Windows Server 8 の Hyper-V ではネットワークの設定画面よりハードウェアアクセラレータの設定が可能になっています。そこで気になるのが Virtual Machine Queues(VMQ) と Single Root I/O Virtualization (SR-IOV) になります。
VMQ や SR-IOV とは何者なのかを調べてみました。
VMQ と SR-IOV は両方とも仮想マシンのネットワークパフォーマンスを向上させ、Hyper-V Windows Server Management partitionのようなVM Manager(VMM)のオーバーヘッドとCPU ボトルネックを最小化させるテクノロジーになります。
ただし、それぞれ異なる方法でそれを実現しています。
@IT セキュリティソリューションセミナーに行って来ました。
日本におけるセキュリティの現状等、興味深いお話が聞けて参考になりました。
その中でも印象に残ったのは、近年新しい攻撃が発見されたということはなく、今までの攻撃手法の組み合わせがスピア型攻撃になり、持続的標的攻撃(APT)となっているということでしょうか?
そしてラックの川口さんが言っていたのは、SSHとAcrobat Reader には注意すること。
SSHの22番へのアタックが以前から現在に至るまでやたら多いので、ポート番号を変更するだけでもセキュリティ対策になる。当然のことながら、パスワードは複雑なものにするのは忘れずに!
更に、Acrobat Readerの JavaScript の問題。実はAcrobat Reader の脆弱性をつく攻撃があるのですが、このJavaScriptを用いているものが多いそうです。ですので、これをOFFにするだけでもかなりのセキュリティ対策になるとのこと。
実際問題、このJavaScript をOFFにした所で通常の使用にはなんの問題もありません。このメリットよりデメリットのほうが大きいので必要な時だけONにする運用で問題ないでしょう。
デフォルトでONだったんですね~、知らなかった。ということで、早速OFFにしてみました。
ドメインにログオンできないというトラブルはよく起こりますが、システム的な原因として次の2つが考えられます。
他にもさまざまな原因がありますが、今回はこの2つに着目して考えてみます。
DNSの名前解決によるもの
そもそも、クライアント(ここでいうクライアントはメンバーサーバーも含みます)はどのようにドメインにログオンしているのか?
さて、時間ができたのでEFSの動作に関してまとめておきます。
そもそも、EFSとはファイル暗号化システムの略で、ファイルを暗号化するための仕組みになります。暗号化を行うためには、証明書が必要になります。企業で使用する場合はCA(証明機関)を作成してEFS証明書をクライアントユーザーに配布するというのが推奨の方法になります。
今回、検証環境を用意してテストしてみました。
Hyper-Vで使用するWindows7のベースイメージを作成してみました。今までは差分ディスクを使わずにインストールしていたのですがさすがにめんどくさくなったので・・・
まずは、Hyper-VでWindows7をインストール。今回使用したISOはSP1込のものを使用しました。
そして、最新の更新プログラムをインストールして準備完了。
先に重要なことを書きます。
Windows7 でSysprepを実行すると
このようなエラーが出ます。
Windows Automated Installation Kit for Windows 7 Readme
こちらを見ると、既知の問題として載っていました。
Windows7でSysprepを行うにはWindows Media Player Network Sharing Serviceを停止する必要があります。
これでかなり悩んだ・・・
また、応答ファイルを使用せずにSysprepをかけると追加したドライバなどが外れます。更にSysprepは3回まで可能ですが、それを回避する設定を行います。
演習環境として、Windows Server 2008 と Vista SP1 があり、NAPの検証を同僚が行いましたのでその結果をUPしておきます。
NAP正常性ポリシーの制御の検証
NAP正常性ポリシーの設定が不適切だった場合、準拠でも非準拠でもないクライアントが存在する。そのような場合、どういった制御になるのかDHCP NAPで検証した。
■テスト1
SHV・・・F/Wが有効であること
正常性ポリシー
・Compliant・・・すべてにパス
・NonCompliant・・1つ以上にパス
※これは、すべて失敗のクライアントは準拠でも非準拠でもなくなる設定。
ネットワークポリシー
Compliant-FULLが一番上、次がNonCompliant-Restrictedの順。
⇒クライアント側で
F/W有効
→制限なしのIPアドレスもらえる
F/W無効
→IPアドレスもらえない。APIPAのアドレスになる。
(すべて失敗のクライアントなので、準拠でも非準拠でもなくなるため、
IPアドレスがもらえない。予想どおり。)
■テスト2
SHV・・・F/Wが有効であること
正常性ポリシー
・Compliant・・・すべてにパス
・NonCompliant・・すべてにパス
※これは、わざと準拠と非準拠を同条件にした設定。
ネットワークポリシー
Compliant-FULLが一番上、次がNonCompliant-Restrictedの順。
⇒クライアント側で
F/W有効
→制限なしのIPアドレス
F/W無効
→IPアドレスもらえない。APIPAのアドレスになる。
この結果は、ネットワークポリシーの順序で変わる。
ネットワークポリシー
NonCompliant-Restrictedが一番上、次がCompliant-FULLの順だと。
⇒クライアント側で
F/W有効
→制限ありのIPアドレス
F/W無効
→IPアドレスもらえない。APIPAのアドレスになる。
