前回の記事で取り上げたActive Direcotyによるセキュリティ対策の徹底では、グループポリシーを使うことで対策の穴をふさぐことができる。グループポリシーは基礎編でも登場したActive Directoryの特徴的な機能の一つ。システム管理者が、コンピュータの動作や設定を強制的に指定するために使う

グループポリシーを使いこなす

 グループポリシーにはWindowsの機能に応じて様々な設定項目が用意されている。先ほどのY商事の例で挙げたWindows Updateの実行と、スクリーンセーバーを使ったパスワード保護もグループポリシーで設定できる。

 Windows Updateを各クライアントで強制的に実施するには、「コンピュータの構成」のうちWindows Updateの設定で「自動更新を構成する」を有効にする図11の上)。これで、クライアントパソコン内のWindows Updateエージェントがマイクロソフトのサーバーに定期的に更新プログラムを確認するようになる。

図11●グループポリシーの適用でセキュリティを強化
図11●グループポリシーの適用でセキュリティを強化
すべてのユーザーにWindows Updateの実行や、スクリーンセーバーの起動を強制するといった使い方ができる。
[画像のクリックで拡大表示]

 さらに、オプションの設定で更新プログラムを自動的にダウンロードするかどうかや、インストールを自動で実行するかどうかを選べる。図11のように「自動ダウンロードしインストールを通知」を選択すると、更新プログラムがあると自動的にダウンロードし、インストールの前にユーザーに通知する。

 クライアントが個別にインターネット経由でWindows UpdateのWebサイトにアクセスするのではなく、システム管理者が更新プログラムを一括してダウンロードし、クライントに社内ネットワークを介して配布するというやり方もある。この場合、WSUSというWindows Updateの更新プログラムを配布・管理するソフトウエアを使う。WSUSを使うと、インストールする更新プログラムをシステム管理者が選択できるほか、クライアントの更新状況などを一覧できる。

 次に、スクリーンセーバーの設定について見ていこう。ユーザーが席を離れている間に、パソコンでの作業内容を見られたり勝手に操作されたりしないようにするには、ログオフしておくことが望ましい。ただし、グループポリシーでは自動的にログオフさせるという設定はできない。

 グループポリシーを活用する場合、コンピュータを操作していないときは自動的にスクリーンセーバーを起動し、パスワードを入力しないと解除できないように設定できる(図11の下)。まず、「ユーザーの構成」のうち「コントロールパネル」の「個人設定」で、「スクリーンセーバーを有効にする」を有効にする。この後、起動するまでの時間を指定し、パスワードで保護する設定を有効にする。