Tags

Recent Entries

Recent Comments

Recent Trackback

Feeds

More Links


タグ:「security」の記事一覧

Microsoft Shared Computer ToolKITとか。

[Permalink] [Post to del.icio.us] [Post to hatena] [Post to livedoorClip]
去年の暮れくらいにリリースされたMicrosoft Shared Computer Toolkit、あんまり評判聞きませんけど利用状況ってどうなんでしょうね。個人的には結構インパクトあったんですが。

ていうか今更話題にするような事でもないと思いますが使ってみた感じでは、ディスク保護はかなり便利。

社内の動作確認用端末用とか公共端末に使う分にはありだと思います。
導入する際の注意点は、

 ・事前に「User Profile Hive Cleanup Service」を入れておく必要がある。
 ・システムドライブの10%もしくは1GBのどちらか大きい方のサイズ分「未使用の領域」が必要。
 ・ページングファイル、各種ログ等はCドライブ以外のパーティションへ。
 ・再起動するとCドライブが元の状態に戻されるので、消されたくないものはサーバ上に。

くらいだと思います。そんなに敷居は高くない。

導入コストは無償なので低いし、基本的に普通のHDDブートだから起動も速いし、何よりMicrosoft謹製なのでシンクライアントを導入するよりはコレの方が随分マシな気がします。

ディスクの保護と保護解除を切り替えるのがちょっと面倒くさい感じですが、コマンドラインでも動作するみたいなので以下みたいなバッチファイル作っておけば運用も若干楽になります。

--DiskProtectOn.bat
@echo off

ECHO +--------------------------------------------------------------+
ECHO | |
ECHO | ディスクの保護を有効にして再起動を行います |
ECHO | ※必ず管理者権限を持つユーザーで実行してください |
ECHO | |
ECHO +--------------------------------------------------------------+
ECHO.

SET /P Y_N="続行しますか?(y/n) : "

IF %Y_N%==y GOTO EXECUTE
IF %Y_N%==Y GOTO EXECUTE
GOTO FIN

:EXECUTE
CSCRIPT //H:cscript //NoLogo //I
ECHO.
ECHO しばらくお待ちください...

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "DefaultUserName" /t "REG_SZ" /d "[普段使用しているユーザー名]" /f
CD "%SCTPATH%\scripts"
DiskProtect.wsf /On

shutdown.exe -r -t 3

:FIN


--DiskProtectOff.bat
@echo off

ECHO +--------------------------------------------------------------+
ECHO | |
ECHO | ディスクの保護を無効にして再起動を行います |
ECHO | ※必ず管理者権限を持つユーザーで実行してください |
ECHO | |
ECHO +--------------------------------------------------------------+
ECHO.

SET /P Y_N="続行しますか?(y/n) : "

IF %Y_N%==y GOTO EXECUTE
IF %Y_N%==Y GOTO EXECUTE
GOTO FIN

:EXECUTE
CSCRIPT //H:cscript //NoLogo //I
ECHO.
ECHO しばらくお待ちください...

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "DefaultUserName" /t "REG_SZ" /d "[普段使用しているユーザー名]" /f
CD "%SCTPATH%\scripts"
DiskProtect.wsf /Off

shutdown.exe -r -t 3

:FIN


これで管理者ユーザでログオンするか、コマンドラインからrunasで実行するだけで切替が可能になります。

公共端末で色々荒らされて困っている場合は導入の価値ありです。
Posted by: simpraight at 2006/12/22 19:40:07 | Tags: [windows] [security] | Comments:1 | Trackbacks:0

USBメモリでTrueCryptを使う

[Permalink] [Post to del.icio.us] [Post to hatena] [Post to livedoorClip]
暗号化・セキュリティのソフトウエアは以前色々探したことがあるのですが、非常に融通が利き、且つセキュリティ的にも強固なTrueCryptというオープンソースのソフトウエアに辿り着きました。
特徴としては

 ・対応メディアを選ばない
 ・外出先PCへのインストールが必要ない
 ・操作性が良い
 ・ニセ隠しボリューム(外殻)の中に本当の隠しボリュームが作成できる

特に3番目がオシャレ。
とりあえずUSBメモリ等のリムーバブルメディアで使うにあたって、2番目の「外出先PCへのインストールが必要ない」っていうのは結構重要です。いちいち出先のPCにインストールするわけにはいけませんからね。

「初期設定が少し面倒」ということが難点といえば難点ですが、一度覚えてしまえば大したことはありません。
以下にUSBメモリ等で使用する為の手順を残しておきます。

TrueCryptのセットアップ

1.ダウンロード


とりあえずTrueCryptのダウンロードページから本体(truecrypt-4.x.zip)をダウンロードします。
また、「Language Packsのページ|http://www.truecrypt.org/localizations.php」へ進み日本語langpack(langpack-ja-x.x.x-for-truecrypt-4.x.zip)をダウンロードしておきます。

2.インストール


ダウンロードしたファイルを解凍し、「TrueCrypt Setup.exe」を実行してウィザードに従いインストールを行います。
ダウンロードlangpackは解凍後、中にある「Language.ja.xml」をインストール先フォルダ(C:\ProgramFiles\TrueCrypt)内にコピーします。

3.初期設定


インストールが完了したらとりあえず起動します。UIが英語になっていますので、メニューバーの[Settings]->[Language]を開き、設定を日本語に変更します。

暗号化用ボリュームを作成する


対象となるUSBメモリを接続しコンピュータに認識させます。初期化をする場合はこの段階でしておいてください。
TrueCryptのメニューバーから[ツール]->[ボリューム作成ウィザード]を実行します。

