DCOM機能の制限をしたいです。
IE'erというプログラムを使って、IEやOfficeをリモートから起動させられたりパラメータを取得されたりする、という記事を読んで恐ろしいと思い、DCOMをぎりぎりまで制限したいと考えています。
そこでまずレジストリ設定で"EnableDCOM"をNに変更したのですが、他にもローカルセキュリティポリシーのセキュリティオプション内にもDCOMの制限が出来る設定があり、ここでも出来る限りの制限を設けたいと思っています。
…が、Microsoftのページではエクスプローラやサービスが起動しなくなる恐れがあると記載されており、実際適当に拒否にチェックを入れていくとExplorer.exeが起動不能に陥ってしまいます。
インターネット側から、またLAN内の他PCからのDCOM関係の要求は全て制限しつつ、自PC内のエクスプローラやサービスは通常通り使用できるようにするにはどう設定を組み合わせればよいでしょうか?ルータとPFWで135番へのインバウンド接続はシャットアウトしていますが、心配なのでOS側でも適切に遮断したいと考えています。自PCの用途はネットサーフィンとメール程度で、リモートアクセスやNASへのアクセス、サーバーの運用は考えていません。使用OSはWindows7ProfessionalSP1です。
とりあえず自分なりに設定してみた感じだと、
・コンピュータアクセス制限
ローカルアクセス|リモートアクセス
Everyone 許可|拒否
Performance Log Users 拒否|拒否
Distributed COM Users 拒否|拒否
ANONYMOUS LOGON 拒否|拒否
・コンピュータ起動制限
ローカルからの起動|リモートからの起動|ローカルからのアクティブ化|リモートからのアクティブ化
Everyone 許可|拒否|許可|拒否
Administrators 許可|許可|許可|許可
Performance Log Users 拒否|拒否|拒否|拒否
Distributed COM Users 拒否|拒否|拒否|拒否
こんなところですが、設定に不備があったり、もっと適した設定があれば指摘していただきたいです。
よろしくお願いします。
お礼
お返事ありがとうございます。ローカルにあるCOMに対するリモートからのアクセスは、結局、基本通り、「Port135に対するWAN側からのアクセス遮断」という解釈でいいんですよね? WindowsのサービスはRPCに依存するものが多いというのは承知してますし、LAN側からの135へのアクセスを止めると、DHCP、MSMQ、MSDTC、Exchange Serverなどの利用ができなくなるのも知ってます。ただ、RPCを止めてしまうのではなく、DCOMだけをOFFる方法が実はあるんです。DCOMCNFG.EXEです。これを利用した場合に、セキュリティーソフト関係に影響が出るのかどうかを知りたいのです。