デスクトップ ファイルWindows SteadyState で共有コンピューティングを管理する
Wes Miller
過去 10 年ほどの間にコンピュータ室の近くにいたことのある方なら、共有コンピュータの問題についてはよくご存知でしょう。私が最初にこの問題を経験したのは、大学時代でした。当時、コンピュータ室は (学生 ID があれば) 1 日中利用でき、図書館の中に入ってしまえば事実上やりたい放題でした。
そのころのゲーム好きな学生は、コンピュータ室に来てはゲームを実行するために Windows® や MS-DOS® の重要なファイルを変更したものでした。この結果、コンピュータでゲームを正常に実行できるようになる場合もありましたが、Windows は (たとえ実行できたとしても) 正常に実行できなくなりました。共用コンピュータが、使おうとすること自体が時間の無駄になるほどひどい状態になった経験はだれにでもあるでしょう。
最近、私は休暇でここテキサス州のサウス パドレ島に行きました。私が泊まったホテルの "ゲスト コンピュータ室" には、Windows XP を実行する 3 台のコンピュータがありました。利用者全員が管理者としてこの Windows システムを実行し、さらにこれらのコンピュータにはポリシーが設定されていませんでした。つまり、宿泊者が悪意のあるソフトウェアをインストールしたり、主要なアプリケーションの削除や変更を行ったりしたことで、これらの哀れなコンピュータはどれもひどく痛めつけられたのです。ホテル側はこのような方法で利用されるとは想定していなかったでしょう。実際、大学のコンピュータ室であれホテルであれ、公共の環境にある共用コンピュータは、多くの場合、家庭のコンピュータよりも過酷な状況にさらされています。
問題の解決策
SteadyState を入手して使用する
Windows SteadyState は、https://go.microsoft.com/fwlink/?LinkId=104721 から無償でダウンロードできます。SteadyState の詳細については、microsoft.com/windows/products/winfamily/sharedaccess を参照してください。
Windows SteadyState は、Windows XP を実行できるすべてのシステムで動作します。Shared Computer Toolkit (SCT) からの最大の改善点は、SCT では Windows ディスク保護を使用するために 2 つ目のパーティションが必要であったのに対し、SteadyState では不要になったことです。
次の表に、SteadyState の大まかなシステム要件を示します。SteadyState では Windows XP のすべてのバージョンがサポートされていますが、NTFS 形式のファイル システムが必須です。現時点では、SteadyState は Windows Vista® では動作しません。
構成要素 | 要件 |
プロセッサ | 300 MHz 以上 (最小 233 MHz) |
メモリ | 128 MB 以上の RAM (最小要件は 64 MB ですが、パフォーマンスと一部の機能が制限される可能性があります) |
ハード ディスク | Windows ディスク保護を使用しない場合は 1.5 GB 以上の空き領域、Windows ディスク保護を使用する場合は 4.0 GB 以上の空き領域 |
オペレーティング システム | Windows XP Home Edition、Windows XP Professional、または Windows XP Tablet PC Edition (Windows XP SP2 がインストールされている必要があります) |
サポートされているローカライズ版の言語 | 英語、オランダ語、フランス語、イタリア語、日本語、ポルトガル語 (ブラジル)、簡体字中国語、およびスペイン語 |
ファイル システム | NTFS 形式のファイル システム |
アクセス | 管理者レベルのアクセス権 |
この 1 年間私のコラムをお読みになっている方や、Windows の展開全般に詳しい方なら、"たいした問題じゃないね。システムのイメージを再作成するだけさ" と思われるかもしれません。しかし、実際に作業を行った方はおわかりになると思いますが、この作業は必ずしも簡単とは限りません。イメージを再作成するための大きな赤いボタンを毎日、または毎週クリックする労力はなかなか想像できないものです。
数年前、友人と私はインターネット カフェの開業を検討したことがあります。1995 年当時、これはなかなか独創的な考えでした。最大の懸念事項は、実際にシステムの信頼性と可用性を保証する方法でした。残念ながら、当時の対策はすべてのイメージを再作成することが中心で、他にはそれよりも少し堅牢な解決策があるくらいでした。問題をすぐに解決してくれる、いわゆるプラグ アンド プレイの方法はありませんでした。
問題を整理すると、次の 3 つのことが可能になれば、共用コンピュータのセキュリティを保護できます。
