Bar

Windows Vista/7/8 Administrator ユーザはなぜ無効なんだろうか?有効手順はある?

先日、Windowsのビルトインユーザ[Administrator]を何も考えず有効にしそうな輩がおりました。
有効にできる権限を与えていた私が悪かったのですが、その輩曰く「なぜ有効にしてはいけないの?設定や運用が楽になるじゃん!」と、斜め上目線で言われちゃいました。
よくいる下手にスキルがある方は管理する側から言わせると一番危険でございます。
今回は、その方に説明した「Administratorユーザはなぜ無効なんだろうね?」についてメモ。
本内容は私的な考えであり、誤りがあるかもしれません。
ご参考程度に・・・

Windows VistaからAdministratorユーザは初期値が無効です

すでにご存じかと思いますが、Windows製品にはビルトイン ユーザ[Administrator]が最初から登録されています。
その中でもコンシューマOS[Windows Vista / 7 / 8]では、Administratorユーザは初期値「無効」です。○に中に↓のマークは無効である事を示しています。
Windows XPWindows VistaWindows 7Windows 8
imageimageimageimage

なぜ、マイクロソフトはAdministratorユーザを無効にしているの?

さて、そもそも論です。
マイクロソフトはなぜ、Windows のビルトインユーザである Administratorを初期状態から無効にしているのか?
気になりません?
image
マイクロソフトはビルトインユーザであるAdministratorについて下記のように説明しています。
Windows 7 における制限付きのユーザー アカウントの構成
組み込みの "Administrator" アカウント
このアカウントはさまざまな理由で特別であり、Windows Vista および Windows 7 では既定で無効になっています。このアカウントはいくつかの重要なセキュリティ機能 (Internet Explorer® 保護モードなど) および UAC を明示的にオフにするので、すべての操作に Administrator を使用するのは適切ではありません。
Administrator アカウントを無効にしておくことをお勧めします。
このアカウントを無効にしておく (実際に使用しないようにする) ことで、安全性が高くなります。
Administrator ユーザは最初からOSに組み込まれた特殊なユーザであって、このユーザを奪取=Windowsを掌握?!とも言えます。
暗黒面(ハッキング業界)から見れば、ユーザ名が分かっていると非常に気楽な面があります。
Administratorやadmin、root等はよく知られていますから、パスワードに集中して攻撃します。
例として、Windows XPの時代、許可を得た上でSAMデータベース(Security Accounts Management Database)に書き込まれているLMハッシュを解析し、パスワードを取得した経験があります。
LMハッシュへのパスワードクラックを回避
Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法
この時のパスワードは数文字&よくあるキーワードという貧弱(poor)でしたので、数十分で解析できました。
ここで何を言いたいかというと、
  • その筋のツール(ソフトウェア)を知っている
  • 操作方法を知っている
  • 最低限度のバックグラウンドの知識を所有(SAMデータベース等)
等の条件を満たせば、(私のような)優れた技術を持っていない人間でも、ツールを使えばこれらの芸当が比較的簡単に行える可能性があります。
※Windows Vista以降、これらはやっていないので分かりません・・・
ユーザのパスワードを解析→botnetのエージェントを仕込む→遠隔操作が可能なzombie pcに昇格(?)・・・恐ろしいですよね!
そのユーザがAdministratorであったら、尚更です。
そのため、特別な事がない限り、推測されにくいユーザ名をAdministrators Groupに所属させる方が少しは安全・安心!と考えています。
もっともっと安全な方法があると思います。
ご存じの方いらっしゃれば、是非コメントをよろしくお願いします。

Administratorを有効にする手だてはあるのか?

とはいえ、どうしてもAdministratorを有効にしなければならない!という時があると思います。
※というか、有効にしなければいけないシステムってどういう理由かな?レガシーな基幹システムでAdministrator ユーザで認証し連携しているとかなのか・・・
使う事はほぼないと思いますが、Administratorユーザを有効にする方法を書いておきます。

ユーザやグループの登録や設定変更を行う場合、lusrmgr.mscから行っていると思います。
調べてみたところ、Windows 7 Home Basicや無印のWindows 8等ホーム ユースのエディションではlusrmgr.mscのウィンドウは表示されますが、設定が一切できません。
そのため、CUIおよびGUIからの設定方法をメモします。
2013-09-06_140542
CUIで設定する手順
  1. 管理者権限のあるユーザでサインイン
  2. コマンド プロンプトを管理者権限として起動
  3. net userコマンドを使い、Administratorユーザを有効
    >net user admimistrator パスワード /active:yes
  4. サインオフし、Administratorでサインイン
GUIで設定する手順
  1. 管理者権限のあるユーザでサインイン
  2. コマンド プロンプトを管理者権限として起動
  3. lusrmgr.mscを起動
  4. Administratorユーザを有効
  5. パスワードを設定
  6. サインオフし、Administratorでサインイン
または
  1. [エクスプローラ[を起動
  2. [コンピューター]のアイコンを右クリック→[管理]をクリック
  3. [ローカル ユーザーとグループ]をクリック
  4. [ユーザー]をダブルクリック
  5. [Administrator]をダブルクリック
  6. [アカウントを無効にする]のチェックを外す

今回はAdministrator ユーザはなぜ無効なのか?また、有効にする手順は?の2つについて書きました。
長い前置きの通り、この内容はセキュリティに関わる非常に大切な内容です。
C/S(クライアント・サーバ)システムで、双方ともにAdministrator ユーザでログインし運用している素敵な環境があったりします(認証で問題でないので簡単に構築できるとか)。
この例のように、「出来る」=「実行していい!」という安易な考えをお持ちの方がいらっしゃいますが
  • 出来るけど、それを本当に行っていいのか?
  • それを行ったらどうなるのか?
  • 行ってはいけない?なぜ、それを行ってはいけないのか?
等を考え、そして、理解した上でシステム運用をされる事が安全、かつ、安定したシステムになると考えています。
一つ一つ理解せずに使っているシステム・テクノロジーは私もたくさんあります。
まだまだ修行中の私がいうのもなんですが、「Administratorユーザを有効にしたい!」という考え、今一度考えてみませんか?
余談:パスワードの強度
どうしてもAdministratorユーザを使う場合、最低限度パスワードの強度には気を付けましょう
とはいえ、生成するのもなかなか難しいので私の場合はパスワード・ジェネレータを使っています。
通常は10~12文字、それ以外は16文字と決めています。
覚えるのは非常に難しいところですが、古い言い方をすれば「気合いと根性」で手に覚えさせています。
image
ちなみに、上のスクリーンショットはパスワード マネージャ[LastPass]のパスワード ジェネレータです。
LastPassはPC版が無料で使え、AndroidやiPhone等モバイル デバイスでも同期し使いたい場合は有料(月1ドル)になります。
ダウンロードは下記URLからどうぞ。
LastPass
余談:そういえば、UACって・・・
UACについては今までありとあらゆるサイトで説明されていますので割愛しますが、おススメは、Microsoft MVP for Windows Expert -IT Pro 木澤さんのPodcast番組です。
さすが、200回を超えるポッドキャスター、お話が非常に分かりやすいです。
UACって何となく分かっているつもり・・・だよ?という方は一度聞いてみてください。
第192回 ユーザーアカウント制御(UAC)(2013/6/23配信)
余談:PC設定の変更からはAdministratorの追加・有効化は出来ません
Windows 8のPC設定の変更からユーザの追加やパスワードの変更等が行えます。
しかし、この画面からはユーザの新規追加は出来ても、Administrator ユーザの有効・無効はできません。
画面に書いてあるとおり、追加画面であって「有効」と「無効」とは書いていませんよね。
なお、Administrator ユーザを追加しようとすると、すでにいるよ!と言われ怒られます!
2013-09-06_140701
余談:プロ ライターの見解
Windows 10の新しい「電卓」と「ビルトインAdministrator」に見る"セキュリティの落とし穴" (1/2)