Palm84 某所の日記

死のうは一定、しのびクマには何しよぞ...

トップ > セキュリティ > Windows XP Service Pack 2情報 9/19更新

Windows XP Service Pack 2情報 9/19更新

セキュリティ

9/19 まとめサイトがありました。

それと、【Windows Update version5】なのか、【Service Pack 2】による変更なのか知らないですけど、IEでWindows Update のサイトにアクセスすると【%SYSTEMROOT%\system32\svchost.exe】が通信を開始します。パーソナルファイアウォールの設定でこれをブロックしているとスキャンに失敗します。具体的な設定はというとport:443及び80の送信(クライアント動作)を許可しないと駄目みたいです。【svchost.exe】は【Generic Host Proceses for Win32 Services】の名前になってると思います。

な、長い。

キターーー。私は時間がないのでまだ入れてません。入れましたら、ちょっと?かなり?重くなりました。)かなり時間がかかります。メーカーの対応情報を確認して、ドライバ類を準備してから入れた方がいいと思います。CD-ROMがPCショップや、なんと郵便局でも配布されるとのこと。MSさんがんばったかも。(まぁそれだけファイルサイズでかっ!なわけですが。)

うむむ、これを初期設定のまま使えば、スパイウェアなどの感染はまちがいなく激減すると思います。でも、このままでは見られないサイトも結構あると思うんで「鬱陶しいから設定変えてまえ〜→→しょもないブロックなんか邪魔なだけなんじゃぁ、よっしゃー突撃→→あえなく、見事に、撃沈→→ウワ〜ン、タスケテタスケテー!→→自業自得です!」な展開(NIS状態)も予想はされますけど。

結局、スパイウェアとかって設定ちゃんとすれば防げるってことですね。SpybotやSpywareBlasterなんかもWindowsに元々ある設定を使ってるわけだし。(手動では面倒なんであんまり誰もしないけど)

不具合情報も。多分SP1の時と同じくドライバのアップデートなどが必要になる機種も多いと思います。BIOSのアップデートはちょっと辛いなぁ。

なんか、Microsoftキーボードやマウスが「暴走」することがあるみたいです。新しいドライバをどうぞ。

セキュリティ機能を強化すれば利便性が落ちるのは仕方がないことです。ただ、社内アプリなどの関係でアップデートできない事情が発生するのではと少し不安です。

最悪の場合(起動できない)はこれでしょうか?

インストール

新機能

よく寄せられる質問

別パーティーションがあればWindows XP と Service Pack 2 を同時にインストールも可能とのこと。(Mozilla系ではブックマークのリンクに飛べないみたいです。)

[マイコンピュータでの、CD のアクティブ コンテンツの実行を許可する]
既定ではチェックはオフで、セキュリティ制御機能が有効になっています。設定をオンにすることで、CD-ROMなどに収められているファイルで実行されるスクリプトや ActiveX コントロールの自動実行を、ユーザーの操作を必要とせずに許可します。
[マイコンピュータのファイルでのアクティブ コンテンツの実行を許可する]
既定ではチェックはオフで、セキュリティ制御機能が有効になっています。設定をオンにすることで、ローカル コンピュータに収められているファイルで実行されるスクリプトや ActiveX コントロールの自動実行を、ユーザーの操作を必要とせずに許可します。

「クロスゾーンスクリプティングの脆弱性」を完全に防止するために「デフォルト無効」(=制御有効)に設定されてるようです。ってことはこの先(あるいは未公開のものもあるかも)この脆弱性が完全にはなくならないってことですかな。Spybot の言い分が正しかった事が証明されたみたいな...。

でも、この制御を無効にすると脆弱性の影響を受ける恐れはこの先あるわけですね。

情報バーを左クリックまたは右クリックし、[ActiveX コントロールのインストール] をクリックします。

アドオンとは、Internet Explorer などに機能を追加するアプリケーションです。 Windows XP SP2 では、Internet Explorer においてこれらの追加機能を有効または無効にすることができます。 この機能を使用することにより、Internet Explorerに問題が発生した際、原因となるプログラムの特定に役立ちます。

Internet Explorer の [ツール] をクリックし、[インターネット オプション] をクリックします。[プログラム] タブをクリックし、[アドオンの管理] をクリックします。

自動ダウンロードの抑止

スクリプトを使った自動ダウンロードをブロックします。この際、情報バーをクリックしてメニューから選択する必要があります。

ダウンロードファイルの署名の確認

ファイルの電子証明書を確認します。実行ファイルなどの場合、ブロックを解除しないと実行不可となるようです。(NTFSのみ)

ポップアップのブロック

認証にこれを使ってるサイトを利用する際には無効にするか、許可サイトを登録する必要が出てきます。不要な人も多い気がします。でもこれの主目的は「エロ」対策だと思います。『w』

Cookieの詳細

「プライバシーの警告」画面でCookieの概要が確認できます。

Outlook Express の「WEBビーコン」対策

HTMLメールを表示した際に画像やインターネット上のコンテンツをブロックするオプションが追加されてます。

HTMLメールのメッセージをリッチエディットで表示

えーと、「HTMLメールのテキスト表示」オプションは元々あったわけなんですが、実はこれテキストと言ってもIEエンジンが表示してたわけなんです。ということは、テキスト表示にしても「スクリプト」などが実行されてしまう危険があるんだそうです。(し、しらんかったぁー。セキュリティホールって程じゃないみたいだけど)

Data Execute Prevention(DEP) データ実行防止機能

バッファーオーバーフロー攻撃を防止するとのこと。(詳しい事は私に聞かないでね。)

ICF 改め Windowsファイアーウォール

まだよくわかりません。とりあえず発信(プログラム)制御機能はないです。NetBIOS の設定は簡単になってます。えー、私の希望は(多分普通の人の意見とはかけ離れてるかも)他のファイアーウォールソフトとの併用もOKだったらいいかなと思ってます。私自身の都合ではないんです。「ソフト入れても設定ようわからんからこんなもん切ってまえ」な御仁が私の周囲に多いもんで。とりあえず外部からの不正パケットのみブロックする簡易的な設定もあった方がいいと思います。

「よっしゃ!、Zone Alarm 入れとくわ。そやさけ完璧に安全でな〜んも手間かからん設定しといてくれや!」とか。いえ、お金(たんまりと)頂けるなら努力させて頂きますけど、ってほとんど無理やん!、ってな個人的事情ですみません。「やっぱ、Kerio にするわ、こっちの方がワシにおうとるんちゃうか」っておいおい!。by AVG Q&Aに出てきた人...(謎

ハッキリ言って、この内容の殆どは雑誌からの引用だったりします。(バレバレ

追記:システム管理者の方は例外設定が使いやすいかも。ポートだけでなく「スコープ」(ネットワークアドレスやサブネット)の指定も可能です。

例外の許可のチェックオン・オフで設定変更なしに切替できるのも便利です。(ルーターのない環境などで使う場合)オフにすれば全ポートステルスになります。

アダプタ毎の設定を一覧画面でできるのもいいかなと。

あぁ、でも他のファイアウォールソフト使えるならそっちの方が機能的には段違いなことは言わずもがなですけど。「プログラム毎の設定がめんどいんじゃ」な方はこちらでも充分だと思います。

とりあえず、管理者の方の間では設定しやすくなったとの声が多いみたいです。