Fri, 23 Apr 2010 (平成22年) [長年日記]
_ 昨日のまとめ
KB980232 にやられた件での自分の行動を振り返ってみる。
- 「移動プロファイルが読み込めない」現象が頻発しているという報告を受けた。この時点ではドメインコントローラーに何か起きてるかと思って定番のサーバ再起動(苦笑)をしてみたけど事態は改善せず。
- 社内全体で発生していることがわかったのでクライアント PC からログを集めてみた。(いちいちその PC に接続してイベントビューアでフィルタをかけて Userenv のエラーイベントを集める方法しか思いつかなかったので、もっとスマートにこなせる方法を調べておくべき > 自分)
- 集めたログを眺めてみると(実質的にはログを集めてる最中に気づいたのだが)どの PC でも 4/14 以降に発生するようになっていたので月刊 MU の何かがあやしいとこの時点でやっと気づいた。
- 今月の MU でリリースされた更新プログラムのリストを探して、影響がありそうに思えるものを一つずつアンインストールしてログインしてみる作業をして KB980232 がそれだと発見した。(二つ目のトライでうまく見つかったからよかったようなものの、KB 番号がわかった時点で "roaming profiles KBxxxxxx" でググッてみたらもっと楽に問題点が発見できたはず)
- 現時点での直接的な回避策は更新プログラムのアンインストールしかないみたいなので、アンインストールして残ってしまう脆弱性の影響範囲を調べた。外部から SMB の通信を受け入れなければ悪用される可能性は低いらしいことがわかったけれど、WSUS でパッチ管理をしているわけではないから自動更新でまた強制的にインストールされてしまうのを止めることもしておかないといけないことに気づき、今行なうべき作業と将来に行なうべき設定を戻す作業の作業量が馬鹿馬鹿しいほど多いのでもっと楽ができないかと考え始めた。
- 社内には Windows Server 2003 で動いているファイルサーバがあるので、プロファイル用共有フォルダをそちらに移してしまえばこの問題は回避できるし、ついでにあっちのサーバの方が圧倒的にスペックがいいのでファイルアクセスも速くなるに違いないと思いつき、移動のための手順を調べ始めた。
- 問題なくプロファイルが読み込める設定手順がわかり、作業量もこちらのほうが圧倒的に少なくてすむので今回はこちらの方法で逃げることにした。
こんな感じでいちおう解決。今振り返るともう少し早く問題点までたどりつけなかったかと思わないでもない。