Windows TIPS
[Management] |
グループ・ポリシーでWinnyの実行を禁止する
→ 解説をスキップして操作方法を読む
デジタルアドバンテージ 打越 浩幸
2006/03/18 |
|
対象OS |
Windows XP |
Windows Server 2003 |
|
|
|
■ |
Winnyによる情報漏えい時間が多発している。そのため企業ではWinnyの実行は禁止しておくのがよい。 |
■ |
グループ・ポリシーのソフトウェアの制限機能を利用すると、Winnyの実行を禁止することができる。 |
■ |
ただしこの方法はWindows XPとWindows Server 2003でしか利用できない。 |
|
|
PtoPソフトウェアのWinnyをターゲットとするAntinnyなどのウイルスやワームにより、さまざまな情報漏えい事件が起こり、連日メディアで取り上げられている。PtoPソフトウェアの機能やその存在意義はともかく、結果的には取り返しの付かない重大な問題が起こっていることを考えると、少なくとも会社レベルではその使用を全面的に禁止してもよいだろう。本来ならばWinny本体ではなく、Winnyをターゲットとするさまざまなウイルスを検出・駆除するだけでよいはずだが、Winnyそのものを実行禁止にする水際での対策も有効である。
Windows OSの機能を使ってWinnyを禁止するためには、Active Directoryのグループ・ポリシーを使う方法がある。実行ファイル(Winny.exe)をグループ・ポリシーの「ソフトウェアの制限のポリシー」に登録しておくと、指定されたプログラムの起動が禁止されるという機能である。この機能については関連記事でも取り上げているが、本TIPSでは、Winnyの実行を禁止する具体的な設定方法についてまとめておく。ただしこのポリシーはWindows XPおよびWindows Server 2003でしか利用できない方法である。
グループ・ポリシーの[ソフトウェアの制限ポリシー]を利用するためには、まずポリシーを設定したい組織単位(OU)を選択してからグループ・ポリシー・エディタを開く。そして[コンピュータの構成]の[Windowsの設定]−[セキュリティの設定]−[ソフトウェアの制限のポリシー]の下に[新しいソフトウェアの制限ポリシー]を追加する。このあたりの手順については、先に挙げた関連記事のTIPSを参考にしていただきたい。
方法1――ファイル名で実行を禁止する方法
ソフトウェアの制限ポリシーを使ってプログラムの実行を禁止するには、主に2つの方法がある。実行プログラムのファイル名を指定して禁止する方法と、実行プログラムのハッシュ値を指定して禁止する方法である。まずはパス名を指定する方法について説明する。
まず[ソフトウェアの制限のポリシー]−[追加の規則]を開き、右クリックしてポップアップ・メニューから[新しいパスの規則]を選択する。
|
ソフトウェアの制限のポリシー |
ソフトウェアの制限のポリシーを使って、Winnyの実行ファイルの起動を禁止することができる。ただしこのポリシーはWindows XPおよびWindows Server 2003でしか利用できない。 |
|
|
ここに規則を追加する。 |
|
|
実行ファイル名を指定して禁止するには、この規則を追加する。 |
|
|
デフォルトで定義されている規則。 |
|
すると次のようなダイアログが表示されるので、実行ファイルのファイル名を指定する。Winnyの実行ファイルの名前は、デフォルトではWinny.exeとなってリリースされていたようであるが、改変されたものも出回っているようなので、「Winny*.exe」というふうに、ワイルドカード指定を使うのがよい。
|
実行を禁止するファイル名の指定 |
ファイル名やパス名を指定しておくと、一致するファイルの起動が禁止される。ただしファイル名が一部変わっていると規則に一致しなくなるので、ワイルドカード文字(?や*)を使って、柔軟にマッチするように設定しておくのがよい。 |
|
|
パスの指定。ここではWinnyで始まる.exeファイルをすべて禁止している。これ以外にも、あるフォルダを指定して、その中にあるファイル全部を実行禁止にするといった指定もできる。 |
|
|
コメント。任意の説明を追加しておくことができる。 |
|
方法2――ハッシュ値で実行を禁止する方法
この方法は、ファイル名ではなく、ファイルの内容(ファイル長とバイナリ・データ値)からハッシュ値(メッセージ・ダイジェスト値)を計算し、その結果に基づいて実行禁止ファイルかどうかを判断する方法である。そのため、ファイル名をまったく別のものに変更するといった改変にも対応できるが、ファイルの内容が一部変更されたり、長さが変わったりした場合は対応できない。だがWinnyはプログラム自体が改変が容易ではない形で配布されているため、ハッシュ値での実行禁止が有効である。そのため、両方の手法を使うべきだろう。
ハッシュ値で指定するには、先の画面で、[追加の規則]のポップアップ・メニューから[新しいハッシュの規則]を選択する。すると次のようなダイアログが表示される。
|
ハッシュ値による禁止の指定 |
ファイルのハッシュ値による禁止規則を利用すると、ファイル名が変えられていても、実行を禁止することができる。両方のルールを併用するとよい。 |
