ようこそ サインイン
Skip Navigation Links
Resources for IT Professionals
印刷用ページ      送信     
クリックして評価とフィードバックをお寄せください
TechNet
TechNet ライブラリ
テクニカルドキュメント
Windows
Windows XP
セキュリティと更新
 "Windows XP Service Pack 2 セキュリティ強化...
"Windows XP Service Pack 2 セキュリティ強化機能搭載" での機能の変更点 ‐ 第 5 部 : ブラウズのセキュリティ強化

第 5 部 : ブラウズのセキュリティ強化

最終更新日: 2005年3月2日

Starr Andersen (テクニカル ライター)、Vincent Abella (テクニカル エディタ)

このドキュメントは「Microsoft® Windows® XP Service Pack 2 での機能の変更点」の第 5 部です。ここでは、Windows XP Service Pack 2 に含まれる、Web ブラウズをより安全に行う技術について詳細に説明します。以前のバージョンの Internet Explorer に比べると、これらの技術は、強化されたセキュリティを提供するのに役立つ設計になっています。

このドキュメントの内容は、Windows XP Professional および Windows XP Home Edition の 32 ビット バージョン用 Microsoft Windows XP Service Pack 2 (SP2) に適用されます。このドキュメントでは、Service Pack に含まれるすべての変更点について説明しているわけではありませんが、Windows XP SP2 の使用において大きな影響を持つ変更点を中心に説明し、必要に応じて追加情報の参照先も掲載されています。

トピック

ダウンロード、添付ファイル、および Authenticode の強化 ダウンロード、添付ファイル、および Authenticode の強化
Internet Explorer のアドオン管理とクラッシュ検出 Internet Explorer のアドオン管理とクラッシュ検出
Internet Explorer のバイナリ ビヘイビアのセキュリティ設定 Internet Explorer のバイナリ ビヘイビアのセキュリティ設定
Windows XP Service Pack 2 に対応するためにコードの変更が必要かどうか Windows XP Service Pack 2 に対応するためにコードの変更が必要かどうか
Internet Explorer の BindToObject 軽減 Internet Explorer の BindToObject 軽減
Internet Explorer 情報バー Internet Explorer 情報バー
セキュリティ ゾーン設定に機能コントロール レジストリ設定を使用する Internet Explorer セキュリティ ゾーン設定に機能コントロール レジストリ設定を使用する Internet Explorer
グループ ポリシーにおける Internet Explorer の機能コントロール設定 グループ ポリシーにおける Internet Explorer の機能コントロール設定
グループ ポリシーにおける Internet Explorer の UrlAction セキュリティ設定 グループ ポリシーにおける Internet Explorer の UrlAction セキュリティ設定
Internet Explorer のローカル コンピュータ ゾーンのロックダウン Internet Explorer のローカル コンピュータ ゾーンのロックダウン
Internet Explorer の MIME 処理強制 Internet Explorer の MIME 処理強制
Internet Explorer のオブジェクト キャッシュ Internet Explorer のオブジェクト キャッシュ
Internet Explorer ポップアップ ブロック Internet Explorer ポップアップ ブロック
Internet Explorer の信頼されていない発行元の軽減 Internet Explorer の信頼されていない発行元の軽減
Internet Explorer ウィンドウの制限 Internet Explorer ウィンドウの制限
Internet Explorer ゾーン昇格ブロック Internet Explorer ゾーン昇格ブロック
Internet Explorer のネットワーク プロトコルのロックダウン Internet Explorer のネットワーク プロトコルのロックダウン

ダウンロード、添付ファイル、および Authenticode の強化

ダウンロード、添付ファイル、および Authenticode の機能

Windows XP Service Pack 2 では、ファイル ダウンロード、メール添付ファイル、シェル プロセス実行、およびプログラム インストールが、Windows XP Service Pack 1 に比べてより一貫して明確になるように修正されています。また、ユーザーのコンピュータに問題を起こす可能性のある署名可能なファイルの種類を開く前に、発行元情報が表示されます。ユーザーのコンピュータに問題を起こす可能性がある、一般的な署名可能なファイルの種類は、.exe、.dll、.ocx、.msi、.cab です。

この新しいユーザー インターフェイスをアプリケーション開発者が活用できるように、新しい API (アプリケーション プログラミング インターフェイス) が用意されています。API の詳細については、このドキュメントの「AES API の統合」で、Windows XP Service Pack 2 での電子メール機能の変更点を参照してください。

この機能の対象ユーザー

アプリケーション開発者は、このドキュメントで前述した「AES API の統合」で示した API を使用して、Windows アプリケーションから新しい AES (Attachment Execution Service) を呼び出すことができます。

アプリケーション開発者は、添付ファイルを開いたり危険な可能性があるファイルをダウンロードしたりするなどの特定のシナリオでは、ユーザーのコンピュータに問題を起こす可能性があるファイルの種類に対して、開く前にデジタル署名を確認することに注意してください。署名情報がユーザーに表示され、ファイルの発行元の確認に役立ちます。

Windows XP Service Pack 2 で変更された既存機能

Internet Explorer ファイル ダウンロード プロンプト

詳細説明

ユーザーが Internet Explorer を使用してファイルをダウンロードする場合のダイアログ ボックスには、次の変更があります。

  • ファイル ハンドラ アイコンが追加されました。

  • ダイアログ ボックスの下部に新しい情報領域が追加され、ダウンロードしたファイルの種類の危険性が高いか低いかに合わせて情報が表示されます。

ユーザーのコンピュータに問題を起こす可能性がある署名可能なファイルの種類に対しては、すべて発行元情報が確認されます。この情報は、ファイルを開く前に表示されます。

発行元情報は、ユーザーのコンピュータに問題を起こす可能性がある署名可能なファイルの種類を開く前に表示されます。この情報は Authenticode のダイアログ ボックスで表示され、ユーザーはこの情報も考慮してファイルを実行するかどうかを決定することができます。

この変更が重要な理由

この変更により、ファイルとコードをユーザーのコンピュータにダウンロードする際の操作が一貫して明確になります。発行元チェックでは、ファイル内に署名があると重要な情報が得られます。また、疑わしい発行元からのファイルによってコンピュータのセキュリティが低下しないようにする体系的な方法が用意されています。

動作の相違点

発行元がブロックされているファイルは実行を許可されません。

これらの問題の解決法

Internet Explorer の [アドオンの管理] を使用し、発行元のブロックを解除することができます。発行元のブロックを解除して特定のファイルをダウンロードできるようにするには、[信頼されない発行元] 一覧から発行元を削除します。Internet Explorer でこれを行うには、[ツール] メニューの [インターネット オプション] をクリックし、[コンテンツ] タブをクリックして [信頼されない発行元] 一覧から発行元の名前を削除します。

Outlook Express 電子メール添付ファイル プロンプト

詳細説明

Outlook Express 電子メール添付ファイル プロンプトは、ファイルのダウンロードと同じ手順を使用します。Outlook Express の電子メール添付ファイルには、ユーザーのコンピュータに問題を起こす可能性のあるファイルの種類の発行元情報が表示され、発行元がブロックされているファイルは実行を許可されません。

この変更が重要な理由

この変更により、ファイルとコードをユーザーのコンピュータにダウンロードする際の操作が一貫して明確になります。発行元チェックでは、署名があると重要な情報が得られます。また、疑わしい発行元からのファイルによってコンピュータのセキュリティが低下しないようにする体系的な方法が用意されています。

動作の相違点と依存関係の存在

発行元がブロックされているファイルは実行を許可されません。

これらの問題の解決法

Internet Explorer の [アドオンの管理] を使用し、発行元のブロックを解除することができます。発行元のブロックを解除して特定のファイルをダウンロードできるようにするには、[信頼されない発行元] 一覧から発行元を削除します。Internet Explorer でこれを行うには、[ツール] メニューの [インターネット オプション] をクリックし、[コンテンツ] タブをクリックして [信頼されない発行元] 一覧から発行元の名前を削除します。

アドオン インストール プロンプト

詳細説明

Internet Explorer のアドオン インストール プロンプトは、ファイル名とデジタル署名の発行元情報のみを表示するように簡素化されています。アドオンをインストールするかどうかの決定に役立つように、アドオンのインストールに関連する危険性の警告が表示されます。また、発行元を常にブロックして、Windows XP でその発行元が提供するものをすべて信頼しないようにする機能がプロンプトに追加されています。これにより、コンピュータ上でコードを実行できないように発行元がブロックされます。

