Windows XP における自動更新およびダウンロード テクノロジの管理
ダウンロード
|
Microsoft Corporation
発行日 : 2002 年 2 月 7 日
Windows XP には、設定可能な自動更新およびダウンロード テクノロジが含まれており、管理者もエンドユーザーも、最新の更新や修正プログラムなどを、安全に、タイムリーに、そして簡単に、各自の PC に取り込むことができます。
この文書では、Windows XP における自動更新およびダウンロード テクノロジについて、また、IT 環境内で同テクノロジを管理する方法についても解説しています。
トピック
 | はじめに |
| グループ ポリシー オブジェクト (GPO) の修正 |
| Windows Update |
| Windows Media Player |
| MSN Explorer |
| Windows Messenger |
| ヘルプとサポート センター |
| ルート証明書 |
| 証明書失効 |
| ActiveX コントロール |
| インターネット タイム サービス |
| デジタル権限の管理 |
| 関連リンク |
はじめに
Microsoft は、PC をできるだけシームレスに、安全にお使いいただけるように設計しました。また、さらに信頼できるものにしようと、設計上の努力を重ねた結果、Microsoft Windows XP の技術の中にその一部を実現することができました。Windows XP は、最新の更新、バグの修正、セキュリティ用の修正プログラムをユーザーの PC に自動的に提供することができます。Microsoft は、管理者とユーザーの皆様が、PC と個人情報を管理するために必要なツールを常に手にできるように最善を尽くします。
この文書は、システム管理者が Windows XP の自動更新およびダウンロードテクノロジを把握し、各自の IT 環境内で管理するための手引として書かれたものです。
以下は、更新されたソフトウェアと情報をインターネットから自動的にダウンロードし、インストールすることができるコンポーネント、アプリケーション、テクノロジのリストです。いずれもこの文書で解説されています。
| • | Windows Update |
| • | Windows Media Player |
| • | MSN Explorer |
| • | Windows Messenger |
| • | ヘルプとサポート センター |
| • | ルート証明書 |
| • | 証明書の失効 |
| • | 動的な更新 |
| • | ActiveX コントロール |
| • | インターネット タイム サービス |
| • | デジタル権限の管理 |
この文書の以降の部分では、各コンポーネントの背景と動作をユーザーの観点から詳しく解説し、更新が実行される状況について、また、システム管理者が Windows XP ユーザーのためにこれらのテクノロジを管理する上で利用可能なオプションについても詳述します。
グループ ポリシー オブジェクト (GPO) の修正
管理者が各自の環境内で更新を管理する際に、利用できるツールは数多くあります。この文書では、優先されるツールとして、グループポリシーオブジェクトを重点的に取り上げます。これらのポリシーの多くはローカルポリシーを使用して適用することも可能なため、グループポリシーの環境内にない場合には、管理者はサービスを無効にできます。グループポリシー設定がない場合には、環境の管理のために別の方法を提供いたします。
管理されている環境内では、グループポリシーは、ディレクトリベースのデスクトップ構成管理を提供することができます。管理者は、グループポリシーを使用して、ユーザーやコンピュータのグループに対する構成を定義できるほか、レジストリに基づいたポリシー、セキュリティ、ソフトウェアのインストール、スクリプト、フォルダのリダイレクト、リモートインストールサービス、Internet Explorer のメンテナンスのための設定を指定することもできます。管理者が作成するグループポリシー設定は、グループポリシーオブジェクト (GPO) 内に格納されます。選択したActive Directory サービスシステムコンテナ (サイト、ドメイン、組織単位 (OU) ) に GPO を関連付けることで、それらの設定を Active Directory コンテナ内のユーザーとコンピュータに適用できます。
Windows XP 向けにポリシー設定を調整するには、該当するグループポリシーオブジェクト (GPO) をターゲットにして、特定のポリシー設定を修正する必要があります。
GPO をターゲットにするには、以下の操作を行います。
1. | [スタート] メニューの [ファイル名を指定して実行] をクリックし、「MMC」 と入力して、[OK] を クリックします。 |
2. | [コンソール] メニューで、[スナップインの追加と削除] をクリックします。 |
3. | [スナップインの追加と削除] ダイアログボックスで、[追加] をクリックします。 |
4. | [スタンドアロンスナップインの追加] ダイアログボックス内の [利用できるスタンドアロンスナップイン] リストボックスで [グループポリシー] をクリックし、次に [追加] をクリックします。 |
5. | [グループポリシーウィザード] で、[参照] をクリックし、ターゲットとなる GPO を選択し、[OK] をクリックします。次に、[完了] をクリックしてグループポリシーウィザードを閉じると、グループポリシーエディタが表示されます。 注意 グループポリシーを使用するには、Active Directory" サービスが Windows 2000 Server の環境にインストールされている必要があります。 |
グループポリシー使用法の詳細については、以下を参照してください。
| • | |
| • |
Windows Update
ユーザーの利用環境
Windows Update は、Windows のオンライン拡張であり、ユーザーがコンピュータを最新の状態に保つ為に役立ちます。管理者特権を持つユーザーは、Windows Update を使用して、使用するコンピュータのオペレーティングシステム、ソフトウェア、ハードウェアに対する更新を選択することができます。新しいコンテンツが定期的にサイトに追加されるので、ユーザーは常に最新の更新と修正プログラムを入手してコンピュータを保護し、円滑な動作を保つことができます。
