Windows Server 2008のInternet Explorerのセキュリティ設定を緩和させる:Tech TIPS
Windows Server 2008のInternet Explorerでは、「Internet Explorerセキュリティ強化の構成」という機能が導入され、有効化されている。この機能が有効になっていると、スクリプトの実行やダウンロードなどが禁止され、サーバーシステムのセキュリティが向上する。だがこのままではインターネットアクセスが制限され、使いづらいことがある。この設定を緩和するには、サーバーマネージャーでIE ESCの構成を変更する。
対象OS:Windows Server 2008
解説
Windows Server 2003やWindows Server 2008には、「Internet Explorerセキュリティ強化の構成(Internet Explorer Enhanced Security Configuration:IE ESC)」という機能が用意されている。Webサーバーやアプリケーションサーバーとして利用しているWindows Serverコンピューターが、Webコンテンツやスクリプトなどを介して攻撃されたり、システムを乗っ取られたりしないようにするための機能である。
- Internet Explorer セキュリティ強化の構成による Internet Explorer のユーザー操作の変更(マイクロソフト サポート技術情報)
この機能が有効になっていると(デフォルトで有効になっている)、例えばInternet Explorerを起動したときに次のような画面が表示されるし、ステータスバーにIE ESCのアイコンが表示される。
Internet Explorerセキュリティ強化の構成が有効な場合の起動画面
Internet Explorerセキュリティ強化の構成(IE ESC)が有効になっている場合、Internet Explorerを起動するとこのような画面が表示され(デフォルトのホームページを変更していない場合)、IE ESCが有効であることが分かる。
(1)IE ESCが有効な場合のメッセージ。
(2)IE ESCの解説。
(3)IE ESCが有効な場合は、このようなアイコンが表示される。
この機能が有効な場合は、Webブラウザーによるインターネットアクセスなどに制限が加えられる。例えばActiveXコントロールやスクリプトなどが実行されなくなるし、マルチメディアコンテンツが再生されなくなったり、ファイルのダウンロードなどが行えなくなったりする(詳細は先のサポート技術情報参照)。
サーバーシステムのセキュリティを確保するためにはこの機能は有用であるが、場合によっては不便であり、一時的に機能を停止したい場合もあるだろう。例えばServer OSをインストールした後、不足しているデバイスドライバーやアプリケーションのパッチなどをインターネットからダウンロードしようとしても、IE ESCによってブロックされてしまう。サイトによってはJavaScriptなどを多用しているが、IE ESCが有効だとスクリプトを使って記述されたポップアップメニューなどが実行、選択できず、目的の場所(ダウンロードセンターなど)へ移動できなくなったりする。
IE ESCはWindows Server 2003で導入された機能であるが、この機能をオン/オフする方法は異なっている。本TIPSではWindows Server 2008におけるIE ESC機能の有効化/無効化について解説する。Windows Server 2003での操作方法やIE ESC機能の概要についてはTIPS「Windows Server 2003のIEのセキュリティ設定を緩和させる」を参照していただきたい。
操作方法
Windows Server 2008におけるIE ESC機能の制御方法は(Windows Server 2003の場合よりも)簡単であり、サーバーマネージャーから操作できるようになっている。サーバーマネージャーを起動し(デフォルトではログオン時に表示されるようになっている。[管理ツール]−[サーバー マネージャー]でも起動可能)、[サーバーの概要]グループの下にある[セキュリティ情報]部分に注目する。この右側に[IE ESCの構成]というボタンがあるので、これをクリックする。
IE ESCの設定を変更する
IE ESCの設定を変更するには、サーバーマネージャーを使う。
(1)サーバーマネージャーを起動後、ツリーのトップを選択してサーバーの概要を表示させる。
(2)サーバーの概要グループには、現在のサーバーの名前や状態などが表示される。
(3)セキュリティ情報グループに注目する。
(4)これが現在のIE ESCの設定内容。IE ESCは管理者と一般のユーザーのそれぞれに対して個別に設定できる。デフォルトではどちらもIE ESCが有効となっている。
(5)IE ESCの設定を変更するには、これをクリックする。
上の画面にある[IE ESCの構成]ボタンをクリックすると、次のようなダイアログが表示される。これが現在のIE ESCの設定の内容である。画面から分かるように、IE ESCは管理者と一般のユーザーのそれぞれに対して個別に設定できる。
IE ESCの設定の変更
(1)管理者(Administratorsグループ)に対してIE ESCを有効にする。デフォルトではこちらが選択されている。
(2)これを選択すると、管理者に対してIE ESCが無効になる。セキュリティを確保したければ、Webブラウザーのセキュリティを各ゾーンごとに適切に設定する必要がある。
(3)ユーザーに対するIE ESCの設定。
デフォルトでは管理者とユーザー(非管理者)の両方に対し、どちらもIE ESCが有効となっている。例えば管理者向けの制限を緩和させたければ、[管理者]の側の設定を[オン]から[オフ]に変更し、[適用]ボタンをクリックする。
IE ESCが無効になると、Webブラウザーの起動画面は次のようになる。
IE ESCが無効な場合の起動画面
IE ESCが有効になっている場合、Internet Explorerを起動するとこのような画面が表示され、IE ESCが無効であることが分かる。
(1)IE ESCが無効な場合のメッセージ。
(2)IE ESCを有効にするための設定手順。
(3)IE ESCが無効な場合は、ここにIE ESCのアイコンは表示されない。
なおIE ESCを無効にしたからといって、Internet Explorerの全ての制限が緩和されるわけではない。接続するネットワーク(ゾーン)に応じて、スクリプトの実行やダウンロードの許可などのセキュリティポリシーを適切に設定/変更する必要がある(TIPS「IEのセキュリティ設定を変更してセキュリティ機能を強化する」参照)。またサーバーシステムのセキュリティのため、インターネットへのアクセスやダウンロードなどの作業が終わったら、元のIE ESC設定に戻しておくのが望ましい。
■この記事と関連性の高い別の記事
- Windows Server 2003のIEのセキュリティ設定を緩和させる(TIPS)
- 古いInternet Explorerは2016年1月にサポート終了! その対策は?(TIPS)
- Windows OSにインストールされているInternet Explorerのバージョンを確認する(TIPS)
- Webページの仕事妨害攻撃に対処する方法(TIPS)
- IEのセキュリティ設定を変更してセキュリティ機能を強化する(1)(TIPS)
Copyright© Digital Advantage Corp. All Rights Reserved.