公共のロビーや図書館,インターネット・カフェ,ホテルなどには,共有のWindowsコンピュータがよく置かれている。企業でも,会議室や待合室に,従業員や訪問者が使う共有コンピュータを置いていることがあるだろう。共有コンピュータを保護するという面倒な作業は,米Microsoftが配布する「Shared Computer Toolkit」という無償ツールで簡略化できる。

 Shared Computer Toolkitには,共有コンピュータを簡単な手順で正しくロックダウンできるウィザードやツール,スクリプトが含まれている。Windows XP Service Pack 2(SP2)をShared Computer Toolkitで保護する手順を,以下の6項目に従って説明しよう。

手順1:共有コンピュータをセットアップする
手順2:ユーザー・アカウントをセットアップする
手順3:ツールキットをインストールする
手順4:ツールキットを設定する
手順5:テストと微調整
手順6:Windowsディスク保護機能を有効にする

手順1:共有コンピュータをセットアップする

 Shared Computer Toolkitは,コンピュータを再起動するたびにWindowsのパーティションを前回正常起動時の状態にリセットする「Windowsディスク保護」というテクノロジを使用する。この動作原理は単純で,同機能を有効にするとWindowsは,プライマリ・パーティションへのすべてのディスク書き込みを,別の隠れパーティションに保存するようになる。コンピュータを再起動すると,Windowsのオリジナル・パーティションがロードされ,隠れパーティションに書き込まれた内容は破棄される。これによって,コンピュータは事実上,前回正常起動時の状態に戻ることになる。

 Shared Computer Toolkitを使うためには,Windowsプライマリ・パーティションのほかに,ディスク復元テクノロジを使うための未割り当てドライブ領域が必要になる。未割り当て領域のないコンピュータにこのツールキットをインストールする場合は,サード・パーティ製のツールでパーティションのサイズを変更するか,システムを再構築する必要がある。

 本来,共有コンピュータは特定用途向けに構築されるべきなので,ここでは最初からやり直して,Windowsセットアップ・プログラムを使ってドライブ総容量よりも少し小さめのプライマリ・パーティションを作成することを推奨する。未割り当てのドライブ領域は,最低1Gバイト,またはプライマリ・パーティションの10%になるように決定する。

 プライマリ・パーティションを作成したら,Windows XPとSP2をインストールする。そして,ローカルの管理者アカウントを使ってコンピュータにログオンし,その時点で提供されているWindowsの修正プログラムなどを適用する。もし,共有コンピュータを会議室に置くのであれば,PowerPointなどのプレゼンテーション用ソフトウエアをインストールするのがよいだろう。

 電子メール・ソフトウエアのように,ユーザーごとの構成が必要なソフトウエアのインストールは避けた方がよい。そうすれば,先にコンピュータを使ったユーザーのアカウントの情報が,後からそのコンピュータを使うユーザーに漏れる心配がなくなる。

手順2:ユーザー・アカウントをセットアップする

 次に,共有コンピュータにユーザー・アカウントをセットアップする。Shared Computer Toolkitは,複数のユーザーが単一の共有アカウントでログオンする場合に,その機能が最大限に発揮される。ただし,複数のユーザーが個々のアカウントでログオンしてアクセスするような共有コンピュータでも,このツールキットを使ってセキュリティを保護できる。

 基本的に,ユーザーがWindows XPに初めてログオンすると,Windowsによって,デスクトップ設定やアイコン,インターネット一時ファイルなど,そのユーザー固有の構成設定を格納する「ユーザー・プロファイル」が作成される。Windowsディスク保護機能が有効になっていると,ユーザー・プロファイルはコンピュータが再起動するたびに削除される。複数のユーザーが単一アカウントでアクセスする共有コンピュータ環境では,プロファイルはそのつど削除されるのが望ましい。また,プロファイルの変更を禁止することも可能だ。

 Windowsディスク保護機能を有効にしながら,個々のユーザー・プロファイルの変更を保存しておく必要がある場合(例:共有コンピュータに複数のユーザー・アカウントでログオンする場合など)は,Windowsのプライマリ・パーティション以外に別のパーティションを作成して,そこにプロファイルを保存するようにWindowsを設定する必要がある。ただし,この設定はあまりお勧めできない。プロファイルが削除されなくなるからだ。

 特に問題となるのは,この設定では,共有アクセスが前提となっているコンピュータに個人情報が残る可能性が非常に高くなることだ。ただし,暗号化ファイル・システム(EFS)などの暗号化機能を使って対策することは可能だ。

 ユーザー・プロファイルの変更を保存する必要がある場合は,その前に,達成しようとしている目標をもう一度確認してみるべきだ。Shared Computer Toolkitを使うよりも,グループ・ポリシーを使ってコンピュータをロックダウンした方が,望ましい効果が得られることだろう。

 Shared Computer Toolkitは,スタンドアロンのコンピュータでも,Active Directoryドメインのメンバーになっているコンピュータでも,どちらでも動作するように設計されている。スタンドアロン・コンピュータをロックダウンする手順と,ドメイン・コンピュータをロックダウンする手順はほとんど同じだが,ドメインで共有コンピュータを動作させる場合は,ドメイン構成に関する検討が必要になる。→例えば,共有コンピュータからドメイン・リソースへのアクセスを有効にするかどうか,グループ・ポリシーを適用するかどうか---などである。例えば,次のような検討項目がありうるだろう。

・ユーザーに共有ローカル・アカウントを使用させ,文書ファイルはUSB接続の周辺機器(メモリーやハードディスク)のほか,CD-ROMといった外部デバイスで持ち運ばせる
・ユーザーに共有ローカル・アカウントを使用させるが,ユーザーには個別のドメイン・ユーザー権限を使ってネットワーク・リソース(ファイル・サーバーなど)も使用できるようにする。その際には,認証情報のキャッシュ機能を無効にする必要がある
・コンピュータにハードディスクを追加して,ユーザー・プロファイルが追加ハードディスク上のパーティションに保存されるように再構成する。Windowsディスク保護機能はWindowsプライマリ・パーティションにだけ適用され,ほかのパーティションにあるデータはすべて保存される。複数のアカウントが必要な場合は,Shared Computer Toolkitに含まれる「Profile Manager」というツールを使って,別のパーティションに新しいプロファイルを作成する
・[マイ ドキュメント]フォルダをネットワーク共有にリダイレクトする。ユーザーがファイルを共有コンピュータの[マイ ドキュメント]フォルダに保存すると,そのファイルはネットワーク上に保存される

 既にActive Directoryドメイン環境があり,そこで共有コンピュータを使うのなら,グループ・ポリシーを使って共有コンピュータの設定の一部を一元管理できる。Shared Computer Toolkitには,グループ・ポリシーをロックダウン機能の大部分を構成できる「管理テンプレート(グループ・ポリシーの設定ファイル)」である「sctsettings.adm」が付属している。また,Shared Computer Toolkitに付属している「Shared Computer Toolkit Handbook」という文書では,ドメイン環境でツールキットを使う場合に便利な手順とその際の注意事項が詳しく説明されている。