2010年1月14日木曜日

FortiClient 4.1.2 インストール

最新版FortiClient Endpoint Security(Standard Edition)をWindows XP Pro 32Bit版にインストールしてみます。インストール言語も日本語になっており特に難しいことはありません。

Windows7へインストールするとOS起動時ネットワークの認識が遅くネットがすぐに使えない状態になります。数分すれば使えるようになるのですが、現段階では使用しない方がよいと思います。またFortiClientをアンインストールしただけでは、元に戻らないためNicドライバを削除して再度インストールする必要があります。(Ver 4.1.3.143では解決されております)
  • ダウンロード
http://www.forticlient.com/standard.html を開き「Download Now」をクリックする。
※64Bit版は画面下にある「DOWNLOAD FortiClient for Windows 64-bit」からとなる。

「Download Now」をクリックする。

  • インストール
FortiClientSetup_*.*.*.exeを実行します。セキュリティ警告が表示された場合はそのまま「実行」を押します。

パッケージの追加指定でSSL VPN用接続ツールも同時にインストールできます。よくわからない方はチェックせずにOKを押して次へ ※FortiGateとのSSL VPN接続で使用します

セットアップが開始されますので、そのまま「次へ」。

インストールタイプは「フリーエディション」を選択して「次へ」。

 「ソフトライセンス条項に同意します」にチェックして「次へ」。

 インストールする機能を指定することができますが、ここでは「完全」を指定します。インストール後に再度インストーラを起動すれば機能を追加したり消去することもできます。
※ファイアウォールをインストールするとWindowsファイアウォールは解除されます。
※他社製のアンチウイルスソフトが既に稼動している場合は、事前にアンインストールしておくことをお勧めします。(競合問題等でOSが起動できなくなる恐れがあります)
※VPN機能を選択すると仮想ネットワークアダプターが追加されます。

準備が整いましたので、インストールします。

途中、接続済のネットワークを認識して信用できるか聞いてきますので、問題がなければ信用します。(通常は信用しますを選択)

インストール完了です。

初期設定ウィザードが起動しますので、とりあえず「基本設定」を指定して「次」へ。

定期的なウイルススキャンのスケジュールを設定します。後でも設定が可能です。またスケジュールはいくつでも設定ができます。
 

<スケジュール設定画面>

すべてのパターンファイルが更新され完了です。

閉じるを押すと即スキャンが始まります。
途中最適化する場面があり、その部分で時間(数分程度)が掛かる場合があります。

  • 初期設定

アンチウイルス>設定
  1. 「ウイルスが発見された場合の対処」 隔離を選択
  2. 「リムーバブルメディアをスキャンする」 チェックを入れる

アンチウイルス>リアルタイム保護
  1.  「スキャンするファイルの種類」 全てのファイルを選択
  2. 「ウイルスが発見された場合の対処」 アクセスを拒否を選択

ファイアウォール>ステータス
  1. 「ファイアウォールモード内のプロファイル」 ベーシックビジネスを選択

Webフィルタ>設定 「設定を変更する」ボタンを押す

グローバルプロファイルを「規定プロファイル」から「アダルト」に変更します。

現在のプロファイル変更について聞かれますので「現在のプロファイル設定を変更」にする。

画面を閉じて完了です。
かなり細かい設定もできますが、初期としてはちょうどよいと思われます。
  • テストウイルス
http://www.trendmicro.co.jp/download/test-virus.asp からHTTP経由とFTP経由でチェックしてみたところ即反応があった。

もちろん「閉じる」を押してあとに保存しようとしてもできません。

2010年1月12日火曜日

yahooにもガンブラーウイルスが・・・

最近HPの改ざんでウイルス(ガンブラー)が仕掛けられる被害が拡大していますが、yahooにも仕掛けられていたようですね。その時のFortiGateのブロックログが以下の通りです。


Message meets Alert condition

Virus/Worm detected: JS/Gumblar.gen Protocol: "http" Source IP: 10.1.111.54 Destination IP: 203.216.247.249 Email Address From: "N/A" Email Address To: "N/A" http://www.fortinet.com/ve?vn=JS%2FGumblar.gen
2010-01-09 08:42:15 device_id=FG100C3G09602750 log_id=0211060000 type=virus subtype=infected pri=warning vd=root policyid=1 serial=22061480 user="N/A" group="N/A" src=10.1.111.54 sport=1257 src_int="switch" dst=203.216.247.249 dport=80 dst_int="wan1" service="http" status=blocked virus="JS/Gumblar.gen" url="http://www.yahoo.co.jp/" ref="http://www.fortinet.com/ve?vn=JS%2FGumblar.gen" msg="File is infected."
 
 
また、週末FortiGateのログを確認したところ多数のHPでガンブラーを検出していました。本当だろうか・・・
  • youtube.com
Message meets Alert condition



Virus/Worm detected: JS/Gumblar.gen Protocol: "http" Source IP: 2&suggested_categories=10%2C24 Destination IP: 66.249.89.113 Email Address From: "N/A" Email Address To: "N/A" http://www.fortinet.com/ve?vn=JS%2FGumblar.gen
2010-01-09 09:33:30 device_id=FG100C3G09602750 log_id=0211060000 type=virus subtype=infected pri=warning vd=root policyid=1 serial=22063830 user="N/A" group="N/A" src=10.1.111.55 sport=1197 src_int="switch" dst=66.249.89.113 dport=80 dst_int="wan1" service="http" status=blocked virus="JS/Gumblar.gen" url="http://www.youtube.com/watch?v=DFtvOKXP-MQ" ref="http://www.fortinet.com/ve?vn=JS%2FGumblar.gen" msg="File is infected."

  • microsoft.com
Message meets Alert condition



Virus/Worm detected: JS/Gumblar.gen Protocol: "http" Source IP: 10.1.111.54 Destination IP: 63.150.131.147 Email Address From: "N/A" Email Address To: "N/A" http://www.fortinet.com/ve?vn=JS%2FGumblar.gen
2010-01-09 08:55:18 device_id=FG100C3G09602750 log_id=0211060000 type=virus subtype=infected pri=warning vd=root policyid=1 serial=22061875 user="N/A" group="N/A" src=10.1.111.54 sport=1143 src_int="switch" dst=63.150.131.147 dport=80 dst_int="wan1" service="http" status=blocked file="broker.js" virus="JS/Gumblar.gen" url="http://js.microsoft.com/library/svy/broker.js" ref="http://www.fortinet.com/ve?vid=1409025" msg="File is infected."


  • infoseek.co.jp
Message meets Alert condition



Virus/Worm detected: JS/Gumblar.gen Protocol: "http" Source IP: 10.1.111.27 Destination IP: 203.190.61.189 Email Address From: "N/A" Email Address To: 2&sc= http://www.fortinet.com/ve?vn=JS%2FGumblar.gen
2010-01-09 09:15:24 device_id=FG100C3G09602750 log_id=0211060000 type=virus subtype=infected pri=warning vd=root policyid=1 serial=22062880 user="N/A" group="N/A" src=10.1.111.27 sport=1241 src_int="switch" dst=203.190.61.189 dport=80 dst_int="wan1" service="http" status=blocked file="recept.js" virus="JS/Gumblar.gen" url="http://hotspot.infoseek.co.jp/ths_banner/recept.js" ref="http://www.fortinet.com/ve?vid=1409025" msg="File is infected."


  • excite.co.jp
Message meets Alert condition


Virus/Worm detected: JS/Gumblar.gen Protocol: "http" Source IP: 10.1.111.27 Destination IP: 210.128.66.234 Email Address From: "N/A" Email Address To: "N/A" http://www.fortinet.com/ve?vn=JS%2FGumblar.gen
2010-01-09 09:24:27 device_id=FG100C3G09602750 log_id=0211060000 type=virus subtype=infected pri=warning vd=root policyid=1 serial=22063370 user="N/A" group="N/A" src=10.1.111.27 sport=1180 src_int="switch" dst=210.128.66.234 dport=80 dst_int="wan1" service="http" status=blocked virus="JS/Gumblar.gen" url="http://www.excite.co.jp/world/english/" ref="http://www.fortinet.com/ve?vn=JS%2FGumblar.gen" msg="File is infected."

  • adobe.com
Message meets Alert condition


Virus/Worm detected: JS/Gumblar.gen Protocol: "http" Source IP: 10.1.111.55 Destination IP: 192.150.8.45 Email Address From: "N/A" Email Address To: "N/A" http://www.fortinet.com/ve?vn=JS%2FGumblar.gen
2010-01-09 09:32:48 device_id=FG100C3G09602750 log_id=0211060000 type=virus subtype=infected pri=warning vd=root policyid=1 serial=22063775 user="N/A" group="N/A" src=10.1.111.55 sport=1172 src_int="switch" dst=192.150.8.45 dport=80 dst_int="wan1" service="http" status=blocked virus="JS/Gumblar.gen" url="http://get.adobe.com/jp/flashplayer/" ref="http://www.fortinet.com/ve?vn=JS%2FGumblar.gen" msg="File is infected."

感染しているか不安な方は、トレンドマイクロのオンラインスキャンでチェックしてみましょう。
 

2010年1月7日木曜日

Agent XPsコンポーネントは、このサーバのセキュリティ構成の一環としてOFFに設定されています。

SQL Server Management Studio(SQL Server 2005 SP3)でメンテナンスプランを参照しようとしたら、以下のメーッセージが表示された。SQL Server エージェントの拡張ストアド プロシージャが無効とのことらしい・・・いつの間にこんな状態になったのだろう?



セキュリティ構成ツールを使用して SQL Server エージェント サービスを開始すると、SQL Server エージェントの拡張ストアド プロシージャが自動的に有効になるらしいが状況は変わらずでした。

仕方ないのでコマンドで有効にすることにしました。

その前にOS側でローカルグループポリシーを編集します。

(Windows Server 2008 R2)
ファイル名を指定して実行>gpedit.msc
コンピュータの構成>Windowsの設定>セキュリティの設定>ローカルポリシー>ユーザー権利の割り当て>メモリ内のページロック

SQL Serverを稼動させているユーザーが存在しているか確認する。なければ追加しておく。


SQL Server Management Studioを使用して管理者でログインし以下のコマンドを実行します。
 

sp_configure 'show advanced options', 1;
GO
RECONFIGURE;
GO
sp_configure 'Agent XPs', 1;
GO
RECONFIGURE
GO
 
メンテナンスプランが開けるようになりました。
 

Google検索