Windows TIPS
[Management]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

業務に不要なプログラムの実行をグループ・ポリシーで禁止する

解説をスキップして操作方法を読む

畑中 哲
2005/10/29
 
対象OS
Windows XP
Windows Server 2003
ファイル交換やゲーム・ソフトウェアなど、業務に必要のないプログラムやスクリプトの実行を禁止したいことがある。
Active Directoryのグループ・ポリシー機能を利用すると、指定したプログラム・ファイルの実行を組織的に禁止できる。
 
解説

 企業内LANは通常ファイアウォールに守られたLANだが、あくまで外部からの攻撃を遮断しているに過ぎず、ウイルスやワームがLAN内部で動き始めてしまうと、被害を食い止める方法が限られてしまう。最近では、WinnyのようなP2Pソフトウェアの公開フォルダ(ファイル)に自身をコピーして増殖しようとするAntinnyタイプのワームが出てきている。もちろん、LANに接続しているマシンそれぞれで感染対策を行うことは有効な予防処置だが、それ以前にP2Pソフトウェアなど、業務にとうてい必要とは思えないプログラムの実行を禁止するのも効果的な予防策だ。

 WinnyやWinMXのように、業務マシンで動いてほしくないソフトウェアの実行を抑止するだけではない。パターン・ファイルが更新される前に、添付されてきたウイルスの実行ファイル名などを実行禁止プログラムとして設定することにより、管理対象のシステムの防御力を上げることができる。

 Windows XP/Server 2003には、グループ・ポリシーに「ソフトウェアの制限のポリシー」という機能が追加されており、これを組織単位(OU)に対して適用することにより、自社の管理ポリシーから判断して不適格であるソフトウェアの実行を、組織的に禁止することが可能となっている。制限は、プログラム名(パス)、プログラムのMD5/SHA-1ダイジェスト値(ハッシュ)、証明書、インターネット・ゾーンで指定でき、実行形式以外のスクリプト・ファイルの実行も禁止できる。


操作方法

 グループ・ポリシーの[ソフトウェアの制限のポリシー]を設定すると、不要なソフトウェアの実行を禁止できる。ここでは例として、winny.exe(Winnyの実行ファイル本体)のファイル名を指定して実行を禁止する方法を紹介する。

 まず、[管理ツール]−[Active Directory ユーザーとコンピュータ]でグループ・ポリシーを適用したい組織単位(OU)のプロパティを開き、グループ・ポリシー・エディタを起動する。

グループ・ポリシー・エディタでソフトウェア制限のポリシーを選択する
[スタート]−[ファイル名を指定して実行]で表示されるダイアログに「gpedit.msc」と入力して、グループ・ポリシー・エディタを起動する。左ペインのツリーで、[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]−[ソフトウェア制限のポリシー]とたどる。
  ここをクリックする。

 次に、ソフトウェアの制限のポリシーに新規のポリシーを追加する。

新規ポリシーを追加する
実行を禁止したいプログラム用のポリシーを追加する。デフォルトでは画面のように、ポリシーが何も定義されていない状態である。
  ここで右クリックする。
  [新しいソフトウェアの制限のポリシー]をクリックする。
  デフォルトでは何も規則が定義されていない。

 右ペインに表示された新しいポリシーに規則を追加する。追加できる規則は(1)証明書、(2)ハッシュ、(3)インターネット・ゾーン、(4)パス――の4種である。ここではファイル名でWinnyの起動をブロックするので、(4)パスを選択する。

追加したポリシーに規則を追加する
追加したポリシーが右ペインに表示されるので、実行を禁止するプログラムの規則を追加する。右ペインの[追加の規則]を右クリックして表示されるメニューから、プログラムを特定するための規則の種類を選択して設定する。ここでは例として、禁止するプログラムのファイル名を指定する。
  [追加の規則]を右クリックする。
  ここからプログラムを特定する規則を選択する。プログラムのファイル名を指定するには、[新しいパスの規則]を選択する。

 新しいパスの規則として、Winnyのファイル名を指定する。Winnyの実行ファイルはwinny.exeがデフォルトだが、ユーザーによっては複数バージョン利用していたり、新しいバージョンへの移行していたりする可能性がある。たいていはwinny2.exeといったファイル名にリネームしていると想定できるので、ここではワイルドカードを用いてファイル名を指定する。

実行を禁止するプログラムのファイル名を指定する
[新しいパスの規則]ダイアログが開くので、実行を禁止したいプログラムやスクリプトのファイル名を指定する。
  ここにファイル名を記述する。ワイルドカードや環境変数などが使用できる。
  ここをクリックしてファイルを選択しても、にファイル名を入力できる。
  ここをクリックする。

 ポリシーを設定し終えると、winny.exeやwinny2.exeの動作を禁止できる。起動が抑止されている場合は、実行しようとすると、以下のようなダイアログが表示される。

Winny.exeの実行が抑止されたダイアログ
プログラムやスクリプトの実行が抑止されると、ポリシーにより禁止されている旨がダイアログで表示される。

 メール添付されたプログラムを直接実行できないようにポリシーを作成する方法については、

を参照してほしい。

万一ログオンできなくなったら

 ワイルドカードなどの指定を間違えて、例えばOSを構成する重要なファイルやサービスの実行までも禁止してしまうと、システムにログオンできなくなってしまう可能性がある。その場合には、ソフトウェアの制限のポリシーがセーフモードでは適用されないことを利用して、Windows OSをセーフモードで起動し、システム起動後、ローカルAdministratorsに属するアカウントでログオンしてポリシーを修正すればよい。End of Article

関連記事
  添付ファイルの自動実行を抑止する(Security&Trustフォーラム)
     
  関連リンク
  Windows XP セキュリティ ガイド(マイクロソフト)
  [HOWTO] Windows Server 2003 でソフトウェアの制限のポリシーを使用する方法(MSKB 324036)
     
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間