RPC Port Blocker Script version 2.1

  • [アーティクル]

公開日: 2003年9月16日

目的

この文書では、最新のセキュリティアップデートによる修正が行われていないネットワークに侵入する RPC ベースのワームに対する対処および保護に関し、問題を緩和する方法について説明します。受信 RPC 接続試行をスクリーンするために、Windows 2000 および、より高いホストに IPSec を作成する目的は、修正プログラムが組織内でダウンロード、適用されるようにホストがオンラインの状態であり続けながら、その一方で、RPC ワームによりホストが侵害される可能性、また RPC ワームが蔓延する可能性を阻止することです。これは、最新のセキュリティ修正プログラムでアップデートを行うことができない サービスパックをインストールしていない Windows 2000 および Windows 2000 SP1 のホストの場合、特に有益と言えます。

この文書では、このスクリプトが Windows 2000 および、より上位のホストで有効にされ、各保護レベルで利益が得られ、またトレードオフができる様々な保護レベルを説明しています。

使用方法 : IPSec_RPC_Blocker.cmd <オプションのパラメータ> オプションのパラメータ値 : 1、2、3、4、5、6

拡張された使用方法:

--------------------------------------------------------------------------------
    RPC Port Blocker Script version 2.1
    Created by Microsoft PSS Security
    For Windows 2000 systems this script requires ipsecpol.exe to be in the system path or in the same directory as the script.  IPSecpol.exe can be downloaded for Windows 2000 from: 
    For Windows XP and Windows Server 2003 systems this script requires ipseccmd.exe in the system path or in the same directory as the script.  
    This tool can be found in the Windows XP Support Tools directory on the Windows XP installation CD
    This batch/cmd file creates an IPSec policy that can block DCOM / RPC and ICMP
    connection attempts over the following NetBIOS, SMB, RPC, Web or blaster ports:
    RPC Ports: UDP/TCP 135+445, UDP 137+138 and TCP 139+593 
    Web Ports: UDP/TCP 80+443
    Blaster Ports: TCP 135, UDP 69, TCP 4444, ICMP Protocol
    Windows 2000 and higher operating system options (NT 4.0 is not supported):
    Press '1' to unassign and delete the IPSec policy created by this script.
    Press '2' to block access to RPC ports listed above (inbound only)
    Press '3' to block access to RPC ports listed above (inbound and outbound)
    Press '4' to block access to RPC and Web ports listed above (Inbound Only)
    Press '5' to block access to RPC and Web ports listed above (In/Out)
    Press '6' to block ONLY ports used by Blaster (inbound direction only)
--------------------------------------------------------------------------------

上記の日本語訳:

--------------------------------------------------------------------------------
    RPC Port Blocker Script version 2.1
    作成 : Microsoft PSS Security
    Windows 2000 システムでこのスクリプトを使用するには、ipsecpol.exe をシステム 
    パスまたはスクリプトと同じディレクトリに配置する必要があります。ipsecpol.exe 
    は、以下のサイトから Windows 2000 にダウンロードすることができます。
    https://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp
    Windows XP および Windows Server 2003 システムでは、このスクリプトを
    使用するには、ipsecpol.exe がシステム パスまたはスクリプトと同じディレクトリに
    配置されている必要があります。このツールは、Windows XP インストール CD の 
    Windows XP サポート ツール ディレクトリから使用することができます。
    このバッチ ファイル /cmd により、次の NetBIOS、SMB、RPC、Web または Blaster が
    悪用する DCOM / RPC および ICMP のポートへの接続試行をブロックする IPSec 
    ポリシーを作成することができます。
    RPC ポート : UDP/TCP 135+445、UDP 137+138 および TCP 139+593
    Web ポート: UDP/TCP 80+443
    Blaster ポート: TCP 135、UDP 69、TCP 4444、ICMP プロトコル
    Windows 2000 およびそれ以降のバージョンのオペレーティング システムのオプション
    (NT 4.0 はサポートされていません)
    '1' を押し、このスクリプトによって作成される IPSec ポリシーの割り当てを解除し、
    削除します。
    '2' を押し、上記の RPC ポートへのアクセスをブロックします。(受信方向のみ)
    '3' を押し、上記の RPC ポートへのアクセスをブロックします。(受信/送信)
    '4' を押し、上記の RPC ポートおよび Web ポートへのアクセスをブロックします。(受信方向のみ)
    '5' を押し、上記の RPC ポートおよび Web ポートへのアクセスをブロックします。(受信/送信)
    '6' を押し、Blaster によって使用されるポートのみをブロックします。(受信方向のみ)
--------------------------------------------------------------------------------