この変更が重要な理由

この変更により、ファイルとコードをユーザーのコンピュータにダウンロードする際の操作が一貫して明確になります。また、アドオンのインストール時に、ユーザーは発行元を信頼しないように選択することができます。これにより、ユーザーによる操作性の制御が向上します。

動作の相違点と依存関係の存在

アドオンをインストールする際のユーザー インターフェイスが、より明確で簡素化されています。

これらの問題の解決法

既定では、Internet Explorer でユーザーは無効なまたは無署名の ActiveX コントロールを実行できません。情報バーに、ブロックされているコントロールをインストールするように選択する別の方法が表示されます。Internet Explorer の情報バーの詳細については、このドキュメントの後の情報を参照してください。

Windows XP Service Pack 2 で追加または変更された設定

ユーザーは、ユーザーのコンピュータ上でコードを実行できないように発行元をブロックする機能を使用することができます。

Internet Explorer のアドオン管理とクラッシュ検出

Internet Explorer のアドオン管理とクラッシュ検出の機能

これらは、Internet Explorer に用意されている 2 つの密接に関連する新機能です。

ユーザーは Internet Explorer のアドオン管理を使用して、Internet Explorer でロードできるアドオンの一覧を参照し、以前よりも細かく一覧を制御できます。以前は表示されず、検出も非常に困難であったアドオンも表示します。

Internet Explorer のアドオン クラッシュ検出では、Internet Explorer で発生した、アドオンと関係するクラッシュを検出します。アドオン情報の検出に成功した場合には、この情報をユーザーに提示します。ユーザーには、発生するクラッシュを診断し、Internet Explorer 全体の安定性を改善するために、アドオンを無効にするオプションがあります。

この機能の対象ユーザー

ユーザーは Internet Explorer が使用するアドオンを表示したり有効または無効にしたり、Internet Explorer のクラッシュに関連する可能性があるアドオンを識別したりできます。管理者は、許可されるアドオンまたは許可されないアドオンの一覧を作成し、ユーザーによるアドオンの管理機能を制限することができます。

Windows XP Service Pack 2 でこの機能に追加された新機能

Internet Explorer のアドオン管理

詳細説明

ユーザーは Internet Explorer のアドオン管理を使用して、Internet Explorer でロードできるアドオンの一覧を参照し、以前よりも細かく一覧を制御できます。以前は表示されず、検出も非常に困難であったアドオンも表示します。これらのアドオンは好ましくない機能やサービスを提供することがあり、セキュリティの問題が発生する場合もあります。

たとえば、Web ページの動作状況をすべて秘密裏に記録し、中央サーバーに報告するアドオンをユーザーの意図に反してインストールしてしまうことがあります。これまでは、このようなアドオンを識別し除去するには、専用ソフトウェアと深い技術的知識が必要でした。Internet Explorer のアドオン管理を利用すれば、このようなアドオンをより簡単に検出して無効にすることができます。

アドオンには以下のものがあります。

  • ブラウザ ヘルプ オブジェクト

  • ActiveX コントロール

  • ツール バー拡張

  • ブラウザ拡張

次のようにさまざまな場所からいくつかの方法でアドオンをインストールすることができます。

  • Web ページを表示しながらダウンロードしてインストールする

  • 実行可能プログラムを利用してユーザーがインストールする

  • オペレーティング システムのプレインストール コンポーネントとして

  • オペレーティング システムのプレインストール アドオンとして

アドオンの管理

ユーザーは個々のアドオンを有効または無効にしたり、Internet Explorer でのアドオンの使用頻度に関する情報を表示したりできます。これを行うには、次の手順で [アドオンの管理] を開きます。

  1. [スタート] ボタン、[Internet Explorer] の順にクリックします。

  2. [ツール]、[アドオンの管理] の順にクリックします。

また、次の手順でコントロール パネルから [アドオンの管理] を開くこともできます。

  1. [スタート] ボタン、[コントロール パネル] の順にクリックします。

  2. [インターネット オプション] をダブルクリックします。

  3. [プログラム] タブ、[アドオンの管理] の順にクリックします。

[アドオンの管理] に用意されているオプションを利用すれば、アドオン設定を変更できます。

[表示] を使用すると、アドオンの一覧の表示方法を制御できます。これには次の 2 種類のオプションがあります。

  • [現在 Internet Explorer に読み込まれているアドオン]。このオプションでは、現在の Internet Explorer プロセスでインスタンス化されている (またはメモリに読み込まれている) アドオンや、インスタンス化をブロックされているアドオンが表示されます。現在のプロセスで以前に表示した Web ページが使用していた ActiveX コントロールが含まれます。

  • [Internet Explorer で使用されたアドオン]。このオプションでは、Internet Explorer で参照されたことがあり、まだインストールされているアドオンが表示されます。

アドオンの一覧では、このドキュメントで前述した種類のインストール済みアドオンがすべて表示されます。インストール済みアドオンを有効または無効にするには、一覧のアドオンをクリックして選択し、[有効] または [無効] をクリックします。

一覧の ActiveX コントロールをクリックし、[ActiveX の更新] をクリックすると、元のコントロールが検出された場所で更新があるかどうか検索されます。その場所に新しいバージョンがあれば、Internet Explorer はその更新をインストールします。

アドオンの一覧には、発行元を信頼できなかったため、インストールを行わなかった署名付きアドオンも含まれます。これらのいずれかのコントロールを選択して [許可] をクリックすると、コントロールのブロックを解除することができます。[許可] をクリックすると、信頼されない発行元の一覧からその発行元が削除されるので、この作業は注意して行ってください。

ブロックされたアドオンのステータス バー アイコン

発行元を信頼できないため無効になっているかブロックされている ActiveX コントロールを、Web ページがインスタンス化しようとすると、ブロックされたアドオン アイコンがステータス バーに表示されます。アイコンをダブルクリックすると [アドオンの管理] を開くことができます。ステータス バー アイコンを使用する場合は、最初の 5 回だけバルーン ヒントが表示されます。

アドオン通知のバルーン ヒント

無効にされているアドオンを Web ページがインスタンス化しようとしたときに、ブロックされているアドオンのステータス バー アイコンがない場合は、現在の Web ページが無効にされているアドオンを要求しているというメッセージが表示されます。このメッセージをクリックすると、ブロックされているアドオンの詳細情報が表示されます。

コントロール パネルを使うと、このメッセージを表示しない設定にすることができます。このオプションについては後で説明します。

この変更が重要な理由と軽減される脅威

Windows のエラー報告データを確認すると、Internet Explorer の安定性に関する問題の主な原因がアドオンであることがわかります。このようにアドオンは、Internet Explorer の信頼性に大きな影響を与えます。これらのアドオンには悪意ある不明なコードが含まれていることがあり、セキュリティの問題が発生する場合もあります。

たいていの人は自分のコンピュータにインストールされているアドオンに気が付いていません。Internet Explorer を起動すると読み込まれるアドオンもありますが、ユーザーがレジストリを検索しないと検出できません。クラッシュが発生する場合でも、その問題がアドオンと関係しているかどうかを簡単に診断できる方法はありません。最近インストールしたソフトウェアのために問題が発生しているのではないかと思える場合であっても、問題を切り分けることは難しく、ソフトウェアにアンインストール オプションが用意されていなければ、多くの場合に解決不可能となります。

Internet Explorer のアドオン管理は、アドオン クラッシュ検出と共に、問題のあるアドオンを識別して無効にすることで、システムのセキュリティと安定性を向上する機能を提供します。管理者には強力な管理ツールも用意されているので、組織内におけるアドオン使用を制御することができます。

動作の相違点

アドオンが無効となる場合の動作

アドオンを無効にしてもコンピュータからは削除されません。Internet Explorer で、オブジェクトのインスタンス化やコードの実行が許可されないだけです。無効にしたアドオンが二度と読み込まれない保証はありません。Internet Explorer でアドオンを無効にしても、システム内の別のコンポーネントが使用できるためです。オブジェクトの種類が異なれば、無効にした場合の振る舞いも異なります。

