当事業所ではWindowsXPを搭載したPCの使用を2015年より禁止してきましたが、2016年10月、旧JTAG用開発環境と当時のデータをそのまま使うことを目的に、WindowsXPの再調整および試運転と同時にネットワークトラフィックの確認を行いました。その結果、当事業所では、ガイドラインを設けてWindowsXP用PCを再稼働させることとしました。
WindowsXP用PCにインストールされているアプリケーションの中には、安全性についての検討がほとんどなされていないものや、更新を含む様々な変更で何度も上書きされ履歴の追えなくなったものが多く、動作のコントロールやアンインストールといったメンテナンスが実際には難しくなっているというのが現状です。OS自体の設定も適切とは言えません。当事業所では、再稼働に際し、意図しない接続や好ましくない動作を避けるため、正規のインストールCDを用いたWindowsXPのクリーンインストール、機能とアプリケーションの制限、および規定のネットワーク設定を行うこととします。以下の手順に従ってください。対象とするアプリケーションはリストした6本だけです。他のアプリケーションは一切実行しないように(もちろんインストールも行わないように)してください。ドライバやアプリケーションの導入に使用できるUSBメモリは、現在事業所内で管理されている「書き込み禁止USBメモリ」のみとします。
これにより、当事業所のWindowsXPの安全性は、少なくともWindows10を買ったままの状態でインターネットに接続しておいたものよりは高いと考えています。また、この運用には、起動や停止が速いこと、アプリケーションの動作がOSの機能にほとんど影響されないこと、基本機能に不足は無いことなど、多くの優れた特長があります。長く大切に使いましょう。
・AutoCAD
・CRC
・DSO3000
・JDE
・SPBUILD
・7zip
− 2017年10月20日 takezou
_________________________________
_________________________________
_________________________________
<手順>
1. ネットワークの切断
PCからLANケーブルを外す。WLANアダプターがあれば外す(またはBIOS等で切断する)。
2. WindowsXPのクリーンインストール
インストール用正規CD(個別のプロダクトIDで過去にアクティベーション済:該当のPCを間違えないこと)を用い、インストールを行う。
(以降の作業は通常業務に用いるユーザ名を管理者アカウントで)
3. サービスパックのオフラインインストール
・他のPCで、「Microsoft Update カタログ」から以下のサービスパックをダウンロードし、適当な場所にコピーしておく。
(当事業所では書き込み禁止USBメモリに保管済)
Windows XP Service Pack 2
Windows XP Service Pack 3 (KB936929)
・USBポートに接続されている機器を全て外す。
・Pack 2、再起動、Pack 3、再起動、の順にインストールする。
・この後、「不明のデバイス」カテゴリに「USBドライバ」が無いことを確認する。
(「標準エンハンスドPCItoUSB」として認識されていればOK)
4. Windowsのアクティベーション
「Windowsの認証」より、「電話による認証」を選択、
・指定のIDを電話(自動応答)にて交換し、入力する。
5. 自動更新停止/セキュリティ警告の表示停止
・コントロールパネル ▶ 自動更新 より、
自動更新を OFF にする。
・コントロールパネル ▶ セキュリティセンター より、
「セキュリティセンターからの警告方法変更」で全てのチェックを OFF にする。
6. 各種ドライバのオフラインインストール
<例:IBM ThinkPad (他のPCでWebからダウンロード:当事業所では書き込み禁止USBメモリに保管済)>
(注意:.NET Frameworkやそれに依存する追加プログラムをインストールしないこと)
・Broadcom Ethernet Software
・Audio Features X
・ATI Display Driver
・ATI SMBus Controller
7. Windows のコンポーネント削除
・コントロールパネル ▶ プログラムの追加と削除 より、以下を残して他のコンポーネントをすべて削除する。
・アクセサリとユーティリティ
・インデックスサービス
・ネットワークサービス
(IE,MediaPlayer,OutlookExpress,Messengerなどを削除)
8. コンピュータ名とアカウントの設定
・コンピュータ名:外部アクセスのシャットアウトに使う名称
・ワークグループ名:他のPCと同じ
・ユーザ名とパスワード:他のPCと同じ
9. TCP/IP の設定
・スタティック
・IPアドレス:A.B.C.D(外部アクセスのシャットアウトに使うアドレス)
・デフォルトゲートウエイとDNS:A.B.C.N(存在しないアドレス)
10. Samba サーバへの接続設定(サーバでは max/min protocol でSMB1を落とさないこと)
【ファイアーウォール】
・全般タブにて、ファイアーウォールを有効に設定。
・例外タブにあるプログラムおよびサービスのチェックを全て外す。
・詳細設定タブのローカルエリア接続にて、
予めリストされているサービスのチェックを全て外す。
以下のサービスのみ追加許可する。
source=137 dest=137 UDP inbonud from xxx.xxx.xxx.xxx/xx
source=138 dest=138 UDP inbonud from xxx.xxx.xxx.xxx/xx
【LANマネージャ認証レベル】
<レジストリエディタ>
HKLM ▶ SYSTEM ▶ CurrentControlSet ▶ Control ▶ Lsa
値 LmCompatibilityLevel を 0 から 3 に変更
(NTLM から NTLMv2 に変更)
11. ユーザアカウントの再設定
全ての設定とインストールを終えた後、しばらく運転して問題が無ければ、
コントロールパネル ▶ ユーザアカウント より、
・管理者アカウントを新しく作成する。
・上記作業で使った(通常業務に用いる)アカウントを一般アカウントに変更する。
【ゲートウエイ(ブロードバンドルータ)にて】
12. パケットフィルタリング(10月5日設定済)
LAN側(プライベートアドレスのハンドリング:WAN側ではない)のパケットフィルタを設定する。
・宛先が A.B.C.D/32 の アウトバウンドパケットを破棄
・送信元が A.B.C.D/32 の インバウンドパケットを破棄
(マスク表記注意:ネットワークアドレスを示すものではない)
_________________________________
_________________________________
_________________________________
