Symantec pcanywhere のセキュリティ対策 ( ベストプラクティス ) この文書では pcanywhere 12.5 SP4 および pcanywhere Solution 12.6.7 で強化されたセキュリティ機能と これらの主要な強化機能が動作するしくみ およびセキュリティリスクを低減するためのいくつかの手順について説明します SSL ハンドシェイクと TCP/IP の暗号化現在 TCP/IP 接続の安全性は 256 ビット SSL 暗号化または 128 ビット SSL 暗号化により確保されています 暗号化を使用しない [ なし ] オプションも提供されていますが データ整合性チェックは行われます セキュリティを最適化するため デフォルトの 256 ビット暗号化を使用することをお勧めします 128 ビットオプションおよび [ なし ] オプションは パフォーマンスが重視される安全な環境で使用することを目的に提供されています 自己署名 SSL 証明書 pcanywhere は自己署名 SSL 証明書を使用しています Host.key と Host.cer という主要な 2 つのファイルを使用します Host.key には専用キーが含まれています Host.cer には公開キーが記載された X.509 証明書が含まれています 専用キーは Administrators Power Users SYSTEM にのみアクセスを許可する ACL によって保護されています 警告 : 専用キーファイルは保護する必要があります 権限を持たないユーザーが専用キーファイルにアクセスできる場合 ホストを偽装したり ホストをリモートで制御しようとするユーザーに対して中間者 (MITM) 攻撃を実行したりされる可能性があります ホスト専用キーの安全性が低下していると思われる場合は 次の手順を実行して新しいキーを生成できます 1. ホスト処理を停止します 2. 専用キーファイルと証明書ファイルを削除します 3. 信頼できる証明書のリストを消去します 手順については この文書の 信頼できる証明書のリスト を参照してください 4. ホスト処理を再起動します この処理中 ホストの起動時にキーファイルが存在しない場合は 新しいキーファイルのセットが自動的に生成されます
SSL サムプリントの検証 SSL サムプリントの検証はリモートユーザーがホストの信頼性を検証するために使用します この検証はリモートとホスト間の接続の安全性を確立して MITM 攻撃から保護するために実行する必要があります デフォルトで リモートユーザーが TCP/IP を使用してホストに接続しようとすると このユーザーに対してホストの公開キーのサムプリントを示すダイアログボックスが表示されます リモートユーザーはこのダイアログボックスが示すサムプリントとホストのサムプリントを一致させる必要があります このサムプリントを秘密にする必要はありません 印刷 電子メール 電話でやりとりできます サムプリントはホストディレクトリ内の cert.thumbprint.txt に格納されています リモートユーザーがホストの証明書を [ 常に信頼する ] をクリックして受け入れた場合 ホストの公開キーはローカルの信頼できる証明書のリストに格納され ホストの証明書は今後の接続時に自動的に受け入れられるようになります 信頼できる証明書のリストについて詳しくは この文書の 信頼できる証明書のリスト を参照してください モデムの変更現在 モデム通信向けに新しい 256 ビット暗号化レベルが提供されています 新しい暗号化レベルを使用することをお勧めします 低いレベルの暗号化はセキュリティの重要性がほとんどない場合にのみ使用することをお勧めします ただし これらのオプションを使用すると 環境によってはパフォーマンスが向上することがあります モデム通信向けのセキュリティにはサムプリントの検証は含まれないため ホストの偽装や MITM 攻撃の影響を受けやすくなります 攻撃者がこれらの攻撃を実行するには 電話回線で信号を積極的に操作できる必要があります 攻撃者が回線上の通信の監視のみを実行できる場合 脆弱性は発生しません アップグレード中または新規インストール中に接続を受け入れるかどうかを確認するときのタイムアウトの変更デフォルトのタイムアウトは 10 秒から 30 秒に延びました デフォルトの設定 AES256 はすべての接続におけるデフォルトの暗号化レベルです セキュリティのデフォルト設定を手動で確認することをお勧めします セキュリティのデフォルト設定を確認するには このセクションの手順を完了します また pcanywhere 12.5 SP4 または pcanywhere Solution 12.6.7 にアップグレードしている場合 [ 接続時の確認 ] の設定はアップグレード前に行った設定から変更されません このオプションを設定して他のすべてのデフォルト設定を確認するには このセクションの手順を完了します
1. pcanywhere で [ ホスト ] オプション [ セキュリティのオプション ] の順に選択し 次の設定を選択します [ リモート TCP/IP セッションリクエストを受信した際にプロンプトを表示 ] - この設定によってサムプリントのダイアログボックスがホスト上に表示され るかどうかが決まります [ 接続時の確認 ] - この設定によってリモートの制御要求を承認または拒 否するためのダイアログボックスがホストユーザーに表示されるかどうかが決まります ダイアログボックスが表示されてタイムアウト ( デフォルトは 30 秒 ) に達すると リモートユーザーがスーパーユーザーではない場合はアクセスが拒否されます リモートユーザーがスーパーユーザーである場合 はアクセスが許可されます ダイアログボックスを表示しない場合は すべてのリモートユーザーに対して接続が続行されます 2. [ リモート ] オプション [ 暗号 ] の順にクリックし 次の設定を選択します [ 信頼できないまたは不明なホストに TCP/IP を使用して接続している場合はメッセージを表示する ] - この設定によってホストの公開キーのサムプリ ントを示すダイアログボックスが表示されるかどうかが決まります ホストのサムプリントのダイアログボックスが表示されるのは リモートで [ 信頼できないまたは不明なホストに TCP/IP を使用して接続している場合はメッセージを表示する ] が選択されているとき リモートユーザーが 5 秒以内に受け入れまたはキャンセルを選択しなかった場合に限られます ホストのサムプリントのダイアログボックスはホストが公開キーをリモートコンピュータに送信してから 5 秒後に表示されます セッション要求が続行されるのは リモートで [ 信頼できないまたは不明なホストに TCP/IP を使用して接続している場合はメッセージを表示する ] が設定されていない場合 ホストの証明書がすでに信頼できる証明書のリストに含まれている場合 またはリモートユーザーが 5 秒以内に接続を [ 信頼する ] または [ 拒否する ] ように選択した場合です 接続が続行される場合 デフォルトではホストユーザーに対して接続の確認を求めるダイアログボックスが表示されます 接続ハンドシェイクの手順 手順リモートコンピュータホストコンピュータ 1 [ 信頼できないまたは不明なホストに TCP/IP を使用して接続している場合はメッセージを表示する ] が選択されている場合 リモートは ssl_ctx_set_verify API を使用してコールバックを登録します 2 リモートは ssl_connect を呼び出して接続を開始します 3 ホストは ssl_accept を呼び出して接続要求を受け入れます
4 ホストは 5 秒後にサムプリントのダイアログボックスを表示するようにスケジュールします 5 リモートが手順 1 でコールバックを登録している場合 リモートでコールバック機能が呼び出されてサムプリントのダイアログボックスが表示されます ユーザーが [ 常に信頼する ] を選択した場合 公開キーは今後の参照用に格納され リモートはハンドシェイク処理を続行します ユーザーが [ 一度だけ信頼する ] を選択した場合 リモートはハンドシェイク処理を続行します ユーザーが [ 拒否する ] を選択した場合 リモートは接続処理を中止します * * リモートユーザーが [ 拒否する ] を選択した場合 接続は中断され ホストのサムプリントのダイアログボックスは 5 秒経過していない場合には表示されず すでに表示されていた場合には自動的に閉じられます ダイアログボックスには [ 閉じる ] ボタンが含まれているため リモートユーザーはダイアログボックスを閉じることができます ただし リモートユーザーが [ 信頼する ] または [ 拒否する ] をクリックした場合 接続は続行 / 中止され ダイアログボックスは自動的に閉じられます 6 ハンドシェイク処理が続行し 接続が確立されます 7 ホストのサムプリントのダイアログボックスがまだ表示されていない場合 (5 秒後に表示されます ) スケジュールはキャンセルされてダイアログボックスは表示されません 8 リモートがホストに認証情報を送信します 9 ダイアログボックスを表示するようにホストが設定されている場合 (2 つ目のホストオプション ) この時点でダイアログボックスが表示されます ホスト上のユーザーが [ はい / 受け入れ ] を選択した場合 この情報がユーザー認証に使用され 処理が続行されます ホスト上のユーザーが [ いいえ / 拒否 ] を選択した場合 接続はホストによって閉じられます 証明書の管理 古い証明書の管理機能は削除されました 新しい信頼のシステムでは デフォルトでコンピュータの信頼オプションを設定するようにリモート管理者にダイアログボックスが表示されます 管理者が [ 常に信頼する ] を選択した場合 コンピュータは信頼できる証明書のリストに追加され このコンピュータに接続するときに管理者にダイアログボックスは表示されなくなります 管
