ACLとNTFSのアクセス権 - はじめに
パソコンを誰かと共用しているとき、マイドキュメントフォルダやデスクトップのファイルを、他のひとに見られないようにしてみませんか?アクセス権限を設定することにより、他のユーザーはあなたの個人的なファイルを開けないようになるでしょう。
確実ではないけれど、今まで以上に安全に利用できるようになります
NTFSでフォーマットしたハードディスクでの、フォルダやレジストリに対するアクセス制限をかけた状態を[ロック]と呼びます。このページではXP Home EditionのユーザープロファイルフォルダにACL(Access Control List)による設定を加えることにより、より安全に利用できるテクニックを紹介します。
でもXP Home Editionでは、Windows 2000 ProfessionalやXP Professionalのように詳細なアクセス権限を設定することはできません、設定できるのはユーザープロファイルフォルダフォルダのみです。
もしXP Home Editionで詳細なアクセス権限を設定する必要があるなら。セーフモードで起動すればXP Professionalのように詳細に設定することができるでしょう。
でも長くなるので、この場では省略させていただきます。
[注意]
ハードディスクがNTFSではなくFAT・FAT32などのファイルシステムでフォーマットされているときには、設定できません。
ハードディスクがNTFSではなくFAT・FAT32などのファイルシステムでフォーマットされているときには、設定できません。
ユーザープロファイルって何?
ユーザープロファイルは、ユーザーごとの固別のファイルなどが格納されているフォルダです。XP Home Editionでは[ドライブ名:\Document and Settings\(ユーザー名)]フォルダになります。マイドキュメントフォルダやデスクトップに置かれたフォルダやファイルも、このユーザープロファイルに含まれます。
Outlook Expressのアドレス帳などもこの中で管理されています(\Documents and Settings\ユーザー名\Application Data\Microsoft\Address Book\ユーザー名.wab)。
[注意]
このページで紹介されている方法では、ユーザープロファイル以外のフォルダへアクセス権限を設定することができません。もし保護したいファイルがあるなら、マイドキュメントフォルダやデスクトップに置いて管理してください。
このページで紹介されている方法では、ユーザープロファイル以外のフォルダへアクセス権限を設定することができません。もし保護したいファイルがあるなら、マイドキュメントフォルダやデスクトップに置いて管理してください。
My Documentsフォルダだけに設定 - でもこの設定は、お勧めはできません・・・
[スタート] - [マイコンピュータ]を開きます。[このコンピュータに保管されているファイル] - [あなたが登録したユーザー]の上でマウスを右クリックして、[共有とセキュリティ]を開きます。
下の画像は、[test]というユーザーを作成したときに表示される状態です。
これではあまり意味がありません・・・
ユーザープロファイル全体に設定してみましょう♪
[スタート] - [マイコンピュータ] - [OSをインストールしたドライブ] - [Documents and Settings]を開きます。ここからあなたが今ログオンしているユーザーの名前がついたフォルダを、マウスで右クリックします。
そして[共有とセキュリティ]を選択してください。
[ローカルでの共有とセキュリティ]から、[このフォルダをプライベートにする]にチェックを入れて、[適用]を押してください。
ここで設定したパスワードは、あなたがパソコンを起動してログオンするときに使うことになるでしょう。
絶対に忘れないように、そしてある程度の長さ(アルファベットの大文字と小文字、数字を含めて8文字以上)にしてください。
[注意]
ここで[1]や[aaa]などの簡単すぎるパスワードを設定していると、誰かに不正にアクセスされる被害にあうかもしれません。
ここで[1]や[aaa]などの簡単すぎるパスワードを設定していると、誰かに不正にアクセスされる被害にあうかもしれません。
Administratorアカウントのユーザープロファイルにも、アクセス権を設定してください
とっても大事なことです、見逃さないでくださいね。Administratorアカウントは管理者権限があるユーザーです。
個人でパソコンを購入してワークグループ構成でセットアップしたひとでも、Administratorアカウントは使わないとは限りません。
このAdministratorアカウントのプロファイルが他のユーザーから操作できるのは、運用上都合が悪いのです・・・パソコンを購入したら、必ずAdministratorアカウントでログオンして、アクセス権を設定しておいてください。
[注意]
Administratorアカウントで一度もログオンしていないなら、Administratorアカウントのユーザープロファイル、[C:\Windows\Documents and Settings\Administrator]は作成されていない状態になります。
Administratorアカウントで一度もログオンしていないなら、Administratorアカウントのユーザープロファイル、[C:\Windows\Documents and Settings\Administrator]は作成されていない状態になります。
アクセス権の設定はどのくらい安全なのでしょう?
このアクセス権限の設定は、完全なものではありません。特殊な方法で起動して管理者権限のあるユーザーによって所有権を取得することにより、簡単に無効化できてしまいます・・・
ですから信頼できないとあなたが感じたひとには、制限ユーザー権限のユーザーアカウントを利用させてください。
そしてユーザーのログオンパスワードを知らなくても簡単に設定を回避できる方法もあります。
細心の注意を払い、盗難には気をつけてください。
ACLについてのあとがき
ここで設定したアクセス権を回避することは不可能なことではありません。でも念のため設定しておいても、損はないはずです。もしファイル・フォルダをもっと安全に保護してみたいなら。市販のセキュリティソフトやUSBによる認証を行なう機器で、パスワードの設定や暗号化を行なってください。いずれも数千円程度の価格で販売されています。
[注意]
他のユーザーがアクセス権限を設定したユーザープロファイルのフォルダ・ファイルは、アンチウイルスソフトによるスキャンができなくなります。
かならずアクセス権限をもつユーザーでログオンしてから、アンチウイルスソフトを使ってください。
他のユーザーがアクセス権限を設定したユーザープロファイルのフォルダ・ファイルは、アンチウイルスソフトによるスキャンができなくなります。
かならずアクセス権限をもつユーザーでログオンしてから、アンチウイルスソフトを使ってください。