  |
はてなキーワード: Windowsとは
要件満たすため・社内政治的な理由でピンポイントで別のところ使う+併用はあっても、
ゼロトラストセキュリティは、「信頼せず、常に検証する」という原則に基づいています。主な特徴として、常時の認証と承認、最小権限アクセス、アクセスの継続的な監視があります。以下の技術やソリューションを組み合わせることで、包括的なゼロトラストセキュリティモデルを構築できます。
1. Microsoft Entra ID(旧Azure AD):
3. 多要素認証(MFA):
1. 暗号化:
それ以下って具体的に言って。基本的に盛りすぎなんだよ
謎の増田:
まー事務とか経理とかの裏方へは投資も教育も後回しにされるよね
さすがにXPはないだろって思ったけどそもそも仕事で扱うと言ったら
社内の共有サーバーにさえ繋がればインターネットに繋がる必要すらないまであったし
そこには金かけれんよね
↓
これも盛り加減を考えた方がええわな
社内のファイルサーバーに繋げればとか言っても、Windows XP は SMB2 すらネイティブサポートしてないのよ
Windows から NAS へ接続出来なくなったーとかやってたのは2017年頃の話やで
SMB v1 の脆弱性を悪用するランサムウェア「WannaCryptor」ガーとかでね
https://learn.microsoft.com/ja-jp/security-updates/securitybulletins/2017/ms17-010
いうほど中小M365Apps入れるの負担か?
YouTube 見てたら、ネタで Excel2003 使っているとかいう話が出てきたんやけど、
経理を雇おう!って組織でいうほど M365Apps 入れるの負担か?どう考えても盛り過ぎじゃね?
winget.exe uninstall --id MSIX\Microsoft.Winget.Source_2024.705.2307.59_neutral__8wekyb3d8bbwe --exact --accept-source-agreements --version "2024.705.2307.59" --silent --disable-interactivity
で、アンインストールできることになってるけど、8wekyb3d8bbweはMicrosoftのことらしいけど、こんなの勝手に名乗れるのでは?
あと、wingetは設定→アプリみたいな形式でインストール、アンインストールするものではない気がする
設定→アプリでは、「windows package manager source (winget) v2」のように表示されるが、開発元のような表示はすべて空欄になっている
昨日インストールしてしまった「UniGetUI」とかいうのをインストールすると、勝手にこれもインストールされてる
インストーラーのInno Setup 6とかいうののスクリプトを眺めてみたが、winget2のような記述は見当たらない
GitHubのリポジトリ上にある、appsdk.exe、netcorecheck_x64.exeとかいうのが入れてるのだろうか?
そもそも、GitHubのリポジトリに.exeファイルを放り込むような奴に碌な奴はいない
premake4.exeみたいなのだったら分からないでもないが、
今思いついたが、考えてみれば罠を仕掛けてある偽のpremakeのEXEファイルを添付しておくという嫌がらせもできうるな…😠
危なっかしいなあと思いつつも、試してみたい気が抑えられずにインストールしてみたんだけど、
ブコメにもあるように、「正規パッケージのインストールに紛れたインジェクション怖い」もあるし、
パッケージ管理が荒れがちなので、なんか便利だったらいいなあ、みたいに思ったのだけど、
そんな感じでもないのでアンインストールしようと思ったんだけど…
で、Windowsの設定→アプリからアンインストールしようと思って見てみたら、Winget 2?とかいうのが一緒に?インストールされていて、
Winget 2って何?そんなもんあるんか?と思いつつ、気味が悪いのでWinget 2とかいうのもアンインストールしたんだけど、
当然、このWinget 2をアンインストールしても、PowerShell上でwingetコマンドは使えるし、
winget -vしたら、うちのはv1.9.1792-previewになってるのだけど、改めて2って何?俺のバージョンが古いのだろうか…😟
https://github.com/microsoft/winget-cli/releases
当たり前だけど、2なんてないわな…
変なの入れちゃったな…
こういうの、普通にアンインストールしただけだと残ってるものがあったりするし、やめとけばよかった…😔
そういえば、過去にCCleanerだったかも入れちゃったことあるんだけど、
あの手の最適化を謳ったアプリも罠が多くて、あれもちゃんとアンインストールされなかった気がする
