先日、会社のパソコン約50台が一斉にシャットダウンしました。当時停電は無かったですし、ノートパソコンも一緒にダウンしていた事からも
停電ではなく、何者かがshutdownコマンドを実行したのかなぁ~と考えております。現状はハブにLANケーブルをさせばどんなPCでも
社内LANに接続出来る環境なので、今後はマック制限やDHCPなんかにも制限をかけてセキュリティを高めようと思うのですが、とりあえず
出来る防止策としてリモートからのShutdownを拒否する設定にしたいと考えているのですが、うまくいきません。
ググッた所、↓のページでリモートコンピューターをシャットダウンする方法というのが、ありましたので参考にしたのでが、
http://engineermemo.wordpress.com/2009/04/26/%E3%83%AA%E3%83%A2%E3%83%BC%E3%83%88-%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%82%92%E3%82%B7%E3%83%A3%E3%83%83%E3%83%88%E3%83%80%E3%82%A6%E3%83%B3%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95/
■設定したポリシー
[コンピュータの構成] → [管理用テンプレート] → [ネットワーク] → [ネットワーク接続] → [Windows ファイアウォール] → [ドメイン プロファイル] →[Windows ファイアウォール: リモート管理の例外を許可する] を [無効]
PCに適用すると、F/Wの設定でリモート管理になぜかチェックが入ります。F/Wの詳細を確認すると、リモート管理がブロックになっていました。
なにか他に必要な設定があるんでしょうか??
チャブーンです。
shutdown.exeコマンドですが、リモートで操作を行う場合リモート先で「管理者権限」がある必要があります(セキュリティポリシーの「システムのシャットダウン」権限はその後に評価されます)。管理者アカウントにリモート接続は許可させたいが、シャットダウンだけを拒否する、という設定そのものはありません。「システムのシャットダウン」から管理者ユーザを除いた場合、リモートのシャットダウンもできませんが、ローカルログオンした場合のシャットダウンもできなくなります。それでもいいということであれば、システムシャットダウンを特定のユーザ(管理者も含む)だけを行うようグループポリシーで設定はできますが、実際は現実的ではないと思います。
本当にリモートによるシャットダウン等の操作が行われたかどうか各クライアントのイベントログ(システムログやセキュリティログ)をチェックしてもらうこと、ドメインやローカルの管理者アカウントやのパスワードを変更したうえ、この管理を適切に行う(パスワードを必要な人物以外は知らせないようにする)といった方法の方が、ムリに設定変更を模索するより簡単確実だと思いますが。
やはり、出来ないんですね。shutdownから権限を取ったポリシーを試してみましたが、パソコンへログオンした状態でも
Shutdown出来なくなるのは実用的では無いですね。
あれから、システムのイベントログを漁っていたら、やはり遠隔でShutdownされていました。管理者のパスワード変更や
ネットワーク機器によるアクセス制限等で対処しようとおもいます。
有難う御座いました。
