Browse by Tags - フィールドSEあがりの安納です - Site Home - TechNet Blogs

フィールドSEあがりの安納です

Microsoft Evangelist -- Junichi Anno
Tags

Browse by Tags

TechNet Blogs » フィールドSEあがりの安納です » All Tags » security
Related Posts

  • Blog Post: 【WP for IT Pros】Windows Phone のセキュリティモデル 1 ~「チャンバー」という考え方(1)

    junichia
    Windows Phone のセキュリティモデルについて断片ばかりで系統的に語ったことが無かったので、あらためて。 参考: Download: Windows Phone 7.5 IT Papers - Microsoft Download Center - Download Details 以下の図は、Windows Phone のセキュリティモデルを模式的に表したものです。 Windows Phone のセキュリティモデルは「分離の原則」と「最小限の権限」という思想のもとに設計されており、「チャンバー」と呼ばれるコンセプトに沿って実装されています。 ここで言う「チャンバー」とは、心室や心房などのように仕切られた部屋を意味しています...
    on 26 Jan 2012

  • Blog Post: 【IAM】ダイナミックアクセス制御(DAC)を理解するための解説&演習手順書

    junichia
    以前、以下の投稿をしました。 http://blogs.technet.com/b/junichia/archive/2012/12/10/3539674.aspx ダイナミックアクセス制御はとても面白いテクノロジーなのですが、かなり複雑なので手を付けている方は少ないのではないでしょうか。 そこで、現在実施しているハンズオンセミナーで使用している資料から、ダイナミックアクセス制御の部分を抜粋して公開しました。 解説編と演習編に分かれています。 演習環境はシンプルで、以下の2つの仮想マシンを用意していただければOKです。 ドメインコントローラーが構成された Windows Server 2012...
    on 17 Dec 2012

  • Blog Post: 【WP for ITPro】Windows Phone とルート証明書の関係、自己署名証明書のインストール方法

    junichia
    ちょっと面倒な証明書のお話し。 ■標準で実装されているルート証明書 Windows Phone に標準で実装されているルート証明書は以下の通りです。 ※詳細は SSL Root Certificates for Windows Phone AOL (United States) RSA Security (United States) Comodo (United States) SECOM Trust Systems Co. Ltd (Japan) DigiCert (United States) Taiwan-CA Inc. (Taiwan) Entrust (Canada) TrustCenter...
    on 30 Nov 2011

  • Blog Post: 【IDM】ILM2 は Forefront Identity Manager(FIM)2010 に、それは business ready security 宣言でもあります

    junichia
    既にご存知の方も多いかと思いますが、ILM2の発売が延期されました。 私を含め、多くのみなさんが楽しみにしてくださっていただけにとても残念だったのですが、4月16日、延期に加えブランディングの変更について正式にアナウンスがありました。 従来の Identity Lifecycle Manager から、セキュリティ製品としての位置づけを明確にすべく、Forefront の冠をかぶることになっています。 その名も、 Forefront Identity Manager 2010 .略して FIM です。 本件については既に、以下のBLOGでも取り上げられています。 MSDN BLOG ー Identity...
    on 22 Apr 2009

  • Blog Post: 1024 ビット未満の鍵長を持つ証明書を無効にする更新プログラム (KB2661254) の公開について

    junichia
    すでにセキュリティチームの Blog にも掲載されていますが、こちらにも転載しておきたいと思います。 概要 暗号の 2010 年問題 (暗号の危殆化) や、Flame マルウェアによる証明書への脅威を背景に、マイクロソフトは RSA アルゴリズムに対する強化策として、2012 年 8 月 14 日 (米国時間) に、鍵長 1024 ビット未満の暗号鍵を持つ RSA 証明書をブロックする更新プログラム (KB2661254) を公開しました ( マイクロソフト セキュリティ アドバイザリ 2661254 )。この更新プログラムの適用により、鍵長 1024 ビット未満の RSA 証明書を使用する Web...
    on 7 Sep 2012

  • Blog Post: 【IDM】Active Directory から OpenLDAP への パスワードの同期 その2 ~ ADSI でパスワードを同期する

    junichia
    昔、「おしいれのぼうけん」ていう絵本がありました。いまでもトラウマです...ねずみばぁさん...。 そんなノスタルジックな想いはともかく、現実に戻って OpenLDAP にパスワードを同期する方法について考察します。 以前、以下の記事で、生パスワードを PowerShell を使用して SHA1 で暗号化する方法を書きました。 【IDM】Active Directory から OpenLDAP への パスワードの同期 その1 ~ パスワードを SHA1 で暗号化 今回は、SHA1 のことはひとまずおいといて、パスワード同期機能で作成された unixUserPassword...
    on 17 May 2008