普段は最適化なんて詐欺っぽくて入れないのだけど、あのときなんかトラブルがあって、試しに入れちゃったんだよな…
これでなんとなく長文書いたらビビるくらいブクマついたので弊社の例も書いてみる
3年前に買収されて今は世界で数百人年商2000億くらいの規模
外向けのレガシーSaaS、それをリプレースメント中のマイクロサービス群、自社の経理向けのシステム
ただしVPNとRDPはあり
ファイルサーバーはSharePointに移行中
2代前の会ったことがないCTOの時にランサムウェアにやられている
その時はCTOがバックアップから戻せたけれど弁護士代等で数千万の損害
現在のシステムのハックのしやすさはサービスによるので以下に個別に
AWS上のWindows Serverで稼動するWebアプリケーション(Spring)
引き継いだ時は顧客の住所電話等のPII(個人情報)が満載だったけど全部消したので今はここから見れるのは名前と何時間うちと関わったかということだけ
一応AWS上ではあるけどVPNとRDPがハックされた場合(よくある)全部抜かれる可能性はあって正直ユルユルだが最悪抜かれてもそんなに困らないようになっている(した)
ファイルは自社で保存じゃなくてAWSのs3にシステム経由でアップロードされるようになっているのでファイルサーバー、あるいはSharePointなどとは別系統の認証が必要
それでもRDPで繋げられるAWS上のWindowsServer上にのっているのでハックした上で頑張ればとれてしまうけれどブラウズしてファイルがみれるものに比べれば難易度は上
同じ情報をあつかってるけどサービス自体がコンテナ化されてAWS上で動いているので乗っ取れるサーバーがなくて会社がハックされても関係ない
API経由で認証してAPI経由で情報を取り出すようになっているので個々のAPIの安全性は書いた人次第だけどそれで盗める情報はそのAPIが扱う一部に限られる
ここ経由で雑に免許証だのなんだの大量に出る可能性はかなり低い
1.2.3.とそれ以外のケースは大きな会社なら混在してて、いくらノートラストとか言ってて実際一部が3.でやっていてもだめだし
VPNやRDPを乗っ取られないようにするスキルとAPIのセキュリティーを設計して書くスキルとでも全く違うし
仮にノートラストで全部3にしようってしてもできる人間は限られてるし高いしいきなりできるものでもないんだけど
その辺雑だからこういうことになるのかね
↓
↓
ないんじゃないかな
↓
↓
別の盛り過ぎ増田にも突っ込んだけど、
今はオンプレファイルサーバー使ってないか、オンプレ使っていても、SharePoint に移行中なのよ
MSに両親を殺された人は GoogleDrive (SharePointとGoogleDrive両方ある会社も多い)
|
| |
<情シス:各インフラ担当チーム> <情シス:各社内システム担当チーム>
| | |
| | <各社内システム開発チーム>
情シス=ヘルプデスクのみって組織なら別ですけど、情シス無視して話が進むのはあんま一般的ではないですね
もし何かがうまくいっていなかったのなら、この辺でなんかあってそれを反映した設計だったのかもね
|
野心ある謎の猫(えらい猫ウケがいい)👈
|
|
↓
~~~~~~~~~~~~~~
謎の増田:
まー事務とか経理とかの裏方へは投資も教育も後回しにされるよね
さすがにXPはないだろって思ったけどそもそも仕事で扱うと言ったら
社内の共有サーバーにさえ繋がればインターネットに繋がる必要すらないまであったし
そこには金かけれんよね
↓
これも盛り加減を考えた方がええわな
社内のファイルサーバーに繋げればとか言っても、Windows XP は SMB2 すらネイティブサポートしてないのよ
Windows から NAS へ接続出来なくなったーとかやってたのは2017年頃の話やで
SMB v1 の脆弱性を悪用するランサムウェア「WannaCryptor」ガーとかでね
https://learn.microsoft.com/ja-jp/security-updates/securitybulletins/2017/ms17-010
↓
それな。ゼロトラストの原則で運用してあれば被害の拡大は防げたはず
↓
これやってるところどこにも存在しないって謎の人は言うんですけど
たぶんどこでもやってると思うんで会社のPCで確認して見て欲しいのよ
別に何台でもいいですけど、その規模感で情シスはヘルプデスクでしかないも、無軌道に管理も、あんま一般的ではないです
これも盛り加減を考えた方がええわな
社内のファイルサーバーに繋げればとか言っても、Windows XP は SMB2 すらネイティブサポートしてないのよ
Windows から NAS へ接続出来なくなったーとかやってたのは2017年頃の話やで
SMB v1 の脆弱性を悪用するランサムウェア「WannaCryptor」ガーとかでね
