Q&A
いつもご回答頂きありがとうございます。
VisualBatを一時期エディターとしてしましたが、このソフトでexeにコンパイルが出来るようです。
仰るとおり、こちらで事足りそうです。
新規のWindows10 PC(64bit)を一律で設定したく、各種設定・プログラムのインストーラを実行する様なバッチファイルを組んでいます。
バッチファイルには重要な設定やパスワードについてソース上に生で書いている部分があります。
バッチファイルから目立たないようにするため、設定ファイルを用意しそれら機密情報を記載しておりますが、バッチファイルではソースが丸わかりなので読み解きながら進めれば設定ファイルにまでたどり着くことが可能です。
今回、セキュリティ向上としてexeなどの実行ファイルを一つ用意し、そこからバッチファイルを呼び出す様に考えております。
以下の条件で実行ファイルが作成可能なプログラミング言語を探しております。
- 無償
- コンパイルなど暗号化を行い、実行ファイルの意図的に解析させない(会社内なのでそこまで厳密には考えていません)
- 新規PCの設定のために使用するので、実行のためにフレームワークやライブラリなどの実行環境を必要としないものが望ましいです。
以上です。
素人考えなので大いに思い違いをしている可能性がありますが、
ご存知の方がいらっしゃいましたらお教え頂けますでしょうか?
回答3件
0
まず順を追って
1.コンパイル言語
選択肢としては.NET系(C#/F#/VB)、C、Goがいいでしょう。それぞれ注意点だけ述べます。
-
.NET系(C#/F#/VB): Windowsのバージョンによってプレインストールされている.NET Frameworkのバージョンが異なります。今回はWindows 10のみ対象のようですが、同じWindows 10でも1809とか1903といったアップデートのバージョンによっても異なるときがありますので、注意が必要です(特に企業などでLTSBを用いているときは古いままがあり得る)。後方互換がありますので、対象となるWindows 10のうち一番低いアップデートの物にあわせると良いでしょう。最新版や.NET Coreは使わないようにして下さい。
なお、無償のVisual Studio Communityは大企業だと商用利用はできない(OSSとして公開するなら大企業でもOK)ので、コンパイラであるBuild Tools for Visual Studio 2019だけを使って、エディタはVisual Studio Code等を使って下さい。 -
C: 標準Cライブラリ関数のみを使ってMinGW GCCでコンパイルすれば、Windowsにプリインストールされているライブラリ(msvcrt.dll等)のみに依存するプログラムを作ることができます。しかし、C++は別途標準C++ライブラリに依存するため、C++にしてはいけません。また、Visual Studio C++を用いる場合も、そのままコンパイルするとそのバージョンのVisual Studio C++ランタイムに依存してしまうため、使ってはいけません(依存を外す方法はあります)。
-
Goは単体exeを作る方法として、もっとも効果的です。注意事項は特にないと思います。
2.難読化だけが目的
単に見られるのだけを防ぎたいというのであれば、JScriptを難読化する方法があります。JavaScript難読化ツールはたくさんあるので、好きな物を選ぶと良いでしょう。ただし、JScriptはJScriptであって厳密にはJavaScriptでは無いことに注意してください。どんなに難読化しても解析すればパスワードなどはわかります。
私は知りませんが、VBScript等もそういうツールがあるかも知れません。
3.本当に見させたくない場合
本当の意味での暗号化をする以外ありません。作業が少し手間になっていても、exe実行、復号するためのパスワードを入力とする必要があります。いろいろな方法がありますが、手軽に行える方法を私は知りません。
4.ローカルに残らなければ良い
パスワードなどが書かれた設定ファイルは全てファイルサーバー上に置き、一般ユーザーには見えないようにします。作業者はサーバー接続のためのパスワードだけ入力する必要があります(バッチファイルにパスワードを書いてしまうと、バッチを消し忘れたときに大問題になる)。
個人的にはこの方法をオススメします。この方法の利点は、後から設定内容に変更があったとき、ファイルサーバー側のファイルを変えれば良いだけという点です。また、最後に実行ログをサーバー側にアップロードし、集計することで、作業の進捗などを管理できるというのもあります。10年以上前にそうやって端末展開したことがありましたが、特に大きな問題は起きませんでした。
投稿2019/08/22 12:55
総合スコア21735
0
ベストアンサー
エディタで見えなければ良いのであれば、バッチファイルのEXE化ツールでいいのでは?
