Windowsは進化している。ある程は度直感で操作できるインターフェイスがあり、最新のOSでは直感では操作しにくい部分はウィザードを利用した対話型の操作ができる。コンピュータがユーザが行うべき操作をナビゲートしてくれるのだ。メディアをドライブにセットすればそのタイプが自動で認識され、セットアップが始まったり、あるいはWMPによる再生が行われる。セキュリティ基準を満たしていなければ警告が発せられ、ユーザに行うべき操作を示してくれる。こういった機能は初心者を大いに助けてくれる。
しかしながら、ある程度熟練したユーザであれば煩わしいだけの機能も多々ある。無効にしようにもその操作方法がなぜか(OSのヘルプには)解説されていない。たとえば、XP_SP2標準付属のICFを無効にしてサードパーティ製のFWを使っていたとする(そして、これはSCからは認識されない)。すると、OSはバルーンやら何やらで盛んに「コンピュータが危険に晒されている。セキュリティが低いぞ!」と警告してくる。認識されていないだけでFWはちゃんと設定されているのだ。余計なお世話である。
IEのセキュリティオプションについても同様のことが言える。XP_SP2, Srv2003_SP1ではデフォルトのセキュリティ設定がかなり変更され、しかもその設定をユーザの意のままに変更することがなかなかできない。先日、Srv2003_SP1をセットアップしたときもかなり苦戦したことだ。XP_SP2にいたってはWindowsUpdateサイトのActiveXプラグインまで遮断されるという話ではないか。(Srv2003_SP1では信頼済みサイトにWindowsUpdateサイトが登録されているのでこのような現象は起こらない。)この中途半端な機能は初心者にとっても害悪でしかない。ウィンドウのどこぞをクリックしてメニューを選択すれば実行できるという話だが、初心者がそのようなことに気づくだろうか?また、「害を及ぼすかもしれない」と警告されている状態で自分の望む処理を行うためのメニューの選択ができるだろうか?
パワーユーザにとってもやはり害悪でしかない。パワーユーザならば自分で設定を変更して、セキュリティと利便性を考えた自分にとって最適な設定を行えるからだ。これを妨げる機能はどう考えても「余計なお世話」だ。
今回はこういった邪魔な機能を無効にしたりする方法をいくつか紹介する。
*注意*
このサイトで紹介する方法を実践することで生じたいかなる被害についても、わたしは一切の責任を負わないものとします。間違いの指摘や新たな情報の提供は歓迎いたしますが、苦情や責任の追及は一切受け付けません。操作を行う場合は全て自己責任で行ってください。
特に10進数と16進数など基数の違いに十分ご注意ください。
1.CD/DVDドライブの自動実行
XPではドライブごと、メディアごとにGUIから設定することもできるが、メディアをとっかえひっかえしながら設定するのは面倒でしかない。レジストリを編集すれば一発で全てのドライブ、全てのメディアに対する設定を行える。レジストリエディタを起動して以下のキーを開きます。
キー: HKLM\System\CureentControlSet\Services\Cdrom
右側のペインからAutorunという項目を探し、その値に0をセット。
マシンを再起動すれば設定が反映される。
2.IEの情報バーを抑制する。
Webサーフィンをしていると、「情報バーにお気づきですか?・・・」というダイアログが表示され、スクリプトの実行やファイルのDLがブロックされることがある。邪魔である。こんなものないほうがいいのだが(危険なサイトは「制限つきサイト」に事前に分類すればよいだけだ)完全に無効にする方法は発見できなかった。抑制することはできるのでその方法を紹介する。
・ActiveX コントロール
コントロールパネルのインターネットオプションを開き、セキュリティタブを選ぶ。変更したいゾーンを選択し、「レベルのカスタマイズ」ボタンを押す。表示された項目から「ActiveX コントロールに対して自動的にダイアログを表示」を探して「無効」にチェックを入れる。
・ファイルのダウンロード
ActiveXと同様にしてインターネットオプションを開いてからセキュリティタブを選択する。変更したいゾーンを選択して「レベルのカスタマイズ」ボタンを押す。表示される一覧から「ファイルのダウンロード時に自動的にダイアログを表示」を探して「無効」にチェックを入れる。
・アクティブコンテンツ
ドライバのインストールCDのAutorunや自分で書いたファイルの正常実行まで妨げる、邪魔なことこの上ない機能だ。すこしはマシにする方法を紹介する。
