Windows10 1903での非推奨機能が開示されていました

Windows10の1903がリリースしてから様々な資料が開示されつつありますが、1903でリタイヤとなる機能の一覧が資料化されていました。

https://docs.microsoft.com/en-us/windows/deployment/planning/windows-10-1903-removed-features

Insider Previewではあまり機能がなくなる話は出てこないので、こういった情報があると今後の流れを意識することができますね。

この1903では、WEP/TKIP接続が非推奨となり、警告メッセージが表示されるようになったようです。

また、Windows To Goが開発終了となった旨が記されています。

f:id:mohessu:20190526002404p:plain

WEPについては、もう20年前の技術なんですよね。
コンピューティング性能が向上することで脆弱が見つかるということはよくあると思うのですが、WEPに関してはそのアーキテクト自体が脆弱であったというのが発覚したパターンでした。そんなものなので、ここまでまっとうに使われてきたというのもちょっと不思議ではあるのですが、一回世にでるとなかなかなかったことにはできないというわかりやすいケースなのかも知れません。

Windows To Goは特殊なUSBを利用してWindows OSを持ち運べるものでしたが、Enterpriseエディションでしか使えなかったり、USBが高価すぎたりしたため、あまり出回らなかった仕組みだと思います。私もテスト以外で現物を見たことがありませんでした。
最近はUSBメモリ自体も下火なのでこの方式自体が時代に合わないということなのかもしれませんね。

他にもいくつか削除になったり非推奨となった機能があるため、このバージョンの導入を行う前には一読をお勧めします。

音楽:Memory

Office365 エンドポイントとCDNの関係について

Office365を利用する際にはIPアドレスドメイン名などのエンドポイントを意識してネットワークアクセスを制御することがあります。
特にネットワークを強固に管理しているケースではOffice365に限らず多くのケースで、Proxyなどを通じ、アクセスできるURLを制限しているのではないでしょうか。

そんな時にはMicrosoftが提供しているIP、ドメインの一覧となっている以下のURLやAPIを参照しながら、接続可能な範囲を制御しているものと思います。

実はこのURLに記載の情報だけだと、一部の情報が欠落しているのはご存知でしょうか?

https://docs.microsoft.com/ja-jp/office365/enterprise/urls-and-ip-address-ranges

私も最近まで認識ができていなかったのですが、CDNなどパブリックなアドレスに対しては非公開情報として詳細を連携しないというのがマイクロソフトのスタンスのようです。

Office365ネットワークの裏側には、akamaiなどのCDNサービスがあり、それらは先ほどのURLにはIP、ドメインが記されていないのです。

詳細は以下のURLの方に記載があります。

https://docs.microsoft.com/ja-jp/office365/enterprise/managing-office-365-endpoints

このURLでは、なぜCDNの内容を公表していないのかなど、Microsoftのスタンスも記されているため、一読しておくことをお勧めします。

f:id:mohessu:20190512023352p:plain

特に上記画像の範囲に記されている以下のURL群については、利用する可能性の高いドメインとなっているので、必要に応じて通信を開放するなどを検討する必要があります。

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net
*.exacttarget.com
*.nsatc.net
*.MSOCDN.NET

ただしこれらは、最後のMicrosoftのもの以外パブリックなCDNとなるため、Microsoft関連外のサービスも提供していることを念頭に置いておきましょう。

相手のあるネットワークなので制御はなかなか難しいところですが、こういった内容を覚えておくとトラブルシューティングに役に立つこともあるかと思います。

音楽:テレサ

Windows10 1903のセキュリティベースラインが公開されました

Windows10 1903のリリースに合わせ、マイクロソフトが推奨するセキュリティのポリシー設定が公開されました。

このポリシーは、マイクロソフトが時勢に合わせて更新している、この程度の設定は行っておくべきという内容を集めたものとなっています。したがって、最低限のセキュリティポリシーのみが定義されており、内容も新バージョンが出るにしたがって変わっていっているのですが、1903においては、パスワードポリシーのなかから定期変更のポリシーを削除したり、ローカルAdministratorのアカウントを有効にして利用することもある。ということを定義したようです。

