[System Environment] | |||||||||||||
Windows Server 2003のIEのセキュリティ設定を緩和させる
|
|||||||||||||
|
解説 |
Windows Server 2003では、インターネット・アクセスに関するセキュリティを強化するため、「Internet Explorerセキュリティ強化の構成」という機能が新たに導入された。これはInternet Explorer(以下IE)のセキュリティ設定をより強化し(よりセキュアにし)、不用意なWebアクセスによってシステムにダメージを与えたり、情報漏えいなどの事態を招いたりしないようにするためのものである。具体的には、IEのゾーンごとのセキュリティ・レベルの変更を制限し、例えば「インターネット・ゾーン」のセキュリティのレベル設定を「高」から「中」や「低」に変更できないようにする機能である。IEのゾーンやセキュリティ・レベル機能の詳細については、関連記事のTIPSを参照していただきたい。
|
この機能はWindows Server 2003のインストール直後はデフォルトで有効になっており、IEを起動すると次のようなダイアログが表示され、機能が有効になっていることが分かる。
この状態で、ゾーンごとのセキュリティ・レベルを変更(緩和)しようとすると、警告メッセージが表示される。例えば以下は、管理者アカウントでログオンして、インターネット・ゾーンのセキュリティ・レベル設定を下げようとしたところであるが、警告のダイアログ・メッセージが表示されている。
ゾーンのセキュリティ・レベルを変更(緩和)しようとしたところ。 | ||||||||||||
これはWindows Server 2003 Service Pack 1(SP1)のIEで、インターネット・ゾーンのデフォルト・セキュリティ・レベルを変更(緩和)しようとしたところ。このようなダイアログが表示され、緩和できない。 | ||||||||||||
|
Windows Server 2003のService Pack 1未適用版では、このダイアログが表示されても、それを無視してレベルを変更することは可能であるが、SP1ではさらにセキュリティが強化され、レベルを変更することができなくなっている。また、一般ユーザー・アカウントでログオンしている場合は、この変更操作そのものも禁止される(セキュリティ・レベルのスライド・バーを動かすことができない)。ユーザー・アカウントごとに可能な操作をまとめると次のようになる。
操作 | 操作が実行できるかどうか | |||
グループ | Administrators | Power Users | Limited Users | Restricted Users |
IEセキュリティ強化の構成の有効/無効の切り替え |
○
|
×
|
×
|
×
|
ゾーンごとのセキュリティ・レベルの変更(緩和) |
○
|
○
|
×
|
×
|
信頼済みサイト・ゾーンへのサイトの追加 |
○
|
○
|
○
|
○
|
ローカル・イントラネット・ゾーンへのサイトの追加 |
○
|
○
|
○
|
○
|
「Internet Explorerセキュリティ強化の構成」有効時に可能な操作 | ||||
この機能が有効になっていると、ログオンしているアカウントごとに、IEで可能な操作に制限が加えられる(○=操作可能、×=操作不能)。 |
インターネット・ゾーンのデフォルトの「高」レベルでは、ActiveXやスクリプトの実行、ファイルのダウンロードなどが禁止されるため、例えばプログラムやパッチをダウンロードしてインストールするという操作すらできなくなっている。そのため、一般のWebサイトの閲覧などはサーバ上では実行できない(もしくは著しく制限される)ことになるが、そのような操作はサーバ上では実行しないのが望ましいとされている。IEの使用はイントラネット・サイトや信頼済みのサイトの閲覧のみに限定し(デフォルトではMicrosoft社のサイトやWindows Updateのサイトのみが信頼済みサイトに登録されている)、もしパッチのダウンロードなどが必要ならクライアント・コンピュータ上で行うことが推奨されている。詳細については、IE起動時に表示されるダイアログのヘルプを見るか、以下のドキュメントなどを参照していただきたい。
だが、これでは制限がきつく、使いづらい場合もあるだろう。そのような場合の解決方法としては、次の2つの方法が推奨されている。1つは、アクセスしたいサイトを信頼済みサイトとして登録して利用する方法である。もちろん一般のサイトを登録するのではなく、サーバ管理業務に必要な、必要最小限のサイトのみを手動で登録するのである。ゾーンの設定画面で「信頼済みサイト」を選択すると、サイトを追加するボタン([サイト]ボタン)が表示されるので、それをクリックしてサイト(アクセス先ドメインの名前)を追加すればよい。具体的な方法については先のWindows TIPSなどを参照していただきたい。
Windows Server 2003のIEのセキュリティ設定を緩和するもう1つの方法は、この機能そのものを無効化してしまう方法である。これにより、従来のWindows XPやWindows 2000と同等のセキュリティ設定になり、ユーザーがゾーンごとのセキュリティ・レベルを変更することが可能となる。以下では、この方法について解説する。
操作方法 |
「Internet Explorerセキュリティ強化の構成」を無効化する
「Internet Explorerセキュリティ強化の構成」機能を無効化するには、まず管理者権限のあるアカウントでログオンし、[プログラム]−[コントロール パネル]の[プログラムの追加と削除]を実行する。そしてウィンドウの左側にあるボタンから[Windows コンポーネントの追加と削除]をクリックして、[Windows コンポーネント ウィザード]を起動する。
[Internet Explorer セキュリティ強化の構成]の無効化 | ||||||
この機能を無効にするには、[コントロール パネル]の[プログラムの追加と削除]で[Windows コンポーネントの追加と削除]をクリックし、[Windows コンポーネント ウィザード]を起動する。 | ||||||
|
デフォルトでは、上から2つ目に[Internet Explorer セキュリティ強化の構成]という項目があるので、このチェック・ボックスをオフにして[次へ]をクリックし、操作を完了すればよい。
以上の操作で無効化作業は完了であるが、例えば、一般ユーザーに対してはこの機能を有効にしておき、管理者にだけ無効にする(制限を緩和する)には、上の画面にある[詳細]ボタンをクリックする。すると次のようなダイアログ・ボックスが表示される。
アカウント・グループごとの設定 | ||||||
管理者グループと一般ユーザーとで[Internet Explorer セキュリティ強化の構成]の有効/無効を分けたい場合は、それぞれ個別に設定することができる。 | ||||||
|
この画面において、無効にしたい方のチェック・ボックスだけをオフにすればよい(デフォルトは両方ともオン)。通常は、管理者(AdministratorsとPower Users)の制限を緩和し、一般ユーザー(Limited UsersとRestricted Users)に対してはこの機能を有効のままにしておくのがよいだろう。
関連リンク | ||
Internet Explorer セキュリティ強化の構成による Internet Explorer のユーザー操作の変更(マイクロソフト サポート技術情報) | ||
Managing Internet Explorer Enhanced Security Configuration[英文](マイクロソフト) | ||
この記事と関連性の高い別の記事
- IEのセキュリティ設定を変更してセキュリティ機能を強化する(1)(TIPS)
- IEのゾーン設定情報を移行・バックアップする(TIPS)
- Windows Server 2008のInternet Explorerのセキュリティ設定を緩和させる(TIPS)
- IE9でゾーン情報を確認する(TIPS)
- Windows XPで変わったユーザー/コンピュータ/グループの選択方法(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|