Windows TIPS

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ グループ・ポリシーでタスク・マネージャの起動をブロックする → 解説をスキップして操作方法を読む デジタルアドバンテージ　小林 章彦 2007/10/19 対象OS Windows 2000 Windows XP Windows Server 2003 Windows Vista

■ ［CTRL］＋［ALT］＋［DEL］のオプションによって、簡単にタスク・マネージャが起動できる。 ■ タスク・マネージャを利用すると、アプリケーションやサービスを強制的に終了できてしまう。 ■ ユーザーによる操作を制限したい場合には、ポリシーを使って、タスク・マネージャを起動できないように設定できる。

解説

　Windowsが起動している状態で、［CTRL］＋［ALT］＋［DEL］キーを押すと、デスクトップが切り替わり、［Windowsのセキュリティ］ダイアログが立ち上がる（Windows XPで［ようこそ画面］を表示する設定では、［CTRL］＋［ALT］＋［DEL］キーでタスク・マネージャが起動する）。ここでは、ログオン情報として、ログオンしているユーザー名やログオンした日付などが確認可能だ。また、このダイアログにある［タスク マネージャ］ボタンによって、容易にタスク・マネージャを起動することもできる。

　タスク・マネージャでは、現在Windows上で実行されているタスクの状態を確認したり、強制終了させたりできる。同様にプロセスについても、確認や強制終了が可能となっている。単に状態を確認するだけならば、ユーザーに操作を許しても問題ないだろう。しかしタスク・マネージャを使うことで、タスクやプロセスが強制終了できるため、例えばウイルス対策ソフトウェアを強制終了してしまうといったことも可能だ。そのため、セキュリティ上の問題を引き起こしてしまったり、障害発生の原因になったりすることがある。

　通常のWindowsの利用において、一般のユーザーがタスク・マネージャを操作しなければならないケースは少ない。Active Directory環境ならば、グループ・ポリシー機能を使ってタスク・マネージャの起動の可否が制御可能できる。設定されたポリシーは、クライアントが起動するときや、ユーザーがシステムにログオンするときなどに適用される。

操作方法

Active Directory環境の場合

　Active Directory環境ならば、管理者権限でログオンし、適用したいActive Directoryのグループ・ポリシーを選択した上で、グループ・ポリシー管理コンソールを起動する。グループ・ポリシー管理コンソールの使い方は、「TIPS：グループ・ポリシー・エディタの使用法」を参照のこと。

　［ユーザーの構成］－［管理用テンプレート］－［システム］－［Ctrl+Alt+Delオプション］（Windows 2000の場合は、［ログオン/ログオフ］）を選択し、［タスク マネージャを削除する］（Windows 2000の場合は、［タスク マネージャを無効にする］）を「有効」にする。

グループ・ポリシー管理コンソールによる設定

グループ・ポリシーを設定することで、タスク・マネージャの起動をブロックすることができる。

［ユーザーの構成］－［管理用テンプレート］－［システム］－［Ctrl+Alt+Delオプション］（Windows 2000の場合は、［ログオン/ログオフ］）を選択する。 ［タスク マネージャを削除する］（Windows 2000の場合は、［タスク マネージャを無効にする］）をダブルクリックする。へ

［タスク マネージャを削除する］の設定画面

このポリシーを有効にすることで、タスク・マネージャを開けなくすることができる。

［有効］を選択して、［OK］ボタンをクリックする。

　このポリシーがクライアント・コンピュータで反映されると、［Windowsのセキュリティ］ダイアログの［タスク マネージャ］ボタンがグレーアウトして選択できなくなる（ポリシーの適用には、再ログオンが必要）。また［ファイル名を指定して実行］でタスク・マネージャ（taskmgr.exe）を起動しようとしても、「タスク マネージャは管理者によって使用不可にされています。」という警告ダイアログが表示され、起動できない（そのほか、［CRTL］＋［SHIFT］＋［ESC］キーなどの方法によるタスク・マネージャの起動も禁止される）。これにより、ユーザーはタスク・マネージャが起動できなくなり、タスクやプロセスの削除などが不可能になる。

ポリシー設定後の［Windowsのセキュリティ］ダイアログ

ポリシーを設定すると［タスク マネージャ］ボタンがグレーアウトして選択できなくなる。

グレーアウトした［タスク マネージャ］ボタン

ポリシー設定後にタスク・マネージャを起動した際の警告ダイアログ

ポリシーを設定後、［ファイル名を指定して実行］でタスク・マネージャ（taskmgr.exe）を起動しようとしても、この警告ダイアログが表示され、タスク・マネージャは起動できない。

非Active Directory環境の場合

　グループ・ポリシーが利用できない場合（Active Directoryを導入していない場合）は、コンピュータごとにローカル・コンピュータ・ポリシーで同様の設定を行うことで、タスク・マネージャの起動を抑制できる。ただし、ユーザーに管理者権限を与えている場合は、設定を戻すことで、タスク・マネージャの起動が可能になってしまうので注意が必要だ。

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）