1.ボリュームの種類


ウィザードが表示されて、
 標準 TrueCrypt ボリュームの作成 または
 隠しボリュームの作成
が選択できますのでどちらか好きな方を選択します。今回は「隠しボリュームの作成」を選択することにします。

※隠しボリュームを選択すると、暗号化された標準ボリュームの中にさらに隠しボリュームを作成することが出来ます。
例えば、本当に隠したいファイルは複雑なパスワードを設定した「隠しボリューム」の中に保存し、ダミーファイルを簡易なパスワード(123やpassword等)を設定した「標準ボリューム」に保存しておくことで、盗難/紛失時に「隠しボリューム」が発見されるリスクを下げる効果が期待できます。

2.ボリュームの位置


ボリュームの選択を行い、ウィザードを続けるとボリュームの位置(作成先)を聞いてきます。
特定のファイルをコンテナとして作成しそれを暗号化ボリュームとして使用する場合は「ファイルの選択」を、USBメモリやHDD等のデバイスをまるごと暗号化ボリュームとして使用する場合は「デバイスの選択」を行います。

今回はUSBメモリ内に暗号化コンテナファイルを作成しますので「ファイルの選択」をクリックし、USBメモリ内を参照し「Crypt」という名前でファイルを指定します。

3.外殻ボリュームの作成


コンテナファイル指定後ウィザードを続けると「外殻ボリューム」の作成画面になります。
ここで言う「外殻ボリューム」とは1つ目の暗号化ボリュームです。一旦外殻ボリュームを作成した後、その中に「隠しボリューム」を作成することになります。
暗号化方式については、特にこだわりがない場合は標準の方式(AES)で問題ないと思います。


4.外殻ボリュームのサイズ


次へ進むと、ボリュームサイズを聞かれますので必要な容量を指定します。
ただし、後で説明する「TrueCrypt自身」を保存する領域を空けておく必要がありますので「2MB」程度は領域を残しておいてください。


5.外殻ボリュームのパスワード


次へ進むと外殻ボリュームに設定するパスワードを聞かれますので、この領域を「ダミー」として使用する場合は、わかりやすい・いかにも設定しそうなパスワードを設定します。(※この領域をメインの暗号化領域として使用する場合は推測困難で複雑なパスワードを設定するようにしましょう。)

●安易なパスワードはこの辺が参考になるかも知れません。
よく使われるパスワードトップ10(from GIGAZINE)

6.外殻ボリュームのフォーマット


パスワードの設定まで終わったら「フォーマット」をクリックしてボリュームのフォーマットを行います。
容量によっては数分かかることがあります。

7.隠しボリュームの作成


外殻ボリュームを作成した後は上記3~6と同じ手順で隠しボリュームを作成します。ただし、パスワードについては推測困難で複雑なパスワードを設定するようにします。

以上でボリュームの作成は完了です。


外出先でも使用可能な環境を設定する

1.トラベラーディスクの作成


ここまでの手順で暗号化ボリュームの作成は出来ましたが、この状態で出先のパソコンで暗号化ボリュームを利用しようとするとパソコンにTrueCryptをインストールしなくてはなりません。
そうしなくても良いように、「トラベラーディスク」というものが用意されています。トラベラーディスクという名前は付いていますが、要はTrueCryptのインストールフォルダから最低限実行に必要なファイルだけを抽出しただけのものです。
必要なファイルをコピー&ペーストでも問題ありませんが、一応セットアップツールが本体に付属していますのでソチラを利用することにします。

TrueCryptのメニューバーより[ツール]->[トラベラーディスクのセットアップ]を実行します。
「トラベラーディスクを作成する場所」はUSBメモリ内に設定します。(暗号化ボリュームの中ではありません。)
「TrueCryptボリューム作成ウィザードを含める」については、出先でボリューム作成を行う必要はまずありませんのでチェックを外しておきます。
設定後「作成」をクリックすると、USBメモリ内に「TrueCrypt」フォルダが作成され、その中に必要なファイルがコピーされているのが確認できます。

2.マウント&アンマウント用のバッチファイルを作成する


このままでとりあえず出先でも暗号化ボリュームを利用できるようになりましたが、もう少し便利に使うために、暗号化ボリュームのマウント&アンマウント用のバッチファイルをUSBメモリ内に作成します。

mount.bat

@echo off

net user %USERNAME% | findstr "\*Administrators" >NUL
if %ERRORLEVEL% == 0 GOTO IS_ADMIN

RUNAS /env /user:administrator "TrueCrypt/TrueCrypt.exe /h n /v Crypt /lx /a /m rm /q"
GOTO END

:IS_ADMIN
start "Open crypt volume" "TrueCrypt/TrueCrypt.exe" /h n /v Crypt /lx /a /m rm /q

:END

unmount.bat

@echo off

net user %USERNAME% | findstr "\*Administrators" >NUL
if %ERRORLEVEL% == 0 GOTO IS_ADMIN

RUNAS /env /user:administrator "TrueCrypt/TrueCrypt.exe /h n /dx /q"
GOTO END

:IS_ADMIN
start "Close crypt volume" "TrueCrypt/TrueCrypt.exe" /h n /dx /q

:END

以上2ファイルをUSBメモリ内に作成しました。
トラベラーモードは管理者権限でないと動かないらしいので、Administratorsでない場合はRUNASで実行するようにしています。これで、mount.batを実行するとパスワード入力画面が表示され暗号化ボリュームをマウントし、unmount.batを実行するとアンマウント出来ます。


以上でUSBメモリでTrueCryptを使う事ができるようになりました。ファイル単位でボリュームを作成しておけば、まるごとバックアップも1つのファイルコピーするだけで出来ますので運用も非常に楽になりますね。
Posted by: simpraight at 2006/11/29 19:54:31 | Tags: [windows] [security] | Comments:22 | Trackbacks:0