blog
掲示板オフ会用掲示板電気の話題Widnowsの話題写真館 | その他いろいろベンチマーク管理人よりサイトマップWEBメール

SecurityInformationTOP
1.PW変更/2.ロックアウト/3.Guest無効/4.ダミーアカウント/5.監査設定/6.IIS停止/7.Hotfix/8.MSTK/9.ウイルス対策

[Windows20000]パソコンのセキュリティを高めよう

このコンテンツは、個人が自宅で利用しているパソコンを対象にしています。
システム管理者やネットワーク管理者がいる場合はその指示にしたがってください。

WindowsXPも発売されて、販売されているパソコンの大部分が、WindowsXPかMeになっていますが、Windows20000の話題です。
わたしが、WindowsXPを利用してないだけなんですけどね。(^_^;)
今回の内容は、Windows20000が対象ですが、WindowsXPでも参考になる部分があれば幸いです。

え〜っと、今回の話題は、b-mobileに加入したのもあり、インターネット常時接続環境が簡単に利用できるようになったので、自分の使っているPCの確認もかねて書いています。
内容ですが、1.お金をかけない 2.なるべく簡単な操作でできることを目標にしています。
といっても、管理ツールなどを使うので超初心者には難しいかもしれません。
自分のパソコンを守るだけでなく、パソコンを踏み台にされて人に迷惑をかける原因をつくらないためにもセキュリティをしっかりしたいものです。


内容一覧

1.Administratorの名称変更とパスワードを長文化しよう
2.ロックアウト機能を有効にしよう
3.Guestアカウントを無効にしよう
4.Administratorのダミーアカウントを設定しよう
5.監査を設定して不正侵入をチェックできるようにしよう
6.IISとSNMPサービスの停止を確認しよう
7.Hotfixは必ず適用しよう
8.Microsoft Security Tool Kit CDを入手しよう
9.ウイルス対策は忘れずに


1.Administratorの名称変更とパスワードを長文化しよう

Windows20000を初めて使うときに、Administratorのパスワードを設定したと思います。
Administratorってなんだろう?と思った人も多いはずです。
面倒だから、パスワードなんて覚えられないといって、Enter(return)キーだけ押して、パスワードは空白ということもあるかもしれません。
また初期状態でユーザー名がAdministratorとなっているのでそのままの場合ということもあるとおもいます。

Administratorというのは、Windowsを操作する最大の権限をもっています。

Windows20000では、一台のパソコンに複数のユーザーを作ると、それぞれ他人のファイルを読み書きすることができないようになっています。
Administratorとして操作すると、すべてのファイルを読み書きできますし、ユーザーのパスワードも変更することが可能になります。
外部からの侵入では、Administratorに対してパスワードを破ろうとしてくることがあります。(Administratorとしてアクセスできれば、操作は思いのまま)

まず、ユーザー名を変更することで、ユーザー名をAdministratorと前提としたパスワード破りを防ぐことができます。これは、Administratorというユーザー名を変更しない場合が多分にあるためです。
ユーザー名は、かな漢字を利用したものにすると、英数字を利用したものに比べ、ユーザー名が特定しにくくなります。
そして、パスワードは英数字ですが、大・小文字を区別するので、大・小文字組み合わせたものにしましょう。そして、パスワードは、長文にしましょう。
またできることならロックアウト機能を有効にするためにも、新規ユーザーを作成しそのユーザーを利用して通常利用するようにすると良いでしょう。(ちょっと補足で説明)

操作方法(ユーザー名の変更)

スタート → 設定「コントロールパネル」 → ユーザーとパスワード

Administratorを選んで、プロパティを選びます。

ここで、「このコンピュータを使うには、ユーザー名とパスワードを入力する必要があります」のチェックを必ずつけてください。チェックをしていないとパスワード入力が自動化して、自動ログオンしてしまいます。

ユーザー名に新しいユーザー名を入力します。画面ではNewAdministratorとなっています。
(入力した、ユーザー名を忘れないようにしてください)

操作方法(パスワードの変更方法)

ユーザーとパスワードの画面にもあるように、「Ctrl+Alt+Del」キーを押すことでWindowsのセキュリティという画面が現れます。

このなかの、パスワードの変更を選んで、今使っているパスワード、新しいパスワードを2回入力してください。

ちょっと補足

Administratorですが、ビルドインアカウント(初期設定のAdministratorのこと)は削除することができません。また、ユーザーを追加した場合に、「ユーザーに許可するアクセス権を設定してください」という項目があります。

ここで「その他からAdministrator」を選んだ場合は、Administratorsグループに所属することになります。このAdministratorとAdministratorsグループの違いですが、1.回復コンソール(修復ツール)操作、2.EFS(EncryptingFileSystem)回復エージェントの操作、3.ディレクトリサービス復元モードへのログオンがAdministratorグループではできないということです。
まあ、Windows起動時にF8を押すことで現れるメニューだったりで普通使うことはないはずです。(3.ディレクトリサービスなんて、ActiveDirectory環境が対象だし)

また、ロックアウト機能といって連続でパスワード間違えると、パスワードに使用したユーザー名での使用を不可能にする機能があります。この機能が使用できないアカウントが、ビルドインアカウントである、Administratorになります。Administratorsグループに所属している場合にはロックアウト機能は有効に出来ます。

このあたりの話もあって、通常Administratorとして使用する場合は、Administratorグループに所属するユーザーを新規に作成しロックアウト機能を有効にして利用するのが良いと思います。

操作方法(ユーザーの追加)

スタート → 設定「コントロールパネル」 → ユーザーとパスワード

追加を選びます

ユーザー名を入力します。フルネームと説明は省略化しても問題ありません。

パスワードを2回入力します。(何も入力せずに次へを選べば、パスワードは空白になります)

ユーザーのアクセス権を設定します。
ソフトウェアのインストールなど操作ができない場合があるため、標準ユーザーではなく、その他からAdministratorsを選びます。

続く <2.ロックアウト機能を有効にしよう>


記事について

2002年1月27日に掲載された。
2002年1月28日に一部改訂された。
2002年1月29日に一部改訂された。
2002年2月06日に一部改訂された。