現在地 HOME > 掲示板 > IT5 > 795.html ★阿修羅♪ |
|
Tweet |
Windows XP SP2で動かなくなったプログラムの“救出方法”教えます【internet.watch】
http://internet.watch.impress.co.jp/cda/special/2004/07/20/3933.html
● SP2を導入しても、基本的にすべてのアプリケーションが動く
今秋リリースと言われているWindows XP SP2。今回は候補版であるRC2(V.2129)の使用を基に書いている
Windows XPの最新サービスパックであるSP2のリリース候補版「RC2」が、6月21日よりマイクロソフトのWebサイトからダウンロード可能となっている。
SP2は、名称が「Microsoft Windows XP Service Pack 2 セキュリティ強化機能搭載」であることからもわかるように、目玉となる機能はセキュリティ機能の大幅な追加と修正だ。
また、多くのセキュリティ関係の機能でデフォルトの状態が、これまでよりも“安全面に配慮された設定”となっており、インストールして利用してみると「やたらと警告メッセージが表示される」や、「使えなくなった機能が出てきた」と感じるかもしれない。
ただし、筆者がRC2を実際に使ってみたところ、きちんと確認して設定(ほんの一部の例外を除いては)さえすれば、これまで使えていた機能が使えなくなる、ということはほとんどないようだ。
以下では、ほんの一例だが、SP2でメッセージが出てしまった場合の、筆者流の対処方法を紹介する。もしSP2利用時にこのようなメッセージが出て、これまで使っていたプログラムが使えなくなった場合には、参考にすると良いかもしれない。
※なお、以下はRC2環境下での使用をもとに書いたものであるため、実際にリリース版のWindowsXP SP2とは異なっている場合もあるので注意が必要だ。
● 「Windowsセキュリティの緊急警告」アイコンがタスクトレイに表示される場合
Windows XPのセキュリティ関係の項目の確認を行なうセキュリティセンター
Windows XP SP2を使い始めると、すぐにセキュリティ関係の警告メッセージが次々と表示されるようになるだろう。
まず最初に表示されるのは、「Windowsセキュリティの緊急警告」というバルーン表示だ。この警告では、タスクトレイに赤い盾のアイコンと「Windowsセキュリティの緊急警告」が表示される。
SP2では、新たに「Windowsセキュリティセンター」という機能が搭載された。このセキュリティセンターは、Windowsシステムのセキュリティ設定がきちんとされているかどうかを監視する機能だ。具体的には、以下の3種類のセキュリティに関する機能について、常時有効性をチェックしている。
・ファイアウォール
・自動更新
・ウイルス対策
「Windowsセキュリティの緊急警告」が表示されるのは、「Windowsファイアウォール機能が有効に設定されていない」「Windowsの自動更新が設定されておらず、WindowsUpdateが自動的に実行されていない」「ウイルス対策ソフトがインストールされていることをWindowsが確認できない」といった場合が考えられる。
特に間違えやすいのが、「ファイアウォールを無効にして、このメッセージが表示される」というパターンだ。
ファイアウォールを有効にすると、「ファイルとプリンタの共有ができなくなる」といった問題が発生する場合がある。この時、面倒なのでファイアウォールを止めてしまいがちだ。しかし、ファイアウォールを止めてしまうとセキュリティ上問題があるので、きちんと設定すれば「ファイアウォールの警告を出さず」なおかつきちんと通信をすることができるのだ。
たとえば、ファイルとプリンタの共有を正しく動かしたい場合は、Windowsファイアウォールの「例外」として、「ファイルとプリンタの共有」を設定すれば良い。ファイアウォールの例外設定として、「ファイル共有やプリンタに関する通信が行なわれた場合に、通信の制御を解除する」といった設定もできるのだ。
Windowsファイアウォールでは「例外」として、通信を止めないプログラムを設定できる。ファイルやプリンタの共有をする場合は、このチェックを入れておけばよい
● ファイアウォールの通信ブロック警告が表示される場合には
Windowsファイアウォールによって通信をブロックされた際に表示されるダイアログの例
このファイアウォール機能では、基本的に「例外データベース」に登録されていないアプリケーションが、インターネットから下りの通信に関する問い合わせがあった場合、通信を許可しない仕組みになった。SP2インストール後、初めて見つけた通信は、1度通信を遮り、ユーザーにその通信を行なって良いかどうか確認してくるのだ。その際にユーザーが許可すれば、それ以後はこのような警告文が出ないように設定することもできる。
