いろいろやってみるにっき

なんとか自分の会社を立ち上げるところまで漕ぎ着けた、てきとーに生きている奴の日記

関連記事を探すときは、読んだ記事と同じカテゴリをクリックしてください。

記事のカテゴリは記事タイトル下に表示されています。カテゴリ一覧はサイドバーにあります。


【Windows XPサポート終了対策】企業内のWindows XPをAndroid-x86に置き換えよう

スーパーボウルワンサイドゲーム過ぎる(挨拶)。

 

はてなブログをProにしたことによって、fotolifeの 容量が3GBになった。今月はガンガンアップしていって、ひと月3GBで不足するかどうかを見てみる。そういうわけで、今朝撮った動画をUpしようと思ったら、fotolifeの1動画サイズはMAX60MBですってよ、奥様。仕方ないので画質を落としてアップ。

 

さて本題。葬式出したり入院したりしてしばらくお休みしていた題材だが、前に書いたものはその場で実験しながら書いていたりするので、あえて失敗事例なども入れてある。マニュアル的に見るには適さないので、少しずつリバイズしていこうと思う。もちろん、古いコンテンツはそのまま残す。数コンテンツ作ったら目次も作る予定。

 

まず、Windows XPが動作しているPCの処遇だが、サポート終了後はリスクコントロールできないのであれば0台にすべき。下記のリンク先にはどういうリスクがあるのかが記述されているので参考にして欲しい。

なお、Windows XPと一緒にMicrosoft Office 2003もサポートが終わるので、同様に考えていく。

 

Windows XP、Office 2003 のサポート終了まで、12 月 30 日であと 100 日を迎えます。早めの移行をオススメします。 - The Official Microsoft Japan Blog - Site Home - TechNet Blogs

Blogs - 日本のセキュリティチーム - Site Home - TechNet Blogs

サポート終了後の Windows XP、マルウェア対策ソフトが動いていれば安心? | Blogs - 日本のセキュリティチーム - Site Home - TechNet Blogs

Windows XPの脆弱性、2013年だけでも123件……IPAが注意喚起 | RBB TODAY 

 

サポート終了後のWindows XPが動作するPCについてリスクコントロールができるというのは、下記のレベル。どれか1つでも守れないのであれば、サポート終了後のWindows XPを使うことはやめた方がいい。もちろん、もっとお金を掛けて守る方法はある。それについては後述する。

【リスクコントロールできる】

  1. Windows XPが動作するPCはネットワークにつながない
  2. Windows XPが動作するPCにはUSBメモリ等の媒体を繋がない
  3. Windows XPが動作するPCの操作者を物理的に限定できる

 

まず1つめ。インターネットへの接続はもちろん、社内ネットワークにもつながないこと。サポート終了後のWindows XPについては、マイクロソフトセキュリティホールを塞がない。ウィルス対策ソフトがWindows XPのサポートを続けるといっても、マイクロソフトがサポートをやめれば当然ウィルス発覚も遅くなりかねない。そうすればゼロデイ攻撃しやすいわけで、ウィルス対策ソフトが入っていても、ネットワーク越しに貰ってしまう可能性がある。

Windows XP攻撃用のウィルスやワームなどを社内の他PC、サーバに埋め込まれいていて保持しているPCやサーバでは無効化されていてもWindows XPがアクセスしたら発症するという可能性は十分ある。そういう意味ではWindows XP内の全プロセスの振る舞いをチェックできないのであれば、ネットワークにつながないというのがWindows XP攻撃用のウィルスやワームなどを貰わない方法。

UTMやIPS,IDSなどで1台ごとにWindows XPが動作するPCを囲っておくということであれば、もしセキュリティホールを突かれてもそのWindows XPが動作するPCはともかく、廻りのPCやサーバに対する攻撃を防御できる。UTMやIPS,IDSなどをPC1台ごとに準備する金があればWindows 7/8のPCを何台か買えるけど。金の問題じゃなく、どうしてもXPじゃないと動かないハードウェア・ソフトウェアが残るという企業は、UTMやIPS,IDSなどで守るしかない。

 

2つめだが、1つめと同じようなもの。ウィルス対策ソフトがWindows XPのサポートを続けるといっても、マイクロソフトがサポートをやめれば当然ウィルス発覚も遅くなりかねない。そうすればゼロデイ攻撃しやすいわけで、ウィルス対策ソフトが入っていても、媒介しそうな媒体は繋がないというのがWindows XP攻撃用のウィルスやワームなどを貰わない方法。

Windows XP内の全プロセスの振る舞いをチェックできないのであれば、USBメモリなどウィルスやワームなどを仕込みやすい媒体は接続するべきではない。

 

3つめだが、上の2つを守るために必須。

悪意のあるなしに関わらず、ついRJ-45刺しちゃいましたとか、データやり取りしたくてUSBメモリ刺しちゃいましたという事故は起こりうる。特にLANケーブルとかは「掃除のおばちゃんによるシステムダウン*1」の類似事例としてよくあること。聞いたことがあるのは、LANケーブルの一端をたまに持ち込んで使うPC用に余らせていて、それを知らない人間がHubの空きポートにその一端を刺してループが起きてネットワークダウン。昔のバカHubならではであるが、”好意で”勝手に刺す人間もいるわけでフールプルーフを考えるのであれば、「触るな」だし、鍵を掛けることができる箱を用意するとか、できれば何かあったときのためには当該PCの周囲を常にビデオ撮影しておくくらいの備えは必要。Windows 7/8が動作するPCに買い換えるよりも金が掛かるので、金の問題じゃなく、どうしてもXPじゃないと動かないハードウェア・ソフトウェアが残るという企業は、こういう物理的な方法で守るしかない。

