来客に使わせるパソコンのセキュリティー、どうすればいい? 110
ストーリー by headless
客人 部門より
客人 部門より
本家/.「Ask Slashdot: Protecting Home Computers From Guests? 」より
我が家の来客はメールチェックやWebサイトを私たちに見せるなどの理由で、パソコンを使わせてほしいと言う人が多い。もちろん貸すこと自体は問題ないのだが、中には危険なWebサイトにアクセスするなどリスクの高い使い方をする人もいる。アンチウイルスプログラムは導入しており、その他の点でもセキュリティーには注意しているが、来客のせいで何度もマルウェアに感染している。LinuxのブートCDを使用してみたが、少し変な感じでもあり、混乱してしまう人も多い。iPadを来客用に購入するというアイディアは、あえて危険にさらされる可能性があるものを使わせるべきではないと考えて却下した。技術的な方法やその他の方法でこういった問題を解決するには、どうすればいいだろうか。
LinuxのブートCDで (スコア:3)
どう見てもコレが最善の手。
他人の環境を使うなら、変な感じがしたり混乱するのは当たり前。
Re:LinuxのブートCDで (スコア:1)
どうい。
あるいはいっそのことアカウントを発行するとかだな。
シンクライアント+仮想デスクトップ (スコア:2)
KVMとかVMware上の仮想マシンに、シンクライアントからアクセスさせましょう。
そして、使用後は初期状態に戻します。(というか常に初期状態から開始するよう設定しておきましょう)
# 仮想マシンを隔離系のネットワークセグメントに配置すれば、ほぼ安全かな?
notice : I ignore an anonymous contribution.
Re: (スコア:0)
隔離系って外に出られるの?
出られないなら「メールをチェックしたい」って要求には応えられなくて意味がないわな。
外部にアクセスできるようにした場合、
自分ちから外部ネットワークに悪さをして、責任問題になったときに困る。
結局全く貸さないというのが正しいと思う。
Re: (スコア:0)
隔離ってWANからじゃなくて、LANのほうの他PCに対してじゃ...。
Re:シンクライアント+仮想デスクトップ (スコア:1)
>隔離系って外に出られるの?出られないなら「メールをチェックしたい」って要求には応えられなくて意味がないわな。
そもそものストーリーを読んだのか……自宅でLANパーティしたいってストーリーじゃないだろ、コレw
「インターネットに繋ぎたいゲストへの提供方法」に関しての話題に対して「隔離系ネットワークに配置」っていったら、ネットワークを分けて互いを参照させない以外に読めない。
例えば「VLAN」「隔離」のワードで検索してみつかったコレ [ccstudy.org]みたいな設定で目的は果たせると思うし、こういう意味で隔離系って言ってると読めたんだが、外しているのかなぁ。
後半の、所謂踏み台にされたら敵わんって言うのはまだ分かるんだけど、それは「念の為に接続ログだけ取ってるよ(責任回避の為)、通信内容まではモニタしてないけど」って事前に案内してログを残せば済む話な気がする。
まさか (スコア:1)
管理者権限持ったアカウントを貸したり、ましてや自分の普段使いのアカウントをそのまま使わせたりしてないよな。
そういう用途のためにゲストアカウントがあるのでは? (スコア:3)
Re:そういう用途のためにゲストアカウントがあるのでは? (スコア:1)
そうそう、制限ユーザーにしておけば感染なんてするわけ無いです。
OSとかに脆弱性があって管理権限とられたりするけど、制限ユーザーなら大丈夫。
・・・あれ?制限ユーザーなのに感染する気がしてきたよ。
Microsoft SteadyStateはなくなってしまった・・・。 (スコア:1)
今は・・・、やっぱりVMの活用ですかね。
Re:Microsoft SteadyStateはなくなってしまった・・・。 (スコア:2, 参考になる)
Microosft SteadyStateはWindows XPのみだったような気が。
XP / 2003 Server / Vista / 2008 Server / 7対応でいいならReturnil Virtual System 2010 Home Free [returnil.jp]があります。
Re: (スコア:0)
日付的にWindows 8には対応していなさそう
PCなんか使わせない (スコア:1)
えぇ~、スマホも持ってないの?
