こんにちは、阿久津です。唐突ですが皆さんはロック機能を使っていますか? そもそもWindows OSには、離席時にコンピュータの操作を制限するための機能が用意されてきました。当初はスクリーンセーバーにパスワードを施し、スクリーンセーバーを解除するには設定したパスワードの入力を必要とするものでした。
もちろんセキュリティという観点から見れば、実に軽微な防御システムです。しかし、オフィス用デスクの引き出しには、施錠機能が備わっており、個人的なものや秘匿性の高いプロジェクト資料などを入れている方も少なくありません。「人を見たら泥棒と思え」ということわざを引用するまでもなく、世の中何があるかわからないため、セキュリティリスクを下げるための機能が用意されていれば、それを多用すべきなのです。
Windows OSはバージョンアップを重ねるごとにセキュリティに関する機能を強化するようになり、Windows NT 4.0からは冒頭のロック機能が用意されました。家庭でコンピュータをお使いの場合、使用頻度はさほど高くありませんが、第三者が多数立ち入る会社などでは重要な機能です(図01)。
昨日、Windows OSのロック機能に関して友人と話をしたところ、家庭内でも使っている人が意外に多かったことに驚きを覚えました。主な理由として、子どもや甥っ子が勝手にWebブラウザーを立ち上げて遊んでしまうため、離席時にロック機能を実行するとのこと。
我が家では家族用にコンピュータを一台用意し、ネットアクセスやログオン可能時間帯をWindows Liveファミリーセーフティ2011で制限しているため、筆者のコンピュータを使う場面は皆無。そのため、ロック機能を使う場面はありませんでした。
先の話を踏まえてロック機能を改めて見直しますと、はたと気付きました。ログオン中のユーザー名が表示されているのはセキュリティ的にいかがなものかと。もちろんコンピュータ初心者が使用する場面を踏まえて、ユーザー名を示しているのでしょう。
ユーザビリティの向上とセキュリティの強化が、トレードオフの関係にあるのは重々承知です。しかし、セキュリティの観点から見ればユーザー名が表示されているのは芳しくありません。そこで、ロック画面からユーザー名を取り除くチューニングをお送りしましょう。
1.管理者権限でレジストリエディターを起動します。
2.HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Systemキーを開きます。
3.DWORD値「DontDisplayLockedUserId」を作成します。
4.同値を開き、データ値を「2」に変更します。
5.[F5]キーを押してからレジストリエディターを終了します。
これでチューニングが終了しました(図02~07)。
図03: レジストリエディターが起動したら、HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Systemまでキーをたどって開きます |
早速結果を確認しましょう。電源ボタンの<ロック>を選択するか、[Win]+[L]キーを押してロック画面を呼び出します。すると、それまで表示されていたユーザー名(アイコン)が消え、誰がログオンしていたのかわからなくなりました。ロックを解除するには、ユーザー名およびパスワードの入力が必要になります(図08~09)。
実はこのチューニング。ローカルセキュリティポリシーの「対話型ログオン:セッションがロックされているときにユーザーの情報を表示する」の操作結果がDWORD値「DontDisplayLockedUserId」と連動しています。項目名やMicrosoftの技術資料を読みますと、[Ctrl]+[Alt]+[Delete]キーの操作が必要になるモードになるはずですが、同値のデータ値を変更しても正しく切り替わりませんでした(図10)。
図10: DWORD値「DontDisplayLockedUserId」のデータ値は、ローカルセキュリティポリシーの「対話型ログオン:セッションがロックされているときにユーザーの情報を表示する」と連動しています |
何らかの追加設定が必要と想像しますが、ローカルセキュリティポリシーから操作しても結果は変わりませんでしたので、各テスト環境に入れたWindows 7の問題なのかも知れません。この件は宿題とさせてください。
それでは、また次号でお会いしましょう。
阿久津良和(Cactus)