Windows Update には、以下の2 つの主要コンポーネントが含まれています。
コンテンツの更新
ユーザーが Windows Update の Web サイトを訪問するか、または自動的にこのサイトにたどり着いて、ダウンロードとインストールを行うコンポーネントの更新をクリックすると、コンテンツの更新が自動的に行われます。コンピュータへのダウンロードは、ユーザーによく見える形で行われます。
Web サービスコントロールの更新
Windows Update の Web サービスには、コンテンツの更新を制御する ActiveX Web コントロールプログラムが含まれます。Windows Update チームは、Web サービスをどう改善するかについて、お客様からフィードバックを得て、Windows Update サービスコントロールは、お客様のニーズを反映するように変更されます。お客様が必要とする新たなコンテンツやサービスにアクセスできるように、Web コントロールは定期的に更新されます。ユーザーが Windows Update の Web サイトにアクセスしたり、Windows のその他の機能のどれかが Windows Update コントロールにアクセスした場合に、このサービスが、Web コントロールプログラムの新しいバージョンを自動的にダウンロードする仕組みになっています。Active X コントロールがダウンロードされる場合と同様、Web コントロールがインストールを試みていることを知らせるセキュリティダイアログボックスが表示されることがあります。Internet Explorer のセキュリティ設定を使用して、コンテンツプロバイダとしてMicrosoft を常に信頼するオプションを選択してあるユーザーの場合、このダイアログボックスは表示されない場合もあります。セキュリティダイアログボックスでユーザーが[同意します] をクリックしない限り、コントロールは更新されません。
更新が行われるタイミング
Windows XP には、Windows Update コンポーネントを使用するさまざまな機能があります。以下、それらの機能について説明します。Windows Update の機能が利用できるのは、管理者権限を持つユーザーに限られます。
Windows Update の Web サイト
ユーザーは、自動更新がマシン上で構成されているかどうかに関係なく、Web サイトに手動で接続して、インストールすべき更新をダウンロードすることができます。Windows XP の [スタート] メニューの [すべてのプログラム] には、Windows Update の Web サイトに接続できる代表的なリンクが含まれています。
自動更新
ユーザーは、この機能を設定することで、更新を自動的にコンピュータにダウンロードすることができます。AutoUpdate は、重要なシステムの更新をコンピュータに自動的にダウンロードしてくれます。AutoUpdate サービスのインストール方法については、ユーザーが設定を行います。構成するコンテンツは、以下のとおりです。ダウンロードされたコンテンツの更新がインストールされる場合には必ず、ユーザーに確認が求められます。
AutoUpdate の機能は、既定では有効になっておらず、ユーザーが意図的にオンにすることを選択しない限り、動作しません。ユーザーが AutoUpdate をオンにすると、以下の 3 種類の通知オプション設定が表示されます。1)自動的に更新をダウンロードし、インストールの準備が整うと、Windows Update が通知する。2) どの更新についても、ダウンロード前にWindows Update が通知し、コンピュータにインストールする前にも再度通知する。3) 自動更新を無効にし、ユーザーが手動でコンピュータの更新を行う。どのオプションを選択した場合でも、ユーザーが同意しなければ、新しくダウンロードした更新は適用されません。
動的な更新
動的な更新は、Windows XP のセットアップの初めに一度だけ実行される機能です。動的な更新は、Windows Update サービスによってインターネットに接続し、セットアップを正常に完了させるために重要と思われるすべての修正プログラムをダウンロードします。時間が経てば、動的な更新に追加される修正プログラムとドライバが増え、カスタマープロダクトの問題が解決されるにつれて、セットアップがより容易に、効率的に行われるようになります。動的な更新は、Microsoft に報告されている確認済みの問題によるインストールの失敗や未更新によるトラブルを防ぐために設計されました。
セットアップ中に、ユーザーは、動的な更新の機能を使用したいかどうか、セットアップのための最新の更新を受け取りたいかどうかを質問される場合があります。ユーザーが[いいえ] をクリックすると、セットアップは更新のためにインターネットにアクセスすることなく、続行されます。[いいえ] をクリックした場合、ユーザーは、インストールを正常に完了させるために役立つ更新があっても、それを入手する機会を逸してしまいます。応答ファイルによる無人インストールが使われた場合、動的な更新は、既定では利用できるようになっていません。
プラグアンドプレイデバイス
新しいプラグアンドプレイデバイスがコンピュータに接続されて、コンピュータ上にドライバがない場合、Windows XP は Windows Update サービスを使って利用可能な新しいドライバを探します。
ドライバの更新
この機能は、デバイスのプロパティとデバイスマネージャの中で利用でき、Windows Update の Web サイトを探して新しいドライバをインストールするために使えます。
プリンタウィザード
プリンタウィザードには、Windows Update に進むためのボタンがあり、ユーザーはそこから、プリンタに利用できるドライバの新しいリストをダウンロードできます。管理者は、パワーユーザーがプリンタウィザードを通じて Windows Update からドライバを追加できるように、グループポリシーをセットアップすることができます。
IT 環境内の更新の管理方法
