【コラム】

Windows Vistaスマートチューニング

9 Vista移行でパスワード認証されなくなったファイルサーバへの対応

 

9/12

こんにちは。阿久津です。Windows UpdateでWindows Vista Ultimate用の言語パックが公開されていますが、その中から英語版言語パックを導入すると、Windows Ultimate ExtraにWindows BitLocker Drive Preparation ToolとSecure Online Key Backup、Hold 'Emポーカーゲーム、Windows DreamScene Previewが加わるようになります。実のところ、言語パック公開直後から英語版言語パックのみ導入していたのですが、いつまで経ってもWindows Ultimate Extraが追加されないため放置していたところ、他のセキュリティ修正プログラム導入時に、追加登録可能になっていることに気付いた次第です。

簡単ですが各パッケージプレビューをご報告しましょう。まず、Windows BitLocker Drive Preparation Toolは単独のツールとして、プログラムフォルダの「アクセサリ」→「システムツール」→「BitLocker」に納められており、文字どおりBitLockerドライブ暗号化に関する設定準備を簡単に行なうというもの。筆者のデスクトップPCにはTPMチップセットが実装されていないため、これ以上試していませんが、BitLockerを有効にしている方には有益なツールとなるでしょう。

次のSecure Online Key Backupも単独のツールで、プログラムフォルダの「Extrasとアップグレード」に納められていました(コントロールパネルのアプレットとしても追加されます)。Windows Liveアカウントを使用し、BitLocker復元パスワードやEFS復元証明書をMicrosoftのサーバー上でオンライン管理(バックアップ)するというもの。昨日も古い知人から、EFS復元証明書をなくしたためデータにアクセスできなくなったという話を聞きましたので、同設定を行なってセキュリティレベルを高めているユーザーは導入およびパスワード&証明書の管理をお勧めします。

ゲームであるHold 'Emポーカーゲームは文字どおりのポーカーゲームなので割愛し、最後のWindows DreamScene Previewに注目してみましょう。同ツールは今年初めから米Microsoftがデモンストレーションしてきた追加プログラムで、MPEGやWindows Media Video形式の動画ファイルを壁紙にするというもの。導入してみると「デスクトップの背景」が一部英語メッセージに切り替わり、サンプル動画として格納されている「熊」「湖」といったWindows Media Videoファイルを壁紙に設定できるようになりました。

今回配布されたものはプレビュー版のせいか、配布される動画は標準壁紙にアニメーションエフェクトを加えた動画のみ。「\Windows\Web\Windows DreamScene」に約24MBのMPEGファイルが格納され、同ファイルを参照するというものでした。GeForce 7800 GTを搭載し、「Windowsエクスペリエンスインデックス」の「グラフィックス」および「ゲーム用グラフィックス」が、それぞれ「5.9」「5.7」という環境では、CPU負荷も数パーセントと十分実用レベルに抑えられています。またデスクトップのコンテキスト(右クリック)メニューには<Pause DreamScene><Play~>と動画再生をコントロールする項目が加わるため、システム負荷が高い操作を行なうときに動画再生を中断することも可能なので、邪魔な存在にはなりません。ただし、Windows Aeroを有効にしないと動画再生は行なわれず、単色の背景になるため、正式版が登場しても恩恵を受けられるのはMicrosoft Windows Vista Premium Ready PC環境の方に限られるでしょう。

閑話休題。Windows Vistaに切りかえたユーザーのなかにはNASデバイスのファイルサーバーにアクセスすると、パスワード認証が通らなくなった方がおられるのではないでしょうか。これはNASデバイス側のSambaバージョンに起因するトラブルで、そもそもWindows NT系で使用されていたネットワーク認証のひとつNTLMのバージョンによってトラブルが発生しています。Windows NT SP3以前はNTLM(v1)をサポートし、セキュリティレベルを高めたNTLMv2が用いられるようになったのは、Windows NT SP4以降。ちなみに、Windows 9x系で使われていたLM(LANMAN)認証も同時に使用することで、Windows XPまでは互換性を維持していました。

基本的に各認証はチャレンジ/レスポンスという方式を用いています。まず認証を受けるクライアントが要求をサーバーに送り、サーバーは応答としてランダムなハッシュを返信。これがチャレンジ。一方クライアントは、ユーザーが入力したパスワードとチャレンジから特定のアルゴリズムにしたがって合成したハッシュをサーバーに送信します。これがレスポンス。同時にサーバー側でも自らが送信したハッシュを元にレスポンスを作成し、クライアントから送られてきたレスポンスと比較。これが一致すればパスワードの整合性が認められ、認証が完了します。

つまりNASデバイスに実装されたSambaがバージョン2.2以前の場合、NTLM/LM/平文パスワードのみで、NTLMv2をサポートしていません。一方Windows Vistaの標準設定は「NTLMv2レスポンスのみ送信する」設定になっているため、前述のようなトラブルが発生するのです。今週は、この問題を解決するチューニングを行ないましょう。

  1. <スタート>メニュー→クイック検索に「regedit」と入力して[Enter]キーを押す。
  2. レジストリエディタが起動したら、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsaまでキーをたどって開く。
  3. DWORD値「LmCompatibilityLevel」をダブルクリックで開く。
  4. データ値を「3」から「0」に書き換えて、<OK>ボタンをクリック。
  5. レジストリエディタを終了し、Windows Vistaを再起動する。

これで設定完了し、認証レベルは「LMとNTLMレスポンスを送信する」設定に切り替わりました。ちなみにDWORD値「LmCompatibilityLevel」のデータ値が「1」の場合は「サーバーが要求したときのみ、LM/NTLM/NTLMv2レスポンスを送る」。「2」の場合「LMレスポンスを送信せず、NTLMレスポンスのみ送る」。「4」は「LMレスポンスを拒否し、NTLMv2レスポンスのみ送信」。「5」は「LM/NTLMレスポンスを拒否し、NTLMv2レスポンスのみ送信」となります。

ただしLMハッシュには算出方法に問題があるため、一定文字数以下のパスワードは簡単に漏れてしまうという脆弱性が潜んでいます。そのため今回のチューニングは、利便性とセキュリティレベルの低下をトレードオフすることになりますので、その点を踏まえて行なってください。

それでは、また次号でお会いしましょう。

阿久津良和(Cactus)

9/12

インデックス

連載目次
第12回 Windows Vista今後の展望
第11回 アプリケーションの互換性設定をレジストリ操作で行う
第10回 Internet Explorer 7の検索ボックスを無効にする
第9回 Vista移行でパスワード認証されなくなったファイルサーバへの対応
第8回 \Usersの誤共有を防ぐため共有ウィザードの使用を止める
第7回 ユーザーアカウント制御(UAC)を無効にする
第6回 ショートカットアイコンに矢印が付かないようにする
第5回 共有フォルダ内でファイルを右クリックした際の警告メッセージを抑制する
第4回 スタートメニューの「電源」ボタンの動作を変更する
第3回 シンボリックリンクを作成する
第2回 XP/Vistaの特殊フォルダの対応表
第1回 「ファイル名を指定して実行」をスタートメニュー内に表示する

もっと見る

人気記事

一覧

新着記事