  • Blog Post: 【Management】Windows Server 2008 DFS(分散ファイルシステム)でのアクセスベースの列挙 その1

    junichia
    「 アクセスベースの列挙(Access-Based Enumeration)」 という機能はご存知でしょうか?初めての方もいらっしゃるかもしれないので、例を挙げて説明します。 詳しく知りたい方は、 TechNet内のこちら をご覧ください。 以下のようなフォルダ構成があったとします。Home は共有フォルダです。 User01 が Z: ドライブに \\FileServer01\Home を接続した場合、Z:ドライブをエクスプローラーで開くと、おそらく、User02 や User03 など他のユーザーのフォルダも見えてしまいます。見えてしまっても、NTFSアクセス権さえ適切に設定しておけば、実際にアクセスしようとすれば...
    on 24 Dec 2008

  • Blog Post: 【IDM】AD FS で Event ID 323、364 が発生して認可されない場合の対処

    junichia
    みなさん、AD FS 使ってますか~? とかるーいノリで...。 たったいま、ハマった現象について覚書程度に記しておきます。 AD FSをインストールすると、規定の要求プロバイダーとして Active Directory が登録されます。 でもって、この要求プロバイダー"Active Directory"には、既定のクレームルールセットが登録されています。 この規定のクレームルールを削除してしまうと、認証方式や認証のタイムスタンプ等をRP(Relying Party)側に伝えることができなくなり、RP 側の STS からセキュリティトークン発行を拒否されてしまうことがあります...
    on 19 Jan 2012

  • Blog Post: 【IDM】Active Directory の DMZ への展開シナリオ その1 ~ 4つの AD DS モデル

    junichia
    まず、ちょっとだけ告知させてください。 以下のセミナーでLT登壇者を募集中です! 5月30日 Tech Fielders セミナー 東京 [Weekend][スクリプトを使用した Windows Server 管理の自動化] ※登壇者の中から抽選で1名にMCPバウチャーチケットが 当たります ! 6月13日 MCP Day @ Tech Fielders セミナー [スクリプトで行うWindows Server および Active Directoryの管理] ※MCP資格保有者限定のレベル 400(高度な内容)のセミナーです ※第2部 30分セミナー は定員になりました ※登壇者にはMSPRESSよりお好きな書籍を1冊プレゼント...
    on 7 May 2009

  • Blog Post: 【IDM】Active Directory Federation Service 2.1 の新機能

    junichia
    ※この投稿は Office 365 Advent Clendar 2012 に参加しています。 軽い話題ですんません。 私の大好きな Active Directory Federation Service 2.0 は、Office 365 の爆発的人気に伴い、今ではすっかりフィールドに浸透しました。もう、「AD FS なんて知らない、聞いたことない」という方はいらっしゃらないでしょう。 そんな中、いまひそかに熱い注目を集めているのが Windows Server 2012 に標準実装された Active Directory Federation Service 2.1 です。新しい Hyper...
    on 9 Dec 2012

  • Blog Post: 【Management】一括で「ブロックを解除」する streams コマンド編

    junichia
    2012年初の投稿となります。本年もよろしくお願いいたします。 さて、完全に覚書レベルの話ですみません。結構知らない方が多いかもと思ったので書いておきます。 インターネットからダウンロードしたファイルを使用するとき、ファイルに書き込まれている ZoneId と呼ばれる代替データストリームをリセットしなければならない場合があります。ZoneId をリセットするには、ファイルのプロパティから「ブロックの解除」を実行します。この操作は比較的おなじみですよね。 しかし大量のファイルが存在する場合には、この作業はとても面倒です。 そこで、そんな作業を軽減するためのツールがいくつか用意されています。その1つが...
    on 12 Jan 2012

  • Blog Post: 【Azure for ITPro】Windows Azure Connect を使用するためのネットワーク条件について

    junichia
    3月4日のセミナーにお越しくださったみなさま、ありがとうございました。限られた時間で、あまり突っ込んだお話ができませんでしたが、Windows Azure Connect について何ができるのかはご理解いただけたかと思います。 懇親会ではネットワークの条件について多くの方からご質問をいただきましたので、この場を借りて補足しておきたいと思います。 ※Windows Azure Connect は現時点でプレビュー版が提供されていますので、リリース時に使用が変更される可能性があることをご了承ください ちなみに、以下のようなビデオ(英語ですんません...)も公開されていますので、興味のある方はご覧ください...
    on 5 Mar 2011

