2005年9月アーカイブ

Fedora core 3 から Fedora core 4 にOSをアップしました。

2　から　3の時には、文字コードの問題に悩まされたけど、今回は大丈夫だろう。



ダウンロード、CD作成、OSインストールまで、順調。

linux系のOSを入れて、大体最初にやるのがsambaのインストール。

今回は、OSインストール時に一緒に入れたので、設定を行うだけ。

そして、再起動。

あれ？？　windowsマシンから拒否される。



調査する事、数時間。

色々とPCをいじってる内に、原因発見！

どうやら、SELinuxの仕業っぽいようです。

セキュリティ強化するのはいいけど、わかりやすいエラーや警告を出して欲しいな。



＜セキュリティレベル設定方法＞

　デスクトップ→システム設定→セキュリティレベル

　SELinuxタグ→SELinuxポリシー修正

　Samba左の三角クリック→「Sambaがユーザーのホームディレクトリを共有することを許可する」をON。

MicroSoftのセキュリティ管理ツールについて 続き



＝＝＝SUSの評価＝＝＝



・導入はSMSに比べえると格段に楽。

・WindowsUpdateを自社サーバで行うイメージ。

（MicroSoftのWindowsUpdateサーバと同期を取る）

・最初に同期した項目が400項目で、それを許可する画面がダメダメ。

400項目全てにチェックボックスがあって、それをチェックしなくてはいけない。

しかも、一括チェック機能が無くて、いちいちTABとスペースを連射 or

地道にクリックしなくてはならない。

・クライアントにはツールのインストールはいらないっぽい。（確か）



■評価結果■

管理画面の操作性が悪すぎて、評価中に、WSUSの情報を入手したので、

そちらを評価する事にした為、使用評価を書けるほど使用して無い。



＝＝＝WSUSの評価＝＝＝



・導入はSMSに比べえると格段に楽。

（本体をダウンロードする時に130MB位あるので時間掛かるけど）

・こちらも、WindowsUpdateを自社サーバで行うイメージ。

・一括チェック機能が有り。

・SP除外機能有り。

・クライアントにはツールのインストールはいらない。

ローカルコンピューターポリシーの設定を2箇所変更する。

（Windows2000は管理用テンプレートが無いから追加する必要有り）



■評価結果■

管理画面の操作性がSUSに比べて良い。（多少重い部分もあるけど）

SUSに比べて細かい制御が出来る。

全体的に満足だけど、文句を言うとすれば、OS毎にセキュリティ、重要な更新、

SPの適用を設定できないのが、残念。



□□□□□結果□□□□□



総合評価的には、WSUS＜SMS＜SUS　といった感じ。

MBSAは、「セキュリティ管理者が随時脆弱性チェックを行う」、

もしくは「個人PCに入れて自分のPCをスキャンさせる」という用途が良さそう。

中小企業のセキュリティ対策としては、WSUS＋MBSAで十分だと思う。

マイクロソフトからは、複数のセキュリティ管理ツールが出てます。

そのセキュリティ管理ツールのいくつかを評価したので、簡単な評価レポートを。



まずは、ツールの紹介

・Microsoft Systems Management Server (SMS)

・Windows Server Update Services (WSUS) (旧称 Windows Update Services (WUS))

・Microsoft Software Update Services (SUS)

・Microsoft Baseline Security Analyzer (MBSA)



この内、MBSAは位置付けが異なり、セキュリティ監査ツールの位置付けです。

他は、WindowsUpdateの自動適用/適用状態監視サーバだと考えてOKです。

評価した順に、書きます。



＝＝＝SMSの評価＝＝＝



・SMSインストール後に設定をしなくてはいけないのですが、それが結構大変。

マニュアルをダウンロードしてきてその通りにやっても、うまくいかない。

（クライアントが認識されない、サイトステータスがインストールする度に違うエラーが出る等の複数要素の不具合）

恐らく、マニュアルがWindows2000Serverのシナリオだからだと思うけど。

設定は、細かい制御が可能な分、複雑です。

クライアントのインストールが必要なので、Active Directoryがあれば楽だけど無いと大変。



■評価結果■

クライアントPCが何百台もある様な大規模な会社では、役に立ちそう。

インストールもうまくいかないので、使用評価は、見送り。



＝＝＝MBSAの評価＝＝＝



・インストール自体は簡単で、しかも無料。

WindowsUpdateを自動で適用するのではなく、『適用されているかチェック』するだけらしい。

しかし、このツールは、PC自体の複数の脆弱性判定をしてくれる。すばらしい。

ドメインのチェックがうまくいかない。マシン名で指定するとスキャンしてくれるのに、なんで？



■評価結果■

WindowsUpdate適用ツールとしてではなく、脆弱性判定ツールとしてはまぁ合格。

ドメイン単位でのスキャンのマシンピックアップ制度が上がってくれれば、十分実用可能。



続きは、後日。