[Management] | |||||||||||
業務に不要なプログラムの実行をグループ・ポリシーで禁止する
|
|||||||||||
|
解説 |
企業内LANは通常ファイアウォールに守られたLANだが、あくまで外部からの攻撃を遮断しているに過ぎず、ウイルスやワームがLAN内部で動き始めてしまうと、被害を食い止める方法が限られてしまう。最近では、WinnyのようなP2Pソフトウェアの公開フォルダ(ファイル)に自身をコピーして増殖しようとするAntinnyタイプのワームが出てきている。もちろん、LANに接続しているマシンそれぞれで感染対策を行うことは有効な予防処置だが、それ以前にP2Pソフトウェアなど、業務にとうてい必要とは思えないプログラムの実行を禁止するのも効果的な予防策だ。
WinnyやWinMXのように、業務マシンで動いてほしくないソフトウェアの実行を抑止するだけではない。パターン・ファイルが更新される前に、添付されてきたウイルスの実行ファイル名などを実行禁止プログラムとして設定することにより、管理対象のシステムの防御力を上げることができる。
Windows XP/Server 2003には、グループ・ポリシーに「ソフトウェアの制限のポリシー」という機能が追加されており、これを組織単位(OU)に対して適用することにより、自社の管理ポリシーから判断して不適格であるソフトウェアの実行を、組織的に禁止することが可能となっている。制限は、プログラム名(パス)、プログラムのMD5/SHA-1ダイジェスト値(ハッシュ)、証明書、インターネット・ゾーンで指定でき、実行形式以外のスクリプト・ファイルの実行も禁止できる。
操作方法 |
グループ・ポリシーの[ソフトウェアの制限のポリシー]を設定すると、不要なソフトウェアの実行を禁止できる。ここでは例として、winny.exe(Winnyの実行ファイル本体)のファイル名を指定して実行を禁止する方法を紹介する。
まず、[管理ツール]−[Active Directory ユーザーとコンピュータ]でグループ・ポリシーを適用したい組織単位(OU)のプロパティを開き、グループ・ポリシー・エディタを起動する。
グループ・ポリシー・エディタでソフトウェア制限のポリシーを選択する | |||
[スタート]−[ファイル名を指定して実行]で表示されるダイアログに「gpedit.msc」と入力して、グループ・ポリシー・エディタを起動する。左ペインのツリーで、[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]−[ソフトウェア制限のポリシー]とたどる。 | |||
|
次に、ソフトウェアの制限のポリシーに新規のポリシーを追加する。
新規ポリシーを追加する | |||||||||
実行を禁止したいプログラム用のポリシーを追加する。デフォルトでは画面のように、ポリシーが何も定義されていない状態である。 | |||||||||
|
右ペインに表示された新しいポリシーに規則を追加する。追加できる規則は(1)証明書、(2)ハッシュ、(3)インターネット・ゾーン、(4)パス――の4種である。ここではファイル名でWinnyの起動をブロックするので、(4)パスを選択する。
新しいパスの規則として、Winnyのファイル名を指定する。Winnyの実行ファイルはwinny.exeがデフォルトだが、ユーザーによっては複数バージョン利用していたり、新しいバージョンへの移行していたりする可能性がある。たいていはwinny2.exeといったファイル名にリネームしていると想定できるので、ここではワイルドカードを用いてファイル名を指定する。
実行を禁止するプログラムのファイル名を指定する | |||||||||
[新しいパスの規則]ダイアログが開くので、実行を禁止したいプログラムやスクリプトのファイル名を指定する。 | |||||||||
|
ポリシーを設定し終えると、winny.exeやwinny2.exeの動作を禁止できる。起動が抑止されている場合は、実行しようとすると、以下のようなダイアログが表示される。
Winny.exeの実行が抑止されたダイアログ |
プログラムやスクリプトの実行が抑止されると、ポリシーにより禁止されている旨がダイアログで表示される。 |
メール添付されたプログラムを直接実行できないようにポリシーを作成する方法については、
を参照してほしい。
万一ログオンできなくなったら
ワイルドカードなどの指定を間違えて、例えばOSを構成する重要なファイルやサービスの実行までも禁止してしまうと、システムにログオンできなくなってしまう可能性がある。その場合には、ソフトウェアの制限のポリシーがセーフモードでは適用されないことを利用して、Windows OSをセーフモードで起動し、システム起動後、ローカルAdministratorsに属するアカウントでログオンしてポリシーを修正すればよい。
関連記事 | ||
添付ファイルの自動実行を抑止する(Security&Trustフォーラム) | ||
関連リンク | ||
Windows XP セキュリティ ガイド(マイクロソフト) | ||
[HOWTO] Windows Server 2003 でソフトウェアの制限のポリシーを使用する方法(MSKB 324036) | ||
この記事と関連性の高い別の記事
- グループ・ポリシーでWinnyの実行を禁止する(TIPS)
- Windows 7のAppLockerで特定のプログラムを実行禁止にする(TIPS)
- Windowsで起動時に自動実行される不要なプログラムを「見つける」方法(TIPS)
- グループ・ポリシーでネットワーク接続のプロパティを開けないようにする(TIPS)
- 共有フォルダのショートカット アイコンを[マイ ネットワーク]に追加しないようにする方法(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|