出てた。明日早速試してみる。

http://www.microsoft.com/downloads/details.aspx?familyid=051EE83C-5CCF-48ED-8463-02F56A6BFC09&displaylang=en

何が追加・修正されたんだろ？

なんとなく検索したら、着実にバージョンアップしてた（んだ）。

Microsoft Anti-Cross Site Scripting Library V3.0 Beta
http://www.microsoft.com/downloads/details.aspx?FamilyID=051ee83c-5ccf-48ed-8463-02f56a6bfc09&DisplayLang=en

しっかり読みたい。

Microsoft Press ２５周年記念で、ただでゲトできます。Live IDが必要です。

Free e-book Writing Secure Code for Windows Vista
http://blogs.msdn.com/brianjo/archive/2008/12/17/free-e-book-writing-secure-code-for-windows-vista.aspx

タイトルの通り。

ソースも付いてます。

時々必要になるんですよね。

Creating a self-signed certificate in C#
http://blogs.msdn.com/dcook/archive/2008/11/25/creating-a-self-signed-certificate-in-c.aspx

とりあえずメモ。

評価できたらまたココで。

CNET:マイクロソフト、SQLインジェクション攻撃対策のツールを発表
http://japan.cnet.com/news/sec/story/0,2000056024,20375956,00.htm

TechNet Flash Japan に載っていたのでご紹介（自分に）。

ファイル サーバ、プリント サーバ、タスク、データベース サーバ、Active Directory と多種多様です。
もっと早く（4年くらい前に）欲しかった。。。

まだ読んでないですが、Windows に関係して仕事している人は必読かと。

マイクロソフト サーバー製品のログ監査ガイド
http://www.microsoft.com/japan/technet/itsolutions/cits/mo/default.mspx

今日知ったんですが、Windows Server 2003 って Outlook Express のアンインストールができないんですね。

理由は、サーバ製品（サーバ機能）のいくつかが依存してるかららしいです。例えば、MOMやドメインコントローラ。

ってことは、Outlook Express の hotfix って必然的にクリティカルって事になるんだな。。。

なんかしっくりこないですねぇ。

http://support.microsoft.com/kb/263837/en-us

プログラムがユーザ権限で動作するかどうかを確認できるツールみたいです。
結構便利かも。

結果はGUIで表示してくれるみたい。

Microsoft Standard User Analyzer
http://www.microsoft.com/downloads/details.aspx?FamilyID=df59b474-c0b7-4422-8c70-b0d9d3d2f575&DisplayLang=en

Sysinternals Video Library
http://www.sysinternals.com/videos.html

すごい勉強になりそう。

ファイル共有で、アクセス権限がないフォルダやファイルを非表示にするものです。
去年の終わりくらいに見つけてたんですが、ショートカットがファイルの山の中に埋もれてしまっていました。

英語版しでのリリースですが、日本語環境でも使えるらしいです。

そのうち試さなきゃな。

Windows Server 2003 Access-based Enumeration
http://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D9-78D9-4342-A485-B030AC442084&displaylang=en

仕事が一段落ついたらチェックしたい製品。評価版もあるみたい。
どのくらいまで検知してくれるか楽しみというかなんと言うか。

DevPartner SecurityChecker
http://www.compuware.co.jp/products/devpartner_fm/devpartnersecuritychecker/dev_point.html

以前はここの製品には大変お世話になりました。BoundsChecker などは特に...

PASSJ アフタースクールに参加してきました。

セキュリティ TIPS 講座
http://blogs.sqlpassj.org/afterschool/archive/2005/12/01/15020.aspx

内容は
　・SQL インジェクション
　・サーバ設定による対策
　・サーバの監視
の3つに分けた構成でした。

私は仕事柄今回の内容は把握しているつもりですが、
今後、周りの人たちに勧めれるかどうかを知りたくて参加しました。

SQL インジェクションに半日、残り2つに半日っていう時間配分でした。
＃あれだけ、SQL インジェクションについて語られる講義はあまりないのではないでしょうか？
また、講義中に脱線（？）した際の話題は河端さんの経験豊富が故の内容で参考になる部分も多々ありました。

内容的にもボリューム的にもこれから勉強しようと考えられている方には非常にお勧めです。

ハッとした点が１点ありました。ユーザ入力の文字数（データ サイズ）チェックです。
確かにエスケープ後にもチェックを行わないと、DB格納時にエラーになる可能性大ですね。

