Windows TIPS

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ セキュリティを強化して公共の場所にPCを設置する（2） ―― Microsoft Shared Computer Toolkitを使う ―― → 解説を読む デジタルアドバンテージ　打越 浩幸 2006/12/09

操作方法

ディスク領域の準備

　SCTを導入するには、まずベースとなるWindows XP SP2（Windows XP ProfessionalもしくはHome Edition）コンピュータを用意する（ドメインでもワークグループ構成でも可）。ただし1つだけ重要な要求条件がある。ハードディスク内に、10％以上（もしくは1Gbytes以上）の「未割り当て領域」が残っている状態でなければならないということだ。この領域にはシステムの保護で使われる情報が保存される。また、システムに装備されているディスク・ドライブは1台で、システムがNTFSのC:にインストールされている必要もある（ユーザー・データ用に1つだけ別パーティションを確保することも可）。ディスクの管理ツールで見ると、次のような状態になっている必要がある。

SCTを導入する前のディスクの状態

これはディスクの管理ツールで見た、SCT導入前のディスクの状態。

システム・ドライブはC:。 　 ベーシック・ディスクのみサポート。ダイナミック・ディスクは不可。 　 ファイル・システムはNTFSであること。 　 ドライブは1台。この例では38Gbytesのうち、システムを28Gbytes、未割り当てを10Gbytesとしている。ベーシック・ディスクにすること。 　 システム・パーティションの種類はプライマリ・パーティションであること。拡張パーティションは不可。 　 未割り当ての領域。プライマリ・パーティションの直後に存在すること。このサイズは、ディスク全体の10％以上（最低は1Gbytes）。マルチメディア関連の処理を行うなど、ユーザー・セッション中で行う操作によっては、より大きなサイズが必要になるので注意。 と の間に、1つだけなら、データ用（D:など）のプライマリ・パーティションが存在しても構わないが、2つ以上は不可。

　残念ながら、稼働中のシステムのディスク・レイアウトをこのように変更することは、Windows XPの標準機能だけでは不可能である。市販のディスク・パーティション操作ツールを使うか（サードパーティ製のディスクを購入すると、このような“ディスク領域の引越し”ツールが付属していることがある）、Windows XPを新規インストールするときに、あらかじめいくらか領域を残しておくようにすればよい。

SCTツールのインストール

　システムの準備ができたら、以下のリンクからSCTのアドオンをダウンロードし、実行してインストールする（管理者権限のあるアカウントで操作すること）。

• Microsoft Shared Computer Toolkit for Windows XPのダウンロードページ（マイクロソフト）

　インストールの途中でディスク・レイアウトのチェックが行われ、条件を満たしていない場合はエラーとなる。また最初の段階で「User Profile Hive Cleanup Service（UPHClean）」というサービスのチェックが行われ、未インストールの場合は（通常はインストールされていないはず）、UPHCleanコンポーネントのダウンロード・ページが表示されるので、指示に従い、ダウンロード後インストールする。その後、SCTのセットアップを再開する。

SCTウィザードによる段階的セットアップ

　SCTのインストールが終了すると、次のようなウィザード画面（「はじめに」ツールという）。

「はじめに」ツール

SCTを段階的に設定するためのツール。手順1などと書かれた青い部分をクリックすると、設定項目が表示されるので、チェック・ボックスをオンにしたり、ツールを起動したりして設定を進める。ツールは、上部にあるアイコンをクリックしても起動できる。

これらのボタンをクリックすると、補助ツールをすばやく起動できる。 　 各手順ごとにまとめられている。この部分をクリックすると、詳細な内容が表示される。 　 手順ごとの内容。現在の状態やヘルプ、補助ツールの起動などができる。

　以下の設定は、すべてこのツールの手順通りに行えばよい。以下簡単に、各ステップごとの設定とその内容にについて説明しておく。

SCT設定の手順1―ディスク保護の状態の確認

　これは単なる確認画面である。SCTの設定中はディスク保護を「オフ（無効）」にしておき、運用段階では「オン（有効）」にする。以下の操作の前に、オフになっていることを確認する。

