Windows 7プレビュー 2.AppLockerとネットワーク機能デジタルアドバンテージ 打越 浩幸2009/06/11 |
|
AppLockerによるプログラムの実行禁止
AppLockerは、特定のプログラムの実行を禁止したり、指定したバージョンや署名を持っているプログラムのみを実行できるようにしたりするなど、特に業務に不要なプログラムの実行などを制限するために利用できる機能である。従来のグループ・ポリシーでも、「ソフトウェアの制限のポリシー」を利用すれば、特定のファイル名やハッシュ値などに基づいて実行を禁止できたが(TIPS「業務に不要なプログラムの実行をグループ・ポリシーで禁止する」参照)、AppLockerはより柔軟で、多くの条件を使ってプログラムの実行を制御できる。
AppLockerによるプログラムの実行制御は、ローカル・セキュリティ・ポリシーかグループ・ポリシーを使って行う。以下の画面は、ローカル・セキュリティ・ポリシーの起動画面である。[アプリケーション制御ポリシー]の[AppLocker]−[実行可能ファイルの規則]で、禁止したいプログラムのパス(フォルダ名)や実行ファイル名などの条件を作成する。ここではデフォルトの規則に加えて、\Program Files\Microsoft Games\の下にあるプログラム(ゲーム)の実行をすべて禁止するポリシーを定義している(一番下)。
AppLockerによるゲームの禁止例 | ||||||
AppLockerを使うと、特定の場所にあるプログラムやスクリプト、特定のバージョンやプロパティ、ハッシュ値を持つ実行ファイルなどの利用を禁止できる。 | ||||||
|
具体的な禁止規則の内容は次のとおりである。
実行禁止パスの定義例 | ||||||
ここではゲームのフォルダをすべて実行禁止にしている。 | ||||||
|
このポリシーが有効な場合、プログラムを実行させようとすると次のようなダイアログが表示され、ユーザーは利用することができない。
禁止されたプログラムの例 |
これはマインスイーパーを起動しようとしたところ。このようなメッセージが表示され、実行できない。 |
Windows 7(およびWindows Server 2008 R2)のAppLockerでは、このようなパス名による禁止のほか、例えばバージョン・プロパティに含まれるベンダ名やバージョン番号に基づいて禁止したり(例:古いバージョンのプログラムの使用を禁止する)、特定のユーザーやグループに対してだけ許可/禁止する、実行を禁止するのではなく監査だけをする(特定のプログラムを使ったかどうかを監査する)、ルールのインポート/エクスポートなどの機能が強化されている。
BranchCacheによるローカル・サイトでのキャッシュ
BranchCacheとは、子会社や支社など、帯域の細いWAN回線などで接続されたサイトにおいて、支社から本社へのアクセス(ファイル・サーバへのアクセスやWebサーバへのアクセス)をキャッシュして、ネットワークの(理論的な)接続速度を向上させるための機能である。
例えば支社内に多数あるWindows 7のコンピュータが本社のサイトへアクセスする場合、通常は各コンピュータが独立して本社へとアクセスするが、これでは細いWAN回線がますます混雑してしまう。BranchCacheでは、最初の1台がアクセスした結果をローカルにキャッシュしておき、ほかのコンピュータはそのキャッシュからアクセスすることによって、高速化を実現している。
キャッシュできるプロトコルとしてはSMBとHTTP/HTTPS(IPSecやSSL上でも可)がサポートされているし、この機能はWindows OSの基本部分に組み込まれているので、通常のWindows上で動作しているアプリケーションやサービス(Webアクセスやファイル・アクセス、BITSによる転送、WSUSの転送、Windows Media Playerを使った映像など)、ほとんどの場合にその恩恵を受けることができる。
なおBranchCacheを利用するにはWindows Server 2008 R2がサーバ側として必要である。BranchCacheをサポートしたサーバからデータを(遅い回線経由で)受け取ると、Windows 7はそれをローカルにキャッシュし、必要ならそれをほかのコンピュータに対しても送信(発行)できるように準備する(ノード間はHTTPやWSD Distributed Scan Deviceプロトコルを使っているようである)。どの程度までローカルにキャッシュするかや、どこにキャッシュするかといった設定はグループ・ポリシーやnetsh branchcacheコマンドなどで行う。
BranchCacheにはDistributed CacheモードとHosted Cacheモードという2つの運用形態がある。前者は、Windows 7だけでお互いにデータをキャッシュしてやり取りするモードであり、特別なサーバなどを用意しなくてもよいので手軽に利用できる。しかしその分、各コンピュータには若干の負荷がかかることになるし、コンテンツをキャッシュするためにいくらかのディスク容量が必要となる(デフォルトではディスク容量の5%程度までキャッシュする)。これに対してHosted Cacheモードはキャッシュ専用のサーバを用意するモードである。Windows Server 2008 R2をキャッシュ用サーバとして支社側に配置しておくと、このサーバがコンテンツのキャッシュやクライアント(支社内のWindows 7)からの要求に対すてサービスを行う。専用サーバを利用する分だけ、より多くのキャッシュ・サイズや高い性能が期待できる。
ホームグループ
Windows 7では家庭での用途向けに、新しく「ホームグループ」というネットワークの接続形態が導入された。これは従来の「ワークグループ」と「ドメイン」の中間のようなものと考えればよいだろうか。ドメインではどこか1カ所のアカウント情報を集中させて管理していたが、これはセットアップや運用が簡単ではない。一方ワークグループは、個別のコンピュータが単に一カ所に集まっているだけで、特に連携は考えられてはいなかった。すべてのコンピュータで同じユーザー名/パスワードを付けておけば、ほぼシームレスに利用できるが、これは連携とはいいがたい。
Windows 7のホームグループは、家庭内のような閉じた環境において、より簡単に、データ(ファイルやマルチメディア・データなど)を共有させ、活用するための機能である。同一のホームグループに属しているコンピュータ同士は、「ライブラリ」などを使って簡単にデータを共有できるようになっている。ワークグループとドメインはどちらか一方だけしか使わない/使えなかったが、それらの設定を残したまま、ホームグループに入ってデータを共有する、ホームグループから離れて共有を停止する、といったことができる。「ライブラリ」は今までの「マイ ドキュメント」や「マイ ビデオ」などを束ねる仮想的な上位概念のフォルダであり、Windows 7では各種ドキュメントはデフォルトではこの場所に保存されることになっている。ホームグループではこのライブラリを簡単に共有できるようにして、データの共有や相互運用を図っている。
■
以上、3回に渡ってWindows 7の機能の特徴的な概要について概観してきた。これ以外にもさまざまな機能を持つWindows 7であるが、概要編はここまでとする。ITPro向けの機能解説や開発者向けの機能、内部アーキテクチャなどに関する詳細などは、今後、より詳しく連載記事として解説を始める予定なので、お待ちいただきたい。
INDEX | ||
Windows 7 ベータプレビュー | ||
第1回 Vistaからさらに進化したWindows 7の新GUI | ||
1.シンプルになったデスクトップ画面とタスク・バー | ||
2.ウィンドウ切り替えと通知アイコン、UAC | ||
第2回 Windows XP Modeとディスク管理機能 | ||
1.Windows XP Mode | ||
2.ディスク管理ツールの強化 | ||
第3回 ネットワークとセキュリティ機能 | ||
1.BitLocker To Go | ||
2.AppLockerとネットワーク機能 | ||
「製品レビュー」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|