使用上の注意:

  • どのパラメータとも動作していない場合の IPSec_RPC_Blocker.cmd は対話的に動作し、上記のメニューを表示します。スクリプトはユーザーに適用する IPSec ポリシーを選択するようメッセージを表示します。

  • 1 から 6 の数字は IPSec ポリシーの作成および割り当ての両方、または IPSec ポリシーを割り当てずに削除を行うための操作を表しています。

  • これらの数字は、ログオン スクリプトを介しサイレント オペレーションおよび無人適用などのために、コマンド ラインに渡されます。

ページのトップへ

使用のための詳細情報:

オプション 1: IPSec ポリシーの割り当てを解除および削除する

シナリオ: オプション 2 から 6 の適用後、コンピュータでネットワーク エラーが発生する、またはネットワークアプリケーションの動作が停止するシステム 望まれる目標: コンピュータを以前の構成に戻す

このシナリオは、このスクリプトによって作成された、IPSec ポリシーの適用後、それによりアプリケーション互換性の問題が発生した場合のものです。このシナリオでは、スクリプトを単純に再度実行し、オプション 1 を選択し、このスクリプトで作成した IPSec ポリシーの割り当てを解除することができます。この変更を有効にするためにコンピュータを再起動する必要はありません。

トラブルシュート情報:

  • これらの IPSec ポリシーの適用後、これらのポリシーを削除し、ネットワーク通信を復元したい場合、IPSec_RPC_Blocker.cmd バッチ ファイルを再度実行し、オプション 1 を選択して下さい。

  • IPSec ポリシーを削除した後、再起動の必要はありません。変更は直ちに有効となります。

オプション 2: 上記のすべての RPC ポートへのアクセスをブロック*(受信方向のみ)***

シナリオ:感染していないシステム 望まれる目標: 感染を防ぐ

オプション 1 では、ネットワーク上の Windows システムはまだ感染していませんが、RPC ベースのワームが間もなく環境に侵入するのではないかという疑いがあり、Windows ホストを保護し、適切な修正プログラムが適用されるまで、これらをオンライン状態にしておくことが望まれています。オプション 2 は Windows 2000 Active Directory 環境の Windows 2000 およびより上位のネットワーク クライアントに最も適しています。この理由は、この保護レベルで構成されているホストがログオン スクリプトのプロセスを行い、ネットワーク共有に通常行われるように接続できるためです。この保護レベルは Windows XP のインターネット接続ファイアウォールが動作する方法と非常に類似しています。下記に挙げられたポートへの受信接続試行はブロックされますが、そのほかのホストのポートへの送信接続は許可されます。この設定はポートの 1 つを介し、ホストが感染することを防ぎますが、既に感染しているホストでのワームの繁殖は防がない場合があります。セキュリティ修正プログラムはネットワーク共有または HTTP/FTP などを介し、インターネットから取得できます。

ソリューション: IPSec_RPC_Blocker.cmd を実行し、オプション 2 を選択します。 影響: これにより、次のポートのホストへのすべての受信および送信 RPC 接続試行はブロックされます。 UDP 135 TCP 135 UDP 137 UDP 138 TCP 139 TCP 445 UDP 445 TCP 593

アプリケーションの互換性の問題:

