私は、Avast Free Antivirus とデフォルトの Windows ファイアウォールを搭載した Windows 7 PC を持っています。ネットワーク リソースを使用するには、PC を仕事用ドメインに登録する必要があります。しかし、それは私のコンピューターのキーをシステム管理者に渡すようなものだと思っています。彼は次のことを知っているかもしれません:
- 私のコンピューターに何が入っているか(OS、ソフトウェア、ファイル、ドキュメントなど)
- 私が訪問するウェブサイト
簡単に言うと、自分の PC を仕事用ドメインに置くことは、バックグラウンドで TeamViewer をインストールするようなもので、システム管理者は好きなことを何でもできると思います。
これは完全に真実ではないことはわかっています。しかし、私は自分のプライバシーを可能な限り保護する方法を探しています。
- 仕事専用の新しい Windows アカウントを作成する必要がありますか?
- そのアカウントに特定のファイアウォールルールを設定する必要がありますか?
- Tor などのプロキシを使用するべきでしょうか?
- などなど…
- 私に何ができるでしょうか?
答え1
うーん... いくつか誤解があるようですね (かなりよくある誤解だと思います)。いくつか詳しく説明しましょう。
技術的な能力がどのようなものかを知るなど、知識を持つことは良いことです。特定の選択肢の長所と短所が何であるかを知ることは良いことです。したがって、Active Directory セキュリティ モデルの使用をサポートする Microsoft Windows のバリエーションを使用するとどのような影響があるかを知ることは良いことです。
これは完全に真実ではないことはわかっています。しかし、私は自分のプライバシーを可能な限り保護する方法を探しています。
実は...それは本当なんです。
コンピュータがネットワークに接続されている場合 (VPN に接続されている場合も含む)、通常、C: にリモート アクセスできるようになります。
コンピュータが IP アドレス 192.0.2.150 でアクセス可能な場合、\192.0.2.150\c$ にアクセスして C: 上のすべてを見ることができます。
彼は私のコンピューターに何が入っているか(OS、ソフトウェア、ファイル、ドキュメントなど)を知っているかもしれません。
はどうかと言うと
私が訪問するウェブサイト
そのために、Active Directory ドメインに参加している必要すらありません。コンピュータがトラフィックを送信するためにネットワークを使用している場合、送信トラフィックの IP 宛先をチェックできます。トラフィックをネットワークに通過させるために VPN を使用している場合、オンサイトにいる必要すらありません。(VPN 構成によっては、すべてのネットワーク トラフィックが VPN を通過するものとそうでないものがあることに留意してください。したがって、リモートにいるときにすべての VPN がその効果をもたらすわけではありません。さらに、少なくとも一部の VPN ソフトウェアは、ルーターから構成情報をダウンロードする場合があります。これは、Active Directory ドメインに参加しているかどうかとは関係ありません。)
まったく異なるアプローチは、コンピュータが DNS サーバーを使用している場合、そのコンピュータは、あなたがどのような DNS クエリを実行するかを確認できるというものです。繰り返しますが、これは、あなたが Active Directory ドメインの一部であるかどうかとは関係ありません。
それが Windows に組み込まれたソフトウェアで一般的に行われるかどうかは別の話かもしれませんが、そのような機能は確かに存在します。(追加のソフトウェアを入手したり、使用している機器の一部に組み込まれている機能を使用したりする必要があるかもしれません。)
あなたが訪問した Web サイトを見ることよりもさらに悪いことに、ネットワーク管理者はあなたの「安全な」 Web 閲覧セッションの内容を見ることができる可能性があります。Active Directory ドメインを使用している場合、ネットワーク管理者は、HTTPS 証明書のインストールを含む特定の「ポリシー」にコンピュータを従わせることができます。これにより、HTTPS プロキシは「安全な」 Web トラフィックの MITM スパイを実行できるようになり、コンピュータは HTTPS Web プロキシの HTTPS 証明書を信頼するため、その結果を信頼することになります。
上で述べた他の「脅威」とは異なり、これは実際にはかなり頻繁に実行されます。(デバイスのメーカーは、この機能を「MITM 攻撃」として宣伝していません。彼らはこの機能を「HTTPS プロキシ」や「ディープ パケット インスペクション」(「DPI」) 機能として宣伝しています。)
コンピュータが Active Directory ドメインにインストールされている場合、コンピュータは Active Directory ドメイン コントローラのセキュリティ判断を信頼することになります。これにより、コンピュータは Active Directory ドメイン コントローラに保存されている Windows アカウントを簡単に使用できるようになります。また、コンピュータはドメイン コントローラをチェックして、コンピュータが準拠する更新されたグループ ポリシー設定を確認します。グループ ポリシーを使用すると、追加のソフトウェアをインストールできます。これには、一般的な商用システム監視ソフトウェアなどが含まれます。これには、キーボード ログ ソフトウェアをインストールする機能も含まれます (あまり頻繁に行われないことを願いますが、機能は確実にあります)。
要するに:
- 外部からの使用に対して耐性のあるコンピュータが必要な場合は、非常に堅牢なオペレーティング システムを検討してください。OpenBSD は良い選択肢かもしれません。
- 使いやすいと広く認識されているコンピューターが欲しいなら、それが多くの人が Microsoft Windows を好む主な理由です。
- 会社の技術サポートがコンピューターに変更を加えることができるなど、会社のネットワークと適切に統合されたコンピューターが必要な場合は、コンピューターを Active Directory ドメインに参加させます。
会社の方針により、3番目のオプションを利用することが求められる場合があります。会社がそのような方針を定めて従うことを義務付けているかどうかは、技術的な能力に関する議論の範囲を超えています。すべき会社にそのようなアクセス権を与える。それが事実であるかどうかに関わらず、この回答の最初の段落は真実のままです。
仕事専用の新しい Windows アカウントを作成する必要がありますか?
