こんにちは、阿久津です。Windows 7のエディションは既に報じられたように、一般ユーザー向けとしてHome Premium。ビジネスユーザー向けとしてProfessionalとEnterprise。そして全機能を搭載するUltimateの4種類(限定用途向けのStarterもありますが、日本国内の市場を踏まえますと、除外しても問題ないでしょう)。
もっともProfessionalはビジネスユーザー向けだけでなく、Home Premiumでは物足りない一般ユーザー向け上位エディションという役割も備えています。本連載では主に一般ユーザーを対象にしてきましたが、今回は趣向をかえて、Windows 7に搭載されているビジネス向け機能から、いくつかの気になるポイントをチェックしてみましょう。
まずは「Bitlocker To Go」。そもそもBitlockerとは、Windows Vistaから搭載されたハードディスク暗号化機能。ノートPCなど紛失の可能性があるコンピュータのディスクを暗号化し、OSの起動やファイルの閲覧を防御するというものでした。当初はWindows Vistaが導入されたホストドライブにしか適用できなかった同暗号化ですが、Windows Vista SP1では異なるドライブにも適用可能になり、Windows 7ではリムーバブルディスクの暗号化にも対応。最近巷を騒がしている、個人情報を納めたUSBメモリの紛失にも対応できるようになります。
暗号化手順も改善され、Windows Vistaのようにコントロールパネルのアイコン以外にも、対象となるドライブのコンテキストメニューから実行可能になりました。もっとも暗号化スピードはさほど変わった印象を受けず、8GBの容量を持つUSBメモリの暗号化に要した時間は約30分。使用時は事前に暗号化を施すことをお薦めします(図1~7)。
|
図1: 暗号化するリムーバブルディスク(ここではUSBメモリ)を右クリックし、メニューから<BitLockerをオンにする>を選択します |
|
|
図2: ウィザードが起動し、パスワードかスマートカードによるロック解除方法をうながされます。ここではパスワードを用いるため、<パスワードを使用してドライブのロックを解除する>にチェックを入れ、パスワード入力後に<次へ>ボタンをクリック |
図3: パスワードを紛失した際に用いる回復キーの保存をうながされます。ここではファイルに保存するため<回復キーをファイルに保存する>をクリックします |
|
|
図4: エクスプローラで任意の場所にファイルを保存します。ちなみにWindows Server 2008 R2と連動した環境では、管理者が復号用鍵を一元管理することも可能です |
図5: これで暗号化の準備ができました。<暗号化の開始>ボタンをクリックします |
|
|
|
図6: 暗号化を実行します。8GBの容量を持つUSBメモリで30分ほどかかりました |
|
|
図7: 暗号化を終えたUSBメモリはご覧のように、アイコンが変化します |
暗号化されたUSBメモリは、通常と同じように使用できますが、コンピュータに接続する際には、パスワードの入力をうながされます。この入力作業を繁雑に感じる方は、<今後、このコンピューターで自動的にロックを解除する>にチェックをいれておくことで、コンピュータ側にパスワード情報が保存されるため、従来同様シームレスな操作が可能になります(図8)。
|
図8: 暗号化されたUSBメモリをWindows 7 RCを導入したコンピュータに接続しますと、復号化に必要なパスワードの入力をうながされます |
では、Windows 7以外のOSではどのようになるでしょうか。Windows Vistaでは、「BitLocker To Goリーダー」というツールがUSBメモリ内に保存されており、同ツールを使って復号用パスワードの入力と、ファイルの操作を実現しています。Windows XPでも同ツールを使用できるため、BitLockerによる暗号化はTPM(Trusted Platform Module)の有無に左右されず、気軽に使用できるようになりました(図9~12)。
|
|
図9: Windows Vistaを導入したコンピュータに暗号化したUSBメモリを接続しますと、「BitLockerToGo.exe」というファイルがあらわれます |
図10: BitLockerToGo.exeを実行しますと、復号化に必要なパスワードの入力をうながされます |