この IPSec ポリシーで構成されたホストで、アプリケーションの互換性に関する問題がある可能性があります。破損に関する問題をトラブルシュートするためには、ポリシーは割り当てず、このスクリプトを再度実行し、オプション 1 を選択することにより、排除することができます。

既知の問題:

  • リモート管理 (サービスの停止/起動、リモートで再起動、イベント ログのブラウジングなど) について、[コンピュータの管理] スナップインを使用して、この保護のレベルで構成されているホストに接続することはできません

  • ネットワーク クライアントはこの保護のレベルで構成されているファイル & 印刷サーバーに接続できません。

  • 保護のレベルで構成されているホストから Windows NT 4.0 ドメイン コントローラに認証を行うことができなくなる可能性があります。(未確認)

  • Exchange MAPI クライアントはこの保護のレベルで構成されている場合、 Exchange Server へ接続することはできません。

  • DCOM クライアントはこの保護のレベルで構成されている MTS または COM+ サーバーへ接続することはできません。

  • リモート管理 (サービスの停止/起動、リモートで再起動、イベント ログのブラウジングなど) について、[コンピュータの管理] スナップインを使用して、リモート ホスト (この保護のレベルで構成されていない) を管理することができます。

  • この保護のレベルで構成されているホストから Windows 2000 ドメイン コントローラに認証を行うことができます。

  • この保護のレベルで構成されているネットワーク クライアントはコンピュータの起動/ユーザー ログオン スクリプトを実行することができます。

  • この保護のレベルで構成されているホストからリモート ファイル共有へ接続することができます。(リモート ホストもまた、この IPSec を実行していないとみなされます。)

  • この保護のレベルで構成されているホストへの RDP 接続を確立することができます。

  • この保護のレベルで構成されているホストから Web サイトをブラウズし、修正プログラムをダウンロードすることができます。

  • ネットワーク クライアントは、保護されたコンピュータにホストされた Web サービスにアクセスすることができます。

この保護のレベルは直ちに有効となります。この保護のレベルの適用後、ホストを再起動する必要はありません。

この設定による IPSec ポリシーは、ログオン スクリプト内の IPSec_RPC_Blocker.cmd バッチ ファイルを使用し、コマンド ラインで適切な削除オプションを指定することにより、解除および削除することができます。

オプション 3 : 上記のすべての RPC ポートへのアクセスをブロック*(受信および送信方向)***

シナリオ: ネットワークで既に感染し、ワームが蔓延しているシステム 望まれる目標: ホスト レベルで悪質なパケットをブロックすることにより、システムがワームを蔓延させることを防ぐ

このシナリオでは、ネットワーク上の Windows システムが既に感染し、環境内で感染したホストがワームを蔓延させる/パケットを送信することを防ぎ、その一方でシステムを修正プログラムが適用されるようにオンライン状態にしておくことが望まれています。オプション 3 はあくまでも最終的な手段としてのみ使用して下さい。この理由は、この保護のレベルで構成されているホストは非常に管理が困難となるためです。この保護のレベルでは、下記に挙げたポートは受信アクセスからブロックされますが、送信方向でもブロックされます。この保護のレベルでは、Windows ホストは Windows NT 4.0 サーバーに対し認証を行うことができません。さらに、ログオン スクリプトは実行されず、またログオン スクリプトを実行するように構成されているユーザーのログオン時間は、ログオン スクリプトのタイムアウトを取得するためのネットワーク接続として、数秒から数分ジャンプします。この保護のレベルで構成されたホストはターミナル サービス/リモート デスクトップを介し、またはコンソールで対話的に管理することができます。この保護のレベルで構成されているホストはどのネットワーク共有にも接続できませんが、HTTP または FTP などを介し、インターネットから修正プログラムを取得することができます。

ソリューション: IPSec_RPC_Blocker.cmd を実行し、オプション 3 を選択します。

影響: これにより、次のポートのホストへのすべての受信および送信接続試行はブロックされます。 UDP 135 TCP 135 UDP 137 UDP 138 TCP 139 TCP 445 UDP 445 TCP 593

既知の問題:

  • この保護のレベルでは、[コンピュータの管理] スナップインを使用してリモートでホストを管理することはできません。

  • この保護のレベルで構成されているホストから、リモート サーバーのファイル共有に接続することはできません。

  • ネットワーク クライアントはこの保護のレベルで構成されているファイル & 印刷サーバーへ接続することはできません。

  • この保護のレベルでは Windows NT 4.0 ドメイン コントローラへ認証を行うことはできません。

  • Exchange MAPI クライアントはこの保護のレベルで構成されている Exchange Server へ接続することはできません。

  • この保護のレベルで構成されているネットワーク クライアントはコンピュータの起動/ユーザーのログオン スクリプトを実行することはできません。また、ネットワーク ログオンには時間を要します。

  • この保護のレベルで構成されているホストから Kerberos を使用して Windows 2000 ドメイン コントローラへの認証を行うことができます。(しかし、ログオン スクリプトは実行されず、かなりのログオン遅延が発生する場合もあります。)

  • この保護のレベルで構成されているホストへのターミナル サービス/リモート デスクトップ接続を確立することができます。

  • この保護のレベルでのホストから、Web サイトをブラウズすることができます。

  • ネットワーク クライアントは、保護されたコンピュータにホストされた Web サービスにアクセスすることができます。

この保護のレベルは直ちに有効となります。この保護のレベルの適用後、ホストを再起動する必要はありません。

警告: この設定では、コンピュータの起動/ログオン スクリプトは実行されず、リモート管理は可能でないため、この IPSec ポリシーを割り当てない、または削除するためには、管理者はコンピュータにローカルでログオン、またはターミナル サービスを使用して接続し、ポリシーを割り当てず、またはスクリプトを再度実行して、それを削除する必要があります。

オプション 4: 上記のすべての RPC ポートおよび Web ポートへのアクセスをブロック*(受信方向のみ)***

シナリオ: 感染していないシステム 望まれる目標: 感染を防ぐ

オプション 4 では、ネットワーク上の Windows システムはまだ感染していませんが、RPC ベースのワームが間もなく環境に侵入するのではないかという疑いがあり、Windows ホストを保護し、適切な修正プログラムが適用されるまで、これらをオンライン状態にしておくことが望まれています。オプション 4 は Windows 2000 Active Directory 環境の Windows 2000 およびより上位のネットワーク クライアントに最も適しています。この理由は、この保護レベルで構成されているホストがログオン スクリプトのプロセスを行い、ネットワーク共有に通常行われるように接続できるためです。この保護レベルは Windows XP のインターネット接続ファイアウォールが動作する方法と非常に類似しています。下記に挙げられたポートへの受信接続試行はブロックされますが、そのほかのホストのポートへの送信接続は許可されます。この設定はポートの 1 つを介し、ホストが感染することを防ぎますが、既に感染しているホストでのワームの繁殖は防がない場合があります。セキュリティ修正プログラムはネットワーク共有または HTTP/FTP などを介し、インターネットから取得できます。

ソリューション: IPSec_RPC_Blocker.cmd を実行し、オプション 4 を選択します

影響: これにより、次のポートのホストへのすべての受信および送信接続試行はブロックされます。 UDP 80 TCP 80 UDP 135 TCP 135 UDP 137 UDP 138 TCP 139 UDP 443 TCP 443 TCP 445 UDP 445 TCP 593

アプリケーションの互換性の問題:

この IPSec ポリシーで構成されたホストで、アプリケーションの互換性に関する問題がある可能性があります。破損に関する問題をトラブルシュートするためには、ポリシーは割り当てず、このスクリプトを再度実行し、オプション 1 を選択することにより、排除することができます。

既知の問題:

  • リモート管理 (サービスの停止/起動、リモートで再起動、イベント ログのブラウジングなど) について、[コンピュータの管理] スナップインを使用して、この保護のレベルで構成されているホストに接続することはできません。

