「ファイル単位の共有」は一時利用が前提

 プロトコル・レベルの改善以外に,インタフェースの工夫で追加した新機能もある。任意のファイルに共有を設定できる機能である。これまでは,ファイルに直接共有設定を施すことができず,そのファイルを含むフォルダごと共有するしか方法がなかった。

 ファイル単位の共有機能の設定は次の通り。ファイルを選択状態にして右クリック・メニューを出すと,「共有」の項目が表示される。この項目をクリックすると,共有ウィザードが起動してアクセス権の設定を求められた後にファイルの共有アドレスが表示される(画面1)。

画面1●ファイル単位の共有が可能に
画面1●ファイル単位の共有が可能に
共有フォルダを明示的に作ることなく,直接ファイル共有を作成できる。

 自由度が高まったと言えるファイル単位の共有だが,利用できるのは「Users」フォルダ(旧Documents and Settings)下にあるファイルだけという奇妙な制限がある。というのも,実際には誰でも(everyoneグループ)読み書きできる共有という設定をUsersフォルダに自動設定することで,結果的にファイル単位で共有できるように見せているからだ。

 Usersフォルダの配下にはユーザー・アカウントごとにフォルダが切られており,ユーザーのファイルを格納する場所として使われている。このフォルダが強制的に共有されてしまうと,意図せず個人のファイルが公開されてしまうことになる。

 もう一度「共有」を実行すると解除の設定が可能だが,Usersフォルダの共有は残ったまま。「ネットワークと共有センター」などでUsers共有を解除しなければ,「ドキュメント」や「お気に入り」といったフォルダにアクセスし放題となる。使い方によっては便利な機能だが,利用後に共有設定を解除するといった,一時的な使い方を前提とした機能といえるだろう。

 ファイル単位の共有に限らず,Users下のフォルダに対して共有設定をしようとしても,同様の自動共有が設定される。この挙動を防ぐには,エクスプローラ上でAltキーを押すと表示される「ツール」-「フォルダオプション」-「表示」-「共有ウィザードを利用する(推奨)」の設定をオフにする。詳しくは次回に解説するが,ドメイン環境であればグループポリシーで「ユーザーがプロファイル内のファイルを共有できないようにします。」の項目を無効にしてしまうのも手だろう。

Samba 2.xとの互換性に注意

 Vistaのファイル共有機能は,プログラムとしてはVista以前のWindowsと互換性がある。ただ盗聴の危険性を少なくするために,安全度の高い認証方式をデフォルト設定にしたことから,従来のファイル・サーバーやNASにアクセスできない場面が出てくる。

 具体的には,Vistaでは「NTLMv2」と呼ぶ認証方式の利用を標準とした(画面2)。このNTLMv2に対応していないOSだと,認証に失敗してエラーとなる。例えばSambaのバージョン2.x以前は,NTLMv2に対応していない。現行のバージョン3.xはNTLMv2に対応しているものの,自由にソフトウエアのバージョンをアップデートできないNASなどではVista側の設定を変える必要が出てくる。

画面2●Windows Vistaがデフォルトで利用する認証レベルの設定画面
画面2●Windows Vistaがデフォルトで利用する認証レベルの設定画面
Windowsが持つファイル共有の認証方式のうち,総当たり攻撃によるパスワードを解析するのに必要な計算量が最も多いNTLMv2認証が初期設定となっている。Samba 2.xなどNTLMv2非対応のSMBサーバーにアクセスするには,「ローカルセキュリティポリシー」や「グループポリシー」で認証レベルを下げる必要がある。

 NTLMv2を使わないようにするには,「ローカルセキュリティポリシー」や「グループポリシー」といった管理ツールで,NTLMv2を強制しない設定に変える。例えばVista以前のOSは,Windows Server 2003と64ビット版XPであれば「NTLM応答のみ送信する」という6段階中2番目にセキュアな設定,Windows 2000/XPであれば「LMとNTLM応答を送信する」最低レベルの設定がデフォルトである。

 XPがレベル0の設定になっているのは,LM認証しか利用できないWindows 98/Meなどとの互換性を保つため。ただし,LM認証のハッシュは生成アルゴリズムが流出しており,最近のパソコンであれば数時間もすればパスワードを割り出せる。

 Samba 2.xはNTLM認証に対応しているので,Windows Server 2003および64ビット版XPのデフォルト設定となった「NTLM応答のみ送信する」というレベル2の設定にするのが無難だろう。