- ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:DCOM機能の制限をしたいです。)
DCOM機能の制限方法について
このQ&Aのポイント
- DCOM機能の制限方法について考えています。レジストリ設定やローカルセキュリティポリシーのセキュリティオプションを変更することで制限を行うことができますが、設定には注意が必要です。
- エクスプローラやサービスの起動ができなくなる可能性があります。インターネット側やLAN内の他PCからのDCOM関係の要求は制限し、自PC内のエクスプローラやサービスは通常通り使用できるようにするためにはどのような設定が適切か悩んでいます。
- 現在の設定では、コンピュータアクセス制限とコンピュータ起動制限を行っていますが、さらに適した設定があれば教えていただきたいです。使用OSはWindows7ProfessionalSP1です。
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
個人的には、ある程度一般的に「止めても良い」とされるDCOM機能をストップさせて、あとはファイアーウォールソフトを導入して、「このソフトの通信を認める・認めない」を指定すればいいと思っています。 ただし、最近のスパイウエアなどは、通常、通信が認められるはずのアプリを乗っ取ったりするので、これで万全とはいえませんがね。 私の場合は、攻撃側の高度に洗練された手法を雑誌やセキュリティのセミナーで知ると、もう「Windowsを使う限り、完璧な防御は無理!」と考えています。 なので、「ちょっと変かな?やられたかな?」と思えたときに、初めの状態(OSとよく使うアプリをインストールしてメールなどの設定完了状態)に戻せるように、その時点でのハードディスクのCドライブのイメージをバックアップして、数ヶ月とか半年ごとに、その状態に戻しています。(メールやマイドキュメントなどはDドライブ以降に割り当ててあります)
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_2_thumbnail_img_sm.png)
お礼
回答ありがとうございます。セキュリティーのセミナー、機会を見つけて行ってみたいと思います。 ファイアウォールソフトは現在KasperskyからComodoに乗り換えてちょこちょこ弄くってます。プロセス毎の許可・拒否の学習設定はテンプレートがあると助かるのですが、試行錯誤していくしかないみたいです。 ただlv4uさんの言われるように、ちゃんと学習させていても信頼しているプロセスに注入されるとダメみたいですね。ほとんど使われないプロセスに乗り移ってから、よりよく使われるプロセス(IEとか)に乗り移るものがあるとか。しかも出回る前にきちんと検出されないか検証したり、自身をアップデートするプログラムも入れておくなど、すごいなと感心してしまいます。 ある程度インストールや設定を済ませてあるバックアップは私も取っているのですが、なんというか、あまりにリカバリを掛ける間隔が短いので参っている次第です。SELinuxは設定次第では要塞になるとも言われているみたいですし、ディストリビューションを決め打ちして、セキュリティ設定を狙って書いている書籍やウェブを参考に一個一個穴を塞いでいくのがよいのかもしれませんね... 話がずれましたが、Linuxの話は別で質問を立てるとして、DCOMの話はある程度の目途がつくまで質問を受け付けたいと思います。一般的に止めても良いとされるDCOM機能が何なのか、それと原則止めてはいけないDCOM機能は何なのか、その辺のことを伺いたいです。(自分でも調べていきますが)よろしくお願いします。