こんにちは、阿久津です。昨日つれづれとニュース記事を読んでいたところ、とある図書館でWebページのフィルタリングソフトが削除され、不特定多数に様々なWebページが閲覧できる状態となっていたそうです。筆者自身は図書館に足を運ぶことがないため、このコンピュータがどのような状態だったのかわかりませんが、想像を交えて色々と考えてみました。
まず、同コンピュータを管理していたのが、行政の担当員なのか、民間企業が受注を受けた上で派遣した担当者なのか知りませんが、セキュリティ意識が低かったのではないでしょうか。そもそもセキュリティ対策は、性悪説に基づかなくてはなりません。あらゆる攻撃を前提に対策を講じ、OSやアプリケーションが提供する機能を抑制する必要があります。一見すると特殊な思考パターンのように見えますが、自宅の戸締まりやビルの入館システムなどを思い出せば、さほどパラノイア的ではないことがわかることでしょう。
一方で気になるのが、コンピュータに導入されていたOSです。件のニュースでは、OSの種類まで記載されていませんでしたが、安易にプログラムのアンインストールができることを踏まえますと、一般使用者にAdministrator権限が与えられていたのかも知れません。これがWindows Vista以前のOSの場合、一般ユーザーでもプログラムをアンインストールできるため、異なるパターンも考える必要があります。
例えばWindows XP Home Editionが導入されていた場合、一般ユーザーでもプログラムのインストール/アンインストールが可能なのは改めて述べるまでもありません。また、システム管理者であるAdministratorのパスワード設定をセットアップ時に求めないため、Administrator権限を容易に得ることができます。もちろんWindows XPが云々ということではなく、揺るぎないポリシーを持ってセキュリティ対策を講じれば、OSの種類は問題ではありません(図01)。
|
図01: Windows 7の場合、システム管理者アカウントであるAdministratorは、あらかじめ無効になっています |
本来はコンピュータを導入する業者に依頼すれば、これらのセキュリティ対策を講じることは簡単です。どのプロセスでセキュリティ対策を誤ったのかわかりませんが、件のニュースにおいては、管理責任者や担当者に少なからず問題があったのは明確と言えるでしょう。さて、このようなシチュエーションは、図書館を始めとする公共施設を筆頭に、様々な場面が想定されます。そこで今回は、プログラムの追加と機能を無効にし、使用者の改ざんを未然に防ぐチューニングをお送りしましょう。
1.[Win]+[R]キーを押して「ファイル名を指定して実行」を起動し、テキストボックスに「regedit」と入力してから<OK>ボタンをクリックします。
2.レジストリエディターが起動したら、HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Programsキーまでたどって開きます(ない場合は作成します)。
3.右ペインの何もないところを右クリックし、メニューから<新規>→<DWORD値>と選択します。
4.DWORD値名を「NoProgramsCPL」に変更したら、同エントリをダブルクリックします。
5.値のデータを「1」に書き換えてから、<OK>ボタンをクリックします。
6.<×>ボタンをクリックして、レジストリエディターを終了させます。
7.Windows 7に再ログオンします。
これでチューニング終了です(図02~08)。
|
図02: [Win]+[R]キーを押して「ファイル名を指定して実行」を起動し、テキストボックスに「regedit」と入力して<OK>ボタンをクリックします |
|
図03: レジストリエディターが起動したら、HKEYCURRENTUSER \ Software \ Microsoft \ Windows \ CurrentVersionキーまでたどって開き、Policiesキーを右クリック。メニューから<新規>→<キー>と選択します |
|
図04: 図03で作成したキー名を「新しいキー #1」から「Programs」に変更します |
|
図05: Programsキーをクリックしてから、右ペインの何もないところを右クリック。メニューから<新規>→<DWORD値>と選択します。名前を「NoProgramsCPL」に変更してください |
|
図06: 先ほど作成したDWORD値「NoProgramsCPL」をダブルクリックで開き、値のデータを「1」に変更してから<OK>ボタンをクリックします |
|
図07: 一連の操作を終えたら、<×>ボタンをクリックしてレジストリエディターを終了します |
|
図08: 設定を有効にするため、<スタート>メニューの電源ボタンから<ログオフ>を選択して、Windows 7に再ログオンしてください |
早速チューニング結果を確認してみましょう。<スタート>メニューなどからコントロールパネル経由で、プログラムと機能を起動してください。通常どおり同名のウィンドウが開きますが、「システム管理者によって、プログラムと機能は無効になっています」というメッセージが表示され、既存のプログラムを列挙されなくなりました(図09~10)。
|
図09: <スタート>メニューなどからコントロールパネルを開き、「プログラムと機能」をクリックします |
|
図10: 通常どおり「プログラムと機能」が起動しますが、使用できない旨を示すメッセージが表示されます |
プログラムと機能のナビゲーションウィンドウに並ぶ<インストールされた更新プログラムを表示>をクリックしても、同じように機能が制限されている旨を示すメッセージが表示され、<Windowsの機能の有効化または無効化>はダイアログによるメッセージとなります(図11~12)。
|
図11: <インストールされた更新プログラムを表示>をクリックしても、同様のメッセージが表示されます |
|
図12: <Windowsの機能の有効化または無効化>をクリックしますと、機能が無効になっていることを示すダイアログが起動します |
以前からのWindows OSユーザーであれば、プログラムの追加と削除に関する機能抑制は、HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Uninstallキーの存在を思い出すことでしょう。Windows Vista以降、プログラムのアンインストール関連設定は、HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Programsキーで管理されるように変更されました。ご注意ください。
それでは、また次号でお会いしましょう。
阿久津良和(Cactus)