Hebikuzure's Tech Memo

2018年1月25日

2018年1月20日

Windows 10 Fall Creators Update の SMB の変更点

Filed under: Windows Info — タグ: , , , — hebikuzure @ 3:47 PM

Windows 10 Fall Creators Update(バージョン 1709)が Semi-Annual Channel に提供開始されたので、Windows 10 Fall Creators Update と Windows Server 2016 について企業内環境で影響が出そうな SMB に関する変更点をまとめてみました。

SMBv1 の削除/無効化

クリーンインストールした Windows 10 Fall Creators Update と Windows Server 2016 では、以下のように SMBv1 の機能が無効化されます。

  • Windows 10 Enterprise, Windows 10 Education, Windows Server 2016
    SMBv1クライアントと SMBv1 サーバー
  • Windows 10 Home, Windows 10 Professional
    SMBv1 サーバー
    SMBv1 クライアントはインストール時には有効化されていますが、インストール後15日間(コンピューターが電源オフ状態の間は除く)に一度も利用が無いと自動的に無効化されます

以前のバージョンからの in-place upgrade の場合、SMBv1 は以下のように扱われます。

  • Windows 10 Enterprise, Windows 10 Education
    SMBv1(クライアント、サーバー)機能は引き続き有効です。無効にする場合は管理者が無効化する必要があります
  • Windows 10 Home, Windows 10 Professional
    SMBv1(クライアント、サーバー)機能は有効ですが、アップグレード後15日間(コンピューターが電源オフ状態の間は除く)に一度も利用が無いと自動的に無効化されます

なお SMBv1 の自動的な無効化は一度だけ行われ、無効化後に管理者が再度有効化した場合は、どのタイミングでも自動的な無効化は行われません。どのエディションでも管理者が SMBv1 を再度無効化することは可能です。

また SMBv1 が無効化された環境でも SMBv2 のモジュールは有効なので、SMB version 2.02, 2.1, 3.0, 3.02, 3.1.1 の機能はすべてサポートされています。

SMBv1 削除/無効化の影響

Computer Browser サービスは SMBv1 に依存しているので、SMBv1 クライアントまたはサーバーが無効化されると、同時に Computer Browser サービスも無効化されます。これによりレガシーな NetBIOS 経由でのコンピューター ブラウジング(エクスプローラーの「ネットワーク」へのネットワーク コンピューターの表示とアクセス)は機能しなくなります。

もっとも Windows Vista 以降のコンピューターであれば「ネットワーク探索」(WS-DISCOVERY)によるブラウジングが可能なので、ネットワーク探索のためのサービス(”Function Discovery Provider Host” と “Function Discovery Resource Publication”)が正しく構成され、ネットワークの場所がプライベートになっていれば、「ネットワーク」にリモート コンピューターのアイコンが表示されアクセスできるはずです。

SMBv1 の有効化

SMBv1 を有効化する方法については以下のサポート技術情報を参照してください。

ただし Microsoft では SMBv1 を無効化することを推奨しています。有効化する場合はセキュリティ リスクを十分に評価してください。

Guest アクセスの無効化

Windows 10 Fall Creators Update および Windows Server 2016 version 1709 では、クライアントとして SMB2(SMB version 2.02, 2.1, 3.0, 3.02, 3.1.1 など)でのリモート リソースへアクセスする際、資格情報に Guest アカウントを利用することができなくなっています。直接 Guest アカウントの資格情報でリモート リソースにアクセスすることも、不適切な資格情報でのログオンが失敗した際のフォールバックとして Guest アカウントの資格情報を利用することもできません。

これにより、今までアカウントを構成せず匿名認証でアクセス可能だったファイル サーバー(SMB シェアや NAS)へのアクセスの際、資格情報(ユーザー名とパスワード)を求められるようになったり、エラーメッセージが表示されてアクセスできなくなったりします。

この動作はセキュリティを強化するための仕様変更であり、Guest 以外の適切な資格情報を利用してリモート リソースのアクセス制御を行うように構成することで回避するのが望ましいでしょう。

リモート リソース側の構成変更が困難で、クライアント側の動作を以前のバージョンと同じに戻したい場合は、以下のグループポリシーを構成してください。

[コンピューターの構成]
_- [管理用テンプレート]
__
[ネットワーク]
___– [Lanman ワークステーション]
____– [安全でないゲスト ログオンを有効にする]
:有効

Home エディションなどでレジストリを構成する場合は以下の値を利用します。

キー:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation
名前:AllowInsecureGuestAuth
種類:REG_DWORD
データ:1(有効), 0(無効)

2018年1月19日

Microsoft 製品付属のフォントのライセンス

Filed under: Windows Info — タグ: , , — hebikuzure @ 3:36 PM

Microsoft のテクニカル フォーラム(マイクロソフト コミュニティTechNet フォーラム)で時々出てくる話題なのでメモ。

Microsoft 製品に付属するフォントのライセンス

Microsoft 製品には多くのフォントが付属しています。Windows に含まれるフォントもありますし、Office 製品をインストールするとさらに多くのフォントがインストールされます。

