● OSの古典セキュリティ例(零細や個人事業などセキュリティ予算が無いとき)

Windows2000、2000Server、などのセキュリティサポートの切れたOSを使いたいときや、VMWareやVirtualBox、Hyper-Vなどの仮想マシン作成ソフトなどで、そういうOSを使いたいときなどに、その仮想マシンの中でも使えると思います。

・サーバに使うなら、「サーバには触るな」と周知させて
 社長様や幹部の方の席の近くにファイルサーバを置く。
 あるいは鍵のかかった別室に。
・管理者もできるだけ触らないか、何か監視ルールを設ける
・Win2000などのサポート切れの古いOSなら445番ポートを閉じる
 必要なパソコンだけ445番を開ける(一部のランサムウェア対策)
・GUESTアカウントが万が一、有効になっていないかチェック
・一応、管理共有機能をOFFにする
・レジストリで特定のソフトの起動を禁止する
 例えばインターネットとメール、アクロバットなどの禁止
 (そもそもファイルサーバには必要ないので使えなくても不自由しません。
  場合によってはレジストリで禁止できるものは禁止します。)
・通常は制限ユーザーで起動
・ブロードバンドルーターを2段構え以上にして、
 より深いほうのネットワークをメインのLANにしてクライアントとサーバを配置
 浅いほうのLANはフリーウェアテストや微妙なフリーウェア専用など
・インターネット閲覧ソフトとメールソフトを起動禁止にする
・その他ネットワーク系のアプリケーションを起動禁止にする
・どうしても必要なもの以外のパケットキャプチャ的なソフトの削除
・その他の使わないソフトの削除
・フリーウェア(無料ソフト)の追加は原則禁止
 (Virus Total やその他のウィルスチェック無しに無料ソフトを使わない)
・原則 .NET Framework の削除
・USB、CD・DVDの使用禁止(HDD以外の内蔵記憶装置は全部はずして皆無にする。)
・ファイアウォールソフトのHIP的な機能を起動
 (Windows2000の場合Sygate Firewallとか)
 そのセキュリティログやConnectしてるIPアドレスを
 毎日・数時間毎にチェックする
・Adobe Acrobatの削除
・Adobe Flushの削除 当然Youtubeも禁止 動画再生禁止
・JAVAの削除
・ひと月かふた月に一度の頻度で定期的に 起動ドライブをクリーンなものと入れ替える
 データディスクはウィルスチェックする
 起動ドライブをdiskpartでcleanしてクリーンな内容をリストアする
 (XPまではCドライブはドラッグでのバックアップとリストアでOKなので。
  もちろんバックアップソフトでバックアップとリストアをしてもOKです。)
・外付けバックアップ用ドライブも別マシンでウィルスチェックする
・ファイルサーバのネットワーク内にDMZを絶対に作らない。
 そもそも外部公開用のWebサーバの設置などは
 素人の手には負えないので絶対に禁止する。
・フリーウェアを試すマシンは、
 ルータをいくつか多段化して、必ず別のネットワークにする。
・光学ドライブも必要な時以外はOFF設定にするか内蔵ドライブは全てはずしておく
・USBの機能もバックアップ時以外はOFF設定にしておく
・データは原則起動ドライブには置かず2台めのHDD(Dドライブ)以降に入れる
 (XP以降なら場合によっては、マイドキュメントをDドライブに設定する)
・メーラーをもし使うなら、添付ファイルについては正しいメールであっても
 いったんは「ウィルス」フォルダに自動移動。
 そして、URLリンクのクリック禁止と、ブラウザのレジストリでの起動禁止
 操作ミスを防ぐため、必ずレジストリで起動できないようにしておく。
 特にIEは消しても復活してくるので。
 ブラウザが一つも起動できなくてアクロバットやJAVAが入っていなければ、
 URLをクリックしても何も起こらない場合もあるかもしれない。
・基本、人間が触らければ、完全に倉庫にしてしまえば、感染源になることはまずない。
 感染の本当の原因は、油断と思いこみ、決めつけ、など、結局「人間」だから。