ホーム
ハードウエア ソフトウエア サービス
ニュース e-mail
メンテナンス アーカイブ
ダウンロード

(従業員およびメンバの皆様へ)



----- 業務連絡 2016年10月20日 -----

八王子/安曇野両事業所では、WindowsXPを搭載したPCの使用をしばらく禁止していましたが、2016年10月、再調整および試運転とトラフィックの確認を行い、ガイドラインを設けて再稼働させることとしました。目的は、当時のJTAG用開発環境とデータを使うことです。
使用を禁止した当時、WindowsXP用PCにインストールされていたアプリケーションの中には、更新を含む様々な変更によって幾度も上書きされ履歴の追えなくなったものが多く、それらはメンテナンスが実際にはほぼ不可能であり、さらにはOS自体の設定もそのままで適切とは到底言えない状態にありました。今回の再稼働に際し、両事業所では、正規のインストールCDを用いてWindowsXP-SP3をクリーンインストールし、機能とアプリケーションを制限し、LANには接続しますが事業所外部とは遮断することとします。以下の手順に従ってください。使うことができるアプリケーションはここにリストした6本だけです。他のアプリケーションは一切実行しないように(もちろんインストールも行わないように)してください。ドライバやアプリケーションの導入に使用できるUSBメモリは、現在事業所内で管理されている「書き込み禁止USBメモリ」のみとします。
これにより、両事業所のWindowsXPは、一定程度の(Windows10とセキュリティソフトが搭載された市販のPCを買ったままの状態でインターネットに接続してあるものよりは高い)安全性をもって運用することができます。また、この運用には、OSの起動や停止が圧倒的に速いこと、アプリケーションの動作がOSの機能にほとんど影響されずスムースであること、基本機能に不足は無いことなど、多くの優れた特長があります。長く大切に使いましょう。

・AutoCAD(WindowsXP専用)
・CRC(WindowsXP専用)
・DSO3000(WindowsXP専用)
・JDE(プリンタポート使用)
・SPBUILD(サービス/メンテナンス用)
・7zip

 −---- takezou -----







_________________________________
_________________________________
_________________________________






<手順>

1. ネットワークの切断
  PCからLANケーブルを外す。WLANアダプターがあれば外す(またはBIOS等で切断する)。



2. WindowsXPのクリーンインストール
  インストール用正規CD(個別のプロダクトIDで過去にアクティベーション済:該当のPCを間違えないこと)を用い、インストールを行う。
  (以降の作業は通常業務に用いるユーザ名を管理者アカウントで)



3. サービスパックのオフラインインストール
  ・他のPCで、「Microsoft Update カタログ」から以下のサービスパックをダウンロードし、適当な場所にコピーしておく。
  (当事業所では書き込み禁止USBメモリに保管済)
    Windows XP Service Pack 2
    Windows XP Service Pack 3 (KB936929)
  ・USBポートに接続されている機器を全て外す。
  ・Pack 2、再起動、Pack 3、再起動、の順にインストールする。
  ・この後、「不明のデバイス」カテゴリに「USBドライバ」が無いことを確認する。
  (「標準エンハンスドPCItoUSB」として認識されていればOK)



4. Windowsのアクティベーション
  「Windowsの認証」より、「電話による認証」を選択、
    ・指定のIDを電話(自動応答)にて交換し、入力する。



5. 自動更新停止/セキュリティ警告の表示停止
  ・コントロールパネル ▶ 自動更新 より、
    自動更新を OFF にする。
  ・コントロールパネル ▶ セキュリティセンター より、
    「セキュリティセンターからの警告方法変更」で全てのチェックを OFF にする。



6. 各種ドライバのオフラインインストール
  <例:IBM ThinkPad (他のPCでWebからダウンロード:当事業所では書き込み禁止USBメモリに保管済)>
  (注意:.NET Frameworkやそれに依存する追加プログラムをインストールしないこと)
    ・Broadcom Ethernet Software
    ・Audio Features X
    ・ATI Display Driver 
    ・ATI SMBus Controller



7. Windows のコンポーネント削除
  ・コントロールパネル ▶ プログラムの追加と削除 より、以下を残して他のコンポーネントをすべて削除する。
    ・アクセサリとユーティリティ
    ・インデックスサービス
    ・ネットワークサービス
  (IE,MediaPlayer,OutlookExpress,Messengerなどを削除)



8. コンピュータ名とアカウントの設定
  ・コンピュータ名:外部アクセスのシャットアウトに使う名称
  ・ワークグループ名:他のPCと同じ
  ・ユーザ名とパスワード:他のPCと同じ



9. TCP/IP の設定
  ・スタティック
  ・IPアドレス:A.B.C.D(外部アクセスのシャットアウトに使うアドレス)
  ・デフォルトゲートウエイとDNS:A.B.C.N(存在しないアドレス)



10. Samba サーバへの接続設定(サーバでは max/min protocol でSMB1を落とさないこと)
  【ファイアーウォール】
     ・全般タブにて、ファイアーウォールを有効に設定。
     ・例外タブにあるプログラムおよびサービスのチェックを全て外す。
     ・詳細設定タブのローカルエリア接続にて、
      予めリストされているサービスのチェックを全て外す。
      以下のサービスのみ追加許可する。
         source=137 dest=137 UDP inbonud from xxx.xxx.xxx.xxx/xx
         source=138 dest=138 UDP inbonud from xxx.xxx.xxx.xxx/xx
  【LANマネージャ認証レベル】
    <レジストリエディタ>
    HKLM ▶ SYSTEM ▶ CurrentControlSet ▶ Control ▶ Lsa
      値 LmCompatibilityLevel を 0 から 3 に変更
      (NTLM から NTLMv2 に変更)



11. ユーザアカウントの再設定
  全ての設定とインストールを終えた後、しばらく運転して問題が無ければ、
  コントロールパネル ▶ ユーザアカウント より、
     ・管理者アカウントを新しく作成する。
     ・上記作業で使った(通常業務に用いる)アカウントを一般アカウントに変更する。



【ゲートウエイ(ブロードバンドルータ)にて】
12. パケットフィルタリング(10月5日設定済)
  LAN側(プライベートアドレスのハンドリング:WAN側ではない)のパケットフィルタを設定する。
    ・宛先が A.B.C.D/32 の アウトバウンドパケットを破棄 
    ・送信元が A.B.C.D/32 の インバウンドパケットを破棄 
    (マスク表記注意:ネットワークアドレスを示すものではない)






_________________________________
_________________________________
_________________________________



ビーウエイブ・テクノロジー
bieewave.com