■■ Windows2000Proのセットアップ ■■

     Windows2000Proは、インターネットのサーバとして使えるだけの安定性とセキュリティ機能を備えています。その中、デフォルトの状態では設定が十分ではないところがあります。特にセキュリティについては慎重で適切なセットアップが必要です。

     ここでは、Windows2000Proをインターネット上のサーバとして使う場合の設定の一例を紹介しています。

■Administratorの名前の変更

     Administrator は誰もが知っている名前でオマケに権限が強いので、この名前は必ず変更します。ここで設定した名前は、今後、ソフトのインストールやサーバのメンテナンスなど、Windows2000にログオンするときに使います。
setup画面1

[コントロールパネル] → [ユーザとパスワード] を開きます。

"Administrator" を選択し [プロパティ] をクリックします。
setup画面1

[ユーザ名] のところに新しい名前を入力して [OK] をクリックします。

 ここでは"penguin" と入力しています。

 これで Administrator の名前が penguin に変更されました。
◇先頭◇ ◇表紙◇
■パスワードを無期限にしない

     管理者のパスワードは定期的に変えることにします。
setup画面1

[コントロールパネル] → [管理ツール] → [コンピュータの管理] → [ローカルユーザとグループ] を開きます。

さらに [ユーザー] から、さきほど変更した名前(ここでは"penguin")をクリックして [プロパティ] を開きます。
setup画面1

[パスワードを無期限にする] のチェックをはずして [OK] をクリックします。

◇先頭◇ ◇表紙◇
■ログオンする前にCtrl+Alt+Delキーを押す

     Windows2000Proを起動すると、デフォルトでいきなりパスワードの入力画面になります。そこで、ログオン画面までの操作のステップを増やしておきましょう。
setup画面1

[コントロールパネル] → [ユーザとパスワード] → [詳細] を開きます。

[ブート時のセキュリティ設定] [ユーザがログオンする前には必ずCtrl+Alt+Delキーを押す] にチェックを入れて [OK] をクリックします。

◇先頭◇ ◇表紙◇
■Guestアカウントを無効にする

     Guestアカウントは、デフォルトでは無効になっていると思いますが、もし有効になっていたら無効にします。
setup画面1

[コントロールパネル] → [管理ツール] → [コンピュータの管理] → [ローカルユーザとグループ] を開きます。

さらに [ユーザー] から [Guest] を選択して [プロパティ] を開きます。


setup画面1

[アカウントを無効にする] にチェックを入れて [OK] をクリックします。

◇先頭◇ ◇表紙◇
■パスワードの長さを指定する

     Windows2000Proは、デフォルトでパスワードなしのログオンを許可しています。これをできないようにして、かつ、パスワードを長くしておきましょう。
setup画面1

[コントロールパネル] → [管理ツール] → [ローカルセキュリティポリシー] を開きます。

さらに [アカウントポリシー] → [パスワードのポリシー] を選択し [パスワードの長さ] をダブルクリックします。


setup画面1

[ローカルポリシーの設定] [パスワードの長さ] を入力して [OK] をクリックします。ここは、8文字以上にしておけば十分でしょう。


◇先頭◇ ◇表紙◇
■パスワードのロックアウト機能をオンにする

     ログオン画面からやみくもにパスワードを入力されても、その回数を決めておけば安全です。それがロックアウト機能です。歓迎されないユーザが何回か連続してログオンに失敗したとき、一定時間そのアカウントを無効にします。
setup画面1
[コントロールパネル] → [管理ツール] → [ローカルセキュリティポリシー] を開きます。

さらに [アカウントポリシー] → [パスワードのポリシー] を選択し [アカウントロックアウトのしきい値] をダブルクリックします。


setup画面1

[ローカルポリシーの設定] [アカウントのロックアウト] を入力して [OK] をクリックします。ここは、5回程度にしておけばいいと思います。


    下のような画面がでてきて、変更を確認できます。
setup画面1

◇先頭◇ ◇表紙◇
■Microsoftネットワークは使わない

     インターネットに公開するサーバでは、ファイル共有等のMicrosoftネットワークは使わない方がいいでしょう。
setup画面1

デスクトップの [マイネットワーク] [プロパティ] を開きます。

さらに [ローカルエリア接続] を選択して [プロパティ] を開きます。


setup画面1

[インターネットプロトコル(TCP/IP)] 以外はチェックを外して [OK] をクリックします。

◇先頭◇ ◇表紙◇
■ディスクの共有をやめたい

     Windows2000のインストール直後は、すべてのドライブが管理共有に設定され、管理者名とパスワードがあれば全ディスクを外部から操作できます。
     各ドライブの 「プロパティ」→ [共有] から「このフォルダを共有しない」 にチェックすればOKですが、パソコンを再起動すると、この設定は消え去ります。^^;

     これは、セキュリティの観点から好ましくないと思うので、パソコンの立ち上げ時に、すべてのドライブの共有を禁止します。

    1. [スタート]−[ファイル名を指定して実行] から regedit を起動します。
    2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters にある DWORD値の AutoShareWks をダブルクリックし、値を 0 に設定します。

       # AutoShareWks が見当たらないときは、[編集]→[新規]→[DWORD値]で作成します。

    3. パソコンを再起動します。
◇先頭◇ ◇表紙◇
■サービスについて

     Windows2000Proを起動させると、バックグラウンドでさまざまなサービスと呼ばれるプログラムが動くようになっています。 [コントロールパネル] → [管理ツール] → [サービス] から、それらのプログラムの状態を知ることができます。
     この中で、必要ないサービスは止めた方が、セキュリティの面で効果が期待できるし、パソコンの負担も減るはずです。ただし、やみくもに止めてしまうと、作業中に思わぬエラーが出るときがあるので慎重に扱いましょう。

     私の環境でWindows2000Proをサーバ(Web、Mail、FTP、DNS)として使った場合、次のサービスについては「停止」にできるようです。中には「無効」にしているサービスもあります。あくまで参考程度にごらんください。

      Alerter
      Application Management
      ClipBook
      Computer Browser
      DHCP Client
      Distributed Link Tracking Client
      Distributed Transaction Coordinator
      DNS Client
      FAX Service
      Indexing Service
      Internet Connection Sharing
      IPSEC Policy Agent
      Logical Disk Manager
      Logical Disk Manager Administrative Service
      Messenger
      Net Logon
      NetMeeting Remote Desktop Sharing
      Network DDE
      Network DDE DSDM
      NT LM Security Support Provider
      Performance Logs and Alerts
      Print Spooler
      QoS RSVP
      Remote Access Auto Connection Manager
      Remote Procedure Call (RPC) Locator
      Remote Registry Service
      Removable Storage
      Routing and Remote Access
      Server
      Smart Card
      Smart Card Helper
      TCP/IP NetBIOS Helper Service
      Telnet
      Uninterruptible Power Supply
      Utility Manager
      Windows Installer
      Windows Time
      Workstation
      ◇先頭◇ ◇表紙◇
■安定動作のために

     セキュリティとは関係ありませんが、Windows2000Proをより安定して動かすための設定を紹介します。
setup画面1

デスクトップの [マイコンピュータ] [プロパティ] から [詳細] を開きます。

さらに [パフォーマンスオプション] をクリックします。


setup画面1

[アプリケーションの応答] [パフォーマンスの最適化] [バックグラウンドサービス] にチェックを入れます。

さらに [仮想メモリ] [変更] をクリックします。

setup画面1
ページングファイルサイズを、初期サイズと最大サイズを同じにして、ページングファイルの大きさを固定します。だいたい128〜384MBの範囲で設定すればいいでしょう。

     そして [設定] をクリックしてパソコンを再起動します。


     Windows2000では、いわゆる "リソース不足" はおきません。だからといって、無数のソフトウェアが同時に動くわけではありません。そこで、"リソース不足" にならずとも、なるだけ余裕のある状態で動作させることにします。

    1. [スタート] → [ファイル名を指定して実行] から regedit を起動します。

    2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\Windows をダブルクリックします。

      setup画面1

    3. [値のデータ] で、1024,3072,512 と並んでいるところの 3072 を、たとえば 4000 にして 1024,4000,512 にします。

      setup画面1

    4. [OK] をクリックしてパソコンを再起動します。
◇先頭◇ ◇表紙◇
■HDD(NTFS)のパフォーマンスを向上させたい

     NTFSは、DOSやWindows3.1との互換性のため8+3形式のファイル名を生成しています。DOSやWindows3.1を使わないなら、この生成を停止させましょう。

    1. [スタート] → [ファイル名を指定して実行] から regedit を起動します。
    2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Filesystem にある DWORD値の NtfsDisable8dot3NameCreation をダブルクリックし、値を 1 に設定します。

     また、NTFSはフォルダを開くたびに、そのフォルダの最終アクセ日時を更新するので、これを停止させれば、パフォーマンスが向上します。

    1. [スタート] → [ファイル名を指定して実行] から regedit を起動します。
    2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Filesystem にある DWORD値の NtfsDisableLastAccessUpdate をダブルクリックし、値を 1 に設定します。

       # NtfsDisableLastAccessUpdate が見当たらないときは、[編集] → [新規] → [DWORD値] で作成します。

    3. パソコンを再起動します。
◇先頭◇ ◇表紙◇
dance & dance