Hebikuzure's Tech Memo

2018年9月8日

Application ログの警告ID64「証明書の有効期限がまもなく切れるか、既に切れています。」

Filed under: Windows トラブル — タグ: , , , — hebikuzure @ 7:27 PM

Windows 10 のコンピューターでイベント ログの Application ログを確認すると、以下のような「警告」が多数見つかる場合があります。

ログの名前:         Application
ソース:           Microsoft-Windows-CertificateServicesClient-AutoEnrollment
日付:            2018/09/04 11:30:27
イベント ID:       64
タスクのカテゴリ:      なし
レベル:           警告
キーワード:         クラシック
ユーザー:          N/A
コンピューター:       ********
説明:
拇印 ************************************************ の ローカル システム の証明書の有効期限がまもなく切れるか、既に切れています。

キャプチャ

どの警告も拇印が同じなので、特定の証明書の期限切れの警告が繰り返し出ていると考えられますが、思い当たるような証明書のインストールは行っていないのです。

このような警告が出る原因と対処方法について説明します。

警告の正体

この警告はコンピューターにインストール済みの証明書の期限切れの警告ですが、証明書スナップインを使って拇印から該当の証明書を探すと、これは XBL Client IPsec lssuing CA が発行元になっているクライアント証明書であることが分かりました。

キャプチャ2

キャプチャ3

この “XBL Client IPsec lssuing CA” とは何かというと、その実態は Windows 10 の Xbox アプリの証明機関と思われます。

実際に動作を確認すると、Xbox アプリを起動して Microsoft のゲーム サーバーと何らかのネットワーク アクティビティを行うと(簡単なのは Xbox アプリを起動して、[設定] – [ネットワーク] でネットワーク ステータスを検査する)証明書が自動的に更新され、有効期間が24時間の新しい証明書に置き換えられました。上のスクリーンショットはその更新後の証明書の表示です。

この証明書は Xbox アプリ以外では利用されていないと考えられますので安全に削除可能ですし、Xbox アプリを利用しているのであれば必要に応じて更新されるので、警告が出ていても安全に蒸してきます。

参考情報

もし警告の対象となっている証明書が XBL Client IPsec lssuing CA 発行のものでなかった場合は、以下を参考に対処しましょう。

2018年9月7日

一部のセキュリティ対策ソフトで Web カメラへのアクセスが警告される

Filed under: Windows Info — タグ: , , — hebikuzure @ 6:25 PM

Windows 10 でサードパーティ製のセキュリティ対策ソフトウエアを利用している場合、PC に搭載/接続されている Web カメラへのアクセスが警告されることがあるようです。

ここでカメラにアクセスしていると警告されるプロセスは

  • Device Census (プログラム名:DeviceCensus)
  • Host Process for Windows Tasks (プログラム名:taskhostw)

の二つです。

この二つのうち DeviceCensus はWindows 10 の「診断 & フィードバック」の機能で利用されているデバイス情報収集のプログラムで、この情報収集はタスクスケジューラて定期的に実行されるために、タスクのホスト プロセスである taskhostw も検知されると考えられます。

参考

Windows の Device Census によるカメラへのアクセスは、どのような種類・機能のカメラが接続されているのかを調べているだけで、(Microsoft の主張によれば)撮影を行っているわけではありません。したがってこのような警告は通常安全に無視できると考えられます。

またこの「診断 & フィードバック」の設定は [設定] – [プライバシー] – [診断 & フィードバック] で構成できますが、「基本」を選んでも「完全]を選んでもデバイスに関する情報は収集されるので、サードパーティ製セキュリティ対策ソフトウエアによる警告をなくすることはできないでしょう。なお Enterprise エディションの場合はこの他に「セキュリティ」という設定が利用でき、収取/送信されるデーターを最小限に抑止できます。