- ユーザーが管理者以外のアカウントのみを使用するようにします。特に、共用コンピュータにはこのような機能が必要です。
- システムのセキュリティができる限り強化されるようにポリシーを設定します。これにより、アクセスしてはいけないシステムの領域をユーザーが操作する可能性が低下します。
- ユーザーによる無作為な変更をロールバックできるようにします。ユーザーは管理者以外のアカウントを使用している場合でも、メニューやお気に入りなどに悪意のある変更を加えることができます。
さいわい、マイクロソフトはこの数年間、まさにこのようなシナリオに役立つように設計されたツールセットの開発に取り組んできました。
SteadyState の歴史
1 年ほど前、マイクロソフトは Windows Shared Computer Toolkit (SCT) をリリースしました。SCT は、Windows Genuine Advantage (正規 Windows 推奨プログラム) で検証されたシステムであれば無償でダウンロードできます。このツールキットは、特に図書館、インターネット カフェ、コンピュータ室などの共有コンピューティング環境を念頭に置いて設計されました。SCT については、TechNet Magazine の 2006 年 7 月号 (technetmagazine.com/issues/2006/07/UtilitySpotlight) でご覧になった方もいらっしゃるでしょう。
2007 年 6 月に、新しいバージョンが Windows SteadyStateTM (microsoft.com/windows/products/winfamily/sharedaccess) と名前を変えてリリースされました。このツールセットは、従来のバージョンから機能が大幅に変更されたことなどを理由に、新しいバージョンでは名前が変更されました。この後で説明するように、SteadyState で行われる作業は以前と同じですが、開発チームは、この最新リリースでは全体的な使いやすさに重点を置きました。その結果、SteadyState は新しいコンソールに密接に統合され、簡単にインストールおよび管理できるようになりました。SteadyState はより強力かつ柔軟になり、主要なコンポーネントの 1 つでは Active Directory® の統合がサポートされています。つまり、いくつかのまったく新しい企業のシナリオにおける柔軟性が向上しました。また、SteadyState では Windows Update の統合もサポートされているため、更新プログラムを適用するために Windows ディスク保護を無効にするタイミングが自動的に認識されます。これにより、SteadyState で管理しているシステムの管理オーバーヘッドが軽減されます。
SteadyState の機能
Windows SteadyState は、4 つの主要なコンポーネントで構成されています。コンピュータの制限機能は、コンピュータごとにセキュリティ オプションと構成オプションを制限します。Windows ディスク保護は、Windows システム パーティションの変更をキャッシュして元に戻すことを可能にします。ユーザー アカウント マネージャは、ユーザーの作成、編集、インポート、またはエクスポートを行います。最後に、ユーザーの制限と設定機能は、ユーザーごとにセキュリティ オプションと構成オプションを制限します。
Shared Computing Toolkit から強化された機能の 1 つが、ユーザー向けのヘルプであることにはすぐお気付きになるでしょう。スタートアップ ガイドは、SteadyState の初期設定を行う際に役立ちます。SteadyState では、4 つの主要な作業が提供されます (上記の主要な機能が反映されています)。これらの作業について、以下で詳しく説明します。
- コンピュータの制限の設定 (コンピュータの制限)。
- ソフトウェア更新のスケジュール (SteadyState が自動的に Windows Update を適用するかどうかを指定できます。Windows ディスク保護の動作を自動的に調整したり、いくつかの重要なウイルス対策プログラムの定義ファイルを更新したりすることもできるため、この設定を有効にすることをお勧めします)。
- ハード ディスクの保護 (Windows ディスク保護)。
- 新しいユーザーの追加 (ユーザー アカウント マネージャ)。
ユーザーの追加を行った後、ユーザーの制限と設定の機能を使用して、ユーザーごとに構成オプションを設定できます。
コンピュータとユーザーの制限と設定
Windows グループ ポリシーに詳しい方は、SteadyState のコンピュータの制限の設定機能とユーザーの制限と設定機能について簡単に理解していただけると思います。SteadyState の管理者は、Windows XP Home Edition で使用できないグループ ポリシー オブジェクト エディタ (GPEdit.msc) を使用する必要はありません (SteadyState は Home Edition 上でもサポートされています)。SteadyState では、共有コンピューティングのシナリオでよく使用される、主要なセキュリティ オプションおよび構成オプションが提供されます。