理者が [ 一度だけ信頼する ] を選択した場合 次の接続時に信頼オプションの設定を要求するダイアログボックスは再び表示されます 信頼できる証明書のリスト信頼できる証明書のリストは 信頼できるホストコンピュータの証明書が記載されたファイルです このリストは trusted_certs.pem ファイルに格納されています ホスト専用キーの安全性が低下したと思われる場合は trusted_certs.pem ファイルを削除する必要があります すべてのホストと再び信頼を確立する必要があります pcanywhere コンピュータのイメージ作成 pcanywhere コンピュータ ( 物理または仮想 ) のイメージを作成するとき 次の場所に存在する専用キー 証明書 ローカルの暗号化レジストリキーのファイルは削除することをお勧めします 64 ビット版 : HKLM\Software\Wow6432Node\Symantec\pcAnywhere\CurrentVersion\{hash} 32 ビット版 : HKLM\Software\Symantec\pcAnywhere\CurrentVersion\{hash} 新しいイメージまたはクローンを配備するとき これらの値は pcanywhere の初回の実行時に再確立されます パスワード処理暗号が [ なし ] に設定されているとき pcanywhere のパスワードは平文で送信されます リモートにアクセスするときは どのような場合でもドメイン管理者の信用証明は使用しないことをお勧めします 代わりに リモート制御用に新しいセキュリティ信用証明を作成します また 次のような標準のパスワードポリシーを実行することをお勧めします パスワードを頻繁に変更する強力なパスワードを使用するセキュリティ信用証明のアクセスと配布を制限する信用証明にアクセスするリモートの権限とアクセス許可を制限する ディスク上の暗号化ホストとリモートの設定ファイルはディスク上に暗号化形式で格納されます これらのファイルはコンピュータごとに一意のキーで暗号化されます pcanywhere がインストールされている別のコンピュータからコンピュータのクローンを作成した場合 これらのコンピュータのキーは同じになり お互いのファイルを読み取ることができます デフォルトでは Administrators Power Users SYSTEM のみがホストの設定ファイルにアクセスできます また デフォルトではコンピュータ上のすべてのユーザーはリモートの設定ファイルにアクセスできます これらのファイルは暗号化されていますが 安全性は確保されていません これらのファイルにアクセスできるすべてのユーザーは ファイルを解読して内容を参照で
きます これらのファイルの安全性を確保するためには ファイルに適切な ACL を設定する必要があります Mac または Linux システムでは暗号化は実行されません これらのシステム上でファイルを保護するには ファイルアクセス許可を使用してください 設定ファイルのインポートとエクスポートホストとリモートの設定ファイルはデフォルトで暗号化されます これらのファイルのいずれかを別のコンピュータに移動する場合は 最初に awfilemgr.exe を使用して暗号化を解除する必要があります 暗号化を解除した後 ファイルを新しいシステムに移動し 同じツールを使用してファイルをインポートできます インポート処理によってファイルは新しいコンピュータのキーを使用して暗号化されます ホストとリモートの実行ホストを実行できるユーザー Administrators と Power Users がホスト処理を実行できます これらのユーザーはホストの設定ファイル 専用キー X.509 証明書のすべてにアクセスできます リモートを実行できるユーザーコンピュータにログオンできるすべてのユーザーがリモートを実行できます これらのユーザーはリモートの設定ファイル 信頼できる証明書のリストのすべてにアクセスできます ホストを使用するユーザーホストへの接続が許可されているリモートユーザーは システムの安全性を低下させるホストシステムを操作することができます リモートユーザーがリモートセッション中に行える操作としては 以下が含まれます 管理者コマンドプロンプトを起動するコンピュータを再起動する ホストをサービスとして実行する場合は信用証明を要求するダイアログボックスが表示されます ただし ホストをアプリケーションとして実行する場合は信用証明を要求されません インターネットベースのリモート制御セッション pcanywhere Access Server はインターネットベースのリモート制御セッションで安全性が確保されません Access Server の通信を詳しく分析した結果 Access Server は使用しないことをお勧めします Access Server を使用する代わりに VPN をインターネットベースのリモート制御セッションで使用することをお勧めします
指定されたデバイスにアタッチできません エラー 指定されたデバイスにアタッチできません というエラーメッセージがさまざまな状況で表示されます 問題の根本的な原因を特定するには 次の手順を上から順に完了します 1. リモートとホストの両方で同じ暗号が使われていることを確認します 2. 認証の種類を見直して正しい信用証明を入力していることを確認します 3. 次の場所にあるホスト / キーファイルを管理者として削除し pcanywhere コンソールを再起動することにより これらのファイルを再生成します Vista 以上 : C:\ProgramData\Symantec\pcAnywhere\Hosts XP: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts 4. 正しいネットワークが確立されていてホストシステムに接続できることを確認します たとえば ファイアウォールが正しく設定されていること ホストシステムに ping を実行できることを確認してください