Windows XPのユーザーアカウント管理 - セキュリティ対策のために

- NT系OSを知らないひとのために -

文書作成日 2002/11/14 最終更新日 2004/3/7
よくわからないというひとは、このページの前半の
[Windows XP Home Editionの設定をしましょう♪]だけでも見てくださいね

はじめに

 Windows XP Home EditonではAdministratorというアカウント名は、起動時の[ようこそ画面]には表示されません。そしてあなたがOSをインストールしたときのアカウント名(仮にここではtef_tefとしておきます)だけが表示されます。
 つまり、Administratorは隠しアカウントとしてパスワード無しで存在しています。

 Windows XPではセキュリティ対策のため、パスワードを設定していないユーザーアカウントに対して、リモートで(ネットワーク経由で)接続することはできないように設定されています。

 でも直接あなたのパソコンを操作してログオンするときは、どうなのでしょう?
 いずれのアカウント名であっても、デフォルト(何も設定していない状態)ではパスワードの入力は求められません。この状態ではパスワードを入力しなくても、知らないひとがあなたのパソコンを操作できるのです。

 自分のパソコンを守るために、登録したアカウントとAdminisitratorというアカウントそれぞれに、パスワードを設定する必要があります。

[注意]
 このコンテンツは、ワークグループ構成で運用しているケースを考えて書いています。

Windows XP Home Editionの設定をしましょう♪

アカウントにパスワードを設定


 コントロールパネルからユーザーアカウントを開いてください。
 自分のアカウント(tef_tefなど)をクリックして、[パスワードを生成する]を選択して、パスワードを入力してください。

 パスワード入力画面です。

 これであなたがOSを起動するときに、パスワードを入力するように求められる設定になりました。
 基本的にログイン時のパスワードは、数字とアルファベット(大文字と小文字)をそれぞれ含む8文字が推奨されています。


Administratorアカウントにセーフモードで起動してからログオンして、パスワードを設定

 [コントロールパネル] - [ユーザーアカウント] にはAdminisitratorというアカウント名は表示されていません。どうしましょう?
 Windows XP Home Editionでは、普通に起動してもAdministratorアカウントにはログオンできません。
 クラシックログオンからユーザー名に[Administrator]と入力してログオンしようとしても、「ログオンメッセージ - アカウントの制限によってログオンできません」という表示が出るだけです。
 まずセーフモードで起動してください。これで一時的に、Administratorというアカウントでログオンできるようになります。
 Administratorでログオンすると、パスワードを設定できるようになります。
 このAdministratorアカウントは不都合な点が多いので(後述)、パスワードを可能な限り長いものに設定してください。

 そしてAdministratorアカウントのユーザープロファイルは、そのままではとっても危険です。アクセス権の設定を忘れないでください・・・
 XP Home Editionで、NTFSのアクセス権を設定してみましょう - ACL(Access Control List)って何?

Windows XP Home Editionのユーザーアカウントについての説明

XP Home Editionでの、Guestを除くアカウントがひとつだけ・もしくは複数のときの違い

 コントロールパネルからユーザーアカウントを開いてください。[tef_tef]は[コンピューターの管理者]として登録されています(GuestアカウントはXP Home Editionでは無効になっています)。

 もう一つ新しいユーザーを作成したとします。[新しいアカウントを作成する]から[コンピューターの管理者]でも[制限付きアカウント]でもどちらでもかまいません。(AdministratorとGuestを除く)アカウントがひとつだけならそのまま自動的に起動されましたけど、複数のアカウントが存在する環境では、起動時にアカウントをいずれかに選択するように求められるようになります

ユーザーアカウントでの名前の変更について

[コントロールパネル] - [ユーザーアカウント]から、あなたのアカウントの名前を変更できます。
 tef_tefをtefに変更すると、[ようこそ]画面に表示されていたtef_tefは、tefに変更されます。でもクラシックログオンでユーザー名を入力するとき、tef_tefでもtefでもログオンできます
 このときtefでログオンするには、tef_tefで設定したパスワードを入力すればログオンに成功します。
 (なぜこれでログオンできるのか、理由はわかりません・・・仕様なのでしょうか?)