プリンタウィザードを除いて、Windows Update コンポーネントを使用する機能はすべて、更新のダウンロードまたはインストールを行うユーザーに管理者特権を要求します。しかし、これらのコンポーネントを、他の管理者を含むすべてのユーザーに対して無効にすることのできるポリシーがいくつかあり、システム管理者はそれらのポリシーを使用することができます。管理者は、更新機能を無効にするかどうかに関係なく、いつでも、Windows Update カタログサイトから更新を手動でダウンロードし、会社のネットワーク上で配布するオプションを持っています。
以下に、グループポリシーを使用してこれらの機能を無効にする方法を説明します。
I. Windows Update の Web サイト
このポリシーは、Windows Update の Web サイトへのアクセスを無効にし、オペレーティングシステムからサイトへのリンクを削除します。
Windows Update の Web サイトへのアクセスをポリシーによって無効にするには、
1. | グループポリシーエディタ内の [ユーザーの構成]の[管理用テンプレート]をクリックし、[Windows コンポーネント]をクリックし、次に [Windows Update] をクリックします。 |
2. | [Windows Update のすべての機能へのアクセスを削除する] をダブルクリックし、図 1 に示すように、[有効]を選択します。  図 1: Windows Update の機能へのアクセスを削除 |
II. プラグアンドプレイデバイス、更新ドライバ、プリンタウィザード
“ドライバ検索場所の構成”というグループポリシーを使って、ドライバまたはデバイスの検索時に Windows Update を含むかどうかを制御することができます。Windows Update が無効の時には、プリンタウィザード内の [Windows Update] ボタンは灰色表示になります。
プラグアンドプレイデバイス、更新ドライバ、プリンタウィザードへのドライバ検索パスとして、Windows Update を無効にするには、
1. | グループポリシーエディタ内の [ユーザーの構成]の[管理用テンプレート]をクリックし、[システム]をクリックします。 |
2. | [ドライバの検索場所を構成する] をダブルクリックし、[有効] を選択します。 |
3. | [Windows Updateを検索しない]をクリックします。 |
III. 自動更新
自動更新を無効にするには、
1. | グループポリシーエディタ内の [ユーザーの構成]の[管理用テンプレート] をクリックし、[システム]をクリックします。 |
2. | [Windows の自動更新] をダブルクリックし、[無効]を選択します。 |
3. | 個々のユーザーは、上記の手順に従って、手元のコンピュータの自動更新を無効にすることができます。加えて、ユーザーはコントロールパネルから自動更新を調整することもできます。 |
コントロールパネルから自動更新を無効にするには、
1. | [スタート] メニューの [コントロールパネル]をクリックし、[パフォーマンスとメンテナンス] をクリックし、次に [システム]をクリックします。 |
2. | [自動更新]タブをクリックし、[コンピュータを常に最新の状態に保つ]のチェックをオフにします。 |
IV. 動的な更新
Windows XP のインストールに、応答ファイルを利用した無人セットアップが使用される場合、動的な更新は、既定で無効になります。管理者は、動的な更新を有効にし、特定のネットワークパスと位置を指定することで、動的な更新を通じて入手可能な修正プログラムをクライアントコンピュータに送ることができます。
管理者は、動的な更新のパッケージを Windows Update カタログサイトから自社の企業ネットワークにダウンロードすることができます。これによって管理者は、インターネットではなく企業のネットワークから動的な更新のパッケージを取り出すように、インストールを制御することができます。
無人インストールの詳細については、Windows XP Professional Resource Kit 内の以下のセクションを参照してください。
| • | |
| • |
Windows Media Player
ユーザーの利用環境
Windows Media Player の新しい機能やパフォーマンス拡張機能は、定期的にリリースされます。ユーザーがこうしたパフォーマンス拡張機能や新しい機能を容易に入手できるように、Windows Media Player には、新しいバージョンを自動的にチェックできる機能が組み込まれています。また、既定で、新しいCodecや、既存のCodecに対する更新をインターネットからダウンロードする機能も備わっています。ユーザーは、更新のプロセスを完全に制御できます。
更新が行われるタイミング
既定では、Windows Media Player は毎月最新バージョンの有無をチェックするようになっています。バージョンチェックの頻度は、オプションダイアログを使用して、プレーヤー内で構成できます。チェックの頻度は、毎日、毎週、毎月のいずれかに変更できます。チェックによって最新バージョンが見つかった場合、新しいバージョンをインストールするかどうか、ユーザーに確認が求められます。また、自動チェックと手動更新のオプションは、管理者権限を持つユーザーのみが使用できます。
Codecは、プレーヤーがコンテンツの再生に必要なCodecを認識できない場合に更新されます。プレーヤーは続いて、Microsoft の Web サイトでCodecを検索し、入手できる場合にはインストールします。他の Microsoft の Web サイトで、Microsoft が公開しているコンテンツを信頼するという意思表示を一度もしたことのないユーザーの場合には、オーセンティコードセキュリティダイアログが表示されます。ユーザーが、Microsoft が公開しているコンテンツを常に信頼するという意思表示をした場合には、Codecは、ユーザーにダウンロードの確認を求めることなく、コンテンツのダウンロード、インストール、再生を行います。
IT 環境内の更新の管理方法
ユーザーが更新のプロセスにアクセスできないようにするには、それらのユーザーに管理者特権を設定しないことをお勧めします。Windows Media Player for Windows XP には、更新機能のチェックを無効にするグループポリシーの設定がありません。自動更新の機能を無効にするために使用できるオプションがもう 1 つありますが、前出の管理オプションを選択できない場合には、お勧めしません。もう 1 つのオプションは、レジストリキーを使用して自動更新の機能を無効にする方法です。このキーを設定する方法を、以下に説明します。