といって断るのが正解かと。
どうしてもPCを使うときは、横に立って必ず立ち会うようにしましょう。
Re: (スコア:0)
それは嫌味っぽいorデリカシーのない人、という評価が。
#まあパソコン貸してって方のデリカシーはどうなんだ、って話ではあるが。
#私は、パソコンは寝室にあるので……デスクトップなので……断れます。実際に。
Re:PCなんか使わせない (スコア:1)
"いいよ"って言って、VMの上で動く環境とか、Live CDを使わされてもねぇ。
それはそれで嫌みかなぁ...
そもそも、人の家で頻繁にPCを借りてメールチェックをする友人なんて作らないのが正解かと。
ブラウザで、一緒にページを見るときも、マナーとして、その家の人に座ってもらうものでしょうし。
貸すとしたら、VMでしょう。 (スコア:1)
リファレンスVMをコピーして、それを使ってもらって、終了後は、VMごと削除しています。
トロイの木馬あたりのマルウェアは、ホストOSのワクチンソフトが引っ掛けてくれてます。
外部とは、LTE Wifiで、自宅のネットには、つながない状態でね。
でも、完璧じゃないから一番よいのは、貸さないことかなぁ。
Re: (スコア:0)
なんでそんな面倒くさいことを……。
リファレンス仮想HDDイメージ(リードオンリーデバイス上にあってもOK)との差分を別ファイルに記録していって、仮想マシンを落とす際に差分を削除する機能があると思うんだけど。
キオスクモードもモノによってはあった気がする。
Re:貸すとしたら、VMでしょう。 (スコア:1)
VirtualBox にはそれがある。電源を切るときに「直前のスナップショットに復元」といったオプションが用意されている。
ほかの製品でもスナップショット機能があるなら似たようなことはできるでしょう。
「訪問先で使わせてもらうパソコンでのセキュリティー、どうすればいい?」 (スコア:1)
「私はメールチェックやWebサイトを顧客たちに見せるなどの理由で、訪問先でパソコンを使わせてもらうことが多い。もちろん借りること自体は問題ないのだが、中にはパスワードを盗むなどの危険なトラップを掛けてくる人もいる。ワンタイムパスワードは導入しており、その他の点でもセキュリティーには注意しているが、顧客のせいで何度もアカウントを乗っ取られている~」みたいなストーリー、スラドに垂れ込んで来客に見せりゃいいんじゃね?
来客から断られます (スコア:1)
喜んでゲストアカウントをお貸ししていますが、たいてい5分で向こうから使いたくないと言ってきますね。
HHK-ProとTrackball Explorerという、至高の組み合わせなのですが…
会社はHHKとTrackball Opticalなのですが、誰もちょっと使わせてと言って来ません。
こんなに使いやすいのになぁ・・・
#HHKを無刻印にしたらもっと強まるな。
Re:来客から断られます (スコア:2)
HHK(-Pro JP)の、かな無刻印をノートPCに繋いでいますが、当初は家人から引かれましたorz
無刻印以前にノートPCに外付けキーボード付けてる時点で「普通」の人から見たらアウトですが。
#家人が使うときはHHKどけて本体のキーボード使用
Re:来客から断られます (スコア:2)
昨今の画面解像度でトラックボールを使うのは辛いよ。
1024*768とかなら、マウスより圧倒的に使いやすかったけどね。
Re:来客から断られます (スコア:2)
線形なカーソル移動にのみ慣れていた場合、非線形移動だと扱いにくい。
一定時間当たりの移動量が閾値を超えた場合に移動量を数倍にするって手法の場合、閾値と倍率を好きなように設定できないから辛い。
Re:来客から断られます (スコア:2)
Microsoft Trackball Optical [microsoft.com]
ボールを動かすって感じ。
使った事は無いけど、Kensingtonのは回すっぽいのかな。
操作のニュアンスは伝えにくいね。
Re:来客から断られます (スコア:2)
トラックボールにも、慣性を付けて転がす系と、ボールを持つ系があって、どちらを使っているかによって感じ方が変わるだろうね。
近年のマウスは画面の高解像度化に伴い、マウスの解像度も上がっているから、持ち上げる回数は増えないよ。
ただし、精密な操作を要するけど。
トラックボールはマウスに比べて解像度を上げるのが難しい。
#このストーリーでやるのは、ここまでにした方がいいと思う
Windows To GO (スコア:1)
じゃダメなんですかね。結構(かなり)便利ですよ。
#パソコンのセキュリティより、その使わせてるパソコンがつながっているネットワークを隔離するほうが重要だと思うgesaku
Re:Windows To GO (スコア:1)
法人でない個人の場合Open License [microsoft.com]の中のOpen Businessのみ可能ですので最低3ライセンス買わないとダメですが結構簡単に買えますよ。
# 教育機関関係者やら法人格をお持ちなら別の選択肢もありますが。
一番楽なのは、パッケージ版やらプリインストールのPro入りPC買うなりしてライセンス入手後90日以内にSAを購入とかかしら?