|
|
ハッシュ値とファイル・サイズ、ハッシュ・アルゴリズムの数値。テキスト形式なので、コピーしてきて貼り付けてもよい。 |
|
|
実行ファイルを指定すると、自動的にハッシュ値が計算される。 |
|
|
ファイルに含まれるバージョンなどの情報。これは[参照]ボタンで自動的に設定されたもの。 |
|
|
コメント。任意。 |
|
このダイアログに値を設定するためには、Winnyの実行ファイルのサイズとハッシュ値を求める必要がある。通常は、右にある[参照]ボタンをクリックし、Winnyの実行ファイル(デフォルトではWinny.exe)を指定すればよい。すると、[ファイル ハッシュ]のフィールドに自動的に「0d53d1782fb2009f953fa68b4ff7ef2d:663040:32771」といった文字列が入力されるはずである。この文字列の意味は「ハッシュ値:ファイル・サイズ:ハッシュ・アルゴリズムID番号」である。以下に、現在一番広く利用されているWinny 2.0b7.1に対するハッシュ値の指定文字列を示しておくので、これを入力しておくとよいだろう。
[参考情報] |
Winny2b71.zipとして流通しているWinny.exe(Winny 2.0b7.1)ファイルに対するMD5ハッシュ値の指定文字列
0d53d1782fb2009f953fa68b4ff7ef2d:663040:32771 |
もし自分自身のコンピュータにWinnyの実行ファイルを導入したくない場合は、別のコンピュータ上でハッシュ値を計算して入力すればよい。以下にその方法を示しておく。
ハッシュ値の計算にはMD5かSHA-1というアルゴリズムを利用するが、そのためには、右の関連記事で紹介している「fcivユーティリティ(File Checksum Integrity Verifier utility)」を使うとよいだろう。これはマイクロソフトが提供している無償ツールで、MD5でハッシュ値を計算し、ファイルを比較するためのツールである。記事中のリンクからfcivユーティリティをダウンロードして展開、実行する。
fcivユーティリティに実行ファイルをパラメータとして与えると、MD5のハッシュ値が計算され、表示される。これは、Winny2b71.zipというZIPファイルで流通しているWinnyのバージョン(現在では、ほとんどの場合はこれが使われている)の例である。
C:\Program Files\Winny>dir Winny.exe
ドライブ C のボリューム ラベルがありません。
ボリューム シリアル番号は 2482-03F9 です
C:\Program Files\Winny のディレクトリ
2003/11/16 23:57 663,040 Winny.exe …Winnyの実行ファイルとそのサイズ
1 個のファイル 663,040 バイト
0 個のディレクトリ 26,404,978,688 バイトの空き領域
C:\Program Files\Winny>fciv Winny.exe …fcivツールの実行
//
// File Checksum Integrity Verifier version 2.05.
//
0d53d1782fb2009f953fa68b4ff7ef2d winny.exe …WinnyのMD5ハッシュ値
C:\Program Files\Winny>
|
fcivの実行結果のうち、「0d53……」の部分(32桁の16進数)がWinny.exeファイルに対するMD5ハッシュ値である(大文字/小文字は関係ない)。このハッシュ値とファイルの長さ(10進数表記)、そしてMD5ハッシュのアルゴリズム番号(10進数で32771)の3つの数字列を半角のコロン記号で接続し、「0d53d1782fb2009f953fa68b4ff7ef2d:663040:32771」という合成文字列を、さきほどのハッシュの規則のダイアログに入力する。ファイルのサイズを入力する場合は3桁ごとの区切りのカンマを入れてはいけないので、注意すること。
Winnyの実行禁止の例
以上でグループ・ポリシーの設定は終了である。Winnyを実行しようとすると、次のようなダイアログが表示され、禁止されていることが分かるだろう。
|
実行が禁止されたWinny |
規則に一致するファイルを実行しようとすると、このようにエラーとなる。 |
また、イベント・ログの[アプリケーション]にも、次のようなログが記録され、実行がブロックされたことが分かる。
|
アプリケーション・イベント・ログに記録されたログ |
実行が禁止されると、このようなログがアプリケーション・イベント・ログに記録される。 |
非Active Directory環境の場合
グループ・ポリシーが利用できない場合は(Active Directoryを導入していない場合は)、コンピュータごとにローカル・コンピュータ・ポリシーで同様の設定を行うなどの対策が必要である([ファイル名を指定して実行]で「gpedit.msc」と入力し、同様の設定を行う)。ただしこの場合でも、Windows XPやWindows Server 2003でしか、この規則は設定することはできない。
Windows Server Insider フォーラム 新着記事