  • ActiveX コントロールを無効にすると、コントロールに依存する Web ページは予期した動作をしません。ユーザーがコントロールをコンピュータからアンインストールし、インストールを拒んでいる状態にあるかのように振る舞います。無効になったコントロールをアップグレードするようにユーザーが促されることはありません。

  • ブラウザ ヘルパー オブジェクトを無効にすると、このオブジェクトに依存している機能を使用できなくなり、コンポーネントが無効であることは一切表示されません。

  • ブラウザ拡張を無効にすると、この拡張のツール バー ボタンとメニュー エントリ ポイントが表示されなくなります。Internet Explorer は、拡張がインストールされなかったかのように動作します。

  • ツール バー拡張を無効にすると、Internet Explorer にツール バーが表示されなくなり、[表示] メニューの [ツール バー] が無効になります。Internet Explorer は、ツール バーがインストールされなかったかのように動作します。

既定では、無効になったアドオンの概念は、Internet Explorer (Iexplore.exe) と Windows エクスプローラ (Explorer.exe) のインスタンスにのみ適用されます。現時点では、WebBrowser コントロールなどの Internet Explorer コンポーネント ベースのプログラムでは、無効状態を参照しません。ただし、featurecontrol キーを使用して、この機能を他のアプリケーションに拡張することができます。

複数のアドオンを組み合わせることで正常に動作するソフトウェア プログラムもあり、この場合はいずれかのアドオンを無効にすると問題が発生します。アドオンを無効にするかどうかを決定する際には、注意が必要です。

アンインストール

ユーザーが非 ActiveX アドオンを無効にしてアンインストールした後に、再びこのアドオンをインストールしても、アドオンは無効のままである場合があります。これは、Internet Explorer にアプリケーションのインストールが通知されず、アプリケーションの状態の変更が検出されないためです。ただし、アドオンがインストールされていない状態で Internet Explorer を起動すると、変更が検出されて自動的に無効状態がクリアされます。

ユーザーが ActiveX コントロールを無効にしてアンインストールすると、次回 Web ページがこのコントロールを使用する際に、Internet Explorer でこのコントロールが存在しないことが検出されて自動的に無効状態がクリアされます。ただし、Web ページのダウンロードではなく実行可能ファイルを使用して ActiveX コントロールを再インストールしてから、このコントロールをインスタンス化する場合は、このコントロールは無効状態のままです。これは Internet Explorer が状態の変更を検出できないからです。

これらの問題の解決法

アドオンを無効にして機能不足になった場合は、[アドオンの管理] でアドオンを有効にすると機能を復元できます。新しい設定を有効にするには、Internet Explorer を再起動する必要がありますが、ActiveX コントロールの場合は例外で、影響があるページを再読み込みするだけで済みます。

管理者向けの Internet Explorer のアドオン管理

詳細説明

クラッシュ検出を無効にする

アドオン管理のクラッシュ検出機能を無効にするには、次の「Windows XP Service Pack 2 で追加または変更された設定」を参照してください。クラッシュ検出が無効である場合に Internet Explorer がクラッシュすると、前の動作が実行され、通常は Windows エラー報告が起動します。Windows エラー報告のすべてのポリシーは、引き続き適用されます。

アドオン管理ユーザー インターフェイスを無効にする

アドオン管理ユーザー インターフェイスを無効にするには、次の「Windows XP Service Pack 2 で追加または変更された設定」を参照してください。アドオン管理ユーザー インターフェイスを無効にすると、[アドオンの管理] の [有効] および [無効] オプションが使用できなくなります。

[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する]

管理者は、このポリシー設定を使用して、[アドオンの一覧] ポリシー設定の一覧にない Internet Explorer アドオンをすべて拒否することができます。

このポリシーを設定するには、管理者は次のいずれかの場所にある RestrictToList キーを変更します。

HKEY_CURRENT_USER¥SOFTWARE¥Microsoft
¥Windows¥CurrentVersion¥Policies¥Ext¥

HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft
¥Windows¥CurrentVersion¥Policies¥Ext¥

名前 : RestrictToList

種類 : DWORD

:

  • 1 (アドオンの一覧にないものは無効と判断します)

  • 0 (アドオンの一覧になくても、ポリシーがない場合のように動作します)

[アドオンの一覧]

管理者は、[アドオンの一覧] ポリシーを使用して特定のアドオンの使用を制御することができます。管理者は、アドオンを有効または無効にしたり、特定のアドオンをユーザーが管理できるようにします。

このポリシーを設定するには、管理者は次のいずれかのキーのアドオンの GUID に基づいてレジストリ キーを作成し、目的の値を設定します。

HKEY_CURRENT_USER¥SOFTWARE¥Microsoft
¥Windows¥CurrentVersion¥Policies¥Ext¥CLSID

HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft
¥Windows¥CurrentVersion¥Policies¥Ext¥CLSID

各アドオンは、このレジストリ キーで次のプロパティを設定した値です。

名前 : アドオンの GUID

種類 : REG_SZ

:

  • 0 - アドオンが無効になり、エンド ユーザーはアドオンを管理できません。

  • 1 - アドオンは許可されますが、エンド ユーザーはアドオンを管理できません。

  • 2 - アドオンが許可され、エンド ユーザーはアドオンを管理できます。

既定では、アドオン (CLSID) の一覧は空です。

ポリシーが適用される場合の管理 UI の動作

アドオン マネージャのポリシーが有効で、ユーザーが管理一覧からポリシーで無効にしたアドオンを選択する場合は、[有効] と [無効] は使用できません。

この変更が重要な理由と軽減される脅威

この機能により、管理者は新機能の使用を制御することができます。

動作の相違点と依存関係の存在

アドオンを許可および拒否する新機能は、ActiveX コントロールを管理する既存のポリシーと連動します。アドオンの無効化は既存のチェックの存在を前提として適用され、既に存在している他のセキュリティ制限を置き換えることはありません。たとえば、ActiveX コントロールが ActiveX 互換性フラグによりブロックされている場合は、アドオンの管理設定に関係なく常にブロックされます。

アドオンを無効にする場合の影響については、このドキュメントの前の方で説明しています。

これらの問題の解決法

これらのポリシーを追加すると必要な機能が削除される場合は、適用したポリシーを削除して Internet Explorer を再起動します。

Internet Explorer のアドオン クラッシュ検出

詳細説明

Internet Explorer の動作が予期せず停止すると、アドオン クラッシュ検出プログラムが起動します。アドオン クラッシュ検出はエラー分析プログラムであり、Iexplore.exe (Internet Explorer) プロセスの状態を調べます。読み込まれているダイナミック リンク ライブラリ (DLL) の一覧と、クラッシュ時の命令ポインタ レジスタ (EIP) の値が収集されます。次にアドオン クラッシュ検出は、EIP を含むメモリ範囲がある DLL を探します。通常は、この DLL がクラッシュの原因となります。

検出された DLL がシステム DLL ではなく Internet Explorer アドオンの COM サーバーの場合は、[Internet Explorer アドオン クラッシュ検出] ダイアログ ボックスが表示されます。このダイアログ ボックスには、クラッシュが発生したアドオン、このアドオンに関連する会社名、およびアドオン コードを含む DLL ファイルの説明を示す情報が含まれています。特定されたアドオンを無効にするために [アドオンの管理] を表示するには、[詳細設定] をクリックします。このウィンドウとオプションの詳細については、このドキュメントで前述した「アドオンの管理」を参照してください。情報を確認して [続行] をクリックすると、標準の Windows エラー報告ウィンドウが表示されます。

この変更が重要な理由と軽減される脅威

この情報については、このドキュメントで前述した「管理者向けの Internet Explorer のアドオン管理」を参照してください。

動作の相違点と依存関係の存在

この機能は Internet Explorer が動作を停止した時のみに動作するため、通常操作に変更はありません。

Windows XP Service Pack 2 で追加または変更された設定

設定名

場所

既定値

設定可能な値

[クラッシュの検出を無効にする]

HKEY_CURRENT_USER (または HKEY_LOCAL_MACHINE) ¥Software¥Policies
¥Microsoft¥Internet Explorer ¥Restrictions

名前 : NoCrashDetection

種類 : DWORD

0

0 - オフ

1 - オン

[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する]

HKEY_CURRENT_USER (または HKEY_LOCAL_MACHINE) ¥Microsoft¥Windows¥CurrentVersion
¥Policies¥Ext¥

名前 : RestrictToList

種類 : DWORD

0

0 - オフ

1 - オン

[アドオンの一覧]

HKEY_CURRENT_USER (または HKEY_LOCAL_MACHINE) ¥SOFTWARE¥Microsoft¥Windows
¥CurrentVersion¥Policies¥Ext¥CLSID

名前 : コントロールの GUID

種類 : REG_SZ

該当なし

0 - アドオンが無効になり、エンド ユーザーはアドオンを管理できません。

1 - アドオンが有効になりますが、エンド ユーザーはアドオンを管理できません。

2 - アドオンが有効になり、エンド ユーザーはアドオンを管理できます。

Windows XP Service Pack 2 に対応するためにコードの変更が必要かどうか

コードを修正する必要はありません。Internet Explorer のアドオン クラッシュ検出またはアドオン管理を実行するために、コードを変更する必要はありません。

Internet Explorer のバイナリ ビヘイビアのセキュリティ設定

バイナリ ビヘイビアのセキュリティ設定の機能

Internet Explorer には動的なバイナリ ビヘイビアが含まれています。これは、動作が関連付けられている HTML 要素のための特定の機能をカプセル化するコンポーネントです。このようなバイナリ ビヘイビアは、制限付きサイト ゾーンの Web ページで作業が行えるようにする Internet Explorer セキュリティ設定によって制御されません。Windows XP Service Pack 2 には、バイナリ ビヘイビア用の新しい Internet Explorer のセキュリティ設定があります。この新しい設定により、制限付きサイト ゾーンでのバイナリ ビヘイビアが既定で無効になります。この新しいバイナリ ビヘイビアのセキュリティ設定により、Internet Explorer のバイナリ ビヘイビアの脆弱性が緩和されます。

動作や実装方法など、バイナリ ビヘイビアの詳細については、Microsoft の Web サイト (http://go.microsoft.com/fwlink/?LinkId=21862) の Internet Explorer 5.5 のバイナリ ビヘイビアに関する最新情報のページを参照してください。バイナリ ビヘイビアは C++ で定義されてコンパイルされ、アタッチされるビヘイビアやエレメント ビヘイビアはスクリプトで定義される点に注意してください。

この機能の対象ユーザー

制限付きサイトやローカル コンピュータのゾーンで Internet Explorer の機能を使用するアプリケーション開発者は、この機能を確認してアプリケーションに変更を適用する計画を立てることをお勧めします。たとえば、制限付きサイト ゾーンで HTML 形式の電子メールを処理する電子メール アプリケーションは修正する必要があります。

この新しい設定では、ユーザーは HTML コンテンツを完全に処理できないアプリケーションからだけ影響を受けます。このようなアプリケーションでは、ある種のアクティブな動作の表示が妨げられたことをユーザーに警告するのが一般的です。たとえば、Outlook Express でこのような状況になると、電子メール内のアクティブなコンテンツが制限されていることをユーザーに知らせます。

Windows XP Service Pack 2 でこの機能に追加された新機能

Internet Explorer の新しいセキュリティ設定

詳細説明

新しい URLaction 設定はバイナリ ビヘイビアであり、Internet Explorer の各セキュリティ ゾーンにあります。この設定の既定値は、制限付きサイト ゾーン以外のすべてのゾーンで [有効にする] に設定されています。制限付きサイト ゾーンでは、既定値は [無効にする] です。

この変更が重要な理由と軽減される脅威

この新しい設定を使えば、バイナリ ビヘイビアが悪意をもって使用される攻撃を緩和し、ゾーンごとにユーザーがバイナリ ビヘイビアを制御できるようになります。

動作の相違点

制限付きサイト ゾーンで HTML 形式のバイナリ ビヘイビアの使用をすべてブロックします。

これらの問題の解決法

制限付きサイト ゾーンからバイナリ ビヘイビアを使用するには、アプリケーションにカスタム セキュリティ マネージャを実装する必要があります。詳細については、Microsoft の Web サイト (http://go.microsoft.com/fwlink/?LinkId=21863) にある URL セキュリティ ゾーンの概要で、カスタマイズした URL セキュリティ マネージャの作成についてのページを参照してください。

バイナリ ビヘイビアである URL アクションをカスタム セキュリティ マネージャから実行する場合、URL アクションは、アプリケーション互換性の必要性に応じてカスタム セキュリティ マネージャで有効にされる特定のバイナリ ビヘイビアの文字列表現で処理されます。この URL アクションを実行する場合は、次のプロセスが実行されます。

  • Internet Explorer は、カスタム セキュリティ マネージャ (使用可能な場合) を呼び出し、URLACTION_BEHAVIOR_RUN の dwAction で、ProcessUrlAction メソッドを使用します。

  • pContext パラメータは、ポリシーの照会先となるビヘイビアが格納されている LPCWSTR を指します。たとえば、#default#time です。

  • 必要に応じてカスタム セキュリティ マネージャ内で、smartTag 動作として *pPolicy = URLPOLICY_ALLOW を設定します。

  • このカスタム セキュリティ マネージャが存在しない場合の既定のアクションは、制限付きサイト ゾーン内でのビヘイビアの実行を許可しません。

デスクトップ管理者は、ロックダウンされたローカル コンピュータ ゾーンで許可するバイナリ ビヘイビアを指定することができます。ロックダウンされたローカル コンピュータ ゾーンでビヘイビアを有効にするには、次のように管理者が許可したビヘイビアの一覧にそのビヘイビアを追加し、名前空間とビヘイビアの変数を環境に合わせて置き換えます。

HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft
¥Windows¥CurrentVersion¥Internet Settings¥AllowedBehaviors

# % Namespace %#% Behavior %=dword:00000001 

この一覧に定義されているビヘイビアは、バイナリ ビヘイビアの制限設定が "管理者の許可済み" (65536) に構成されているその他すべてのゾーンにも使用されます。

Windows XP Service Pack 2 で変更された既存機能

ありません。これは、既存のバイナリ ビヘイビア機能を有効にするかどうかだけの設定です。

Windows XP Service Pack 2 で追加または変更された設定

設定名

場所

以前の既定値 (存在する場合)

既定値

設定可能な値

*

HKEY LOCAL MACHINE (または Current User) ¥Software¥Microsoft
¥Internet Explorer¥Main
¥Feature Control ¥FEATURE_BINARY_
BEHAVIOR_LOCKDOWN

なし

1

0 - オフ

1 - オン

2000

HKEY_CURRENT_USER ¥Software ¥Microsoft ¥Windows ¥CurrentVersion ¥Internet Settings¥Zones ¥3¥

なし

3 - 無効にする (制限付きサイト ゾーン用)

65536 - 管理者の許可済み (ロックダウンされたローカル コンピュータ ゾーン用)

0 - 有効にする (その他すべてのゾーン用)

3 - 無効にする

65536 - 管理者の許可済み

0 - 有効にする

バイナリ ビヘイビアは、Internet Explorer のセキュリティ ゾーンとコンテンツの規制設定の一部として、グループ ポリシーからも修正できることに注意してください。

Windows XP Service Pack 2 に対応するためにコードの変更が必要かどうか

制限付きサイト ゾーン内でコードがバイナリ ビヘイビアを使用している場合、自分のアプリケーション用にカスタム セキュリティ マネージャを実装して、コードを変更する必要があります。詳細については、Microsoft の Web サイト (http://go.microsoft.com/fwlink/?LinkId=21863) にある URL セキュリティ ゾーンの概要で、カスタマイズした URL セキュリティ マネージャの作成についてのページを参照してください。

Internet Explorer の BindToObject 軽減

BindToObject 軽減の機能

Windows XP Service Pack 2 では、オブジェクトのインスタンス化と初期化に URL バインディングを使用するすべての場合に ActiveX セキュリティ モデルが適用されます。ActiveX セキュリティ モデルを使用すると、コントロールを "スクリプトを実行しても安全" や "初期化しても安全" として設定でき、それらの設定に基づいてセキュリティ ゾーンごとに ActiveX コントロールをブロックまたは許可する機能を使用できます。これにより、Internet Explorer のアクティブなコンテンツの柔軟性や制御が向上します。

この機能の対象ユーザー

  • Web 開発者とネットワーク管理者は、Web サイトに影響しないよう変更または回避するために、これらの新しい制限を把握する必要があります。

  • アプリケーション開発者は、この機能を確認し、アプリケーションに変更を適用する計画を立てることをお勧めします。

  • ユーザーは、このように厳密性が増した規則に合わないサイトから影響を受ける可能性があります。

Windows XP Service Pack 2 でこの機能に追加された新機能

ありません。既存のセキュリティ機能が拡張されています。

Windows XP Service Pack 2 で変更された既存機能

URL オブジェクトの初期化に適用される ActiveX セキュリティ モデル

詳細説明

ActiveX の安全上の脆弱性を取り除く最も効果的な方法は、URL バインディングのソースである URLMON で、セキュリティ ポリシーを一貫して適用することです。<object> タグと CODEBASE 属性を使って HTML ページ内に ActiveX コントロールを宣言することは、BindToObject を使用する最も一般的な方法です。URL を解決してストリームまたはオブジェクトを取り込む任意のコンポーネントで、これと同じ機能を使用できます。この ActiveX セキュリティ モデルは、URL をソースとして使用するすべてのオブジェクトの初期化に適用されます。

この変更が重要な理由と軽減される脅威

ActiveX コントロールの場合、ActiveX セキュリティ モデルを使用すると、コントロールを "スクリプトを実行しても安全" や "初期化しても安全" として設定でき、それらの設定に基づいてゾーンごとに ActiveX コントロールをブロックまたは許可する機能を使用できます。Windows の以前のバージョンでは、このようなセキュリティ フレームワークは、URL バインディングが発生するすべての場合に適用できませんでした。その代わりに、呼び出しコード側でコントロールの保全性とセキュリティを保証する必要がありました。そのために、セキュリティの脆弱性が発生していました。現在は、Internet Explorer 全体を調べて呼び出しコード内の脆弱性を狙いこの問題を起こす、さまざまな利用例が公開されています。

動作の相違点と依存関係の存在

この ActiveX セキュリティ モデルは、URL をソースとして使用するすべてのオブジェクトの初期化に適用されます。また、"初期化しても安全" のタグがすべてのオブジェクトに適用されます。この軽減が適用されるのは、Internet Explorer が URL から IP アドレスを解決してオブジェクトに割り当てる場合のみです。

これらの問題の解決法

アプリケーションの互換性問題は最小限にすることをお勧めします。専用のセキュリティ マネージャがあるアプリケーションは、オプトアウトすることができます。このセキュリティ モデルのオプトアウトの詳細については、Microsoft の Web サイト (http://go.microsoft.com/fwlink/?LinkId=21814) の URL セキュリティ ゾーン API に関するセキュリティの考慮事項のページを参照してください。

Windows XP Service Pack 2 で追加または変更された設定

ありません。

Windows XP Service Pack 2 に対応するためにコードの変更が必要かどうか

コードを変更しなければならない場合があります。詳細については、このセクションの「これらの問題の解決法」を参照してください。

Internet Explorer 情報バー

情報バーの機能

Windows XP Service Pack 2 では、以前のバージョンでユーザーに情報を表示していたさまざまな一般的なダイアログ ボックスの代わりに Internet Explorer 情報バーが使用されます。この情報バーは、ユーザーの操作の指針となる情報をわかりやすく表示する領域です。ダイアログ ボックスの代わりに Internet Explorer 情報バーによる通知が使用される例としては、ブロックされた ActiveX のインストール、ポップアップ、ダウンロード、およびアクティブなコンテンツが挙げられます。情報バーは Outlook 2003 の通知領域と同様に、ブロックされたコンテンツをユーザーに知らせるための情報を表示します。

この機能の対象ユーザー

この機能は以下の人々に適用されます。

  • Web を参照する際に新しい動作がどのように影響するかを理解する必要があるユーザー。

  • 組織内のクライアント コンピュータ上でこの機能をオンまたはオフにする方法を把握する必要があるシステム管理者。

  • これまでとは異なるエクスペリエンスを提供するアドオンを使用する Web サイトの設計者。

  • エクスペリエンスの違いを理解する必要がある Web ベース アプリケーションの開発者。たとえば、これは ActiveX コントロールの開発に影響します。他のコンピュータに現在インストールされているコントロールの更新となる ActiveX コントロールは、新しいコントロールの GUID が現在の GUID と一致する場合は、更新として扱われるだけです。

  • Web ブラウザ コントロールをホスティングするアプリケーションの開発者。この新機能を利用するために、新しい API (アプリケーション プログラミング インターフェイス) の使用方法を把握する必要があります。

Windows XP Service Pack 2 でこの機能に追加された新機能

情報バー ユーザー インターフェイス

詳細説明

情報バーの外観と動作は、Outlook 2003 のブロックされたコンテンツ通知領域に似ています。通知する情報がある場合は、情報バーが Internet Explorer のツール バーと参照中の Web ページの間に表示されます。次のページに移ると、情報バーは消去されます。情報バー内のテキストは通知内容に応じて変わります。通知領域の幅よりも長いテキストは改行されます。ユーザーが Tab キーを使用してフォーカス (ブラウザ内のオブジェクトが入力を受け入れる部分) を制御する場合、情報バーのフォーカスは、ツール バーを移動した後、Web ページに移動する前に有効になります。

情報バーをクリックまたは右クリックすると、表示された通知に関連するメニューが表示されます。このメニューには必ず情報バーのヘルプへのリンクが含まれています。そのヘルプを参照すると、通知に関するさらに詳細な情報が得られます。通知に関連するその他のメニュー項目は、[情報バーのヘルプ] メニュー項目の上に表示されます。

表示されたときにサウンドを再生するように情報バーを構成することができます。既定では、サウンドはオンに設定されています。情報バーが表示されると、ステータス バーに [ページでエラーが発生しました] と通知される代わりに、Windows 信頼アイコンが表示されます。

場合によっては、複数のアクションがブロックされることがあります。たとえば、アドオンのインストールと同時に、ポップアップ ウィンドウがブロックされることがあります。その場合は、テキストは全般的な内容になり、メニューは結合されてトップ レベルでブロックされた各アクションが表示され、各アクションのメニューはサブメニュー化されます。

情報バー用のセキュリティ ゾーン設定をカスタマイズして、ユーザーがセキュリティ ゾーンごとに情報バーの設定を変更するようにできます。情報バーによる通知を有効にするか、Windows XP Service Pack 1 での動作に戻ってファイルおよびコードのダウンロードに関する通知を目立たなくさせるかを選択することができます。

この変更が重要な理由と軽減される脅威

Windows XP Service Pack 2 の Internet Explorer では、特定のオンライン タスクを実行するために必要なコンテンツをブロックされることがあります。Web ページの動作が信頼できる場合にそのページを再び取得する方法に関するわかりやすい通知が、情報バーに表示されます。Windows XP Service Pack 1 のように、ユーザーの操作を邪魔するようなプロンプトに煩わされることはありません。

動作の相違点

この情報については、次の「Windows XP Service Pack 2 で変更された既存機能」を参照してください。

Windows XP Service Pack 2 で変更された既存機能

アドオン インストール プロンプト

詳細説明

Windows XP Service Pack 1 では、現在コンピュータ上にない ActiveX コントロールを Web ページで参照すると、その ActiveX コントロールをダウンロードするかどうかの確認を求められます。Windows XP SP2 では、これが情報バーに表示されます。次の表は、情報バーの要素を示しています。< > 内のテキストは、状況に応じて固有の項目に置き換えられます。

情報バーの要素

メッセージ テキスト

情報バーのテキスト

このサイトには、次の ActiveX コントロールが必要な可能性があります: <発行元名> からの <コントロール名>。インストールするには、ここをクリックしてください。

短いテキスト

インストールのブロック

メニュー オプション

ActiveX コントロールのインストール

危険性の説明

信頼された発行元は Windows XP SP1 の場合と同様に機能します。それらの発行元から提供されるコントロールは追加の構成を行わずにインストールできます。

ブロックされた発行元については、ステータス バー アイコンが表示されます。それらの発行元が提供するコントロールはコンピュータにインストールされず、情報バーにも示されません。

アドオンのアップグレードは Windows XP SP1 の場合と同様に機能します。Internet Explorer は、次の条件を使用してコントロールがアップグレードであるかどうかを判断します。