ボリュームライセンスで"Windows Professional"のSA(1個で14k位?)を買えばEnterprise版を入手できます。
後の残りで必要な最低2ライセンスはWindows Vista Business DVD Playback Pack(数百円で2つ合わせても千円未満)を2つ買うとかで調整すると安上がりかと。
※Vista BusinessはWindows 8同様DVD再生機能が無いので追加用のライセンスが提供されてます。
購入はOSDNつながりでSF.jpから飛ぶ [osdn.jp]なり、ヨドバシカメラ [yodobashi.com]・ビックカメラ [biccamera.com]といった大手家電量販店でも扱ってます。
# 家電量販店のポイントも付くと思うので場合によってはそちらのほうが好ましいかもしれません。
来客が疑問 (スコア:1)
来客に対していろいろ疑問が。
・何故来客はメールチェックを人のPCを借りなければ出来ないのか。今時ならばスマートフォンでも十分なのに、何故いけないのか。出先でPCを使ってメールチェックしなきゃいけない位重い用事を抱えて仕事してる人間がなぜノートPCの一つも持参していないのか。
・Webサイトを「私たち」に見せるために、「私たち」は何故客人に危険なWebサイトにアクセスすることを許すのか。それが「私たち」にとって必要なことであるならば、来客と「私たち」は同じ穴の狢ではないのか?
・来客のせいで何度もマルウェアに感染していることが分かっていて何故自分のパソコンを貸すのか。
・そもそも何故そんなに高頻度にパソコンを使わせてくれという来客が来るのか。
この元のタレコミ主(An anonymous reader)がお人好しで、来客にとっては彼の家は無料ネットカフェ的な扱いをされているのではないか。そしてそれを彼自身気がついていないのではないかという気が。
まずはお断りする勇気を。
どうしても必要であるのなら、立ち会いの元でWebフィルタリングをかけたゲストアカウントを使わせる位で。
みんなが違う前提条件を想定してる (スコア:1)
みんなが違う前提条件を想定してオタクの自分が勝てるゲームを楽しむいつものスラドjp
別のブラウザを準備する (スコア:0)
セキュリティレベルを最高にあげたブラウザを別に準備してそっちを使わせる。
そのまえに、危険な使い方をする客に注意して正しく使うよう、または自分のPCでそれをしてほしくないことを意思表示するほうが先決では。
それすらも受け入れない人にPCを貸さない。非喫煙者の家で来客の喫煙を遠慮させるのと同じ感覚でいいと思う。
そういう時はタブレット (スコア:0)
来客用にはiPadを使ってもらえばいいんじゃ?
あるいは最近のWifiルータはゲスト用のAP持ってるのがあるので、それを手持ちのスマホとかPCで使ってもらう感じですかね。
Re: (スコア:0)
あえて危険にさらされる可能性があるものを使わせるべきではないと考えて却下
Re:そういう時はタブレット (スコア:3)
原文読んだら、単にタレコミがバカ訳してるだけだった。 Compromise(妥協している、中間的な機能しかなさそうな物)されているのを使わせるのも良くないと言ってるだけだ。
あー恥ずかしい! compromised って、情報セキュリティ用語で「ヤラれる」って意味な。その辺の辞書の意味しか知らないで勘違いしてタレコミを「バカ訳」だってさ。
Re:そういう時はタブレット (スコア:2)
なるほど。こういうことなのか。
www.ipa.go.jp/security/rfc/RFC2828-03CJA.html#compromise
Re:そういう時はタブレット (スコア:1)
いやいや、その辺の辞書 [weblio.jp]にも二番目に「傷つける、汚す」という意味が書かれていますから、それでは辞書に失礼です。
Re:そういう時はタブレット (スコア:1)
MS信者の英語:
pad=生理用品
ってのもあったなー
日本のMS信者の妄想では、notepadを開くたびに米国人はムラムラしてるのかも知れないが、人前で言うのは恥ずかしいから気を付けな。
Re:そういう時はタブレット (スコア:1)
ちょっと意味が分かりませんが、padは生理用ナプキンの意味で普通に使われてますよ。
notepadにそういう意味はありませんが。
別に生理用品ってムラムラするものでもないですよね。
これはひどい脊髄反射 (スコア:0)
3行以上の文章は読めないの?