  • <<ネットワーク クライアントから Web の否認>>

  • ネットワーク クライアントはこの保護のレベルで構成されているファイル & 印刷サーバーに接続できません。

  • 保護のレベルで構成されているホストから Windows NT 4.0 ドメイン コントローラに認証を行うことができなくなる可能性があります。(未確認)

  • Exchange MAPI クライアントはこの保護のレベルで構成されている場合、 Exchange Server へ接続することはできません。

  • DCOM クライアントはこの保護のレベルで構成されている MTS または COM+ サーバーへ接続することはできません。

  • ネットワーク クライアントは、保護されたコンピュータにホストされた Web サービスにアクセスすることができません。

  • リモート管理 (サービスの停止/起動、リモートで再起動、イベント ログのブラウジングなど) について、[コンピュータの管理] スナップインを使用して、リモート ホスト (この保護のレベルで構成されていない) を管理することができます。

  • この保護のレベルで構成されているホストから Windows 2000 ドメイン コントローラに認証を行うことができます。

  • この保護のレベルで構成されているネットワーク クライアントはコンピュータの起動/ユーザー ログオン スクリプトを実行することができます。

  • この保護のレベルで構成されているホストからリモート ファイル共有へ接続することができます。(リモート ホストもまた、この IPSec を実行していないとみなされます。)

  • この保護のレベルで構成されているホストへの RDP 接続を確立することができます。

  • この保護のレベルで構成されているホストから Web サイトをブラウズし、修正プログラムをダウンロードすることができます。

この保護のレベルは直ちに有効となります。この保護のレベルの適用後、ホストを再起動する必要はありません。

この設定による IPSec ポリシーは、ログオン スクリプト内の IPSec_RPC_Blocker.cmd バッチ ファイルを使用し、コマンド ラインで適切な削除オプションを指定することにより、解除および削除することができます。

オプション 5: 上記のすべての RPC ポートおよび Web ポートへのアクセスをブロック(受信および送信方向)

シナリオ: ネットワークで既に感染し、ワームが蔓延しているシステム 望まれる目標: ホスト レベルで悪質なパケットをブロックすることにより、システムがワームを蔓延させることを防ぐ

このシナリオでは、ネットワーク上の Windows システムが既に感染し、環境内で感染したホストがワームを蔓延させる/パケットを送信することを防ぎ、その一方でシステムを修正プログラムが適用されるようにオンライン状態にしておくことが望まれています。オプション 5 はあくまでも最終的な手段としてのみ使用して下さい。この理由は、この保護のレベルで構成されているホストは非常に管理が困難となるためです。この保護のレベルでは、下記に挙げたポートは受信アクセスからブロックされますが、送信方向でもブロックされます。この保護のレベルでは、Windows ホストは Windows NT 4.0 サーバーに対し認証を行うことができません。さらに、ログオン スクリプトは実行されず、またログオン スクリプトを実行するように構成されているユーザーのログオン時間は、ログオン スクリプトのタイムアウトを取得するためのネットワーク接続として、数秒から数分経過します。この保護のレベルで構成されたホストはターミナル サービス/リモート デスクトップを介し、またはコンソールで対話的に管理することができます。この保護のレベルで構成されているホストはどのネットワーク共有にも接続できず、HTTP を介し、インターネットから修正プログラムを取得することができません。この保護のレベルで構成されているホストは、FTP を介し、インターネットから修正プログラムを取得することができます。

ソリューション: IPSec_RPC_Blocker.cmd を実行し、オプション 5 を選択します。

影響: これにより、次のポートのホストへのすべての受信および送信および Web 接続試行はブロックされます。 UDP 80 TCP 80 UDP 135 TCP 135 UDP 137 UDP 138 TCP 139 UDP 443 TCP 443 TCP 445 UDP 445 TCP 593

既知の問題:

  • この保護のレベルでは、[コンピュータの管理] スナップインを使用してリモートでホストを管理することはできません。

  • この保護のレベルで構成されているホストから、リモート サーバーのファイル共有に接続することはできません。

  • ネットワーク クライアントはこの保護のレベルで構成されているファイル & 印刷サーバーへ接続することはできません。

  • この保護のレベルでは Windows NT 4.0 ドメイン コントローラへ認証を行うことはできません。

  • Exchange MAPI クライアントはこの保護のレベルで構成されている Exchange Server へ接続することはできません。

  • この保護のレベルで構成されているネットワーク クライアントはコンピュータの起動/ユーザーのログオン スクリプトを実行することはできません。また、ネットワーク ログオンには時間を要します。

  • ネットワーク クライアントは、保護されたコンピュータにホストされた Web サービスにアクセスすることができません。

  • 保護されたコンピュータは HTTP Web サービスにアクセスすることはできません。

  • この保護のレベルで構成されているホストから Kerberos を使用して Windows 2000 ドメイン コントローラへの認証を行うことができます。(しかし、ログオン スクリプトは実行されず、かなりのログオン遅延が発生する場合もあります。)

  • この保護のレベルで構成されているホストへのターミナル サービス/リモート デスクトップ接続を確立することができます。

  • この保護のレベルで構成されているホストへのターミナル サービス/リモート デスクトップ接続を確立することができます。

ホストは、FTP を使用してインターネットにアクセスすることができます。この保護のレベルは直ちに有効となります。この保護のレベルの適用後、ホストを再起動する必要はありません。

警告: この設定では、コンピュータの起動/ログオン スクリプトは実行されず、リモート管理は可能でないため、この IPSec ポリシーを割り当てない、または削除するためには、管理者はコンピュータにローカルでログオン、またはターミナル サービスを使用して接続し、ポリシーを割り当てず、またはスクリプトを再度実行して、それを削除する必要があります。

オプション 6: Blaster ワームによって使用されるポートへのアクセスをブロック

シナリオ: Blaster ワームによって感染しているシステム 望まれる目標: Blaster ワームの感染と蔓延を防ぐ

このシナリオでは、ネットワーク上の Windows 2000 および Windows XP のホストが Blaster ワームまたはその亜種による感染を受けています。Blaster ワームは TCP 135 を使用して、感染していないコンピュータに悪質なコードを送信し、次に TFTP ポート UDP 69 を使用して、新たに感染したコンピュータに別のコードを送信します。また、Blaster ワームは、リモート コンピュータにコマンドを発行する "コントロール チャネル" として TCP ポート 4444 を使用します。 Blaster のほかに、ICMP パケットを使用して、標的のコンピュータを識別する Welchia ワーム (a href="https://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html">https://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html) など別のワームが蔓延し始めています。オプション 6 では、これらのワームによって使用されるポートのみがブロックされ、そのほかのポートは、アプリケーションの互換性を最大限に保つため、開かれたままです。TFTP (UDP 69) および ICMP は、受信および送信の情報でブロックされます。(つまり、この保護のレベルで構成されたホストは、TFTP 接続の確認への応答、受信を行わず、またほかのホストとの接続の確認、送信の TFTP 接続の確立も行いません。)

既知の問題:

オプション 6 により、両方の方向の ICMP プロトコルがブロックされ、Active Directory サーバーと Windows 2000 ドメインのメンバの間でグループ ポリシーが複製されるのを妨げます。グループ ポリシーの更新を受け取るには、IPSec ポリシー エージェントを停止し、secedit.exe コマンドを使用して、手動でグループ ポリシーの更新を行い、次に IPSec ポリシー エージェントを再起動する必要があります。

警告:

このオプションで開かれた状態となるポート (TCP 139、445) は今後発生するワームの攻撃の手段となる可能性があります。Blaster および Welchia はこれらのポートからは広がりませんが、それらの亜種はこれらのポートを悪用し、今後感染を広げる可能性があります。その場合、単純にオプション 1 を使用し、オプション 6 で作成したポリシーの設定を解除し、次にこのスクリプトを再度実行し、別のオプション (オプション 2 から 5) を選択し、より広い対策およびフィルタリングを行ってください。

ページのトップへ