I.レジストリキーを使用して Windows Media Player for Windows XP の更新を無効にするには、以下の手順に従います。
1. | レジストリエディタ (Regedt32.exe) を起動します。 | ||||||||
2. | レジストリ内で以下のキーを探します。 | ||||||||
3. | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft | ||||||||
4. | [編集]、[新規]、メニューで、[キー] をクリックし、次のキー名を追加します。 | ||||||||
5. | WindowsMediaPlayer | ||||||||
6. | [WindowsMediaPlayer] キーを追加した後、[WindowsMediaPlayer] キーをクリックします。 | ||||||||
7. | [編集] 、[新規]メニューで、[DWORD値] をクリックし、以下のレジストリ値を追加します。
| ||||||||
8. | レジストリエディタを終了します。 |
II. Windows Media Player におけるバージョンチェックの頻度を構成するには、
1. | Windows Media Player を開き、[ツール] をクリックし、[オプション] をクリックします。 |
2. | [プレーヤー] タブをクリックし、下記の図 2 に示すように、[自動更新] セクションの頻度を選択します。  図 2: Windows Media Player の更新をカスタマイズする |
III. Windows Media Player には、プレーヤーの更新が無効にされているかどうかに関係なく、インターネットから Codec を更新する機能も備わっています。
Codec のダウンロードオプションをポリシーによって無効にするには、
1. | グループポリシーエディタ内の [ユーザーの構成] の [管理用テンプレート] をクリックし、[Windows コンポーネント] をダブルクリックし、[Windows Media Player] をダブルクリックし、次に [再生] をダブルクリックします。 |
2. | [Codec ダウンロードの禁止] をダブルクリックし、[有効] を選択します。 |
IV. Codec はまた、[コーデックを自動的にダウンロードする] のチェックボックスをオフにすれば、個々のマシンで無効にすることもできます。
以下の手順に従います。
1. | Windows Media Player を開き、[ツール] をクリックし、[オプション] をクリックします。 |
2. | [プレーヤー] タブをクリックし、[コーデックを自動的にダウンロードする] のチェックボックスをオフにします。 |
MSN Explorer
ユーザーの利用環境
MSN Explorer は、ユーザーが確実に最新のバグ修正や機能の拡張を入手できるように、自動的に自らを更新する、ユーザーの立場で作られたアプリケーションです。
更新が行われるタイミング
最新のバグ修正と機能の拡張を提供するための定期的な更新は、ユーザーが MSN Explorer を実行している間に行われます。MSN Explorer を快適に使用していただくために、自動更新の機能は、ユーザーが構成できるようには設計されていません。
IT 環境内の更新の管理方法
MSN Explorer で利用できる唯一の IT 管理オプションは、MSN Explorer をユーザーの展開から除外することです。企業においては、Internet Explorer を使ったブラウズが望ましく、また推奨されます。これにより、IT 環境を安全にし、また管理するためのカスタマイズと制御がより一層しやすくなります。
Windows XP を組織内の複数のコンピュータで展開する場合、応答ファイル内のオプションを設定することで、MSN Explorer のインストールを除外することができます。このように、応答ファイルは自動展開プロセスにおける重要なコンポーネントです。
応答ファイルに以下を追加します。
Search for [component] section.
Add msnexplr = off.
無人インストールの詳細については、Windows XP Professional Resource Kit 内の以下のセクションを参照してください。
| • | |
| • |
Windows Messenger
ユーザーの利用環境
Windows Messenger は、ユーザーが確実に最新の更新、修正プログラム、その他の拡張機能を入手できるように、定期的にリリースされます。ユーザーが最新バージョンを容易に入手できるように、Windows Messenger には、新しいバージョンを自動的にチェックできる機能が組み込まれています。ユーザーは、更新のプロセスを完全に制御できます。
更新が行われるタイミング
入手可能な更新がある場合、更新がまずコンピュータにダウンロードされてから、ユーザーに新しいバージョンをインストールするかどうか、確認が求められます。ユーザーが新しいバージョンをインストールしないと決めた場合、Windows Messenger は更新されず、ユーザーが次回ログオンした時に、手元のバージョンをアップグレードするかどうか、確認を求められます。これらの更新を適用できるのは、管理者特権を持つユーザーのみです。
IT 環境内の更新の管理方法
ユーザーが更新のプロセスにアクセスできないようにするには、それらのユーザーに管理者特権を設定しないことをお勧めします。ただし、もう 1 つのオプションとして、レジストリキーを使用して更新を無効にする方法があります。Windows Messenger が新しいバージョンをチェックする機能を無効にするためのレジストリキーと、Windows Messenger がコンピュータ上で実行されないようにするためのグループポリシーについて、以下に説明します。
I.レジストリキーの設定を使用して、自動バージョンチェックを無効にする。
更新を無効にするために、以下のレジストリキーが使用できます。
キーは 2 つあります。HKLM キーは、HKCU キーより優先します。
| • | HKCU\Software\Policies\Microsoft\Messenger\Client |
| • | HKLM\Software\Policies\Microsoft\Messenger\Client |
自動更新を無効にするために記述すべきキーと値。
| • | PreventAutoUpdate=1 |
Windows Messenger 4.0 の場合のみ、更新を無効にするために、以下のレジストリキーが使用できます。
| • | HKLM\Software\Microsoft\MessengerService\Policies |
自動更新を無効にするために記述すべきキーと値。
| • | DisableUpdates=1 |
II. ポリシーを介して Windows Messenger を無効にする。
ポリシーの設定は 2 種類あります。1 つは [コンピュータの構成] の下、もう 1 つは [ユーザーの構成] の下です。[コンピュータの構成] の設定が有効の場合は、[ユーザーの構成] の設定に優先します。
[ユーザーの構成] の設定は、以下の手順で調整します。
1. | グループポリシーエディタ内の [ユーザーの構成] の [管理用テンプレート] をクリックし、[Windows コンポーネント] をクリックし、次に [Windows Messenger] をクリックします。 |
2. | [Windows Messenger の実行を許可しない] をダブルクリックし、[有効] を選択します。 |
ヘルプとサポート センター
ユーザーの利用環境
Windows XP オペレーティングシステムにおけるヘルプとサポートセンター (HSC) は、オンラインヘルプ、サポート、ツール、HOWTO 記事、その他のリソースに対するシングルリソース提供において画期的な存在と言えます。検索、インデックス、または目次を通じて、広範囲にわたるオンラインヘルプにアクセスできます。また、オンラインでMicrosoftサポート担当者から支援を受けたり、他の Windows XP ユーザーとの間で Windows のニュースグループに関する Q&A を交換したり、リモートアシスタンスを使用して、友人、同僚、またはヘルプデスクの担当者にユーザーへの支援を依頼したりなどが、容易にできます。
また、管理者特権を持つユーザーは、「リモートヘルプ」と呼ばれる追加機能も利用できます。管理者は、別の Windows XP マシンに接続することで、Windows XP .NET サーバーといった追加の補足ヘルプ画像をダウンロードし、インストールできます。ローカルコンピュータがネットワークから切断する前に、管理者が、そのコンピュータ上にある複数のヘルプ画像にアクセスする必要がある場合、これは有用です。その場合、管理者は、Windows XP Professional を搭載した別のコンピュータ上にある有効な共有 HSC 画像から追加のヘルプ画像をインストールすることを明示的に選択する必要があります。加えて、管理者は、ユーザーのアクセス許可を通じて、これらの追加の HSC 画像に対するアクセスを管理することができます。この機能は、Windows XP Home Edition では利用できません。
更新が行われるタイミング
ユーザーは、ヘルプとサポートセンター (HSC) が提供する特定の承認済みコンテンツをインポートすることで、新しいコンテンツを加えたり、HSC 内の既存のコンテンツを更新したりできます。このコンテンツは、ユーザーのマシンに自動的に更新されることはありません。ユーザーは、インストールを行う前に、まず更新されたコンテンツのパッケージを手元のマシンにダウンロードまたはコピーする必要があります。直接的なアクションと間接的なアクションのいずれによるにせよ、インポート操作を開始するプログラムを通じて、ユーザーがコンテンツパッケージのインポートを開始すると、HSC のコンテンツは更新されますが、これは、コンテンツのパッケージがデジタル署名付きの承認された証明書を含んでいる場合に限ります。それ以外の場合、ヘルプとサポートのコンテンツは更新されません。HSC に更新をインストールできるのは、管理者権限を持つユーザーだけです。
IT 環境内の更新の管理方法
ユーザーが HSC にコンテンツをインポートできないようにする唯一の方法は、ユーザーの管理者特権を取り消すことです。
ルート証明書
ユーザーの利用環境
ルート証明書とは、1 つの証明書に対する全信頼の元となる証明書ですので、信頼される前に特定の基準を満たしている必要があります。Microsoft は、Windows XP やその他の製品の中に、信頼できる証明機関と見なされている企業や組織のリストを含めました。組織を含めるかどうかの評価に用いられた基準についてのさらに詳しい情報は、Microsoft ルート証明書プログラムをご覧ください。
ユーザーが、ユーザーのブラウザまたはオペレーティングシステムに提供されている信頼できる証明機関のリストに含まれていない証明機関から受けた証明書を持って、SSL を活用する Web サイトを訪問すると、ユーザーは、証明書を発行した証明機関 (CA) に対する信頼を確立したいかどうかを尋ねられます。多くのユーザーは、このような方法で証明機関に対する信頼を確立するかどうかを決めることに不安を感じます。証明機関の信頼性と発行ポリシーを確認するためのリソースが限られているからです。そのため、Microsoftルート証明書プログラムによって受け入れられた、信頼できる新たな証明機関を、ユーザーの信頼できる証明機関のリストに動的に追加する、ルート証明書の更新機能が設計されました。この機能により、証明機関が信頼できるかどうかを判断するユーザーの負担が軽減されます。発行元の証明機関が手元の信頼できる証明機関のリストに載っていない場合、ユーザーは、保護された Web サイトやアプリケーションへのアクセス、ダウンロード、そのサイトとの取引などができません。
更新が行われるタイミング
Windows XP では、ユーザーはルート証明書の更新機能を使用して、証明機関が信頼できる機関のリストに載っていることを確認することができます。ユーザーが Windows XP をインストールすると、ルート証明書の更新は既定でオンになります。この機能がオンの場合、信頼されていないルート機関によって発行された証明書がユーザーに提示されると、ユーザーのコンピュータは自動的に Windows Update の Web サイトに問い合わせ、Microsoft がその証明機関を信頼できる証明機関のリストに追加したかどうかを確認します。証明機関が Microsoft の信頼できる証明機関のリストに追加されていた場合、証明機関のルート証明書が、ユーザーのマシン上の信頼できるルート証明書のリストにダウンロードされます。証明機関が Microsoft の信頼できる証明機関のリストに追加されていなかった場合、ユーザーのコンピュータには、証明書が信頼されていないことを示すエラーメッセージが表示されます。表示されるエラーメッセージは、実行しているアプリケーションによって異なります。
IT 環境内の更新の管理方法
ルート証明書に対する更新は、ユーザーの特権に関係なく行われます。この機能を削除するには、いくつかの方法があります。個々のマシンをベースに行うには、コントロールパネルの [プログラムの追加と削除] からそのコンポーネントをアンインストールすることもできますし、すべてのユーザーに対して更新を無効にするようにグループポリシーを設定することもできます。
I.ルート証明書の更新を個々のマシンから削除する。
1. | [スタート] メニューの [コントロールパネル] をクリックし、[プログラムの追加と削除] をクリックします。 |
2. | [Windows コンポーネントの追加と削除] をクリックします。 |
3. | 図 3 に示すように、[ルート証明書の更新] チェックボックスのチェックマークを外します。  図 3: ルート証明書の自動更新機能を削除 |
グループポリシーを通じてルート証明書の更新を無効にする。
これにより、Window Update のルート証明書の更新機能が無効となるほか、マシンに提供されている、信頼できるサードパーティのルートも無効になります。
1. | グループポリシーエディタ内の [コンピュータの構成] の [Windows の設定] をダブルクリックし、[セキュリティの設定] をクリックし、[公開キーのポリシー] をダブルクリックし、[エンタープライズの信頼] のプロパティを右クリックします。 |
2. | [インポート] を選択します。クライアントに信頼させたい証明書を [証明書のインポート ウィザード] を使用して追加します。 |
証明機関が、信頼する発行元としてプラットフォームに含まれるために満たすべき要件について、さらに詳しくは、Microsoft ルート証明書プログラムを参照してください。
証明書失効
ユーザーの利用環境
証明書失効は、証明機関との間で自動的にチェックを行い、特定の証明書とその発行元チェーンが失効していないかどうかを確認する、Windows XP の機能です。この機能は既定でオンになっており、不正であることが知られている証明書からユーザーを保護します。
デジタル証明書は、個人と企業に、インターネットの世界で使用する仮想 ID または資格情報を提供します。しかし、パスポートやクレジットカードのように、デジタル証明書にも、期限切れ、失効、盗難の可能性があります。商取引において、購入の処理手続きを行う前にクレジットカードをチェックする必要があるのと同様、電子商取引を行う企業は、取引を実行する前に、デジタル証明書が最新で有効であることを確認しなければなりません。提示された証明書を十分に検証しない企業は、重要な情報や有益な情報を危険にさらすおそれがあり、また、失効した証明書で取引を行った責任を負わされる可能性があります。デジタル証明書をリアルタイムで確認できることで、企業は、インターネット上で重要な情報の交換や商取引を安心して行うことができます。
公開キーインフラストラクチャテクノロジに基づくプラットフォームセキュリティサービスを活用するアプリケーションは、リモートサーバーに接続して、ID の有効性をチェックする場合もあります。たとえば、Authenticode" テクノロジによって署名されたアプリケーションを実行する前に、そのアプリケーションに署名した組織は、その署名に関連するデジタル証明書を発行した証明機関により確認されます。このチェック機構は、ユーザーが、悪質であることが知られている発行元や、キーの秘密が守られていない発行元のコードを実行することがないように保護するために役立ちます。公開キーインフラストラクチャに基づくテクノロジを含むその他の機能には、セキュアソケットレイヤ (SSL)、Secure Email (S/MIME)、ドキュメント署名、暗号化ファイルシステムなどがあります。
更新が行われるタイミング
失効リストの有効期限は、特定期間に限られます。期間は、ベリサインのような証明機関が設定します。そのため、失効リストがユーザーのマシンにダウンロードされるのは、ユーザーが Web サイトにアクセスし、新しい証明機関から証明書を受け取るときか、Web サイトにアクセスし、リストを失効させた既存の証明機関から証明書を受け取るときです。
IT 環境内の更新の管理方法
Microsoft は、証明書失効の機能をオフにしないことをお勧めします。これは、不正な、または秘密が守られていないデジタル証明書が関係する攻撃からユーザーを保護するために役立つ機能だからです。危険を認識した上で、先に進みたい場合、この機能は、Internet Explorer の中から技術的にオフにすることが可能です。
それには、以下の手順に従います。
1. | Internet Explorer を開きます。 |
2. | [ツール] を選択します。 |
3. | [インターネットオプション] をクリックし、[詳細設定] を選択します。 |
4. | 図 4 に示すように、[発行元証明書の取り消しを確認する] のチェックマークを外します。  図 4: [発行元証明書の取り消しを確認する] のチェックマークを外す |
ActiveX コントロール
ユーザーの利用環境
Internet Explorer は、ユーザーの Web ブラウザを通じて ActiveX コントロールをインストールし、ユーザーの Web 利用環境を向上させることができます。ActiveX コントロールは、ユーザーのコンピュータにダウンロードされ、そのコンピュータ上の Web ブラウザ内でホストされる Web プログラムです。
更新が行われるタイミング
