|
|
SMBでのリモートレジストリアクセスの実行 |
|
IPSシグニチャ
|
|
|
シグニチャID: |
5579/1 |
リリース: |
S264 (ダウンロード) |
オリジナル発行日: |
2006 年 12 月 15 日 |
最新の発行日: |
2007年1月04日 |
Default Enabled: |
True |
Default Retired: |
false |
| |
|
|
|
説明 |
|
クライアントからWindowsサーバーのレジストリに対するアクセスを検出します。
REGEDITのようなMicrosoftのツールはネットワーク上のサーバーのレジストリにアクセスする機能を提供します。同じような機能を提供する複数のハッキングツールがあります。それぞれの試行されたそのアクセスによりアラームが送信されます。
アタッカーからのレジストリの変更によってコンピュータシステムへの重大な損傷を引き起こす場合があります。 |
|
推奨される Filter |
|
検知対象として内部ネットワークを除外して下さい。 |
|
正常動作でのトリガー |
|
これはWinNT管理者が正規の目的でリモートからサーバーのレジストリにアクセスすると誘発されます。
除外方法は、特定のワークステーションからこのアラームが発生することを防ぐためにコンフィグレーションを設定して下さい。
さらにWindowsベースのオペレーティングシステム(Win2000以降)はマシンが互いに対話する方法により、このアラームを誘発することが良く見られました。このような環境では全てのアラームが正常な動作となるかもしれないが、しばしばこのシグネチャのアラームは上がるでしょう。この場合、送信元として内部アドレスを除くことは重要となります。 |
|
|
|
シスコセキュリティ手順
Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの
http://www.cisco.com/en/US/products/products_security_vulnerability_policy.htm
にアクセスしてください。
このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのCiscoセキュリティアドバイザリは
http://www.cisco.com/go/psirt で確認することができます。
|
|
|
|