パソコン困りごと相談 
◇-Win2000でセキュリティをかけるにはどうすればよいのですか-hiromi(1/25-16:49)No.20744
 ┗Re:Win2000でセキュリティをかけるにはどうすればよいのですか-かず@会社(1/25-18:17)No.20752
  ┗Re:Win2000でセキュリティをかけるにはどうすればよいのですか-ミテイ(1/26-11:27)No.20802
   ┗Re:Win2000でセキュリティをかけるにはどうすればよいのですか-hiromi(1/26-13:44)No.20806
    ┗Re:Win2000でセキュリティをかけるにはどうすればよいのですか-かず@会社(1/26-14:49)No.20807
     ┗訂正-かず@会社(1/26-14:59)No.20808
20744Win2000でセキュリティをかけるにはどうすればよいのですかhiromi 1/25-16:49

OS名:WindowsNT
パソコン名:エプソンエンデバー AT-690C
ソフト名:Office2000
みなさん、はじめまして。
パソコンのセキュリティについて相談します。
現在、私は仕事上で窓口業務をしており、多くのお客さんが資料を見にきますが、
そのお客さんに閲覧用として、先日、Win2000のPCを購入しました。どのような人
が操作するか分からないので、制限ユーザとして登録し、それで運用しようと考え
ていますが、セキュリティの問題で頭を痛めております。
スタートボタンをいじれなくさせたり、ある画面しか動かせなくするような市販の
ソフト、オンラインソフトがありましたら、教えていただけないでしょうか。
また、OSの段階でセキュリティを掛けられる方法がありましたら、よろしくご指
導ください。
よろしくお願いします。

20752Re:Win2000でセキュリティをかけるにはどうすればよいのですかかず@会社 1/25-18:17
記事番号20744へのコメント

>そのお客さんに閲覧用として、先日、Win2000のPCを購入しました。どのような人
>が操作するか分からないので、制限ユーザとして登録し、それで運用しようと考え
>ていますが、セキュリティの問題で頭を痛めております。
>スタートボタンをいじれなくさせたり、ある画面しか動かせなくするような市販の
>ソフト、オンラインソフトがありましたら、教えていただけないでしょうか。
>また、OSの段階でセキュリティを掛けられる方法がありましたら、よろしくご指
>導ください。
>よろしくお願いします。

顧客用に例えばguestuserアカウントを作成する。
でもって、guestuserアカウントを作成する途中?で、「アプリだか、???を
反映させますか?」みたいなメッセージが出ると思うのですが、そこで
反映させないようにします。(つまり、guest以外の人が普段使っている
プログラムを使えないようにする)
それだけだと、不十分なので、今度はアプリなどが入っているフォルダに
guestuserアカウントがある場合は、guestuserアカウントを削除します。
とりあえず、画面に関しては、guestuserアカウントを作成するとguestuser用の
デスクトップ画面になるので、大きな心配はいらないと思います。

>スタートボタンをいじれなくさせたり、ある画面しか動かせなくするような市販の
>ソフト、オンラインソフトがありましたら、教えていただけないでしょうか。
の件に関しては、わかりません。

試しにguestuserアカウントを作成して見て下さい、イメージでわかると思います。



20802Re:Win2000でセキュリティをかけるにはどうすればよいのですかミテイ 1/26-11:27
記事番号20752へのコメント
アカウントについて・・・
よく、Administrator アカウントにパスワードを設定していないのを見かけます。
パスワードは必ず設定しましょう。
できれば、Administrators グループに新規にアカウントを追加して、Administrator
アカウントを削除したほうがよろしいかと・・・。コレだけでセキュリティは結構上がります。
また、一部のアプリケーションに、自分のサービス用のアカウントを作成するものがあります。
デフォルトのアカウントでのインストールは避けたほうが良いです。知ってる人間は、ログイン
できてしまいます。
ネットワークに参加させている場合は、ネットワークがらみの設定は慎重に。ドメインに参加し
ている他の端末の内容が丸見えってことにならないように。

って、ココまでする必要あるのかな?

20806Re:Win2000でセキュリティをかけるにはどうすればよいのですかhiromi 1/26-13:44
記事番号20802へのコメント
かず@会社さん、ミテイさん、こんにちは。
アドバイスありがとうございました。

かず@会社さん
>顧客用に例えばguestuserアカウントを作成する。
>でもって、guestuserアカウントを作成する途中?で、「アプリだか、???を
>反映させますか?」みたいなメッセージが出ると思うのですが、そこで
>反映させないようにします。(つまり、guest以外の人が普段使っている
>プログラムを使えないようにする)
guestuserアカウントを作りましたが、上記のようなメッセージは出ませんでした。

>それだけだと、不十分なので、今度はアプリなどが入っているフォルダに
>guestuserアカウントがある場合は、guestuserアカウントを削除します。
すみません。私が持っている市販本は「Windows2000パーフェクトマスター(秀和システム)」という本
で、そこまで詳しい説明はありません。なにぶん、NT系は初めて触るもので・・(←そういうやつが管
理するな)
この辺の詳しい説明が載っている参考本があれば紹介してください。


ミテイさん
>アカウントについて・・・
>よく、Administrator アカウントにパスワードを設定していないのを見かけます。
>パスワードは必ず設定しましょう。
設定しました。

>できれば、Administrators グループに新規にアカウントを追加して、Administrator
>アカウントを削除したほうがよろしいかと・・・。コレだけでセキュリティは結構上がります。
Administratorを削除して大丈夫なものなんですか?

>また、一部のアプリケーションに、自分のサービス用のアカウントを作成するものがあります。
>デフォルトのアカウントでのインストールは避けたほうが良いです。知ってる人間は、ログイン
>できてしまいます。
>ネットワークに参加させている場合は、ネットワークがらみの設定は慎重に。ドメインに参加し
>ている他の端末の内容が丸見えってことにならないように。
よく考えてみると、LANを通して、インターネットを見せているのですが、他の端末を見せなくするこ
となんてできるのですかね。

頭がこんがらがってきた。他の仕事をやめて、この問題だけに没頭したいよ〜

では。

20807Re:Win2000でセキュリティをかけるにはどうすればよいのですかかず@会社 1/26-14:49
記事番号20806へのコメント
>guestuserアカウントを作りましたが、上記のようなメッセージは出ませんでした。
>

あれ、そうですか?でもって、デスクトップはどうなっています?
他の人の環境と同じようなデスクトップ画面になっていますか?
アプリは自由に使えているみたいですか?

>すみません。私が持っている市販本は「Windows2000パーフェクトマスター(秀和システム)」という本
>で、そこまで詳しい説明はありません。なにぶん、NT系は初めて触るもので・・(←そういうやつが管
>理するな)
>この辺の詳しい説明が載っている参考本があれば紹介してください。
>

今は、ちょっとわかりません、会社なので、自宅にいけば、技術解説書を持っているのですが。
(NT3.5のなので古い)
MCPの資格関係の本とかも読まれると、かなり詳しくなれます。


>設定しました。
>
>>できれば、Administrators グループに新規にアカウントを追加して、Administrator
>>アカウントを削除したほうがよろしいかと・・・。コレだけでセキュリティは結構上がります。
>Administratorを削除して大丈夫なものなんですか?

大丈夫です、但し上記のようにAdministratorsグループに新規にアカウントを
追加してからです。(追加するアカウント(hiromi?)=Administrator=Administrator権限)
つまり、Administratorsグループというのは、Administrator権限がある者だけです。
例えば、AdministratorやDomainUser(ドメインユーザーは他のPCのドメインのAdministrator)
ただ、Administratorのパスワードはhiromiさんだけしか知らないのなら、Administratorを削除
する必要はないと思います。

>よく考えてみると、LANを通して、インターネットを見せているのですが、他の端末を見せなくするこ
>となんてできるのですかね。
>

社内のさまざまさサーバーが今回導入したWin2000に対して、アクセス権を無くしてあげれば
良いです。そうすれば、ネットワークから社内の各サーバーが見えたとしても、アクセス
できないです。しかし、Win95,Win98,WinMeなども社内LANにある場合、かなり危険です。
なぜなら、Win95/98/Me(以下95系)の持ち主が、その95系のマシンをフォルダを共有に
しており、更にパスワードなしなんかで設定されていると、外部の人間が安易にそのフォルダに
アクセスできてしまいます。

そもそも、社内LANに接続している(イントラネット)Win2000に、外部の人間が自由に
触れること自体がおかしいです。

もし、外部の人間に自由に触れせるのであれば、スタンドアローン(社内LANから切り離す)
にして、外部に見せたい資料を予め、そのPCに入れておいて、インターネットをする場合は、
別プロバイダーと契約して、電話回線なりで別の方法でインターネットに接続するか、

もしくは、社内LANと接続している場合、
VPNを使用して、社内の人間はVPN経由で社内イントラを利用する、そして
外部の人間はVPNがわからないので(イントラに接続するパスワードなど)、
社内LANは利用できないという風にするのが一般的です。


20808訂正かず@会社 1/26-14:59
記事番号20807へのコメント

>もしくは、社内LANと接続している場合、
>VPNを使用して、社内の人間はVPN経由で社内イントラを利用する、そして

社内LANが直結じゃダメかも、RAS接続の場合に訂正。
ちょっと自信無い。