Windows XPのネットワークセキュリティは、レジストリキーで強化できる。お気に入りの5種類のレジストリキーを紹介しよう。
1.Hidden
このレジストリ値を追加すると、Windows XP搭載PCをネットワーク閲覧リストから消去できる。これにより、たまたまネットワークに接続してきたようなユーザーが、「マイ ネットワーク」画面でマシンを見つけてしまう事態を防止できる。自分自身のコンピュータと、ほかの人にいじってほしくない大切なノートPCとデスクトップPCに使っている。
キーの名前:HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
値の名前:hidden
型:REG_DWORD
値のデータ:1
0 コンピュータ名とコメントが別のコンピュータから見える(デフォルト)
1 コンピュータ名とコメントが別のコンピュータから見えない
2.AutoShareWks
Windows XPシステムは、コンピュータ上のドライブ名ごとに、自動的に共有を作成する。これらの共有は、管理者権限を持ったユーザーのみがリモートで利用できる。しかし場合によっては、こうした「自動管理共有」が作成されない方がいいこともある。単純にエクスプローラで該当する共有を右クリックして削除しても、コンピュータを再起動すればその共有は復活する。そこで「AutoShareWks key ()」を設定すれば、こうした共有が作成されずに済む。
キー:HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
値の名前:AutoShareWks
型:REG_DWORD
値のデータ:00 共有削除
1 共有作成(デフォルト)
3.NoLMHash
3番目のお気に入りは「NoLMHash」のレジストリキーだ。このレジストリ設定では、パスワードのLanManハッシュをコンピュータ上に保存しないよう、コンピュータに指示を出す。LanManハッシュはパスワードの形態としては極めて脆弱で、コンピュータ上のパスワードの守りを全般的に弱めてしまう可能性がある。すべてのデスクトップPCでLanManハッシュの保存を無効にすれば、ネットワークのセキュリティを大幅に強化できる。あるいは「thrashlm」ツールを実行してLanManハッシュをコンピュータから削除するという手もある。
キー:HKLM\System\CurrentControlSet\Control\LSA\Parameters
値の名前:NoLMHash
型:REG_DWORD
値のデータ:10 LanManパスワードハッシュを保存する(デフォルト)
1 LanManパスワードハッシュの保存を無効にする
4.CachedLogonsCount
3番目と近い関係にあるのが「CachedLogonsCount ()」だ。コンピュータからドメインにログオンするために使われる各ユーザーアカウントとパスワードは、ローカルのシステム上にキャッシュされている。これによって、マシンをネットワークに接続していないときでも、ドメインアカウントでコンピュータにログオンすることが可能になる。便利な機能ではあるが、キャッシュされたパスワードはパスワードクラッキングツールを使えば入手することができてしまう。可能な限り、キャッシュされるログオン情報の数は制限しておくのがベストだ。別のやり方として、「trashpwhist」ツールを使ってキャッシュされたパスワードをマシンから消去することもできる。
キー:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
値の名前:CachedLogonsCount
型:REG_SZ
値のデータ:10 ユーザーアカウントとパスワードをキャッシュしない
1〜50 数字分の人数のユーザーアカウントとパスワードをキャッシュする(デフォルトは10)
5.RequireSecuritySignature
ユーザーが社内ネットワークから悪質なWebサイトや悪質なSMB(Server Message Block)リレー(※)サーバを閲覧するのが心配なら、「RequireSecuritySignature」のキーを有効にしておくのが最善かもしれない。これで、あらゆる形態のクレデンシャルリフレクション攻撃の実行を阻止できる。
※中間者(man-in-the-middle)攻撃によりSMBセッションを乗っ取る手法。サーバへの不正ログインなどに用いられる。
キー:HKLM\System\CurrentControlSet\Services\LanManServer\Parameters
値の名前:RequireSecuritySignature
型:REG_DWORD
値のデータ:1(有効)0 SMB署名が不要(デフォルト)
1 SMB署名が必要
以上のレジストリキーは、グループポリシーの設定、あるいはそれぞれのマシンで実行される「.reg」ファイル経由で導入できる。「これ1つでXPシステムのセキュリティは万全」といえるようなレジストリキーは存在しないが、この5種類のレジストリキーをXPシステムに導入すれば、ネットワークのセキュリティを守る一助となる。ただし全社的な導入の前に、これらレジストリ設定について十分な検証を怠ってはいけない。