SCT設定の手順2―セキュリティ設定の確認

　以下のような、セキュリティ関連の設定を行う。いずれもWindows OSのシステム・ポリシーで設定できるものである。これらを厳格に設定することにより、システムが破壊されたりするのを被害を防ぐことができる。

セキュリティの設定

不要なユーザー名の表示を抑止したり（ただ1つのアカウントのみが表示されるようにする）、ユーザー領域以外への書き込みを禁止するなどの設定を行う。

設定内容。これらをオンにすると、より制限の強い共有コンピュータになる。

SCT設定の手順3―共有用のパブリック・アカウントの作成

　次は「パブリック・アカウント」を作成する。これは、ようこそ画面に表示される、共有コンピュータにログオンするための制限ユーザー・アカウントである。この手順では、Windows OSに付属のユーザー管理ツールが起動される。「パブリック」という名称で作ることが推奨されているが、別の名前でもよい。アカウント名に日本語文字を使うとうまく動作しないアプリケーションもあるようなので、「public」というアカウントを作成し、その後「パブリック」に名前を変更してもよいだろう。

SCT設定の手順4―パブリック・アカウントのプロファイル設定

　次はパブリック・アカウントの初期状態を設定する。まず現在のアカウント（SCTを設定しているアカウント）からログオフし、ようこそ画面に表示されているパブリック・アカウントで実際にログオンする。そして、背景の設定やメニューなどのカスタマイズ、動作確認を行う。さらにプリンタを設定したり、Windows Media Player（や、インストール済みのOfficeなどのアプリケーション）などを起動し、必要な初期設定を行う（Media Playerでは、初期設定としてコンピュータ内のメディアの検索も実行しておくこと）。AcrobatやFlash Playerなど、Webサイトを閲覧するために必要なアプリケーションなどもインストールしておく（この操作は、場合によっては最初に管理者アカウントで行っておく必要があるかもしれない）。アプリケーションによっては、初回起動時にユーザーに同意を求めたり、初期設定を行うものがあるので、それらを1度起動し、設定を済ませておく。さもないと、後でユーザーがログオンしてアプリケーションを起動するたびに、また初期設定画面が表示される。

　すべての設定を済ませたら、再度パブリック・アカウントでログオンして、正しく機能しているか確認する。その後、管理者アカウントで再ログオンして、SCTの残りの手順を進める。

SCT設定の手順5―パブリック・アカウントのプロファイルの制限とロック

　次は、パブリック・アカウントのユーザー・プロファイルで許可する項目／制限する項目などを設定する。これらの設定を有効にすると、パブリック・アカウントで設定を変更しても、それらは保存されず、ログオフした場合にはすべてその内容が破棄される。またメニューから特定の項目を削除したり、特定のプログラムを起動できないようにするなど、システムの設定を変更するような操作をすべて禁止することができる。

プロファイルの制限とロック

ここでは許可する項目や制限する項目、Windows OSの挙動などを設定する。

設定するパブリック・アカウント。 　 ホームページ。このようなカスタマイズも可能。 　 特定のドライブへのアクセスを禁止する。 　 ログオフと同時に再起動し、すべての変更を完全にキャンセルさせる。 　 アカウントに対する制限。例えばメニュー項目を制限したり、起動するアプリケーションを制限したりする。

SCT設定の手順6―パブリック・アカウントのプロファイルのテスト

　次はパブリック・アカウントをテストする。いったんログオフし、ようこそ画面のパブリック・アカウントでログオンする。そして設定した制限が正しく機能しているか、Webブラウズや許可したアプリケーションなどが問題なく実行できるか、などを確認する。不具合があれば前の手順へ戻り、再設定する。