https://learn.microsoft.com/ja-jp/security-updates/securitybulletins/2017/ms17-010
Microsoftは3月に既にこの攻撃に使われる脆弱性に対処しているが、同日中に、既にサポート期間が終了している
「Windows XP」「Windows 8」「Windows Server 2003」向けのパッチも公開した。
https://www.itmedia.co.jp/news/articles/1705/14/news016.html
これも盛り加減を考えた方がええわな
社内のファイルサーバーに繋げればとか言っても、Windows XP は SMB2 すらネイティブサポートしてないのよ
Windows から NAS へ接続出来なくなったーとかやってたのは2017年頃の話やで
SMB v1 の脆弱性を悪用するランサムウェア「WannaCryptor」ガーとかでね
https://learn.microsoft.com/ja-jp/security-updates/securitybulletins/2017/ms17-010
今どきは素直に M365Apps か Google Workspace かビジネスチャットアプリで共有だと思うぞ
反AIの人達の中でも過激な人達は、現在のAIのほとんどはデータの無断利用によって発展してきたと言う汚れた出自をついてくる人もいるけど、それを言ったらそもそもインターネットの出自はアメリカ国防省が予算を出した軍事技術で、まさに汚れた出自なんだけどそっちはいいんだと思う。Windowsを使ってる奴らもな。あれはMacintoshの仕組みをそのままパクった出自の汚い製品だよ。インターネットをWindowsのパソコンで使ってる奴はAI推進派と同じ精神性を持った泥棒だ。殺せ。
エンジニアの能力がとかクレジットカードがとかは基本関係ないという話
(関係なくてもアカウント持ってたらパスワードはすぐ変えるの推奨)
これはシステムがある会社で働いたことある人はわかるんじゃないかと思うけど
メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるとは限らないというか多分されない
さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)でスキルが全然違うのでやっているチームは普通違うし、物理的にサーバーがある場所も違うことが多い
そのうえクレジットカードや最近ではシステムにアクセスするユーザー名とパスワードなどもそもそも自社に置かないで外部の専門の企業に出すことが増えている
AmazonでログインとかGoogleでログインとか最近多いのはそういうこと
特にクレジットカードの認証はカード会社のサービスに回してデータは自分では持っていない可能性が非常に高い
出てきた情報から見ると従業員や取引先の情報や、取引内容の情報なので、おそらくは人事とか経理や営業が使っているファイルサーバーがやられたんだと思う
一般の会社にもある「このファイルはこのフォルダにコピーしてね」っていうやつ
「Windowsでエクセルファイルをフォルダにコピーして」っていうのは今では危険と認識されててSharePointなどファイルサーバーじゃなくて外部のシステムに置くようになってるけど、正直社内向けのシステムというのは後手に回ることが多いし弊社もまだ移行が住んでいないシステム・フォルダーはある
盗まれて業務が止まるようなものはない(から後手にまわってる)けれど、流出されたらちょっと困る
住所や生年月日なんかは置かないようになってるけど、なんという名前の人が何日に何時間働いたとかそういうもの
流出の内容を見るとそこに弊社より危険なデータを置いていた雰囲気
上記のことを踏まえて、KADOKAWAの展開してるサービス自体とかクレジットカードは「おそらく」大丈夫(ただパスワードは速攻変えるのが推奨)
KADOKAWAと会社として関わってる人や従業員で色々書類等出した人は今後も流失する危険がある
上記のように外部向けのサービスをやっているエンジニアと社内のファイルサーバーなどでスキルもやっているチームも違うので、ランサムウェアにやられたから提供しているサービスをやっているエンジニアのレベルが低いとは全然限らないし、社内システムのエンジニアのレベルが高いからサービスのエンジニアのレベルが高いとも限らない(ただし通常は社内のが後手)
(おそらくは)社内のファイルサーバーに置いてたのが悪かったよね
何で侵入されたのか明らかになってないけどフィッシング対策とかも今や専門の人がいるし
とりあえず今まで出てきた内容からするとニコニコとかその他のKADOKAWAの外部的なサービスは人員的にも予算的にも全然関係ない感じ
結局社内のITシステムに十分な投資(経営陣のトレーニングまでを含めた)をしなかったという月並みの話なんですかね
追記:
