情報技術の四方山話

AI、IoT、ヤマハルータ、VPN、無線LAN、Linux、クラウド、仮想サーバと情報セキュリティのよもやま話

Windows 10のMicrosoftのサポート最終終了日は?-2025年10月14日の予定

2023-01-04 01:01:05 | 情報セキュリティ
Windows 10のMicrosoftサポートの一番最後の日は2025年10月14日です。注意すべきは、Windows 10は継続的なアップデートを行う最初のWindowsだということです。実は、Windows Updateによる更新を続けないと「最終了以前にサポート切れ」になります

■Micorosoft社によるWindows 10 Life Cycle

Microsoftの公開ページはこちら

例えば、2021年5月18日版のVersion 21H1は2022年12月13日でサポートが終了しました。このように、サポート期間は短いのです。Windows10では、更新版は、ほぼ毎年二回の提供で、寿命も概ね2年弱です。Windows 10の更新はWindows Updateを通じてダウンロードしインストールします。Windows Updateを実行しなければ、2年以内にサポート切れとなります。Microsoftサポートの最終了日まで安全に使うには、Windows Updateを使い続けることが必須です


いつもアクセスありがとうございます。Windows 10のサポート終了予定と注意事項を共有します
コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

Windows 8.1のMicrosoftサポートが終了-2023年1月10日(PST)

2023-01-03 10:05:08 | 情報セキュリティ
すでに対策済みとは思いますが、MicrosoftはWindows 8.1のサポートを2023年1月10日(PST)に終了します。日本時間では翌11日16:59頃が終了時間になります

■Microsoft社のWindows 8.1終了告知ページ

この日以降、Microsoftからの修正のソフトウエアの提供、即ちWindows Updateでの更新ソフトの提供が終了となり、Microsoft Defender(旧Windows Defender)ウイルス対策ソフトの情報更新も止まります

その他、Microsoft以外のソフトウエアも更新が終了し、ウイルス対策ソフトの検出データも、早晩更新が止まります

ソフトウエア更新が止まり、セキュリティソフトの検出データが更新されないことは、やがて大きなセキュリティリスクを抱えます。過去、サポート対象外のWindows XPが大規模な攻撃を受けたことが知られています

ほとんどの攻撃者は、特定の人、企業を狙っておらず「セキュリティの意識が低い人、セキュリティの弱点を持つPC」を狙います
「自分は大丈夫。これで問題無いし。」と思って、サポート切れのPCを使い続けている人こそ格好のターゲットです。
攻撃の到達方法は、偽メールと偽ホームページ。セキュリティ意識(知識ではない)がない人ほど引っかかります

古いPCを使い続けたい方はLinuxに転換するのも良い方法です。近年はUSBメモリだけで稼働するLinuxもあります。

Linux Desktopは、とても良くなっているのでブラウザでほとんどのことができます。Microsoft Office 365もLinux上のブラウザで動きます

私の事務所のWindows 8.1(ミニタワー)はお客様サポート用に一台のみ残していました。Windows 10に転換できるハード仕様ですが、今後はUSBで起動するUbuntu Desktopをインストールし、システム管理用端末に変更します


いつもアクセスありがとうございます。いよいよWindows 8/8.1の時代が終わりますね
コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

samba4 Directory Server - NTPサーバで時刻同期

2022-12-31 12:24:40 | 情報セキュリティ

集中認証に使うDirctoryサーバは、いつ何が起こったかを記録するために、サーバの時刻を正確に合わせます。サーバの時刻はntpサーバと同期することで、常に正確な時刻を刻むことができます

ntpサーバの選択は、日本国内であればntp.nict.jp一択。どのようなシステムでも同じ。これ以外は忘れても大丈夫です

情報通信研究機構(nict)は国の外郭団体で、日本の標準時刻を原子時計で生成し、複数の方法で配信しています

インターネットでのNTPサーバの設定は、必ずFQDN(インターネット上の名前)でおこない、IPアドレスでの指定はしません。これはインターネット上の約束です

時刻問い合わせに応じるサーバは一般的に運営側で複数台用意しており、適切なサーバが時刻情報を返します

以下の例は、Linux Ubuntu 22.04 LTSに設定した実例です。ポイントはPOOLで指定していることで、複数台と同期していることが判ります

インターネットには通信速度の揺らぎがあります。ただ、Linux等での時刻同期プログラムntpdには揺らぎ補正の機能が備わっているので、同期開始から時間が経つと誤差は収束します

プライマリntp:pool ntp.nict.jp 
セカンダリntp:pool ntp.ubuntu.com 

takumi@dc1:~$ sudo ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
ntp.nict.jp .POOL. 16 p - 64 0 0.000 +0.000 0.000
ntp.ubuntu.com .POOL. 16 p - 64 0 0.000 +0.000 0.000
-2001:ce8:78::2 .NICT. 1 u 553 1024 377 23.024 +0.206 0.667
+ntp-a2.nict.go. .NICT. 1 u 402 1024 377 6.434 -0.287 0.094
-ntp-a3.nict.go. .NICT. 1 u 804 1024 377 13.938 +0.974 1.258
-ntp-a3.nict.go. .NICT. 1 u 434 1024 377 5.147 -0.142 0.239
*ntp-b2.nict.go. .NICT. 1 u 626 1024 377 5.280 -0.277 0.206
-ntp-a2.nict.go. .NICT. 1 u 411 1024 377 5.028 -0.288 0.211
-ntp-k1.nict.jp .NICT. 1 u 578 1024 377 13.731 -0.506 0.259
+ntp-b3.nict.go. .NICT. 1 u 473 1024 377 5.063 -0.232 0.161

■Ubuntu 22.04 LTSでの設定
もともとの設定を外して、pool ntp.nict.jpのみにした
セカンダリntpとして pool ntp.ubuntu.comが設定済み
takumi@dc1:~$ diff /etc/ntp.conf*
21,25c21,24
< # pool 0.ubuntu.pool.ntp.org iburst
< # pool 1.ubuntu.pool.ntp.org iburst
< # pool 2.ubuntu.pool.ntp.org iburst
< # pool 3.ubuntu.pool.ntp.org iburst
< pool ntp.nict.jp
---
> pool 0.ubuntu.pool.ntp.org iburst
> pool 1.ubuntu.pool.ntp.org iburst
> pool 2.ubuntu.pool.ntp.org iburst
> pool 3.ubuntu.pool.ntp.org iburst
takumi@dc1:~$

いつもアクセスありがとうございます。ntpによる時刻同期の状況を共有します。引き続き、よろしくお願いいたします
コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

Microsoft(Windows Defender)が繰り返しマルウエア検出の警告を表示するバグが発生、修復へ

2022-09-06 10:13:09 | 情報セキュリティ
Windows 10Proを使っています。Microsoft(Windows) Defenderがマルウエアを誤検知し、警告の画面が繰り返し出現するようになりました。

これは、WindowsUpdateで最新版にアップデートすれば正常に戻ります。

誤検知では、以下のマルウエアを発見しています。
Behavior:Win32/Hive.ZY

いつもアクセスありがとうございます。Micorosoft Defenderの誤検知と可決策を共有します。
コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

マルウエア対策の第一歩はSPAM着信の抑止から

2022-08-31 10:38:28 | 情報セキュリティ
最近のマルウエアはEmotetに見られるように、メールを利用して伝染します。もちろん、メールそのものにはマルウエアの添付がなく、マルウエアをセットしたサイトに誘導しマルウエアをダウンロードさせるものもあります。
また、詐欺サイトに誘導してユーザ名やパスワードを盗むものも日常的に配信されます。ここでは、害を及ぼす、無害だけど無用なメールをSPAMメールとします。

SPAMメールを受け取りたくないことは当然のことです。私は、自分のメールが、だんだんとSPAMに埋め尽くされ、使いにくくなるのを見て、SPAMの排斥に取り組み始めました。結局、自分のメールが着信する受信メールサーバでSPAMを排斥する仕組みが第一に必要だと判りました。

SPAMも含めて、着信したメールを一旦受け取ってからSPAM分析し、排斥する方法では、メールサーバの処理能力のほとんどを、SPAM分析に使うことになります。

来客の際に、ドアを開ける前に玄関のカメラで誰が来たかを確認します。同じようにメールを受信する前に、SPAMかどうか確認できれば、SPAMを戸口で排斥できます。着信後にSPAMかどうか分析するメールの数が減れば、メールサーバの負荷は大きく下がります。

SPAM送信は、通信上の共通の特徴があります。その特徴を検知して、SPAMを排斥する仕組みを実装したところ、SPAMの着信が画期的に減りました。
私のメールがSPAMに埋め尽くされることは無くなり、スマホで受信しても十分に実用になります。

さらに、着信時に発信側サーバのIPアドレスがSPAMなどで悪用されているかいないかを検査し、悪用のないメールサーバからの着信のみ許可する処理を追加。これにより、さらに着信するSPAMを減らしています。

SPAMでないと判断したメールのみ受信し、受信伝文を含めたSPAMチェックを行い、評点をつけ、さらにウイルス検査を行います。ウイルスを検出したメールは、送受信者に伝えることなく、黙って捨てます。

SPAMを受信前排斥することで、知らない発信者からの添付ファイル付きメールはなくなり、とても安全なメール環境になっています。

昨今、添付メールからのマルウエア感染、特にEmotetの拡大が知られています。企業メールの場合は、PCでの防御は当然ですが、まずは明確なSPAMの着信を排斥することが、安全なメール環境に近づく最初の一歩です。

SPAMメール排斥が、マルウエア着信を大きく削減します。詐欺メール、マルウエア添付メールには、十二分にご注意ください。情報セキュリティ分野の情報も共有していきます。引き続き、よろしくお願いします。
コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