参考情報

2018年9月4日

OneDrive のファイルが削除できない

Filed under: Windows トラブル — タグ: , , , — hebikuzure @ 4:55 PM

複数のクライアントで同じアカウントを使って OneDrive でファイルとフォルダーの同期をしている場合などで、バックアップからの復元を行う、ユーザープロファイルのマイグレーションを行うなどの操作をきっかけに OneDrive の同期情報に不整合が生じて、ファイルやフォルダーの削除ができなくなることがあるようです。典型的なエラーは『予期しないエラーのため、フォルダーを削除できません。このエラーが再発する場合は、エラーコードを使用して、この問題についてのヘルプを検索してください。 エラー 0x8007016B: クラウドファイルへのアクセスが拒否されました。』といったものです。

対処方法

この場合の対処方法として考えられるのは

  1. ブラウザーで Web の OneDrive にアクセスして、そこで当該のファイルが存在していれば削除する
  2. 削除できないファイルがあるコンピューターをセーフモードで起動して削除する

です。「1.」の方法で削除してもクライアントに反映されない場合や、Web 上では当該のファイルが見つからない場合は「2.」を試すと良いでしょう。「2.」の方法で削除可能になるのは、セーフモードでは OneDrive クライアントが起動していないからですね。

以下の事例ではセーフモードで削除できています。

OneDriveの同期を解除せずにユーザーを削除したが、OneDrive以下のローカルファイル削除でエラー0x8007016A, 0x8007016Bが出る

2018年8月29日

非管理者ユーザーにセーフモードでサインインさせない


Windows 10 を含めて Windows 7 以降のバージョンでは、Windows をセーフモードやセーフモードとネットワークで起動した場合、管理者権限の有無を問わずどのユーザーでもサインイン(ログオン)が可能です。しかしセーフモードでは通常起動の際には自動的に動作するサービスやプログラムが起動していない状態になるため、挿入しているセキュリティ ソリューションが無効になってしまう場合があります。またセーフモードでは通常アクセスできない機能などにアクセスできる場合もあります。

こうしたことを考えると、管理者権限を持たない通常のユーザーがセーフモードでサインインできなくすることは、コンピューターのセキュリティ強化に繋がるといえます。

非管理者にセーフモードでサインインさせない設定

管理者権限を持たないユーザーをセーフモードでサインインできなくするには、以下のレジストリを構成します。
※Windows 7 / Windows Server 2008 R2 の場合は SP1 の適用が必要です

キー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
名前:SafeModeBlockNonAdmins
種類:REG_DWORD
データ:1

ドメイン環境であれば、このレジストリ構成をグループポリシーで配布できます。

コンピューターの構成 > 基本設定 > Windows の設定 > レジストリ
image

参考情報

2018年8月28日

Windows の「ユーザー名」

Filed under: Windows Info — タグ: , , , , , — hebikuzure @ 6:08 PM

Windows の利用上でよくある質問が

  • サインイン(ログオン)画面で表示される名前を変えたい
  • ユーザー名を変えたい
  • ユーザー プロファイル フォルダー名(C:\Users\ の配下のフォルダー名)を変えたい

というものです。これらの質問はいずれも Windows では利用する「ユーザー名」に関わるものですが、Windows の「ユーザー名」が正しく理解されていない場合も少なくないので、解説しておきたいと思います。

ユーザー名と「表示名」

先ほどの質問のうち、「サインイン(ログオン)画面で表示される名前を変えたい」という場合の「表示される名前」は「表示名」(フルネーム)で、実際の「ユーザー名」ではありません。表示名はサインイン(ログオン)画面やアカウントの管理画面、スタート画面(スタートメニュー)などに表示されますが、表示にだけ使われる「看板」のようなもので、Windows の内部的な管理情報としては利用されませんし、必須でもありません(ユーザーを新規作成した時は「表示名」は付けられていません)。

これに対して「ユーザー名」は実際に Windows の内部的な管理情報として利用される名前です。先ほどの質問のうちの「ユーザー プロファイル フォルダー名」もこのユーザー名を元に(通常はユーザー名そのまま)作成されます。またファイルとフォルダーの共有を行うなどのリモート アクセスの際に必要となる資格情報で使われるのもこの「ユーザー名」です。

したがって Windows を利用するには「ユーザー名」は必須で、ユーザー名なしに Windows にサインインして利用することはできません。また「表示名」が設定されていない場合は、ユーザー名がそのまま表示名として利用されます。

