このブログを読んでいるほとんどがWindowsユーザ、おおむねXPだと思うのだが、Administratorのパスワード定期的に変更してるだろうか？

AdministratorのパスワードXPになってから変更がとてもめんどくさくなったので、変更してない人も多いと思うのだがどうだろうか？
とりあえず、元の空のままは危ないので何か設定したほうがよいだろう。できれば定期的に変更する事をおすすめする。

Windows Vistaからは、アカウントとパスワードの管理からInfoCardと言うものでログオンできるようになるらしい。

それまでの間、いやそもそもAdministratorのアカウントがインターネットの脅威にさらされることに問題を感じる。家庭に複数台のPCが無ければネットワーク越しに操作することなど無いのだから。
とすると、Administratorはローカル対話式でのみログオン可能にすると、かなりセキュリティ的に安心な気がする。
早速、設定してみよう。
設定するのは、Administratorアカウントにネットワーク経由でコンピュータへアクセスを拒否することだ。
ネットワークから侵入されなければ、たとえパスワードがばれても侵入しにくいに違いない。
アカウントマネージャが無くなった今、設定はローカルコンピュータポリシーから行う。

ローカルコンピュータポリシーを扱う専用ツールは用意されていないので、MMC(Microsoft Management Consol)を使用する。
以下の手順で、Administratorでのネットワークからのアクセスを拒否する。

1. ファイル名を指定して実行で、"MMC"と入力しOKをクリックする
2. ファイル|スナップインの追加と削除 で「スナップインの追加と削除」ダイアログを表示する(※1)
3. 「追加」ボタンをクリックし、「スタンドアロン スナップインの追加」ダイアログ中の利用できるスナップインの一覧から、「グループポリシー」(※2)を選択し追加する(管理するコンピュータはローカルコンピュータ)
4. 追加したら、順番に「閉じる」、「OK」でMMCに戻る(追加された「グループポリシー」は、「ローカルコンピュータポリシー」と表示される)
5. 順番にローカルコンピュータポリシーを展開する
   ローカルコンピュータポリシー＞コンピュータの構成＞Windows の設定＞セキュリティの設定＞ローカルポリシー＞ユーザの権利の設定
   
6. "ネットワーク経由でコンピュータへのアクセスを拒否する"のプロパティに、Administratorを追加する

以上で設定できる。他にPCを持っていなければ、Administratorsも追加しても良いかもしれない。
「バッチジョブとしてログオンを拒否する」も設定するとトロイの木馬からの攻撃にも強くなりそうだが、今度は必要なプログラムも動かなくなりそうなのでこれはやめておいた方が無難だろう。

※1 MMCはいろいろな機能を使うためのベースでしかないので、このツール自体にはポリシーを設定する機能はない。このため、ポリシーを扱うスナップインの追加を行う。
※2 名前は若干異なる場合があるので注意。