Windows7を安全に運用し、かつファイル共有サーバにする方法
サポート切れのWindows7をどうにかして使いたい。
そこで、スペックのあまり要らないファイル共有サーバとしての使うことにした。
「セキュリティ上危険だ」「まだ甘い」などご意見があればコメントへお願いしたい。
(セキュリティにかかわることなので、忌憚ない意見をお願い致します)
サポート切れのOSを使い続けることはどうしてもリスクが伴うため、真似をする際は自己責任でお願いする。当方は一切の責任を持たない。
環境(構成完成図)
- ルータ(最新のセキュリティパッチを適用、ファイアウォール設定もしている)
- PC1(最新のセキュリティパッチを適用しているOSを搭載。インターネットに接続)
- PC2 (問題のサポート切れWindows7。自宅内LANに繋ぐ)
- 外付けHDD
方針
- Windows7はWAN(インターネット)から切り離す
- 使わないときはLANケーブルを抜き、当該電源を切る
- もしものために接続ログをきちんと取る。
- ファイル共有サーバを介して入手したファイルはセキュリティ検査をかける
①Windows7をWAN(インターネット)から切り離す
サポート切れOSはセキュリティの面で非常に脆弱である。インターネットを介した攻撃を防ぐため、インターネットに双方向接続できないようにする。
今回は当該機器にIPフィルタをかける方法とDNSサーバを指定しない方法、デフォルトゲートウェイを指定しない方法の3重に行う。
Windows7
IPフィルタ
IPフィルタをLAN→WAN、WAN→LANの両方にかける。
- IPv6は使わないのでチェックを外す。
- IPを固定する。
(IPを固定すると狙い撃ち攻撃のリスクが上がるため、あまりやりたくないが、DHCPによってコロコロ変わると困る。なにか良い方法があればコメントへ。)
- IPの固定はIPアドレスとサブネットマスクに対応し、かつDHCPの割り振り範囲外である必要がある。