例えば、初めてFTPソフトを利用した場合や、P2Pファイル交換ソフトなどを利用した場合には、「アプリケーションがインターネットと通信しようとしているが許可するか?」といった内容のダイアログが表示される。そのような警告文が出た場合は、どのアプリケーションが通信しようとしているかを確認した上で、問題ない場合は「ブロックを解除する」を選択すればよい。
ただし、この方法でブロックを解除した場合には、任意のアドレスからの通信を受け入れてしまうことになる。インターネットに接続している場合は、インターネット上のどのマシンからでもアクセスができることにもなり、危険性が高い。
そのような場合には、ファイアウォールの設定として、通信先アドレスの範囲を定める設定ができる。具体的には、コントロールパネルの「Windowsファイアウォールの設定」から指定できる「スコープの変更」だ。たとえば、「192.168.1.1/255.255.255.0」と設定しておけば、接続できるアドレスを「192.168.1.0〜255」に限定することができる。もし、ある特定のアドレス、たとえば職場の社内LANだけに接続できればいい、といった場合には、「スコープの変更」もしておいたほうが安全だろう。
ちなみに、これまで流通しているファイアウォールソフトでは、PCからインターネットへの通信要求、サーバーからPCへの通信要求の両方とも制限を行なうのが一般的だった。しかし、SP2のファイアウォールでは、「基本的にインターネットからPCへの通信要求だけを制限する」という違いがあるので注意したい。
なお、Windowsファイアウォールでは、デフォルト設定でICMP関係が「OFF」になっている。このため、ほかのPCからPingを打っても、相手のPCがいることがわからなくなっているのだ。従来も、一部のウイルス対策ソフトではこのように仕様になっているものもあったが、今後は大部分のWindowsマシンがPingに反応しないことが予想されるため、ネットワーク管理者には少々厄介かもしれない。
● ウイルス対策ソフトの警告が表示される場合には
ウイルス対策ソフトに関しては、セキュリティセンターが「ウイルス対策ソフトがインストールされているかどうか?」をチェックするだけなので、ベンダー各社からウイルス対策ソフトを購入して、インストールすれば良い……はずだったのだが、残念なことに、筆者の環境ではそのようになっていない。
筆者がRC2を導入して実験していたところ、ウイルス対策ソフトをインストールしているにもかかわらず、セキュリティセンターが「ウイルス対策ソフトをWindowsが把握できない」として、「ウイルス対策の状態が不明です」という警告メッセージが表示されてしまうのだ。
ウイルス対策ソフトがPCにインストールされていない場合、Windowsはこのようなバルーン表示で警告を行なう 現在、どのようなウイルス対策ソフトをインストールしていても表示されてしまう「ウイルス対策の状態が不明です」というメッセージ。気になるようであれば、正式リリースのSP2をインストール後に、ウイルス対策ソフトのアップデートが配布されていないか確認すると良いだろう
セキュリティセンターでは、Windows上で動いているプロセス情報を把握するWMI(Windows Management Instrumentation)という仕組みを利用し、「現在、PC上で動いているウイルス対策ソフトがあるかどうか?」をチェックしている。この時、Windowsはまず「ウイルス対策ソフトらしいプロセスが動いているか?」を確認する。プロセスが確認ができた場合、そのプロセスのプロパティをチェックすることで、ウイルス対策ソフトが有効に動いているかどうかを確認するという流れだ。
ただし、現在のRC2ではこの機能はうまく動いていないようだ。たとえば、「Norton Internet Security」や「ウイルスバスター」といった、有名なウイルス対策ソフトをインストールしている場合、インストールされているソフトウェア欄にはそれらのソフトの名前が表示されるものの、「ウイルス対策の状態が不明です」という警告メッセージが表示されてしまうのだ。
この点の詳細に関しては、残念ながら筆者の知識では、WMIからウイルス対策ソフトが有効かどうかを知るすべがわからなかった(ちなみに、WMIに関しては、Windowsに添付されている「wbemtest」で管理ツールを起動することができる)。ウイルスデータベースファイルの日付などを見る方法はわかったのだが、この機能が「Windows側の機能の未実装」によるものなのか、それともこれからウイルス対策ソフト側でこれらの対策を行なうのかはわからない。
ただし、このようなチェック方法を使っている限りは、アプリケーション側でもある程度の対応が必要であると考えられる。SP2リリース前である現時点では、全てのソフトがSP2が出る以前から有効かどうかの情報をWindowsに渡せるようになっているとは考えにくい。したがって、おそらく「何らかのパッチによって対応する」というソフトが多いのではないかと思う。
