■「Active Registry Monitor」はローカルおよびリモート・コンピュータのレジストリの変化を把握するツールである。レジストリのスナップショットを作成し,比較して違いを見つけることが簡単にできる。
■保存して置いたスナップショットからレジストリのデータを復元することも可能。セキュリティ上重要なネットワーク上の任意のコンピュータのレジストリ情報を定期的に把握できるツールとして,セキュリティ管理などに役に立つ。
|
Active Directory配下の主要なコンピュータ(ドメイン・コントローラやファイル・サーバーなど)についてセキュリティを管理するのは,ネットワーク管理者にとって欠かすことのできない重要な仕事の1つだ。ネットワーク管理者は,とくにサーバーへの不正な侵入やシステムの改ざんといった,セキュリティ上重要な問題が発生していないかどうか,常にその状況を監視して状況を把握しておく必要がある。そのために必要な管理項目としては,たとえば不要なサービスや見慣れないプログラムが起動していないか,不要なポートが開いたままになっていないか,あるいは不審なファイルが存在していないか,特定のイベントが発生していないかなど,いくつか考えられる。
セキュリティ確保のためにレジストリの変化を把握することが重要
その中でもぜひチェックしておきたい重要な項目の1つがシステムのレジストリである。Windowsのコンピュータになんらかの変化があった場合には,その変化に応じてレジストリも変化していく。そのため,レジストリの変化の状況を把握しておくことで,セキュリティに関連する変化が発生した場合にいち早く把握できる。
レジストリを扱うツールとしては通常,Windows標準のレジストリ・エディタが使われる。だが,標準のレジストリ・エディタは,システムの時間経過によるレジストリの変化や,何らかの管理作業を実施した際のレジストリの変化についてを正確に把握するのには向いていない。実際に作業しようとすると大変な労力が伴い,事実上不可能である。こうしたレジストリの変化を把握するために役に立つのが,いわゆるレジストリ・モニター・ツールである。今回紹介する「Active Registry Monitor」(以下ARM)も,こうしたレジストリ・モニター・ツールの1つである。
レジストリのスナップショットを採取する
ARMは,基点となるスナップショットを最初に収録しておき,サーバーの運用時間の経過や何らかの変更を加えたときに,再度採取し,そのスナップショットとの差異をチェックしてレポートするツールである。レジストリのスナップショットを採取し,その違いをレポートするツールは比較的多いのだが,その多くはローカル・コンピュータが対象で,たとえば遠隔地にあるサーバーのレジストリを定期的にチェックしたい,といった作業には向いていない。ネットワーク管理者としては,できればリモート・コンピュータのレジストリ変化を手軽に把握できるツールを使いたいはずだ。ARMは,このような目的のために使用できるツールなのである。
ARMをインストールして最初に起動させると,ARMはただちにローカル・コンピュータのレジストリ(「HKEY_LOCAL_MACHINE」と「HKEY_USERS」)のスナップショットを採取し始める。これがローカル・コンピュータの基点データとなる(もちろん,別のスキャン結果を基点データとしてもかまわない)。採取した結果は図1のように表示される。