ActiveX コントロールは、ユーザーがコントロールを必要とする Web サイトを訪問するときに、マシンにダウンロードされます。Web サイトに入手可能な最新バージョンのコントロールがある場合、新しいコントロールをインストールするかどうか、ユーザーに確認が求められます。ActiveX コントロールはデジタル署名されていて、ユーザーは必ず、コントロールを受け入れるかどうか、確認を求められます。手間を省くために、ユーザーには、特定のベンダーから提供される信頼できるコンテンツを常に受け入れるようにするオプションも与えられています。このオプションを選択すれば、受け入れの手続きは 1 度だけで済みます。Active X コントロールをダウンロードしてインストールできるのは、パワーユーザーと、管理者特権を持つユーザーのみです。
IT 環境内の更新の管理方法
管理者は、コントロールのインストールを管理することができるだけでなく、ポリシーを通じてユーザーがコンピュータ上で実行できる、承認を受けたコントロールのリストを選択することもできます。
注意 ユーザーのコンピュータ上で ActiveX コントロールを無効にすると、Windows Update を含む他の Web アプリケーションも無効になります。
I. ActiveX コントロールのインストールを管理する。
1. | グループポリシーエディタ内の [コンピュータの構成] の [管理用テンプレート] をクリックし、[Windows コンポーネント] をクリックし、次に [Internet Explorer] をクリックします。 |
2. | [Internet Explorer コンポーネントの自動インストールを許可しない] をダブルクリックし、[有効] を選択します。 |
3. | [Internet Explorer ソフトウェアの更新の周期的なチェックを許可しない] をダブルクリックし、[有効] を選択します。 |
II. 承認を受けたコントロールのリストを選択する
[ユーザーの構成] の [管理用テンプレート] をクリックし、[Windows コンポーネント] をクリックし、[Internet Explorer] をクリックし、次に、[管理者が許可したコントロール] をクリックします。
インターネット タイム サービス
ユーザーの利用環境
インターネットタイムは、ユーザーのコンピュータの時刻を、インターネット上の既定のMicrosoftインターネットタイムサーバー、Time.Windows.com に自動的に同期させるサービスです。Microsoft タイムサーバーは、原子時計と同期を取る米国立標準技術研究所 (NIST) のコンピュータと同期されています。
更新が行われるタイミング
ユーザーのコンピュータは、少なくとも週に 1 度はインターネットタイムサーバーに自動的に問い合わせを行います。このサービスは既定で有効になっており、他のインターネット時刻サーバーにも同期するように構成できます。ユーザーは、時刻を同期させるかどうかの確認を求められることはありません。
ドメインに参加しているコンピュータは、インターネット時刻サービスプロバイダに同期されず、代わりに、ドメインコントローラ上のタイムサービスと同期します。
IT の環境内で管理する方法
インターネットへのトラフィックを最小限に抑え、クライアントが確実に単一のソースに同期するよう、企業のネットワークに接続しているクライアントを、ネットワーク上の NTP クライアントに同期するように構成できます。しかし、その構成を選択した場合、グループポリシーを設定することで、ドメインでないコンピュータとドメインコンピュータの両方に対して時刻の同期を無効にすることが可能になります。
手順は以下のとおりです。
1. | グループポリシーエディタ内の [コンピュータの構成] の [管理用テンプレート] をクリックし、[システム] をクリックし、次に [Windows タイムサービス] をダブルクリックし、次に、[タイムプロバイダ] をクリックします。 |
2. | [Windows NTP クライアントを有効にする] をダブルクリックし、[無効] を選択します。 |
3. | [Windows NTP クライアントを構成する] をダブルクリックし、[無効] を選択します。 |
デジタル権限の管理
ユーザーの利用環境
デジタル権限の管理 (DRM) は、デジタルコンテンツを暗号化キーで暗号化することで永続的に保護するテクノロジです。ユーザーは、ロックを解除してコンテンツを再生するためには、コンテンツプロバイダからライセンスを取得する必要があります。DRM により、コンテンツの所有者は、自身のビジネスモデルおよび配信モデルに従って、デジタルコンテンツに対するアクセスを保護および制御することができ、デジタルコンテンツの電子配信に対する、魅力的な新しいビジネスモデルの可能性も開かれます。このテクノロジは、音楽、ビデオ、電子ブックといったデジタルコンテンツに頻繁に使用されています。消費者は、保護されたコンテンツを取得する場合、コンテンツプロバイダとの間に善意契約を結びます。ハッカーは元来、コンテンツを盗むことで、この契約を破り、質の高いコンテンツの利用可能性を阻害します。消費者は、セキュリティの更新を受け入れることで、ハッカーがコンテンツプロバイダにもたらす可能性のある損害を限定することに同意します。そのことによって、より価値の高いコンテンツが将来入手できるようになるのです。
DRM テクノロジは、Windows Media Player、そしてライセンスを受けたその他のサードパーティのアプリケーションに実装されています。このテクノロジは、改ざんされたアプリケーションおよびコンテンツに対する保護のために、更新が可能です。このセクションで説明されているように、更新されるのはコア DRM コンポーネントのみです。サードパーティのアプリケーションも、Windows Media Player も更新されることはありません。しかし、これらのアプリケーションは、失効リストに載せることが可能です。
更新が行われるタイミング
ユーザーのマシンに対する更新を開始できる DRM テクノロジのキーコンポーネントについて、以下に説明します。
DRM ライセンス