図 1 は、コンピュータの制限の設定機能の構成画面を示しています。これらの設定はすべて、コンピュータ全体に適用される一般的な設定です。これらの設定は、主にシステムのセキュリティ リスクを最小限に抑えることを目的としています。また、USB ドライブへのアクセスに関する設定は、システムからデータが削除される可能性を最小限に抑えることを目的としています (ユーザーごとの設定では、一部、またはすべてのドライブへの読み取りアクセスをブロックできます)。
図 1** SteadyState のコンピュータの制限機能 **(画像を拡大するには、ここをクリックします)
SteadyState が構成された実際の Windows インストールを実行している間のみ、USB の設定が有効になることに注意してください。オフライン攻撃からコンピュータを保護するために、USB デバイスまたは CD-ROM デバイスからの起動をブロックし、BIOS 自体もパスワードで保護されるように BIOS を適切に構成する必要があります。
もちろん、これは完璧な対策ではありません。「セキュリティに関する 10 の鉄則」(microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx) の第 3 条にもあるように、悪意のあるユーザーがあなたのコンピュータに物理的に無制限にアクセスできるとしたら、それはもうあなたのコンピュータとは言えません。多くの場合、専門家が十分な時間をかけて適切なツールを使用すれば、BIOS のパスワードは迂回できます。
Windows ディスク保護
Windows XP Embedded を CD-ROM から使用したことがあるか、Windows PE 2.0 を使用したことがある場合、これから説明する内容に聞き覚えがあることでしょう。その理由は、これらに共通の歴史があるためです。Windows ディスク保護では、Windows システム パーティションを完全に "元に戻す" ことができます。これは、システム パーティションに加えられたすべての変更を同じパーティションのキャッシュに保存することによって実現されます。このコンポーネントは、ユーザーがシステムの使用中に加えた変更を元に戻すことができるため、SteadyState の重要な側面であると言えます。
Windows ディスク保護は、主に、一定の時間が経過した後、システムを (予定外の再起動後や予定した間隔で) 初めて展開したときの状態にすばやくロールバックする必要がある場合に役立ちます。Windows ディスク保護では、ダイアログ ボックスで設定できる次の 4 種類のモードが提供されます (図 2 参照)。
図 2** Windows ディスク保護の構成 **(画像を拡大するには、ここをクリックします)
[オフ] Windows ディスク保護が完全に無効になり、すべての変更が通常どおりディスクに書き込まれます。
[オン] および [再起動時にすべての変更を削除する] Windows ディスク保護が有効になり、コンピュータを再起動するたびにすべての変更が破棄されます。つまり、システムはこのオプションをオンにして保存したときとまったく同じ状態に戻ります。
[オン] および [一時的に変更を保持する] 前のオプションとほぼ同じですが、次の再起動時ではなく指定した日時に変更が破棄されます。日単位または週単位で変更を破棄する場合はこのオプションをオンにします。
[オン] および [すべての変更を永続的に保持する] このオプションの概念は [オフ] と紛らわしいですが、一時的なモードであるという点が異なります。たとえば、アプリケーションの更新プログラムの適用、新しいアプリケーションのインストール、またはシステムの構成を行う必要がある場合、このモードを使用できます。通常、このモードが選択された状態を長期間継続することはありません。
これらのモードの切り替えを Windows ディスク保護に反映するには、コンピュータを再起動する必要があります。
ソフトウェア更新のスケジュール
ソフトウェア更新のスケジュールは、SteadyState に Windows ディスク保護のオンとオフを自動的に切り替える機能を提供するという点で便利な設定です。SteadyState で更新プログラムの適用を管理するように設定すると、更新プログラムの実行中は変更を保持するように Windows ディスク保護が設定され、更新が完了すると Windows ディスク保護は更新前のモードに戻ります。管理作業を 1 つ減らすことができるため、この設定を強くお勧めします。
ソフトウェア更新機能でサポートされているセキュリティ ソフトウェアは、Computer Associates eTrust 7.0、McAfee VirusScan、Windows Defender、および TrendMicro 7.0 です。
