Windowsの起動と停止をイベントログで確認する

Windowsがいつ起動していつ停止したかをイベントログで確認する。 EventLog サービス のログ システム イベントログ に出力。 イベント ソースは EventLog で、サービスの起動が EventID 6005、停止が EventID 6006。 ログのフィルタで 6005 と 6006 を抽出するとサービスの起動と停止が交互に並ぶ。 Kernel-General のログ システム イベント ログに出力。 イベント ソースは Kernel-General。 Event ID 12：オペレーティング システムはシステム時刻 ‎yyyymmdd hhmmssxxxx に開始しました。 Event ID 13：オペレーティング システムはシステム時刻 ‎yyyymmdd hhmmssxxxx にシャット ダウンします。 注：この時間は UTC 表示であり、９時間ずれる。 ログのフィルタで...

Security Toolset

WireShark Sysinternals suite 　－ Process Explorer 　－ tcpmon msconfig (adsbygoogle = window.adsbygoogle || []).push({})...

Flash Player の臨時アップデート

11月25日に臨時でアップデートした Flash Player のセキュリティパッチの話。 アナウンス内容は 10/14 のアップデートで修正した内容の追加の対策が盛り込まれている。 10月の修正内容では十分ではなく、中途半端なパッチだったということかな。 Flash Player のアップデートについてまとめます。 Google ・Google Chrome の Flash Player は特別な操作を行わなくても自動的に最新版に更新される。 →11/26 に Google Chrome もアップデート その他のブラウザ ・Windows 8.x の Internet Explorer（IE）に組み込まれた Flash Player は Windows Update により自動的に最新版に更新される。 ・Windows 7 では自動更新のチェックを行って対策する。 ※［コントロールパネル］...

Windowsのパスワードの保存と不正利用の脅威について

Windows のパスワードは LM ハッシュ またはNT LM ハッシュ の形でレジストリに保存されている。 ファイルの実体はSAM（Security Account Manager） ファイルであり、ファイル名は %SystemRoot\system32\config\SAM となっている。そしてレジストリ上の HKLM/SAM にマウントされる。 ActiveDirectory の場合、ドメインユーザー情報は ドメインコントローラ上の ディレクトリデータベース（デフォルト値は DC上の %SystemRoot%\NTDS\ntds.dit ファイル）に格納される。 マシンがオンラインの場合、SAM ファイルは OS が排他的にアクセスをするため、単純にはこのファイルは移動したりコピーすることができないように制御されている。（注１） ただし、メモリ上にコピーがあり、そこからパスワードのハッシュ値とかまた...

リンク集

Windows セキュリティ TechCenter https://technet.microsoft.com/ja-jp/security/bulletin/ マイクロソフトのセキュリティパッチの一覧。 ［最新のリリース］ の欄から月次にリリースされたパッチ情報にアクセスできる。 Linux Red Hat Customer Portal https://access.redhat.com/home ［Security］－［Red Hat CVE Database］とアクセスして脆弱性情報を参照できる。 脆弱性情報 CVE Details http://www.cvedetails.com/ CVE の脆弱性情報の一覧を確認できる。 ウイルス対策 Virustotal https://www.virustotal.com/ アンチウイルスのオンラインスキャンをしてくれる。 (adsbygoogle...

11月19日にリリースされた定例外にリリースされたセキュリティパッチ

11月19日（水）に Microsoft からセキュリティパッチがリリースされました。 定例のセキュリティリリースは毎月第２の水曜（正式には毎月第２火曜の翌日、アメリカ基準のため）なのですが、それとは別のリリースとなっています。 リリース情報は Microsoft のサイトにあります。 リリース情報 MS14-068 - 緊急 https://technet.microsoft.com/ja-jp/library/security/ms14-068 Kerberos の脆弱性により特権が昇格される (3011780) なぜ定例のパッチではないリリースとなったか 2014年11月11日（水）の定例のリリースは事前アナウンスは16件でしたが、リリースされたのが14件でした。 その時に見送られたパッチになります。 この意味も紐解いてみようと思います。 Kerberos って何ですか？ ネットワーク上の認証方式の１つでサーバとクライアントで身元の確認を行うのに使われる。 共通鍵の暗号化を行う。 Active...

標的型のメール

標的型のメールは毎日やってきます。 単純なスパムももちろんあるけど、あえて特定の企業や個人を狙ってメールすることもあります。 私がよく見るケース。 ・メールにリンクが書いてあって、ここを参照してください と書かれてる。 → exe だったり、インストーラ形式だったり、html だったり。 ・添付ファイルがあって、"xxxxx.doc           .exe" と見た目文書ファイルなんだけど、実は exe の実行ファイルとなっていたりする。 →もちろんマクロが含んだ word のファイルだったり、zip の圧縮ファイルだったり、やっぱいろいろ。 基本は英語か怪しい日本語で書いてあることが多いです。 単純にクリックしただけでは、まだセーフのこともあります。 ・メールに書かれたリンクをクリックして、Google Chrome...

11月の月例パッチは14件

11月12日に月例のパッチをリリースしました。 事前アナウンス時には16件となっていましたが、問題があったそうでリリースされたのは 14件でした。 そのうち緊急は4件。 すみやかに適用を。 パッチがリリースされたら早急に適用しなくちゃいけないですね。 (adsbygoogle = window.adsbygoogle || []).push({})...

今月のセキュリティパッチは16件

Microsoft のサイトで 2014.11 のセキュリティパッチがどうなるのか見てみました。 今月は16件あって、うち 5 件は緊急となっています。 Microsoft のサイトでは緊急の定義が書かれていて、それを見ると、ユーザーの操作なしでコード実行の悪用が行われる可能性のある脆弱性 となっています。Web ページを閲覧するとかメールを開けると警告やプロンプトが表示されずにコード実行が起こるといったことも含まれているのだそうです。 パッチがリリースされたら早急に適用しなくちゃいけないですね。 (adsbygoogle = window.adsbygoogle || []).push({})...