専門家はどうやってるんでしょうかね。
LAN内にあやしい人が出入りしているのが分かっている場合、怪しげな攻撃を受けていないか心配になります。
WindowsUpdateしてればそこそこ大丈夫だと思うのですが、知りたいのは脆弱性を突かれるかどうかではなくて、
脆弱性を突こうとしている輩がいるかどうか
なのです。
そんなとき、こうすればいいよと覚えました。
1.netstatする
netstat -an
とすれば、ソケットの状況が見えます。すくなくとも、自PCが誰と通信しているかは分かります。詳しい意味は調べてください。XP以降なら、
netstat -abn
でプロセスまで分かります。
2.パケットキャプチャで監視する
イーサリアルやワイヤーシャークでパケットキャプチャすれば、何が起きているかもっと詳しく見ることができます。
3.監査ログを有効にする
IPAのサイトでWin2000向けの設定集があるので探してください。リモートログインの成功失敗など、実用的でないログが多数採取できます。セキュリティ増強予算の稟議をあげる資料を作るにはもってこいです。
パケットキャプチャについてのメモ:
最近はスイッチングハブがデフォルトなのでパケットキャプチャしても、隣のPCのパケットはあまり見えなくなりました。多数のマシンを監視するなら、ルータの近くにリピータハブを設置するのがお手軽です。お高いスイッチング機器なら、モニタ用のポート設定が可能だそうですが、そんな設定を許可を得ていじる手間をかけるくらいなら、こっそりハブをはさむだけの方が話は早いですし、
監視をやめたことを明白に主張できるのは実物を撤去すること
というようなことも考えた方がいいとお思いますです。
WireSharkが無線LANで使えないと文句を言うのをたまに目にしますが、無線LANは微妙にイーサネットではないので、無理からぬことだと指摘しておきます。