ダメです。「ドメイン コンピュータ」(「ドメインに参加」したコンピュータ) は、「ドメイン コントローラ」(ネットワークのセキュリティを提供する「サーバー」コンピュータに使用される名前) を信頼します。ドメイン管理者は、コンピュータが信頼するアカウントのみを使用できます。
そのアカウントに特定のファイアウォールルールを設定する必要がありますか?
推奨されません。おそらく、コンピュータに侵入するために使用できるすべての種類のネットワーク トラフィックに対抗できるほど賢くないでしょう。また、たとえ賢かったとしても、一方では (コンピュータがドメインに参加しているときに)「会社のネットワークを信頼します」と言いながら、他方ではファイアウォールを使用して多くのものを破壊しようとしているときに「会社のネットワークを信頼しません」と言うのは、統合失調症です。
コンピュータが適切なドメイン メンバーとして動作している場合、ネットワーク管理者は組み込みの Windows ファイアウォールのいくつかの側面を制御できます。
Tor などのプロキシを使用するべきでしょうか?
効果がありません。ネットワーク トラフィックがネットワーク カードから出るときに暗号化される可能性があります。ただし、ネットワーク管理者がドメイン コンピューターで実行できると指定したソフトウェアをドメイン コンピューターが実行することを防ぐことはできません。
Tor を使うべきではないと言っているのではないことに注意してください。Tor が何を実現するのかを正確に理解し、別の何かを実現すると誤解してはいけないと言っているだけです。Tor は、ネットワーク トラフィックの内容を保護するように設計されています。Tor は、権限のある管理者がマシンで実行されているソフトウェアやそのソフトウェアの機能を確認するのを防ぐようには設計されていません。その機能から保護したい場合、Tor は効果がなく、それに対する保護を具体的に提供できないと言っているだけです。
などなど…何ができるでしょうか?
質問して、情報を得るという、まさにあなたがしたのと同じことをすることができます。つまり、プライバシーを保つための解決策は、コンピュータを Active Directory ドメインに参加させないことです。ファイルへのアクセスなど、特定の操作を実行するためにコンピュータを Active Directory ドメインに参加させる必要がある場合は、別のコンピュータ (Active Directory ドメインに参加させていないもの) を使用して、より「プライベートな」操作を実行してください。
(自分のデバイスを使用している場合でも、ネットワークオペレータは、あなたが接続しているインターネットサイトを知るなど、いくつかの側面を見ることができることに注意してください。会社のネットワークを使用している場合、会社のネットワークオペレータがそれを見ることができることを意味します。デバイスが携帯電話会社の塔と直接通信する方法を使用している場合、その機能を持っているのは携帯電話会社です。ちなみに、インターネットはコンピュータネットワークの巨大なネットワークです。宛先IPアドレスなど、ネットワークトラフィックの詳細を確認/記録する機能は、どれでも必ずしも最初のホップだけではなく、インターネット通信を機能させるために最終的に関与するコンピュータ ネットワーク。
私は、Avast Free Antivirus とデフォルトの Windows ファイアウォールを搭載した Windows 7 PC を使用しています。
ほとんどのウイルス対策会社は、自社の製品を企業ネットワークの運営者にうまく販売できるようにしたいと考えていることを知っておいてください。そのため、ウイルス対策会社は通常、許可するネットワーク管理者が、あなたが許可を求めている内容などを見ることができるようにアクセスできるようにする。これは、ネットワークオペレータがそのようなアクセスを行えるようにするソフトウェアが、通常、合法的に許可されているソフトウェアであるためである。認可されたそのため、ウイルス対策ソフトウェアは、このようなソフトウェアが妨害されることなくタスクを実行することを許可する可能性があります。ウイルス対策ソフトウェアが誤ってこのようなタスクをブロックし始めると、ネットワーク管理者から、ウイルス対策ソフトウェアが重要な機能を壊していると主張する多数の苦情がすぐに寄せられ、ウイルス対策ソフトウェアの製造元は、その「間違い」を修正するためにすぐに取り組みます。