次回も、スケジュールがあえば参加してみたいです。

それと、講義中に Sysinternals のツール（私もいつもお世話になってます）がいくつか案内されていました。
それについて補足と言うか何と言うか...
NTFS の ACL をエクスポーとするツールで AccessEnum っていうツールがあります。
これは NTFS の ACL を TSV で出力してくれるので、Excel とかで利用できるので便利です。
＃私はこれのソース コードを少しいぢって利用しています

えーっと完全に記憶の彼方に行ってました。
＃以前にこんなのが出るってMSKKの方に教えてもらってたのに...スイマセン。

Microsoft Shared Computer Toolkit for Windows XP
http://www.microsoft.com/japan/windowsxp/sharedaccess/

機能の概要は
・制限(Restrictions)
・保護(Protection)
・強化(Accessibility)
ということで、共有コンピュータ等への導入を目的としたモノです。

まだ評価していないので何とも言えないのですが、
・どこまで制限・保護ができるのか？
・GPOを利用する事とどう違うのか？
といったことを中心に評価してみたいと思います。
＃他にもやりたいこと（やらなきゃいけないこと）がたくさんあるので、いつになるやら...

こういうツールがOSの提供元からリリースされるのは非常に嬉しい限りです。

「セキュリティにおける10個のお約束」とでも訳すのでしょうか（笑
後で読もう...

ざっと読む限り当たり前のことが書いてあるようですが、当たり前のことが大事なのです。

10 Immutable Laws of Security
http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx

最近は時間が取れなくて更新怠り気味。
移転も大した作業量でもないのに、時間かかりすぎ。
＃「呑みに行き過ぎ」っていう噂も...（笑

さて、リリースされました。
ベータ評価もできなかったのでまったくもって情報なし状態です。

Microsoft Baseline Security Analyzer v2.0 (for IT Professionals)
http://www.microsoft.com/downloads/details.aspx?FamilyID=4b4aba06-b5f9-4dad-be9d-7b51ec2e5ac9&displaylang=ja&Hash=RDXMHB6

Windows Server Update Services（RC） に小一時間程触れてみました。
試したのは、インストール→サーバ設定→クライアントへのパッチ配布です。
第一印象は「グレー」です（笑）

気になった点としては、ダウンロードしたパッチをサーバ上に保存するみたいなのですが、
リネームして保存するらしく（例えば、045E580D1D4F3009955746D315D5E1681809950C.EXE）、
これって結構嫌がられるんじゃないでしょうか？
レポート機能もあります。もうちょっとカラフルだと精神的に嬉しいかも（笑）

統合的なパッチ マネージメントができるようになっており、
非常に便利だとは思うのですが、ちょっと難しい気もしました。
でも、全体的にはユーザの意見を反映した良い製品だと思います。

Windows Server Update Services 製品概要
http://www.microsoft.com/japan/windowsserversystem/updateservices/evaluation/overview.mspx

とりあえずメモ。詳細は後日書きまふ。

[HOWTO] Windows Server 2003 でソフトウェアの制限のポリシーを使用する方法
http://support.microsoft.com/default.aspx?scid=kb;ja;324036

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics
DWORD : RunDiagnosticLoggingGroupPolicy : 1

UserAccountControl フラグを使用してユーザー アカウント プロパティを操作する方法
http://support.microsoft.com/default.aspx?scid=kb;ja;305144

parentDN = "cn=Users,dc=yama3,dc=mine,dc=nu"
newUser = "user01"
password = "Password"
Set objParent = GetObject("LDAP://" & parentDN)
Set objUser = objParent.Create("user", "cn=" & newUser)
objUser.Put "sAMAccountName", newUser
objUser.Put "userAccountControl", 514
objUser.Put "userWorkstations", "pc1,pc2,pc3"
objUser.SetInfo
objUser.SetPassword(password)
objUser.AccountDisabled = FALSE
objUser.SetInfo

会社の後輩がプログラムを書いてたので横から見てたらこんなコードを書いてた。

int resultCode = doSomething();
if (resultCode == CODE_ERROR1) {
    // エラー処理
}
else if (resultCode == CODE_ERROR2) {
    // エラー処理
}
else if ...

