Q

最近,ワークグループ構成でWindows XP Professionalを使い始めました。当初,Guestアカウントを無効にしていたのですが,ふと気づくとコントロール・パネルの[ユーザーアカウント]では[Guestアカウントをオフ]になっているにも関わらず,[コンピュータの管理]-[ローカルユーザーとグループ]から確認すると,Guestアカウントに無効の印が付いておらず有効になっていることに気付きました。


図1●Guestアカウントを無効にすると,ファイル共有を設定しようとした際に警告画面を表示するようになる

 そこでGuestアカウントを無効にしたのですが,今度はファイル共有が警告メッセージが表示されている初期状態の画面に戻ってしまっています(図1)。仕方がないので,[ファイル共有を有効にする]を選択したのですが,すると先ほど無効にしたはずのGuestアカウントが再び有効になってしまいました。しかし,依然として[ユーザーアカウント]の画面で確認すると[Guestアカウントはオフ]のままです。

 なぜ,このようなことが発生するのでしょうか?

A

Windows XPのログオンやセキュリティの設定は,ユーザーの利便性を向上させる狙いで,いくつかの機能が追加されるとともに,ユーザー・インターフェースが大きく変更されています。そのため,従来からのユーザーにとっては,戸惑う面も大きいと思います。


△ 図をクリックすると拡大されます
図2●「ユーザーアカウント」で「Guestアカウントをオフ」の設定をするとローカル・ポリシーの「ローカルログオンを拒否する」の対象アカウントとしてGuestが追加される

[Guestアカウントのオフ]設定は
ローカル・ログオンのみ拒否

 まず,[ユーザーアカウント]で[Guestアカウントをオフ]にしても,従来のWindows 2000/NTにおける「アカウントの無効化/有効化」のような処理はいっさい行われません。実際には,ローカル・ポリシーの[ローカルログオンを拒否する]というポリシーの対象アカウントとしてGuestを追加するだけです(図2)。

 この[ローカルログオンを拒否する]ポリシーに列挙されたアカウントは,コンソールからのログオンが拒否されるほか,「ようこそ」画面のアカウント一覧にも表示されなくなります。ただし,この場合でもアカウントそのものは有効なため「ネットワーク経由のログオン」権限があれば,ネットワーク経由で該当マシンの共有に接続することは可能なのです。

 このような,[ローカルログオンを拒否する]ポリシーを適用する影響は,すべてのアカウントについて同様です。ただし,Guestアカウントに関しては[ユーザーアカウント]の画面で「アカウントのオン/オフ」という設定があるため混乱するということです。

 次に,ファイル共有を有効にするとGuestアカウントが勝手に有効になってしまう現象について説明します。

 この処理をしているのは,Windows XPの[簡易ファイルの共有]画面です。この画面が有効になるワークグループ構成で,最初にファイルを共有しようとすると図1の警告画面が現れます。ここでファイル共有を有効にするか,ウィザードを利用して設定した場合にGuestアカウントが有効になります。

 この[簡易ファイルの共有]画面は,Windows 9xマシンで実現されていた共有レベルのアクセス制御と“似た”アクセス制御を,Windows XPで実現しようとしています。そのために,アクセス制御としては[ネットワークユーザーによるファイルの変更を許可する]のチェックボックスだけで,[読み取り]か[読み取りおよび書き込み]のいずれかを選択する簡単な操作画面になっています。

 この設定内容は,内部的にはEveryoneに対するACL(Access Control List)として設定されます。それと同時に,レジストリの
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\LSAというキーにREG_DWORD:ForceGuestという新しい値を追加しています。[簡易ファイルの共有]機能を有効にすると,この値を1にして,ネットワーク経由でのアクセスを強制的にGuestアカウントとみなすという設定になります。

 結果としてアクセスするユーザーはすべてGuestとして認証され,Everyoneに対して設定した[読み取り]か[読み取りおよび書き込み]でのみ,ファイル・アクセスが制御されるようになるわけです。このような機能を実現するためにGuestアカウントが必要で,簡易ファイルの共有機能を有効にすると同時にGuestアカウントも有効になるわけです。

セキュリティが気になるなら
[簡易ファイルの共有]は無効に

 このように簡単にファイルを共有できる[簡易ファイルの共有]機能ですが,セキュリティ面では決して推奨できるものではありません。

 Windows NT/2000と同様に,共有に対して詳細なアクセス権を設定したいという場合は,[フォルダオプション]で[簡易ファイルの共有]機能を無効にしてください(図3)。これにより,従来と同様の共有設定画面やファイルのコンテキスト・メニュー中の[セキュリティ]メニューからのNTFSアクセス権の設定が可能になります。


△ 図をクリックすると拡大されます
図3●[フォルダオプション]で[簡易ファイルの共有を使用する]のチェックを外せばワークグループで利用している場合でもフォルダ単位でのアクセス制御が可能になる

 なお,ドメインに参加しているWindows XPでは,この設定に関わらず[簡易ファイルの共有]は自動的に無効になります。逆にWindows XP Home Editionでは,[簡易ファイルの共有]画面を無効にしたり,ForceGuestレジストリの値を設定したりすることは仕様上できません。設定しても無視されますので注意してください。これらの一連の動作に関しては,マイクロソフトのWebサイトに説明があります(該当サイト)。

 また,[簡易ファイルの共有]機能の詳細については,サポート技術情報の中に「JP304040,Windows XPのファイル共有およびアクセス許可について(該当サイト)」や「JP290403,ワークグループにインストールされているWin XP Proでセキュリティを設定する方法(該当サイト)」といった情報があります。

高橋基信