none
イントラネット共有フォルダ内のインストーラ起動時にインターネットへアクセスしている理由と停止方法 RRS feed

  • 質問

  • お世話になっております。

    Windows Server 2008 R2 SP1 をセットアップしました。こちらは、インターネットとは切り離されたネットワーク環境にあります。

    別サーバのファイル共有フォルダ内にある exe ファイルをクリックして実行させようとしたところ、20秒ほど待たされてから「このファイルを実行しますか」とプロンプトが表示されます。

    netstat コマンドをたたいてみると、リモートフォルダ内の exe ファイルをクリックしたタイミングで、
    199.7.54.72:80, 23.44.149.163:80, 199.7.57.72:80 の 3つ([explorer.exe]  netstat -abn)
    または
    ocsp:http, a23-44-149-163:http, a210-149-135-85:http の 3つ ([msiexec.exe] netstat -ab)
    への SYN_SENT 状態を確認することができます。
    (この挙動は、Windows XP SP3 でも起きています)

    インターネットへ接続できるパソコンから、同じリモートフォルダ内の exe ファイルを起動しても大して待たされません。

    この接続は何をしようとしているのかご存知の方、この挙動の止め方をご存知の方、ご教示くださいますと幸いです。

    宜しくお願い致します。




    2013年6月20日 2:27

回答

  • チャブーンです。

    このアクセスですが、名前解決の逆引きは試されましたか?FQDN(ocsp.sfo1.verisign.com)からWindows Installer電子署名の確認のためOCSPチェックが行われたのではないでしょうか?

    OCSPは証明書(電子署名)の有効性を確認するためのプロトコルで、セキュリティ上必要な動作なので、これを無効にするべきではないですし、原則的にはその方法もないと思います。

    どうしてもやりたい、という場合ですが、VerisignのCRLを手動ダウンロードしてWindowsにインストールしておいたうえ、ポリシーの[常にオンライン証明書状態プロトコル(OCSP)応答よりも証明書リスト(CRL)を優先する]を有効にすることでできるかもしれませんが、できるかどうかわかりませんし、本来はするべきでもないので、お奨めしません。

    • 回答としてマーク Always fresh 2013年6月20日 6:15
    2013年6月20日 3:57
    モデレータ

すべての返信

  • チャブーンです。

    このアクセスですが、名前解決の逆引きは試されましたか?FQDN(ocsp.sfo1.verisign.com)からWindows Installer電子署名の確認のためOCSPチェックが行われたのではないでしょうか?

    OCSPは証明書(電子署名)の有効性を確認するためのプロトコルで、セキュリティ上必要な動作なので、これを無効にするべきではないですし、原則的にはその方法もないと思います。

    どうしてもやりたい、という場合ですが、VerisignのCRLを手動ダウンロードしてWindowsにインストールしておいたうえ、ポリシーの[常にオンライン証明書状態プロトコル(OCSP)応答よりも証明書リスト(CRL)を優先する]を有効にすることでできるかもしれませんが、できるかどうかわかりませんし、本来はするべきでもないので、お奨めしません。

    • 回答としてマーク Always fresh 2013年6月20日 6:15
    2013年6月20日 3:57
    モデレータ
  • チャブーン様

    ご教示どうも有難う御座います。

    お陰様で疑問点が解決できました。インストーラーは署名されているために、その証明書の有効性を確認しているのですね。

    インターネット接続ができない環境下ではWindowsOS運用が難儀な昨今だ(しかしセキュリティ重視は当然なこと)...と少し思案にくれてしまいましたが、ルーターなどから ICMP 到達不能通知させる方法などによって、待機状態を防げるかどうか試してみたいと思います。

    2013年6月20日 6:15