社会、技術ネタが多かったため、たまには日常兼技術ネタを書こうと思います。タイトル通りなのですが、シンクライアントという方式に以前から興味を抱いていました。というのも、昔勤務していた会社がシンクライアント方式を採用していて、貸与端末の性能は「なんのアプリなら動かせるの?」という状態だったのですが、接続先のホスト側はなんの問題もなくサクサク動いていたので、それを実現できないかなーと考えていました。
もともと考えていたこと
実はこのような構成を考えていたのです。
―YAMAHA RTX1200
┣サーバー1台目
┣サーバー2台目
┣何かの予備機
┗シンクライアント端末(ubuntuとか軽いの入れようと思ってた)
ちょうどWindows10のサポートが10月初頭で切れたため市場に大安売りで出回って価格とスペック崩壊起こすかなーと思ったら予想が見事に的中!Core i5やi3搭載でメモリ4~8GB程度のPCがゴロゴロと転がっていました!しかも8千円~1万5千円台という神価格!逃すなこのチャンスと言わんがばかりに買った次第です。とりあえず2台+設定用の2千円の激安モニターで2万円ぽっきりというサービスプライス!
実は元々、レンタルサーバーを運営していたことがあるので、ある程度Linuxには詳しい(という自負)があったうえ、光回線が開通する予定で、自宅にサーバー置けそうになったので揃えてしまった次第です。反省も後悔もする必要なし!
VGAケーブルがない問題
実は最近、VGAケーブルが大量に減ったことに気づきました。確かに最近HDMIよく使うよなーとは思っていたのですが、やはり格安モニターだけあってVGAケーブルしか対応していない!仕方なく家電量販店に問い合わせたところ、「オス側がVGAでメス側がHDMIのケーブルと、HDMIへの変換アダプタなら売ってますが…」とう有様。時代の進歩恐ろしい。仕方なくアマゾンでポチりました。約750円ぐらいの普通のやつです。とりあえずこれで何とかなりました。
一台はHDMI対応でもう1台はVGAのみというアンバランス。しかしVGAケーブルが待てども届かず…中古リサイクルショップに問い合わせたところ「あー、三本くらいありますねー」とのことだったので早速買いに行った…ところ通知。「ポストに投函しました」。ちょっとしたお散歩になりました。
というわけでそこら辺をブラブラしながら物が届いたことを確認。これでサーバーの用意は十分完了したと思いめぐらせてました。OSの選定段階まで入っていました。CentOSはいつの間にか爆発四散してしまったし、debianは地味になじまないし、かと言って安定したサーバー用途ならRocky Linux?ワンチャンFreeBSDでports地獄体験する?とかいろいろ考えてましたが、通電確認をしないことにはなにも始まりません。というわけで一台目を実験!
とりあえず実験環境が完成。市販のPCと瓜二つの状態になりました。そして立ち上げてみたところ…
ショップの説明文を二度見してみたのですが、「入っているのはWindows10です」と書いてあったが故にビックリしました。winverをコマンドプロンプトで叩いてみてもやっぱりWindows11。悩みました。一応現役の最新版Windowsだし、消すのが惜しくなってしまいました。元々はubuntu突っ込んで実験機にする目論見でしたが、立ち消えました。しかもProfessionalなので、RDPやAppLockerなど様々な機能に対応しています。消す意味を喪失してしまいました。というわけで方針変更。Windows搭載のシンクライアントのホスト端末にすることを決定。Wordも使える、Excelも使えるなら消す意味がありませんので、この際だからとそのままホスト端末にすることにしました。
クリーンインストール―セットアップ
出荷品とはいえ、やはり前の人が使ってた端末をそのまま使うのは何となく抵抗がありました。サービスなのでしょうがVLCとかいろいろ入れてくれてたのですが、どっちにしろ自力でセットアップできちゃうので、久しぶりにクリーンインストールからセキュア化までやってみたくなりました。というわけでセットアップ編になります。
まず「設定」を立ち上げ、「システム」から「回復」へたどります。「このPCをリセット」という項目があるので、それを選ぶだけです。オプションはWindows11そのものをダウンロードしてセットアップするかローカルのWindowsから復元できるかを選べます。私はファイル全削除+ローカルから復元にしました。
こんな感じでオプションを選択し、あとは再インストールされるまでひたすら待つだけです。この際のワンポイントですが、すべて削除するを押したら速攻で回線接続を遮断するのがコツです。Microsoftの仕様がどうなっているのかさっぱりわかりませんが、回線接続状態だとなぜか再インストール開始まで物凄い時間がかかります。というわけで晩飯食って待ってました。約20分ぐらいしてようやくセットアップ画面にたどり着きました。やはりHDDだと遅いです。
こんな感じでセットアップ画面にたどり着きました。端末名は別に好きな名前を入れれば良いのですが、推測されたくないので組織名っぽいものをそのまま入れました。公共の場に端末持ち歩く方はここで本名とか変な名前入れるのはやめたほうが良いと思います。
昔はここをバイパスして強制的にローカルアカウントを作る裏技があったのですが、最近のWindowsでは通用しなくなったので素直にメールアドレス入れてアカウント作成しました。Microsoftの戦略なのでしょうか。そんなこんなでしばらく待つとセキュリティ的に脆弱なWindowsが爆誕します。というのも、PIN認証なるものが使えるのですが、これを私は基本的に信用していません。ロクなことにならないです。ここからセキュリティ的にチューニングしていきます。
セットアップ完了後はMicrosoftのアカウントと紐づいたものが管理者権限ユーザーとして一つ作られます。しかし普段から管理者ユーザーで操作するのは権限最小化の原則に反します。重要な操作を常に行えてしまう状態は凡ミスの原因にもなりますし、何より危険です。かなり危険です。そのため、別の管理者用アカウントを作ります。
「設定」→「アカウント」→「その他のアカウント」でローカルユーザーを作ることができます。Microsoftさんらしく必ずMicrosoftアカウントと紐づけさせようとするのですが、この画面では「Microsoftアカウントを持たないユーザーを追加する」というオプションがあるので、そこを押せばローカルアカウントを作成することができます。わかりやすい管理者名(Privilegeduserとか)にしておくことをお勧めします。といっても、基本的には使わないのですが…。
画面には映してないですが、一応ゲスト用のアカウント含めて管理者・一般・低レベルの3アカウントを作成しました。一連の作業が終わったら操作中のアカウントは消します。次にセキュリティのチューニングをしていきます。
プライバシーとセキュリティ画面を開くと、Windows セキュリティという項目があるので開きます。一応「操作は不要です」のオンパレードなのですが、さらにチューニングすることができます。まずは「ウイルスと脅威の防止」の最下段にある「ランサムウェア保護」の項目を開いて、「コントロールされたフォルダーアクセス」のプルダウンをオンにします。これで自動学習でフォルダー保護が始まります。完全にランサムウェアを封じるわけではないのですが、オンにしていたほうが気休めになります。さらに「アプリとブラウザーコントロール」の最下段にある「exploit protection」というメニューを開いて、「システム設定」を開きます。そこにあるすべての項目をオンにします。CFG、DEP、ASLRなどをオンにすることで、メモリの書き込み先すらWindowsが指定するようになるからです。低レベルなExploitはこれで霧散します。再起動するとすべて有効になります。
長くなったのでいったんここまで!