  • ActiveX コントロールとして登録されているファイルが、Authenticode™ 技術で署名されている。このファイルは、HKEY_CLASSES_ROOT¥CLSID¥<コントロールの CLSID>¥InProcServer32 から参照されます。<コントロールの CLSID> は、OBJECT タグが指定する CLSID です。

  • 新しいコントロールのデジタル署名にある発行元の名前が、既存のコントロールのデジタル署名にある発行元の名前と一致する。

  • ActiveX コントロールが CAB ファイルでパッケージ化され、この CAB ファイルが署名されている。今後のアップグレード時に情報バーを回避するために、インストールする DLL または OCX も署名されている必要があります。

この変更が重要な理由と軽減される脅威

ダイアログ ボックスではなく情報バーでアドオン インストール プロンプトを表示すると、ユーザーが誤ってコンピュータにコードをインストールする可能性を軽減することができます。

動作の相違点

現在、Web ページの中には、正しく動作するためにコードをインストールすることを求めるページがあります。ユーザーを別のページにリダイレクトして、ActiveX のインストール方法を説明しているサイトもあります。サイトが新しいページでコントロールを提供せず、自動的にこのページにリダイレクトする場合は、リダイレクト先のページで情報バーが表示され、ここでコントロールをインストールすることができます。ただし、ActiveX コントロールをインストールするためのウィンドウが閉じる場合は、コントロールをインストールできない可能性があります。

これらの問題の解決法

Web ページの作成者は、ユーザーがリダイレクト先のページでも ActiveX コントロールを使用できるようにする必要があります。これにより、ユーザーは確実にコントロールをインストールできます。

Web ページの作成者はユーザーにセキュリティの設定を下げるように勧めないでください。この場合は効果がありません。Windows XP SP2 の Web 作成者向けのその他のガイダンスについては、MSDN Web サイト (http://go.microsoft.com/fwlink/?LinkId=32775) の Windows XP Service Pack 2 での Web サイトの微調整についてのページを参照してください。

ポップアップ ブロックの通知

詳細説明

Windows XP SP2 では、ポップアップがブロックされると、その通知が情報バーに表示されます。これが、ポップアップの再実行、ポップアップ許可一覧へのサイトの追加、ポップアップ ブロック設定への移動などのポップアップ ブロックの機能を使用するための明確なエントリ ポイントになります。また、情報バーは、ユーザーがこのイベントの通知頻度が高すぎると判断したときにポップアップに関する情報バーをオフにする際のトップ レベルのエントリ ポイントにもなります。

情報バーの要素

表示

情報バーのテキスト

ポップアップがブロックされました。このポップアップまたは追加オプションを参照するには、ここをクリックしてください。

短いテキスト

ポップアップのブロック

メニュー オプション

ポップアップを一時的に許可

このサイトのポップアップを常に許可

設定

この変更が重要な理由と軽減される脅威

ポップアップがブロックされたという通知が情報バーに表示されると、その通知がより優先されるようになります。ユーザーは、ブロックされたポップアップ ウィンドウを表示できる場所、あるいはポップアップ ブロックの設定を確認できる場所について把握できるようになります。

動作の相違点

情報バーをオフにすると、ポップアップ ブロックは以前のようにステータス バー アイコンで通知します。ポップアップに関する情報バーを無効にしても、このステータス バー アイコンから同じメニュー項目すべてにアクセスすることができます。詳細については、このドキュメントで後述する「Internet Explorer ポップアップ ブロック」を参照してください。

自動ダウンロード プロンプト

詳細説明

自動的に起動するファイル ダウンロード プロンプトは、情報バーに表示されます。

情報バーには、アクションを実行した理由を説明するテキストが表示され、通知に応答するために使用する、状況に応じたメニューも表示されます。次の表は、情報バーに表示されるテキストと、メニューからユーザーが選択できるアクションを示しています。

情報バーの要素

表示

情報バーのテキスト

セキュリティ保護のため、このサイトからコンピュータにファイルをダウンロードされないよう、Web ブラウザでブロックされています。オプションを表示するには、ここをクリックしてください。

わかりやすい通知テキスト

ファイルのダウンロードをブロック

メニュー オプション

ソフトウェアのダウンロード

危険性の説明

この変更が重要な理由と軽減される脅威

ダウンロード プロンプトを情報バーに移動すると、ユーザーが不要なコードをコンピュータにインストールすることを回避できます。これまでは、サイトから大量のファイル ダウンロード プロンプトが送信され、ユーザーが不要なソフトウェアを誤ってコンピュータにインストールすることがありました。この変更により、以前は自動的に表示されたファイル ダウンロード プロンプトがユーザーによる確認のクリックの後で表示されるようになり、誤ったアクションを減らすことができます。

動作の相違点

ページ上の要素をクリックするなどのユーザーのアクションがない場合にサイトからファイル ダウンロード プロンプトが送られてくると、そのことが情報バーに表示されます。

これらの問題の解決法

Web の作成者は Web ページに、ファイルをダウンロードするためにユーザーがクリックするリンクを設定する必要があります。リソースに移動するスクリプトを使用する場合は、目的のリンクに対する OnClick イベント ハンドラのコンテキスト内で同期的にスクリプトを実行してください。

Windows XP SP2 の Web 作成者向けのその他のガイダンスについては、MSDN Web サイト (http://go.microsoft.com/fwlink/?LinkId=32775) の Windows XP Service Pack 2 での Web サイトの微調整についてのページを参照してください。

アクティブ コンテンツのブロック

詳細説明

ローカル コンピュータのゾーン内でアクティブなコンテンツの実行がブロックされると、情報バーが表示されます。

情報バーには、アクションを実行した理由を説明するテキストが表示され、通知に応答するために使用する、状況に応じたメニューも表示されます。次の表は、情報バーに表示されるテキストと、メニューからユーザーが選択できるアクションを示しています。

情報バーの要素

表示

情報バーのテキスト

セキュリティ保護のため、コンピュータにアクセスできるアクティブ コンテンツは表示されないよう、Web ブラウザで制限されています。オプションを表示するには、ここをクリックしてください。

短いテキスト

アクティブ コンテンツのブロック

メニュー オプション

ブロックされているコンテンツを許可

危険性の説明

この変更が重要な理由と軽減される脅威

Windows XP SP2 では、特定のタスクの完了に必要とされるアクティブなコンテンツが、Internet Explorer によってブロックされることがあります。この新しいユーザー インターフェイス要素により、信頼できる Web ページでユーザーがこれらのタスクを実行できることが通知されます。

動作の相違点

ローカル コンピュータのゾーンでの軽減機能として、新しい情報バーが使用されます。

詳細については、このドキュメントで後述する「Internet Explorer のローカル コンピュータ ゾーンのロックダウン」を参照してください。

セキュリティの設定によってブロックされる ActiveX

詳細説明

Windows XP SP2 では、セキュリティの設定によって ActiveX がブロックされたというメッセージは表示されません。Internet Explorer では、情報バーにこの通知が表示されます。

情報バーには、アクションを実行した理由を説明するテキストが表示され、通知に応答するために使用する、状況に応じたメニューも表示されます。次の表は、情報バーに表示されるテキストと、メニューからユーザーが選択できるアクションを示しています。

情報バーの要素

表示

情報バーのテキスト

セキュリティの設定により、Web サイトによる、このコンピュータにインストールされている ActiveX コントロールの実行は許可されません。そのため、ページは正確に表示されない可能性があります。オプションを表示するには、ここをクリックしてください。

短いテキスト

ソフトウェアのブロック

メニュー オプション

詳細情報

この変更が重要な理由と軽減される脅威

Windows XP SP1 のプロンプトでは、セキュリティ設定を強化したブラウズは困難です。このプロンプトを情報バーに表示すると、ユーザーはプロンプトを使用せずに、セキュリティ設定を強化したブラウズを簡単に実行できます。

動作の相違点

セキュリティ スライダを [高] に設定してインターネット ゾーンをブラウズする場合を除いて、アプリケーションの互換性の問題が生じることはありません。

Windows XP Service Pack 2 で追加または変更された設定

この機能に関するレジストリ キーの詳細については、このドキュメントで後述する「セキュリティ ゾーン設定に機能コントロール レジストリ設定を使用する Internet Explorer」を参照してください。

