脅威とその対策
第 9 章 :Windows XP と Windows Server 2003 の管理用テンプレート
公開日: 2006年8月14日
ダウンロード
グループ ポリシーの管理用テンプレートには、環境内のコンピュータの動作および表示を管理するための、レジストリに基づく設定が含まれています。これらの設定は、オペレーティング システムのコンポーネントおよびアプリケーションの動作にも関わります。これらの多数の設定を構成できるだけでなく、.adm ファイルをインポートすることで、さらに設定を追加することもできます。
この章では、このガイドで定義したグループ ポリシーの [コンピュータの構成] ノードおよび [ユーザーの構成] ノードにある管理用テンプレートの設定について説明します。この章では、Microsoft® Windows® XP および Microsoft Windows Server™ 2003 の管理用テンプレートで利用できる設定すべてを説明するのではなく、これらのオペレーティング システムを実行するコンピュータのセキュリティ強化に関する設定についてのみ説明します。アプリケーションの互換性、タスク スケジューラ、Windows インストーラ、Windows Messenger、および Windows Media® Player に関する固有の設定については扱いません。
このガイドの前バージョンには、Office XP の管理用テンプレートの情報が含まれていました。Microsoft Office 2003 では、製品に付属する管理用テンプレートに多数の新機能と変更があります。これらの変更の詳細については、この章の最後にある「関連情報」を参照してください。
トピック
[コンピュータの構成] 設定
ユーザーの構成の設定
関連情報
[コンピュータの構成] 設定
次の構成設定は、Active Directory® ディレクトリ サービス ドメインのメンバであるコンピュータに対して適用されます。ユーザーの構成の設定に関する情報は、この章の後半で説明します。
NetMeeting
Microsoft NetMeeting® では社内のネットワークを使用して仮想的な会議を行うことができます。NetMeeting グループ ポリシー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ NetMeeting
リモート デスクトップ共有を無効にする
このポリシー設定では、NetMeeting のリモート デスクトップ共有機能を無効にすることができます。このポリシー設定を有効にすると、ユーザーは、受信した呼び出しに自動的に応答してローカル デスクトップのリモート制御を許可するように NetMeeting を構成することができません。
[リモート デスクトップ共有を無効にする] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
このポリシー設定が有効の場合、ユーザーは NetMeeting のリモート デスクトップ共有機能を使用できません。
対策
[リモート デスクトップ共有を無効にする] 設定を [有効] にします。
考えられる影響
ユーザーは、NetMeeting を使ってリモート デスクトップ共有を構成することができません。有効にしておくと、Windows リモート アシスタンス機能とリモート デスクトップ機能は使用できます。
Internet Explorer コンピュータの設定
Microsoft Internet Explorer は、Windows XP および Windows Server 2003 に付属の Web ブラウザです。グループ ポリシーの設定を使用して、Internet Explorer の多くの機能を管理できます。Internet Explorer のグループ ポリシー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ Internet Explorer
Internet Explorer コンポーネントの自動インストールを許可しない
このポリシー設定を使用すると、正しく表示するために Internet Explorer のコンポーネントが必要な Web サイトをユーザーが参照したときに、コンポーネントが自動でダウンロードされるのを防ぐことができます。このポリシー設定が無効または未設定の場合、コンポーネントが必要な Web サイトにアクセスするたびに、コンポーネントのダウンロードおよびインストールを求めるメッセージが表示されます。このポリシー設定は、ユーザーがインストールできるコンポーネントを管理するのに役立ちます。
[Internet Explorer コンポーネントの自動インストールを許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
悪意のある Web サイト オペレータは、悪質なコードを含むコンポーネントをホストすることができます。組織内のユーザーが知らずにこのコードをダウンロードし、組織の環境内のコンピュータで実行してしまう可能性があります。その結果、機密データが漏れたり、データが失われたり、システムが不安定になることがあります。
対策
[Internet Explorer コンポーネントの自動インストールを許可しない] 設定を [有効] にします。
考えられる影響
Internet Explorer が必要な Web サイトをユーザーが参照したときに、必要なコンポーネントを自動ダウンロードできなくなります。
Internet Explorer ソフトウェアの更新の周期的なチェックを許可しない
このポリシー設定を有効にすると、Internet Explorer の最新バージョンを利用できるかどうかのチェック、および利用できる場合のユーザーへの通知が行われません。このポリシー設定が無効または未構成の場合、Internet Explorer のソフトウェアの更新のチェックは 30 日間ごと (既定の設定) に行われるようになり、新しいバージョンが利用できる場合はユーザーに通知されます。このポリシー設定は、最新のバージョンが利用可能な場合に、ユーザーに通知させないことで、管理者が Internet Explorer のバージョンを管理するのに役立ちます。
[Internet Explorer ソフトウェアの更新の周期的なチェックを許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
Microsoft の修正プログラムおよびサービス パックはすべて公開前に十分にテストされますが、組織によっては、管理するコンピュータ上にインストールされているソフトウェアすべてを慎重に制御する必要がある場合があります。[Internet Explorer ソフトウェアの更新の周期的なチェックを許可しない] を有効にすると、コンピュータは Internet Explorer の更新を自動的にダウンロードおよびインストールしません。
対策
[Internet Explorer ソフトウェアの更新の周期的なチェックを許可しない] 設定を [有効] にします。
考えられる影響
Internet Explorer のホットフィックスおよびサービス パックは自動的にダウンロードおよびインストールされません。したがって、管理しているすべてのコンピュータにソフトウェアの更新を自動的に配布する代替の処理が必要になります。
プログラムの起動におけるソフトウェア更新チャンネルの通知を許可しない
このポリシー設定では、Microsoft ソフトウェア配布チャンネルを使用するプログラムが新しいコンポーネントをインストールするときにユーザーに通知しないように指定します。ソフトウェア配布チャンネルは、公開ソフトウェア配布 (OSD) テクノロジを使用することでユーザーのコンピュータ上でソフトウェアを動的に更新する手段です。
このポリシー設定を有効にすると、ソフトウェア配布チャンネルを使用してプログラムが更新されても、ユーザーには通知されません。この設定が無効または未構成の場合、プログラムが更新される前にユーザーに通知されます。このポリシー設定は、ソフトウェア配布チャンネルを使用して、ユーザーに確認せずにユーザーのプログラムを更新するのに役立ちます。
[プログラムの起動におけるソフトウェア更新チャンネルの通知を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
OSD のツールおよびテクノロジを取り入れている組織では、ユーザーのシステムに修正プログラムやサービス パックがインストールされるときにそれをユーザーに知らせない方が好ましい場合があります。インストール処理が完了する前に、ユーザーが処理を中止しようとする可能性があるためです。
対策
[プログラムの起動におけるソフトウェア更新チャンネルの通知を許可しない] 設定を [有効] にします。
考えられる影響
OSD テクノロジによってソフトウェアの更新が配布されることがユーザーに通知されません。
コンピュータ別にプロキシを設定する (ユーザー別ではなく)
この設定を有効にすると、ユーザーが勝手にプロキシ設定を変更することはできなくなります。同じコンピュータに接続するユーザーは、すべてそのコンピュータ用に設定されたゾーンを使用することになります。
[コンピュータ別にプロキシを設定する (ユーザー別ではなく)] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
このポリシー設定が無効または未構成の場合、同じコンピュータのユーザーは独自のプロキシ設定を構成することができます。このポリシー設定は、同じコンピュータでは統一されたプロキシ設定が使用されるようにし、ユーザーごとに設定が異なることがないようにします。
対策
[コンピュータ別にプロキシを設定する (ユーザー別ではなく)] 設定を [有効] にします。
考えられる影響
すべてのユーザーは、コンピュータに対して定義されたプロキシ設定を使用しなければなりません。
セキュリティ ゾーン:サイトの追加/削除を許可しない
このポリシー設定を使用すると、セキュリティ ゾーンのサイト管理設定を無効にできます(セキュリティ ゾーンのサイト管理設定を表示するには、Internet Explorer のメニュー バーから [ツール]、[インターネット オプション] を順に選択します。[セキュリティ] タブをクリックし、次に [サイト] をクリックします)。この設定が無効または未構成の場合、ユーザーは信頼済みサイト ゾーンや制限付きサイト ゾーンの Web サイトを追加または削除できます。また、ローカル イントラネット ゾーンの設定も変更することができます。
[セキュリティ ゾーン: サイトの追加/削除を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
注 : [[セキュリティ] ページの使用を許可しない] (場所: \ユーザーの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル )を有効にすると、インターフェイスから [セキュリティ] タブが削除されます。この設定が有効になっている場合は、[セキュリティ ゾーン: サイトの追加/削除を許可しない] 設定より優先されます。
脆弱性
このポリシー設定が未構成の場合、ユーザーは信頼済みサイト ゾーンや制限付きサイト ゾーンでサイトを自由に追加または削除したり、ローカル イントラネット ゾーンの設定を変更することができます。この設定では、それらのゾーンに悪意のあるモバイル コードをホストするサイトが追加され、ユーザーがそれを実行してしまうおそれがあります。
対策
[セキュリティ ゾーン: サイトの追加/削除を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、管理者が設定したセキュリティ ゾーンのサイト管理設定を変更できません。ユーザーがこれらの Internet Explorer のセキュリティ ゾーンにサイトの追加/削除を行う必要がある場合は、管理者が構成する必要があります。
セキュリティ ゾーン:ポリシーの変更を許可しない
このポリシー設定では、[インターネット オプション] ダイアログ ボックスの [セキュリティ] タブの [レベルのカスタマイズ] ボタンおよび このゾーンのセキュリティのレベル スライダが無効になります。この設定が無効または未構成の場合、ユーザーはセキュリティ ゾーンの設定を変更できます。この設定を使用すると、管理者が設定したセキュリティ ゾーンのポリシー設定をユーザーが変更できないようにできます。
[セキュリティ ゾーン: ポリシーの変更を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
注 : [[セキュリティ] ページの使用を許可しない] (場所: \ユーザーの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル )を有効にすると、インターフェイスから [セキュリティ] タブが削除されます。この設定が有効になっている場合は、[セキュリティ ゾーン: ポリシーの変更を許可しない] 設定より優先されます。
脆弱性
Internet Explorer のセキュリティ設定を変更すると、ユーザーがブラウザの制限付きサイト ゾーンにリストされているインターネット サイトおよび Web サイトにアクセスし、危険な種類のコードを実行するおそれがあります。
対策
[セキュリティ ゾーン: ポリシーの変更を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、Internet Explorer のゾーンのセキュリティ設定を構成できません。
セキュリティ ゾーン:コンピュータの設定のみ使用する
このポリシー設定を有効にすると、あるユーザーが設定したセキュリティ ゾーンの設定が、そのコンピュータを使用するすべてのユーザーに適用されます。このポリシー設定が無効または未構成の場合、同じコンピュータのユーザーは独自のセキュリティ ゾーン設定を構成することができます。このポリシー設定を使うと、同じコンピュータでは統一されたセキュリティ ゾーン設定が使用されるようにし、ユーザーごとに設定が異なることがないようにできます。
[セキュリティ ゾーン: コンピュータの設定のみ使用する] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
Internet Explorer のセキュリティ設定を変更すると、ユーザーがブラウザの制限付きサイト ゾーンにリストされているインターネット サイトおよび Web サイトにアクセスし、危険な種類のコードを実行するおそれがあります。
対策
[セキュリティ ゾーン: コンピュータの設定のみ使用する] 設定を [有効] にします。
考えられる影響
ユーザーは、Internet Explorer のゾーンのセキュリティ設定を構成できません。
クラッシュ検出を無効にする
このポリシー設定を使用すると、ユーザーは Internet Explorer のアドオン管理機能のクラッシュ検出を管理できます。このポリシー設定を有効にすると、Internet Explorer のクラッシュ時に、Windows XP Professional SP1 およびそれ以前のバージョンを実行するコンピュータでのクラッシュに類似したWindows エラー報告が起動するようになります。このポリシー設定を無効にすると、アドオン管理のクラッシュ検出機能が有効になります。
[クラッシュ検出を無効にする] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
クラッシュ レポートには、コンピュータのメモリにある機密情報が含まれる可能性があります。
対策
[クラッシュ検出を無効にする] 設定を [有効] にします。
考えられる影響
Internet Explorer アドオンによって生成されるクラッシュについての情報は、Microsoft に報告されません。クラッシュが頻繁に起こり、問題解決のためにそれを報告する必要がある場合、設定を一時的に [無効] にする必要があります。
ユーザーによるアドオンの有効化および無効化を許可しない
このポリシー設定では、ユーザーがアドオン管理機能を使ってアドオンを許可または拒否できるかどうかを管理します。このポリシー設定を [有効] にすると、ユーザーはアドオン管理機能を使用してアドオンを有効または無効にできません。ユーザーが引き続きアドオン管理機能を使ってアドオンを管理できるように許可する設定で、アドオンが [Add-on List] ポリシー設定に明確に入力されている場合は、唯一の例外になります。このポリシー設定を [無効] にすると、ユーザーはアドオンを有効または無効にできます。
注 : Windows XP SP2 で Internet Explorer アドオンを管理する方法の詳細については、サポート技術情報の記事 883256「Windows XP Service Pack 2 で Internet Explorer のアドオンを管理する方法」 (https://support.microsoft.com/?kbid=883256) を参照してください。
[ユーザーによるアドオンの有効化および無効化を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが組織のセキュリティ ポリシーで許可されていないアドオンをインストールすることはよくあります。そのようなアドオンによって、組織のネットワークのセキュリティとプライバシーが重大なリスクに晒される場合があります。
対策
[ユーザーによるアドオンの有効化および無効化を許可しない] 設定の値を [有効] にします。
考えられる影響
[ユーザーによるアドオンの有効化および無効化を許可しない] 設定を有効にすると、ユーザーが独自に Internet Explorer アドオンを有効または無効にできません。アドオンを使用している組織の場合、この構成は職務に影響を与える可能性があります。
Internet Explorer\インターネット コントロール パネル\セキュリティ ページ
Internet Explorer のセキュリティ ページ グループ ポリシー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ Internet Explorer\インターネット コントロール パネル\セキュリティ ページ
セキュリティ ページの各ポリシー設定については、Windows XP と Windows Server 2003 のヘルプ、および Microsoft の Web サイトで詳しく説明しています。したがって、このガイドでは繰り返し説明しません。次の一般的なガイドラインを考慮してください。
脆弱性
ユーザーに Internet Explorer で独自のセキュリティ設定を構成することを許可すると、悪質なソフトウェア (マルウェア) に対してコンピュータがより脆弱になる可能性があります。また、ユーザーは組織で実施されている標準のセキュリティ ポリシーを回避することができます。
対策
グループ ポリシーの [Internet Explorer\インターネット コントロール パネル\セキュリティ ページ] ノードの設定を使って、セキュリティ ゾーンおよびそれに関連する動作を構成します。
考えられる影響
Windows XP SP2 と Windows Server 2003 SP1 では、組織の環境全体に Internet Explorer セキュリティ ゾーンを構成するのに役立つ新しいポリシー設定が導入されています。これらのポリシー設定の既定値は、以前のバージョンの Windows 以上にセキュリティを強化するものです。ただし、ポリシー設定をローカル環境に合うようにカスタマイズする必要があります。たとえば、信頼済みのサイト ゾーンにビジネス パートナーやサプライヤを追加したり、ユーザーにゾーン一覧の変更を許可しない設定にしたりする必要があります。
Internet Explorer\インターネット コントロール パネル\詳細設定ページ
管理用テンプレートのこの部分の設定は、Internet Explorer の[インターネット オプション] ダイアログ ボックスの [詳細設定] タブで構成できる設定と同じです。
以下の 2 つのポリシー設定が、Windows Server 2003 SP1 と Windows XP SP2 の両方で使用できます。
署名が無効であっても、ソフトウェアの実行またはインストールを許可する
このポリシー設定では、ダウンロードされたソフトウェアの署名が無効の場合、そのソフトウェアをインストールまたは実行できるかどうかを管理します。無効な署名は、ファイルが改ざんされた可能性があります。このポリシー設定を有効にすると、署名が無効のファイルがインストールまたは実行されることを知らせるダイアログ ボックスが、ユーザーに表示されます。このポリシー設定を無効にすると、署名が無効のファイルを実行またはインストールできません。
[署名が無効であっても、ソフトウェアの実行またはインストールを許可する] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
Microsoft ActiveX® コントロールおよびファイル ダウンロードでは、ファイルの整合性とソフトウェアの署名者 (作成者) の ID を明確にするデジタル署名が添付されることがよくあります。そのような署名によって、ダウンロードされたソフトウェアが未修正であることや、可能な場合は送信者を識別し、ソフトウェアを実行しても安全かどうかを判断するのに役立ちます。未署名コードの有効性は確認できません。
対策
[署名が無効であっても、ソフトウェアの実行またはインストールを許可する] 設定を [無効] にして、ユーザーが署名のない ActiveX コンポーネントを実行できないようにします。
考えられる影響
一部の正当なソフトウェアおよび正当なコントロールに無効な署名が付く場合があります。そのようなソフトウェアは、組織のネットワークで使用を許可する前に、組織の環境から切り離して慎重にテストしておく必要があります。
ユーザーのコンピュータでの、CD のアクティブ コンテンツの実行を許可する
このポリシー設定では、CD のアクティブ コンテンツをユーザーのコンピュータで実行できるかどうかを決定します。セキュリティに重点を置く組織では、CD で配布された ActiveX コントロールまたはその他のアクティブなコンテンツの実行を回避する必要がある場合があります。
[ユーザーのコンピュータでの、CD のアクティブ コンテンツの実行を許可する] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ネットワーク経由ではなく、CD で配布されたコンテンツを実行した場合、ユーザーは組織のセキュリティ ポリシーを知らずに回避してしまいます。
対策
[ユーザーのコンピュータでの、CD のアクティブ コンテンツの実行を許可する] 設定を [無効] にします。この構成により、CD に保存されたアクティブ コンテンツの実行を防ぐことができます。
考えられる影響
このポリシー設定を有効にすると、CD からインストールされるように作成されたアプリケーションが、ユーザーが操作しないと正常に機能しない場合があります。
サード パーティ製のブラウザ拡張を許可する
(このポリシー設定は Windows Server 2003 でのみ使用できます)
ユーザーはブラウザ ヘルパー オブジェクト (BHO) と呼ばれるサードパーティ製のブラウザ拡張をインストールする場合があります。[サード パーティ製のブラウザ拡張を許可する] 設定では、インストールされた BHO を Internet Explorer の起動時に読み込むかどうかを制御できます。
[サード パーティ製のブラウザ拡張を許可する] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
サードパーティ製ブラウザ拡張には脆弱性があったり、さらには悪質なコードが含まれる場合があるので、潜在的に危険です。また、それらをインストールすることが、組織のセキュリティ ポリシーに違反する場合があります。
対策
[サード パーティ製のブラウザ拡張を許可する] 設定を [無効] にします。
考えられる影響
[サード パーティ製のブラウザ拡張を許可する] を [無効] にした場合、ユーザーはサードパーティ製ブラウザ拡張をインストールできますが、インストールしたブラウザ拡張は Internet Explorer の起動時に読み込まれません。この構成は、ユーザーのワークフローに支障を来たし、ヘルプ デスクへの問い合わせを増やす可能性があります。
サーバー証明書失効を確認する
(このポリシー設定は Windows Server 2003 でのみ使用できます)
ブラウザとリモート サーバーの間で SSL (Secure Sockets Layer) 接続が確立されると、サーバーは、最初のセキュリティ ネゴシエーションで使う証明書をクライアント コンピュータに提示します。[サーバー証明書失効を確認する] 設定を [有効] にすると、Internet Explorer が、提示された証明書が発行機関の証明書失効リストにあるかどうかを確認します。
[サーバー証明書失効を確認する] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーは、期限が切れた証明書または発行機関によって失効された証明書を持つサーバーと、誤って通信する場合があります。そのような場合は、情報の漏洩につながり、リモート サーバーのセキュリティが侵害されている場合には、アクティブな攻撃を受ける可能性もあります。
対策
[サーバー証明書失効を確認する] 設定を [有効] にします。
考えられる影響
[サーバー証明書失効を確認する] 設定を有効にすると、ユーザーが以前は信頼できると思っていたサイトに対する警告を受ける場合があります。ユーザーがインターネットを参照する際に、信頼できるサイトを適切に判断できるように指導することが重要です。
ダウンロードされたプログラムの署名を確認する
(このポリシー設定は Windows Server 2003 でのみ使用できます)
ダウンロードされるプログラムは、プログラムや ActiveX コントロールなど、実行可能オブジェクトにデジタル署名をバインドする Microsoft Authenticode® テクノロジで署名されている場合があります。[ダウンロードされたプログラムの署名を確認する] 設定を有効にすると、Internet Explorer によって、実行可能プログラムのデジタル署名が確認され、ダウンロードされる前にそのプログラムの ID が表示されます。
[ダウンロードされたプログラムの署名を確認する] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーは不適切または悪質なコンテンツを知らずにダウンロードする場合があります。
対策
[ダウンロードされたプログラムの署名を確認する] 設定を [有効] にします。
考えられる影響
[ダウンロードされるプログラムの署名を確認する] 設定を有効にすると、ユーザーは署名された実行可能プログラムの ID 情報を見ることができます。
暗号化されたページをディスクに保存しない
(このポリシー設定は Windows Server 2003 でのみ使用できます)
Internet Explorer がリモート サーバーからページを取得すると、ページはテンポラリ ファイル キャッシュに格納されます。この機能により、パフォーマンスが向上し、ホストに再接続せずに、ブラウズ履歴リスト内のページを戻ったり進んだりできます。
[暗号化されたページをディスクに保存しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
SSL でセキュリティ保護された接続からキャッシュされたページには、パスワードやクレジット カード番号などの機密情報が含まれる場合があります。
対策
[暗号化されたページをディスクに保存しない] 設定を [有効] にします。
考えられる影響
SSL 接続で取得されるページはキャッシュされません。この構成では、ユーザーのブラウザは、このポリシー設定を有効にしなければキャッシュされるはずのページを再ダウンロードするので、ネットワーク帯域幅の使用を増加させる可能性があります。
ブラウザを閉じたとき、[Temporary Internet Files] フォルダを空にする
(このポリシー設定は Windows Server 2003 でのみ使用できます)
Internet Explorer によって取得されるページは、テンポラリ ファイル キャッシュに格納されます。Internet Explorer は、[インターネット一時ファイル} の [設定] ダイアログ ボックスでの設定に従ってこのキャッシュを管理します。ダウンロードされたファイルまたはオブジェクトは、Internet Explorer によって削除されるまでキャッシュに残ります。
[ブラウザを閉じたとき、[[Temporary Internet Files] フォルダを空にする] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが Internet Explorer を終了してログオフした後も、\Temporary Internet Files フォルダに機密情報が残ることがあります。同じコンピュータの別のユーザーがこれらのファイルにアクセスできる可能性があります。
対策
[ブラウザを閉じたとき、[Temporary Internet Files] フォルダを空にする] 設定を [有効] にします。
考えられる影響
Internet Explorer は、\Temporary Internet Files フォルダをキャッシュとして使用し、ブラウザ パフォーマンスを向上させます。この機能を無効にすると、ユーザーが Web を参照するのに必要な時間と帯域幅が増加します。
Internet Explorer\セキュリティ機能
Windows 管理用テンプレートの コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\セキュリティ機能の箇所には、Windows Server 2003 SP1 と Windows XP SP2 の Internet Explorer 6.0 で追加されたさまざまなセキュリティ機能を制御するポリシー設定があります。各ポリシー設定には、次の 3 つの下位設定があります。
Internet Explorer のプロセス : この設定には、[有効]、[無効]、[未構成] の 3 つの値がの設定可能です。この設定を [有効] にすると、Internet Explorer と Windows エクスプローラのプロセスで指定された動作がオフになります。[無効] または [未構成] にすると、既定の動作 (各設定について個別に説明) は有効です。
プロセスの一覧 : この設定では、個々のプロセスについて、セキュリティ機能を有効にするか無効にするかを指定できます。プロセスの一覧ではプロセスの機能を制御します。プロセスの設定値が 1 の場合はそれらのプロセスの機能は無効で、設定値が 0 の場合は有効です。
すべてのプロセス : この設定には、[有効]、[無効]、[未構成] の 3 つの値がの設定可能です。この設定を [有効] にすると、Internet Explorer と Windows エクスプローラのプロセスで指定された動作がオフになります。[無効] または [未構成] にすると、既定の動作 (各設定について個別に説明) は有効です。
バイナリ ビヘイビアのセキュリティの制限
Internet Explorer には動的なバイナリ ビヘイビアが含まれています。これは、動作が関連付けられている HTML 要素のための特定の機能をカプセル化するコンポーネントです。このようなバイナリ ビヘイビアは Internet Explorer セキュリティ設定によって制御されません。つまり、制限付きサイト ゾーンの Web ページで動作します。
Windows XP SP2 および Windows Server 2003 SP1 には、バイナリ ビヘイビア用の新しい Internet Explorer のセキュリティ設定が追加されています。この新しい設定により、制限付きサイト ゾーンでのバイナリ ビヘイビアが既定で無効になり、Internet Explorer のバイナリ ビヘイビアの脆弱性が緩和されます。
前述の [Internet Explorer の プロセス] 、[プロセスの一覧] および [すべてのプロセス] 設定に加えて、[バイナリ ビヘイビアのセキュリティの制限] 設定では、[管理者によって許可されたビヘイビア] 設定で指定したゾーンに個々の動作を許可することができます。バイナリとスクリプトの動作を制御するには、[管理者によって許可] に適切なゾーンを設定し、[バイナリ ビヘイビアのセキュリティの制限] 設定を使って、各ゾーンで許可する個別の動作を設定します。
脆弱性
正しく記述されていないか、または悪質なビヘイビアが Web ページによって起動され、コンピュータが不安定になったり侵害を受ける可能性があります。
対策
バイナリ ビヘイビアの使用を完全に無効にします。または、[管理者によって許可されたビヘイビア] 設定で特定の動作を許可します。
考えられる影響
バイナリ ビヘイビアに依存するアプリケーションは、それらのビヘイビアが無効の場合、正常に機能しない可能性があります。
MK プロトコル セキュリティの制限
[MK プロトコル セキュリティの制限] ポリシー設定では、使用頻度の低い MK プロトコルをブロックすることにより、コンピュータの攻撃対象領域を減らします。一部の古い Web アプリケーションでは、圧縮ファイルから情報を取得するために MK プロトコルが使用されます。
脆弱性
MK プロトコル ハンドラ、またはそれを呼び出すアプリケーションに脆弱性が存在する可能性があります。
対策
MK プロトコルは広く使用されていないため、必要のないときには常にブロックされる必要があります。すべてのプロセスで、MK プロトコルへのアクセスを無効にします。
考えられる影響
この設定を展開するとき、MK プロトコルを使用するリソースは失敗するので、どのアプリケーションも MK プロトコルを使用していないことを確認する必要があります。
ローカル コンピュータ ゾーンのロックダウン セキュリティ
Internet Explorer では、表示する各 Web ページに対して、その Web ページが設定されている Internet Explorer セキュリティ ゾーンに応じたゾーン制限が適用されます。いくつかのセキュリティ ゾーンがあり、各ゾーンにはそれぞれの制限があります。ページのセキュリティ ゾーンは、ページの場所によって決定されます。たとえば、インターネット上にあるページは、通常、より制限の厳しいインターネット セキュリティ ゾーンにあります。それらには、ローカル ハード ドライブへのアクセスなど、一部の操作の実行が許可されないことがあります。組織のネットワークにあるページは、通常イントラネット セキュリティ ゾーンにあり、制限はより少なくなります。これらのほとんどのゾーンに関連する詳細な制限は、ユーザーが Internet Explorer の [ツール] メニューの**[インターネット オプション]** で設定できます。
Windows XP SP2 および Windows Server 2003 SP1 以前のシステムでは、ローカル ファイル システムのコンテンツは安全とされ、ローカル コンピュータ ゾーンに割り当てられました (Internet Explorer によってキャッシュされるコンテンツを除く)。このセキュリティ ゾーンは、通常、比較的少ない制限で Internet Explorer での実行が許可されます。Windows XP SP2 および Windows Server 2003 SP1 以降のリリースでは、Internet Explorer の既定の構成でローカル コンピュータ ゾーンがロックダウンされることにより、ユーザーの保護が強化されています。
脆弱性
攻撃者がローカル コンピュータ ゾーンを悪用して特権を高め、コンピュータを侵害しようと試みることがよくあります。ローカル コンピュータ ゾーンに関連する多くの脆弱性が Windows XP SP2 の Internet Explorer の他の変更によって軽減されました。これらの変更は Windows Server 2003 SP1 の Internet Explorer にも組み込まれています。ただし、攻撃者がなおもローカル コンピュータ ゾーンを攻略する方法を生み出す可能性はあります。
対策
[ローカル コンピュータ ゾーンのロックダウン セキュリティ] 設定を [有効] にします。
考えられる影響
[ローカル コンピュータ ゾーンのロックダウン セキュリティ] 設定を [有効] にすると、ローカル HTML を使用する Internet Explorer ベースのアプリケーションが動作しない場合があります。他のアプリケーションでホストされたローカル HTML は、そのアプリケーションがローカル コンピュータ ゾーンのロックダウンを利用していない限り、Internet Explorer の前バージョンで使用された、ローカル コンピュータ ゾーンの制限の少ない設定で実行されます。
整合性のある MIME 処理
Internet Explorer では、MIME (Multipurpose Internet Mail Extensions) データの仕様に基づいて、Web サーバーから受信したファイルの処理方法が決定されます。[整合性のある MIME 処理] 設定を使うと、Web サーバーから渡されるすべてのファイル タイプ情報が一致しているかどうかを Internet Explorer にチェックさせることができます。たとえば、ファイルの MIME タイプが text/plain にも関わらず MIME データの示す実際のファイル タイプが実行可能ファイルである場合、Internet Explorer はそのファイルの拡張子を実行可能ファイルの拡張子に変更します。この機能は、攻撃者が実行可能コードを他の信頼されやすい種類のデータに見せかけることを防止します。
このポリシー設定を有効にすると、Internet Explorer はすべての受信ファイルを調べて、整合性のある MINE データを強制します。このポリシー設定が無効または未構成の場合、Internet Explorer はすべての受信データに整合性のある MIME データを要求せず、ファイル側の MIME データを使用します。
注 : この設定は [MIME スニッフィングの安全機能] 設定と連携しますが、それに置き換わるものではありません。
脆弱性
悪質な Web サーバーが、実行ファイルを実行可能ファイル以外の MIME タイプを使用して配信する可能性があり、そのファイルを開いたユーザーがコンテンツを実行してしまうおそれがあります。
対策
[整合性のある MIME 処理] 設定を [有効] にします。
考えられる影響
この設定を有効にすると、サーバーが間違った MIME タイプの情報を提供した場合、サーバーに依存するアプリケーションが、ダウンロードされたオブジェクトの MIME タイプを正しく設定できない場合があります。
MIME スニッフィングの安全機能
MIME スニッフィングとは、MINE ファイルのコンテンツを調べて、それがデータ ファイル、実行可能ファイル、またはその他のどのファイルかを判断するプロセスを指す用語です。このポリシー設定を使うと、特定のタイプのファイルが別の危険性の高いファイル タイプに昇格させられるのを Internet Explorer MIME スニッフ機能で防止することができます。このポリシー設定を有効にすると、MINE スニッフィングは、特定のタイプのファイルを別の危険性の高いファイル タイプに昇格させません。このポリシー設定を [無効] にすると、Internet Explorer のプロセスは、MINE スニッフが特定のタイプのファイルを別の危険性の高いファイル タイプに昇格させるのを許可します。たとえば、テキスト ファイルと見なされるファイルのコードはすべて実行されてしまうので、テキスト ファイルを実行可能ファイルに昇格させるのは危険です。
脆弱性
悪質な Web サイトは、ある種のコンテンツを、安全性を示す MIME ラベルで配信できます。
対策
[すべてのプロセス] の [MIME スニッフィングの安全機能] を [有効] にします。
考えられる影響
このポリシー設定を有効にすると、間違ってレベル付けされた MIME タイプに依存して正常に機能するアプリケーションは破損します。
オブジェクト キャッシュ保護
以前のバージョンの Internet Explorer では、Web ページは別の Web サイトから キャッシュされたオブジェクトを参照することができました。[オブジェクト キャッシュ保護] 設定では、そのようなキャッシュされたオブジェクトへの参照を禁止できます。
脆弱性
悪質なサーバーはユーザーのコンピュータにオブジェクトをダウンロードし、それを別の Internet Explorer ゾーンなど、別のサイトでのコードを使って有効にすることが可能です。たとえば、攻撃者はこのメソッドを使用して、別のフレームで入力されるクレジット カードの番号やその他の機密性の高いデータなど、別のフレームのコンテンツをリッスンするスクリプトを作成できます。
対策
[Internet Explorer の プロセス] の [オブジェクト キャッシュ保護] を [有効] にします。
考えられる影響
正しく作成されたアプリケーションは、クロスドメインのオブジェクトへのアクセスに依存しないはずです。このポリシー設定を有効にすると、依存するアプリケーションが動作しません。
スクリプト化されたウィンドウのセキュリティ制限
Internet Explorer では、スクリプトのプログラム コードから各種ウィンドウを開いたり、サイズ変更したり、移動したりできます。[スクリプト化されたウィンドウのセキュリティ制限] 設定では、ポップアップ ウィンドウに制限をかけたり、タイトル バーとステータス バーが非表示のウィンドウや、他のタイトル バーとステータス バーを非表示にするウィンドウの表示を禁止することができます。このポリシー設定を有効にすると、エクスプローラおよび Internet Explorer のプロセスにこれらの制限が適用されます。このポリシー設定が無効また未設定の場合、ポップアップ ウィンドウや、他のウィンドウを非表示にするウィンドウが、スクリプトによって作成されます。
Internet Explorer のポップアップ ウィンドウを制御するサードパーティのツールが数多くあります。それらのツールの多くは、この設定と同様の方法でポップアップ ウィンドウを制限します。通常、サードパーティ ポップアップ ブロックがこの設定に干渉することはなく、この設定がそれらのブロックに影響を与えることもありません。
脆弱性
悪質な Web サイトがウィンドウのサイズを変更して、他のウィンドウを非表示にしたり、悪質なコードを含むウィンドウをユーザーに強制的に操作させる場合があります。
対策
[Internet Explorer プロセス] の[スクリプト化されたウィンドウのセキュリティ制限] を [有効] にします。
考えられる影響
この設定が有効の場合、ウィンドウのサイズ変更または移動が必要な Web アプリケーションが正常に動作しない場合があります。
ゾーン昇格からの保護
Internet Explorer では、表示する各 Web ページに対し、Web ページが設定されているゾーン (インターネット、イントラネット、ローカル コンピュータなど) に応じたゾーン制限が適用されます。ローカル コンピュータ上の Web ページは、ローカル コンピュータ ゾーンに置かれ、セキュリティ制限が最も少なくなります。このため、ローカル コンピュータ ゾーンは悪意あるユーザーの標的になりがちです。
[Internet Explorer のプロセス] の [ゾーン昇格からの保護] 設定を有効にすると、Internet Explorer のプロセスによってどのゾーンからも昇格が防止されます。このアプローチは、あるゾーンで実行されるコンテンツが別のゾーンのより高いレベルの特権を取得することを防ぎます。
脆弱性
悪質な Web ページが、現在のゾーンから別のより高い特権を持つゾーンへの昇格を試みる場合があります。
対策
[Internet Explorer の プロセス] の [ゾーン昇格からの保護] を [有効] にします。
考えられる影響
なし。
ActiveX のインストールの制限
この設定では、Internet Explorer のプロセスで ActiveX コントロールのインストール プロンプトをブロックできます。このポリシー設定を有効にすると、手動でインストールする必要のある ActiveX コントロールがページに含まれる場合、ユーザーにインストール プロンプトが表示されず、ユーザーは Web ページから ActiveX コントロールをインストールすることができません。このポリシー設定を無効にすると、ActiveX コントロールのインストール プロンプトはブロックされません。
脆弱性
ユーザーが組織のセキュリティ ポリシーによって許可されていない ActiveX コントロールなどのソフトウェアをインストールすることがしばしばあります。そのようなソフトウェアは、ネットワークのセキュリティとプライバシーに重大なリスクをもたらす可能性があります。
対策
[Internet Explorer の プロセス] の [ActiveX のインストールの制限] を [有効] にします。
考えられる影響
このポリシー設定を有効にすると、ユーザーは Windows Update で使用されるものなど、承認された正当な ActiveX コントロールをインストールすることができません。このポリシー設定を有効にした場合、Windows Server Update Service (WSUS) など、セキュリティ更新プログラムを展開するための何らかの代替方法を導入してください。WSUS (Windows Server Update Services) についての詳細は、「Windows Server Update Services 製品概要」 (www.microsoft.com/japan/windowsserversystem/updateservices/evaluation/overview.mspx) を参照してください。
ファイル ダウンロードの制限
[ファイル ダウンロードの制限] 設定を有効にすると、ユーザーが明示的に開始した場合以外のファイル ダウンロード プロンプトをブロックすることができます。
脆弱性
特定の状況下で、Web サイトはユーザーからの操作なしでファイルのダウンロード プロンプトを開始できます。この方法では、ユーザーが誤ったボタンをクリックし、ダウンロードを承諾した場合、Web サイトからユーザーのコンピュータに承認されないファイルが配信される可能性があります。
対策
[Internet Explorer の プロセス] の [ファイル ダウンロードの制限] を [有効] にします。
考えられる影響
なし。Web サイトがユーザーの要求なしにユーザーのワークステーションへのファイル転送を開始する正当な理由はありません。
アドオン管理
このポリシー設定では、[アドオンの一覧] 設定と共に、Internet Explorer アドオンを制御します。既定では、[アドオンの一覧] 設定は、グループ ポリシーによって許可または拒否するアドオンの一覧を定義します。[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] 設定は、[アドオンの一覧] 設定で指定されているアドオンを除き、すべてのアドオンを拒否します。
このポリシー設定を有効にすると、Internet Explorer は [アドオンの一覧] に特別にリスト (および許可) されているアドオンだけを許可します。この設定が無効の場合、ユーザーはアドオン マネージャを使用して、任意のアドオンを許可または拒否できます。
組織の環境で使用できるアドオンを、[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] と [アドオンの一覧] 設定の両方を使用して、制御することを検討してください。このアプローチは、承認されたアドオンだけが使用されるようにするのに役立ちます。
脆弱性
正しく記述されていないか、または悪質なアドオンが、ユーザーのコンピュータを不安定にしたり侵害したりするおそれがあります。
対策
[アドオンの一覧] に、ユーザーがアクセスする必要のある信頼済みの Internet Explorer アドインの一覧を構成します。そして、[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] 設定を [有効] にします。
考えられる影響
[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] 設定を [有効] にすると、ユーザーは独自のアドオンをインストールまたは構成することができません。
ネットワーク プロトコルのロックダウン
Windows Server 2003 SP1 と Windows XP SP2 では、特定のネットワーク プロトコルを使用してダウンロードされたアクティブ コンテンツの実行を、管理者が防止できる機能が追加されました。管理者は [ネットワーク プロトコルのロックダウン] 設定で個別のプロトコル (HTTP と HTTPS を含む) を指定することによって、アクティブ コンテンツの取得に使用できるプロトコルを制御できます。
脆弱性
ユーザーが、信頼されないソースから悪質なコンテンツをダウンロードし、実行する可能性があります。
対策
[セキュリティ ゾーンごとの制限されたプロトコル] 設定を使用して、各ゾーンでコンテンツのダウンロードに使用できるプロトコルを定義します。そして、[Internet Explorer の プロセス] の [ネットワーク プロトコルのロックダウン] を [有効] にします。
考えられる影響
ゾーンごとの制限が設定されると、ユーザーはアプリケーションを実行できない場合や、アクティブ コンテンツを含むページを使用できない場合があります。プロトコル ロックダウンを使用する場合は、各ゾーンでアプリケーションを十分テストして、正常に動作することを確認してください。
インターネット インフォメーション サービス
Windows Server 2003 に組み込まれている Web サーバーである Microsoft インターネット インフォメーション サービス (IIS) 6.0 は、企業イントラネットおよびインターネット上での文書や情報の共有を容易にします。IIS の設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ Internet Explorer
IIS をインストールできないようにする
IIS 6.0 は、既定では Windows Server 2003 にインストールされていません。[IIS をインストールできないようにする] 設定を有効にすると、環境内のコンピュータに IIS をインストールすることが禁止されます。
[IIS をインストールできないようにする] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
以前のバージョンの IIS およびネットワーク アクセスで IIS に依存するアプリケーションには、リモートから悪用されるという、セキュリティ面で深刻な脆弱性がありました。IIS 6.0 は、セキュリティ面が以前よりも強化されていますが、まだ明らかになっていない新たな脆弱性が存在する可能性があります。したがって、組織では Web サーバーとして指定されているコンピュータ以外に IIS がインストールされないようにする必要があります。
対策
[IIS をインストールできないようにする] 設定を [有効] にします。
考えられる影響
IIS が必要な Windows コンポーネントやアプリケーションをインストールできなくなります。IIS が必要な Windows コンポーネントやアプリケーションをユーザーがインストールしようとしても、このグループ ポリシー設定のために IIS をインストールできないことを示すエラー メッセージや警告は表示されません。IIS が既にインストールされているコンピュータでこのポリシー設定を有効にしても、何も影響はありません。
ターミナル サービス
Windows Server 2003 のターミナル サービスは、Windows 2000 ターミナル サービスのアプリケーション サーバー モードによって提供された強固な基盤に基づいて構築され、Windows XP では新たなクライアントおよびプロトコル機能が追加されました。ターミナル サービスを使用すると、Windows を実行できないデバイスも含めた、ほぼすべてのコンピューティング デバイスに対し、Windows ベースのアプリケーションまたは Windows デスクトップ自体を配布することができます。
Windows Server 2003 のターミナル サービスでは、アプリケーションおよび管理インフラストラクチャに優れた柔軟性がもたらされるため、組織におけるさまざまなシナリオに対するソフトウェア配布機能を強化できます。ユーザーがターミナル サーバーでアプリケーションを実行すると、アプリケーションの実行はサーバー上で行われ、キーボード、マウス、および表示情報のみがネットワーク上で送信されます。各ユーザーには自分のセッションのみが示され、セッションはサーバーのオペレーティング システムによって透過的に管理されます。また、各セッションは他のクライアント セッションから独立しています。
ターミナル サーバー グループ ポリシー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ ターミナル サービス
コンソール セッションにログインしている管理者のログオフを拒否する
このポリシー設定は、サーバーのコンソールに接続しようとしている管理者が、現在コンソールにログオンしている管理者のログオフを許可するかどうかを指定します。コンソール セッションは、"セッション 0" としても知られています。コンソールには、コンピュータ フィールド名のリモート デスクトップ接続またはコマンド ラインから "/console" スイッチを使用することでアクセスすることができます。
[コンソール セッションにログインしている管理者のログオフを拒否する] で設定可能な値は、次のとおりです。
有効
無効
未構成
[コンソールセッションにログインしている管理者のログオフを拒否する] 設定を有効にすると、コンピュータに接続している管理者をログオフさせることはできません。このポリシー設定を無効にすると、管理者が別の管理者をログオフさせることができます。このポリシー設定が未構成の場合、管理者が別の管理者をログオフさせることはできますが、このアクセス許可は、ローカル コンピュータのポリシー レベルで無効にすることができます。
このポリシーは、現在接続している管理者を他の管理者がログオフさせることができないようにするのに役立ちます。接続している管理者をログオフさせると、保存されていないデータは失われます。
脆弱性
ターミナル サーバー セッションを確立することに成功し、管理者特権を得た攻撃者が、セッション 0 コンソールでサーバーにログオンしようとする管理者を強制的にログオフさせると、コンピュータの制御を取り戻すことがさらに難しくなります。攻撃者が他のユーザーをログオフさせることができる特権を手に入れ、コンピュータをほぼ完全に支配できる状態になってしまった場合は、この対策も無意味なものになります。
対策
[コンソール セッションにログインしている管理者のログオフを拒否する] 設定を [有効] にします。
考えられる影響
管理者は、セッション 0 コンソールから他の管理者を強制的にログオフさせることができません。
ローカルの管理者によるアクセス許可のカスタマイズを許可しない
このポリシー設定では、管理者がターミナル サービスの構成 (TSCC) ツールでセキュリティ アクセス許可をカスタマイズする権利を制御します。この設定を使用すると、管理者は [TSCC アクセス許可] タブのユーザー グループのセキュリティ記述子を変更できません。既定の構成では、管理者は記述子を変更できます。
[ローカルの管理者によるアクセス許可のカスタマイズを許可しない] 設定を有効にすると、TSCC の [アクセス許可] タブを使って接続ごとのセキュリティ記述子をカスタマイズしたり、既存のグループの既定のセキュリティ記述子を変更したりできなくなります。セキュリティ記述子はすべて読み取り専用です。このポリシー設定が無効または未構成の場合、サーバー管理者には TSCC の [アクセス許可] タブのユーザー セキュリティ記述子に対するフル読み取り/書き込み権限が与えられます。
[ローカルの管理者によるアクセス許可のカスタマイズを許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
注 : ユーザー アクセスの管理方法として、ユーザーを Remote Desktop Users グループに追加することをお勧めします。
脆弱性
攻撃者が、ターミナル サービスを実行しているサーバーの管理者特権を手に入れた場合、TSCC ツールを使用してアクセス許可を変更することで、他のユーザーがサーバーに接続できないようにして、DoS 状態にする可能性があります。
攻撃者が管理者特権を手に入れ、コンピュータをほぼ完全に支配できる状態になってしまった場合は、この対策も無意味なものになります。
対策
[ローカルの管理者によるアクセス許可のカスタマイズを許可しない] 設定を [有効] にします。
考えられる影響
TSCC の [アクセス許可] タブを使って各接続のセキュリティ記述子をカスタマイズしたり、既存のグループの既定のセキュリティ記述子を変更したりできなくなります。
ターミナル サービス ユーザー セッションのリモート制御のルールを設定する
このポリシー設定は、ターミナル サーバー セッションで許可するリモート制御のレベルを指定します。リモート制御は、セッション ユーザーのアクセス許可の有無に関係なく設定できます。このポリシー設定を使用して、次の 2 つのリモート制御レベルのいずれかを選択できます。[セッション表示] レベルでは、リモート制御ユーザーは、セッションを見ることができます。[フル コントロール] レベルでは、リモート制御ユーザーは、セッションと対話することができます。
[ターミナル サービス ユーザー セッションのリモート制御のルールを設定する] 設定を有効にすると、管理者は、指定されたルールに従って、ユーザーのターミナル サーバー セッションとリモートで対話することができます。これらのルールを設定するには、[オプション] リストで必要な制御レベルとアクセス許可を選択します。リモート制御を無効にするには、[リモート制御を許可しない] を選択します。この設定が無効または未構成の場合、サーバー管理者は、TSCC ツールを使用してリモート制御のルールを指定できます。既定では、リモート制御のユーザーは、セッション ユーザーの許可があれば完全な制御を得ることができます。
[ターミナル サービス ユーザー セッションのリモート制御のルールを設定する] で設定可能な値は、次のとおりです。
有効 (オプションは以下のとおり)
リモート制御を許可しない
ユーザーの許可によりフル コントロール
ユーザーの許可なしでフル コントロール
ユーザーの許可を得てセッションを参照する
ユーザーの許可なしでセッションを参照する
無効
未構成
注 : この設定は、[コンピュータの構成] ノードおよび [ユーザーの構成] ノードの両方にあります。この設定を両方で構成した場合は、[コンピュータの構成] での設定が [ユーザーの構成] での同じ設定より優先されます。
脆弱性
サーバーの管理者権限を手に入れた攻撃者が、ターミナル サービスのリモート制御機能を使用して、他のユーザーのアクションを監視する可能性があります。これにより、機密情報が漏れる可能性があります。攻撃者が管理者特権を手に入れ、コンピュータをほぼ完全に支配できる状態になってしまった場合は、この対策も無意味なものになります。
対策
[ターミナル サービス ユーザー セッションのリモート制御のルールを設定する] 設定を [有効] にし、[リモート制御を許可しない] を選択します。
考えられる影響
管理者は、リモート制御機能を使用して、他のターミナル サービス ユーザーを支援することができなくなります。
クライアント/サーバー データ リダイレクト
ターミナル サービスは、クライアントとサーバーからのデータとリソースのリダイレクトを許可します。たとえば、サーバー アプリケーションから印刷されるデータをクライアントへリダイレクトでき、また、クライアント クリップボードをサーバー アプリケーションで使用することができます。グループ ポリシーの [クライアント/サーバー データ リダイレクト] セクションでの設定では、どの種類のリダイレクトを許可するかをカスタマイズできます。
[クライアント/サーバー データ リダイレクト] 設定を、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ ターミナル サービス\クライアント/サーバー データ リダイレクト
タイム ゾーン リダイレクトを許可する
このポリシー設定では、クライアント コンピュータがタイム ゾーン設定をターミナル サーバー セッションにリダイレクトするのを許可するかどうかを指定します。既定では、セッションのタイム ゾーンはサーバーのタイム ゾーンと同じなので、クライアント コンピュータがクライアントのタイム ゾーン情報をリダイレクトすることはできません。
[タイム ゾーン リダイレクトを許可する] 設定を有効にすると、タイム ゾーンのリダイレクトが可能なクライアントは、サーバーにタイム ゾーン情報を送信することができます。それから、サーバー ベースの時刻を使って現在のセッション時刻が計算されます。現在のセッション時刻は、サーバー ベースの時刻とクライアント タイム ゾーンを加算した値です。現在、クライアントでタイム ゾーンをリダイレクトできるのは、リモート デスクトップ接続および Windows CE 5.1 だけです。セッション 0 (コンソール セッション) では常にサーバー タイム ゾーンおよび設定が使用されます。コンピュータの時刻およびタイム ゾーンを変更するにはセッション 0 に接続してください。
[タイム ゾーン リダイレクトを許可する] 設定を無効にすると、タイム ゾーン リダイレクトはできません。このポリシー設定が未構成の場合、タイム ゾーンのリダイレクトがグループ ポリシー レベルで指定されることはありません。タイム ゾーンのリダイレクトは既定でオフになります。管理者がこのポリシー設定を変更すると、その新しい設定で指定された動作は新しい接続でのみ表示されます。新しい設定を有効にするには、変更前に開始したセッションをログオフして再接続する必要があります。このポリシー設定の変更後は、すべてのユーザーがサーバーをログオフすることをお勧めします。
[タイム ゾーン リダイレクトを許可する] で設定可能な値は、次のとおりです。
有効
無効
未構成
注 : タイム ゾーンのリダイレクトは Windows Server ファミリ ターミナル サーバーに接続している場合のみ可能です。
脆弱性
ユーザーのターミナル サーバー セッションからユーザーのローカル コンピュータへ、ユーザーの確認なしにタイム ゾーン データが転送される可能性があります。
対策
[タイム ゾーン リダイレクトを許可する] 設定を [無効] にします。
考えられる影響
タイム ゾーンのリダイレクトを実行できなくなります。
クリップボードのリダイレクトを許可しない
このポリシー設定では、ターミナル サーバー セッションでリモート コンピュータとクライアント コンピュータ間でのクリップボードの内容の共有 (クリップボードのリダイレクト) を許可するかどうかを指定します。この設定を使用して、リモート コンピュータとローカル コンピュータの間でクリップボードのデータをリダイレクトできないようにすることができます。既定では、ターミナル サービスではこのクリップボード リダイレクトが許可されています。
[クリップボードのリダイレクトを許可しない] 設定を有効にすると、ユーザーはクリップボードのデータをリダイレクトできません。このポリシー設定を無効にすると、ターミナル サービスでクリップボードのリダイレクトが常に許可されます。このポリシー設定が未構成の場合、グループ ポリシー レベルでクリップボードのリダイレクトが指定されることはありません。ただし、管理者は、TSCC ツールを使用してクリップボードのリダイレクトを無効にすることができます。
[クリップボードのリダイレクトを許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーのターミナル サーバー セッションからユーザーのローカル コンピュータへ、ユーザーの確認なしにデータが転送される可能性があります。
対策
[クリップボードのリダイレクトを許可しない] 設定を [有効] にします。
考えられる影響
クリップボードのリダイレクトを実行できなくなります。
オーディオのリダイレクトを許可する
このポリシー設定では、ターミナル サーバー セッションでリモート コンピュータのオーディオ出力の再生場所を選択できるかどうかを指定します。ユーザーは [リモート デスクトップ接続] の [ローカル リソース] タブで [リモート コンピュータのサウンド] オプション ボタンをクリックし、オーディオをリモート コンピュータとローカル コンピュータのどちらで再生するかを指定できます。または、オーディオを無効にすることもできます。ユーザーが Windows Server 2003 を実行しているサーバーにターミナル サービス経由で接続する場合は、既定でオーディオのリダイレクトを適用することはできません。Windows XP Professional を実行しているコンピュータに接続するユーザーは、既定でオーディオのリダイレクトを適用できます。
[オーディオのリダイレクトを許可する] 設定を有効にすると、ユーザーはオーディオのリダイレクトを適用できます。このポリシー設定を無効にすると、ユーザーはオーディオのリダイレクトを適用できません。このポリシー設定が未構成の場合、グループ ポリシー レベルでオーディオのリダイレクトが指定されることはありません。ただし、管理者は、TSCC ツールを使用してオーディオのリダイレクトを有効または無効にすることができます。
[オーディオのリダイレクトを許可する] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーのターミナル サーバー セッションからユーザーのローカル コンピュータへ、ユーザーの確認なしにデータが転送される可能性があります。
対策
[オーディオのリダイレクトを許可する] 設定を [無効] にします。
考えられる影響
オーディオのリダイレクトを実行できなくなります。
COM ポートのリダイレクトを許可しない
このポリシー設定を使うと、ターミナル サーバー セッションでリモート コンピュータからクライアントの通信ポートへのデータのリダイレクトを禁止することができます。このポリシー設定を有効にすると、ユーザーはターミナル サーバー セッションにログオン中に、COM ポート周辺機器にデータをリダイレクトしたり、ローカル COM ポートをマップしたりできません。既定では、"ターミナル サービス" では COM ポートのリダイレクトが許可されています。
[COM ポートのリダイレクトを許可しない] 設定を有効にすると、ユーザーはローカル COM ポートにサーバー データをリダイレクトすることができません。このポリシー設定を無効にすると、ターミナル サービスでの COM ポート リダイレクトが常に許可されます。このポリシー設定が未構成の場合、グループ ポリシー レベルで COM ポートのリダイレクトが指定されることはありません。ただし、管理者は、TSCC ツールを使用して COM ポートのリダイレクトを無効にすることができます。
[COM ポートのリダイレクトを許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーのターミナル サーバー セッションからユーザーのローカル コンピュータへ、ユーザーの確認なしにデータが転送される可能性があります。
対策
[COM ポートのリダイレクトを許可しない] 設定を [有効] にします。
考えられる影響
COM ポートのリダイレクトを実行できなくなります。
クライアント プリンタのリダイレクトを許可しない
このポリシー設定では、ターミナル サーバー セッションでクライアントのプリンタのマップを禁止するかどうかを指定します。この設定を使用して、リモート コンピュータからローカル (クライアント) コンピュータに接続されているプリンタへ印刷ジョブをリダイレクトできないようにすることができます。既定では、"ターミナル サービス" ではクライアント プリンタのマッピングが許可されています。
[クライアント プリンタのリダイレクトを許可しない] 設定を有効にすると、ユーザーはターミナル サーバー セッションでリモート コンピュータからローカル クライアント プリンタへ印刷ジョブをリダイレクトできません。このポリシー設定を無効にすると、ユーザーはクライアント プリンタをマップし、印刷ジョブをリダイレクトできます。このポリシー設定が未構成の場合、グループ ポリシー レベルでクライアント プリンタ マッピングが指定されることはありません。ただし、管理者は、TSCC ツールを使用してクライアント プリンタのマッピングを無効にすることができます。
[クライアント プリンタのリダイレクトを許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーのターミナル サーバー セッションからユーザーのローカル コンピュータに、ユーザーの直接の操作なしにデータが転送される可能性があります。
対策
[クライアント プリンタのリダイレクトを許可しない] 設定を [有効] にします。
考えられる影響
プリンタのリダイレクトを実行できなくなります。
LPT ポートのリダイレクトを許可しない
このポリシー設定では、ターミナル サーバー セッションでクライアントのパラレル ポート (LPT) へのデータのリダイレクトを禁止するかどうかを指定します。この設定を使用すると、ユーザーがローカル LPT ポートをマッピングして、リモート コンピュータからローカルの LPT ポート周辺機器へデータをリダイレクトするのを禁止できます。既定では、"ターミナル サービス" では LPT ポートのリダイレクトは許可されています。
[LPT ポートのリダイレクトを許可しない] 設定を有効にすると、ユーザーはターミナル サーバー セッションでローカル LPT ポートにサーバー データをリダイレクトすることができません。このポリシー設定を無効にすると、LPT ポートのリダイレクトが常に許可されます。この設定が未構成の場合、グループ ポリシー レベルで LP ポートのリダイレクトが指定されることはありません。ただし、管理者は、TSCC ツールを使用してローカル LPT ポートのリダイレクトを無効にすることができます。
[LPT ポートのリダイレクトを許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーのターミナル サーバー セッションからユーザーのローカル コンピュータへ、ユーザーの確認なしにデータが転送される可能性があります。
対策
[LPT ポートのリダイレクトを許可しない] 設定を [有効] にします。
考えられる影響
LPT ポートのリダイレクトを実行できなくなります。
ドライブのリダイレクトを許可しない
既定では、"ターミナル サービス" ではクライアント ドライブが接続時に自動的にマップされます。マップされたドライブは、エクスプローラまたは [マイ コンピュータ] のセッション フォルダ ツリーに、<コンピュータ名> 上の <ドライブ文字> という形式で表示されます。[ドライブのリダイレクトを許可しない] 設定を使用すると、この動作を無効にすることができます。
[ドライブのリダイレクトを許可しない] 設定を有効にすると、ターミナル サーバー セッションでクライアント ドライブをリダイレクトできません。このポリシー設定を無効にすると、クライアント ドライブのリダイレクトが常に許可されます。このポリシー設定が未構成の場合、グループ ポリシー レベルでクライアント ドライブのリダイレクトが指定されることはありません。ただし、管理者は、TSCC ツールを使用してクライアント ドライブのリダイレクトを無効にすることができます。
[ドライブのリダイレクトを許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーのターミナル サーバー セッションからユーザーのローカル コンピュータに、ユーザーの直接の操作なしにデータが転送される可能性があります。
対策
[ドライブのリダイレクトを許可しない] 設定を [有効] にします。
考えられる影響
ドライブのリダイレクトを実行できなくなります。
クライアントの通常使うプリンタをセッションで通常使うプリンタに設定しない
このポリシー設定は、ターミナル サービス がクライアントの既定のプリンタをターミナル サーバー セッションの既定のプリンタとして指定しないようにします。既定では、ターミナル サービスでは、クライアントの既定のプリンタが既定のプリンタとして自動的に指定されます。この設定を使用すると、既定の構成を無効にできます。
[クライアントの通常使うプリンタをセッションで通常使うプリンタに設定しない] 設定を有効にすると、ターミナル サーバーでクライアントの既定のプリンタがセッションの既定のプリンタとして設定されません。代わりに、サーバーのプリンタを既定のプリンタとして指定します。このポリシー設定を無効にすると、クライアントの既定のプリンタが常に既定のプリンタとして使用されます。この設定が未構成の場合、グループ ポリシー レベルで既定のプリンタが強制されることはありません。ただし、管理者は、TSCC ツールを使用してクライアント セッションの既定のプリンタを構成することができます。
[クライアントの通常使うプリンタをセッションで通常使うプリンタに設定しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーのターミナル サーバー セッションからユーザーのローカル コンピュータに、ユーザーの直接の操作なしにデータが転送される可能性があります。
対策
このポリシー設定を [有効] にします。
考えられる影響
クライアント コンピュータの既定のプリンタが、クライアントのターミナル サーバー セッションで既定のプリンタになりません。
暗号化とセキュリティ
ターミナル サーバーの暗号化とセキュリティの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ ターミナル サービス\暗号化とセキュリティ
クライアント接続の暗号化レベルを設定する
このポリシー設定は、ターミナル サーバー セッションの間にクライアントとリモート コンピュータの間で送られるすべてのデータに対して暗号化レベルを適用するかどうかを指定します。
[クライアント接続の暗号化レベルを設定する] 設定を有効にすると、サーバーへのすべての接続に対する暗号化レベルを指定することができます。既定では、暗号化は [高レベル] に設定されています。このポリシー設定が無効または未設定の場合、グループ ポリシーで暗号化レベルが指定されることはありません。ただし、管理者は、TSCC ツールを使用してサーバーの暗号化レベルを設定することができます。
[クライアント接続の暗号化レベルを設定する] で設定可能な値は、次のとおりです。
有効 (暗号化オプションは以下のとおり)
クライアント互換 : この値を指定すると、クライアントとサーバーとの間のデータ送信は、クライアントでサポートされている最強のキーで暗号化されます。このレベルは、異なる種類のクライアントが混在している環境、またはレガシ クライアントが存在する環境でリモート コンピュータを実行している場合に使用してください。
高レベル : この値を指定すると、クライアントとサーバーとの間のデータ送信は、強力な 128 ビット暗号化を使用して暗号化されます。このレベルは、リモート デスクトップ接続クライアントなど、128 ビット クライアントのみが存在する環境でリモート コンピュータを実行している場合に使用してください。このレベルの暗号化をサポートしていないクライアントは接続できません。
低レベル : この値を指定すると、クライアントからサーバーに送信されるデータは、56 ビット暗号化を使用して暗号化されます。[低レベル] を指定した場合、サーバーからクライアントへ送られるデータは暗号化されません。
無効
未構成
重要 : FIPS 準拠が [システム暗号化 : 暗号化、ハッシュ、および署名に FIPS 準拠アルゴリズムを使用する] グループ ポリシーによって既に有効になっている場合は、このポリシー設定または TSCC ツールを使用して暗号化レベルを変更することはできません。
脆弱性
ターミナル サーバー クライアント接続に低レベルの暗号化を使用できる場合、攻撃者によってターミナル サービス ネットワーク トラフィックがキャプチャされ、解読される可能性が高くなります。
対策
[クライアント接続の暗号化レベルを設定する] 設定を [高レベル] にします。
考えられる影響
128 ビット暗号化をサポートしないクライアントは、ターミナル サーバー セッションを確立できなくなります。
クライアントが接続するたびにパスワードを要求する
このポリシー設定は、ターミナル サービスでクライアントの接続時に必ずパスワードの入力を求めるかどうかを指定します。このポリシー設定を使用すると、リモート デスクトップ接続クライアントで既にパスワードを入力済みの場合も、ターミナル サービスへのログオンでパスワードの入力を求めるように構成することができます。既定では、ユーザーはリモート デスクトップ接続クライアントでパスワードを入力すれば、ターミナル サービスに自動的にログオンすることができます。
[クライアントが接続するたびにパスワードを要求する] 設定を有効にすると、ユーザーがリモート デスクトップ接続クライアントでパスワードを入力しても、ターミナル サービスに自動的にログオンできません。クライアントは、ログオン時に必ずパスワードの入力を求められます。このポリシー設定を無効にする場合、ユーザーはリモート デスクトップ接続クライアントでパスワードを入力すると、ターミナル サービスに自動的にログオンできます。このポリシー設定が未構成の場合、グループ ポリシー レベルで自動ログオンが指定されることはありません。ただし、管理者は、TSCC ツールを使用してパスワード入力を強制することができます。
[クライアントが接続するたびにパスワードを要求する] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーは、新しいリモート デスクトップ接続のショートカットを作成するときに、ユーザー名とパスワードの両方を保存するオプションを選択できます。ターミナル サービスを実行するサーバーが、この機能を使用したユーザーに対してパスワードを入力せずにサーバーへログオンするのを許可している場合、ユーザーのコンピュータに物理的にアクセスできた攻撃者は、ユーザーのパスワードを知らなくても、リモート デスクトップ接続のショートカットを使用して、ターミナル サーバーに接続することができます。
対策
[クライアントが接続するたびにパスワードを要求する] を [有効] に設定します。
考えられる影響
ユーザーは、新しいターミナル サーバー セッションを確立するたびにパスワードを入力する必要があります。
RPC セキュリティ ポリシー
ターミナル サーバーの RPC セキュリティの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス\暗号化とセキュリティ\RPC セキュリティ ポリシー
サーバーをセキュリティで保護する (セキュリティが必要)
このポリシー設定では、ターミナル サーバーですべてのクライアントとの通信にセキュリティで保護されたリモート プロシージャ コール (RPC) 通信を要求するか、それともセキュリティで保護されていない通信を許可するかを指定します。この設定を使用して、認証済みの暗号化された要求のみを許可することで、クライアントとの RPC 通信のセキュリティを強化することができます。
[サーバーをセキュリティで保護する (セキュリティが必要)] 設定を有効にすると、ターミナル サーバーは、セキュリティで保護された要求をサポートする RPC クライアントからの要求のみを受け付けます。信頼されていないクライアントとのセキュリティで保護されていない通信は許可されません。このポリシー設定を無効にすると、ターミナル サーバーは、セキュリティのレベルに関係なく、すべての RPC トラフィックの要求を常に受け付けるようになります。ただし、セキュリティで保護されていない通信は、要求に応答しない RPC クライアントに対してのみ許可されています。この設定が未構成の場合は、セキュリティで保護されていない通信が行われます。
[サーバーをセキュリティで保護する (セキュリティが必要)] で設定可能な値は、次のとおりです。
有効
無効
未構成
注 : ターミナル サービスの管理および構成には、RPC インターフェイスを使用してください。
脆弱性
セキュリティで保護されていない RPC 通信では、サーバーは仲介者攻撃やデータ開示攻撃にさらされることになります。仲介者攻撃は、クライアントとサーバーとの間のパケットを盗聴し、パケットの交換が許可される前に、内容を変更するというものです。通常、攻撃者はパケット内の情報を変更して、クライアントまたはサーバーから機密情報を引き出そうとします。
対策
[サーバーをセキュリティで保護する (セキュリティが必要)] 設定を [有効] にします。
考えられる影響
セキュリティで保護された RPC をサポートしないクライアントは、サーバーをリモートで管理できなくなります。
セッション
ターミナル サーバーの RPC セキュリティの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス\暗号化とセキュリティ\セッション
切断されたセッションの制限時間を設定する
このポリシー設定は、切断されたターミナル サーバー セッションの制限時間を指定します。この設定を使用して、切断されたセッションがサーバー上で有効の状態でいられる最大時間を指定することができます。既定では、ターミナル サービスで、ユーザーはログオフおよびセッションの終了を行わなくても、リモート セッションから切断できます。セッションが切断された状態のとき、ユーザーが接続していなくてもプログラムは実行された状態のままであることがあります。既定では、これらの切断されたセッションは、サーバー上でいつまでも維持されます。
[切断されたセッションの制限時間を設定する] 設定を有効にすると、指定された時間が経過すると、切断されたセッションはサーバーから削除されます。切断されたセッションがいつまでも保持される既定の動作を適用するには、[終了しない] を選択します。この設定が無効または未構成の場合、グループ ポリシー レベルで切断されたセッションの制限時間が指定されることはありません。
[切断されたセッションの制限時間を設定する] で設定可能な値は、次のとおりです。
有効 (時間指定オプションは以下のとおり)
終了しない
1 分
5 分
10 分
15 分
30 分
1 時間
2 時間
3 時間
1 日
2 日
無効
未構成
注 : このポリシー設定は、Windows XP Professional を実行しているコンピュータとのリモート デスクトップ セッションなどの、コンソール セッションには適用されません。このポリシー設定は、[コンピュータの構成] ノードおよび [ユーザーの構成] ノードの両方にあります。この設定を両方で構成した場合は、[コンピュータの構成] での設定が [ユーザーの構成] ノードでの同じ設定より優先されます。
脆弱性
各ターミナル サーバー セッションは、システム リソースを使用します。一定期間接続された状態であったセッションが強制的に終了されないと、サーバーのリソースが不足する可能性があります。
対策
[切断されたセッションの制限時間を設定する] 設定を [有効] にして、[切断されたセッションを終了] ボックスで [1 日] を選択します。
考えられる影響
ユーザーがターミナル サーバー セッションからログオフするのを忘れると、非アクティブになってから 24 時間後に、これらのセッションが強制的に終了されます。
オリジナルのクライアントからの再接続のみを許可する
このポリシー設定では、ユーザーがセッションを作成したコンピュータとは別のクライアントを使用して、切断したセッションにターミナル サービスで再接続できないようにできます。既定では、ターミナル サーバーで、ユーザーはどのクライアント コンピュータからでも切断したセッションに再接続することができます。
[オリジナルのクライアントからの再接続のみを許可する] 設定を有効にすると、ユーザーは同じクライアント コンピュータからのみ、切断されたセッションに再接続できます。切断したセッションへの再接続に別のコンピュータを使用しようとすると、代わりに新しいセッションが作成されます。この設定を無効にすると、ユーザーはどのコンピュータからでも切断したセッションに再接続できるようになります。この設定が未構成の場合、グループ ポリシー レベルでセッションの再接続ルールが指定されることはありません。
[オリジナルのクライアントからの再接続のみを許可する] で設定可能な値は、次のとおりです。
有効
無効
未構成
重要 : この設定は、接続するときにシリアル番号を提供する Citrix ICA クライアントに対してのみサポートされます。Windows クライアントを使用して接続している場合は、この設定は無視されます。この設定は、[コンピュータの構成] ノードおよび [ユーザーの構成] ノードの両方にあります。この設定を両方で構成した場合は、[コンピュータの構成] での設定が [ユーザーの構成] ノードでの同じ設定より優先されます。
脆弱性
既定では、ユーザーは、どのコンピュータからでも、切断したターミナル サーバー セッションに再接続できます。この設定を有効にすると、ユーザーは、接続の確立に使用したクライアント コンピュータからのみ再接続できるようになります。Citrix ICA クライアントを使用して接続しているユーザーによってのみ適用されるため、この対策の効果は小さくなります。
対策
[オリジナルのクライアントからの再接続のみを許可する] 設定を [有効] にします。
考えられる影響
Citrix ICA クライアントを使用して接続しているユーザーは、セッションの確立に使用したコンピュータを使用しなければ、切断したセッションに再接続することができなくなります。
エクスプローラ
[エクスプローラ] 設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ エクスプローラ
シェル プロトコルの保護モードをオフにする
このポリシー設定により、シェル プロトコルの機能の量を構成することができます。このプロトコルのフル機能では、アプリケーションがフォルダを開き、ファイルの起動を許可します。保護モードでは機能を減らし、アプリケーションが一定のフォルダだけを開くことを許可します。アプリケーションは、このプロトコルが保護モードにある場合、ファイルを開くことができません。
Windows のセキュリティを強化するために、このプロトコルを保護モードにしておくことを勧めます。[シェル プロトコルの保護モードをオフにする] 設定を有効にすると、すべてのアプリケーションは任意のフォルダまたはファイルを開くことができます。このポリシー設定が無効または未設定の場合、シェル プロトコルは保護モードになり、アプリケーションは一定のフォルダのみ開くことができます。
[シェル プロトコルの保護モードをオフにする] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
シェル プロトコルのフル機能では、アプリケーションは任意のファイルとフォルダを開くことができます。このため、ユーザーが悪質で破壊的なソフトウェアを不注意で起動してしまったり、情報を不正に漏洩させてしまったりする可能性があります。また、サービス拒否の状況になる場合もあります。
対策
[シェル プロトコルの保護モードをオフにする] 設定を [有効] にします。
考えられる影響
[シェル プロトコルの保護モードをオフにする] 設定を有効にすると、シェル プロトコルに依存する Web ページが正しく動作しません。
Windows Messenger
Windows Messenger は、コンピュータ ネットワーク上の他のユーザーにインスタント メッセージを送信する場合に使用されます。メッセージにはファイルなどを添付できます。
既定の [Windows Messenger] 設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ Windows Messenger
Windows Messenger の実行を許可しない
[Windows Messenger の実行を許可しない] 設定では、Windows Messenger の実行を禁止できます。この設定を [有効] にすると、Windows Messenger の使用を禁止できます。
注 : この設定を [有効] にすると、リモート アシスタンスは Windows Messenger を使用できなくなり、ユーザーは MSN® Messenger を使用できません。
Windows Update
Windows Update は、セキュリティの修正プログラム、重要な更新、最新のヘルプ ファイル、ドライバ、およびインターネット製品などのアイテムのダウンロードに使用されます。Windows Update の設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\Windows Update\
自動更新を構成する
このポリシー設定では、環境内のコンピュータが、セキュリティの更新やその他の重要なダウンロードを Windows の自動更新サービスを使用して受け取るかどうかを指定します。
[自動更新を構成する] 設定を有効にすると、コンピュータがオンラインになると Windows はそれを認識し、インターネット接続を使用して、Windows Update Web サイトから適用できる更新を探します。このポリシー設定を無効にした場合、Web サイト https://windowsupdate.microsoft.com の「Windows Update」から更新を手動でダウンロードおよびインストールする必要があります。この設定が未構成の場合、グループ ポリシー レベルで自動更新の使用が指定されることはありません。ただし、管理者は、コントロール パネルを使用して自動更新を構成することができます。
[自動更新を構成する] で設定可能な値は、次のとおりです。
有効 ([自動更新の構成] ボックスのオプションは以下のとおり)
2-ダウンロードとインストールを通知
組織の環境内のコンピュータに適用できる更新が見つかると、ステータス領域に更新をダウンロードする準備ができたことを示すアイコンとメッセージが表示されます。アイコンまたはメッセージをクリックすると、特定の更新を選択するオプションが表示されます。Windows がバックグラウンドで指定した更新をダウンロードします。ダウンロードが完了すると、ステータス領域に更新をインストールする準備ができたことを示すアイコンがメッセージと共に再び表示されます。アイコンまたはメッセージをクリックすると、インストールする更新を選択するオプションが表示されます。
3-自動ダウンロードしインストールを通知
この値は既定の構成です。環境内のコンピュータに適用できる更新が検知されると、バックグラウンドでダウンロードされます。ユーザーには通知されないため、途中で処理が中断されることはありません。ダウンロードが完了すると、ステータス領域に更新をインストールする準備ができたことを示すアイコンがメッセージと共に表示されます。アイコンまたはメッセージをクリックすると、インストールする更新を選択するオプションが表示されます。
4-自動ダウンロードしインストール日時を指定
グループ ポリシー設定にあるオプションを使ってスケジュールを指定します。スケジュールが指定されない場合は、すべてのインストールで既定値 (毎日、午前 3 時) が使用されます。インストールでコンピュータの再起動が必要な場合は、Windows が自動的にコンピュータを再起動します。Windows を再起動する際、ユーザーがコンピュータにログオンしている場合は、ユーザーに通知し、今すぐ再起動するかどうかを確認します。
無効
未構成
この設定を有効にするには、[有効] をクリックし、オプションのいずれか (2、3 または 4) を選択します。オプション 4 を選択した場合、反復するスケジュールを設定することができます。スケジュールを設定していない場合は、毎日午前 3 時にインストールが行われます。
脆弱性
Windows Server 2003 および Windows XP はリリース前に入念なテストが行われますが、製品の出荷後に問題が発見される可能性もあります。[自動更新を構成する] 設定を有効にすると、環境内のコンピュータに常に最新の重要なオペレーティング システムの更新およびサービス パックがインストールされるようになります。
対策
[自動更新を構成する] 設定を [有効] にして、[自動更新の構成] ボックスの [4 = 自動的にダウンロードし、インストールのスケジュールをたてる] を選択します。
考えられる影響
重要なオペレーティング システムの更新およびサービス パックが、毎日午前 3 時に自動的にダウンロードされ、インストールされます。
スケジュールされた自動更新インストールに対しては自動再起動しない
このポリシー設定は、自動更新のインストールの際に、コンピュータを自動的に再起動するのではなく、ログオンしているユーザーが再起動するまで待機するように指定します。
[スケジュールされた自動更新インストールに対しては自動再起動しない] 設定を有効にすると、スケジュールされた更新インストールの処理中に、コンピュータを自動的に再起動しません。代わりに、インストール処理を完了するためにコンピュータを再起動するようにユーザーに通知します。コンピュータを再起動するまで、それ以降の新しい更新の検出は行われません。この設定が無効または未構成の場合、インストール処理を完了するために 5 分後にコンピュータが自動的に再起動されることがユーザーに通知されます。
[スケジュールされた自動更新インストールに対しては自動再起動しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
注 : この設定は、スケジュールされた更新インストールを実行するよう自動更新を構成した場合にのみ適用されます。[自動更新を構成する] 設定が [無効] の場合、この設定を構成しても何も変化しません。
脆弱性
更新インストールを完了するために、コンピュータの再起動が必要な場合があります。コンピュータを自動的に再起動できない場合、最新の更新は完全にインストールされません。また、コンピュータを再起動するまで、それ以降の新しい更新はコンピュータにダウンロードされません。
対策
[スケジュールされた自動更新インストールに対しては自動再起動しない] 設定を [無効] にします。
考えられる影響
このポリシー設定を有効にすると、環境内のサーバーのオペレーティング システムが自動的に再起動します。重要なサーバーの場合、再起動によって予期しない一時的な DoS 状態になる可能性があります。
自動更新のインストールを再度スケジュールする
このポリシー設定では、次回のシステム起動後、前回に行われなかったインストールの自動更新を実行するまでの待機時間を指定します。この設定を有効にすると、前回実行されなかったインストールが、次にコンピュータを起動して、指定した待機時間が経過した後に行われるようになります。この設定が無効または未構成の場合、前回実行されなかったインストールは、次の予定時刻に行われます。
[自動更新のインストールを再度スケジュールする] で設定可能な値は、次のとおりです。
有効 (オプションとして時間を 1 ~ 60 分の範囲で指定可能)
無効
未構成
注 : この設定は、スケジュールされた更新インストールを実行するよう自動更新を構成した場合にのみ適用されます。[自動更新を構成する] 設定が [無効] の場合、この設定を構成しても何も変化しません。
脆弱性
自動更新を、コンピュータを起動してから数分間待機するように構成しないと、環境内のコンピュータ上で実行するアプリケーションやサービスがすべて完全に開始されない場合があります。システムの起動後の待機時間に余裕を持たせることで、最新の更新のインストールがコンピュータの起動処理と競合することを防ぎます。
対策
[自動更新のインストールを再度スケジュールする] 設定を [有効] にして、[10 分] を指定します。
考えられる影響
コンピュータの再起動後 10 分経過しないと自動更新が実行されません。
イントラネットの Microsoft の更新サービスの場所を指定する
このポリシー設定では、Microsoft Update Web サイトの更新をイントラネット サーバーでホストするように指定します。この更新サービスの場所を使用して、ネットワーク上のコンピュータを自動的に更新できます。"自動更新" のクライアントは、このサービスを検索してネットワーク上のコンピュータに適用する更新があるかを確認します。
[イントラネットの Microsoft の更新サービスの場所を指定する] 設定を使用するには、2 つのサーバー名を設定する必要があります。1 つは、"自動更新" のクライアントが更新を検出しダウンロードするサーバーで、もう 1 つは更新されたワークステーションがデータをアップロードするためのサーバーです。両方の値に同じサーバーを設定することもできます。
[イントラネットの Microsoft の更新サービスの場所を指定する] 設定を有効にすると、自動更新のクライアントは、指定されたイントラネットの Microsoft 更新サービス サーバー (Windows Update ではなく) に接続して、更新を検索しダウンロードするようになります。この構成では、組織内のエンド ユーザーは更新をダウンロードする際のファイアウォールの問題を回避でき、また、管理者は更新を配布する前にテストすることができます。この設定が無効または未構成の場合、自動更新のクライアントは、インターネット上の Windows Update サイトに直接接続します (グループ ポリシーまたはユーザーの環境設定で自動更新が無効になっていない場合)。
[イントラネットの Microsoft の更新サービスの場所を指定する] で設定可能な値は、次のとおりです。
有効 : この値を選択した場合は、イントラネットの更新サーバー名と統計サーバー名を [プロパティ] ダイアログ ボックスで指定します。
無効
未構成
注 : [自動更新を構成する] 設定が [無効] の場合、このポリシー設定を構成しても何も変化しません。
脆弱性
既定では、Automaic Updates は Microsoft Windows Update Web サイトから更新をダウンロードしようとします。組織によっては、すべての新しい更新を展開する前に、特定の環境で互換性があることを確認する必要がある場合があります。さらに、内部の Software Update Services (SUS) サーバーを構成すると、外部ネットワーク リンクでの負荷だけでなく、周辺のファイアウォール、ルーター、およびプロキシ サーバーの負荷が減ります。
対策
[イントラネットの Microsoft の更新サービスの場所を指定する] 設定を [有効] にします。次にイントラネットの更新サーバー名と統計サーバー名を [プロパティ] ダイアログ ボックスで指定します。
考えられる影響
重要な更新やサービス パックは、組織の IT 担当者が積極的に管理する必要があります。
システム
既定のシステム コンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\システム
自動再生機能をオフにする
自動再生とは、ドライブにメディアを挿入すると同時にドライブからの読み込みを開始する機能で、プログラムのセットアップ ファイルやオーディオ メディアの音楽をすぐに開始します。[自動再生機能をオフにする] 設定を有効にすると、自動再生機能を無効にできます。自動再生は、フロッピー ディスクやネットワーク ドライブなど、一部の種類のリムーバブル ドライブでは既定で無効ですが、CD-ROM ドライブでは既定で有効です。
注 : フロッピー ディスクやネットワーク ドライブなど、既定で自動再生機能が無効になっているコンピュータ ドライブについては、この設定を使用しても自動再生機能は有効になりません。
脆弱性
攻撃者はこの機能を利用して、クライアント コンピュータやクライアント コンピュータ上のデータを破壊するプログラムを起動できます。
対策
[自動再生機能をオフにする] 設定を [有効] にします。
考えられる影響
ユーザーは、リムーバブル メディアで提供されるセットアップやインストール プログラムを手動で起動する必要があります。
ログオン
ログオン コンピュータの所定の設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\システム\ログオン
ログオン時にようこそ画面を表示しない
このポリシー設定は、ユーザーがログオンするたびに、Microsoft Windows 2000 Professional および Windows XP Professional が表示するようこそ画面を非表示にします。ユーザーは、[スタート] メニューで選択すれば、ようこそ画面を表示することができます。
[ログオン時にようこそ画面を表示しない] 設定は、Windows 2000 Professional と Windows XP Professional にのみ適用されます。Windows 2000 Server または Windows Server 2003 の [サーバーの構成] 設定には影響しません。
[ログオン時にようこそ画面を表示しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
注 : このポリシー設定は、[コンピュータの構成] ノードおよび [ユーザーの構成] ノードの両方にあります。この設定を両方で構成した場合は、[コンピュータの構成] の設定が [ユーザーの構成] ノードの同じ設定より優先されます。
脆弱性
ようこそ画面は、ユーザーに Windows XP デスクトップを紹介するためのものです。組織によっては、ユーザーの特定の役割やジョブに即したユーザー教育を行い、その他の情報源はユーザーの目に触れないようにしておく必要がある場合があります。
対策
[ログオン時にようこそ画面を表示しない] 設定を [有効] にします。
考えられる影響
ユーザーがコンピュータにログオンしたときに、ようこそ画面が表示されなくなります。
レガシの実行の一覧を処理しない
[レガシの実行の一覧を処理しない] 設定では、実行の一覧 (Windows XP の起動時に自動的に実行されるプログラムの一覧) が無視されます。Windows XP 用のカスタマイズされた実行プログラムの一覧は、次の場所にあるレジストリ キーに格納されています。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[レガシの実行の一覧を処理しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
悪質なユーザーはプログラムが Windows の起動時に常に起動されるように構成できます。それにより、コンピュータ上のデータが侵害されたり、破壊されたりするおそれがあります。
対策
[レガシの実行の一覧を処理しない] 設定を [有効] にします。
考えられる影響
この設定を有効にすると、ウイルス対策ソフトウェア、ソフトウェア配布、ソフトウェア監視など、特定のコンピュータ プログラムの実行も回避できます。組織でこの設定を使用する方針を決定する前に、この設定で保護すべきユーザー環境に対する脅威レベルを評価してください。
一度だけ実行するコマンドの一覧を処理しない
このポリシー設定では、一度だけ実行するコマンドの一覧 (Windows XP の起動時に自動的に実行されるプログラムの一覧) が無視されます。この設定では、[レガシの実行の一覧を処理しない] 設定とは異なり、この一覧にあるプログラムは、クライアントの次回起動時に一度だけ実行されます。クライアントの再起動後にインストールを完了するために、この一覧にはセットアップ プログラムやインストール プログラムが適宜追加されます。このポリシー設定を有効にすると、攻撃者は一度だけ実行するコマンドの一覧を使って悪意のあるアプリケーションを起動することはできません。今まではこれが一般的な攻撃方法でした。
注 : カスタマイズされた一度だけ実行するコマンドの一覧は、レジストリの次の場所に格納されています。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
[一度だけ実行するコマンドの一覧を処理しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
悪意のあるユーザーは、一度だけ実行するコマンドの一覧を利用して Windows XP クライアントのセキュリティを侵害するプログラムをインストールできます。
対策
[一度だけ実行するコマンドの一覧を処理しない] 設定を [有効] にします。
考えられる影響
[一度だけ実行するコマンドの一覧を処理しない] を有効にする場合、グループ ポリシーでこの設定を適用する前に、クライアント上に組織の標準的なソフトウェアがすべて構成されていれば、ユーザー環境での機能の損失が最小限にとどめられます。ただし、この構成により、Internet Explorer などの一部のセットアップ プログラムおよびインストール プログラムが正しく機能しない場合があります。
グループ ポリシー
グループ ポリシーの処理方法を変更するには、グループ ポリシー オブジェクト エディタ内の次の場所の設定を構成します。
コンピュータの構成\管理用テンプレート\システム\グループ ポリシー
Internet Explorer のメンテナンス ポリシーの処理
このポリシー設定は、Internet Explorer のメンテナンス ポリシーを更新するタイミングを決定します。この設定は、Windows の設定\Internet Explorer のメンテナンス にあるポリシーなど、グループ ポリシーの Internet Explorer のメンテナンス コンポーネントを使用するポリシーすべてに影響します。この設定は、Internet Explorer メンテナンス プログラムのインストール時に実装されたカスタム設定よりも優先されます。
[Internet Explorer のメンテナンス ポリシーの処理] 設定を有効にすると、表示されるチェック ボックスを使用してオプションを変更することができます。このポリシー設定が無効または未構成の場合、コンピュータに影響はありません。
[Internet Explorer のメンテナンス ポリシーの処理] で設定可能な値は、次のとおりです。
有効 (オプションは以下のとおり)
低速回線接続からの処理を許可する : このオプションを選択すると、電話回線などの低速回線接続を使って更新しているときでも、ポリシーは更新されます。低速接続を使用した更新では、非常に時間がかかる場合があります。
バックグラウンドで定期的に処理しているときは適用しない : このオプションを選択すると、コンピュータで使用している間は、関連するポリシーはバックグラウンドで更新されなくなります。バックグラウンドで関連ポリシーが更新されると、作業に支障をきたしたり、プログラムが異常に動作または停止したり、また、(まれに) データが壊れたりする場合があります。
グループ ポリシー オブジェクトが変更されていなくても処理する : このオプションは、ポリシーが変更されていない場合でも、ポリシーを更新して再適用します。多くのポリシー実装ではポリシーが変更されたときのみ更新を行うように指定されています。しかし、ユーザーが変更した場合に備え、変更されていないポリシーであっても、推奨設定を再適用するなど、更新することをお勧めします。
無効
未構成
脆弱性
この設定を有効にし、[グループ ポリシー オブジェクトが変更されていなくても処理する] オプションを選択すると、ポリシーが変更されていない場合でも、ポリシーは確実に処理されます。このアプローチでは、承認されていない変更がローカルで行われても、ドメインベースのポリシーが強制的に確立されます。
対策
[Internet Explorer のメンテナンス ポリシーの処理] 設定を [有効] にします。そして、[低速回線接続からの処理を許可する] および [バックグラウンドで定期的に処理しているときは適用しない] チェック ボックスはいずれもオフにして、[グループ ポリシー オブジェクトが変更されていなくても処理する] チェック ボックスをオンにします。
考えられる影響
再更新されるたびにグループ ポリシーが再適用されるため、パフォーマンスに若干の影響を与える可能性があります。
IP セキュリティ ポリシーの処理
このポリシー設定は、IP セキュリティ (IPSec) ポリシーを更新するタイミングを決定します。この設定は、グループ ポリシーの IPSec コンポーネントを使用するすべてのポリシーに影響します。このポリシー設定は、プログラムのインストール時に実装された、カスタマイズされた設定よりも優先されます。
[IP セキュリティ ポリシーの処理] 設定を有効にすると、表示されるチェック ボックスを使用してオプションを変更できます。この設定が無効または未構成の場合、コンピュータに影響はありません。
[IP セキュリティ ポリシーの処理] で設定可能な値は、次のとおりです。
有効 (オプションは以下のとおり)
低速回線接続からの処理を許可する
バックグラウンドで定期的に処理しているときは適用しない
グループ ポリシー オブジェクトが変更されていなくても処理する
無効
未構成
[低速回線接続からの処理を許可する] 設定では、更新が電話回線や低帯域 WAN リンクなど、低速接続を介して転送される場合でも、ポリシーが更新されます。低速接続を使用した更新では、非常に時間がかかる場合があります。[バックグラウンドで定期的に処理しているときは適用しない] オプションは、コンピュータで使用している間は、関連するポリシーがバックグラウンドで更新されないようにします。バックグラウンドで関連ポリシーが更新されると、作業に支障をきたしたり、プログラムが異常に動作または停止したり、またまれにデータが壊れたりする場合があります。[グループ ポリシー オブジェクトが変更されていなくても処理する] 設定は、ポリシーが変更されていない場合でも、ポリシーを更新して再適用します。多くのポリシー実装ではポリシーが変更されたときにのみ更新を行うように指定されています。ただし、ユーザーによって変更された可能性のある設定に、必要な設定を再適用するために、変更されていないポリシーを定期的に更新する必要がある場合があります。
脆弱性
この設定を有効にし、[グループ ポリシー オブジェクトが変更されていなくても処理する] オプションを選択すると、ポリシーが変更されていない場合でも、ポリシーは確実に処理されます。この方法では、ローカルで構成された許可されていない変更があった場合、ドメインベースのグループ ポリシー設定と一致するように強制的に再設定されます。
対策
[IP セキュリティ ポリシーの処理] 設定を [有効] にします。そして、[バックグラウンドで定期的に処理しているときは適用しない] チェック ボックスはオフにして、[グループ ポリシー オブジェクトが変更されていなくても処理する] チェック ボックスをオンにします。
考えられる影響
再更新されるたびに、IP セキュリティ グループ ポリシーが再適用されるため、パフォーマンスに若干の影響を与えたり、既存のネットワーク接続を妨害したりする可能性があります。
レジストリ ポリシーの処理
このポリシー設定は、レジストリ ポリシーを更新するタイミングを決定します。この設定は、管理用テンプレート フォルダ内のすべてのポリシー、およびレジストリ内に値が保存されているその他のポリシーに影響します。このポリシー設定は、レジストリ ポリシー プログラムのインストール時に実装された、カスタマイズされた設定よりも優先されます。
[レジストリ ポリシーの処理] 設定を有効にすると、提供されるチェック ボックスを使用してオプションを変更することができます。この設定が無効または未構成の場合、コンピュータに影響はありません。
[バックグラウンドで定期的に処理しているときは適用しない] オプションを使うと、コンピュータで使用している間は、関連するポリシーがバックグラウンドで更新されなくなります。バックグラウンドで関連ポリシーが更新されると、作業上の不具合、プログラムの異常終了や異常動作が発生することがあります。また、(まれに) データが壊れることもあります。[グループ ポリシー オブジェクトが変更されていなくても処理する] オプションは、ポリシーが変更されていない場合でも、ポリシーを更新して再適用します。変更されたときのみ更新するように指定できるポリシーは複数あります。しかし、ユーザーが変更した場合に備え、変更されていないポリシーであっても、推奨設定を再適用するなど、更新することをお勧めします。
[レジストリ ポリシーの処理] で設定可能な値は、次のとおりです。
有効 (オプションは以下のとおり)
バックグラウンドで定期的に処理しているときは適用しない
グループ ポリシー オブジェクトが変更されていなくても処理する
無効
未構成
脆弱性
この設定を有効にし、[グループ ポリシー オブジェクトが変更されていなくても処理する] オプションを選択すると、ポリシーが変更されていない場合でも、ポリシーは確実に処理されます。この方法では、ローカルで構成された許可されていない変更があった場合、ドメインベースのグループ ポリシー設定と一致するように強制的に再設定されます。
対策
[レジストリ ポリシーの処理] 設定を [有効] にします。そして、[バックグラウンドで定期的に処理しているときは適用しない] チェック ボックスはオフにして、[グループ ポリシー オブジェクトが変更されていなくても処理する] チェック ボックスをオンにします。
考えられる影響
再更新されるたびに、グループ ポリシーが再適用されるため、パフォーマンスに若干の影響を与える可能性があります。
セキュリティ ポリシーの処理
このポリシー設定は、セキュリティ ポリシーを更新するタイミングを決定します。このポリシー設定は、セキュリティ ポリシー プログラムのインストール時に実装されたカスタマイズされた設定よりも優先されます。
[セキュリティ ポリシーの処理] 設定を有効にすると、提供されるチェック ボックスを使用してオプションを変更することができます。この設定が無効または未構成の場合、コンピュータに影響はありません。
[バックグラウンドで定期的に処理しているときは適用しない] オプションを使うと、コンピュータで使用している間は、関連するポリシーはバックグラウンドで更新されなくなります。バックグラウンドで関連ポリシーが更新されると、作業上の不具合、プログラムの異常終了や異常動作が発生することがあります。また、(まれに) データが壊れることもあります。[グループ ポリシー オブジェクトが変更されていなくても処理する] オプションは、ポリシーが変更されていない場合でも、ポリシーを更新して再適用します。変更されたときのみ更新するように指定できるポリシーは複数あります。しかし、ユーザーが変更した場合に備え、変更されていないポリシーであっても、推奨設定を再適用するなど、更新することをお勧めします。
[セキュリティ ポリシーの処理] で設定可能な値は、次のとおりです。
有効 (オプションは以下のとおり)
バックグラウンドで定期的に処理しているときは適用しない
グループ ポリシー オブジェクトが変更されていなくても処理する
無効
未構成
脆弱性
この設定を有効にし、[グループ ポリシー オブジェクトが変更されていなくても処理する] オプションを選択すると、ポリシーが変更されていない場合でも、ポリシーは確実に処理されます。この方法では、ローカルで構成された許可されていない変更があった場合、ドメインベースのグループ ポリシー設定と一致するように強制的に再設定されます。
対策
[セキュリティ ポリシーの処理] 設定を [有効] にします。そして、[バックグラウンドで定期的に処理しているときは適用しない] チェック ボックスはオフにして、[グループ ポリシー オブジェクトが変更されていなくても処理する] チェック ボックスをオンにします。
考えられる影響
再更新されるたびに、グループ ポリシーが再適用されるため、パフォーマンスに若干の影響を与える可能性があります。
リモート アシスタンス
リモート アシスタンス コンピュータの所定の設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\システム\リモート アシスタンス
リモート アシスタンスを提供する
このポリシー設定は、サポート担当者または IT "専門" 管理者が、ユーザーから別のチャネル (電子メールやインスタント メッセージングなど) を通じて明確なアシスタンスの要請がない場合でも、環境内のコンピュータ ユーザーに対してリモート アシスタンスを提供するかどうかを決定します。
注 : サポート担当者は、通知せずにコンピュータに接続したり、ユーザーの許可なしにコンピュータを操作したりすることはできません。サポート担当者が接続を試みたとき、ユーザーはその接続を拒否し、ワークステーションに対する読み取り専用アクセスを与えることができます。[リモート アシスタンスを提供する] が [有効] に設定された後、サポート担当者がワークステーションをリモート制御できるようになるには、そのワークステーションのユーザーが [はい] をクリックする必要があります。
[リモート アシスタンスを提供する] 設定を有効にする場合、次のオプションがあります。
ヘルパーにコンピュータの参照のみを許可する
ヘルパーにコンピュータのリモート制御を許可する
これらを設定するとき、リモート アシスタンスを提供できるユーザーやユーザー グループ (ヘルパー) の一覧を指定することもできます。
ヘルパーの一覧を構成するには
[リモート アシスタンスを提供する] 設定構成ウィンドウで、[表示] をクリックします。ヘルパーの名前を入力するための新しいウィンドウが開きます。
[ヘルパー] の一覧に、ユーザーまたはグループの名前を次の形式で追加します。
<ドメイン名>\<ユーザー名>
<ドメイン名>\<グループ名>
[リモート アシスタンスを提供する] 設定が無効または未構成の場合、ユーザーまたはグループは、環境内のコンピュータ ユーザーに要請されていないリモート アシスタンスを提供することができません。
脆弱性
ユーザーが悪意のあるユーザーに騙されて、要請していないリモート アシスタンスを受け入れてしまう可能性があります。
対策
[リモート アシスタンスを提供する] 設定を [無効] にします。
考えられる影響
ヘルプ デスクおよびサポート担当者は、ユーザーのアシスタンス要請には応答できるものの、積極的にアシスタンスを提供することはできません。
要請されたリモート アシスタンス
このポリシー設定では、 ユーザー環境の Windows XP コンピュータからリモート アシスタンスを要請できるかどうかを決定します。この設定を有効にすると、ユーザーはワークステーションに IT "専門" 管理者によるリモート アシスタンスを要請できます。
注 : サポート担当者は、通知せずにコンピュータに接続したり、ユーザーの許可なしにコンピュータを操作したりすることはできません。サポート担当者が接続を試みたとき、ユーザーはその接続を拒否し、サポート担当者にワークステーションに対する読み取り専用アクセスを与えることができます。サポート担当者がワークステーションをリモート制御できるようにするには、そのワークステーションのユーザーが [はい] をクリックする必要があります。
[要請されたリモート アシスタンス] 設定を有効にした場合、ユーザーのコンピュータのリモート制御を許可する次のオプションがあります。
ヘルパーにコンピュータのリモート制御を許可する
ヘルパーにコンピュータの参照のみを許可する
さらに、次のオプションを使用して、ユーザーのヘルプ要請が有効な期間を構成することもできます。
チケットの最大有効時間 (値):
チケットの最大有効時間 (単位): 時間、分、または日
チケット (ヘルプの要求) の期限が経過した場合、サポート担当者がユーザーのコンピュータに接続するには、そのユーザーが新しい要求を送信する必要があります。[要請されたリモート アシスタンス] 設定を無効にすると、ユーザーはヘルプの要求を送信できず、ヘルプ担当者はユーザーのコンピュータに接続できません。
[要請されたリモート アシスタンス] 設定が未構成の場合、ユーザーはコントロール パネルを使用して、リモート アシスタンスの要請を構成できます。コントロール パネルでの既定の設定は、[要請されたリモート アシスタンス]、[友人によるサポート]、および [リモート制御] が有効になっていて、[チケットの最大有効時間] は [30 日] です。この設定を無効にすると、Windows XP クライアントにネットワーク経由でアクセスすることができません。
脆弱性
[要請されたリモート アシスタンス] 設定を有効にすると、ユーザーが、許可されていない担当者にリモート アシスタンスの要請を送信する場合があります。
対策
[要請されたリモート アシスタンス] 設定を [無効] にします。
考えられる影響
[要請されたリモート アシスタンス] 設定を [無効] にすると、ユーザーはヘルプ デスクまたはサポート担当者にリモート アシスタンスを要請できません。
エラー報告
Windows 企業内エラー報告を使用すると、管理者は DW.exe によって作成されたキャビネット ファイルを管理し、STOP エラー報告をローカル ファイル サーバーにリダイレクトすることができます。この機能は、インターネット経由で Microsoft に情報を直接送信する方法の代替の処理です。STOP エラー エントリが十分に集まったら、管理者は情報を確認し、マイクロソフトに役立つと思われる STOP エラー データだけを送信することができます。
Windows 企業内エラー報告を使用すると、管理者はユーザーが最も一般的に経験する STOP エラーを確認することができます。この情報を使用して、STOP エラーが起きる状況を避ける方法をユーザーに教えることができます。
エラー報告の設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\システム\エラーの報告
エラーの通知を表示する
このポリシー設定を使用して、ユーザーにエラーを通知するかどうかを管理します。このポリシー設定が有効の場合、ユーザーにはエラーが発生したことが通知され、エラーの詳細へのアクセスが許可されます。[エラー報告] 設定も有効の場合、ユーザーはエラーを報告するかどうかを決めることができます。
[エラーの通知を表示する] 設定を有効にしていない場合、エラーを報告するかどうかの選択がユーザーに表示されません。[エラー報告] 設定を有効にすると、エラーは自動的に報告されますが、ユーザーにはそれが通知されません。
対話ユーザーを持たないサーバー コンピュータでは、この設定を無効にしておくと便利です。この設定が未構成の場合、ユーザーはコントロール パネルを使用して変更することができます。既定値は、Windows XP では [通知を有効]、Windows Server 2003 では [通知を無効] です。
[エラーの通知を表示する] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
エラーを報告するかどうかを決めることができる場合、ユーザーが組織におけるエラー報告のガイドラインに従わない可能性があります。このポリシー設定を [無効] にすると、ユーザーにエラー報告メッセージが表示されません。
対策
[エラーの通知を表示する] 設定を [無効] にします。
考えられる影響
エラーが発生したときに、エラーを通知するメッセージが表示されなくなります。
エラーを報告する
このポリシー設定は、エラーを報告するかどうかを指定します。[エラーを報告する] 設定を [有効] にすると、ユーザーはエラーが発生したときにそれを報告するかどうか決めることができます。エラーは、インターネット経由で Microsoft に報告するか、またはユーザーの組織内のローカル ファイル共有に報告できます。
[エラーを報告する] で設定可能な値は、次のとおりです。
有効 (オプションは以下のとおり)
Microsoft が提供している "詳細情報" Web サイトへのリンクを表示しない : このオプションを選択すると、エラー メッセージについての詳細情報が記載されている Microsoft の Web サイトへのリンクが表示されません。
そのほかのファイルを収集しない : このオプションを選択すると、エラー報告に含めるその他のファイルは収集されません。
そのほかのコンピュータ データを収集しない : このオプションを選択すると、エラーが発生したコンピュータに関するその他のデータはエラーの報告に含まれません。
アプリケーション エラーにキュー モードを強制する : このオプションを選択すると、ユーザーがエラー報告を送信できなくなります。その代わりに、エラーはキュー ディレクトリに保存され、管理者が次回コンピュータにログオンしたときにエラーを報告するかどうかを決定します。
企業ファイル アップロード パス : このオプションを選択して、エラー報告がアップロードされるファイル共有への UNC (Universal Naming Convention) パスを指定します。また、このオプションは企業内エラー報告ツールを有効にします。
"Microsoft" という言葉と置き換える言葉 : このオプションを選択すると、エラーの通知ダイアログボックスで組織の名前を使用することができます。
無効
未構成
このポリシー設定が未構成の場合、ユーザーがコントロール パネルで設定を調整することはできません。既定値は、Windows XP Professional では [有効] で、Windows Server 2003 では [無効] です。
[エラーを報告する] 設定を有効にすると、エラー報告に関してコントロール パネルで行った設定は無効になります。また、未構成のエラー報告ポリシーに既定値が適用されます。
脆弱性
Windows XP、Windows Server 2003、および Office の Windows 企業内エラー報告機能は、既定で Microsoft にデータを送信しますが、組織によっては情報を極秘にしておきたい場合もあります。Windows 企業内エラー報告における Microsoft のプライバシーに関する声明では、Microsoft が Windows 企業内エラー報告によって収集したデータを悪用することはないことが明確に示されています。それでも、組織によっては、信頼された IT チームのメンバが確認してからでなければ、組織の外部に情報を送ることができないように、この機能を構成したいと考える組織があるかもしれません。
一方、エラー報告を完全に無効にすると、Microsoft が新しいバグを識別し、診断するのがより困難になります。内部の業務アプリケーションを独自に開発している組織では、Windows 企業内エラー報告機能を使用して、コード内の問題を追跡することもできます。
プライバシーを確保しながら Windows 企業内エラー報告を有効に活用するには、内部の企業内エラー報告 (CER) サーバーを独自に構成します。クライアント コンピュータがエラー報告を送るときにこれらのサーバーをポイントするように構成します。管理者は CER サーバーで報告を確認し、Microsoft に送るための、機密情報を含まない集計レポートを生成することができます。
対策
[エラーを報告する] 設定を [有効] にして、[企業ファイル アップロード パス] オプションを選択し、組織の CER サーバーへの UNC パスを指定します。
注 : 組織で CER サーバーを作成する方法の詳細については、https://www.microsoft.com/resources/satech/cer/ の「Windows Corporate Error Reporting」 (英語情報) を参照してください。
考えられる影響
エラー報告が有効になり、新しいエラー報告が CER サーバーに送られるようになります。
インターネット通信の管理
Windows Server 2003 および Windows XP ファミリの製品には、使いやすさを向上させるインターネット通信のさまざまなテクノロジが含まれています。ブラウザと電子メールのテクノロジはその典型的な例ですが、バグ修正やセキュリティ修正プログラムなど、最新のソフトウェアと製品情報を取得できる自動更新などのテクノロジも採用しています。これらのテクノロジは多くの恩恵をもたらしますが、同時にインターネット サイトとの通信が常に関係してくるため、管理者がこれを制御する必要が生じてきます。
インターネット通信の制御は、個々のコンポーネント、オペレーティング システム全体、および組織全体で構成を管理するように設計されたサーバー コンポーネントに実装された、さまざまなオプションを使用して行うことができます。たとえば、管理者はグループ ポリシーを使って、一部のコンポーネントが通信する方法を制御することができます。一部のコンポーネントでは、すべての通信を、インターネット上の外部サイトではなく、組織の内部 Web サイトに転送することができます。また、Windows Server 2003 SP1 では、Windows ファイアウォールとセキュリティ構成ウィザード (SCW) を使用して、実行するサービスや開くポートなどの構成を制御できます。
Microsoft は、インターネット通信の管理に関する詳細なガイドを 2 冊用意しています。
https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ W2K3InternetMgmt/55f681e2-de6f-4 76 - 81 d 2-af7f889d66f6.mspx の「Introduction to Controlling Communication with the Internet for Windows Server 2003 with SP1」 ** (英語情報) では、Windows Server 2003 SP1 を実行するコンピュータでインターネット通信を制御する方法について説明しています。
https://ww.microsoft.com/technet/prodtechnol/winxppro/maintain/intmgmt/01\_xpint.mspx の「Using Windows XP Service Pack 2 In a Managed Environment」 **(英語情報) では、Windows XP SP2 を実行するコンピュータでインターネット通信を制御する方法について説明しています。
分散 COM
COM は、コンピュータ上のすべての呼び出し、アクティベーション、または起動要求を管理する、コンピュータ全体のアクセス制御リスト (ACL) を提供します。これらのアクセス制御は、コンピュータ上のすべての COM サーバーの呼び出し、アクティブ化、または起動に対して、コンピュータ全体のアクセス制御リスト (ACL) へのチェックを実行する追加のアクセス チェック呼び出しのことです。このチェックは、サーバー固有の ACL に対して実行されるすべてのアクセス チェックに加えて実行されます。アクセス チェックに失敗した場合、その呼び出し、アクティブ化、または起動の要求は拒否されます。実際には、コンピュータ上のいずれの COM サーバーにアクセスする場合にも満たす必要のある、最低限の承認標準を提供します。DCOM の詳細については、https://go.microsoft.com/fwlink/?LinkId=20922 の「Component Object Model」(英語情報) を参照してください。新しい DCOM セキュリティ機能の詳細については、このガイドの「第 5 章 セキュリティ オプション」の「DCOM : セキュリティ記述子定義言語 (SDDL) でのコンピュータ アクセス制限」を参照してください。
Windows XP SP2 および Windows Server 2003 SP1 の新しい DCOM セキュリティ機能は、グループ ポリシー オブジェクト エディタ内の次の場所で管理できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ システム\分散 COM\アプリケーションの互換性の設定
共通の問題
このセクションの 2 つの設定には、共通の脆弱性、対策、および考えられる影響についての情報があります。
脆弱性
間違って記述された COM コンポーネントは、ネットワーク経由で攻撃を受け、その結果情報が漏洩したり、サービスが拒否されたり、権限昇格攻撃を受けたりする可能性があります。
対策
第 5 章に記載されている DCOM アクセス コントロール メカニズムと併せて、[ローカルのアクティベーション セキュリティ チェックの例外を許可する] と [アクティベーション セキュリティ チェックの例外を定義する] 設定を使用し、DCOM コンポーネントのアクセスと実行を制御します。
考えられる影響
既存のアプリケーションに DCOM アクセス制御を追加すると、それらのアプリケーションが正しく動作しない場合があります。
ローカルのアクティベーション セキュリティ チェックの例外を許可する
このポリシー設定では、ローカル コンピュータ上でのアクティベーション セキュリティ チェックで、ローカル コンピュータの管理者が [アクティベーション セキュリティ チェックの例外を定義する] 一覧 (次の設定を参照) を補足できるよう指定できます。このポリシー設定が有効で、DCOM が [アクティベーション セキュリティ チェックの例外を定義する] ポリシーで DCOM サーバー アプリケーション ID (AppID) の明示的なエントリを検索できなかった場合、DCOM はローカルで構成されたリストのエントリを検索します。
アクティベーション セキュリティ チェックの例外を定義する
このポリシー設定では、DCOM アクティベーション セキュリティ チェックから除外される DCOM サーバー アプリケーション ID (AppID) の一覧を表示し、変更できます(COM と AppID キーの詳細については、https://go.microsoft.com/fwlink/?LinkId=32831 の MSDN ®の COM SDK ドキュメント「COM Registry Entries」(英語情報) を参照してください)。
DCOM は、2 つの DCOM サーバー AppID の一覧を使用して、セキュリティを決定します。1 つは [アクティベーション セキュリティ チェックの例外を定義する] グループ ポリシー設定で構成され、もう 1 つはローカル コンピュータの管理者によって作成されます。AppID キーは COM が使用するレジストリ キーの 1 つで、1 つまたは複数の分散 COM オブジェクトに対する設定オプションをレジストリ内の 1 か所にまとめてグループ化します。このキーには AppID の名前付き値が含まれています。名前付き値は、名前付き実行可能ファイルに対応する AppID GUID を識別します。
[アクティベーション セキュリティ チェックの例外を定義する] ポリシーを設定した場合、関連する [ローカルのアクティベーション セキュリティ チェックの例外を許可する] ポリシー設定を同時に有効にしない限り、DCOM では 2 番目のリストが無視されます。DCOM サーバー AppID のリストに追加するすべての DCOM サーバー AppID について、{b5dcb061-cefb-42e0-a1be-e6a6438133fe} のように波かっこの形式を使用する必要があります(この AppID 番号は一例です)。存在しない AppID や無効な形式の AppID を入力した場合、DCOM ではその AppID をリストに追加しますが、エラーはチェックされません。
このポリシー設定を有効にすると、グループ ポリシー設定で定義されている DCOM アクティベーション セキュリティ チェックの例外のリストを表示および変更できます。
次のどちらか 1 つの値を使用できます。
AppID をこのリストに追加し、その値を 1 に設定した場合、DCOM はその DCOM サーバーに対するアクティベーション セキュリティ チェックを強制しません。
AppID をこのリストに追加し、その値を 0 に設定した場合、DCOM はローカル設定に関係なく、その DCOM サーバーに対するアクティベーション セキュリティ チェックを常に強制します。
注 : この例外リストに追加された DCOM サーバーは、任意のユーザーまたはグループに対して許可または拒否が設定された特定のローカル起動、リモート起動、ローカル アクティブ化、またはリモート アクティブ化権限が、それらの DCOM サーバーのカスタム起動権限に含まれていない場合にのみ、除外されます。このリストに追加した DCOM サーバー AppID の例外は、32 ビット版の Windows Server 2003 に適用され、64 ビット版の Windows Server 2003 が存在する場合は 64 ビット版の Windows Server 2003 にも適用されます。
ユーザーの構成の設定
この章の前半で説明した設定は、Active Directory ドメインのメンバであるコンピュータに対して適用されます。以下のセクションでの設定は、個々のユーザーに適用されます。
Internet Explorer のユーザー設定
Internet Explorer は、Windows XP および Windows Server 2003 に付属の Web ブラウザです。グループ ポリシー オブジェクト エディタ内の次の場所のグループ ポリシーを使用して、Internet Explorer のさまざまな機能を管理することができます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ Internet Explorer
Outlook Express を構成する
このポリシー設定では、ウイルスを含む可能性のある添付ファイルを Microsoft Outlook® Express ユーザーが保存したり、開いたりできる機能を、管理者側で有効または無効にできます。[ウイルスを含む可能性のある添付ファイルをブロックする] チェック ボックスをオンにすると、 ユーザーはウイルスを含む可能性のある添付ファイルを開いたり、保存したりできません。また、このポリシー設定を有効にすると、ユーザーは [インターネット オプション] ダイアログ ボックスで電子メールの添付ファイルの拒否または許可を指定することができます。
[Outlook Express を構成する] で設定可能な値は、次のとおりです。
有効 (オプションは以下のとおり)
- ウイルスを含む可能性のある添付ファイルをブロックする
無効
未構成
脆弱性
電子メールの添付ファイルを開いたユーザーが、添付ファイルに含まれているウイルスやトロイの木馬プログラムなどの悪意のあるコードを知らないうちに実行する可能性があります。
対策
[Outlook Express を構成する] 設定を [有効] にし、[ウイルスを含む可能性のある添付ファイルをブロックする] チェック ボックスをオンにします。
考えられる影響
ユーザーは、Outlook Express で一部の種類のメッセージの添付ファイルを開いたり、実行したりできません。
[詳細設定] ページの設定の変更を許可しない
このポリシー設定は、[インターネット オプション] ダイアログ ボックスの [詳細設定] タブの設定をユーザーが変更するのを防ぎます。この設定を有効にすると、ユーザーはセキュリティ、マルチメディア、印刷オプションなど、インターネットの詳細設定を変更できなくなります。また、[詳細設定] タブのチェック ボックスをオンまたはオフにできません。このポリシー設定が無効または未構成の場合、ユーザーは [詳細設定] タブでオプションをオンまたはオフにできます。
[[詳細設定] ページの使用を許可しない] 設定が有効の場合、インターフェイスから [詳細設定] タブが削除されるため、このポリシー設定を構成する必要はありません。
[[詳細設定] ページの設定の変更を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが Internet Explorer のセキュリティ設定を変更し、悪意のある Web サイトにアクセスして悪意のあるコードをダウンロードしたり実行する可能性があります。
対策
[[詳細設定] ページの設定の変更を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、[インターネット オプション] ダイアログ ボックスの [詳細設定] タブで設定を変更することができません。
自動構成の変更を許可しない
このポリシー設定は、ユーザーが自動構成の設定を変更できないようにします。自動構成は、管理者がブラウザの設定を定期的に更新するために使用するプロセスです。このポリシー設定を有効にすると、自動構成の設定が灰色表示になり、使用できなくなります。自動構成の設定は、[ローカル エリア ネットワーク (LAN) の設定] ダイアログ ボックスの [自動構成] 領域にあります。このポリシーが無効または未構成の場合、ユーザーは自動構成の設定を変更することができます。
[[接続] ページの使用を許可しない] 設定が有効の場合、コントロールパネルで Internet Explorer から [接続] タブが削除され、[自動構成の変更を許可しない] 設定より優先されます。
[自動構成の変更を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが Internet Explorer のセキュリティ設定を変更し、悪意のある Web サイトにアクセスして悪意のあるコードをダウンロードしたり実行する可能性があります。
対策
[自動構成の変更を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、自動構成の設定を変更できなくなります。
証明書の設定の変更を許可しない
このポリシー設定は、ユーザーが Internet Explorer で証明書の設定を変更できないようにします。証明書はソフトウェア発行者の識別情報を検証するために使用します。このポリシー設定を有効にすると、[インターネット オプション] ダイアログ ボックスの [コンテンツ] タブの [証明書] 領域の設定が灰色表示になり、使用できなくなります。この設定が無効または未構成の場合、ユーザーは新しい証明書をインポートしたり、認証済みの発行元を削除したり、受け取った証明書の設定を変更したりできます。
[[コンテンツ] ページの使用を許可しない] 設定 (場所 : \ユーザーの構成\管理テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル) が有効の場合、コントロールパネルの Internet Explorer から [コンテンツ] タブが削除され、[証明書の設定の変更を許可しない] 設定より優先されます。
[証明書の設定の変更を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
注 : このポリシー設定を有効にしても、ソフトウェア発行元証明書 (.spc) ファイルをダブルクリックすると、証明書マネージャのインポート ウィザードを実行することができます。このウィザードを使用すると、Internet Explorer 用に設定されていないソフトウェア発行元の証明書のインポートや構成ができます。
脆弱性
ユーザーが新しい証明書をインポートしたり、許可されている証明書を削除したり、既に構成済みの設定を変更する可能性があります。この結果、許可されているアプリケーションが実行できなくなったり、許可されていないソフトウェアが実行される可能性があります。
対策
[証明書の設定の変更を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、証明書の設定を変更できなくなります。
接続の設定の変更を許可しない
このポリシー設定は、ユーザーがダイヤルアップの設定を変更できないようにします。このポリシー設定を有効にすると、[インターネット オプション] ダイアログ ボックスの [接続] タブの [設定] ボタンが使用できなくなります。この設定が無効または未構成の場合、ユーザーはダイヤルアップ接続の設定を変更することができます。
[[接続] ページの使用を許可しない] 設定 (場所 : \ユーザーの構成\ 管理テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル) が有効の場合、[インターネット オプション] ダイアログボックスの [接続] タブが削除されるため、[接続の設定の変更を許可しない] を構成する必要はありません。
[接続の設定の変更を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが既存の接続を変更すると、Internet Explorer を使用して一部またはすべての Web サイトを表示できなくなる可能性があります。
対策
[接続の設定の変更を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、接続の設定を変更できなくなります。
プロキシの設定の変更を許可しない
このポリシー設定は、ユーザーがプロキシの設定を変更できないようにします。このポリシー設定を有効にすると、プロキシの設定が灰色表示になり、使用できなくなります。これらの設定は、[ローカル エリア ネットワーク (LAN) の設定] ダイアログ ボックスの [プロキシ サーバー] 領域にあります。これは、[インターネット オプション] ダイアログ ボックスの [接続] タブをクリックし、[LAN の設定] をクリックすると表示されます。
[[接続] ページの使用を許可しない] 設定 (場所 : \ユーザーの構成\ 管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル) が有効の場合は、[[接続] ページの使用を許可しない] 設定により、 [インターネット オプション] ダイアログ ボックスの [接続] タブが削除されるため、このポリシー設定 ([プロキシの設定の変更を許可しない]) を構成する必要はありません。
[プロキシの設定の変更を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが既存のプロキシ サーバーの設定を変更し、Internet Explorer を使用して一部またはすべての Web サイトを表示できなくさせる可能性があります。
対策
[プロキシの設定の変更を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、プロキシの設定を変更できなくなります。
インターネット接続ウィザードの使用を許可しない
このポリシー設定は、ユーザーがインターネット接続ウィザード (ICW) を使用できないようにします。この設定を有効にすると、[インターネット オプション] ダイアログ ボックスの [接続] タブの [セットアップ] ボタンが使用できなくなります。また、ユーザーはデスクトップの [インターネットに接続] アイコンをクリックする方法や、または [スタート]、[プログラム]、[アクセサリ]、[通信]、[インターネット接続ウィザード] の順にクリックする方法など、別の方法でもウィザードを実行できません。この設定が無効または未構成の場合、ユーザーは ICW を実行して接続の設定を変更することができます。
[インターネット接続ウィザードの使用を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
注 : このポリシー設定は [[接続] ページの使用を許可しない] 設定 (場所 : \ユーザーの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル) と同じで、有効にすると [インターネット オプション] ダイアログ ボックスの [接続] タブが削除されます。ただし、この設定を使用しても、ユーザーはデスクトップや [スタート] メニューから ICW を実行できます。
脆弱性
ユーザーが ICW を使用して新しいダイヤルアップ接続またはネットワーク接続を作成すると、この新しい未構成の接続経由で不正なユーザーが組織のネットワークにアクセスする可能性があります。
対策
[インターネット接続ウィザードの使用を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、ICW を使用できなくなります。
オートコンプリートにパスワードの保存を許可しない
このポリシー設定は、Web ページのフォーム上でのユーザー名およびパスワードのオートコンプリートを無効にし、"パスワードの保存" の確認が表示されないようにします。このポリシー設定を有効にすると、[フォームのユーザー名およびパスワード] チェック ボックスおよび [パスワードを保存する確認をする] チェック ボックスが灰色表示になり、使用できなくなります (これらのチェック ボックスを表示するには、[インターネット オプション] ダイアログ ボックスを表示して [コンテンツ] タブをクリックし、次に [オートコンプリート] をクリックします)。この設定が無効または未構成の場合、ユーザーは Internet Explorer でフォーム上のユーザー名およびパスワードにオートコンプリートを使用するかどうか、またパスワードの保存を確認するかどうかを指定することができます。
[[コンテンツ] ページの使用を許可しない] 設定 (場所 : \ユーザーの構成\管理テンプレート\\Windows コンポーネント\Internet Explorer\インターネットコントロールパネル) を有効にすると、コントロールパネルの Internet Explorer から [コンテンツ] タブが削除され、[オートコンプリートにパスワードの保存を許可しない] 設定より優先されます。
[オートコンプリートにパスワードの保存を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
オートコンプリート機能は大変便利ですが、パスワードが "保護された記憶域" に読み込まれます。保護された記憶域は特に安全なメカニズムで、そこに保存された情報には、保存したユーザーがアクセスできなければなりません。インターネット上には、ユーザーの保護された記憶域の内容を表示できるツールがあります。これらのツールは、ユーザーが自分の保護された記憶域を表示するために実行する場合にのみ機能し、他のユーザーの保護された記憶域やパスワードを表示することはできません。ユーザーが、このようなツールを知らないうちに実行し、攻撃者にパスワードを公開する可能性があります。
対策
[オートコンプリートにパスワードの保存を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、オートコンプリート機能を使用してパスワードを保存できなくなります。
インターネット コントロール パネル
インターネット コントロール パネル アプレットを使用して、インターネット関連の設定を管理できます。アプレットの機能の可用性は、グループ ポリシーの [インターネット コントロール パネル] ノードで制御できます。これらのポリシー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ Internet Explorer\インターネット コントロール パネル
[詳細設定] ページの使用を許可しない
このポリシー設定を有効にすると、[インターネット オプション] ダイアログ ボックスに [詳細設定] タブが表示されません。このポリシー設定を有効にすると、ユーザーはセキュリティ、マルチメディア、印刷オプションなどのインターネットの詳細設定を表示または変更できません。この設定が無効または未構成の場合、ユーザーはこれらの設定を表示または変更できます。
このポリシー設定が有効の場合、[インターネット オプション] ダイアログ ボックスのインターフェイスから [詳細設定] タブが削除されるため、[[詳細設定] ページの設定の変更を許可しない] 設定 (場所 : \ユーザーの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\) を有効にする必要はありません。
[詳細設定] ページの使用を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが Internet Explorer のセキュリティ設定を変更し、悪意のある Web サイトにアクセスして悪意のあるコードをダウンロードしたり実行したりする可能性があります。
対策
[詳細設定] ページの使用を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、[詳細設定] ダイアログ ボックスを表示できなくなります。
[セキュリティ] ページの使用を許可しない
このポリシー設定を有効にすると、[インターネット オプション] ダイアログ ボックスに [セキュリティ] タブが表示されません。この設定を有効にすると、ユーザーは、スクリプト、ダウンロード、ユーザー認証などに関する設定など、セキュリティ ゾーンの設定を表示または変更できません。このポリシー設定が無効または未構成の場合、ユーザーはこれらの設定を表示または変更できます。
[[セキュリティ] ページの使用を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
この設定が有効の場合、次の Internet Explorer の設定を構成する必要はありません ([インターネット オプション] ダイアログ ボックスのインターフェイスから [セキュリティ] タブが削除されるため)。
セキュリティ ゾーン : ポリシーの変更を許可しない
セキュリティ ゾーン : サイトの追加/削除を許可しない
脆弱性
ユーザーが Internet Explorer のセキュリティ設定を変更し、悪意のある Web サイトにアクセスして悪意のあるコードをダウンロードしたり実行したりする可能性があります。
対策
[[セキュリティ] ページの使用を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、[セキュリティ] ページを表示できなくなります。
オフライン ページ
Internet Explorer では、ページをダウンロードおよびキャッシュし、それらをオフラインで使用することができます。この機能は、グループ ポリシーの [オフライン ページ] ノードから制御できます。これらのポリシー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
ユーザーの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\オフライン ページ
チャンネルの追加を許可しない
このポリシー設定は、ユーザーが Internet Explorer にチャンネルを追加できないようにします。チャンネルは、チャンネル プロバイダの指定したスケジュールに従って、コンピュータで自動的に更新される Web サイトです。
このポリシー設定を有効にすると、チャンネルを購読する際に使用する [Active Channel の追加] ボタンが無効になります。また、ユーザーは、Microsoft の Active Desktop® ギャラリーの Active Desktop® 項目など、チャンネルを基準としたコンテンツをデスクトップに追加することもできなくなります。この設定が無効または未構成の場合、ユーザーは [チャンネル] ツール バーやデスクトップにチャンネルを追加することができます。
[チャンネルの追加を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが直接操作しなくても、ユーザーのブラウザにデータが送られてくる可能性があります。つまり、ユーザーが直接要求したものとは異なる Web コンテンツがダウンロードされる可能性があります。
対策
[チャンネルの追加を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、チャンネルを追加できなくなります。
オフライン ページへのスケジュールの追加を許可しない
このポリシー設定は、サーバーの負荷について懸念がある組織で役立ちます。この設定を使用すると、ユーザーが Web ページをダウンロードして、ユーザーのコンピュータがインターネットに接続されていないときにオフラインで表示できるかどうかを制御できます。
このポリシー設定を有効にすると、ユーザーはオフライン コンテンツをダウンロードする新しいスケジュールを追加できません。[お気に入りに追加] ダイアログ ボックスの [オフラインで使用する] チェック ボックスは灰色表示になり、使用できなくなります。この設定が無効または未構成の場合、ユーザーは新しいオフライン コンテンツ スケジュールを追加することができます。[[お気に入り] メニューを隠す] 設定 (場所 : ユーザーの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer) は、このポリシー設定よりも優先されます。
[チャンネルの追加を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが直接操作しなくても、ユーザーのブラウザにデータが送られてくる可能性があります。つまり、ユーザーが直接要求したものとは異なる Web コンテンツがダウンロードされる可能性があります。
対策
[オフライン ページへのスケジュールの追加を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、オフライン ページにスケジュールを追加できなくなります。
すべてのスケジュール済オフライン ページの使用を許可しない
このポリシーは、コンテンツのダウンロードがサーバーの負荷となる懸念がある組織で役立ちます。この設定を使用すると、オフラインで表示するために Web ページをダウンロードする現在の既存のスケジュールを無効にします。ユーザーは Web ページをオフラインで使用するように指定すると、コンピュータがインターネットに接続されていなくてもページの内容を見ることができます。
このポリシー設定を有効にすると、Web ページの [プロパティ] ダイアログ ボックスの [スケジュール] タブにあるスケジュールに関するチェック ボックスが削除され、ユーザーが選択できなくなります(このタブを表示するには、[ツール] メニューの [同期] をクリックし、Web ページを選択して [プロパティ] をクリックします。次に [スケジュール] タブをクリックします)。このポリシー設定を無効にすると、[スケジュール] タブで指定されたスケジュールに従って Web ページが更新されます。[[お気に入り] メニューを隠す] 設定 (場所 : ユーザーの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer) は、このポリシー設定よりも優先されます。
[チャンネルの追加を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが直接操作しなくても、ユーザーのブラウザにデータが送られてくる可能性があります。つまり、ユーザーが直接要求したものとは異なる Web コンテンツがダウンロードされる可能性があります。
対策
[すべてのスケジュール済オフライン ページの使用を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、スケジュール済みのオフライン ページを表示できなくなります。
チャンネル ユーザー インターフェイスの使用を許可しない
このポリシー設定では、ユーザーが [チャンネル] インターフェイスを表示できないようにします。チャンネルは、チャンネル プロバイダの指定したスケジュールに従って、ユーザーのコンピュータで自動的に更新される Web サイトです。
このポリシー設定を有効にすると、[チャンネル] ユーザー インターフェイス (UI) が無効になり、ユーザーは [画面のプロパティ] ダイアログ ボックスの [Web] タブにある [Internet Explorer チャンネル バー] チェック ボックスを選択できなくなります。この設定が無効または未構成の場合、ユーザーは [チャンネル] インターフェイスを使用してチャンネルを表示または購読できます。
[チャンネル ユーザー インターフェイスの使用を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが直接操作しなくても、ユーザーのブラウザにデータが送られてくる可能性があります。つまり、ユーザーが直接要求したものとは異なる Web コンテンツがダウンロードされる可能性があります。
対策
[チャンネル ユーザー インターフェイスの使用を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、チャンネル UI にアクセスできなくなります。
サイト購読のコンテンツのダウンロードを許可しない
このポリシー設定は、ユーザーが購読する Web サイトからのコンテンツのダウンロードを許可するかどうかを制御します。この設定を使用すると、ユーザーはオフライン (ユーザーのコンピュータがインターネットに接続されていない状態) でも、Web ページを参照できるようになります。
このポリシー設定を有効にすると、ユーザーは購読する Web サイトからコンテンツをダウンロードできません。ただし、ユーザーが最後にそのページを同期またはアクセスしてから、コンテンツが更新されているかどうかを調べるための Web ページの同期は行われます。このポリシー設定が無効または未構成の場合、ユーザーはコンテンツをダウンロードすることができます。
[サイト購読のコンテンツのダウンロードを許可しない] 設定および [[お気に入り] メニューを隠す] 設定 (場所 : ユーザーの構成\管理用テンプレート\Windows コンポーネント\ Internet Explorer) は、この設定よりも優先されます。
[サイト購読のコンテンツのダウンロードを許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが直接操作しなくても、ユーザーのブラウザにデータが送られてくる可能性があります。つまり、ユーザーが直接要求したものとは異なる Web コンテンツがダウンロードされる可能性があります。
対策
[サイト購読のコンテンツのダウンロードを許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、サイトを購読し、コンテンツを自動的にダウンロードすることができなくなります。
スケジュール グループの編集および作成を許可しない
このポリシー設定は、購読する Web ページをオフライン表示するためのスケジュールの追加、編集、または削除をユーザーに許可するかどうかを制御します。購読グループは、お気に入りの Web ページとそれにリンクしている Web ページで構成されています。
このポリシーを有効にすると、Web ページの [プロパティ] ダイアログ ボックスの [スケジュール] タブの [追加]、[削除]、および [編集] ボタンが灰色表示になり、使用できなくなります(このタブを表示するには、[ツール] メニューの [同期] をクリックし、Web ページを選択して [プロパティ] をクリックします。そして [スケジュール] タブをクリックします)。この設定が無効または未構成の場合、ユーザーは Web サイトおよび Web サイト グループのスケジュールを追加、削除、および編集することができます。
[オフライン ページへのスケジュールの編集を許可しない] 設定および [[お気に入り] メニューを隠す] 設定 (場所 : ユーザーの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer) は、このポリシーよりも優先されます。
[スケジュール グループの編集および作成を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが直接操作しなくても、ユーザーのブラウザにデータが送られてくる可能性があります。つまり、ユーザーが直接要求したものとは異なる Web コンテンツがダウンロードされる可能性があります。
対策
[スケジュール グループの編集および作成を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、オフライン表示する Web ページのスケジュールを追加、編集、または削除できなくなります。
オフライン ページへのスケジュールの編集を許可しない
このポリシー設定は、サーバーの負荷について懸念がある組織で役立ちます。この設定では、Web ページをダウンロードしてオフライン (ユーザーのコンピュータがインターネットに接続されていない状態) で表示する既存のスケジュールを編集できないようにします。
この設定を有効にすると、ユーザーはオフライン表示のための設定を行うページでスケジュールのプロパティを表示できなくなります。ユーザーが [ツール] メニューの [同期] をクリックし、Web ページを選択して [プロパティ] をクリックしても、プロパティは表示されません。このオプションが使用できないことを示す警告は表示されません。この設定が無効または未構成の場合、ユーザーは Web コンテンツをダウンロードしてオフライン表示する既存のスケジュールを編集することができます。
[[お気に入り] メニューを隠す] 設定 (場所 : ユーザーの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer) は、このポリシー設定よりも優先されます。
[オフライン ページへのスケジュールの編集を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが直接操作しなくても、ユーザーのブラウザにデータが送られてくる可能性があります。つまり、ユーザーが直接要求したものとは異なる Web コンテンツがダウンロードされる可能性があります。
対策
[オフライン ページへのスケジュールの編集を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、Web ページのコンテンツをダウンロードしてオフラインで表示するためのスケジュールを編集することかできません。
オフライン ページへのヒット ログの使用を許可しない
このポリシー設定は、オフラインで作業しているユーザーがチャンネル ページを表示した日時に関する情報を、チャンネル プロバイダが記録できるかどうかを制御します。
このポリシー設定を有効にすると、チャンネル プロバイダがチャンネル定義形式 (.cdf) ファイルで構成したチャンネル ログの設定がすべて無効になります。.cdf ファイルは、Web コンテンツのダウンロードに関するスケジュールおよびその他の設定を指定します。この設定が無効または未構成の場合、チャンネル プロバイダは、オフラインで作業しているユーザーがチャンネル ページを表示した日時に関する情報を記録することができます。
[オフライン ページへのヒット ログの使用を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが直接操作しなくても、ユーザーのブラウザにデータが送られてくる可能性があります。つまり、ユーザーが直接要求したものとは異なる Web コンテンツがダウンロードされる可能性があります。
対策
[オフライン ページへのヒット ログの使用を許可しない] 設定を [有効] にします。
考えられる影響
オフラインでコンテンツにアクセスするユーザーは、次回オンラインになるまで、Web サイトにページ ヒットを送ることができません。
チャンネルの削除を許可しない
このポリシー設定の目的は、管理者が組織内のすべてのコンピュータを同時に更新できるようにすることです。この設定は、ユーザーが Internet Explorer でチャネルの同期を無効にできるかどうかを制御します。チャンネルは、チャンネル プロバイダの指定したスケジュールに従って、コンピュータで自動的に更新される Web サイトです。
このポリシー設定を有効にすると、ユーザーはチャンネルの同期を中断できなくなります。この設定が無効または未構成の場合、ユーザーはチャンネルの同期を無効にできます。
[チャンネルの削除を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
注 : このポリシー設定が有効になっていても、ユーザーはデスクトップのアクティブ コンテンツを削除できます。
脆弱性
ユーザーが直接操作しなくても、ユーザーのブラウザにデータが送られてくる可能性があります。つまり、ユーザーが直接要求したものとは異なる Web コンテンツがダウンロードされる可能性があります。
対策
[チャンネルの削除を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、チャンネルを削除したり、チャンネル同期を無効にすることができなくなります。
オフライン ページへのスケジュールの削除を許可しない
このポリシー設定は、サーバーの負荷について懸念がある組織で役立ちます。この設定では、オフライン (ユーザーのコンピュータがインターネットに接続されていない状態) で表示するために Web ページをダウンロードする際の構成済みの設定制限を、ユーザーが削除できるかどうかを制御します。
この設定を有効にすると、[お気に入りの整理] ダイアログ ボックスの [オフラインで使用する] チェック ボックスおよび [このページをオフラインで使用する] チェック ボックスが (選択された状態のままで) 灰色表示になり、使用できなくなります([このページをオフラインで使用する] チェックボックスを表示するには、[ツール] メニューの [同期] をクリックし、[プロパティ] をクリックします)。この設定が無効または未構成の場合、ユーザーはオフライン表示のためのページのダウンロードに関する構成済みの制限設定を削除することができます。
[[お気に入り] メニューを隠す] 設定 (場所 : ユーザーの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer) は、このポリシー設定よりも優先されます。
[オフライン ページへのスケジュールの削除を許可しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが直接操作しなくても、ユーザーのブラウザにデータが送られてくる可能性があります。つまり、ユーザーが直接要求したものとは異なる Web コンテンツがダウンロードされる可能性があります。
対策
[オフライン ページへのスケジュールの削除を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、オフライン ページへのスケジュールを削除できなくなります。
ブラウザのメニュー
Internet Explorer のメニュー システムの個々の機能は、グループ ポリシーの [ブラウザのメニュー] ノードを使って有効または無効にできます。これらのポリシー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ Internet Explorer\ブラウザのメニュー
[このプログラムをディスクに保存する] オプション ボタンの使用を許可しない
このポリシー設定を有効にすると、ユーザーは [このプログラムをディスクに保存する] ボタンをクリックしてプログラム ファイルをダウンロードできません。ユーザーには、このコマンドが使用できないことが通知されます。この設定が無効または未構成の場合、ユーザーはブラウザを使ってプログラムをダウンロードすることができます。
[ブラウザのメニュー : このプログラムをディスクに保存する] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが Web サイトから悪意のあるコードをダウンロードして実行する可能性があります。
対策
[[このプログラムをディスクに保存する] オプション ボタンの使用を許可しない] 設定を [有効] にします。
考えられる影響
ユーザーは、[このプログラムをディスクに保存する] ボタンをクリックして、プログラム ファイルをダウンロードすることができません。
常設
Internet Explorer では、動的なHTML (DHTML) オブジェクトがその設定やデータを保存することができ、この機能のことを常設といいます。現在のセッションのメモリ ストリーム、お気に入り一覧、HTML、または XML 内にフォーム データ、スタイル、状態、およびスクリプトの変数を常設できます。DHTML の 4 つの常設は、saveFavorite、saveHistory、saveSnapshot、および userData です。Internet Explorer では、セキュリティ ゾーンを使用して、アプリケーションがこの機能を使用して保存できるデータの量を制御できます。
[常設] で設定可能な値は、次のとおりです。
有効
ドメインごと (キロバイト単位) : この構成は、指定したドメインに関連するスクリプトが保存できるデータの総量を制御します。
ドキュメントごと (キロバイト単位) : この構成は、指定した Web ページの DHTML 構成が保存できるデータの総量を制御します。
無効
未構成
脆弱性
悪質な Web ページが、密かにターゲット コンピュータに悪質なデータまたは過度に大量のデータを保存する可能性があります。
対策
インターネット サイト ゾーンと制限付きサイト ゾーンに対して、セキュリティ ゾーンごとのサイズ制限を有効にします。
考えられる影響
なし。
添付ファイル マネージャ
Windows Server 2003 SP1 と Windows XP SP2 では、添付ファイル マネージャと呼ばれる新しいサービスにより、電子メール メッセージと Web ページの添付ファイルに対して一貫した一連の動作が実行されます。添付ファイル マネージャ サービスは、統一された一連のプロンプトを実装し、それをファイルのダウンロード、メールの添付ファイル、シェル プロセスの実行、およびプログラムのインストールに使用します。これらのプロンプトは、以前のバージョンの Windows に比べ、より明確で一貫性のあるものに変更されています。また、署名が可能で、ユーザーのコンピュータに危害を加えるおそれのあるファイルの種類が開かれる前に、発行者情報が表示されます(コンピュータに危害を加えるおそれのある、署名可能な典型的なファイルの種類は .exe、.dll、.ocx、.msi、および .cab です)。添付ファイル マネージャ サービスには、新しいアプリケーション プログラミング インターフェイス (API) が含まれており、アプリケーション開発者はこれを利用することができます。
添付ファイル マネージャ サービスは、ユーザーが受信またはダウンロードしたファイルを、ファイルの種類とファイル名拡張子に基づいて分類します。ファイルは、高、中、低のいずれかの危険度に分類されます。ユーザーがファイルを添付ファイル マネージャ サービスを使用するプログラムからハード・ディスクへ保存すると、ファイルの Web コンテンツ ゾーン情報もファイルと共に保存されます。たとえば、電子メール メッセージに添付された圧縮ファイル (.zip) を保存すると、Web コンテンツ ゾーン情報も保存され、圧縮ファイルからコンテンツを抽出することはできません。
注 : Web コンテンツ ゾーン情報は、コンピュータが NTFS ファイル システムを使用している場合にのみ、ファイルと共に保存されます。
添付ファイル マネージャ サービスは、ファイルを次の 3 つに分類します。
危険度 – 高 : 添付ファイルが危険度の高いのファイルの種類の一覧にあり、かつ制限付きゾーンからの場合、ユーザーのファイルへのアクセスはブロックされます。添付ファイルがインターネット ゾーンからの場合、ファイルへのアクセスを許可する前に、ユーザーにプロンプトが表示されます。
危険度 – 中 : 添付ファイルが危険度が中程度のファイルの種類の一覧にあり、かつ制限付きインターネット ゾーンからの場合、ファイルへのアクセスを許可する前に、ユーザーにプロンプトが表示されます。
危険度 – 低 : 添付ファイルが危険度の低いファイルの種類の一覧にある場合、ファイルのゾーン情報に関係なく、ユーザーへのプロンプト表示なしで、ファイルへのアクセスが許可されます。
これらの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ 添付ファイル マネージャ
添付ファイルの既定の危険レベル
このポリシー設定では、ファイルの種類の既定の危険レベルを管理できます。添付ファイルの危険レベルを完全にカスタマイズするには、添付ファイルの信頼ロジックも構成する必要がある場合があります。このポリシー設定を有効にすると、高、中、低の危険度のファイルの種類の一覧に明示的に含まれていないファイルの種類の規定の危険レベルを指定できます。このポリシー設定が無効または未構成の場合、既定の危険レベルは中に設定されます。
[添付ファイルの既定の危険レベル] で設定可能な値は、次のとおりです。
有効 (既定の危険レベルのオプションは以下のとおり)
危険度 – 高
危険度 – 中
危険度 – 低
無効
未構成
脆弱性
攻撃者が悪質なコードでユーザーを騙し、添付ファイルを実行させてしまうおそれがあります。
対策
[添付ファイルの既定の危険レベル] 設定を [有効 : 危険度 – 中] にします。
考えられる影響
危険度の低いファイルの種類の一覧に明示的に含まれていない種類のファイルにアクセスするには、ユーザーはセキュリティ プロンプトに応答する必要があります。
危険度の高いファイルの種類の一覧
このポリシー設定では、危険度の高いファイルの種類の一覧を構成することができます。添付ファイルが危険度の高いファイルの種類の一覧にあり、かつ制限付きゾーンからの場合、ユーザーのファイルへのアクセスはブロックされます。添付ファイルがインターネット ゾーンからの場合、ファイルへのアクセスを許可する前に、ユーザーにプロンプトが表示されます。拡張が複数の一覧にある場合、危険度の高い一覧が中程度および低い一覧よりも優先されます。このポリシー設定を有効にすると、危険度の高いファイルの種類のカスタム一覧を作成できます。このポリシー設定が無効または未構成の場合、ビルトインの危険度の高いファイルの種類の一覧が使用されます。
[危険度の高いファイルの種類の一覧] で設定可能な値は、次のとおりです。
有効 (コンマ区切り形式のファイル拡張子の一覧を指定できる)
無効
未構成
脆弱性
ユーザーが間違って危険度の高いファイルを開いてしまう可能性があります。それにより、ユーザーのコンピュータ、さらにはネットワーク上の他のコンピュータにまで危害が及ぶ可能性があります。
対策
[危険度の高いファイルの種類の一覧] 設定を [有効] にし、制御する追加のファイルの種類を指定します。
考えられる影響
ファイルの種類が複数の一覧にある場合、最も制限の厳しい一覧が適用されます。この設定で定義された値は、Windows のビルトインの危険度の高いファイルの種類の一覧より優先されます。
危険度が中程度のファイルの種類の一覧
このポリシー設定では、危険度が中程度のファイルの種類の一覧を構成することができます。添付ファイルが危険度が中程度のファイルの種類の一覧にあり、かつ制限付きインターネット ゾーンからの場合、ファイルへのアクセスを許可する前に、ユーザーにプロンプトが表示されます。危険度が中程度の一覧はビルトインの危険度の高いファイルの種類の一覧を上書きし、また、危険度の低い一覧よりも優先されます。ただし、危険度の高い一覧よりは優先度が低くなります。このポリシー設定を有効にすると、危険度を中程度とみなすファイルの種類を指定できます。このポリシー設定が無効または未構成の場合、Windows の既定の信頼ロジックが使用されます。
[危険度が中程度のファイルの種類の一覧] で設定可能な値は、次のとおりです。
有効 (コンマ区切り形式のファイル拡張子の一覧を指定できる)
無効
未構成
脆弱性
ユーザーが間違って危険度の高いファイルを開いてしまう可能性があります。それにより、ユーザーのコンピュータ、さらにはネットワーク上の他のコンピュータにまで危害が及ぶ可能性があります。
対策
[危険度が中程度のファイルの種類の一覧] 設定を [有効] にし、制御する追加のファイルの種類を指定します。
考えられる影響
ファイルの種類が複数の一覧にある場合、最も制限の厳しい一覧が適用されます。このポリシー設定での定義は、Windows のビルトインの危険度が中程度のファイルの種類の一覧より優先されます。EXE など、危険度の高いファイルの種類を中程度の一覧に移動する際は注意が必要です。ユーザーが潜在的に危険なファイルをより簡単に実行できるようになるからです。
危険度の低いファイルの種類の一覧
このポリシー設定では、危険度の低いファイルの種類の一覧を構成することができます。添付ファイルが危険度の低いファイルの種類の一覧にある場合、ファイルのゾーン情報に関係なく、ユーザーへのプロンプト表示なしで、ファイルへのアクセスが許可されます。この一覧は Windows のビルトインの危険度の高いファイルの種類の一覧を上書きし、高程度または中程度の一覧よりは優先されません。このポリシー設定を有効にすると、危険度が低いとみなすファイルの種類を指定できます。このポリシー設定が無効または未構成の場合、Windows の既定の信頼ロジックが使用されます。
[危険度の低いファイルの種類の一覧] で設定可能な値は、次のとおりです。
有効 (コンマ区切り形式のファイル拡張子の一覧を指定できる)
無効
未構成
脆弱性
ユーザーが間違って危険度が高いファイルの種類を開いてしまう可能性があります。それにより、ユーザーのコンピュータ、さらにはネットワーク上の他のコンピュータにまで危害が及ぶ可能性があります。
対策
[危険度が中程度のファイルの種類の一覧] 設定を [有効] にし、制御する追加のファイルの種類を指定します。
考えられる影響
ファイルの種類が複数の一覧にある場合、最も制限の厳しい一覧が適用されます。このポリシー設定での定義は、Windows のビルトインの危険度の低いファイルの種類の一覧より優先されます。EXE など、危険度の高いファイルの種類を低い一覧に移動する際は注意が必要です。ユーザーが潜在的に危険なファイルをより簡単に実行できるようになるからです。
添付ファイルの信頼ロジック
このポリシー設定では、Windows が添付ファイルの危険度を決定するのに使用するロジックを構成できます。このポリシー設定を有効にすると、Windows が危険度の評価データを処理する際の順序を選択できます。このポリシー設定が無効または未構成の場合、Windows はファイルの種類よりもファイル ハンドラを優先する、既定の信頼ロジックを使用します。
[添付ファイルの信頼ロジック] で設定可能な値は、次のとおりです。
有効 (オプションは以下のとおり)
ファイル ハンドラと種類を参照 : このオプションをオンにすると、ファイルのハンドラ データと種類のデータのうち、制限の厳しい方が使用されます。
ファイル ハンドラを優先 : このオプションをオンにすると、ファイルの種類に関わりなく、常にファイル ハンドラ (notepad.exe など) が信頼されます。
ファイルの種類を優先 : このオプションをオンにすると、ファイル ハンドラに関わりなく、常にファイルの種類が信頼されます。
無効
未構成
脆弱性
攻撃者が特定のファイル ハンドラの脆弱性を攻撃するファイルを作成する可能性があります。
対策
[添付ファイルの信頼ロジック] 設定を [有効 : ファイル ハンドラと種類を参照] にします。
考えられる影響
ファイルのハンドラと種類の両方を使用して [添付ファイルの信頼ロジック] 設定を構成する場合、Windows では、常に制限の最も厳しいスコープを使用して添付ファイルのセキュリティを判断しようとするため、より多くの添付ファイルのセキュリティに関するプロンプトがユーザーに表示されます。
ゾーン情報を添付ファイルに保存しない
このポリシー設定では、Windows で添付ファイルに送信元のゾーン情報 (制限付き、インターネット、イントラネット、ローカル) をマークするかどうかを管理できます。この設定が正しく機能するには NTFS が必要で、FAT32 ファイル システムでは通知もなく失敗します。ゾーン情報が保存されなければ、Windows は適切なリスク評価ができません。このポリシー設定を有効にすると、添付ファイルにゾーン情報はマークされません。このポリシー設定が無効または未設定の場合、添付ファイルにゾーン情報がマークされます。
[ゾーン情報を添付ファイルに保存しない] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
インターネット サイト ゾーンまたは制限付きサイト ゾーンのコンピュータからダウンロードされたファイルは、イントラネット ファイル共有のように安全と思える場所に移動され、疑いを持たないユーザーによって実行される場合があります。
対策
[添付ファイルにゾーン情報を保持しない] 設定を [有効] にします。
考えられる影響
なし。
ゾーン情報を削除する方法を非表示にする
このポリシー設定では、ユーザーが保存された添付ファイルから手動でゾーン情報を削除できるかどうかを管理できます。通常、ユーザーはファイルの [プロパティ] シートの [ブロックの解除] ボタンをクリックするか、または [セキュリティの警告] ダイアログのチェック ボックスを使用して、ゾーン情報を削除できます。ユーザーがゾーン情報が削除できる場合、以前にブロックされた潜在的に危険な添付ファイルを開いてしまう可能性があります。このポリシー設定を有効にすると、チェック ボックスと [ブロックの解除] ボタンが非表示になります。このポリシー設定が無効または未構成の場合、チェック ボックスと [ブロックの解除] ボタンは表示されます。
[ゾーン情報を削除する方法を非表示にする] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ファイルが信頼できない場所から取得されたことを示す情報を、ユーザーが削除する可能性があります。
対策
[ゾーン情報を削除する方法を非表示にする] 設定を [有効] にします。
考えられる影響
正当な理由でファイルからゾーン情報を削除する必要のあるユーザーが、ゾーン情報を削除できません。
添付ファイルを開くとき、ウイルス対策プログラムに通知する
このポリシー設定では、添付ファイルを開くときに、登録されたウイルス対策プログラムに通知する方法を管理できます。複数のプログラムが登録されている場合、それらすべてのプログラムが通知を受け取ります。添付ファイルがコンピュータの電子メール サーバーに届いたときに、登録されたウイルス対策プログラムによってオンアクセス チェックまたはファイルのスキャンが実行されている場合は、追加の呼び出しは冗長です。このポリシー設定を有効にすると、登録されたウイルス対策プログラムが呼び出されて、ユーザーが開く添付ファイルがスキャンされます。ウイルス対策プログラムがエラーになると、添付ファイルはブロックされて開くことができません。このポリシー設定が無効または未構成の場合、添付ファイルを開くとき、登録されたウイルス対策プログラムは呼び出されません。
[添付ファイルを開くとき、ウイルス対策プログラムに通知する] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
オンアクセス チェックを実行しないウイルス対策プログラムは、ダウンロードされたファイルをスキャンできない場合があります。
対策
[添付ファイルを開くとき、ウイルス対策プログラムに通知する] 設定を [有効] にします。
考えられる影響
[添付ファイルを開くとき、ウイルス対策プログラムに通知する] 設定が [有効] の場合、ユーザーが開こうとする、ダウンロードされたファイルまたは電子メールの添付ファイルがすべてスキャンされます。
エクスプローラ
エクスプローラは、Windows XP Professional を実行しているクライアントでファイル システム間を移動するためのものです。
エクスプローラの所定のユーザー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
ユーザーの構成\管理用テンプレート\Windows コンポーネント\ エクスプローラ
CD 焼き付け機能を削除する
このポリシー設定は、Windows XP のビルトインの CD 焼き付け機能を削除します。Windows XP では、コンピュータに CD 書き込みデバイスが接続されている場合、再書き込み可能な CD を作成または修正できます。この機能は、大容量のデータをハード ドライブから CD にコピーする場合に使用できます。CD は、その後コンピュータから取り出すことができます。
注 : このポリシー設定を有効にしても、サードパーティ製アプリケーションを使用すれば、CD 書き込みデバイスで CD を作成および修正できます。サードパーティ製アプリケーションを使用しても CD を作成および修正できないようにするには、ソフトウェアの制限ポリシーを使用することをお勧めします。詳細については、「第 6 章 Windows XP クライアントのソフトウェア制限ポリシー」を参照してください。
CD の焼き付け機能をユーザーには使用できないようにする別の方法として、ユーザー環境のクライアント コンピュータから CD 書き込みデバイスを取り外して CD-ROM ドライブに交換するか、または CD デバイスをすべて取り外します。
脆弱性
ビルトインの CD 焼き付け機能は、コンピュータまたはネットワークに常駐する情報を密かにコピーするのに使用される可能性があります。
対策
[CD 焼き付け機能を削除する] 設定を [有効] にします。
考えられる影響
[CD 焼き付け機能を削除する] 設定を [有効] にすると、サードパーティのアプリケーションを使わなければ CD の焼き付けができません。
[セキュリティ] タブを削除する
このポリシー設定では、エクスプローラのファイルまたはフォルダのプロパティ ダイアログ ボックスに [セキュリティ] タブが表示されないようにします。このポリシー設定を有効にした場合、フォルダ、ファイル、ショートカット、ドライブなど、どのファイル システム オブジェクトの [プロパティ] ダイアログ ボックスを開いても、ユーザーからは [セキュリティ] タブにアクセスできません。ユーザーは [セキュリティ] タブの設定を変更することも、ユーザーの一覧を参照することもできません。
脆弱性
ユーザーは、[セキュリティ] タブにアクセスして、任意のファイル システム オブジェクトにアクセス許可が与えられているアカウントを判断することができます。攻撃者は、それらのアカウントを攻撃対象にして、より上位のアクセス許可を得ようとする可能性があります。
対策
[[セキュリティ] タブを削除する] 設定を [有効] にします。
考えられる影響
[[セキュリティ] タブを削除する] 設定を [有効] にすると、ユーザーはエクスプローラを使用してファイル システム オブジェクトの [セキュリティ] タブを表示したり、権限を参照したり、アクセス許可を変更したりできません。
システム
システムの所定のユーザー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
ユーザーの構成\管理用テンプレート\システム
レジストリ編集ツールへアクセスできないようにする
このポリシー設定は、Windows レジストリ エディタの Regedit.exe と Regedt32.exe を無効にします。このポリシー設定を有効にすると、ユーザーがレジストリ エディタを起動しようとすると、どちらのエディタも使用できないというメッセージが表示されます。このポリシー設定を有効にすると、ユーザーも侵入者もこれらのツールを使用してレジストリにアクセスすることはできなくなりますが、レジストリ自体にはアクセスできます。
脆弱性
ユーザーが、レジストリ編集ツールを使用してその他の制限やポリシーを回避しようとする可能性があります。この方法では、グループ ポリシーによって適用された設定の多くを回避することはできませんが、レジストリに直接適用された設定は変更できます。
対策
[レジストリ編集ツールへアクセスできないようにする] 設定を [有効] にします。
考えられる影響
[レジストリ編集ツールへアクセスできないようにする] 設定を [有効] にすると、ユーザーは Regedit.exe または Regedt32.exe を起動してレジストリを変更することができません。
システム\電源の管理
[システム\電源の管理] のユーザー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
ユーザーの構成\管理用テンプレート\システム\電源の管理
休止状態やサスペンドが解除されたときにパスワードの入力を求める
このポリシー設定では、環境内のクライアント コンピュータが休止状態やサスペンド状態から再開するときに、ロックされるように構成できます。この設定を有効にすると、クライアント コンピュータはサスペンドや休止状態から再開するときにロックされ、ユーザーはパスワードを入力してロック解除する必要があります。この設定が無効または未構成の場合、休止状態から戻ったクライアント コンピュータに誰でもアクセスできるため、重大なセキュリティの侵害につながる可能性があります。
スクリーン セーバーの設定
スクリーン セーバーは、本来は陰極線を使用するコンピュータ モニタの焼き付けを防ぐために開発されました。それ以来、コンピュータの仮想デスクトップの表示や動作をカスタマイズの手段へと進化してきました。また、スクリーン セーバーは、デスクトップを自動的にロックするタイプの出現により、ユーザーがコンソールをロックするのを忘れても、コンピュータから離れたエンドユーザーのコンピュータを保護してくれる便利な手段となり、セキュリティ ツールにもなりつつあります。
スクリーン セーバーの所定の設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
ユーザーの構成\管理用テンプレート\コントロール パネル\画面
[スクリーン セーバー] タブを非表示にする
このポリシー設定は、ユーザーがコンピュータのスクリーン セーバーを追加、構成、または変更できるかどうかを決定します。
このポリシー設定を有効にすると、コントロール パネルの [画面] から [スクリーン セーバー] タブが削除され、スクリーン セーバーの設定を変更することはできません。このポリシー設定が無効または未構成の場合、ユーザーはこのタブにアクセスできます。
[[スクリーン セーバー] タブを非表示にする] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
ユーザーが、スクリーン セーバーの設定を変更して、パスワードを削除したり、スクリーン セーバーがコンピュータをロックするまでの時間を長くしたりする可能性があります。
対策
[[スクリーン セーバー] タブを非表示にする] 設定を [有効] にします。
考えられる影響
ユーザーは、スクリーン セーバーの設定を変更することができません。
スクリーン セーバーパスワードで保護する
このポリシー設定は、コンピュータで使用するスクリーン セーバーをパスワードで保護するかどうかを決定します。
このポリシー設定を有効にすると、すべてのスクリーン セーバーはパスワードで保護されます。このポリシー設定を無効にすると、どのスクリーン セーバーもパスワードで保護できません。また、この設定は、[コントロール パネル] の [画面] ダイアログ ボックスの [スクリーン セーバー] タブの [パスワードによる保護] チェック ボックスを無効にします。これにより、ユーザーがパスワード保護の設定を変更できないようにすることもできます。
この設定が未構成の場合、ユーザーはコンピュータの各スクリーン セーバーのパスワード保護を設定するかどうかを選択できます。コンピュータが確実にパスワードで保護されるように、このガイドでは、[スクリーン セーバー] 設定を有効にし、[スクリーン セーバー タイムアウト] 設定を使用してタイムアウトを指定することをお勧めします。
[スクリーン セーバーパスワードで保護する] で設定可能な値は、次のとおりです。
有効
無効
未構成
注 : [スクリーン セーバー] タブを削除するには、[[スクリーン セーバー] タブを非表示にする] 設定を使用します。
脆弱性
スクリーン セーバーがパスワードで保護されていない場合、ユーザーがコンピュータを離れるときに、コンソールをロックするのを忘れる可能性があります。
対策
[スクリーン セーバーパスワードで保護する] 設定を [有効] にします。
考えられる影響
ユーザーは、スクリーン セーバーが起動した後、コンピュータのロックを解除する必要があります。
スクリーンセーバーを使用する
このポリシー設定では、デスクトップのスクリーン セーバーを有効にします。このポリシー設定を無効にすると、スクリーン セーバーは使用できません。
このポリシー設定が未構成の場合、コンピュータに影響はありません。このポリシー設定が有効の場合、次の 2 つの条件が満たされるとスクリーン セーバーが動作します。
[スクリーン セーバーの実行可能ファイル名] 設定またはクライアント コンピュータのコントロール パネルで、クライアント上の有効なスクリーンセーバー名が指定されている。
設定またはコントロール パネルで、スクリーンセーバーのタイムアウトがゼロ以外の値に設定されている。
[スクリーンセーバーを使用する] で設定可能な値は、次のとおりです。
有効
無効
未構成
脆弱性
既に説明したスクリーンセーバーのロック機能を使用するには、このポリシー設定を有効にしておく必要があります。
対策
[スクリーンセーバーを使用する] 設定を [有効] にします。
考えられる影響
このポリシー設定は、環境内のユーザーのコンピュータのスクリーン セーバーを有効にします。
スクリーン セーバーの実行可能ファイル名
このポリシー設定は、ユーザーのデスクトップに表示されるスクリーンセーバーを指定します。このポリシー設定を有効にすると、ユーザーのデスクトップに指定のスクリーン セーバーが表示されるようになり、[コントロール パネル] の [画面] ダイアログ ボックスの [スクリーン セーバー] タブにあるスクリーン セーバーのドロップダウン リスト ボックスが無効になり、ユーザーによる変更を防ぎます。このポリシー設定が無効または未構成の場合、ユーザーはスクリーン セーバーを選択できます。
[スクリーン セーバーの実行可能ファイル名] 設定を有効にするには
スクリーン セーバーが含まれているファイルの名前を入力します。.scr ファイル名拡張子も含めます。
スクリーン セーバーが %Systemroot%\System32 フォルダにない場合は、ファイルに完全修飾されたパスを入力します。
指定されたスクリーン セーバーが、この設定を適用するコンピュータにインストールされていない場合、設定は無視されます。
[スクリーン セーバーの実行可能ファイル名] で設定可能な値は、次のとおりです。
有効 (この値を指定した場合は、スクリーン セーバーの実行可能ファイル名を入力します)
無効
未構成
注 : このポリシー設定より [スクリーンセーバーを使用する] 設定が優先されることがあります。[スクリーンセーバーを使用する] 設定を無効にすると、スクリーン セーバーの実行可能ファイル名の設定が無視され、スクリーン セーバーは実行されません。
脆弱性
スクリーンセーバーのロック機能を有効にするには、有効なスクリーン セーバー実行可能ファイル名が指定されている必要があります。
対策
[スクリーン セーバーの実行可能ファイル名] 設定に空のスクリーン セーバー scrnsave.scr、または他のスクリーン セーバー実行可能ファイル名を指定します。
考えられる影響
スクリーン セーバーのタイムアウトに達すると、空のスクリーン セーバーまたは指定されているスクリーン セーバーが実行されます。
スクリーン セーバーのタイムアウト
このポリシー設定は、スクリーン セーバーが起動するまで待機するアイドル時間を指定します。この設定を構成する際、アイドル時間には最小 1 秒から最大 86,400 秒 (24 時間) までの間の値を設定できます。この設定を 0 に構成した場合、スクリーン セーバーは起動しません。
このポリシー設定は、次のような状況では無効になります。
設定が [無効] または [未構成] である。
待機時間が 0 に設定されている。
[スクリーン セーバーを使用しない] 設定が有効である。
[スクリーン セーバーの実行可能ファイル名] 設定にも、クライアント コンピュータの [画面のプロパティ] ダイアログ ボックスの [スクリーン セーバー] タブでも、クライアント コンピュータ上の有効な既存のスクリーンセーバー名が指定されていない。
未構成の場合、クライアントの [画面のプロパティ] ダイアログ ボックスの [スクリーン セーバー] タブで設定されているタイムアウトが使用されます。既定値は、15 分です。
[スクリーン セーバー タイムアウト] で設定可能な値は、次のとおりです。
有効 (スクリーン セーバーのタイムアウトの秒数を 1 ~ 86,400 の範囲で指定します)
無効
未構成
脆弱性
スクリーンセーバーのロック機能を有効にするには、有効なスクリーン セーバーのタイムアウトを指定する必要があります。
対策
[スクリーン セーバー タイムアウト] 設定に、組織のセキュリティ要件に適した値を設定します。
考えられる影響
アクティブでなくなってから一定の時間後にスクリーン セーバーが実行されます。
関連情報
次のリンクは、Windows XP Professional と Windows Server 2003 の管理用テンプレートに関する追加情報を提供しています。
Windows XP と Windows Server 2003 で使用できる管理用テンプレートのグループ ポリシー設定の完全な一覧については、次のサイトから「Group Policy Settings Reference for Windows Server 2003 with Service Pack 1」スプレッドシート (英語情報) をダウンロードしてください。
www.microsoft.com/downloads/details.aspx?FamilyId= 7821C32F-DA15-438 D- 8E48- 45915CD2BC14
.adm ファイルの場所に関する詳細については、https://support.microsoft.com/?scid=228460 のサポート技術情報の記事「Location of ADM (Administrative Template) Files in Windows」(英語情報) を参照してください。
Windows でカスタム管理用テンプレート ファイルを作成する方法の詳細については、https://support.microsoft.com/?scid=323639 のサポート技術情報の記事「Windows 2000 でカスタム管理用テンプレートを作成する方法」を参照してください。
独自の管理用テンプレートの作成方法については、次のサイトの「Implementing Registry–Based Group Policy」ホワイト ペーパー (英語情報) を参照してください。
エラー報告の詳細については、https://www.microsoft.com/resources/satech/cer/ の「Corporate Error Reporting」(英語情報) を参照してください。
Windows Server 更新サービス (WSUS) についての一般的な情報については、次のサイトの「Windows Server Update Services 製品概要」を参照してください。
www.microsoft.com/japan/windowsserversystem/updateservices/evaluation/overview.mspx
WSUS を展開する方法の詳細については、次のサイトの「Microsoft Windows Server Update Services 展開ガイド」を参照してください。
https://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/library/wsus/ wsusdeploymentguidetc/ace052df-74e7-4d6a-b5d4-f7911bb06b40.mspx?mfr=true
グループ ポリシー管理の詳細については、次のサイト「グループ ポリシー管理コンソールによる企業システムの管理」 を参照してください。
https://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx
次のサイト「Office 2003 Security」(英語情報) には、Office 2003 でのセキュリティの設定および機能の使用方法について説明する記事へのリンクがあります。
https://office.microsoft.com/en-us/assistance/HA011403061033.aspx
次のサイトからダウンロードできる「Microsoft Office 2003 SP1 ADM、OPA、および説明文の更新プログラム」には、Office グループ ポリシー管理用テンプレート ファイルと、使用できるすべての設定を要約したスプレッドシートが含まれています。
次のサイトからダウンロードできる「Office 2003 Editions Resource Kit Tools」には、「Office 2003 Policy Template Files and Deployment Planning Tools」と、その他の Office 2003 の展開および管理に便利なツールが含まれています。
2 部構成の MSDN 記事「Browsing the Web and Reading E-mail Safely as an Administrator」(英語情報) では、管理者権限を持つアカウントでコンピュータにログオンしたときに、Web ブラウザとメール クライアントを低い権限で実行させるための構成方法について説明しています。
目次
- 概要
- 第 1 章 : 脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定
- 第 2 章 :ドメイン レベルのポリシー
- 第 3 章 :監査ポリシー
- 第 4 章 : ユーザー権
- 第 5 章 : セキュリティ オプション
- 第 6 章 : イベント ログ
- 第 7 章 : システム サービス
- 第 8 章 : ソフトウェア制限ポリシー
- 第 9 章 :Windows XP と Windows Server 2003 の管理用テンプレート
- 第 10 章 :追加のレジストリ エントリ
- 第 11 章 :追加の対策
- 第 12 章 :結論
- 謝辞