GmailのSPF確認ポリシーが変更になった模様です

2022-08-29 15:05:07 | 情報セキュリティ
Sender Policy Framework (SPF)は発信者の発信メールサーバを公開し、着信側で、発信者が公開している発信メールサーバと突き合わせ確認ができる仕組みです。SPFは発信側DNSに登録するので、第三者が偽のSPF情報を公開することは困難です。

この仕組みにより、到着したメールが、発信者を詐称しているかどうかを検査・確認することができます。

発信者がuser@exmample.comと詐称しても、着信側でexample.comの発信サーバをSPFを使って、正しいexample.comのサーバから発信されたことを確認できるのです。

Gmail宛てのメール送信状況を観察した結果、gmailのSPFを用いた着信検査ポリシーに変更が行われたことが判ります。

gmailからの着信拒否通知を見ると、本来正しいSPF設定が、その設定によるSPAMの増加を理由に、着信を拒否し、曖昧さのある設定に変更するよう促しています。

自社発信のメールサーバが一つの場合の典型的なSPFレコードは
example.com. IN TXT ” v=spf1  +ip4:IP_ADDRESS  –all”
と記述し、「送信サーバはIP_ADDRESSのみ」と宣言します

しかし、今のGmailはこれを着信拒否し、下記の記述への変更を促します
example.com. IN TXT ” v=spf1  +ip4:IP_ADDRESS  ~all”

末尾が"-all"、即ち「これ以外は全て詐称とする」から"~all"「これ以外からも着信することも許容する」との設定を勧めているのです

gmailのような巨大なプラットフォーマーにメール配信できないと困りますから、事実上そこの着信ポリシーが全世界のSPF設定を決定します

自分のメールサーバーを限定的に明示することは何ら間違っていないので、着信拒否する方がおかしいと考えます。しかしながら、運用の不都合を回避するために"~all"の設定に変更しています

久しぶりの投稿になりました。gmailの着信拒否に悩んでいる方はSPF設定をご確認ください。
コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

在宅VPN接続で在宅側VPN通信のIPv6化を実現しました

2021-08-19 14:34:47 | 情報セキュリティ
在宅VPN接続のための仕組みを提供しています。これまでの接続は在宅側からIPv4だけでしたが、在宅側からIPv6で通信できるように改善しました。
このシステム変更に伴い、在宅VPNの品質も大きく向上しています。

この在宅VPN は弊社開発の独自のソリューションです。なぜ今更他にあることを提供するのかというと、導入が簡単、迅速だからです。

- 既存のネットワークの調整が不要
 ファイアウォールの調整はほぼ不要です。
- 在宅側デバイスはOS標準機能で接続可能
 在宅アクセスデバイスにソフトインストールが不要です。
- 在宅-VPNサーバ間にIPv6利用可
 在宅側がIPv6対応していれば自然にIPv6で接続します。


いつもアクセスありがとうございます。在宅側をIPv6対応として、品質を向上しました。引き続き、よろしくお願いします。

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

オープン・ソースの本格的な冗長型ファイアウォールの提供を開始します-情報セキュリティ

2021-02-23 17:04:11 | 情報セキュリティ
これまでも、ファイアウォールの提供は行ってきました。ただし、いわゆるメーカー品をお納めする形です。ファイアウォールの課題は止まると業務が止まることです。

ネットが止まることは業務の停止に直結し、もはや許されません。もちろん、透過型で運用することで障害を回避して、業務の継続ができる機種もありますが、セキュリティレベルが下がることが課題です。
セキュリティ状況は複雑化の一方なので、ある程度の期間での観察も大切です。通信機器でのファイヤウオール機能は監察機能は最小限です。

そこで、オープンソースのファイアウォールを二台組にして、自動切換えを行う形での提供を開始します。必ず、この形にすることで、業務の停止が避けられ、障害時のセキュリティリスクの低下も防ぐことができます。

障害時の切り替えは気付くことが難しいほど速く、無停止と言って良いくらいです。待機系は、ほぼ対称形で動いておりDHCPサーバも引き継ぎます。またセキュリティ確保のために社内分割の実装が増えてきたVLANにも対応します。

ファイアウォールの内側へのリモートアクセスVPNアクセスも弊社が提供する在宅VPNのフレームワークEasyRASで提供します。EasyRASは在宅側デバイスのOS標準機能をつかって接続するので、展開がとても楽です。

ファイアウォール、リモートアクセスVPNともにハードウエア込みでサイジングして、弊社で稼働させテストしたうえで、お客様サイトに実装します。いわば手作りのファイヤウオールと在宅VPNです。

3月より研究機関、医療系団体、民間企業などにこの組み合わせで、納入を始めます。運用も弊社が代行するので、置くだけファイアウォールにはなりません。

いつもアクセスありがとうございます。ファイアウォールは、運用が肝要なので、このような形にしました。リモートアクセスVPNも当然こととして使いやすく対応しています。
コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする