【Windows 7 快適環境の構築ガイド】システム設定編 I


 

【はじめに】

  Windowsを使う上で、利用場所に応じて必要な物、不要な物が出てきます
  初期設定は企業内で閉じたネットワーク(つまり外部からの侵入が無い)前提
  で設定されており、家庭でインターネット接続する上では好ましく無い設定
  が多く入っています


 【危険な物で初期有効になっているもの】
  ファイル共有やリモートアクセス、リモートデスクトップ
    (パソコン内の情報が外部からアクセスされる危険性)

  悪意あるネットワークパケットを拾い食いする
    (DNSレスポンスによるキャッシュ・オーバーフロー)
      特権乗取り等の手法で用いられる


 【快適性を損なうもの】
  ネットワーク設定の最適化が無効(デフォルトに勝手に戻す)


  ここでは、上記の虚弱性や呪縛を修正する設定を行います


  まず最初に、「コンピュター」の機能は多用するので、デスクトップに常時表示
 する様にしてみましょう

  スタートメニュー(画面の最左下の部分 赤○ が付いている所)をクリックして
  コンピュータ(赤□ が付いてる所)を右クリックして
  「デスクトップに表示」を選択します(チェックを入れる)
win00.gif
 

【Windows編】

  Windowsに関する設定は、「コンピュータ」アイコンの右クリックから始まります。
  ポップしたメニューの内、2つの項目を多用します。
   ・「プロパティ」から始める設定(基本設定)
   ・「管理」から始める設定(初期起動サービス、デバイスマネージャなど詳細設定)

  更に、コマンドプロンプトで設定プログラムを呼出す場合もあります(msconfig等)
  (これは後述するフリーソフトでも行えるので、今回は使いません)

 == エラー出力について ==
   エラー記録も、何が起こったか分析可能な(人が読める形式)ものと、
   訳の解らないメモリダンプ(メモリ上のバイナリデータを保存する)があります
   バイナリダンプは、ハードディスクの容量を食いつぶすだけで役には立ちません
   (バイナリ情報を解析するシステムが別途必要な為)
   従って、普通の方々には、ほとんど意味の無いデータとなるので不要と言えます。
   (むしろ容量悪化のおじゃま虫?)

   人が見れる形態の本当の意味のログ機能は、
    「スタートメニュー」>「コントロールパネル」>
     >「システムとセキュリティ」>管理ツールの「イベントログの表示」
   で詳細がチェック出来ます(定期的にログを消す方が良いので別途書きます)

 == 不要なサービスについて ==
   Windowsでは、様々な機能を実現する為に、起動時に小機能単位にプログラムを
   常駐させています(常駐:メモリ上で居座り続ける)
   これはメモリ空間を無駄使いし、定期監視するものであればCPUの負荷を上げます
   また、通信を制御するものであれば、通信の接続口(ポートと呼ばれる)を開けます
   利用しない通信機能であれば、このポートを開く行為は危険(ポートスキャン等)を
   含みます。

   ポートスキャン>接続を試みる>ポートに対するバッファをオーバフローさせ特権を奪う
    (ポート・アタックまたは単にアタックと言われる行為)

   これらは、ルータやセキュリティソフトでも検知・除外してくれる物のありますが、
   そもそも使わないポートを閉じてしまえば、関係無い話でもあります
   また、機能停止させる事で、その分メモリもCPUも軽くなります


   DATAサーバとして、最近は「NAS接続」が一般でも普及し始めていますが、インター
   ネット接続を行うPCでは、同一LAN上にNAS接続は行わない方が良いです
   今のマザーはLANが2つ搭載しているケースが多いので、NASは別途閉じたローカルLAN
   で構築するのが良いでしょう。
   ただ、LANデバイス単位にサービス設定が行えず、Windows OS単位にしか設定出来ない
   のが残念です。

    作 成 中

 

1.リモートアクセス と エラー出力 の停止

 「コンピュータ」アイコンの右クリック > 「プロパティ」から始めます
win01.gif win02.gif win03.gif win04.gif win05.gif win06.gif win07.gif win08.gif win09.gif
 この2カ所は、非力なマシン向けに軽量化する為のものです  画面操作が重くなければ、行う必要はありません
win10.gif win11.gif win12.gif


 

2.不要なサービスの停止

  利用環境によって、変わって来る設定です。
  ここでは、「遠隔リモート接続」や「ネットワーク共有」(他のPCと
  ファイルやフォルダをネットーワークごしに共有する。NAS接続含む)
  必要がない一般家庭での設定を基本としています