ググると、複数あるようです。
投稿2019/08/22 06:05
総合スコア84505
0
コンパイルなど暗号化を行い、実行ファイルの意図的に解析させない(会社内なのでそこまで厳密には考えていません)
コンパイルと暗号化は違うんですが、要はバイナリ形式で配布したいってことですねたぶん。
新規PCの設定のために使用するので、実行のためにフレームワークやライブラリなどの実行環境を必要としないものが望ましいです。
メジャーどころのコンパイル型言語だと意外と選択肢が限られるんで、ぱっと思いつくところではGoとか。
ランタイムライブラリ等が不要で、ポータブルなEXEが作成できて、でスクリプト言語ではない、という条件なら満たしている気がします。(自分はほぼ使ったことがないけど)
あとはDelphiとか。(コメントで指摘ありましたが、無償版の利用条件が厳しいのでたぶん候補から外れますね)
言語選びに困ってる人にメジャーじゃない言語を勧めるのもアレなんで、意外と難しい。
投稿2019/08/22 10:12
編集2019/08/22 21:25
総合スコア8949
Windows 10 なので .NET 系の言語は使えますね。C/C++ も大丈夫だし、msi という手も。だけど、この質問者さんに使えなければ意味がないので、バッチの exe 化が一番現実的かもしれません。
バッチのEXE化はもう一つの方の回答と重複しちゃうのと、.NET系は難読化まで言及しないとILSpyとかでソース簡単に覗けるじゃないか、というツッコミが嫌だったので避けてました。(この質問者さん「厳密に考えていない」って書いてるからそこまで問題にならんとは思うけど)
あと.NETは何も考えずに作り出すとOSに入ってるのより新しいバージョンでビルドしちゃう懸念もすげーあったり。
Nim とか Rust とかもありますが、タグからしてバッチのことしか視界に無さそうな気がしたので、よけいなことを言いました。
> 会社内なのでそこまで厳密には
なので、難読化まで考慮する必要は無いのでは?
社内なら USB ストレージや CD にでもバッチファイル入れて刺していけばいいだけの気もするし、セキュリティーも気にしてるのか気にしてないのか要領得ないし、何かよくわかりませんね。
上司に見られたとき、コードがそのまま、見えると説明が面倒とか?
質問者さんの環境が分かりませんので勝手な推測ですが。
あっと、簡単なカギでもあると無いとでは、違うとの事。こっちか。
無償のDelphi Community Editionは年間売上げ5000US$以上の企業では使えませんよ。安易に無料で使えるとは言わない方が良いですよ。
@pepperleafさん
> なので、難読化まで考慮する必要は無いのでは?