違うぞ～！それは危険なコードだぞ～！

int resultCode = doSomething();
if (resultCode == CODE_SUCCESS) {
    // 正常処理
}
else {
    // エラー処理はここで分岐
}

でしょ？

今年も出ましたMSDN Magazine セキュリティ特別号！
http://msdn.microsoft.com/msdnmag/

MSDN Magazine 早く復刊しないかなぁ

Version 5 の Windows Update は、以下の設定でなければエラーが発生するみたい
・Automatic Updates ： スタートアップの種類が自動
・Background Intelligent Transfer Service ： 状態が開始で、スタートアップの種類が手動または自動
（参考）http://support.microsoft.com/default.aspx?scid=kb;ja;885961
＃確認した範囲では、Automatic Updates のスタートアップの状態が自動であればOKみたいでした

なぜかとある環境のPCでは上記の設定がされていない。
グループ ポリシーで設定してるのかなぁ？
＃なにか理由があるのかなぁ、ってことは公開すると問題あり？

いちいち、services.msc を起動して上記の設定をするほど心にゆとりがないので、スクリプトを作成しました。
内容的には、上記の設定を実施して、Windows Update のサイトを開くとこまでやります。
いまいちかっこよくないなぁ。

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colServiceList = objWMIService.ExecQuery("Select * from Win32_Service where Name = 'wuauserv'")
For Each objService in colServiceList
  objService.ChangeStartMode("Automatic")
Next

Set colServiceList = objWMIService.ExecQuery("Select * from Win32_Service where Name = 'BITS'")
For Each objService in colServiceList
  objService.ChangeStartMode("Manual")
  objService.StartService
Next

Set objExplorer = WScript.CreateObject("InternetExplorer.Application")
objExplorer.Navigate "http://windowsupdate.microsoft.com/"
objExplorer.Visible = TRUE

「The .NET Developer's Guide to Windows Security」
http://pluralsight.com/blogs/keith/
http://www.amazon.co.jp/exec/obidos/ASIN/0321228359/qid%3D1096537975/249-7994534-3843508

読んでみたい。積読になりそう。

Tablet PCにSP2 RC2を適用したシステムプロパティ
2004年リリースにもかかわらず、「Tablet PC Edition 2005」！けど「Version 2002」？



ポップアップブロックのメッセージ
ここじゃ気がつかないんじゃないかなぁ
点滅くらいしてくれないと...



ポップアップブロックの設定メニュー
ツールメニューの構成と同じ



ActiveXのインストール警告
以前よりはわかりやすい？



プロキシ認証画面
保存するのチェックボックスがない

MS04-025 : （緊急）Internet Explorer 用の累積的なセキュリティ更新プログラム(867801)
 http://go.microsoft.com/?linkid=771783

 概要
  リモートでコードが実行される可能性のある Internet Explorer の脆弱性を修正するセキュリティ更新プログラムが公開されました。
 影響
  リモートでコードが実行される
 影響を受けるソフトウェア 
  ・Windows

MS04-022のセキュリティホールを突くコードが公開されているそうです。

元ネタ
https://www.netsecurity.ne.jp/article/1/13629.html

月刊 Microsoft 7月号が出版されました。
今月号は、緊急 2本、重要 4本、警告 1本と盛りだくさんです。

MS04-018 : (警告) Outlook Express 用の累積的なセキュリティ更新プログラム(823353)
 http://go.microsoft.com/?linkid=712891
 概要
  サービス拒否の脆弱性が存在し、攻撃者が特殊な電子メールを送信することで
  Outlook Express が停止する可能性があります。
 影響
  サービス拒否
 影響を受けるソフトウェア
  ・Windows, Outlook Express

MS04-019 : (重要) ユーティリティ マネージャの脆弱性によりコードが実行される(842526)
 http://go.microsoft.com/?linkid=712887
 概要
  ユーティリティ マネージャがアプリケーションを起動する方法に権限が昇格される脆弱性が存在します。
 影響
  ローカルでの特権の昇格
 影響を受けるソフトウェア
  ・Windows

MS04-020 : (重要) POSIX の脆弱性により、コードが実行される (841872)
 http://go.microsoft.com/?linkid=712888
 概要
  POSIX サブシステムに権限が昇格される脆弱性が存在します。
 影響
  ローカルでの特権の昇格
 影響を受けるソフトウェア
  ・Windows

MS04-021 : (重要) Internet Information Server 4.0 のセキュリティ更新プログラム(841373)
  http://go.microsoft.com/?linkid=712889
 概要
  Internet Information Server (IIS) 4.0 にバッファー オーバー フローの脆弱性が存在します。
 影響
  リモートでコードが実行される
 影響を受けるソフトウェア
  ・Windows