このメッセージが気になる場合は、SP2の正式版をインストールした後、まず「ウイルス対策ソフトのアップデートがあるかどうか?」をチェックすると良いだろう。幸いなことに多くのウイルス対策ソフトは、ウイルス対策ソフトのプログラム本体のアップデートができるようになっている。もし、ウイルス対策ソフト側で何らかの変更が必要な場合は、アップデート機能などを通じて対策版が配布されると考えられる。
それでも、「手持ちのウイルス対策ソフトがWindows XP SP2には対応しないが、そのソフトウェアは使い続けたい」という場合には、Windowsのウイルス対策の確認機能をOFFにするか、あるいはセキュリティセンターが発するウイルス対策に関しての警告を止めた後に、ウイルス対策ソフトを動かすという方法もあるだろう。
● Internet Explorerがブロックする機能を回避するには
Internet Explorerのポップアップブロック機能が実行されたところ。マウスの右クリックメニューで解除できる
さて、Windows XP SP2では、Internet Explorer(IE)とOutlook Expressに関しても、セキュリティに関するいくつかの機能が追加・変更されている。このため、操作によってはメッセージが表示されたり、今までとは手順が異なる操作が出てくるようだ。
まず、Webサイト上で、新しいウィンドウをポップアップ表示するのを、IEが抑えるようになった。このとき、ブラウザ上には「ポップアップがブロックされました」というメッセージが表示される。この時の対処方法は、メッセージ上でマウスを右クリックしてメニューを表示し、「ポップアップを許可する」ようにすればよい。ポップアップは一時的に許可することも、あるいは常に許可するようにも設定できる。
ちなみに、ポップアップブロックの設定はコントロールパネルや、IEのインターネットオプションの「プライバシー」から設定を変更できる。
また、ActiveXなどのアクティブコンテンツに関しても制限がかけられたほか、慣れないとファイルのダウンロードができなくなった点にも戸惑うかもしれない。SP2のIEでは、ファイルの自動ダウンロードがブロックされるようになった。この場合も、同様にメニュー上で右クリックすると、「ファイルのダウンロード」というメニューがあるので、これを選べばOKだ。
● Athlon64マシンでは、「DEPによる停止」がある
そのほかにも、SP2で新しく追加されたものに「データ実行防止(DEP)」という機能がある。ごくまれな例だが、ソフトの作りによっては、この「DEPによりプログラム停止」というメッセージが表示がされて、プログラムが作動できなくなっている場合がある。
このDEPとは、Athlon64に搭載されている機能で、今秋以降のインテル系CPUの一部でも利用可能になるといわれているNX機能と呼ばれているものだ。これまでは、OS上でメモリを確保する際に「プログラム用」「データ用」と分けてメモリを確保していたにもかかわらず、データ用に確保したメモリにプログラムを入れて実行することができてしまっていた。
この問題が弱点となり、ウイルスプログラムなどが不正にシステムに侵入したり、管理者権限を乗っ取るためによく使われていた。このことから、SP2では、このような不正使用プログラムを止めるための仕組みを導入したのだ。ただし、ハードウェア側でこのような違反を犯すプログラムをチェックできるシステムが必要となっている。
通常のプログラムでは、そのような作りになっているプログラムはそうは多くないのだが、ごくまれに、データ領域中にプログラムを展開し、実行するという作りになっているものがある。そのような場合、不正なプログラムでなくても、この「DEPによる停止」というメッセージが表示されてしまう。
このメッセージへの対策だが、この「DEPによる停止」機能では、プログラムひとつひとつに対して「DEP停止を許可する、または不許可にする」といった設定ができる。この設定項目で、必要なプログラムにチェックを入れておくと、そのプログラムはDEP停止をされないように変更できる。
DEPによる不正なプログラムの停止がされた例。Athlon64を搭載したマシンでは、データ領域でプログラムを実行するような不正プログラムを止めることができる。また、この機能はIntel系のマシンでも、今後使えるようになる予定だ DEPによるプログラムの停止を行なわないプログラムを指定するのは「データ実行防止」画面。ここでチェックされたプログラムが、DEP無効になる
関連情報
■URL
Windows XP Service Pack 2
http://www.microsoft.com/japan/windowsxp/SP2/
RC2ダウンロードサイト
http://www.microsoft.com/japan/technet/prodtechnol/winxppro/maintain/sp2predl.mspx
■関連記事
・ Windows XP SP2の名称は「セキュリティ強化機能搭載」、RC2の提供も開始(2004/06/21)
( 大和 哲 )
2004/07/20 11:12