怪しいファイルは実行禁止ディレクトリに保存しよう。
なんだか怪しいZIPファイルとか動画ファイルとかあるじゃないですか。
でも、うっかりダブルクリックすると実は”exe”だったりするなんて良くある話ですね。
うっかりミスを防ぐにはそもそも”実行権限”を取ってしまうっていうのはどうでしょう?
実行権限を剥奪してしまえば”exe”は絶対に起動しません。
怪しい事を覚えるついでにWindowsのファイルアクセス権も覚えてしまいましょう。きっと一石二鳥です。
NTFS(NT filesystem)
NTFSファイルシステム(以下NTFS)っていうのはWindows NT用に出てきたファイルシステムで、昔Windows98とかで使われていたFATファイルシステム(以下FAT)の後継版みたいなものだと思ってください。
FATとNTFSを比較するとたくさん違いがあるんですけれども、その中でも頻繁に使う機能をいくつか挙げてみましょう。
- 大容量ディスク/ファイルのサポート
- 暗号化のサポート EFS(Encrypting File System)
- ACL(アクセス制御リスト)に基づくアクセス制御
- RAIDのサポート
- データ圧縮
- ディスククオータのサポート
何気に改めて見てみると、結構いろいろな機能があるでしょう?
とりあえずざっと上に挙げた機能を見てみましょう。
早い話がFATよりも大きいファイルサイズのデータが保存出来ますよ。って事です。
最近じゃめっきり聞かなくなった話だけども昔は”HDD容量の壁”ってのがありまして、簡単に言うとOS(オペレーティングシステム)とハードウェアの制限です。これに引っかかりますといくら300GB(ギガバイト)の最近のHDDを買っても数GBしか認識しない・・・なんて事があったわけです。
NTFSはどのくらいの容量まで認識できるのか?と言われると一応2TB(テラバイト)まで認識出来るみたいですね。RAIDを組めば超えてしまいそうな雰囲気もしますが、とりあえずはあと数年は大丈夫でしょうね。
暗号化のサポート EFS(Encrypting File System)
Windows XPのHomeエディションには無い機能なのですが、EFSと呼ばれるデータ暗号化をサポートしています。簡単に言うと、他の人のマシンで使っていたHDDをこっそり別の端末に繋いで中を覗く・・・っていう、あれを防止できるわけです。
アカウントに紐付いた暗号化のための証明書を用いて暗号化するので万が一アカウントのパスワードを忘れたりすると復号化はおそらく困難です。
実際のところは”回復エージェント”や”自分の秘密鍵付の証明書のバックアップ”を用意しておけば問題ないのですけどもね。
ACL(アクセス制御リスト)に基づくアクセス制御
一言で言えばディレクトリやファイルに対して細かくアクセス制限がかけられる機能です。物理的に盗難にあう危険性が無いのであれば適切な権限さえ付けておけば安心です。今回の怪しい実行ファイルを実行させなくする設定もこの機能を利用して行います。
あえて欠点を言うならば”読み込み権限”に”コピー”や”印刷”が含まれているところでしょうか。しかし、この辺をうまく利用して独自に印刷やコピーの制御を行うセキュリティソフトなんていうのも最近はたくさん出ています。
RAIDのサポート
2台以上のHDDを組み合わせて”1台のHDDのように振舞う機能”をRAIDと言います。RAIDにはたくさん種類があってRAID0〜RAID5等さまざまな物がありますが
- RAID0(ストライピング)
- RAID1(ミラーリング)
- RAID5(ストライピング+パリティ情報)
が主流です。使い方は様々だと思いますがSYSTEMディレクトリはRAID1、作業領域はRAID0、ストレージ領域はRAID5が使われている事が多いです。
データ圧縮
何気に便利なのが”データ圧縮”です。NTFSデータ圧縮の利点はなんと言っても”圧縮指定をしたディレクトリにファイルを配置するだけで自動的に圧縮が適用される”ところにあるでしょう。ですので「アプリケーションは圧縮に対応していないけれどもデータがかさばるのは何とかしたい。」なんていう時に役に立ちます。
注意点としては”データ圧縮はEFS暗号化と共存出来ない”事と”データの複合化にリソースをそれなりに使うので何でもかんでも圧縮すると逆にパフォーマンスが落ちてしまう”という事ですね。
何事もやりすぎは良くないですね。
ディスククオータのサポート
ユーザ毎にDISKリソースの割り当てを決められる機能です。共有端末やファイルサーバなんかによく使う機能ですがある意味怪しいアプリケーションに割り当てると”HDDを限界まで使い切ってしまう”なんて事が無くなるかもしれませんね。
ちなみにWindows Server 2003 R2から”ユーザ単位”ではなく”ディレクトリ単位のクオータ”にも対応しています。
なんだか長い前置きになってしまいましたが、なんとなくNTFS理解出来ましたでしょうか?”あんなこと”や”こんなこと”が出来るんだー。くらいでなんとなく覚えていればいつか役に立つはずですのでこの機会に覚えてしまってください。
怪しいファイルは実行禁止ディレクトリに保存しよう。
では、”ACL(アクセス制御リスト)に基づくアクセス制御”を使って実際に怪しいexeが起動しないディレクトリを作ってみましょう。
1.怪しいディレクトリに移動する
そのままですね、データを保存したいディレクトリへ移動します。
2.”ディレクトリ”を右クリックして”プロパティ”を選択します
3.今”自分が実行しているアカウント権限”を選択し”詳細設定”をクリック
選択するのは”ユーザ”でもそのユーザが所属している”グループ”でもどちらでも構いません。
4.”フォルダのスキャン/ファイルの実行”を”拒否”に変更する
この変更を行う事により対象ディレクトリ内での”ファイル実行権限”が拒否されます。これにより不意にexeファイルを実行してしまう事が無くなるわけです。
5.設定が反映されているかチェックします
試しに”メモ帳”を対象ディレクトリにコピーして”開く”を選択してみましょう。
6.アクセスが拒否されれば成功です。
この設定は本来、ファイルサーバ上からexeを実行させたくない時や、ACLを使ってより権限を制限するために用います。
問題・課題点
この設定により不意にexeファイルを実行してしまう事は防げるようになりました。しかしこれで完全に安全であると言えるでしょうか?exeファイルの直接起動は出来なくなっていますがmp3ファイルやaviファイルは通常通り再生出来ている事でしょう。これはmp3などのデータを実行しているexeファイルは別ディレクトリに存在するので”実行は出来ないが読み取りは可能”な状態にあるからです。 これは便利とも言えますし不便とも言えるでしょう。何故なら悪意のあるexeは起動しないものの、例えば悪意のあるスクリプトは普通に実行されてしまいますし悪意のあるHTMLファイルなどでしたらエクスプローラのプレビュー画面が開いただけで問題を起こさないとも限らないからです。
この問題点をクリアするためにはいくつかの方法があると思います、例えば
- スクリプトを実行出来ないようにする
- エクスプローラのプレビューを禁止する
このへんが該当するでしょう。
しかしいつ悪意のある未知なデータが自分のHDDへ漂流してくるとも限りませんので次回、この問題点について徹底的に考えてみましょう。
Popularity: 5%
トラックバック URI : http://pnpk.net/cms/archives/10/trackback/
【関連記事】