Windows XP Service Pack 2 に対応するためにコードの変更が必要かどうか

Web ページ作成者は、ユーザーがアドオンをインストールするかどうかに基づいて、リダイレクトしたりユーザーが開いたウィンドウを閉じたりしないようにしてください。

ファイル ダウンロード プロンプトを自動的に生成する Web ページ作成者は、それらのダウンロードへのリンクをサイトに設定してください。

アドオンの発行元は、前のコントロールへのアップグレードには同じグローバル一意識別子 (GUID) を使用するようにして、アップグレードに関する情報が情報バーに表示されないようにしてください。

Windows XP SP2 の Web 作成者向けのその他のガイダンスについては、MSDN Web サイト (http://go.microsoft.com/fwlink/?LinkId=32775) の Windows XP Service Pack 2 での Web サイトの微調整についてのページを参照してください。

セキュリティ ゾーン設定に機能コントロール レジストリ設定を使用する Internet Explorer

機能コントロール レジストリ設定とセキュリティ ゾーン設定の機能

特定のプロセスを構成して個々のセキュリティ機能をオプトインすることができるように、Windows XP SP2 には機能コントロール レジストリ設定が用意されています。次の例では、ウィンドウの制限のセキュリティ機能を使用するように、Internet Explorer が構成されています。

[HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft
¥Internet Explorer¥Main¥FeatureControl
¥FEATURE_WINDOWS_RESTRICTIONS] iexplore.exe=1

あるセキュリティ機能を使用するようにプロセスを構成すると、そのセキュリティ機能が実行されますが、その機能にセキュリティ ゾーン設定が実装されている場合はその設定も適用できます。[インターネット オプション] の [セキュリティ] タブでは、Windows XP SP2 のさまざまな新しい機能コントロールに対してこれらの設定を調整することができます。[有効にする] を選択すると、セキュリティ設定のレベルが下がって動作実行時のセキュリティが低くなったり、Windows XP Service Pack 1 と同じ動作になったりします。たとえば、イントラネット ゾーンのウィンドウの制限を [有効にする] に設定すると、ウィンドウの制限は適用されず、Windows XP SP1 と同様にスクリプトで起動するウィンドウが自由に開きます。セキュリティ ゾーン設定を [無効にする] に設定すると、Windows XP SP2 の制限を再び適用でき、プロセスに対して機能コントロールが有効になり、安全性の低い動作がブロックされます。

たとえば、ウィンドウの制限の機能をオンにすると、次のようになります。

  • スクリプトで起動され、"window.open() を用いて作成された" タイトル バーが表示される Internet Explorer ウィンドウでは、ステータス バーが強制的に表示されます。

  • スクリプトで起動され、タイトル バーとステータス バーが表示される Internet Explorer ウィンドウは、サイズと位置が制限され、ウィンドウのタイトル バーとステータス バーを常に確認できるようになります。

  • スクリプトで起動され、タイトル バー、ステータス バー、またはその他のフレームが表示されないポップアップ ウィンドウは制限され、ウィンドウは次のようになります。

    • 親 Web オブジェクト コントロール (WebOC) ウィンドウの最上部より上または最下部より下には延長されません。

    • 親 WebOC ウィンドウより高さが小さい必要があります。

    • 親ウィンドウと上下に並べて表示されます。

    • 親ウィンドウが移動された場合、それと離れないように移動します。

    • 他のウィンドウが見えるように、親ウィンドウの上に "z" 状に配置されます。

各機能コントロールの詳細については、このドキュメントで後述します。URL アクション設定やそのセキュリティ ゾーンとの関係の詳細については、Microsoft の Web サイト (http://go.microsoft.com/fwlink/?LinkId=26001) の URL セキュリティ ゾーン テンプレートについてのページを参照してください。

機能に対してセキュリティ ゾーン設定を使用すると、Windows XP SP2 に組み込まれたセキュリティ機能をより正確に制御でき、組織のイントラネット アプリケーションに対するアプリケーション互換性の管理に役立ちます。ユーザーや管理者は、危険性に応じてさまざまな動作を選択することができます。たとえば、インターネット ゾーンの http://www.contoso.com にウィンドウの制限機能が既定で適用されているとします。この機能のある要素により、window.open メソッドで作成された Internet Explorer ウィンドウでステータス バーが強制的に表示されます。このセキュリティ機能は、ウィンドウの送信元が信頼されていないソースである場合に、ユーザーが信頼されているソースと判断しないようにするために追加されています。ただし、企業のセキュリティは通常高く危険性は低いので、既定ではイントラネットの http://contoso に対してウィンドウの制限機能がオフになっています。イントラネット アプリケーションは、Windows XP SP1 の場合と同様に引き続き動作し、セキュリティ制限が追加されたことによる互換性の問題の影響を受けません。

この機能の対象ユーザー

Web アプリケーション開発者は、Windows XP SP2 の新しいセキュリティ設定がアプリケーションを実行するゾーンに依存することを把握する必要があります。このため、情報のセキュリティを踏まえた上で、セキュリティ ゾーンを注意して割り当てる必要があります。アプリケーションの互換性を評価する場合も、使用するセキュリティ ゾーンを考慮する必要があります。

グループ ポリシーの管理者は、組織内の固有の環境に合わせて各ゾーンの既定値を調整することができます。

グループ ポリシー内のポリシーで禁止されていなければ、ユーザーはコントロール パネルの [インターネット オプション] から、各ゾーンのセキュリティ ゾーン設定や URL アクションの値を管理することができます。ローカル コンピュータ ゾーンはコントロール パネルからアクセスすることはできないので、注意してください。ゾーンのセキュリティ設定にアクセスするには、[スタート] ボタン、[コントロール パネル]、[インターネット オプション]、[セキュリティ] タブ、Web セキュリティ ゾーン、[レベルのカスタマイズ] の順にクリックします。

Windows XP Service Pack 2 でこの機能に追加された新機能

機能コントロールのレジストリ設定

詳細説明

Windows XP Service Pack 2 には、新しい機能コントロール レジストリ設定が用意されています。

これらの機能の多くでは、レジストリ設定がオンの場合に、ユーザーは URL アクション フラグとも呼ばれるセキュリティ設定を構成し、各セキュリティ ゾーンの機能コントロールを微調整することができます。

  • Internet Explorer 機能コントロールに対して [有効にする] を選択して実行できるようにすると、ゾーンのセキュリティが Windows XP Service Pack 1 の場合と同じになります。このゾーンには関連するセキュリティ制御機能は適用されず、この機能が提供するセキュリティ層は追加されずにセキュリティ ゾーンが実行されます。

  • セキュリティ ゾーン設定を無効にすると、問題を起こす可能性のあるアクションは実行できず、プロセスの機能コントロール設定の指定により、このゾーンでは、この Internet Explorer のセキュリティ機能がオンになります。

通常、セキュリティ設定は URL セキュリティ ゾーン テンプレートでゾーンに適用されます。Windows XP SP2 でのセキュリティ設定の既定値やゾーン テンプレートの設定については、このドキュメントで後述する「グループ ポリシーにおける Internet Explorer の UrlAction セキュリティ設定」の一覧を参照してください。

この変更が重要な理由と軽減される脅威

当初想定したように、すべてのセキュリティ ゾーンに関して、各機能コントロール設定はオンまたはオフのどちらかです。ユーザーのフィードバックにより、一部の機能に対して設定をより細かく行う必要があることがわかりました。たとえば、内部ワークフローがイントラネット アプリケーションに依存する組織があります。インターネット ゾーンにおいてはユーザーを保護できる機能コントロールが、イントラネット アプリケーションの動作を停止させることがあります。そのため、Microsoft はさまざまなセキュリティ設定をゾーンごとに制御できるようにしました。

動作の相違点

ゾーンごとにセキュリティを設定することにより、新しいセキュリティ機能をより柔軟に適用できます。この柔軟性によって、特にイントラネット シナリオで、この新しいセキュリティ機能の実装が管理しやすくなります。

これらの問題の解決法

機能コントロール設定がアプリケーションの問題の原因であると考えられる場合、アプリケーションを実行しているゾーンの機能コントロール設定を [有効にする] に変更すると、管理者またはユーザーは他のセキュリティ ゾーンで高いセキュリティを維持しながら、そのセキュリティ ゾーンでは Windows XP SP1 の動作に戻すことができます。一部のセキュリティ設定では、[有効にする] や [無効にする] のほかに、[ダイアログを表示する] や [管理者の許可済み] などの追加の構成オプションを使用できます。

