共有設定-Guestアカウントの無効化 

Guestアカウントについて

Windows XP Professional(Home)においてGuestアカウントを無効にしていたはずが、「コントロールパネル」-「ユーザーアカウント」では「Guestアカウントをオフ」になっているにも関わらず、「コンピュータの管理」-「ローカルユーザーとグループ」から確認すると、Guestアカウントが有効になっていることに疑問を感じたことがあるかもしれません。

ゲストアカウント

今度は逆にコンピュータの管理からGuestアカウントを無効にした場合、ファイル共有の設定画面でファイル共有に関する警告メッセージが表示されている初期状態の画面に戻ってしまいます。

再びファイル共有をする為に、「危険を認識した上で・・・」をクリックし「ファイル共有を有効にする」を選択すると今度はGuestアカウントが有効になってしまいます。しかし、「ユーザーアカウント」で確認すると「Guestアカウントはオフ」のままなのです。

Windows XPのログオンやセキュリティの設定は、ユーザの利便性を向上させる目的で幾つかの機能追加が行われるとともに、インタフェースが大きく変更されているとこが関係しています。

ローカルログオン拒否設定

GuestアカウントをオフにしているのにGuestアカウントが無効になっていないのは、「ユーザーアカウント」でGuestアカウントをオフにしても、実際のGuestアカウントは無効にならないからです。ここで行なったGuestアカウントのオフは、実際にはローカルポリシーの「ローカルログオンを拒否する」ポリシーに反映されています。

ローカルセキュリティポリシー
[コントロールパネル]-[管理ツール]-[ローカルセキュリティポリシー]

「ローカルログオンを拒否する」ポリシーに列挙されたアカウントは、コンソールからのログオンが拒否されるようになりますが、それ以外に、ようこそ画面を利用している場合には、ようこそ画面でのアカウント一覧に表示されなくなるのです。

このポリシーが適用されていても、「ネットワーク経由のログオン」権限があれば、ネットワーク経由で該当マシンの共有に接続することは可能です。この権限はGuestアカウントにもありますので、結局の所、Guestアカウントをオフにしても、ネットワークからGuestアカウントで接続することは可能なのです。

「ローカルログオンを拒否する」事に関する影響としては、環境内で特定の役割に割り当てられているユーザーの権限が制限される可能性があります。尚、「ユーザーアカウント」でアカウントのオン/オフを行なえるのは、Guestアカウントだけになっています。

いずれにしても、「ユーザーアカウント」で行なう設定はGuestアカウントの「ローカルログオンを拒否する」ポリシーに関するものだけで、従来のアカウントの無効化/有効化に関する処理は一切行なわれません。



簡易ファイルの共有(共有についての記事はコチラ)

Guestアカウントが勝手に有効になってしまう現象に関係しているのは、ワークグループ構成のWindows XPでデフォルトのインタフェースとなっている、「簡易ファイルの共有」になります。 ここでファイル共有を有効にするか設定を行なった場合、最終的にGuestアカウントが有効になります。
基本的にWindows 9xマシンで実現されていた共有レベルのアクセス制御と類似のアクセス制御をWindows XPで実現する為の機能となっており、共有ファイルのアクセス制御は、読み取りか、読み取りおよび書き込みのいずれかを選択する簡単なインタフェースになっています。
この設定は内部的にはEveryoneに対するACL(Access Control List)として設定されます。

加えてWindows XPでは

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
REG_DWORD: ForceGuest
(1 = ネットワーク経由でのアクセスを強制的にGuestアカウントとみなす)
という新しいレジストリが追加されており、「簡易ファイルの共有」機能を有効にすると、このレジストリの値が1になります。

結果としてアクセスするユーザはすべてGuestとして認証され、Everyoneに対するアクセス権設定によって、ファイルアクセスが制御されるようになる訳です。説明してきたように、この機能を実現する為にGuestアカウントが必要な為、簡易ファイルの共有機能を有効にすると同時にGuestアカウントが有効になるのです。

セキュリティが気になるなら
      「簡易ファイルの共有」は無効にする

Windows XPでは、使い勝手を重視して簡略化したインタフェースを提供していますが、従来からのWindows NT/2000のセキュリティ機構の上で簡略化されたセキュリティを実現するため、結果として内部機構が非常に複雑になってしまっています。

厳格なセキュリティ設定も行なえませんのでセキュリティが気になる場合は、素直に「簡易ファイルの共有」を無効にして、従来からのインタフェースで設定を行なった方がよいでしょう。

関連記事


参考記事

Microsoftサポート オンライン

この記事へのコメント

コメントをお寄せ下さい

(コメント編集・削除に必要)
(管理者にだけ表示を許可する)

トラックバック

この記事のトラックバックURL
http://z0001.blog87.fc2.com/tb.php/32-9b30ed01