多分、血圧乱高下。ふらふらする。血圧測るたびに高かったり低かったり(挨拶)。次回の通院予定が木曜日なので、木曜日に医師の診察始まるまでは持って欲しい。やばい。

 

WindowsXPからの通信をProxyサーバでブロック その1 (squid)｜あいらぶLinux♪ を見て、そうかなるほどと思いインスパイアされて考えたネタ。これのためにWindows Server 2008 R2 SP1の評価版をインストールしたりしたけど、体調悪いのできっちり検証するところまではできていない。というか、体調的に無理なので無理しない。

 

アイディアは題名通り。

多くの企業はクライアントPCはWindowsがメインなので、一定規模以上の企業・事業所はActive Directoryを建て、Active DirectoryでクライアントPCとユーザを管理しているはず。そしてオレが最良のWindows XPと呼んでいるWindows Server 2003 R2も延長サポート終了は2015/07/14。

きちんとした企業ならActive DirectoryのサーバをWindows Server 2008系かWindows Server 2012系に上げ終わっているか、上げる計画中のはず。というわけで今回のスクリーンショットはメインストリームとなりそうなWindows Server 2008 R2で取得。

 

Windows PCをWorkgroupのまま社内ネットにつながせて、ユーザとアプリケーションの管理をLDAPでやっているという企業は今回の対象外。Active Directory(以下、打つのがつらいので以下AD)で管理している企業のみに通用する手。

 

ADの場合グループポリシーによって、組織やユーザ、PCなどをポリシー制御できる。なので、Windows XPがドメインログインしようとしたら、GPOからログインスクリプトを適用、スタートアップスクリプト内にシャットダウンかログオフするコマンドを書いておけば、当該ADの範囲内ではWindows XPが使えないだろうというもの。

もちろん、WorkgroupログインではWindows XPの起動・ログインが完了するので、その他の穴も塞ぐ必要がある。WindowsXPからの通信をProxyサーバでブロック その1 (squid)｜あいらぶLinux♪ なども有効だし、その他にもいくつか手は考え付く。一般業務でWindows XPを使う必要はないわけで、こういう設定をしておけばより安全だろう。毎度言っているような気がするが、Windows XPを守れないということは、Windows XPを踏み台にした社内ネットワーク・サーバへの攻撃というパターンもあるので、きちんとリスクコントロールしていないWindows XPが社内ネットワークに存在することがまずい。

 

まず、GPOの設定。今回は全く何も設定していないADだったので、スターターGPOから。

Windows XP SP2 ECユーザで新しいGPOを作る。

GPOを編集する。

グループポリシー管理エディタが開く。

 

ここにあるようにOSを指定できるので、特定OS(今回はWindows XP)だけにスタートアップスクリプトを仕込むことが可能。

 

あと、シャットダウンかログオフをするのはshutdownコマンド。ヘルプはこんな感じ。/lでログオフ、/sでシャットダウン、/fで強制。

 

 

おまけ。Windows Updateだけで相当時間食ったｗ。AD分まで入れて総計159個。VMware Playerで作ったとはいえ、ホストはThinkPad W520の8コア24GBで速い部類だし、SSDでディスクI/O速いし、インターネット接続も10Mbps出ているのに、1時間半くらい。時間掛かり過ぎてワラタ。そろそろ次のサービスパック出していいんじゃねーの、Windows Server 2008 R2。