Windows XP Service Pack 2で追加または変更された設定

次の表は、Windows XP Service Pack 2 の Internet Explorer 6.0 での 3 つの新しい URLaction セキュリティ設定例を示しています。設定の詳細については、このドキュメントで後述します。

設定名

場所

既定値

設定可能な値

URLACTION _
FEATURE_
MIME_SNIFFING

HKEY_LOCAL_MACHINE
¥SOFTWARE¥Microsoft
¥Windows¥CurrentVersion
¥Internet Settings¥Zones

HKEY_CURRENT_USER
¥SOFTWARE¥Microsoft
¥Windows¥CurrentVersion
¥Internet Settings¥Zones

ゾーンごとに設定

有効にする

無効にする

URLACTION_
FEATURE_
ZONE_ELEVATION

HKEY_LOCAL_MACHINE
¥SOFTWARE¥Microsoft
¥Windows¥CurrentVersion
¥Internet Settings¥Zones

HKEY_CURRENT_USER
¥SOFTWARE¥Microsoft
¥Windows¥CurrentVersion
¥Internet Settings¥Zones

ゾーンごとに設定

有効にする

無効にする

ダイアログを表示する

URLACTION _
FEATURE_
WINDOW_RESTRICTIONS

HKEY_LOCAL_MACHINE
¥SOFTWARE¥Microsoft
¥Windows¥CurrentVersion
¥Internet Settings¥Zones

HKEY_CURRENT_USER
¥SOFTWARE¥Microsoft
¥Windows¥CurrentVersion
¥Internet Settings¥Zones

ゾーンごとに設定

有効にする

無効にする

Windows XP Service Pack 2 に対応するためにコードの変更が必要かどうか

コードで既定の URLmon セキュリティ マネージャを使用する場合、開発者は CoInternetIsFeatureEnabledForURL を呼び出して、特定のゾーンのセキュリティ設定をチェックする必要があります。

グループ ポリシーにおける Internet Explorer の機能コントロール設定

グループ ポリシーにおける Internet Explorer の機能コントロール設定の機能

Windows XP Service Pack 2 には、機能コントロールと呼ばれる Internet Explorer のセキュリティ機能に使用する新しいレジストリ キーとレジストリ値が用意されています。このセクションでは、各セキュリティ機能について、新しい機能コントロールに関するレジストリ設定の具体的な動作を説明します。

修正された Inetres.adm ファイルには、新しい機能コントロール設定がポリシーとして含まれています。管理者はグループ ポリシー オブジェクト (GPO) を使用して、新しい機能コントロール ポリシーを管理することができます。Internet Explorer をインストールする際に、これらの機能コントロールに関する既定の設定がコンピュータの HKEY_LOCAL_MACHINE に登録されます。グループ ポリシーでは、管理者はそれらを HKEY_LOCAL_MACHINE (コンピュータの構成) または HKEY_CURRENT_USER (ユーザーの構成) で設定することができます。

この機能の対象ユーザー

グループ ポリシー管理者は、管理するコンピュータおよびユーザーに対する新しい Internet Explorer の機能コントロール設定の構成を統一することができます。

Windows XP Service Pack 2 で変更された既存機能

グループ ポリシーに関する Internet Explorer の設定

詳細説明

新しい機能コントロール ポリシーには以下のものがあります。

  • バイナリ ビヘイビア セキュリティ制限

  • MK プロトコル セキュリティ制限

  • ローカル コンピュータ ゾーンのロックダウン セキュリティ

  • 一貫性のある MIME 処理

  • MIME スニッフィング安全機能

  • オブジェクト キャッシュの保護

  • スクリプト化された Windows セキュリティ制限

  • ゾーン昇格からの保護

  • 情報バー

  • ActiveX のインストール制限

  • FileDownload の制限

  • アドオン管理

  • ネットワーク プロトコルのロックダウン

グループ ポリシー管理コンソールでは、機能コントロールに対するローカル コンピュータ ポリシーは ¥コンピュータの構成¥管理用テンプレート
¥Windows コンポーネント¥Internet Explorer¥セキュリティの機能にあります。

機能コントロールに対する現在のユーザー ポリシーは、¥ユーザーの構成¥管理用テンプレート
¥Windows コンポーネント¥Internet Explorer¥セキュリティの機能にあります。

この機能に関するポリシーは、ゾーンの固有のセキュリティ設定ポリシーや設定が適用される前に、たとえば IExplore.exe などのプロセスに対して有効にしておく必要があります。機能コントロール キーの動作やプロセスに対するキーの設定の詳細については、このドキュメントで後述する各機能のセクションや「セキュリティ ゾーン設定に機能コントロール レジストリ設定を使用する Internet Explorer」を参照してください。ゾーンに固有のセキュリティ設定の詳細については、このドキュメントで後述する「グループ ポリシーにおける Internet Explorer の UrlAction セキュリティ設定」を参照してください。

グループ ポリシー管理者は、グループ ポリシー管理コンソールの拡張機能である管理テンプレートを使用して、これらの新しいポリシーを管理することができます。これらのポリシーを構成する場合、管理者はエクスプローラ プロセス (Internet Explorer および Windows エクスプローラ)、自分が定義した実行可能プロセス、または WebOC をホスティングするすべてのプロセスに対して、セキュリティ機能を有効または無効にすることができます。

ユーザーは、Internet Explorer のユーザー インターフェイスを使用して、ローカル コンピュータ ゾーンのロックダウン セキュリティ以外の機能コントロール ポリシーや設定を表示することはできません。機能コントロール ポリシーは、グループ ポリシー管理コンソールでのみ設定することができます。また、機能コントロール設定はプログラムを実行するか、レジストリを編集することによってのみ変更することができます。

ポリシーと設定の構成

企業のネットワーク上のクライアント コンピュータの Internet Explorer を管理する場合、グループ ポリシーを使用することをお勧めします。Internet Explorer では、Windows XP Service Pack 2 の IE の新しい機能コントロールすべてや、セキュリティ ページ設定または urlAction に対するグループ ポリシーの管理がサポートされています。グループ ポリシー管理者は、グループ ポリシー管理コンソールの拡張機能である管理テンプレートを使用して、これらの新しいポリシー設定を管理することができます。

ポリシー設定を実装する場合は、あるグループ ポリシー オブジェクト (GPO) のテンプレート ポリシー設定を構成し、別の GPO の関連する各ポリシー設定を構成することをお勧めします。次に、優先順位、継承、強制などのグループ ポリシーの管理機能を使用して、特定のクライアント コンピュータに固有の設定を適用します。

ユーザーはポリシーを参照できますが、グループ ポリシー管理または管理者のみがポリシーを変更することができます。設定は、プログラムを実行するか、レジストリを編集するか、urlAction の場合は Internet Explorer を使用して変更することができます。ポリシーに関連付けられている設定は、Internet Explorer の設定により指定された設定よりも優先されます。

IEAK/IEM

Windows XP SP2 以前のオペレーティング システムと以前のバージョンの Internet Explorer でも、エンド ユーザー向けに Internet Explorer をカスタマイズするソリューション プロバイダやアプリケーション開発者は、Internet Explorer Administration Kit (IEAK) 6 Service Pack 1 を使用することをお勧めします。IEAK サポートや IEAK/IEM プロセスは、Windows XP Service Pack 2 以前のバージョンの Internet Explorer でも変わりません。また、Windows XP Service Pack 2 を含め、IEAK/IEM を使用してユーザー設定を行うプロセスも変わりません。XPSP2 の IE6 の設定も同様です。ただし、この機能が提供する真のポリシー設定を管理できるのは、グループ ポリシーのみです。IEAK の詳細については、Microsoft の Web サイト (http://go.microsoft.com/fwlink/?LinkId=26002) の Microsoft Internet Explorer 6 Administration Kit Service Pack 1 についてのページを参照してください。

Windows XP SP 2 での IEAK/IEM に対する主な変更は、次の 2 つです。

  • IE へのアップグレードは、Windows の Service Pack や Windows の正式リリースでのみ使用できます。

  • Windows XP SP2 では、IE バイナリを IEAK パッケージで再配布することはできません。IEAK 6 SP1 から生成されるカスタマイズされたパッケージにより、Windows XP SP2 上で実行されている Internet Explorer に設定が透過的に適用されます。ただし、バイナリがインストールされるこ