Home Editionでのコンピューターの管理者と制限つきアカウントの違い

 NT系OSではAdministrators、Backup Operators、Power User、Usersなどのグループがあり、それぞれに[できること]と[できないこと]が設定されます。ユーザーをそれぞれのグループに設定して、勝手に設定を変更されたりしないようにするためです。

 でもHome Editionは一般家庭や個人向けです。そんなに手間のかかることはできません。
 コンピューターの管理者は、Administratorsグループに相当し、[何でもできる]ユーザーです。他のユーザーアカウントへアクセスすることもできます。
 制限つきアカウントは、Usersグループに相当します。他のユーザーのパスワードを変更はできません。またアプリケーションのインストールやパソコンの設定の変更はできません。
 そしてHome Editionには、PowerUser(標準ユーザー)に相当するアカウントはありません。
 Guestアカウントはユーザーアカウントを登録していなくても、一時的に利用できる特別のアカウントです。でもセキュリティの点で、このユーザーアカウントを有効にするのは止めたほうがいいかもしれません。

 ユーザーアカウントごとの[利用できること・できないこと]は、こちらが参考になるかもしれません。
 Windows XP Professional のセットアップ 7. 設定 : アカウントの作成

 普段ようこそ画面を利用している環境で、Safe Modeで起動したとしますね。
 制限つきアカウントは表示されませんけど、[Ctrl]+[Alt]+[Delete]を2回押してユーザー名を入力するとログオンできます

 セーフモードでも通常起動時でも、制限ユーザーでは自分がログオンしている(制限ユーザー権限の)ユーザーとAdministratorアカウント以外の[Document and Settings\ユーザー名]フォルダは、制限ユーザーからは開けません。アクセス権(ACL)を設定していなくても、です。

XP Professionalではどうなの?

 Windows XP Professionalをクリーンインストールするとき、「このコンピュータを使うユーザーを指定してください」という画面が出てきます。ここでユーザーを作成しないと、Administratorアカウントでログオンすることになります。

 もし新たにユーザーアカウントを作成したときには、ログオンのときにAdministratorアカウントは「ようこそ画面」には出てこなくなります。でもこのアカウントは、ちゃんと作成されます。

 そしてXP ProfessionalはSafe Modeで起動しなくても、Administratorアカウントでログオンできます。具体的には、[コントロールパネル] - [ユーザーアカウント] - [ユーザーのログオンやログオフの方法を変更する] - [ようこそ画面を使用する]のチェックを外して再起動して、クラシックログオンプロンプトで起動します。クラシックログオンプロンプトの画面から、[Administrator]と入力します。
 クラシックログオンプロンプトでなくても、ようこそ画面で[Ctrl]+[Alt]+[Delete]を2回押しても、[Windowsへログオン]の画面が表示されます。

[注意]
 Windows 2000/XP Professionalでは、ドメイン構成のときは「ようこそ画面」は利用できません
 もしAdministratorアカウントにパスワードを設定するなら、一旦Administratorアカウントでログオンしてから、[コントロールパネル] - [ユーザーアカウント] を開いてAdministratorを選択して、パスワードを設定します。

 でもXP Professionalでは、OSをインストールするときにAdministratorアカウントのパスワードを設定するように求められますから、XP Home EditionのAdministratorアカウントのような心配はないのかもしれません(もちろんパスワードを空にしてインストールすることもできますけど)。

 ビルトインアカウントであるAdministratorアカウントは、削除することができないユーザーアカウントです。そしてどのXP Professionalにも存在するアカウントなので、ブルートフォース(総当り)でパスワードを推察しようとするクラッキングの対象になりやすいのかもしれません。
 そして困ったことに、[コントロールパネル] - [管理ツール] - [ローカルセキュリティポリシー]からロックアウトを設定しても、Administratorアカウントはパスワードの入力で何度も失敗したとしてもロックアウトされません。

 もっとも安全な設定は、ローカルセキュリティポリシー(Home Editionにはありません・・・)から、デフォルトでこのような状態になっているAdministratorアカウントを無効にすることです。
 無効にするためには、[管理ツール] - [ローカルセキュリティポリシー] - [ローカルポリシー] - [セキュリティオプション] - [アカウント: Administratorアカウントの状態]から設定します。
[注意]
 Windows 2000ではAdministratorアカウントは無効にできないようです・・・Administratorアカウントの名前を変更してもSIDでいたずらされる可能性がありますので、[管理ツール] - [ローカルセキュリティポリシー] - [ローカルポリシー] - [セキュリティオプション] - [Administratorアカウント名の変更]からアカウント名を変更してください。
[注意]
 XP HomeEditionでは、ローカルセキュリティポリシーの設定はできないので、Administratorアカウントを無効にしたりアカウント名を変更することができません・・・長くて予想されないようなパスワードを設定するしかないみたいです。
トップページWindowsのヒント・TIPS・テクニックとセキュリティ♪>Windows XPのユーザーアカウント管理 - セキュリティ対策のために

ご意見はフォームメールへ
This contents was written by tef_tef.