  • Blog Post: 【IDM】最近ログオンしていないユーザーを検索する とっても簡単な方法

    junichia
    いまさらながら、ADでは「ログオン可能なワークステーション(userWorkstation属性)」の設定が最大1024文字だと気づき、自分の無知に愕然としています。だって…NTのころは4台固定だったんだもの…。 http://support.microsoft.com/kb/938458 さて、話は変わりますが、VBScript を使用して Active Directory 内のユーザーを検索しようと思った時、面倒だなと感じるのが、以下のような条件です。 既に無効化されたアカウント 既に有効期限の切れたアカウント ロックされたアカウント パスワードの有効期限が切れているアカウント パスワードが無期限に設定されているアカウント...
    on 18 Nov 2009

  • Blog Post: 【WP for IT Pros】Windows Phone のセキュリティモデル 2 ~「チャンバー」という考え方(2)

    junichia
    前回は「チャンバー」の概念についてお話ししました。 【WP for IT Pros】Windows Phone のセキュリティモデルについて~「チャンバー」という考え方(1) 今回は、その補足的な内容となるのですが、「機能ベースの権限モデル」と「サンドボックス」について書きます。 ■ 機能(Capabilities)ベースの権限モデル 「機能」とは別の言い方をすれば「リソース」です。Windows Phone にはさまざまな機能が実装されており、「位置情報」「カメラ」「マイク」「ネットワーク」「センサー」などが「機能」に該当します。これらの機能は、Windows Phone の使い方と密接に関連していることは言���までもありませんが...
    on 31 Jan 2012

  • Blog Post: 【IAM】DAC その4 ~ Dynamic Access Control のアーキテクチャ(2) ー FSRM が必要な理由

    junichia
    Windows Server 2012 から利用可能になった ダイナミックアクセス制御 に関して、細々と掲載を続けるシリーズです。前回までの投稿は以下の通りです。 【IAM】ダイナミックアクセス制御(DAC)を理解するための解説&演習手順書 http://blogs.technet.com/b/junichia/archive/2012/12/17/3541225.aspx 【IAM】DAC その1 ~ グループベース RBAC の破たん? http://blogs.technet.com/b/junichia/archive/2013/03/29/3561744.aspx 【IAM】DAC...
    on 10 May 2013

  • Blog Post: 【IAM】DAC その3~Dynamic Access Control のアーキテクチャ(1)

    junichia
    以前の投稿につづき、今回は Windows Servevr 2012 が提供する DAC のアーキテクチャについて解説します。この辺をご理解いただくと、多くのエンジニアの方に「おぉ、やってみたい」と思っていただけるかと。   【IAM】ダイナミックアクセス制御(DAC)を理解するための解説&演習手順書 http://blogs.technet.com/b/junichia/archive/2012/12/17/3541225.aspx 【IAM】 DAC その1 ~ グループベース RBAC の破たん? http://blogs.technet.com/b/junichia/archive...
    on 7 May 2013

  • Blog Post: 【IAM】 DAC その 2 ~ なぜ企業のアクセス管理に DAC が必要なのか

    junichia
    前回の投稿は以下の通りです。 【IAM】 DAC その1 ~ グループベース RBAC の破たん? http://blogs.technet.com/b/junichia/archive/2013/03/29/3561744.aspx この投稿では、前回の投稿をふまえ、「なぜ企業のアクセス管理にDACが必要なのか」という点について書きたいと思います。 DAC が「Expression(式)ベースのルールによるアクセス管理」であることは 前回の投稿 で書いた通りです。 ここで疑問を持つ方がいらっしゃると思います。 「アクセスルールを管理するのは誰なのよ?」 当然の疑問です。 IDの属性を管理するのは...
    on 1 Apr 2013

  • Blog Post: 【Script】AD/File/Reg のアクセス権リストは Get-ACL にお任せ~その1

    junichia
    ヒトはパンのみに生きるに非ず…とか言うようですが、わたしは PowerShell のみに生きてもよいとさえ思っています。もうたまりません。いま、可愛いヤツ ランキングをつけたら、間違いなく Windows PowerShell が1位です。2番目が 赤ちょうちん の頃の秋吉久美子。3番目に偕楽園の梅娘と写真を撮ってくれと泣いてせがんだ5歳の頃の自分です。 アクセス権の一覧 を作りたいけど、うまい方法が無くて困っている方はいらっしゃいませんか?これまで、CACLSコマンドとかを使ってきて、うーんどうも…じゃVBSで作るか!と思い立ったものの、以外に難しくて断念したり…(VBSを使う方法は知っておく価値アリなので...
    on 2 Dec 2009

