Windowsのセキュリティ機能
[Wikipedia|▼Menu]
.mw-parser-output .pathnavbox{clear:both;border:1px outset #eef;padding:0.3em 0.6em;margin:0 0 0.5em 0;background-color:#eef;font-size:90%}.mw-parser-output .pathnavbox ul{list-style:none none;margin-top:0;margin-bottom:0}.mw-parser-output .pathnavbox>ul{margin:0}.mw-parser-output .pathnavbox ul li{margin:0}

マイクロソフト > Windows > Windowsのセキュリティ機能

セキュリティ > サイバーセキュリティ情報セキュリティ > Windowsのセキュリティ機能

本稿ではWindowsのセキュリティ機能(ウィンドウズのセキュリティきのう)について記述する。本稿ではMicrosoft Windows本体のみならず、Active DirectoryWSUSなどWindowsと連携するサーバソフト等が提供するセキュリティ機能も説明するものとする。
Windowsにおけるアカウント
アカウントの種類

Windowsには以下の種類のアカウントがある:

名称概要
ユーザアカウントユーザのアカウント
コンピュータアカウントドメインに参加している各マシンのアカウント
サービスアカウントサービスを起動するのに用いられるOSにビルトインされたアカウント[1]。「SYSTEM」(Administratorsと同じレベルの権限)、「LOCAL SERVICE」(一般ユーザと同じレベルの権限)「NETWORK SERVICE」(一般ユーザと同じレベルの権限)など[1]
グループアカウント複数のユーザアカウントを束ねたグループに対するアカウント。グループアカウントを別のグループアカウントのメンバーにする事も可能[2]

これらのアカウントの情報の表示や設定は以下のコマンドで実行可能である:

コマンド概要
net userユーザーアカウントの情報の表示・設定[3]
net accountsユーザーアカウントのサインインやパスワードの要件の表示・設定[3]
net groupグループアカウンの情報の表示・設定[3]
net localgroupグループアカウンの情報の表示・設定(ローカルアカウント(後述)のみ)[3]

アカウントの識別方法
SIDとGUID

Windowsの全てのユーザアカウント、コンピュータアカウント、グループアカウントのように認証やアクセス制御の対象となる主体の事をセキュリティプリンシパルといい、WindowsのセキュリティプリンシパルにはSID(Security Identifier、セキュリティ識別子)GUID(Globally Unique Identifier、グローバル一意識別子)という2つの固有識別子が割り振られている[4]

SID、GUIDはいずれもユーザアカウントを識別するためのものだが、以下のような特徴と違いがある。まずSIDはActive Directoryドメイン(後述)で一意な識別子でアクセス制御などに使われる[5]。SIDはユーザ名やコンピュータ名を変更してもSIDは変更されない。また異なる2つのマシンで同一のユーザ名のアカウントを登録した場合、それら2つのマシンのアカウントのSIDは互いに異なる。

しかしユーザの所属するドメインが変更になった場合はSIDも変更になる[5]。そこでドメインが変更になってもアカウントを一意に識別できるように作られたのがGUIDである[5]
アクセストークンとUID

各ユーザアカウントには、ユーザアカウントのSID、ユーザが属しているグループ(達)のSID、アクセス制御情報等を記述したアクセストークンが割り振られている[6]

ネットワーク経由でアクセスしてくるユーザーに対しては、アクセス トークンの代わりにUID (User IDentifier、ユーザー識別子)が用いられる。アクセストークンの全情報をネットワークに流すのはセキュリティ上危険なので、アクセストークンから必要情報のみを抜き出したUIDを用いるのである。
ユーザアカウントの分類
権限による分類

ユーザアカウントはそのアカウントが持つ権限により、以下の2つに分類される:

User:標準ユーザ

Administrator:特権ユーザ

User、AdministratorはそれぞれUsersグループ、Administratorsグループに属している。なおWindows XPにはこの他にPower Userという区分が存在したが、Windows 7以降は廃止された[7]

またマシンを他のユーザに貸したりするときのためのGuestアカウントがあるが[8]、Guestアカウントはセキュリティ上危険な事もあり、Windows 7以降はデフォルトでGuestアカウントはオフになっている[8]

Active Directory(後述)ではこれらの他に

Domain Administrator:ドメイン管理者

Enterprise Adiminstator:フォレスト管理者

がある。

Windows 10ではユーザアカウントに家族という概念が導入されており、家族のアカウントには、保護者やお子様がある[9]。保護者アカウントはお子様アカウントのPC 使用時間の制限、閲覧ウェブページの制限、アプリやゲームの年齢制限の設定、利用履歴の確認といったペアレンタルコントロールを行う事ができる[10]
アカウント管理場所による分類

以下のように分類できる:

名称概要アカウント情報の保管場所
ローカルアカウント個々のマシンで管理しているアカウント[2]個々のマシンのSecurity Accounts Manager(SAM)データベース[2]

次ページ
記事の検索
おまかせリスト
▼オプションを表示
ブックマーク登録
mixiチェック!
Twitterに投稿
オプション/リンク一覧
話題のニュース
列車運行情報
暇つぶしWikipedia
Size:162 KB
出典: フリー百科事典『ウィキペディア(Wikipedia)
担当:undef