Windowsのデフォルト共有を停止させる(管理共有を無効化する)Tech TIPS

Windowsには「デフォルト共有」「管理共有」と呼ばれる隠し共有フォルダが存在し、コンピュータの集中管理などによく利用される。だが、ミッション・クリティカルなコンピュータなどで安全性を高めたい場合には、レジストリを変更することで、これらの共有を停止できる。

» 2003年04月26日 05時00分 公開
[井上孝司]
「Tech TIPS」のインデックス

連載目次

対象OS:Windows 2000 Professional/Windows XP Professional/Windows 2000 Server/Windows 2000 Advanced Server/Windows 2000 Datacenter Server



解説

 Windows NT系のOS、つまりWindows NT/2000/XPでは、OSのセットアップを完了した時点でファイル/プリンタ共有機能が動作しており、「デフォルト共有」あるいは「管理共有」と呼ばれる共有フォルダが自動的に作成され、Administratorsグループに所属するユーザー(管理者)だけがアクセス可能になっている(Windows XPでは、製品の種類や利用形態によって、作成されない場合がある。これについては後述)。

 管理共有では、共有名の末尾に「$」が付加されている。この場合、別のコンピュータからエクスプローラの[マイ ネットワーク]を表示したり、コマンドラインから「NET VIEW」コマンド(ネットワーク内のコンピュータを一覧する)を実行したりしても、共有資源一覧には表示されない。従って通常のユーザーが通常の方法で使っているかぎり、共有フォルダが存在するようには見えない、一種の「隠し共有フォルダ」になる。

 管理共有が存在するかどうかを確認するには、コマンド・プロンプトで「NET SHARE」コマンドを実行するか、[コンピュータの管理]管理ツールで共有資源の一覧を表示させる。自動作成される管理共有をまとめると、次のようになる。

共有されるディレクトリ 共有名 備考
ハードディスクのルート・ディレクトリ ドライブ名+"$"(例:C$、D$、E$…) 共有設定されるのはハードディスクのみ。そのほかのドライブは共有されない
%SystemRoot% Admin$
デフォルトで作成される管理共有
デフォルトでは、各ドライブのルートと%SystemRoot%が、管理共有として公開されている。プリンタやFAXなどを公開している場合は、さらにいくつかの管理共有が作成されるし、ドメイン・コントローラでは、さらにSYSVOLやNETLOGONなどの管理共有も作成される。

[注意]

先の手順で表示させた共有資源の一覧には、隠し共有として「IPC$」も表示されているが、これはプロセス間通信を行うために用意されているもので、管理共有には分類されない。この「IPC$」は、主として管理ツールのリモート接続などに利用されている。「TIPS―共有リソース・アクセス時にパスワード入力を求められる「IPC$」とは?」も参照。


デフォルト共有のプロパティ デフォルト共有のプロパティ
Cドライブのルート・ディレクトリに設定されたデフォルト共有の情報を表示したところ。Windows NT/2000では最初から、Windows XP Professionalでは簡易ファイル共有を無効にすると、すべてのハードディスクのルートとWindowsのフォルダが管理用に共有設定され、Administratorsグループのメンバーだけがアクセス可能になる。
  (1)こちらを選択すれば、管理共有を停止させることが可能。
  (2)共有名の末尾に「$」が付いている場合には、一種の「隠し共有フォルダ」になり、ほかのコンピュータが通常の方法でブラウズしても表示されない。
  (3)コメントは、すべて「Default Share」と自動設定されている。
  (4)通常はこのボタンから共有フォルダのアクセス権を設定できるのだが、管理共有については、共有を維持したままで設定を変更することはできない(エラーが表示される)。

 Windows NTとWindows 2000では、すべての製品で、OSのセットアップが完了した時点で管理共有が自動作成される。それに対し、Windows XPでは、利用形態によって管理共有の有無が異なる。

 ドメインに参加した状態で運用されているWindows XP Professionalについては、Windows NT/2000と同様、管理共有が自動的に設定される。それに対し、ドメインに参加せずにワークグループ環境、あるいはスタンドアロンで運用されているWindows XP Professionalでは、初期設定では「簡易ファイル共有」が有効になっており、この状態では管理共有は作成されていない。

 簡易ファイル共有が有効になっている場合、エクスプローラで[ツール]−[オプション]を選択して、[表示]タブの[詳細設定]リストボックスにある「簡易ファイルの共有を使用する]チェック・ボックスをオフにすると、自動的にデフォルト共有が設定される(なお、Windows XP Home Editionでは、簡易ファイル共有しか利用できないため、通常の設定手順では、デフォルト共有が作成されることはない)。

 管理共有は、一握りの管理者が多くのコンピュータを管理するような場面で、遠隔管理を可能にするために用意されたものだ。管理共有を利用すると、管理者権限のあるユーザーに限ってハードディスクの内容に自由にアクセスできるため、例えば、ネットワーク経由でサーバやクライアントPCの任意のフォルダを参照できるので、状態を確認したり設定を変更したりできるようになる。ハードディスクの内容を調べて、インストールされているアプリケーション・ソフトの状況や、ファイルのバージョン情報を調べるなどが可能になるわけだ。

 例えば、マイクロソフトのシステム管理ソフトウェアであるSystems Management Server(SMS)やMicrosoft Operation Manager(MOM)などは、管理共有を利用して遠隔管理を実現している。

 このように、LANで運用されているサーバであれば、管理共有は便利な場合もある。しかし、インターネットに直結した状態で運用され、常に不正侵入の脅威にさらされているサーバでは、管理上の利便性が低下するとしても、管理共有などは禁止して、安全性を高めたいと考えるだろう(クラッカーは、管理共有の存在を知っている)。万一、管理者権限を持つユーザーのパスワードが不正侵入者に知られれば、すべてのハードディスクのルート・ディレクトリに接続した上で、自由にファイルの書き替えや破壊を行えてしまう。サブフォルダにリモート接続する場合と異なり、ルート・フォルダへの接続では、ディスク内のすべてのファイルやフォルダにアクセスできる。

 前述したとおり、共有のプロパティ画面で管理共有を停止させることもできるが、その後でServerサービスの再起動、あるいはコンピュータの再起動を行うと、再び自動的に管理共有が設定されてしまう。再起動などを行っても、常に管理共有を無効化するためには、別の対策が必要になる。

操作方法

 管理共有を完全に停止させるには、以下のレジストリの値を変更する。

  • キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\Lanmanserver\parameters

 ここに、クライアント向けWindows(NT Workstation、2000 Professional、XP Professional)では「AutoShareWks」という値が、Server向けWindows(NT Server、2000 Server)では「AutoShareServer」という名前のDWORD値を新規作成し、値を「0」にする。値作成時の既定値が「0」なので、特に値は指定しなくてよい。逆に、この値を「1」に設定すると、管理共有が作成されるようになる。

 ただしこうして管理共有を無効化すると、前挙のSMSやMOMなど、管理共有の存在を前提としているソフトウェアは正しく動作しなくなる可能性があるということに注意が必要である。基本的に管理共有の意図的な無効化は、インターネット向けのサーバなどが主な対象になるだろう。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。