■テスト3
SHV・・・F/Wが有効であること
ウイルス対策ソフトが有効であること
正常性ポリシー
・Compliant・・・すべてにパス
・NonCompliant・・1つ以上にパス
※これは、すべて失敗のクライアントは準拠でも非準拠でもなくなる設定。
ネットワークポリシー
Compliant-FULLが一番上、次がNonCompliant-Restrictedの順。
⇒クライアント側で
F/W有効 & ウイルス対策なし
→IPアドレスもらえない。APIPAのアドレスになる。
(これはヘン。F/W:パス & ウイルス:失敗だから、「1つ以上に
パス」に合致する。それなのに制限ありのIPアドレスがもらえない。)
F/W無効 & ウイルス対策なし
→IPアドレスもらえない。APIPAのアドレスになる。
(こちらは予想どおり)
■テスト4
SHV・・・F/Wが有効であること
ウイルス対策ソフトが有効であること
正常性ポリシー
・Compliant・・・すべてにパス
・NonCompliant・・すべてに失敗
※これは、部分的にパスのクライアントは準拠でも非準拠でもなくなる設定。
ネットワークポリシー
Compliant-FULLが一番上、次がNonCompliant-Restrictedの順。
⇒クライアント側で
F/W有効 & ウイルス対策なし
→制限ありのIPアドレス
(これもヘン。F/W:パス & ウイルス:失敗だから、「すべてに失敗」
ではないのに、制限ありのIPアドレスがもらえてしまう。)
F/W無効 & ウイルス対策なし
→制限ありのIPアドレス
(こちらは予想どおり)
■テスト5
SHV・・・F/Wが有効であること
ウイルス対策ソフトが有効であること
正常性ポリシー
・Compliant・・・1つ以上にパス
・NonCompliant・・すべてに失敗
※これは、矛盾する設定ではない。
ネットワークポリシー
Compliant-FULLが一番上、次がNonCompliant-Restrictedの順。
⇒クライアント側で
F/W有効 & ウイルス対策なし
→制限ありのIPアドレス
(やはりヘン。F/W:パス & ウイルス:失敗だから、「1つ以上に
パス」に合致する。それなのに制限なしにならない。)
F/W無効 & ウイルス対策なし
→制限ありのIPアドレス
(こちらは「すべてに失敗」に合致するから、予想どおり)
まとめ
正常性ポリシーの設定が悪く、準拠でも非準拠でもないクライアントができてしまうと、それらは制限付きどころか、通信そのものができない。
問題は、「一部のチェックに失敗」しているだけのクライアントを「すべてに失敗」で把握してしまっていることだ。NAPでは「一部のチェックに失敗」のクライアントの制御に問題があると考えられる。
ただし最新のOSやサービスパックを使用しての検証ではないので現状では解決しているか不明
基本的に外付けUSBからのOS起動はできませんでしたが、VHDブートを使用することによって起動できることが確認できました。
作成するには前提として、Windows7 or Windows Server 2008 R2 がインストールしてある
以下手順
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/usbstor
Startの値を0
Groupの値を新規作成し、値をSystem Bus Extender
TagのDWORD値を新規作成し、値を3
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/usbuhci
Startの値を0
Groupの値をSystem Bus Extender
※ControlSet001以外にControlSetがある場合は全て変更する
修正後VHDブートしたWindowsはシャットダウンする
BitLockerはVISTAより採用されてたディスク全体に対する暗号化を行う機能になります。しかしVISTAが出た当初はシステムドライブのみの暗号化しかサポートしていませんでしたが、サービスパック1よりデータドライブの暗号化もサポートするようになりました。
そしてWindows7では、リムーバルディスクやUSBも暗号化をするBitLocker To Goもサポートしました。
さてまず前提があります。それはWindows7には様々なエディションが用意されていますが、サポートされているのはEnterpriseとUltimateのみになります
参考:Windows 7で用意される6エディションの違いを見る
さて、企業で使用するエディションとしてはProfessionalやEnterprise、Ultimateなどがあがると思われますが、ProfessionalではBitLockerをサポートしていません。ですのでノートPCなどをProfessionalとしてインストールしてもBitLockerを使用したHDDの暗号化ができないのです
ということでまずはやってみます
コントロールパネルより「BitLocker ドライブ暗号化」を選択します
ここでC:ドライブを有効にします
共有キーの保存場所を聞いてくるので今回はUSBへ
そして開始です
再起動してから暗号化が始まります
終わるとこんな画面がでます(この暗号化はかなりの時間がかかります。ちなみに私のマシンは120Gで3時間弱でしょうか)
更に考察です
Windows7のローカルポリシーでBitLockerの各種制御が可能になります。
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化
配下になります。
このポリシーではコンピューター上の BitLocker で保護されている固定データ ドライブに対するユーザー アクセスの認証にスマート カードを使用できるようにするかどうかや、リムーバブル データ ドライブにデータを書き込む際に BitLocker 保護を必須にするかどうかを構成することもできます。
