DCOM機能の制限をしたいです。

Question

IE'erというプログラムを使って、IEやOfficeをリモートから起動させられたりパラメータを取得されたりする、という記事を読んで恐ろしいと思い、DCOMをぎりぎりまで制限したいと考えています。

そこでまずレジストリ設定で"EnableDCOM"をNに変更したのですが、他にもローカルセキュリティポリシーのセキュリティオプション内にもDCOMの制限が出来る設定があり、ここでも出来る限りの制限を設けたいと思っています。

…が、Microsoftのページではエクスプローラやサービスが起動しなくなる恐れがあると記載されており、実際適当に拒否にチェックを入れていくとExplorer.exeが起動不能に陥ってしまいます。

インターネット側から、またLAN内の他PCからのDCOM関係の要求は全て制限しつつ、自PC内のエクスプローラやサービスは通常通り使用できるようにするにはどう設定を組み合わせればよいでしょうか？ルータとPFWで135番へのインバウンド接続はシャットアウトしていますが、心配なのでOS側でも適切に遮断したいと考えています。自PCの用途はネットサーフィンとメール程度で、リモートアクセスやNASへのアクセス、サーバーの運用は考えていません。使用OSはWindows7ProfessionalSP1です。

とりあえず自分なりに設定してみた感じだと、

・コンピュータアクセス制限

・コンピュータ起動制限

ローカルからの起動|リモートからの起動|ローカルからのアクティブ化|リモートからのアクティブ化
Everyone　許可|拒否|許可|拒否
Administrators　許可|許可|許可|許可
Performance Log Users　拒否|拒否|拒否|拒否
Distributed COM Users　拒否|拒否|拒否|拒否

こんなところですが、設定に不備があったり、もっと適した設定があれば指摘していただきたいです。
よろしくお願いします。

lv4u · Accepted Answer

個人的には、ある程度一般的に「止めても良い」とされるＤＣＯＭ機能をストップさせて、あとはファイアーウォールソフトを導入して、「このソフトの通信を認める・認めない」を指定すればいいと思っています。
ただし、最近のスパイウエアなどは、通常、通信が認められるはずのアプリを乗っ取ったりするので、これで万全とはいえませんがね。

私の場合は、攻撃側の高度に洗練された手法を雑誌やセキュリティのセミナーで知ると、もう「Windowsを使う限り、完璧な防御は無理！」と考えています。
なので、「ちょっと変かな？やられたかな？」と思えたときに、初めの状態（ＯＳとよく使うアプリをインストールしてメールなどの設定完了状態）に戻せるように、その時点でのハードディスクのＣドライブのイメージをバックアップして、数ヶ月とか半年ごとに、その状態に戻しています。（メールやマイドキュメントなどはＤドライブ以降に割り当ててあります）

DCOM機能の制限をしたいです。

個人的には、ある程度一般的に「止めても良い」とされるＤＣＯＭ機能をストップさせて、あとはファイアーウォールソフトを導入して、「このソフトの通信を認める・認めない」を指定すればいいと思っています。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング