かと思われます。

 

 

◆パソコン間でのファイル共有を禁止(ファイル共有の受信方向のみ停止)する方法

●方法その1 パーソナルファイアウォールで止める。

Windowsファイアウォールや、ウィルス対策ソフト内のファイアウォールの機能で

ローカルポート UDP(137、138)、TCP(139、445)

宛ての通信を止めればよいです。

Windowsファイアウォールだと、(AD環境でなければ)、1台ずつ設定が必要ですが

ウィルス対策ソフトを集中管理している環境であれば、一括で設定可能かと思います。

 

●方法その2 ファイル共有を停止する。

そもそもパソコン側でファイル共有(受信)を止めてしまうという方法です。

この方法自体もいろいろ設定の仕方がありますが、一番手っ取り早いのが、ネットワークのインターフェイス上で

ファイル共有を止めてしまうことです。

 

コントロールパネル→ネットワークと共有センター→アダプターの設定の変更

から、自身が使っているインターフェイス(有線だと「ローカルエリア接続」が多いでしょうか)

のプロパティを開き

「Microsoftネットワーク用ファイルとプリンタの共有」

のチェックを外します。

share

※参考(ちょっと古いですが):ファイルとプリンタの共有を無効にしてセキュリティを強化する

https://support.microsoft.com/ja-jp/kb/199346

 

その1その2を組み合わせれば、2)の対策としては概ね大丈夫だとだと思います。

 

※この2つの方法だとWindowsの「管理共有」が動いているままになるので、念のため「管理共有」止めておいたほうがより良いかもしれません。レジストリ弄る or バッチ走らすなど ちょっと手間がかかりますが。。。。

 

参考:Windowsのデフォルト共有を停止させる(管理共有を無効化する)

http://www.atmarkit.co.jp/ait/articles/0304/26/news003.html

 

 

 

 

 

 

 

 

 

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です