|
|
SMBでのリモートレジストリアクセスの実行 |
|
IPSシグニチャ
|
|
|
シグニチャID: |
5579/0 |
リリース: |
S264 (ダウンロード) |
オリジナル発行日: |
2006 年12月15日 |
最新の発行日: |
2007年1月04日 |
Default Enabled: |
True |
Default Retired: |
false |
| |
|
危険度: | Informational | |
| シグネチャ精度: |
100 | |
|
|
|
説明 |
|
クライアントが、サーバの.PWLファイルへのアクセスを試みることを検出します。これらのファイルはWindows95、および他のシステムのユーザーパスワードが含まれています。これは.PWLファイルへの読み込み、もしくはコピーを行う異常な試みを表します。
このシグニチャは、シグニチャ3306-0の替わりとして提供されます。 |
|
推奨される Filter |
|
検知対象として内部ネットワークを除外して下さい。 |
|
正常動作でのトリガー |
|
これはWinNT管理者が正規の目的でリモートからサーバーのレジストリにアクセスすると誘発されます。
除外方法は、特定のワークステーションからこのアラームが発生することを防ぐためにコンフィグレーションを設定して下さい。
さらにWindowsベースのオペレーティングシステム(Win2000以降)はマシンが互いに対話する方法により、このアラームを誘発することが良く見られました。このような環境では全てのアラームが正常な動作となるかもしれないが、しばしばこのシグネチャのアラームは上がるでしょう。この場合、送信元として内部アドレスを除くことは重要となります。 |
|
|
|
シスコセキュリティ手順
Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの
http://www.cisco.com/en/US/products/products_security_vulnerability_policy.htm
にアクセスしてください。
このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのCiscoセキュリティアドバイザリは
http://www.cisco.com/go/psirt で確認することができます。
|
|
|
|