DRM で保護されているコンテンツはすべて暗号化されており、解読にはDRM ライセンスが必要です。DRM ライセンスは通常、DRM で保護されているコンテンツに固有であり、DRM に保護されたコンテンツを再生可能にするには、事前にユーザーの PC にインストールしておく必要があります。ライセンスの取得には、サイレントモードと非サイレントモードという 2 種類のモードがあります。ライセンスがサイレントモードで、保護されているコンテンツの DRM ライセンスがユーザーの PC にインストールされていない場合、コンテンツのプレーヤーはライセンスの取得とインストールを自動的に行います。しかし、ライセンスが非サイレントモードの場合、ユーザーに対してライセンスの取得とインストールを行うかどうかの確認が求められます。非サイレントのライセンス取得に対しては、標準 UI はなく、実装はライセンスサーバー次第です。ほとんどの場合、ユーザーがライセンスの取得を取り消すことができるように、UI には [キャンセル] または [いいえ] ボタンがあります。Windows Media Player では、既定はサイレントモードですが、ユーザーは [オプション] メニューから、非サイレントモードに変更することができます。ライセンスは、コンテンツを再生するための権限と制限を決定し、DRM アプリケーションの失効リストに対する更新や DRM コンテンツの失効リストに対する更新を発生させる場合があります。
DRM セキュリティの更新
DRM セキュリティの更新は、自動的にはインストールされません。セキュリティの更新が発生するのは、DRM によって保護されている新しいコンテンツで更新を必要とするものがアクセスされた場合だけです。セキュリティの更新が必要な場合、ユーザーは更新をインストールするかどうか、確認を求められます。更新が適用されない場合、ユーザーは、そのアプリケーション上で DRM によって保護されている新しいコンテンツを再生できませんが、保護されていないコンテンツと、DRM によって保護されている古い既存のコンテンツにアクセスして、それを再生することはできます。ユーザーが更新を受け入れると、新しい DRM セキュリティファイルがダウンロードされ、コンピュータに適用されます。
DRM アプリケーションの失効
DRM システムのフォールトトレランスを確保するために、重要な機能であるアプリケーションの失効が DRM にビルトインされています。これは、プレーヤーのアプリケーションに万一障害が発生した場合に、コンテンツの所有者とMicrosoft が影響の広がりを迅速に阻止できるようにするためです。この機能により、特定のアプリケーションは、保護された DRM コンテンツを不正な方法で再生することができなくなります。しかし、取得したライセンスの削除や上書きを行うことはありません。ユーザーは、障害の発生していない他のプレーヤーを使用して、それらのファイルを再生でき、ライセンスの料金を再度支払う必要もありません。
障害の発生したアプリケーションは、DRM アプリケーションの失効リストに載せられます。アプリケーションの失効リストは、DRM ライセンス内でユーザーの PC に配布され、ユーザーの PC に自動的にインストールされます。ユーザーは、失効リストをインストールするかどうか、確認を求められることは決してありません。デジタルコンテンツが違法に配布されることと、リストに載っている、障害の発生しているアプリケーションプレーヤー上で再生されることを防止するために、リストは自動的に更新されます。失効リストがユーザーの PC にインストールされると、失効したアプリケーションは、DRM によって保護されているコンテンツをどれも再生できなくなります。失効したアプリケーションは、ベンダーに連絡を取り追加情報を入手するようユーザーに知らせるエラーメッセージを表示します。この場合、ユーザーまたは企業は、更新された安全なバージョンがないかどうか、DRM アプリケーションのベンダーに問い合わせる必要があります。DRM 失効リストに載っていても、保護されていない非 DRM のコンテンツはアプリケーション上で再生できます。
DRM コンテンツの失効とアプリケーションの除外
DRM のコンテンツプロバイダは、自身のライセンスの範囲内で、DRM コンテンツの取り消しと DRM アプリケーションの除外を行うこともできます。DRM コンテンツの取り消しが新しいライセンス内に実装されている場合、コンテンツプロバイダはすべてのアプリケーションをロックアウトして、コンテンツプロバイダが提供した、DRM によって保護された古いコンテンツにアクセスできないようにする場合もあります。アプリケーションは、DRM によって保護されたコンテンツで、取り消されていないものは、すべて再生できます。
DRM アプリケーションの除外がライセンス内に実装された場合、コンテンツプロバイダは、コンテンツの再生が許可されないアプリケーションを指定することができます。この場合、除外されたアプリケーションは、このライセンスによって保護されているコンテンツを再生できませんが、その他すべてのアプリケーションは、保護されているコンテンツを再生できます。
コンテンツが失効するか、または、ライセンスにおいてアプリケーションが除外された場合、追加情報を入手するためにベンダーに連絡を取るように知らせるエラーメッセージが表示されます。その場合、ユーザーと企業はコンテンツプロバイダに連絡を取り、既存の DRM コンテンツとアプリケーションに取って代わるべき、コンテンツの最新バージョン、および推奨するアプリケーションがないかどうかを確認する必要があります。
IT 環境内の更新の管理方法
DRM テクノロジは、ようやく市場に出回り始めたばかりであり、主に一般消費者向けです。アプリケーションの失効といった DRM テクノロジの主要な機能を無効にすることをユーザーまたは企業に許可すると、DRM システムは、その性質と目的上、効果的に展開ができない場合があります。その結果、システム管理者がテクノロジを管理するための最善の手段は、テクノロジがどう機能するかを理解し、どんな種類のコンテンツが DRM によって保護されるようになる可能性があるかを把握することくらいに限られます。
関連リンク
| • | |
| • | |
| • | |
| • | Managing Windows XP in a Windows 2000 Server Environment (英語) |
| • | |
| • |
Windows XP の最新情報については、Windows XPの Web サイトをご覧ください。