えぇ、「質問者さん(中略)問題にならんとは思うけど」と書いてます。
ただ、この質問者さんはそれで良くても、質問の趣旨は「意図的に、かつ手軽に解析される事を防ぎたい」だと思うので、第三者が同様の考えで検索してきた場合に、難読化に触れずに.NET勧める回答を目にするのはむしろ有害なんじゃないかと。
ツールの存在さえ知ってれば、ブラウザの開発者ツールでJavaScript読むのと同じぐらい手軽に読めるんで。
そういう意味ではバッチファイルのEXE化のツールも、ファイルの内容をそのまま読める状態で取り込むようなツールだったら、エディタで丸見えかもしれないんで良くないのかもなぁ、とか、まぁ考え出すと色々ありますけど。
@raccyさん
あぁ、それは確かに。ご指摘ありがとうございます。
コミュニティ版の利用条件にひっかかるなら、今回トライアル版で30日以内に作って試してみて、継続利用するならご購入ですねぇ。.NETもそうだけど、統合開発環境まで全部入りはそりゃタダにはならんか…。
.NET じゃなくても逆コンパイルしたり、あるいはバイナリエディタで見るだけで機密とやらはダダ洩れなので、セキュリティー面においてはそんなに変わらないと思います。
見られてはいけない人に機密の入ったファイルを渡すこと自体が気持ち悪いですが、「社内なので」と軽く扱っているところがよくわからないところです。じゃあ「見ないでね」でいいじゃない、と思います。
そこまで気にするなら、何かあった時に社員を疑わなくて済むよう、CD を持って回って自分で刺して行くのが一番すっきりするんじゃないでしょうかね。一般社員に「ファイルここにあるから自分で実行してね」と言っても忘れたりするので。
@Zuishinさん
まぁ「.NETの逆コンパイルもテキスト埋め込んだバイナリをメモ帳で開くのも大差ないぐらい手軽だな」という主観が大いに入った意見ですので、その点については特に異存ありません。多少の手間の差はあっても、本質的には別の言語でも同じ話ですし。
じゃあどこまでやれば、みたいな話になるのが目に見えていたから.NETを意図的に避けて回答してました。
本来は秘匿情報を扱うなら言語が云々じゃなくてちゃんとした暗号化をしなさい、で終わるんですけど。(鍵の管理の問題とかも含めて)
皆様、ご回答頂きありがとうございます。
また、状況や環境の説明が至らず混乱を招いてしまい申し訳ありませんでした。
今更ですが実行環境をご説明します。
新規セットアップしたクライアントPCからファイルサーバ上のbatファイルを実行して初期設定を行っています。
その際、管理用ユーザをAdministrator権限で作成しているのですが、これまではパスなど私が手入力していましたが、今後は「次点の者でも作業が行える様にしたい」「でも管理用ユーザのためパスワードは教えたくない(私が事故などに遭った場合に限り金庫からパスワードを開示)」という事情がありました。
管理用ユーザ作成後は、タスクスケジューラからそのユーザでファイルサーバ上(管理用ユーザからのアクセスのみ許可)の管理用プログラム(Windows Update実行、セキュリティソフトバージョン収集、などの管理機能)をバックグラウンドで実行しています。
@gentaro様
ご回答頂きありがとうございます。
私の提示した条件が悪い意味で単純なためにかえって難題と化してしまっておりましたが、コンパイル型言語のご案内を頂いてありがとうございます。
実態のbatファイルはそのままに、呼び出し元さえコンパイルされていればひとまずのセキュリティを確保出来ると考えていました。
本来はやはりきちんと暗号化を事前に行うことが鉄則ですよね。
@Zuishin様
ご指摘の部分、ごもっともです。
言葉足らずでしたが、基本的には管理者の私または次点の者で展開するプログラムのため「本格的な逆コンパイルは想定しない」という意味合いで「会社内」と表現してしまいました。
もちろん、利便性を損なわない中でセキュリティは可能な限り最大限確保したいのですが私の軽率な表現のせいで甘くお伝えしてしまい申し訳ありませんでした。
「私以外に副管理者でも作業できるようにしたい」
「バッチファイル内のパスワードは副管理者を含め絶対に見られたくない」
「ファイルサーバ+イントラネットを使用して配信するほどの利便性は極力残したい(現場作業メインの仕事のため各PCの管理者が不在のことが多いのと、マンパワーがあまりないので…)」
「(仰るとおり実行忘れがあるため)社員にはやらせたくない」
矛盾する点もあるかもしれませんが、上記が意図でした。
@raccy様
ご指摘頂きありがとうございます。
@pepperleaf様
ご回答頂きありがとうございます。
私の説明が足りず申し訳ありませんでした。
コードを隠したかったのは「社内の管理用Windowsユーザのパスワードを記載したかった」からです。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/08/26 07:52