コントロールパネルからインターネットオプションを開き「詳細設定」タブを選択する。一覧から「マイコンピュータでの、CDのアクティブコンテンツの実行を許可する」と「マイコンピュータでの、ファイルのアクティブコンテンツの実行を許可する」にチェックを入れる。
3.マイコンピュータゾーンの設定を詳細に行う
IEのセキュリティ設定ゾーンには隠された項目があり、そのひとつにマイコンピュータゾーンがある。マイコンピュータゾーンは初期状態ではセキュリティレベル「高」に設定されている。これは制限つきサイトと同じレベルだ。このため、マイコンピュータにおける一部のファイルの操作が不便になっているのである。これを自分に適切な設定に変更すればストレスもたまらなくなる。設定を変更するためにはマイコンピュータゾーンを表示されるようにしなければならない。そのためにはレジストリを変更する。
キー: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
右側のペインから 「Flags」を探してその値を0x47(または0d71)にする。これでインターネットオプションを開いてセキュリティタブを選択すれば、ゾーン一覧にマイコンピュータが表示される。あとはこのゾーンのセキュリティを変更する。
4.セキュリティセンターを無効にする
XP_SP2のウリらしいが、自分の意思でICFや自動更新を無効にしている場合は四六時中警告が発せられるので邪魔でしかない。そもそもパワーユーザならこれらの設定は自分の意思で行えるだろう。こんな余計なものにCPUパワーを消費するならもたついているアプリに回してほしいものだ。無効にするに限る。設定は以下の順に行う。
デスクトップのマイコンピュータアイコンを右クリックして表示されるコンテキストメニューから「管理」を選ぶ。コンピュータの管理(ローカル)→サービスとアプリケーション→サービスの順に辿る。右ペインから「Security Center」を探し出しダブルクリックでプロパティを表示させる。スタートアップの種類を「無効」に変更し、サービスの状態を「停止」させる。OKボタンを押せばセキュリティセンターが無効になる。
5.不要なサービスをとめる
*不要かそうでないかは環境により大きく異なります。判断ができないならば決して変更しないでください。ネットワーク、ローカルシステムの知識と十分な情報がある方のみ変更するようにしてください。
・Application Layer Gateway Service
インターネット接続の共有、ICFを使わないならば無効にできる。PCが一台だけでファイアウォールもサードパーティー製を使っているのであれば無効にしてしまってもいいだろう。
・Automatic Update
WindowsUpdateを使用するならば必要。手動でHotfix を落としてきて適用しているならば無効にすることもできる。
・ClipBook
社内規定で必要だとされているのでなければセキュリティ向上のためにも無効にしておくことをお勧めする。
・Computer Browser
対象のマシンがLANを構築するPCの一部であるならば必要だが、自分のマシン1台しかない環境では稼動させる意味がない。マシン1台しかない環境ならば無効にできる。
・DHCP Client
DHCPでIPを配っているなら止めることはできないが、手動でIPを割り振っているシステムならば稼動させておく意味がない。リソースの無駄である。無効にしてしまおう。
・Error Reporting Service
エラーが起きたときにMicrosoft社へ報告する機能。無数にあるWindows環境で起こる全てのエラーにMSが対応するはずがない。無効にしてしまおう。
・Fast User Switching Compatibility
ユーザアカウントがひとつしか存在しないならば無効にしてしまおう。
・Help and Support
オンラインヘルプ機能を使わないのであれば無効にできる。
・IMAPI CD-Burning COM Service
XPに標準付属するCDライティング機能。サードパーティー製ライティングソフトを使っているならば無効にしてしまったほうがいい。
・Internet Connection Firewall / Internet Connection Sharing
・Windows Firewall/Internet Connection Sharing (ICS)
XPに標準付属するFW機能とインターネット接続の共有のためのサービス。
