連載
» 2010年10月15日 05時00分 公開

Tech TIPS:Windows 7で安全なGuestアカウントを作る

外部からの訪問者が利用するコンピュータにGuestアカウントを作成したいことがある。デフォルトで無効になっているGuestアカウントを有効にするだけではセキュリティ上の問題が残る。シャットダウンできないようにするなどの制限を加える必要がある。

[小林章彦,デジタルアドバンテージ]
Tech TIPS
Windows Server Insider


「Tech TIPS」のインデックス

連載目次

対象OS:Windows 7



解説

 Guestアカウントは、ソフトウェアやハードウェアのインストール、設定の変更、パスワードの作成が行えないため、訪問者などの外部ユーザーにコンピュータの一時的なアクセスを許可するのに便利なアカウントだ。しかし単にデフォルトで設定されているGuestアカウントを有効にしただけでは(Windows 7ではデフォルトで無効になっている)、いくつかのセキュリティ上の問題が残ってしまう。

 そこで、本TIPSではGuestアカウントを作成する際に最低限設定しなければならない項目を解説する。なおWindows 7 StarterではGuestアカウントが使用できないので注意していただきたい。

操作方法

●Guestアカウントを有効にする

 Windows 7ではGuestアカウントがデフォルトで無効になっているので、まずGuestアカウントを有効にする。Guestアカウントを有効にするには、[コントロール パネル]−[ユーザー アカウント]を開き、[別のアカウントの管理]をクリックする。この際、ドメイン・アカウントでログオンしていると[別のアカウントの管理]は表示されないので、一度、ログオフして管理者権限を持つローカル・アカウントでログオンし直すこと。

[ユーザー アカウント]の画面 [ユーザー アカウント]の画面
ローカル・コンピュータに管理者権限を持つアカウントでログオンし、[コントロール パネル]−[ユーザー アカウント]を開く。
  (1)[別のアカウントの管理]をクリックする。→[A]

 「変更するアカウントを選択してください」の画面の中に、オフ(無効)になっているGuestアカウントがあるので、[Guest]をクリックし、「Guestアカウントをオンにしますか?」で[オン]ボタンをクリックする。これでGuestアカウントが有効化される。

[A]

Guestアカウントを有効にする Guestアカウントを有効にする
オフ(無効)になっているGuestアカウントをクリックし、次の画面で[オン]ボタンをクリックする。これでGuestアカウントが有効化される。
  (1)オフになっているGuestアカウントをクリックする。

●パスワードをGuestアカウントに設定する

 デフォルトではGuestアカウントに空のパスワードが設定されている。当然ながら、これでは誰でもログオンできてしまうためセキュリティ的に望ましくない。そこで、Guestアカウントにパスワードを設定する。

 [管理ツール]の[コンピュータの管理]アプレットを開き、[ローカル ユーザーとグループ]で、ユーザー名「Guest」を右クリックし、メニューの[パスワードの設定]を選択する。警告メッセージが表示されたら、[続行]ボタンをクリックする。パスワードを入力し、確認用のパスワードを再度入力してから、[OK]ボタンをクリックすると、パスワードが設定される。パスワードは、なるべく短い期間で変更するようにした方がセキュリティ的に望ましい。

[ローカル ユーザーとグループ]の画面 [ローカル ユーザーとグループ]の画面
[コンピュータの管理]の[ローカル ユーザーとグループ]で、ユーザー名「Guest」を右クリックし、メニューの[パスワードの設定]を選択する。これでGuestアカウントにパスワードを設定できる。

●ネットワーク経由でGuestアカウントを使用できないようにする

 Guestアカウントでほかのコンピュータからアクセスできてしまうと、別のコンピュータのユーザーがGuestアカウントを使用してログオンしてしまうことがある。これにより、誤って大事なデータをGuestアカウントで読み書きできるフォルダに保存してしまうなどの危険性がある。

 そこで、ネットワーク経由でGuestアカウントを使用できないように設定する。[管理ツール]の[ローカル セキュリティ ポリシー]ツールを起動し、左ペインで[ローカル ポリシー]−[ユーザー権利の割り当て]を選択する。右ペインの[ネットワーク経由のアクセスを拒否]ポリシーをダブルクリックして開き、Guestアカウントが含まれているかどうかを確認しておく。もしGuestが含まれていなければ、[ユーザーまたはグループの追加]ボタンをクリックしてGuestアカウントを追加する。

[ローカル セキュリティ ポリシー]ツールの画面 [ローカル セキュリティ ポリシー]ツールの画面
[ローカル セキュリティ ポリシー]ツールの左ペインで[ローカル ポリシー]−[ユーザー権利の割り当て]を選択し、右ペインで[ネットワーク経由のアクセスを拒否]をダブルクリックする。
  (1)左ペインで[ローカル ポリシー]−[ユーザー権利の割り当て]を選択する。
  (2)[ネットワーク経由のアクセスを拒否]をダブルクリックして開く。→[B]

[B]

[ネットワーク経由のアクセスを拒否]プロパティの画面 [ネットワーク経由のアクセスを拒否]プロパティの画面
ネットワーク経由のアクセスを拒否に「Guest」が含まれてない場合、[ユーザーまたはグループの追加]ボタンをクリックし、「Guest」アカウントを追加する。
  (1)ここに「Guest」が含まれていることを確認する。
  (2)「Guest」が含まれていない場合は、[ユーザーまたはグループの追加]ボタンをクリックし、「Guest」アカウントを追加する。

●Guestアカウントでシャットダウンできないようにする

 コンピュータのシャットダウン中や起動中は、ローカル・ユーザーが承認されていないアクセスを行える可能性がある。そこで、Guestアカウントがシステムのシャットダウンを行えないようにする。[管理ツール]の[ローカル セキュリティ ポリシー]ツールを開き、[ローカル ポリシー]−[ユーザー権利の割り当て]の[システムのシャットダウン]ポリシーから「Users」を削除する。

[システムのシャットダウン]ポリシー変更後のスタート・メニュー [システムのシャットダウン]ポリシー変更後のスタート・メニュー
[システムのシャットダウン]ポリシーから「Users」アカウントを削除すると、Guestアカウント(Guest以外のUsersグループのアカウントを含む)でシャットダウンができなくなる。
  (1)デフォルトの[シャットダウン]ボタンが[ログオフ]に変更される。
  (2)メニューの[再起動][スリープ][シャットダウン]がグレーアウトされ、操作できなくなる。

●ほかのコンピュータのGuestアカウントを無効化する

 このほかネットワークに接続されているほかのコンピュータやサーバ、プリンタなどにおいては、Guestアカウントを無効にしておき、Guestアカウントでアクセスできないようにするなどの設定を行う必要がある。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。