MS04-022 : (緊急) タスク スケジューラの脆弱性により、コードが実行される(841873)
 http://go.microsoft.com/?linkid=712885
 概要
  タスク スケジューラのアプリケーション名のチェック方法が原因で、リモートでコードが実行される脆弱性が存在します。
 影響
  リモートでコードが実行される
 影響を受けるソフトウェア
  ・Windows

MS04-023 : (緊急) HTML ヘルプの脆弱性により、コードが実行される (840315)
 http://go.microsoft.com/?linkid=712886
 概要
  HTML ヘルプにリモートでコードを実行される2 つの脆弱性が存在します。
 影響
  リモートでコードが実行される
 影響を受けるソフトウェア
  ・Windows

MS04-024 : (重要) Windows シェルの脆弱性により、リモートでコードが実行される(839645)
 http://go.microsoft.com/?linkid=712890
 概要
  Windows Shell がアプリケーションを起動する方法にリモートからコードを実行される脆弱性が存在します。この脆弱性の悪用には、ユーザーの操作が必要になります。
 影響
  リモートでコードが実行される
 影響を受けるソフトウェア
  ・Windows

Windows Server 2003 でWindows Updateを実行するとエラーになることがありません？
私の周りでは結構起きているようです。
＃ネットワーク（プロキシかなぁ）の問題のような気がしています...

いろいろ調べた結果、詳細は今のところ不明ですが
https://v4.windowsupdate.microsoft.com/getmanifest.asp
にアクセスしてからWindows Updateを実行するとOKのようです。

詳細は分かり次第...

書くの忘れてました。
臨時号が出版されています。

Download.Jectに関する情報
http://www.microsoft.com/japan/security/incident/download_ject.mspx

Windows Updateを実行しましょう！

RC1のシステムプロパティ


RC２のシステムプロパティ


SP2インストール後に再起動した直後に表示される画面


SP2から導入されるセキュリティ センターの画面


Norton AntiVirus Corporate Editionをインストールしたもう一度セキュリティ センターを起動してみたところ
Norton AntiVirus Corporate Editionはセキュリティ センターには組み込まれないみたいだな


NAVを手動で管理下にしてみたところ


Windows ファイアウォールの画面


Windows ファイアウォールの例外を設定する画面


Windows ファイアウォールの詳細設定画面
一般ユーザはここは触らないでしょう


SP2を適用するとIEに組み込まれるポップアップブロック
確かLonghornから組み込まれるって話だったと思うんだけどな...
Longhornのプレビューで好評だったから前倒し？


Windows Update（Version5）の画面


Windows Update（Version5）の画面
インストール方法を選択できるようになったみたい
もう少しわかりやすい文言にして欲しい


Windows Update（Version5）の画面
グラフィカルになった印象


ActiveXをインストールするサイトにアクセスすると表示されるメッセージボックス
IE上に「情報バー」なるものが表示される
Webページの背景色次第では気づきにくい気がするなぁ


Windows ファイアウォールにお許しをもらっていないプログラムが通信しようとすると表示される警告画面

Windows XP SP2 RC2がリリースされましたね。
http://www.microsoft.com/japan/technet/prodtechnol/winxppro/sp2preview.mspx

Virtual PC 2004上でインストールして試しているところです。
現在社内で利用しているウイルス対策ソフトを同居させてみましたが、
セキュリティセンターの管理下になりませんでした。
うーん、対応製品リストとかってのも公開されてるのかな？
もうちょっと調査してみる必要がありそうですね。

ところで、セキュリティセンターって「Designed by Microsoft」なんでしょうか？

今日はMicrosoftが無料で開催しているSECURE SYSTEM Training 2004のDeveloperを受講しています。
講師はNECラーニング 山崎 明子さんです。
TechEdなどでもそうですが、非常に分かりやすく説明してくれています。

基本的には初心者向きでしょうか？
やっぱり物足りないですね。

月刊 Microsoftの6月号が出版されました。
今月号の特集は2本です。
MS04-016 : DirectPlay の脆弱性により、サービス拒否が起こる (839643)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-016.asp

MS04-017 : Crystal Reports Web Form Viewer の脆弱性により、情報の漏えいおよびサービス拒否が起こる (842689)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-017.asp

どっかでもらった資料に書いてあったURLが非常に長く、
いちいちタイプするのがめんどいので、リンクをめもめも。

Widnows XP セキュリティガイド
http://download.microsoft.com/download/8/7/f/87fa87c2-ae02-464c-a56b-71fed6b837fe/Windows_XP_Security_Guide.exe