新しいセキュリティベースラインは以下URLからダウンロードが可能となっています。

https://www.microsoft.com/en-us/download/details.aspx?id=55319

ダウンロードボタン押下後にWindows 10 Version 1903 and Windows Server Version 1903 Security Baseline.zipを選択してダウンロードします。

Documentationフォルダーの下にベースラインとなるポリシーの一覧が格納されており、Excelを利用して内容を確認することができます。

f:id:mohessu:20190524014550p:plain

また、1803との差分も提供されています。

この部分はここ半年の間に変更すべきと判断された、時勢を取り込んだ設定となるため、特によく見ておきましょう。

f:id:mohessu:20190524015419p:plain

他のフォルダーには、このベースラインを適用したPCからとってきた設定値が格納されているので、同ダウンロード場所にあるPolicy Analyzerを用いて自分のPCと比較するなども行えます。

昨今は特にPCの利用範囲も広がり、情報を狙う悪意ある者の攻撃対象も質よりも数という流れがあります。そんな中では少しセキュリティに気を向けるだけで、悪意ある者の目をそらすこともできるので、是非とも一読いただき、セキュリティの向上を検討してみてください。

音楽:星間連絡船

Windows10 1903リリースしました!

2019年5月23日、Windows10 1903がSACとなり一般ユーザーにリリースされました。

1903という名前の通り、従来であれば3月末(4月初頭)にリリースされるのですが、1809のリリース問題を糧に、2か月近くのリリース準備期間をもってのリリースとなりました。

今まではリリース=SACTだったのですが、リリース時にSACでスタートするというパターンとなりましたが、2か月の検証期間を考えるとSACTの期間が2か月になって、Release Previewという名に変わったという感じかもしれません。

以下にWindowsのリリース終了日をまとめたのですが、18か月サポートのはずなのに2020年12月8日までとなっています。6月8日が18か月のスタートになるので、おそらくこの日までは徐々に利用できる人が拡大されていくのかと思われます。

f:id:mohessu:20190523011617p:plain

ついでなので、今日の時点でのOfficeのサポート期限も載せておきます。

f:id:mohessu:20190523015042p:plain

こうしてみると、Windowsの方がOfficeより長期的に運用できることがわかりますね。

ちなみにライフサイクルシートをみると、2019年5月21日リリースとなっているようです。

https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet

f:id:mohessu:20190523020021p:plain

よく見るとほかのバージョンも若干ながらタイミングが異なっていたりしていますね。
どういった計算が正しいのかはわかりませんが、この情報を基に今後のWaaS運用を検討していきましょう。

音楽:Bees and honey

 

Windows10 改ざん防止の動作について

もうそろそろリリースとなるWindows10の1903ですが、このバージョンよりTamper Protectionという改ざん防止機能が搭載される予定であるのはご存知でしょうか。

Windows セキュリティのウイルスと脅威の防止、ウイルスと脅威の防止の設定 - 設定の管理内にある機能です。

f:id:mohessu:20190522012742p:plain

f:id:mohessu:20190522012722p:plain

f:id:mohessu:20190522012656p:plain

これが1903より提供が開始される機能となるのですが、これだけでは何のことやらさっぱりわかりません。笑

この機能の詳細情報を見ると少しだけどういったものかわかるかと思います。

https://support.microsoft.com/ja-jp/help/4490103/windows-10-prevent-changes-to-security-settings-with-tamper-protection

f:id:mohessu:20190522013655p:plain

上記図の反転させたところですが、「悪意のあるアプリによって Windows Defender ウイルス対策の重要な設定 (リアルタイム保護やクラウド提供の保護など) が変更されないよう、保護することができます。」とあります。

Windows Defenderのリアルタイム保護などをオフにできなくする機能ということですね。

それだけだと単なる設定ができなくなるだけのツールですが、この機能の面白いところは、Windows セキュリティを経由すると設定をオフにでき、Windows セキュリティを経由しないとリアルタイム保護などをオフにできないという特性を持っているところです。