ユーザー アカウント マネージャ
[新しいユーザーの追加] を使用すると、システムの新しいユーザーを構成できます。図 3 は、新しいユーザーの構成に使用できるオプションを示しています。具体的には、ユーザー名、パスワード、そのユーザーを表す画像、およびユーザー プロファイルの場所を指定します。ユーザーを作成したら、これらのローカル アカウントごとに制限と設定を構成できます。この機能の優れた点は、システムにアカウントを追加して構成した後、必要に応じて (またはアーカイブ用に) そのユーザー プロファイルをエクスポートして別のシステムにインポートできるところです。
図 3** ユーザー アカウントの追加 **(画像を拡大するには、ここをクリックします)
ユーザー アカウント マネージャの便利な点は、[ユーザーの場所] ボックス (図 3 参照) を使用して、ユーザー プロファイルをプライマリ パーティション以外のパーティションに作成できるところです。通常、セットアップ中に unattend.txt ファイルを使用して手動で別の Documents and Settings の場所を指定しない限り、プロファイルは Windows パーティション上に作成されます。この SteadyState の機能は特に有用です。Windows ディスク保護が有効になっていると Windows システム パーティションに加えられた変更が破棄されるためです。Windows ディスク保護キャッシュの内容が消去された後もユーザーのプロファイルの整合性を維持する必要がある場合は、ユーザー アカウント マネージャを使用してユーザーを作成するときに、そのユーザーのプロファイルが別のローカル パーティションに保存されるように指定します。
この処理のしくみを確認するには、コンピュータを再起動して Windows ディスク保護キャッシュの内容を消去し、更新プログラムを適用してから再びコンピュータを再起動して Windows ディスク保護をリセットします。SteadyState は、Windows Update の更新プログラムを適用するだけでなく、サポートされているいくつかの一般的なウイルス対策アプリケーションの定義ファイルを更新します (補足記事「SteadyState を入手して使用する」を参照してください)。ウイルス対策アプリケーションがサポートされていない場合や、他の更新機能を実行する必要がある場合は、手動で更新を行うことができます。手動で更新する場合は、Windows ディスク保護を無効にしてください。無効にしなかった場合、定義ファイルの更新内容は失われます。
ユーザーの制限と設定
ユーザーを選択すると、ユーザーの制限が 4 つに分類されて表示されます。この分類はグループ ポリシーの設定から派生しているため、おそらくよくご存知でしょう。
[全般] タブの設定は、ユーザー プロファイルと強制的なログオフの構成を制御します。ここでは、プロファイルのロック、ログオフされるまでの使用時間やアイドル時間などを設定できます。
[Windows の制限] タブの設定 (図 4 参照) は、Windows 固有の構成項目を制御します。たとえば、スタート メニューのコンポーネントやエクスプローラの機能など、Windows のユーザー インターフェイス項目にアクセスできないように設定することができます。ドライブ文字を指定して特定のドライブへのアクセスをブロックする機能や、CD-ROM への書き込みを無効にする機能もあります。
図 4** Windows 固有のユーザーの制限 **(画像を拡大するには、ここをクリックします)
[機能の制限] タブ (図 5 参照) では、ほとんどの Internet Explorer® の機能へのアクセスをきめ細かく制御できます。Internet Explorer のホーム ページを設定したり、Microsoft® Office の機能をある程度 (主に Visual Basic® for Applications (VBA) スクリプトの実行) 制限したりすることができます。
図 5** 機能の制限 **(画像を拡大するには、ここをクリックします)
[ブロックするプログラム] タブの設定 (図 6 参照) は、特定のアプリケーションの実行を制御します。基本的には、ブラックリストを作成します。いくつかの一般的なアプリケーションの実行を制限することができますが、他のアプリケーションを追加することもできます。これらの項目はパスの定義に基づいてブロックされます。ユーザーがアプリケーションをシステムの他の場所に移動できる場合、このパスの規則は適用されなくなります。しかし、ファイルとディレクトリに ACL やその他の方法を使用してシステムへのアクセスを正しく制限することで、ユーザーが簡単にアプリケーションを移動できないようにすることができます。
図 6** プログラムの実行のブロック **(画像を拡大するには、ここをクリックします)
SteadyState のもう 1 つの重要な新機能は、Windows の制限と機能の制限の両方の制限レベルが指定された構成済みのテンプレートに基づいています。このテンプレートを使用すると、必要な機能の制限レベルに応じて、基準を満たした構成を簡単に使用できます。もちろん、カスタム テンプレートを作成することもできます。
