本稿ではWindowsのセキュリティ機能(ウィンドウズのセキュリティきのう)について記述する。本稿ではMicrosoft Windows本体のみならず、Active DirectoryやWSUSなどWindowsと連携するサーバソフト等が提供するセキュリティ機能も説明するものとする。 Windowsには以下の種類のアカウントがある: 名称概要 これらのアカウントの情報の表示や設定は以下のコマンドで実行可能である: コマンド概要 Windowsの全てのユーザアカウント、コンピュータアカウント、グループアカウントのように認証やアクセス制御の対象となる主体の事をセキュリティプリンシパルといい、WindowsのセキュリティプリンシパルにはSID(Security Identifier、セキュリティ識別子)、GUID(Globally Unique Identifier、グローバル一意識別子)という2つの固有識別子が割り振られている[4]。 SID、GUIDはいずれもユーザアカウントを識別するためのものだが、以下のような特徴と違いがある。まずSIDはActive Directoryドメイン(後述)で一意な識別子でアクセス制御などに使われる[5]。SIDはユーザ名やコンピュータ名を変更してもSIDは変更されない。また異なる2つのマシンで同一のユーザ名のアカウントを登録した場合、それら2つのマシンのアカウントのSIDは互いに異なる。 しかしユーザの所属するドメインが変更になった場合はSIDも変更になる[5]。そこでドメインが変更になってもアカウントを一意に識別できるように作られたのがGUIDである[5]。 各ユーザアカウントには、ユーザアカウントのSID、ユーザが属しているグループ(達)のSID、アクセス制御情報等を記述したアクセストークンが割り振られている[6]。 ネットワーク経由でアクセスしてくるユーザーに対しては、アクセス トークンの代わりにUID (User IDentifier、ユーザー識別子)が用いられる。アクセストークンの全情報をネットワークに流すのはセキュリティ上危険なので、アクセストークンから必要情報のみを抜き出したUIDを用いるのである。 ユーザアカウントはそのアカウントが持つ権限により、以下の2つに分類される: User、AdministratorはそれぞれUsersグループ、Administratorsグループに属している。なおWindows XPにはこの他にPower Userという区分が存在したが、Windows 7以降は廃止された[7]。 またマシンを他のユーザに貸したりするときのためのGuestアカウントがあるが[8]、Guestアカウントはセキュリティ上危険な事もあり、Windows 7以降はデフォルトでGuestアカウントはオフになっている[8]。 Active Directory(後述)ではこれらの他に がある。 Windows 10ではユーザアカウントに家族という概念が導入されており、家族のアカウントには、保護者やお子様がある[9]。保護者アカウントはお子様アカウントのPC 使用時間の制限、閲覧ウェブページの制限、アプリやゲームの年齢制限の設定、利用履歴の確認といったペアレンタルコントロールを行う事ができる[10]。 以下のように分類できる: 名称概要アカウント情報の保管場所 Windows 10以降は、マイクロソフトのシングルサインオンウェブサービスであるMicrosoft アカウントを使って自分が所有するマシンにサインインする事が可能になった[11]。 小規模なネットワークではワークグループの機能を使う事により、マシンをまたがるアカウント管理・ファイル共有を行う事ができる。大規模なネットワークであればディレクトリサービスActive Directoryで一括管理する必要がある。
Windowsにおけるアカウント
アカウントの種類
ユーザアカウントユーザのアカウント
コンピュータアカウントドメインに参加している各マシンのアカウント
サービスアカウントサービスを起動するのに用いられるOSにビルトインされたアカウント[1]。「SYSTEM」(Administratorsと同じレベルの権限)、「LOCAL SERVICE」(一般ユーザと同じレベルの権限)「NETWORK SERVICE」(一般ユーザと同じレベルの権限)など[1]。
グループアカウント複数のユーザアカウントを束ねたグループに対するアカウント。グループアカウントを別のグループアカウントのメンバーにする事も可能[2]。
net userユーザーアカウントの情報の表示・設定[3]
net accountsユーザーアカウントのサインインやパスワードの要件の表示・設定[3]
net groupグループアカウンの情報の表示・設定[3]
net localgroupグループアカウンの情報の表示・設定(ローカルアカウント(後述)のみ)[3]
アカウントの識別方法
SIDとGUID
アクセストークンとUID
ユーザアカウントの分類
権限による分類
User:標準ユーザ
Administrator:特権ユーザ
Domain Administrator:ドメイン管理者
Enterprise Adiminstator:フォレスト管理者
アカウント管理場所による分類
ローカルアカウント個々のマシンで管理しているアカウント[2]個々のマシンのSecurity Accounts Manager(SAM)データベース[2]
ドメインアカウントActive Directoryのドメインで管理しているアカウント[2]Active DirectoryのActive Directoryデータベース[2]
マシンをまたがるアカウント管理・ファイル共有
Size:131 KB
出典: フリー百科事典『ウィキペディア(Wikipedia)』
担当:undef