Windows 10 の場合、これらの名前は以下のように決められます。

ローカルアカウントの場合

アカウントの作成時に付けた名前がユーザー名になります。下のスクリーンショットの場合、「山田太郎」がユーザー名になります。この画面でのアカウントの作成時には「表示名」を設定できないので、「山田太郎」が表示名としても使われます。

キャプチャ

表示名を設定・変更するには、コントロールパネルを利用します。下の画面で「アカウント名の変更」をクリックすると設定・変更ができます。

キャプチャ3

Microsoft アカウントの場合

Microsoft アカウントの場合は、Microsoft アカウントのユーザ名(@ の左側の部分、myuser@hotmail.com なら myuser )が内部的なユーザー名として利用されますが、通常は Microsoft アカウント全体(@ の左側のドメイン名まで含めて)を「ユーザー名」と考えても良いでしょう。
表示名は Microsoft アカウントに設定している表示名(名前)がそのまま使われます。これは https://account.microsoft.com/profile/ で編集・変更することが可能です。

Active Directory ドメイン ユーザーや Azure AD ユーザーの場合

コンピューターが Active Directory ドメインに参加していて、ドメインユーザーでサインインしている場合のユーザー名と表示名はドメインの管理者が登録した情報になります。ユーザーが直接変更することはできませんので、表示名を変えたい場合はドメインの管理者に依頼する必要があります。

AzureAD に参加したコンピューターで AzureAD ユーザーでサインインした場合も AzureAD に登録されている内容になりますが、表示名はユーザーが変更可能です(Office365 ユーザーなら https://portal.office.com/account/#personalinfo から編集できます)。

ローカル ユーザーとグループ

Windows のエディションが Pro (Professional) 以上なら、[コンピューターの管理] の中に [ローカル ユーザーとグループ] があります。

キャプチャ3

これを使うとローカル アカウントのユーザー名や表示名をより簡単に確認・変更できます。ここでは「表示名」は「フルネーム」として扱われていますが、変更したいユーザーをダブルクリック(または右クリックして [プロパティ])すれば、フルネームの編集ができます。またユーザー名自体もここで変更可能です。ユーザー名を変更するには、変更したいユーザーを右クリックし、[名前の変更] を選択します。

エディションが Home の場合「ローカル ユーザーとグループ」が利用でいません。そのため Home エディションでユーザー名を変更するにはコマンドプロンプトを利用する必要があります。以下のコマンドで「山田太郎」というユーザー名を「Tyamada」に変更できます(もちろん Pro 以上のエディションでも利用できます)。

wmic useraccount where name=’山田太郎’ call rename name=’Tyamada’

[ローカル ユーザーとグループ] には Microsoft アカウントのユーザーも表示されおり、変更などの操作も可能になっていますが、Microsoftアカウントのユーザーの名前変更はここで行わない方が良いと思います(試したことがありませんが、問題が起きる可能性も考えられます)。

ユーザー名と SID

先に「ユーザー名は Windows の内部的な管理情報として利用されている」と書きましたが、実際に最終的な管理情報として使われているのはユーザー名ではなく SID と呼ばれる一意の(重複することがない)管理番号です。

SID は次のような形式で表されます。

S-1-5-21-4260733700-639579216-3482586806-1001

この SID とユーザー名が紐づけられて管理されています。したがって表示名(フルネーム)まで含めると

SID ⇒ ユーザ名 ⇒ 表示名(フルネーム)

という構造になっています。このように SID はユーザーを識別する根本であるため、表示名やユーザー名は変更可能ですが、一度ユーザーに割り振られた SID は変更できません。ユーザーのサインイン パスワードやファイル/フォルダーに対するアクセス権、記憶させた資格情報は SID と紐づけられて管理されているため、ユーザー名を変更してもこれらの情報は新しいユーザー名でそのまま利用することができます。

SID についての詳細は以下も参照してください
Well-known security identifiers in Windows operating systems

プロファイル フォルダー名

最初に書いた質問のうち「ユーザー プロファイル フォルダー名(C:\Users\ の配下のフォルダー名)を変えたい」というものはよく見かけるのですが、結論から言えばこれは「できない(正式な手段が提供されていない)」になります。先に書いたようにこのプロファイル フォルダー名はユーザーが最初にサインインする際に、そのユーザー名を使って命名され作成されるのですが、その情報はレジストリに SID と関連付けられて記録されます。そのため表示名やユーザー名を変更しても、プロファイル フォルダーの名前は変更されませんし、また(別のユーザーでサインインして操作するなど)無理やり名前を変更すると、利用できなくなって一時プロファイルが使われるようになってしまいます。

レジストリに記録されている情報をすべて書き換えることで変更ができる/できたという情報もありますが、公式に提供されている手段ではありませんので、どのような副作用が起きるかわかりません。これはやらない方が良いことだと思います。

まとめ

Windows でユーザーを識別する情報と、変更可能かどうかをまとめています。

  • SID:変更不可
  • ユーザー名:変更可能([ローカル ユーザーとグループ] またはコマンド)
  • 表示名(フルネーム):変更可能(コントロール パネルやオンライン アカウントのプロファイルから)

2018年8月26日

BitLocker の回復パスワードを確認する

Filed under: Windows Tips — タグ: , , , — hebikuzure @ 2:15 PM

Windows のセキュリティー機能にディスクを暗号化する BitLocker があります。

BitLocker と「回復パスワード」

BitLocker 暗号化では復号のために必要となるキーを TPM チップに格納して、暗号化したディスクが同じデバイスに接続されている限りは透過的に復号が行われるようになってるため、ユーザーは普段は復号のための操作をする必要はありません。

追加の構成で TPM チップではなく USB ドライブを使用したり、起動時にパスワードや PIN を求めるようにすこことも可能です。
BitLocker についての詳細は Microsoft Docs の「BitLocker」を参照してください。

ただしデバイスのブート構成が変更された場合や、PC が起動できなくなってドライブを別のデバイスで読み取る必要がある場合、また上記の追加の構成で USB ドライブを紛失したり PIN を忘れたりした場合、「回復パスワード」を使うことで暗号化されたディスクにアクセスすることが可能になります。回復パスワードは 48桁の数字からなるパスワードです。

回復パスワードだ求められる場合については「BitLocker 回復ガイド」の「BitLocker 回復が実行される原因」を参照してください。

BitLocker を有効にする場合、次のようなメッセージが表示されて「回復キー」の保存を求められますが、ここで保存できるのが「回復パスワード」です(資料や UI、実際のデータで用語が混乱していますが、ここで「回復パスワード」が自動生成され、指定した方法で保存できます)。

image

この他に Active Directory ドメインに参加している PC の場合は、ドメイン内のサーバーに自動的に保存されるよう構成できます。
AzureAD に参加している PC では AzureAD に保存することもできます。

回復パスワードが不明になったら

さて、何らかの理由でここで保存した回復パスワードの情報が利用できなくなった場合、例えば利用していた Microsoft アカウントが利用できなくなったり、保存したファイルや印刷物を紛失した場合、設定済みの回復キーを調べなければならなくなります。

回復パスワードを求めれれる状況にならなければ通常の使用には問題ないのですが、ひとたび回復パスワードを求められると、それを入力しない限りそのディスクを読み取ることはできなくなります。

参考:BitLocker 回復キーを探す

参考資料に書かれているように、起動ディスクが暗号化されていて回復パスワードが分からない場合、PC を初期化しなければ利用できなくなります。当然ディスクに保存していたデーターもすべて失われます。

回復パスワードを調べる

設定済みの回復パスワードを調べるには管理者コマンドプロンプトで以下のコマンドを実行します。

manage-bde.exe –protectors –get C:
(C ドライブを暗号化した場合)

これで最初に保存した時と同じ ID とパスワードを表示することができます。改めてファイルに保存したり印刷したりして、大切に保管しておきましょう。

2018年4月4日

2018年2月28日

Excel でセル中に文字と数値を共存させて文字だけ左詰めにする

Filed under: Microsoft Office — タグ: — hebikuzure @ 4:44 PM

Excel ではデータの合計や平均を集計する場合が多いでしょう。その場合、こんな表を作ると思います。

image

この表の場合、集計対象となるデータには「氏名」というラベルがあるので、B 列に「氏名」の列を作っています。そのため10行で集計している平均値にも B列に「平均」というラベルを表示できます。