  また、パソコンとルータ、または、DSi/PSPとパソコン間で無線LAN
  で接続しない場合は、緑の部分も無効に設定してOKです
  (DSi/PSPとルータ間は関係なし。緑のまま無効設定してOK)

  後述する固定IPアドレスの割付けを行った場合は、青枠も無効設定でOKです
  (DHCP、DNSはルータのものを使用しPCでは使わない為)
  IPV6利用環境ではログ出力されますが、気にしなくても特に問題なし

 「コンピュータ」アイコンの右クリック > 「管理」から始めます
srv01.gif srv02.gif srv03.gif srv04.gif
 無効設定して良いものの一覧  (画面は、Windows7 Pro 64bit版なので、HOME版は割愛されたサービスがあります)
srv05.gif srv06.gif srv07.gif
 枠無しで無効となっているものについては、あえて変更しなくても良いです。  突き詰めて調べれば、まだ無効化出来るサービスはあります。  この例では、枠付きのみで最低限度の無効化を行っています。  デフォルト設定はMS社内のクローズド・ローカルエリア・ネットワークな設定になっています。  (PC間の共有とかリモート操作などなど)  つまりパブリック・ネットワークで動いてちゃまずいものが動いているので、しっかり止めて  おく必要があります。  もうねPCも原付免許程度の免許制にすべきだよ……  ICカードでそれがMACアドレス持ってて免許証入れなきゃネット使えないとかねw  免許は小学生からでいいと思うけどね。  通信プロトコルに於いてarpが存在する以上サーバ接続記録にMACアドレスが残る。  つまり、ネットに於いて匿名なんぞあり得ない。  情報開示要求に応じるかどうかだけの問題でしか無い。


 

x.過去ログの削除

 ログを溜めたまま放置するとディスク容量を徐々に圧迫して行きます
 何か問題が発生した場合にはログが活用できますが、正常な運用が続いて
 いれば、頻繁に見ることは少ないでしょう
 (セキュリティ監視や不具合発生の兆候を見る時ぐらいでしょうか)

 ここでは、不要となった過去ログの消去について書いておきます


 「コンピュータ」アイコンの右クリック > 「管理」から始めます

 表示した「コンピュータ管理」画面の「イベントビューア」以下の
 +字マーク(もしくは>マーク)を展開します

 過去ログの件数が溜まっていれば消去します

erlg01.gif
 さて、ログによる調査が可能な人は別として、単にWindowsを使ってるだけの人には  ログを残しても使い道がないでしょう。  個別設定で大変だとは思いますが、無効化設定出来る所は全て無効化にしておきましょう。     「ログの残す=ハードディスクに記録する」 です。  処理の流れの中で、   「そうポンポン記録に時間を取られてはたまったもんじゃない」でしょうw  ちゃんと調査する知識はあるよって人も、流石に常時オペレーション(操作履歴)  のログは要らないでしょ?  起動しました。処理を開始しました。処理を終了しました。みたいなもん要らんしw  調査時に起動がかかったか見る時に一時的に有効にするぐらい。  オペレーション以外についても問題発生した時に調査段階で関係する部分のログを  有効化して詳細要因を調べるのに使うもので常時記録は必要ないです。  常時記録して置かないと何かが起こった時にログが見れない可能性がある?  発生した時間とかちゃんと記憶してます?ちゃんとログ調べられる?  ・問題発生時にログ解析を行う為のメッセージを含む内容がPOPする事。   (そもそもココがまともに作れて無いからダメなんだよ for MS)  ・問題調査の為にログを有効化して再現試験を行う。  ・再現性が無い場合、そこだけそのままログ収集状態にしておく。  せいぜいそれぐらい。  半年再現しないなら無効化にもどせばいい。Windows UPDATEで様相も変わってるしw  常時ログ取って処理遅延させる方がもったいない。  本来ログは詳細調査の為にあるもので、常時有効なんてありえない。  設計>製作>デバックと段階ごとにきちんと検討照査した製品であれば、そうそう  問題は出ないのが普通ですから。  よほどいい加減な作りで不出来なものであれば常時ログもとって置かないと怖いかも  (つまりマイクロソフトの製品はその程度の出来って事なの?)  それでまたログの有効/無効が個別設定だけってどんだけwww  コントロール・パネルレベルでログの有効/無効設定出来てしかるべきなんだけどw  (サードパーティ分は除くでいいし)  そんでまたデフォルトでオペレーションのほとんどが有効とかありえねーww  どれだけ自社公認欠陥品扱いなんよw 愚痴ってスッキリしたので無効化手順(最初の上にある図も合わせて見てね)
applog01.jpg
手順は、「ログを無効化」してから「ログの消去」です。 (消してから止めるまでにログ書かれたとか無いようにwww)