サードパーティー製FWを使っているなら前者は不要。ルータを使っているなら後者も不要。両方が不要ならば無効にしてしまうこともできる。
・NetMeeting Remote Desktop Sharing
セキュリティの観点からも無効にするべきサービス。SC DELETE で削除してもいいと思う。
・Plug and Play
ハードウェアの追加をUSBデバイスなども含めて行わないならば無効にすることもできる。HDDや光学ドライブの変更、USBやIEEE1394デバイスの使用を考えているなら有効にしておこう。
・Portable Media Serial Number
WMPを使わない、またはポータブルメディアデバイスを使用していないならば無効にできる。
・Remote Registry
必ず無効にするべきサービス。サーバ操作のために有効に・・・と反論が出るかもしれないがサーバマシンでこそ無効にするべきである。
・Routing and Remote Access
普通はルータを使ってルーティング(経路制御)するでしょう。無効にしても差し支えないと思う。
・System Restore Service
システムの復元機能のこと。必要なときに有効にして、普段は無効でいいと思う。Malwareの削除の妨げになることもあるからね。
・Task Scheduler
使うなら有効。使わないならば無効。
・TCP/IP NetBIOS Helper
マシンが1台しかないならば無効にできる。
・Themes
XP標準のデスクトップ環境であるLunaを使うならば有効。パフォーマンス優先の設定にしているならば無効にできる。
・Uninterruptible Power Supply
UPSを使っているなら必要だが、ないならば無効にできる。
・Wireless Zero Configuration
無線LAN環境にあるならば必要。しかし、このサービスが稼動していると常に接続ポイントを検索してしまうので必要なとき意外は無効にしたほうがいいと思う。
6.自動更新機能を無効にする
動作検証を行ってからHotfixを当てたい。あるいはパッチの必要性を自分で確認して適用したい、企業でエンドユーザが勝手に当ててしまうことを防止したいなどの理由で無効にしたい場面は多々ある。自動更新を無効にするためには大きく分けて2つの設定方法がある。
・関連するサービスを無効にする
前述のとおり Automatic Updates を無効にすれば自動更新はとまる。
・グループポリシーを利用する
グループポリシーエディタを起動し、ローカルコンピュータポリシー→コンピュータの構成→管理用テンプレート→Windowsコンポーネント→WindowsUpdate の順にツリーを辿る。右ペインの「[Windowsのシャットダウン]ダイアログボックスで[更新をインストールしてシャットダウン]オプションを表示しない」を有効にする。その下の「[Windowsのシャットダウン]ダイアログボックスの既定の・・・」を有効にする。
7.起動時にWindowsMessengerを実行しないようにする
XPではなぜか起動時にWindows Messengerが実行される。明示的に起動させたわけでもなく、スタートアップを有効にしたわけでもない。にもかかわらずなぜかバックグラウンドで実行される(スタートアップオプションを無効にしていてもなぜかメッセージが届く)。スケジュールが詰まっているときや、フルスクリーンでDVD鑑賞やゲームを楽しみたいとき時などメッセージを受け取りたくないときもあるだろう。明示的に実行しない限りはバックグラウンドの動作を禁止させておくこともできる。
グループポリシーエディタを起動する。ローカルコンピュータポリシー→コンピュータの構成→管理用テンプレート→Windowsコンポーネント→Windows Messenger の順にツリーを辿る。右ペインから「ログオン時にWindows Messengerを自動的に起動しない」を有効にする。
なお、グループポリシーエディタの設定は再起動するか、コマンドラインで gpupdate コマンドを実行しないと反映されない。グループポリシーエディタを使った後はコマンドラインでgpupdate を実行するようにしよう。
余分な機能を無効にすることでよりセキュリティが高まったり、起動時間が短縮されたりする。起動時間が長くてもっと短くしたいと考えているならば、勉強して挑戦してみてはいかがだろうか。参考までにFomalhautのマシンは20~30秒程度で起動する(デスクトップが表示され、操作できるようになる)。