SteadyState の制限
SteadyState は、組織の共有コンピューティング システムを安定させるための非常に有用なツールです。市販のツールとしては、良いツールと言えます。無償のツールとしては、申し分のないツールです。しかし、万能のツールではありません。
共有コンピューティング システムは、攻撃や意図的でない誤用の被害を受けやすいシステムです。アクセスする必要のない情報から、これらのシステムを隔離する必要があります。SteadyState にはアプリケーションへのアクセスをブロックする機能もありますが、この設定はソフトウェアの制限のポリシーを使用して適用されます。数年前に Mark Russinovich が指摘したように、抜け目ないユーザーであれば、一見無害ながら、制限付きユーザーでもソフトウェアの制限のポリシーによる制限を受けずに実行できるアプリケーションを作成できます (blogs.technet.com/markrussinovich/archive/2005/12/12/circumventing-group-policy-as-a-limited-user.aspx を参照してください)。すべてのデバイスとインターネット アクセスをブロックしていない場合は、この脆弱性に注意する必要があります。常に第 3 条を忘れないでください。
当然ですが、SteadyState は、適切に構成された共有コンピューティング システムの 1 つの構成要素にすぎません。Windows Update で定期的に更新プログラムを適用し、Windows ファイアウォール (または別のファイアウォール) を適切に構成することが重要です。また、コンピュータの潜在的なリスクの分析結果に応じて、ウイルス対策、スパイウェア対策、およびその他のセキュリティ対策プログラムをインストールして構成する必要があります。同様に、コンピュータへのアクセスを制御します。制御できない場合は、コンピュータが表示できる項目を制御します。さらに、機密データはローカルに保存しないようにします。
最後に、プラットフォームを検証する際、SteadyState (使用する予定がない場合を除いて、Windows ディスク保護を有効にします) と、システムで実行するその他のソフトウェアをすべてテストするようにしてください。これらのソフトウェアと SteadyState を同時に実行しても最適に動作するかどうかを確認することができます。
SteadyState のサポート
私が確認した SteadyState に関するユーザーのフィードバックは、非常に肯定的でした。これまでのところ、ユーザーを追加する順番に関する問題など、何件かの小さな問題を耳にしています。この問題の多くは、他のヒントやテクニックと共に、非常に活発な Windows SteadyState コミュニティ (forums.microsoft.com/windowstoolsandutilities) で取り上げられています。SteadyState のアプリケーションとドキュメントでも、このコミュニティへの便利なリンクが提供されています。
また、SteadyState を使い始める前に、SteadyState ハンドブック (go.microsoft.com/fwlink/?LinkId=104722) にも目を通されることをお勧めします。このハンドブックでは、適切に SteadyState を使用するためのたくさんのヒントやテクニックが紹介されています。
まとめ
SteadyState では、アクセスを制御する必要があるすべての Windows XP システムに使用できる優れた機能がまとめて提供されます。そのうえ、SteadyState は無償で入手できます。Windows ディスク保護機能が劇的に改善され、ユーザー インターフェイスが強化されたことで、展開作業と共有アクセス システムの全体的な管理作業が簡略化されました。
SteadyState は、コンピュータ室のシステム、訪問者や従業員向けの共有アクセス キオスク、トレーニング ルームなど、あらゆる共有コンピューティングのニーズに対応しており、より簡単にシステムを稼動させ、維持するのに役立ちます。SteadyState を使用すると、システムを回復させるためだけに毎週イメージを再作成する必要がなくなります。これは大きな進歩だと私は考えています。
Wes Miller は、テキサス州オースティンにある Initiate Systems 社 (InitiateSystems.com) のテクニカル プロダクト マネージャです。以前は Winternals Software 社に勤務し、その後はマイクロソフトでプログラム マネージャとして働いていました。Wes の連絡先は、technet@getwired.com (英語のみ) です。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.