■その道のプロしか知らない,知らずにいるとあとで怖い思いをする「常識」を紹介する集中連載の第3回。
■今回は,「暗号化ファイル・システムのトラブル対策」「パソコン盗難には無防備なNTFSアクセス権」「設定した覚えのないGuestアカウントが有効になる」——などの話題を取り上げる。


暗号化ファイル・システムを使うと
Windows Updateができなくなる

 Windows XPが標準で備える暗号化ファイル・システム(EFS)機能は,便利である半面,利用方法を間違えると様々なトラブルを引き起こすことをご存じだろうか。特に注意しなければいけないのは,「暗号化していい場所」と「暗号化してはいけない場所」があることだ。

 もし,「暗号化してはいけない場所」を暗号化してしまうと,最悪の場合,システムが起動しなくなったり,Windows Updateができなくなったりしてしまう。アプリケーションのインストールが失敗することもある。ここでは,こうしたトラブルがなぜ発生するのか紹介しよう。

「自分のフォルダ」だけにすべし
 まず,Windows XPのEFSで「暗号化していい場所」は,「Documents and Settings\ユーザー名」で示される自分のユーザー・プロファイル・フォルダと,ユーザーが自分で作成したフォルダだけである。それ以外のフォルダは,原則として暗号化しないのが無難だ。

 特にまずいのは,Cドライブ全体を暗号化しようとしたり,「Documents and Settings」フォルダ全体を暗号化する行為である。

△ 図をクリックすると拡大されます
図7●システムでさえ暗号化ファイルを利用できない
 EFSで暗号化したファイルを復号化できるのは,基本的にファイルを暗号化したユーザーだけであり,ほかのユーザーはそのファイルを利用できなくなる。Windows XPでは,システム自体も「System」という名前を持つユーザー・アカウントで動いているので,システムもそのファイルに読み書きできなくなってしまう(図7)。もし,暗号化したフォルダやファイルがシステムが利用するものである場合,トラブルが発生するのだ。

 まず,システムの起動時に参照される「C:\Autoexec.bat」ファイルが暗号化されていると,システムの起動に失敗することがある。

 またOSの更新プログラムが利用する「C:\Temp」フォルダが暗号化されていると,OSの更新プログラムの適用に失敗する。OSの更新プログラムはシステム権限で動作し,Tempフォルダに一時ファイルを書き込むからだ。