■ [PC] Windows2000の設定
(この記事は、サイト「人間ドックについて」で掲載していたものを「かえで通り17番地」に移転、さらにこちらに移行したものです。)
Windows2000の最低限のセキュリティー
筆者の家には稼動中のWindows98やWindowsMeはありません。唯一windows98をアンインストールしていないマシンも、Windows98はMLD Linuxのインストールとブートのためにしか使っていません。(余談ですが、LOADLINでWindows95やWindows98からLinuxを立ち上げると、OSがLinuxに入れ替わります。こういうことができるのがLinuxのいいところです。)なぜこうなったのでしょうか。
答えはただ一つ。Windows98やWindowsMeではユーザーアカウントの管理ができないからです。というか、ユーザーアカウントという概念がありません。立ち上げのときにユーザー名とパスワードを聞いてきますが、あれはMicrosoft Networkに対するログオンであって、ローカルマシンはどんなアカウントを入力しても立ち上がってしまいます。ユーザーを管理できないOSはOSではありません。MS−DOS時代のようなシングルタスク、シングルセッション、ネットワーク環境はむしろ例外的、というのでしたら、DOSで良かったわけです。(DOSという言葉はここではディスクオペレーティングシステム一般という意味で使っています。)DOSとしてはWindows95やWindows98は良くできています。とても使いやすく、とても便利です。しかし、マイクロソフト社はこれらにOSとしてUNIXに比肩する機能を与えることはありませんでした。あくまでもOSもどき、というのがWindows95やWindows98に対する評価として定着してしまいました。
では、マイクロソフト社の製品にはOSは存在しないのでしょうか?そんなことはありません。WindowsNT、そしてその後継としてのWindows2000があります。WindowsNT5.0としての性格を色濃く持つWindows2000では、立ち上げるとUNIXのように、ログインを要求する画面が出てきます。そして、マシンの管理者が設定したユーザーアカウントとパスワードの組が正しいときだけマシンを使うことができます。つまり、WindowsNTになってようやくユーザー管理と言う概念が組み込まれていることが分かります。これは、サーバー製品であるWindows2000サーバーだけでなく、クライアント用途であるWindows2000プロフェッショナルでも同じです。
そんな機能、クライアント専用マシンや家庭用マシンに必要なのか、という質問を良く受けます。しかし、筆者はあえて「絶対に必要である」と申し上げます。最近はフレッツISDNやフレッツADSLなどの常時接続環境の定着により、個人のマシンでもネットワークにつなぎっ放しということが多くなりました。また、ノートPCを会社ではLANにつないでいる人も多いでしょう。DHCPを利用すれば、家庭内LANと会社のLANとを行き来しても、面倒な設定変更は要りません。それだけネットワークにつなぎやすい環境が整っているわけです。もし、会社内で席を離れた隙に侵入者がやってきて、自分のマシンを使って好き勝手やられたら、どうしますか?悪意ある者に端末を提供したことになるとしたら…。また、敵はハッカーばかりではありません。妙なソフトやハードをインストールしたりして、自分自身が自分のマシンを壊してしまうこともあります。こんなときでも、システムに変更を加えるときだけ管理者になって、普段は自分用にユーザーアカウントを一つこしらえ、それを使うようにすれば少しは安心できます。オーナーといえども、いつも環境をいじくってばかりではありませんから、そういつも管理者権限が必要なわけではありません。(管理者権限が必要なことばかりいつもしているのなら、環境オタクと言われても仕方ないですね。)
というわけで、UNIXでは日常の作業は管理者権限では行わないのが常識ですし、Windows2000でもそうすべきですし、それは可能です。ところが、Windows2000でも、WordやExcelで仕事をするだけなのに、次のようにしている人を良く見かけます。
- Administratorでログインしている。
- ログインした時のパスワードが長さ0。
- 前のアカウントがログイン画面に表示されている。
Windowsであることで、Windows95やWindows98の感覚を持ち込んでしまうのでしょうか。特に、2)と3)が一緒になると、誰でもログインできてしまいます。とても危険です。今すぐ止めましょう。
せっかくWindows2000にはUNIXと比肩するだけの管理ツールがあるのですから、次のことだけはたとえエンドユーザーであっても最低限実施すべきでしょう。
- 不要な共有は行わない。
- パスワードを7文字以上に設定しておく。
- 匿名ログオンを不許可にする。
- 管理者(Administrator)は別の名前に変更しておく。
- ダミーのAdministratorアカウントを作っておく。Guestグループにでも入れておけば良いでしょう。このアカウントは使わないようにし、非常に長いパスワードを設定しておき、そのパスワードを忘却する。
- ログオン時に前回のユーザー名を表示しない。
- ログオン時にCtrl+Alt+Delを要求する。
- Guestアカウントを無効にする。
このくらいは最低限できるようでないと、PCを人の迷惑にならないように使うことはできないと思います。自分のマシンの情報を盗まれたり、勝手に使われてハッキングに利用されたら、非常に迷惑(というより損害)を与えます。あと、ユーザー名とパスワードを同じにしたり、パスワードをシステム名や製品名、会社名と同じにしている人がいますが、とても危険です。気をつけましょう。筆者程度のスキルでも簡単にハッキングできてしまうシステムは論外です。
結局、WindowsNT(2000)でようやくIBM−PC/AT互換機はOSと言えるものを持ったと言えます。反面、Windows95の時のように、OSがセキュリティーをサポートしてないから出来ないでは済まされなくなったのです。最低限の自衛策が可能になった以上、それを講じて使わないと、何かあった時に責任追及と謗りはまぬかれない、ということです。知らないからと言って免責されないのが社会の掟なのですから、今上げた程度の簡単な対策の意味が理解できないようでしたら、日経バイト誌のような中級者向けの雑誌で勉強すべきだと思います。筆者も結構セキュリティーホールを放置したままPCを使ってしまって、たまたま攻撃されなかったことで胸をなでおろす、と言うことが大変多いです。人に迷惑をかけないようにPCを使うことでさえ、本当は難しい、そんなことを最近はつとに実感しています。