Windows Server 2003セキュリティガイド
http://download.microsoft.com/download/7/d/5/7d5ebe4d-7350-47d3-9499-2eda3089bbc4/Windows_Server_2003_Security_Guide.exe

Windows 2000 セキュリティ強化ガイド
http://download.microsoft.com/download/4/c/8/4c882dfe-4ed7-475d-8444-5ad42dced57d/Windows_2000_Hardening_Guide.pdf

多層防御のガイダンス
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bestprac/default.asp

httpd.confのServerTokensを変更することで、バージョンの漏洩を多少は防ぐことができる。 
 
ServerTokens Prod[uctOnly]
　Server sends (e.g.): Server: Apache
ServerTokens Major
　Server sends (e.g.): Server: Apache/2
ServerTokens Minor
　Server sends (e.g.): Server: Apache/2.0
ServerTokens Min[imal]
　Server sends (e.g.): Server: Apache/2.0.41
ServerTokens OS
　Server sends (e.g.): Server: Apache/2.0.41 (Unix)
ServerTokens Full (or not specified)
　Server sends (e.g.): Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2
 
確かソースを変更して、コンパイルしなおせば
Apacheから「Microsoft-IIS」なんてのも返すことができたと記憶している。
 
IISで同様のことを行うには、Microsoftが提供しているURLScanを利用する。
http://www.microsoft.com/japan/technet/security/tools/urlscan.asp

これってセキュリティに分類すればいいのかな？

Microsoftのサイトに、セキュリティ ガイダンス センターというものがオープンしてます。
開発者、IT専門家向けだそうです。

ITプロフェッショナル向けのTechNetのセキュリティ サイトはどうなるんでしょうかね？
開発者向けのMSDNのセキュリティ サイトはどうなるんでしょうかね？
セキュリティ スクエアの方は全然更新されてないし...

ヤル気が空回りしてませんか？

☆ 解凍ツールの部屋 ☆
パスワードを解析するツールがまとまってるページ

日本語版 Microsoft Baseline Security Analyzer 1.2 正式公開
公開されてた。気付かなんだ。

ASP.NETのセキュリティに関するPDC03での資料
PDC03 ASP.NET Security.ppt (1.02 MB)

＠ITにIISのヘッダ情報の一部を消去という記事が掲載されている

以前、Windows Server 2003でServerヘッダを返さないようにしてみたところ
NETCRAFTの分析結果にあるOSがWindows 2000になっていた(その結果)
余計にアタックが来るような気がしたので、速攻で元に戻した

なんか好きだな、このレイアウト
Microsoft セキュリティスクエア

オープンソースのセキュアOS「SELinux」とは

Webアプリケーションに潜むセキュリティホール

月刊 Microsoftの5月号が出版されましたね
今月号の特集は1本と少なめです
MS04-015 : Windows の重要な更新

from DevX
ASP.NET Security: 8 Ways to Avoid Attack

セキュリティホール memo というのを見つけた。
どうやら結構有名なサイトらしい
結構有用なので、できればRSSとかを配信して欲しいな～
ないんだったら、解析ツールが欲しいな。んっ？作る？

Metasploit

Check!

Web Service Security at OASIS

OASISでWeb Service Securityが承認されてた。
読みたいけど、今は読む気力がないな～

Webサービス・セキュリティ構築の実践（前編）
SOAPをセキュアにする際の問題点などが記載されています。
なかなか参考になります。

SECURITY SUMMIT 2004で気になる項目を以下にピックアップしておきます。

１．Windowsファイアウォールがデフォルトオンになる

現在、「インターネット接続ファイアウォール」と呼ばれるものに機能追加。ネットワークアプリがクライアント上で動作すると、ポップアップ画面が表示され、通信を許可or遮断を設定することが可能となる。このポリシーは、Active Directoryにより一元管理も可能。オフィスとモバイルなどのように、2つのプロファイルとしてPCに保存される。

ポートスキャンを受けた時の動作はどうなるのかな？

２．セキュリティセンター

クライアントPCのセキュリティ関係の各種情報を一元で管理できる。　（サーバで一元管理という意味ではなく、各PC上でという意味です）　例えば、「Microsoft UpdateがOFFになっている」とか「ウイルス対策ソフトがOFFになっている」などといった情報が一覧で表示され、セキュリティセンター上で、設定変更が可能なる。こちらも、Active Directoryと連携して一元管理できるようです。（その場合は、設定変更不可？）