SCT設定の手順7―ディスク保護の有効化

　テスト終了後、管理者アカウントでログオンし直し、手順7のディスク保護を実行する（最初の1回は、ディスク保護のサービスをインストールするため、システムが再起動する）。

ディスク保護の設定

再起動時に、システム（ディスク）に加えられた変更を反映するか、それとも破棄するかなどを設定する。システムに加えられた変更は、実際には未割り当て領域内に記録されており、それを再起動時に破棄することによってディスク保護を実現している。アカウント制限などをほとんど行わず、このディスク保護機能だけを使えば、例えば実験用のコンピュータにおけるシステムの保護（再起動するとすぐに元に戻る）などにも活用できるかもしれない。

ディスク保護のオン／オフの指定。 　 デフォルト設定。再起動時に、以前の変更結果をすべて破棄する。 　 修正プログラムの適用や、ウイルス対策ソフトのパターン・ファイル更新更新など、システムへ加えた変更を再起動後も有効にするためには、これらを利用する。

　ここではシステムの再起動時の動作を設定する。デフォルトでは［再起動のたびに変更をクリア］が選択されているが、これはシステムを再起動すると、前回電源オンの間にシステムに加えられた変更はすべて破棄される、という意味である。つまり電源をオンにし、パブリック・アカウントでログオンして操作した結果はもちろんのこと（これは通常ログオフ→ログオンで初期化される）、管理者アカウントとしてログオンして操作した結果も含め、すべて破棄される。例えば新しくファイルを作成したとしても、システムを再起動するとその結果は破棄され、なくなってしまう。

　ただし、新しいプログラムのインストールなど、いちいち破棄されては困る場合に備え、変更結果をディスクに（永久的に）反映することも可能である。自動更新の場合は、この機能が自動的に有効になるので、セキュリティ・プログラムは自動的に適用される。手動で適用する場合は、1度ディスク保護を無効にするか、［次の再起動時に変更を保存］などを実行する。

　ディスク保護のしくみは、Virtual PC／Virtual Server 2005の差分ディスクや復元ディスクのようなものだと考えればよいだろう。ディスク保護が有効になっている場合、システムに対して行われたすべての変更は特別な場所（ディスクの未割り当て領域内）に記録され、それを破棄すると以前の状態に戻り、システム・パーティションに反映すると、それが恒久的に有効になる。そのため未割り当て領域のサイズは、ユーザーの作業内容などに応じて増やす必要がある。

　このウィザード画面で［OK］をクリックすると、ディスク保護が有効になり、さらにシステムが再起動する。システムが再起動すると、もうすでに共有コンピュータとして機能しているので、動作を確認する。

SCT設定の手順8―ヘルプの参照

　手順8は単にハンドブック（Acrobatのヘルプ・ファイル）を起動するためのものであり、特に意味はない。

■

　以上簡単にSCTの設定方法について簡単に説明したが、詳細はヘルプ・ファイルや手順8のハンドブックを参照していただきたい。

　なおSCTを導入していても、管理者アカウントを知っていれば、［Ctrl］＋［Alt］＋［Del］キーを押してログオンすることは可能である（コンピュータを管理する場合は、このようにしてログオンし、管理ツールを起動して再設定などを行う）。SCTでは、ディスク保護以外の仕組みは基本的にはWindows OSが持っていたものをほぼそのまま利用している。そのため特別な操作方法の習得の必要もなく、既存のアプリケーションもほぼそのまま利用できる。最初のディスクの設定だけは少し面倒であるが、それ以外は特に難しくないので、不特定多数のユーザーにサービスするようなケースでは是非とも活用するとよいだろう。

	関連記事（Windows Server Insider）
		Windows TIPS：仮想マシンにおける差分ディスクと復元ディスクの違い
		Windows TIPS：仮想マシンの終了方法を理解する（Virtual Server 2005編）

INDEX
	Windows TIPS
	セキュリティを強化して公共の場所にPCを設置する（1）
	セキュリティを強化して公共の場所にPCを設置する（2）

　

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）