  • Blog Post: 【PowerShell】「ブロックを解除」するためのメソッドを追加してみる

    junichia
    前回の投稿では、CodeProject で公開されているライブラリを使用して、一括でブロックを解除する方法について紹介しました。 【PowerShell】一括で「ブロックを解除」する ~ Windows PowerShell 編 その1 頻繁に使用するかどうかははなはだ疑問なのですが、ついでなので「ブロックを解除」するためのメソッドを追加しちゃいましょう。 メソッドを追加するとはどういうことか?例えば、以下のような感じです。 PS C:\> $File = Get-Item .\IdentityModel.WP7.dll PS C:\> $File. DeleteAlternateDataStream...
    on 14 Jan 2012

  • Blog Post: 【Management】Windows Server 2008 DFS(分散ファイルシステム)でのアクセスベースの列挙 その2

    junichia
    前回の続きです。前回はこちら。 【Management】Windows Server 2008 DFS(分散ファイルシステム)でのアクセスベースの列挙 その1 「アクセスベースの列挙」により共有フォルダ配下の不必要なフォルダを見せないようにすることができます。 同じようなことはDFS(分散ファイルシステム)でも可能ですが、方法が異なります。 例えば、以下のようなDFS名前空間が定義されているとします。 図の右側(\\FileSV1)が物理的な共有フォルダの構造です。それぞれのフォルダにはNTFSのアクセス権が設定されており、社員のアクセスが正しく制御されているとします。「一般社員用」フォルダ、...
    on 25 Dec 2008

  • Blog Post: 【Azure for IT Pro】資料:AD FS 2.0 と Windows Azuer AppFabric ACS V2 を使用した SSO の構築 第2.2版

    junichia
    2011/5/30 誤植を修正 2011/5/27 更新 Windows Azure にアプリケーションを展開し、オンプレミスのActive Directory や Google などとの認証連携を行うための手順を示した資料を最新の状態にアップグレードしました。 2011年3月11日 に開催したセミナーから、画面も操作手順も変わっていますので、是非ともこちらの資料をご覧くださいませ。 内容は、かなり盛りだくさんです。是非とも AD FS と Windows Azure AppFabric ACS を制覇してください!  
    on 26 May 2011

  • Blog Post: 【Management】Windows Update Powershell Module (1)

    junichia
    久しぶりに Windows Update をスクリプトから実行しようかなぁと思って PowerShell のコマンドレットを探していたら、標準では提供されていないんですねぇ。全く気づいておりませんでした。 となると、VBScript のように Microsoft.Update.Session を呼び出すしかないものかと 思っていると、なんと便利なモジュールが提供されていました。 Windows Update PowerShell Module http://gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9de2-88dff796b0bc...
    on 21 May 2013

  • Blog Post: Security and Management カンファレンスの模様がWebcast で配信開始

    junichia
    2007年6月25日に行われた Security and Management Conference の模様が WebCast で配信開始されています。 当日のセッションは以下の通りです。 まずは1時間程度のビデオをご覧いただき製品概要を把握していただくと、次のステップに進みやすいと思います。 Management 系 ├ IT 投資効果を最大化する DSI ~仮想化、自動化そしてモデリング~ ├ 管理者不足の小規模環境管理に最適のソリューション System Center Essentials のご紹介 ├ Systems Management Server 導入による IT ガバナンス支援と...
    on 23 Jul 2007

  • Blog Post: 【WP for IT Pros】IRM 保護された電子メールや Office ドキュメントの扱われ方

    junichia
    ご存知のように、Windows Phone 7.5 では IRM 保護されたメールやOfficeドキュメントを読むことができます。今のところ、IRM 保護されたメールやドキュメントを参照できるのは、Windows Phone だけです。 ※ 残念ながら、現時点では Windows Phone から IRM 保護の設定はできません IRM とは Information Rights Management の略です。Active Directory Rights Management Service(AD RMS)を導入することによって、IRMで保護されたデータ使用することができます。 では、IRM...
    on 1 Mar 2012

  • Blog Post: 【IAM】DAC その5 ~ Dynamic Access Control のアーキテクチャ(3) - PAC と Kerberos Pre-authentication(RFC 6113)による拡張

    junichia
    なんだかどんどん深みにはまりつつある ダイナミックアクセス制御の解説シリーズです。。。でもお好きな方にはたまらないですよね(と信じつつ)。 2013 年 7 月以降には、DAC Deep Dive 1日コースのセミナーを開催しようかと考えております。東京以外でも開催したいのので、ぜひご要望をお寄せくださいませ。 さて、前回までの投稿は以下の通りです。 【IAM】ダイナミックアクセス制御(DAC)を理解するための解説&演習手順書 http://blogs.technet.com/b/junichia/archive/2012/12/17/3541225.aspx 【IAM】DAC その 1...
    on 16 May 2013