Re:これはひどい脊髄反射 (スコア:1)
すいません2行目までしか呼んでませんでしたw
基本ポリシー (スコア:0)
それほど来客が多いなら安価な専用回線と専用端末を用意してはどうかと。
来客に許可無くローカルエリアに繋がるネットワークに入らせない。
セキュリティがかかる領域には簡単には入れないという基本的なポリシーを策定して、
かつ来客用ネットワークもサインが必要なものにする。技術的にもなにも内側の
ネットワークに入ったか繋がった端末を外部の人間が触った時点で、責任問題が発生しないかと。
もう面倒なので (スコア:0)
ネットカフェかなんかで落ち合ってそこのパソコン使うのが一番楽なんじゃないかって気がしてきた。
最近気がついたこと (スコア:1)
普段出歩くときにパソコン持ち歩かない人がいる,ということに最近気がつきました。
Re:最近気がついたこと (スコア:1)
最近はちょっとした用事なら,スマホ(あるいはタブレット)とキーボードでなんとかできそうな気もしているので,自分自身も揺れ動いてはいるのです。
Re:もう面倒なので (スコア:2, 参考になる)
Windowsのバージョンとエディションに注意ですが、VHDブート+差分ディスクを利用すれば比較的容易に構成可能ですね。
環境の維持に一手間かかりますが再起動で即リセットされない分こっちのほうが喜ばれるかもしれません。
手順の参考となる記事 [hatena.ne.jp]
後は接続はWi-Fi経由でプライバシーセパレータやらゲーム機用とかに接続してやれば安価にLANの隔離も出来るかな。
Re:もう面倒なので (スコア:1)
プロファイルを上書きコピーで作成直後の物に書き戻してリセットしたり、あるいはプロファイルパスを揮発性ディスクに変更することで再起動ごとに自動的にリセットさせるっていうテクニックはありますね。レジストリをレジストリエディタで書き換えたり、そういうコマンドスクリプト(と言っても rmdir と xcopy の二行だけですが)を自分で書いて適当なスケジューリングをしてやる必要があるので、普通のユーザーにはちょっと厳しいですが。
まあ標準でそういう設定がついても 99% のユーザーにとっては意味不明な機能でしょうが。
Re:マシン一個確保しとく、の一択 (スコア:1)
目の前にPCがあるから「ちょっと貸して」と軽い気持ちでお願いしたのに、どこからともなくもう1台PCが出てきて用意されたら
そっちの方がよっぽど「PCおたく」と思われると思うんだけど。
Re:マシン一個確保しとく、の一択 (スコア:1)
ちょっとまってて!!
Re:マシン一個確保しとく、の一択 (スコア:1)
労力掛けないなら。LinuxのブートCDorUSBが一番だが、
一回書き込むだけでいい。ローカルの保存領域は無いから、再起動すれば初期状態になる、ユーザー設定も要らない。
再インストールとか馬鹿らしい、ブートCDのままHDDにも焼けるし。
Re:マシン一個確保しとく、の一択 (スコア:1)
来客に普通に自分の環境貸さない時点でみんな「PCおたく」な気がするが、
しかしわざわざPC借りる時点でそいつも「PCおたく」なので
大した問題ではない。
# イマドキならみんなスマホでしょ?
Re:ネットワークにつながなければいい (スコア:2)
データ従量制ではなく、時間定額制のプランでは?
「UQ 1 day」とか