 

では、あまりお金は掛けたくないけどWindows 7Windows 8が動作するPCに買い換えるほどのお金は難しいという企業はどうすべきか。Microsoft Office 2003についても同じ。Microsoft Office 2003の場合、Windows XPよりも新しいOS(Vista,7など)でもインストールしている場合があるので、その点について留意する必要がある。

今回のエントリではまず概念レベルで。PowerPointとか使って図を描けばいいのに、なぜか今日は手書きの気分だったので手書き。

 

サーバが何台かとPCが何台かある企業だとして、複数のWindows XP機があるとする。図では2台。

f:id:shigeo-t:20140203103221j:plain

 

これをお金をあまり掛けずに対応する場合、Windows XPが動いていたPCにAndroid-x86を入れる。クリーンインストール。みんなが文句言いながらも業務でWindowsを使っているのは、オサレなMacでは業務用のアプリが動かないからで、それはAndroidになるとなおさら。同じようなアプリが用意されていない場合が多い。それじゃダメじゃん春風亭昇太ですなので、Android-x86ではMicrosoft Remote Desktop Clientを動かし、リモートデスクトップ(つまりWindowsの画面)を提供するRDSサーバに接続する。

RDSはRemote Desktop Service。RDSサーバ内に複数台のPCがあるようなイメージで使う。言い換えるとWindows XP代わりのWindowsはRDSサーバが提供してくれる。

これであれば、複数のPCそのものをWindows 7/8に買い換えるよりも安く済む可能性がある。RDSサーバ用のサーバ機だが、使う人数にもよるが同時数名だったらPC1台でも賄えるし、余っているサーバや現有サーバの余剰リソースでもいい。VPSクラウドもある。ここを安く上げるための工夫は色々ある。

f:id:shigeo-t:20140203103242j:plain

 

そしてMicrosoft Office 2003。Office365とかKingsoft Officeとか有償でも色々あるが、今回は、無償(ただし寄付ウェア)のLibre Officeに置き換えるということで話を進める。いずれにしても問題はマクロなんだが。特にExcelの。

Libre Officeの場合、操作系はMicrosoft Office 2003までと見た目が近いというのもメリット。Microsoft Office 2007以降はリボンUIになっていて、近年ワイド液晶化が進んでいるのに縦横方向がキツい。Libre Officeの場合、操作系はMicrosoft Office 2003までと近いので、ショートカットの相違さえ身に付ければ画面操作しやすいというメリットがある。

Libre OfficeはWindows Vista/7/8からも使うし、Android-x86からも使う。Windows Vista/7/8から用としては、RemoteApp機能のほうが望ましい。それぞれのPCにインストールしたアプリとウィンドウを並べて使える。一方、Android-x86から使う分は、RDSサーバ内にLibre Officeをインストールしておけば、デスクトップ上でLibre Officeを使える。

f:id:shigeo-t:20140203103257j:plain

 

目次は別途作るとして、上記の関連リンクは下記の通り。なお下記は、リバイズするにしたがってリンク先を貼りかえる可能性あり。

■概要

これでWindows XP更新できない難民をお安く救える鴨しれない運転 

Android-x86

【Windows XPサポート終了対策】Android-x86を試してみる(VMware編) 

【Windows XPサポート終了対策】Android-x86で行けそう(VMware編) 

【Windows XPサポート終了対策】Android-x86を試してみる(ThinkPad X200編) 

Androidでプロキシ設定

Microsoft Remote Desktop Client(Android版)

【Windows XPサポート終了対策】Android版 Microsoft Remote DesktopでRemoteApp接続(2013/10/25訂正あり) 

【Windows XPサポート終了対策】Android版,iOS版 Microsoft Remote Desktopの日本語入力(2013/10/25追記) 

【Windows XPサポート終了対策】キーボード誤認識対策 

■Remote Desktop Service

【Windows XPサポート終了対策】Windows Server 2012 R2のRemoteAppレジストリハック 

■Libre Office

【Windows XPサポート終了対策】LibreOfficeをRemoteAppで試す

 

 

こうやって見直すとRemote Desktop Serviceの立ち上げについての記述が薄い。徐々に補っていく。  

プロが教える Windows Server 2012システム管理

プロが教える Windows Server 2012システム管理

 
ひと目でわかる Windows Server 2012 R2 (TechNet ITプロシリーズ)

ひと目でわかる Windows Server 2012 R2 (TechNet ITプロシリーズ)

 

*1:掃除のおばちゃんによるシステムダウン問題とは、サーバルームなどに掃除に入った掃除のおばちゃんが、掃除機を動作させるための電源を確保するため、サーバが動作しているサーバの電源プラグを電源コンセントから抜いてしまいシステムダウンを発生させること。きちんとしたデータセンタでは発生しないが(簡単にプラグを抜けない)、地方拠点などのサーバルームではありがち