「Windowsのインストール中,マシンは無防備になる。攻撃を受けても記録は残らない。また,(サーバーOSについては)Windows Server 2003 SP1以外では,マシンが起動してからホスト・ベースのファイアウオールが起動するまでにタイムラグがあるので注意が必要だ」---。マイクロソフト セキュリティレスポンスチームの小野寺匠氏は10月7日,JPCERTコーディネーションセンター(JPCERT/CC)と日本ネットワークインフォメーションセンター(JPNIC)が開催したセミナーにおいて,Windowsサーバーのセキュリティについて講演した(関連記事)。
「Windows Serverのセキュリティ概要」と題された小野寺氏の講演内容では,Windowsサーバーをセキュアにするための構成や安全な運用方法,セキュリティ監査方法などが具体的に紹介された。その中で,安全な運用のためのポイントの一つとして語られたのが,Windowsのインストールと起動時のセキュリティである。
「インストール直後のマシンは,サービスはすべて起動しているものの,セキュリティ更新が適用されていないので全くの無防備状態である。インターネットに接続したままでインストール作業を実施すると,ワームに感染したり,ツールによる攻撃を受けたりする恐れがある」(小野寺氏)。また,インストール直後にマシンを侵害されると,「それ以降にいくらセキュリティ対策を実施しても,すべて無意味になる。バックアップも侵害された状態になる」(同氏)
安全なインストール方法として小野寺氏が勧めるのはCDからのインストール。ネットワーク経由でインストールする方法もあるが,この場合には「クリーンな専用のネットワークを利用することが望ましい。社内のネットワークが安全とは限らないからだ」(小野寺氏)
マシンの起動時にも注意するよう呼びかけた。スタックが起動してからWindowsのファイアウオール機能が有効になるまでには数秒から十数秒かかるためだ。「可能性は低いものの,この“隙間”に攻撃される可能性がある」(小野寺氏)
Windowsサーバーでの対策は,Windows Server 2003 SP1にアップデートすること。「Windows Server 2003 SP1では,ファイアウオールが起動するまでは全接続を拒否することがスタックのデフォルト・ルールになっている」(小野寺氏)。クライアントOSではWindows XP SP2が同じ仕様である(参考資料)。Windows Server 2003以前では実質的な対応策はないという。「ホスト上ではなく,ネットワーク境界などでリスクを緩和する必要がある」(同氏)
