<手順>
1. ネットワークの切断
PCからLANケーブルを外す。WLANアダプターがあれば外す(またはBIOS等で切断する)。
2. WindowsXPのクリーンインストール
インストール用正規CD(個別のプロダクトIDで過去にアクティベーション済:該当のPCを間違えないこと)を用い、インストールを行う。
(以降の作業は通常業務に用いるユーザ名を管理者アカウントで)
3. サービスパックのオフラインインストール
・他のPCで、「Microsoft Update カタログ」から以下のサービスパックをダウンロードし、適当な場所にコピーしておく。
(当事業所では書き込み禁止USBメモリに保管済)
Windows XP Service Pack 2
Windows XP Service Pack 3 (KB936929)
・USBポートに接続されている機器を全て外す。
・Pack 2、再起動、Pack 3、再起動、の順にインストールする。
・この後、「不明のデバイス」カテゴリに「USBドライバ」が無いことを確認する。
(「標準エンハンスドPCItoUSB」として認識されていればOK)
4. Windowsのアクティベーション
「Windowsの認証」より、「電話による認証」を選択、
・指定のIDを電話(自動応答)にて交換し、入力する。
5. 自動更新停止/セキュリティ警告の表示停止
・コントロールパネル ▶ 自動更新 より、
自動更新を OFF にする。
・コントロールパネル ▶ セキュリティセンター より、
「セキュリティセンターからの警告方法変更」で全てのチェックを OFF にする。
6. 各種ドライバのオフラインインストール
<例:IBM ThinkPad (他のPCでWebからダウンロード:当事業所では書き込み禁止USBメモリに保管済)>
(注意:.NET Frameworkやそれに依存する追加プログラムをインストールしないこと)
・Broadcom Ethernet Software
・Audio Features X
・ATI Display Driver
・ATI SMBus Controller
7. Windows のコンポーネント削除
・コントロールパネル ▶ プログラムの追加と削除 より、以下を残して他のコンポーネントをすべて削除する。
・アクセサリとユーティリティ
・インデックスサービス
・ネットワークサービス
(IE,MediaPlayer,OutlookExpress,Messengerなどを削除)
8. コンピュータ名とアカウントの設定
・コンピュータ名:外部アクセスのシャットアウトに使う名称
・ワークグループ名:他のPCと同じ
・ユーザ名とパスワード:他のPCと同じ
9. TCP/IP の設定
・スタティック
・IPアドレス:A.B.C.D(外部アクセスのシャットアウトに使うアドレス)
・デフォルトゲートウエイとDNS:A.B.C.N(存在しないアドレス)
10. Samba サーバへの接続設定(サーバでは max/min protocol でSMB1を落とさないこと)
【ファイアーウォール】
・全般タブにて、ファイアーウォールを有効に設定。
・例外タブにあるプログラムおよびサービスのチェックを全て外す。
・詳細設定タブのローカルエリア接続にて、
予めリストされているサービスのチェックを全て外す。
以下のサービスのみ追加許可する。
source=137 dest=137 UDP inbonud from xxx.xxx.xxx.xxx/xx
source=138 dest=138 UDP inbonud from xxx.xxx.xxx.xxx/xx
【LANマネージャ認証レベル】
<レジストリエディタ>
HKLM ▶ SYSTEM ▶ CurrentControlSet ▶ Control ▶ Lsa
値 LmCompatibilityLevel を 0 から 3 に変更
(NTLM から NTLMv2 に変更)
11. ユーザアカウントの再設定
全ての設定とインストールを終えた後、しばらく運転して問題が無ければ、
コントロールパネル ▶ ユーザアカウント より、
・管理者アカウントを新しく作成する。
・上記作業で使った(通常業務に用いる)アカウントを一般アカウントに変更する。
【ゲートウエイ(ブロードバンドルータ)にて】
12. パケットフィルタリング(10月5日設定済)
LAN側(プライベートアドレスのハンドリング:WAN側ではない)のパケットフィルタを設定する。
・宛先が A.B.C.D/32 の アウトバウンドパケットを破棄
・送信元が A.B.C.D/32 の インバウンドパケットを破棄
(マスク表記注意:ネットワークアドレスを示すものではない)
---補足---
八王子/安曇野両事業所では、WindowsXPを搭載したPCを再稼働させることになりました。目的は、当時のJTAG用開発環境とデータを使うことです。そのため、再インストールと調整、およびトラフィック等の確認を行うとともに、運転のガイドラインを設けました。
使用を停止した当時、WindowsXP用PCにインストールされていたソフトウエアの中には、更新を含む様々な変更によって幾度も上書きされ履歴の追えなくなったものが多く、したがってメンテナンスが実際にはほぼ不可能で、さらにはOS自体の設定も適切とは言えない状態にありました。今回の再稼働では、そのようなことがないよう、まずは正規のインストールCDを用いてWindowsXP-SP3をクリーンインストールし、機能とソフトウエアを制限し、LANには接続しますが事業所外部とは遮断します。このページの手順に従ってください。使うことができるソフトウエアはここにリストした6本だけです。他のソフトウエアは一切実行しないように(もちろんインストールも行わないように)してください。ドライバやソフトウエアの導入に使用できるUSBメモリは、現在事業所内で管理されている「書き込み禁止USBメモリ」のみとします。
なお、現在のプリンタポート付32ビット端末に不具合が生じた場合は御連絡ください。別の端末にVMwareを導入する予定です。
・AutoCAD(WindowsXP専用)
・CRC(WindowsXP専用)
・DSO3000(WindowsXP専用)
・JDE(プリンタポート使用)
・SPBUILD(サービス/メンテナンス用)
・7zip
−---- takezou -----