言葉だけだと何のことやらだと思うので、実際に動作させてみましょう。

以下のレジストリを追加し、値を1にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
DisableAntiSpyware

f:id:mohessu:20190522014829p:plain

これはリアルタイム保護を行わせないようにするレジストリ設定ですが、この設定をオンにし、再起動を行います。

すると、1度目の再起動ではリアルタイム保護がオフとなりますが、もう一度再起動すると自動的にオンになりました。

f:id:mohessu:20190522022451p:plain

ちなみに、Windows セキュリティアプリ上ではリアルタイム保護をオフに設定することができます。

これがこの改ざん防止のすごいところで、マルウェアなどの外部アプリがセキュリティ機能をオフにしようとしても、自動的に拒否してくれるという動きになっています。

1903はまだInsider Previewなのでリリースまでに動きが変わるかもしれませんが、マルウェア対策としてはかなり良い機能に仕上がりそうです。

概念はとても良いので、1回目の再起動でリアルタイム保護が一時的に切れる点が改修されてくることを信じたいですね。

音楽:ニケ15歳

Windows10 リリース情報のページにメッセージセンターと修正済み問題などが表示されるようになりました

Windows10のリリース情報があるページに、いつの間にやらMessage centerなるリンクが付いていました。

https://docs.microsoft.com/en-us/windows/release-information/windows-message-center

f:id:mohessu:20190521015607p:plain

このページを見ていると、先日お伝えしたWindowsXPに対するパッチの件が載っているなど、Windows関連のニュースを一手に表示する機能となっているようです。

WindowsXPリモートデスクトップに関するパッチ】

http://mitomoha.hatenablog.com/entry/2019/05/20/005758

【パッチが出た情報が記された部分】

f:id:mohessu:20190521015955p:plain

また、現在の問題点と修正された問題点が一覧で表示されていました。

現在の問題点については、StatusにResolvedのものもあり、解決していても直近の問題はわかるようになっている模様です。

【現在の問題点】

f:id:mohessu:20190521015719p:plain

【修正された問題点】

f:id:mohessu:20190521015737p:plain

2019年5月の段階で1809を見てみたのですが、解決された問題点の方には、2018年10月から、現在の問題点の方は2018年11月からあったので、半年ほどは現在と扱っているのかもしれません。

今までは修正された問題はそのまま表記が消えていた気がするので、情報が残り続けるようになったのは大きい一歩な気がします。

現在のところ日本語での提供は無いので、今後各国語に訳されていくことを期待したいですね。

音楽:Go Dark

WindowsXP リモートデスクトップ脆弱性回避のパッチがリリースされています

なんとWindows7のEoSが近いといっている時代において、WindowsXP/Windows Server 2003のセキュリティパッチが緊急リリースされています。

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

JPCERTでもアナウンスがされていますが、あのWannaCryを思わせるような、パッチが適用されていない環境は認証なしでリモート環境から攻撃が行えるものとなっています。

https://www.jpcert.or.jp/newsflash/2019051501.html

現在このパッチなどで対策が可能なOSは以下の通り。
- Windows Server 2008 R2

- Windows Server 2008
- Windows Server 2003
- Windows 10(影響を受けない)
- Windows 8/8.1(影響を受けない)
- Windows 7

- Windows XP

明示は無いですが、Windows 8/10とアーキテクトが同様となるWindows Server 2012/R2、Windows Server 2016/2019も同様に影響を受けない部類に入るかと思います。ちょっと気になるのは、XPと7の間にあったWindows Vista。これ向けにパッチがないのはやはり利用されているケースが少ないからでしょうか。

今回は緊急を要するということで、古いOSにパッチが出されていますが、今後も同様となるとは限りません。(現にWindows 2000等にはパッチがないですしね)

こういった問題発覚時に苦労しない様、できる限りセキュリティパッチの適用可能なコンピュータ環境を整えていきたいですね。

Windows7のEoSに合わせて、WaaSの検討を進めてみてはいかがでしょうか。

音楽:ヒトリッコ