マルウェアなんでも雑談掲示板
パケットフィルタリングとWin10強制的Windowsアップデートについて - 名探偵アルパカ
2018/03/17 (Sat) 20:44:43
http://ore-sama123.bbs.fc2.com/?act=reply&tid=5845667
↑しつこいようですが、もう一度説明しておきます
自分はこの1ヶ月ほど前からWin10 homeを本格的に使いだしたので、強制的なWindowsアップデートやメジャーアップデートについての知識はほとんどなく、先月のUSBキーボード問題を経てようやく事態の深刻さに気付いたという時代遅れのアルパカであります
さて各種説明サイトさんにおいて、 Windows10の強制的アップデートを阻止する様々なツールや設定方法を説明しておりますが、どれもこれもマイクロソフトにより撃破され陥落しているようですが、前回も書いたとおり、セキュリティソフトのパケットフィルタを行えば、強制的アップデートは不可能となるはずです
そもそも、 WindowsアップデートはSSLすなわちTCP443ポートを使いますから、 443の適切な管理をファイアウォールで行えば問題なく遮断できるはずです
何も常域規制するのではなく、単にブラウザなど必要なアプリケーションを許可しておき他のアプリケーションは拒否すれば良いと考えます
具体的に説明すると
アウトバウンドのTCP&UDP 1-65535
↑を拒否すれば全面的にネット接続不可能となります
アウトバウンドをTCP 53,80,443,110,587,995,465 UDP 53,123
を許可設定すれば、ブラウジング、メールの送受信、 Windowsアップデート、セキュリティソフトのアップデート は無条件に可能となりますから、おそらく強制的アップデート被害に遭うと考えられますので、ファイアウォールからアプリケーションを指定する必要があります
アウトバウンドTCP53,80,443, UDP53
アプリケーション firefox セキュリティソフト
↑を許可すれば、 firefoxとセキュリティソフト以外のアプリケーションはインターネット接続不可能
WindowsアップデートはTCP443を使うので、物理的に不可能となります
Windowsファイアウォールから設定可能か知りませんが、マイクロソフト製なので陥落しそうな気がするのと、いくらなんでもセキュリティソフトのファイアウォールを破壊してまで強行するようなことは出来ないと考えます
なぜUDPも規制する必要があるのかですが、 svchostがUDPを使ってマイクロソフトの怪しげなIPアドレスと通信し内部情報を送ってる痕跡がありますので、それも遮断しておきたいのと、今は443からWindowsアップデートを配信してますが、マイクロソフトが443の遮断を確認次第、 TCPの別ポートに変更するかもしれないので、不要なポートも規制しておきたいのであります
確かにパケットフィルタを行うとプリンター共有とかオンラインゲーム等も遮断するので小難しいとも思いますが、解説サイトが一切パケットフィルタに触れてないのがやや疑問であります
Re: パケットフィルタリングとWin10強制的Windowsアップデートについて - 名探偵アルパカ
2018/03/18 (Sun) 01:27:46
訂正&迫記
セキュリティソフトのアップデート云々ですが、 ESETの場合、デフォルトのファイアウォールルールで許可されており、そちらのルールが優先される仕様になってますので、何処のポートを使ってるのかまでは調べておりません
TCP 443以外のポートを使ってると思われます
なので、他社製のシマンテックとかカスペルスキーのファイアウォールにも同様の優先的なルールがあるのかを確認の上、 COMODなどウイルス対策ソフトとファイアウォールを別にインストールしている場合は、アウトバウンドの設定で、アンチウイルスの使用するポート番号を『全て』としてください
Win10を起動させましたが、 Windowsアップデートの更新プログラムのチェックを実行するも『接続できません』となります
ちなみに3月分は適用しておりません
Re: パケットフィルタリングとWin10強制的Windowsアップデートについて - 名探偵アルパカ
2018/03/18 (Sun) 01:56:40
https://eset-support.canon-its.jp/faq/show/219?site_domain=default
↑ ESETの使用するポート番号一覧
● 許可するポート番号
TCP 80番ポート(http)
TCP 443番ポート(https)
TCP/UDP 53番ポート(DNS)
TCP/UDP 53535番ポート(DNS)※1 ←これは知らなかった
Re: パケットフィルタリングとWin10強制的Windowsアップデートについて - Taka
2018/03/19 (Mon) 10:19:36
いつも、いろいろと参考になります。
ところで、Win10のファイアーウォールは最新のOSバージョンでは、標準でアウトバウンドは機能しているんでしょうか。
いずれにしてもWin10に絡むM社の行為はあまりにも問題ありと思います。
(1)パソコン本体はユーザーのもの
(2)回線はユーザーのもの
(3)ただし、縁の下の力持ちであるOSは確かに、私の場合で言えば(最初からWin10搭載機なので)『そのPCに対しての使用権』を、契約しているに過ぎないと思います。
少なくとも、ユーザーの持ち物であるPC本体や回線を使ってOSの更新をするにしても、ユーザーとM社との間で十分なコンセンサス(納得や了解)がないと本来は成立し得ないものであると思っています。
Win10より前の状況では、M社の先達が長い年月をかけてユーザーの信頼を勝ち取り、ユーザーも『M社さん任したぞ!』という感じで更新することが当たり前の状況が生み出されていったと思われます。
しかし、昨今の状況を見ると、更新してもしなくても、失敗すればユーザーのせい(特にM_Answersを見ればそう思う)M社は悪くないという姿勢には腹が立ちます。
少なくても、更新前には普通に使えていた状態で、更新後すぐに使えなくなれば、間違いなく更新のせいなのに、M_Answersから聞こえてくる声は、
(1)パソコンが寿命だから
(2)もともと、問題を抱えたまま使用していて、更新によってその問題が表面化しただけ。
などの大きな声が聞こえて来ます。
いえ、それは違いますとM社さんに言いたいです。
そういう設備が壊れるときの原因は大きく分けると二つの原因があると思います。
(どういう故障にも必ず当てはまると思う)
(1)直接的な原因
(2)間接的な原因
直接的な原因は、『誰が見ても間違いなくM社の更新のせい』
間接的な原因は、確かに、M Answersの猛者たちが言っていることかもしれない。
ただし、M Answersの猛者たちが言っている内容は、具体的にユーザーのPCを検証してみて、言っていることではないように思います。
あと、私は、決して更新をしない方がいいと言っているわけではないです。
ただ、M社さんがこのような状況をいつまでも続けていると、いずれはユーザーとの信頼関係がずたずたになっていき、最終的にはどうなっていくんだろうと大変な危惧をしているだけなのです。
Re: パケットフィルタリングとWin10強制的Windowsアップデートについて - Taka
2018/03/19 (Mon) 12:13:57
Win10_Homeを使い出して、数ヶ月後ぐらいから、得体の知れない数ギガバイトの大量のアクセスに気づいて、最初はウイルスかもと思って身震いしましたよ。それとともに私を震い上がらせたのはシャットダウンやスリープをしていても原因不明でPCが起動してしまうことでした。これはとんでもないマルウェアが潜んでいるかも、と当時は思いました。
そこで、次のようなアプリを使って徹底的に解析してみたんです。
networx
https://forest.watch.impress.co.jp/docs/review/594432.html
通信が始まれば通知領域のアイコンがリアルタイムで表示してくれる。それと同時に、日ごと、周ごと、月ごとの通信量の統計をはじき出し、グラフ化してくれる。
NetStatusMonitor
https://forest.watch.impress.co.jp/docs/review/1027348.html
まさにアプリ名の通りで、ウイルスによる通信を見つけ出す為のツール。
これらのアプリを使って数ヶ月間徹底的に調べてみると、何のことはないM社が原因でした。
つまり、統計的に定例の更新日に連動してアクセス量が増えてくるし、サーバーの負荷分散?の為にM社ではないものもあったように記憶していますが、結論として、すべて更新の為の大量アクセスであったと言うことが判明した次第です。
その辺のことも含めて、今後はユーザーとの信頼関係を深めていくようにM社さんには要望したいところです。(ただ、はっきり言って無理だと思いますけど)
Re: パケットフィルタリングとWin10強制的Windowsアップデートについて - 名探偵アルパカ
2018/03/19 (Mon) 12:57:38
ありがとうございます
http://blog.livedoor.jp/nichepcgamer/archives/1070424280.html
マイクロソフトは自分たちの設定した合法的な大型アップデート延期を勝手に破壊しておりましたから、ユーザーの側がWindowsアップデートを停止させても問題ないとは思いますけどね…
↑は、某怪答者達へのメッセージですよ
本題ですが、マイクロソフトがセキュリティベンダーに圧力をかけてWindowsアップデートをファイアウォールから除外すればパケットフィルタリングも陥落するだろうとは思います
しかし、 Windowsアップデート停止ツールを開発している弱小企業や個人だと、そもそも立場が脆弱なわけですから圧力をかけて潰したりは簡単だと考えますが、第三者の大手セキュリティベンダーにそんな事は可能なのかを考えれば、多分無理だろう、と思ってますし、もし何らかの動きがあったとすればカスペルスキーあたりが反発するんじゃないかと推測してます
もしESETのパケットフィルタが陥落すれば、直ちにこちらで報告させていただきます
それに、セキュリティソフトのパケットフィルタでWindowsアップデートを停止させるという対処法もマイクロソフトは認識済みではないでしょうか?
自分は単なるアルパカなのでビジネス向けのネットワーク環境は知らないのですが、 Windowsアップデートの延期だったりファイアウォールからの一言管理だったりを認めざるを得ないでしょうから、案外、KB潰しやWin10の改竄は許さないけれど、ファイアウォールについては不問にする
ではないかと…
Re: パケットフィルタリングとWin10強制的Windowsアップデートについて - 名探偵アルパカ
2018/03/19 (Mon) 13:21:28
自分の環境では『真犯人はお前だ!!!』的トラフィックと断定できるモノは見つけられなかったのですが、 『怪しいよ、お前』は何個かありまして一例をあげると
http://loto6.blog22.fc2.com/blog-entry-714.html
Win8.1とは全然違うようです
Re: パケットフィルタリングとWin10強制的Windowsアップデートについて - 名探偵アルパカ
2018/03/21 (Wed) 19:38:59
昨日TCP80,443番ポートを一時的に開放しWindowsアップデートの成功を確認しました
TCP 443だけの開放ではマイクロソフトサーバーヘの接続は可能ですが、KB本体が落ちてこずエラーとなります
これでWin10homeの強制的アップデートは、ほぼ解決するものと思われます