これらのフォントは Windows や Office 製品内で利用する分にはライセンス的に何の問題もありませんが、フォントを利用して作成したマテリアルを商用目的で再配布する場合や、フォントを独立して再利用したい場合は別途フォントのライセンスを取得しなければならない場合があります。

Microsoft の Web サイト「Use of Microsoft Copyrighted Content」(https://www.microsoft.com/en-us/legal/intellectualproperty/permissions)には、これについて以下の記載があります。

Fonts

Windows comes with a large number of pre-installed fonts. Office and other Microsoft applications will install additional fonts. Both Office and Windows include a font section in their End User License Agreements that describes what you can do with the fonts included with these products. In general, the fonts supplied with Microsoft products may not be modified, copied or redistributed. Many of the fonts that come with Microsoft products are also available directly from their original creators. Look at the trademark and copyright notices within each font file to determine who to contact for additional end user, ISV or OEM licenses. Some of the fonts that contain copyright or trademark strings identifying Microsoft as the font’s creator can be licensed from Monotype Imaging. You can find licensing information for Microsoft fonts on the Typography website.

要約すると、Windows や Office の製品に付属しているフォントは、それぞれの製品のライセンス条項(EULA)にフォントに関するセクションがあるのでそれに従うが、一般的には再配布、複製、編集はできない、とされています。またフォント自体は(マイクロソフト外部から提供されているものは)原作成者から入手することもでき、それについての情報はフォントのプロパティなどで確認できます。

さらに詳細なライセンスの情報は Microsoft Typography のサイトhttps://www.microsoft.com/typography/fonts/)で確認できます。

mstypography

フォント ライセンスの購入

上記の引用でも触れられていますが、Microsoft が著作権を保有しているフォントの多くは Monotype Imaginghttp://www.monotype.com/jp/)で取り扱っており、ライセンスを購入して利用することができます。実際の購入はオンライン ストア fonts.comhttps://www.fonts.com/ja)から行えます。

2018年1月18日

Windows 10 スタート画面のピン留めアプリの AppID を取得する

Filed under: Windows Tips — タグ: , , — hebikuzure @ 5:35 PM

Windows 10 のスタート画面のカスタマイズについて確認していた時に調べた自分用のメモですが、公式ドキュメントだとちょっと不親切なので分かりやすくまとめてみました。

概要

Windows 10 でスタート画面のカスタマイズを展開する場合、スタート画面にピン留めされているデスクトップ アプリケーションの DesktopApplicationID を取得しなければならない場合があります。その DesktopApplicationID は PowerShell を利用して取得できます。

詳細

Windows 10 でスタート画面(スタートメニュー)のカスタマイズを他のコンピューターに展開するには、カスタマイズ内容を XML ファイルにエクスポートし、それを被カスタマイズ対象のコンピューターでインポートするという作業が必要です。この作業については

に解説されています。ただこの記事でも書かれているように、スタート画面にデスクトップ アプリケーションがピン留めされている場合、エクスポートした XML ファイルを編集して DesktopApplicationLinkPath を DesktopApplicationID に変更しなければなりません。

上のページには

重要
エクスポートするスタート画面のレイアウトに、デスクトップ (Win32) アプリのタイルや .url リンクが含まれている場合、結果ファイルでは Export-StartLayout で DesktopApplicationLinkPath が使用されます。 テキスト エディターまたは XML エディターを使用して、DesktopApplicationLinkPath を DesktopApplicationID に変更してください。

と記載されています。

この変更ですが、上記ページからリンクされている

を見ると

注意
Windows 10 バージョン 1703 のスタート画面のレイアウトでは、グループ ポリシーまたは MDM を使用してスタート画面のレイアウトを適用しており、アプリケーションがユーザーの初回サインイン以降にインストールされている場合は、DesktopApplicationLinkPath ではなく、DesktopApplicationID を使用してください。

と書かれていて、より条件が明確になっています。プロビジョニングパッケージによる展開以外の方法(グループ ポリシーまたは MDM)で XLM を展開する場合で、ユーザープロファイルが生成された以降にインストールされたデスクトップ アプリケーション(と .url リンク)については、DesktopApplicationLinkPath から DesktopApplicationID への書き換えが必要ということです。

またこの記事では DesktopApplicationID は Get-StartApps コマンドレットを使用して取得できると書かれています。この取得の操作は以下の手順で行えます。

操作

  1. スタート画面のカスタマイズを構成するマスター コンピューターで、カスタマイズを行うユーザーでサインインします
  2. PowerShell を起動します
  3. 次のコマンドを実行してスタート画面にピン留めされているアプリ名の一覧を取得します
    Get-StartApps | ft Name
  4. 前の実行結果から、DesktopApplicationID を取得したいアプリケーションの Name 属性を確認します
  5. 次のコマンドを実行して Neme のアプリケーションの DesktopApplicationID を取得します
    Get-StartApps -Name (AppName) | ft AppID

例えば

PS > Get-StartApps -Name “Microsoft Azure Storage Explorer” | ft AppID
AppID
—–
{7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E}\Microsoft Azure Storage Explorer\StorageExplorer.exe

のように DesktopApplicationID を取得します。

WordPress.com で無料サイトやブログを作成.

%d人のブロガーが「いいね」をつけました。