|
|
|
図11: BitLocker To Goリーダーにより、ファイルの閲覧やドラッグ&ドロップによる操作が可能です |
|
|
図12: 暗号化したUSBメモリをWindows XPを導入したコンピュータに接続しても、同じようにBitLockerToGo.exeを使用できます |
BitLocker To Goに関連する機能として紹介したいのが、グループポリシーに含まれる、暗号化されていないUSBメモリへの書き込みを禁止するルール。以前のWindows OSでは、レジストリ編集を行ないませんと、読み込み専用にできませんでしたが、本機能により前述した個人情報の漏洩を未然に防ぐことができます。グループポリシーエディタが搭載されるであろうProfessionalエディション以上であれば、容易にセキュアな環境を構築できそうです(図13~15)。
|
図13: まずはグループポリシーの「deny write access to removable drives not protected by BitLocker」を有効にします |
|
|
図14: この状態で非暗号化のUSBメモリをコンピュータに接続しますと、BitLockerによる暗号化を実行するか確認をうながされます |
図15: 先のメッセージで暗号化をせずに進みますと、USBメモリ内のファイルは参照できますが、ファイルの書き込みはできません |
もうひとつ気になる機能が「AppLocker」。アプリケーションの発行元やパス、ファイルのハッシュなどを元に実行を禁止する機能です。主に情報漏洩の危険性をはらむ違法なP2Pアプリケーションやチャットアプリケーションの実行、作業能率を低下させるかもしれないゲームの実行を抑制するというもの。基本的には、Windows XPにも用意されていたローカルセキュリティ設定の「追加の規制」とかわらないように感じます。もっとも同機能の設定はわかりにくく、機能の存在を知らない方も少なくありませんでした。そのため、Windows 7ではユーザービリティを向上させ、独立した新機能として前面に押し出しているのでしょう(図16)。
|
図16: Windows XPのローカルセキュリティ設定でもアプリケーションの起動を抑制することは可能でした |
AppLockerはローカルセキュリティポリシーの「アプリケーション制限ポリシー」から設定しますが、ユーザーインターフェースはWindows Serverライクに変更され、操作しやすくなりました。利用制御は、アプリケーションの発行元やパス、ハッシュなどで許可/禁止設定が可能です(図17~27)。
|
図17: AppLockerの設定はローカルセキュリティポリシーの「アプリケーション制御ポリシー」から実行します。最初に「実行可能ファイルの規制」を選択してください |
|
|
図18: アプリケーションの規制ページが開いたら、右クリック→<新しい規制の作成>を選択します |
図19: ウィザードが起動し、順番に設定を行ないます。最初に<許可><拒否>のいずれかを選択し、ユーザーもしくはグループの選択を行なってください |
|
|
図20: アプリケーションの<発行元>か、<パス><ファイルハッシュ>のいずれかから、規制条件を選択します |
図21: <発行元>を選びますと、バージョンやファイル名、製品名などを元にしたラベルをスライダーから選択できます |
|
|
図22: <パス>を選びますと、規制するアプリケーションのパスを指定します |
図23: <発行元><パス>の場合、例外条件を「発行元」「パス」「ファイルハッシュ」から選択できます |
|
|
図24: <ファイルハッシュ>の場合は規制対象となるファイルを選択します |
図25: 最後に規制名や規制に関するコメントを入力します |
|
図26: 初回時は許可設定を行なう規制情報がないため、自動作成をうながされます |
|
図27: これで既定の規制とユーザーが作成した規制が作成されます |
RC版だからなのか、筆者の設定に足りないところがあるのかわかりませんが、上記手順ではアプリケーションの実行を抑制できず、完全な検証に至りませんでした。この続きはWindows 7 RTM(Release to manufacturing : 工場出荷)版が登場してから再検証したいと思います。
阿久津良和(Cactus)
