ホーム
ニュース e-mail

業務連絡:WindowsXP



WindowsXPを搭載したPCは、一昨年より事業所内での使用が全面的に禁止されています。一方この10月、旧来のJTAG用開発環境と当時のデータをそのまま使うため、WindowsXPの再調整および試運転と同時にネットワークトラフィックの確認を行いました。当事業所では、これを機に新しくガイドラインを設け、すべてのWindowsXP用PCを必要に応じ再稼働させることとします。
現在、WindowsXP用PCは、多くのアプリケーションがインストールされたままの状態で放置されています。アプリケーションの中には、その要/不要や安全性についての検討が充分になされていないものや、更新を含む様々な変更で部分的に何度も上書きされてしまっているものが多く、動作の制限やアンインストールといったメンテナンスが実際には非常に難しくなっているというのが現状です。さらにOS自体の設定も適切であるとは言えません。そこで、再稼働に際しては、意図しない接続や好ましくない動作を避けるため、正規のインストールCDを用いたWindowsXPのクリーンインストール、機能とアプリケーションの制限、および規定のネットワーク設定を行うこととします。以下の手順に従ってください。対象とするアプリケーションは下にリストする5本に限定します。他のアプリケーションは一切実行しないように(もちろんインストールもしないように)してください。ドライバやアプリケーションの導入に使用できるUSBメモリは、現在事業所内で管理されている「書き込み禁止USBメモリ」のみとします。
これにより、当事業所のWindowsXPはそれほど悪くない(少なくともWindows10を買ったままでインターネットに接続しておくよりは質の良い)安全性をもって運用することができるようになるはずです。また、今回このOSの意外な特長も浮かび上がってきました。それは、起動や停止が比較的速いこと、アプリケーションの動作がOSの機能にほとんど影響されないこと、加えて実は基本機能に不足は無いということです。該当のアプリケーションも目的の機能に特化した優れたものばかりです。ぜひ、長く大切に使いましょう。

・CRC
・DSO3000
・JDE
・SPBUILD
・7zip

 − 2017年10月20日 takezou







_________________________________
_________________________________
_________________________________






<手順>

1. ネットワークの切断
  PCからLANケーブルを外す。WLANアダプターがあれば外す(またはBIOS等で切断する)。



2. WindowsXPのクリーンインストール
  インストール用正規CD(個別のプロダクトIDで過去にアクティベーション済:該当のPCを間違えないこと)を用い、インストールを行う。
  (以降の作業は通常業務に用いるユーザ名を管理者アカウントで)



3. サービスパックのオフラインインストール
  ・他のPCで、「Microsoft Update カタログ」から以下のサービスパックをダウンロードし、適当な場所にコピーしておく。
  (当事業所では書き込み禁止USBメモリに保管済)
    Windows XP Service Pack 2
    Windows XP Service Pack 3 (KB936929)
  ・USBポートに接続されている機器を全て外す。
  ・Pack 2、再起動、Pack 3、再起動、の順にインストールする。
  ・この後、「不明のデバイス」カテゴリに「USBドライバ」が無いことを確認する。
  (「標準エンハンスドPCItoUSB」として認識されていればOK)



4. Windowsのアクティベーション
  「Windowsの認証」より、「電話による認証」を選択、
    ・指定のIDを電話(自動応答)にて交換し、入力する。



5. 自動更新停止/セキュリティ警告の表示停止
  ・コントロールパネル ▶ 自動更新 より、
    自動更新を OFF にする。
  ・コントロールパネル ▶ セキュリティセンター より、
    「セキュリティセンターからの警告方法変更」で全てのチェックを OFF にする。



6. 各種ドライバのオフラインインストール
  <例:IBM ThinkPad (他のPCでWebからダウンロード:当事業所では書き込み禁止USBメモリに保管済)>
  (注意:.NET Frameworkやそれに依存する追加プログラムをインストールしないこと)
    ・Broadcom Ethernet Software
    ・Audio Features X
    ・ATI Display Driver 
    ・ATI SMBus Controller



7. Windows のコンポーネント削除
  ・コントロールパネル ▶ プログラムの追加と削除 より、以下を残して他のコンポーネントをすべて削除する。
    ・アクセサリとユーティリティ
    ・インデックスサービス
    ・ネットワークサービス
  (IE,MediaPlayer,OutlookExpress,Messengerなどを削除)



8. コンピュータ名とアカウントの設定
  ・コンピュータ名:外部アクセスのシャットアウトに使う名称
  ・ワークグループ名:他のPCと同じ
  ・ユーザ名とパスワード:他のPCと同じ



9. TCP/IP の設定
  ・スタティック
  ・IPアドレス:A.B.C.D(外部アクセスのシャットアウトに使うアドレス)
  ・デフォルトゲートウエイとDNS:A.B.C.N(存在しないアドレス)



10. Samba サーバへの接続設定(サーバでは max/min protocol でSMB1を落とさないこと)
  【ファイアーウォール】
     ・全般タブにて、ファイアーウォールを有効に設定。
     ・例外タブにあるプログラムおよびサービスのチェックを全て外す。
     ・詳細設定タブのローカルエリア接続にて、
      予めリストされているサービスのチェックを全て外す。
      以下のサービスのみ追加許可する。
         source=137 dest=137 UDP inbonud from xxx.xxx.xxx.xxx/xx
         source=138 dest=138 UDP inbonud from xxx.xxx.xxx.xxx/xx
  【LANマネージャ認証レベル】
    <レジストリエディタ>
    HKLM ▶ SYSTEM ▶ CurrentControlSet ▶ Control ▶ Lsa
      値 LmCompatibilityLevel を 0 から 3 に変更
      (NTLM から NTLMv2 に変更)



11. ユーザアカウントの再設定
  全ての設定とインストールを終えた後、しばらく運転して問題が無ければ、
  コントロールパネル ▶ ユーザアカウント より、
     ・管理者アカウントを新しく作成する。
     ・上記作業で使った(通常業務に用いる)アカウントを一般アカウントに変更する。



【ゲートウエイ(ブロードバンドルータ)にて】
12. パケットフィルタリング(10月5日設定済)
  LAN側(プライベートアドレスのハンドリング:WAN側ではない)のパケットフィルタを設定する。
    ・宛先が A.B.C.D/32 の アウトバウンドパケットを破棄 
    ・送信元が A.B.C.D/32 の インバウンドパケットを破棄 
    (マスク表記注意:ネットワークアドレスを示すものではない)



			






_________________________________
_________________________________
_________________________________



ビーウエイブ・テクノロジー
bieewave.com