では例えば箱の中に入っている沢山のみかんから任意の何個かを取り出してその重量を図って平均し、みかんの標準的な重さを調べよう、というような場合だとどうなるでしょう。この場合、個々の重さのデータには特にラベルとなる情報はありませんから、次のような表を作ってしまうかと思います。

image

しかしよく見ると B 列は「平均」を表示するためだけに用意されていて、もったいないですね。できれば C10 セルに「平均   119.43」とまとめて表示できれば良いでしょう。

こういう場合にユーザー設定表示形式を利用すれば良いことは、Excel のレッスンで必ず習います。C10 セルの現在の書式は

image

このように(0.00)なっているので、これをこのように(”平均 “0.00)

image

変更すると、先ほどの表は以下のようにできます。

image

ここまではたいていの Excel の教科書にも出ていますが、ここからもうひと手間かけることができます。この表示形式はセルの値の数値の前に「平均 」という文字列(「平均」と空白文字)をくっ付けていますが、これだと表示される数値の桁数が異なると「平均」が表示される場所も変わってしまいます。そこで「平均」という文字を疑似的に常に左詰めにするユーザー定義表示形式を作ります。

先ほどのユーザー定義表示形式を以下のように変更します。

image

新しい表示形式は「”平均”* 0.00」です。「*」は直後の文字を全体がセル幅一杯になるまで繰り返す、という意味の記号です。これによって先ほどの表は

image

このようになります。B 列の幅が変わっても、また B10 に表示する数値の桁数が増減しても、「平均」の文字は常にセルの左端から表示されます。

参考情報

2018年2月13日

Microsoft 製品とサービスの利用規約(EULA)

Filed under: Windows Info — hebikuzure @ 4:56 PM

Microsoft 製品(Windows や Office などのソフトウェア製品)やサービス(Outlook.com  や OneDrive などの個人向けサービス、Office 365 や Azure などの企業向けサービス)の利用規約について、「マイクロソフト コミュニティ」や「TechNet フォーラム」などでよく質問が上がるので情報源としてまとめてみました。

「利用規約」と一言で書きましたが、実際には「ライセンス条項」「サービス規約」「サービス条件」などいろいろな名称が使われています。またこれらをまとめて EULA(End-User License Agreements)と呼ぶこともあります。

ソフトウェア製品の利用規約

Microsoft のソフトウェア製品(リテール版、OEM 版)および個人向け Office 365(Hone, Personal, Solo, University)のライセンス条項(EULA)は以下のページから検索して確認することができます。

またボリュームライセンス製品のライセンスについては以下のページから確認できます。

オンライン サービスの利用規約

Microsoft の企業向けオンライン サービス(Office 365 や Microsoft Azure)のサブスクリプション契約は以下のページです。

なおサブスクリプションをボリュームライセンスで購入している場合は以下のページの各条項も対象となります。

また Microsoft Azure については以下の条項も適用されます。

個人向けのオンライン サービス(Outlook.com や OneDrive など)についての規約は次のページです。
※この規約はオンラインサービスだけでなく、マイクロソフトの消費者向けの製品、Web サイト全般の使用に適用されます。

Microsoft コンテンツの利用に関する規約

Microsoft のソフトウェア製品やオンライン サービス、Web サイトなどを通じて提供されるコンテンツの利用についても規約が公開されています。

全般的な規約は以下になります。

著作物や商標については以下のような規約があります。

Microsoft のゲーム内のコンテンツについては以下の規約も適用されます。

フォーラムなど

Microsoft のオンライン フォーラムの利用規約は以下の通りです。

TechNet フォーラムと MSDN フォーラムには明示的な独自の利用規約はありませんが、以下の Forums Help に利用上のルールが示されています。

また以下の注意事項も適用されます。

日本語版はありませんが、Microsoft Tech Community の規約は以下です。

その他

Microsoft ストアの利用規約は以下の通りです。

プライバシーについては以下が公開されています。

Microsoft のソーシャルメディア公式アカウントについては、以下の利用規約が適用されます。

2018年2月11日

「更新または再起動の後にサインイン情報を使ってデバイスのセットアップを自動的に完了します」を制御する

Filed under: Windows Tips — hebikuzure @ 2:03 PM

「更新または再起動の後にサインイン情報を使ってデバイスのセットアップを自動的に完了します」の機能を制御する方法についてまとめました。

機能の概要

Windows 10 では、更新プログラムのインストール後や手動での再起動の際に、ユーザーが意図的にサインインしなくとも、再起動後に再起動前にサインインしていたユーザーは自動的にサインイン処理が行われます。実際にはサインインが行われるとすぐにロックがおこなわれ、ユーザーにはロック画面が表示されますがそのバックグラウンドでサインイン後の処理が行われます。ここで行われる処理は以下のようなものです。

  • ユーザー権限で起動するスタートアップ プログラムの起動
  • サインイン(ログイン)がトリガーになるタスクの実行
  • Windows 10 Fall Creators Update 以降では再起動開始時に起動していたアプリケーションの復元

この機能はユーザー単位で有効/無効を切り替えできます。これを有効にしておくことでユーザーは再起動時に時間を無駄にすることなく、ロックを解除すればすぐに作業が再開できるのですが、以下のような問題もあります。

  • 再起動前に複数のユーザーがサインインしていた場合、再起動を開始したユーザー以外のユーザーのサインイン処理も同時に行われる(不要なサインインであったり、処理の負荷が高くなったりします)
  • ローカル セキュリティ ポリシーで「対話型ログオン:最後のユーザ名を表示しない」を構成しても、(表示されるのはサインイン画面ではなくロック画面なので)無意味になる

そのためこの動作を無効にしたい場合もあるでしょう。

機能の無効化

通常これを無効にするには、ヘルプ記事

に書かれているように

Windows 10 Fall Creators Update (バージョン 1709) の場合は、[スタート] [設定][アカウント][サインイン オプション] の順に選び、[更新または再起動の後にサインイン情報を使ってデバイスのセットアップを自動的に完了します] をオフにします

Windows 10 Creators Update (バージョン 1703) 以前のバージョン場合は、[スタート] – [設定] – [更新とセキュリティ] – [Window Update][詳細オプション] の順に選び、[更新後にサインイン情報を使ってデバイスのセットアップを自動的に完了します] の横にあるチェック ボックスをオフにします

それではこの機能をグループポリシーなどで一括して制御したい場合はどうすれば良いでしょうか。グループポリシー エディターなどでポリシーを探しても、これを制御できるポリシーは見つかりません(下記追記参照)

2019/08/25 更新
再起動後の自動的なサインイン動作を制御するグループ ポリシーについては新しい記事「再起動後の自動的なサインインの制御(Ver.1903 のポリシー)」を参照してください。

実は上記のヘルプ記事に書かれているようにこの機能は Active Directory ドメインに参加しているコンピューターでは自動的に無効になります。そのためこの動作はグループポリシーで制御する必要がない(意味が無い)ということです。また Active Directory ドメインに参加しているコンピューターだけでなく、上記ヘルプ記事にあるように「作業やメールのポリシーが組織によってデバイスに適用されている場合」= Azure AD Join している場合や、[設定][アカウント][職場または学校にアクセスする] で Azure AD アカウント(Office 365 などの組織アカウント)に接続している場合も、この機能は無効になります。

レジストリ情報

上記のようにグループポリシーでこの機能を制御する必要はないのですが、ワークグループ環境でも何らかの理由で管理者などがこの機能の有効/無効を他のユーザーに対して設定したい場合があるでしょう。その場合、この設定は以下のレジストリ エントリに保存されているので、これを(スクリプトや reg ファイルなどで)構成します。

  • キー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserARSO\<ユーザーの SID >
  • 名前:OptOut
  • 種類:REG_DWORD
  • データ:0(機能オン)/ 1(機能オフ)
    ※ オプトアウトを指定する項目なので、0 がオプトアウトしない=機能有効、1 がオプトアウト=機能無効、となります

参考:TechNet フォーラム「【サインインオプション】グループポリシーでの設定

« Newer PostsOlder Posts »

WordPress.com Blog.

%d人のブロガーが「いいね」をつけました。