Windows XP セキュリティ ガイド

トピック

	概要
	[コンピュータの構成] 設定
	ユーザーの構成の設定
	まとめ

概要

この章では、管理用テンプレートを使用して、Microsoft® Windows® XP Professional Service Pack 2 (SP2) で追加のセキュリティ設定を構成および適用する方法について詳しく説明します。管理用テンプレート (.adm) ファイルは、サービス、アプリケーション、およびオペレーティング システムに関するさまざまなコンポーネントの動作を制御する、Windows XP のレジストリ設定を構成するときに使用します。

Windows XP SP2 に付属する 5 つの管理用テンプレートには数百もの追加設定が含まれ、Windows XP Professional のセキュリティを強化するために使用できます。Microsoft Windows Server™ 2003の管理用テンプレートには、Windows XP では正しく機能しない設定がいくつかあります。Windows XP で利用できる管理用テンプレートの全一覧については、この章の最後のセクション「関連情報」で紹介している Microsoft Excel® ブック「Policy Settings」を参照してください。

次の表に .adm ファイルの一覧と、各 .adm ファイルが作用するアプリケーションおよびサービスを示します。

表 4.1 管理用テンプレート ファイル

注 :環境内のコンピュータやユーザーに管理用テンプレートの設定を適用するためには、グループ ポリシー オブジェクト (GPO) に対して管理用テンプレートの設定を手動で構成する必要があります。

管理用テンプレートの設定は主に次の 2 つのグループに分けられます。

この章では、「第 3 章 Windows XP クライアントのセキュリティ設定」と同様、このガイドで定義しているエンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境で推奨される規定の設定を示します。

注 :ユーザー設定は、リンクしている GPO を介して、ユーザーが含まれる組織単位 (OU) に適用されます。OU の詳細については、「第 2 章 Active Directory ドメイン インフラストラクチャを構成する」を参照してください。

グループ ポリシー オブジェクト エディタで [コンピュータの構成] と [ユーザーの構成] の両方に対して使用できる設定もあります。コンピュータにログオンするユーザーに適用される設定が、グループ ポリシーを介して適用された [コンピュータの構成] 設定と同じ場合、[ユーザーの構成] 設定よりも [コンピュータの構成] 設定が優先されます。

このガイドの以前のバージョンには、Office XP の設定に関する情報が記載されていました。これらの設定は Office 2003 用に更新され、現在は Microsoft Web サイトで公開されています。この情報へのリンクについては、この章の最後にある「関連情報」セクションを参照してください。

この章では、Microsoft によって提供されている管理用テンプレートで利用可能な設定がすべて網羅されているわけではありません。管理用テンプレートの設定は、多くがユーザー インターフェイス (UI) 設定に関するものであり、個々のセキュリティ リスクを解決するためのものではありません。このガイドに記載された設定のうち、どれを環境に適用するかという決定は、組織が掲げるセキュリティ目標によって決まります。

グループ ポリシーを使用して Windows XP Professional に適用したい追加設定がある場合は、カスタム テンプレートを独自に作成できます。独自の管理用テンプレートを作成する方法については、この章の最後にある「関連情報」セクションに記載されている各種ホワイト ペーパーを参照してください。

ページのトップへ

[コンピュータの構成] 設定

この後の各セクションでは、グループ ポリシー オブジェクト エディタの [コンピュータの構成] で規定される設定について説明します。次の項目について各種設定を構成します。

コンピュータの構成\管理用テンプレート

この場所を次の図に示します。

図 4.1 [コンピュータの構成] のグループ ポリシー構造
画像を画面全体に表示

この章の構成は、グループ ポリシーのコンテナ構造に基づいています。この後の各セクションの表では、[コンピュータの構成] のさまざまなオプションの推奨設定をまとめ、エンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境の 2 つのセキュリティ保護された環境にあるデスクトップとラップトップのクライアント コンピュータに推奨される設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。

環境内のコンピュータ アカウントが含まれる OU にリンクする GPO を介してこれらの設定を適用します。ラップトップの OU にリンクされた GPO にはラップトップ設定を、デスクトップの OU にリンクされた GPO にはデスクトップ設定を追加することになります。

Windows コンポーネント

次の図に、このセクションで行う設定変更の影響を受けるグループ ポリシーの各セクションを示します。

図 4.2 [コンピュータの構成] の [Windows コンポーネント] のグループ ポリシー構造
画像を画面全体に表示

NetMeeting

Microsoft NetMeeting では社内のネットワークを使用して仮想的な会議を行うことができます。以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\
NetMeeting

表 4.2 [NetMeeting] の推奨設定

リモート デスクトップ共有を無効にする

このポリシー設定では、NetMeeting のリモート デスクトップ共有機能を無効にします。このポリシー設定を有効にすると、ユーザーはローカル デスクトップをリモート制御できるように NetMeeting を構成することができなくなります。

[リモート デスクトップ共有を無効にする] の値は、EC 環境では [未構成] に設定します。SSLF 環境では [有効] に設定して、ユーザーが NetMeeting を使用してリモートからデスクトップを共有できないようにします。

Internet Explorer

Microsoft Internet Explorer のグループ ポリシーを使用すると、Windows XP ワークステーションのセキュリティ要件が適用され、Internet Explorer を介した不要なコンテンツの交換ができなくなります。次の基準に該当するか確認して、ユーザー環境のワークステーションで Internet Explorer を保護します。

以下に示す Internet Explorer の規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer

次の表に、[Internet Explorer] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。

表 4.3 [Internet Explorer] の推奨設定

Internet Explorer コンポーネントの自動インストールを許可しない

このポリシー設定を有効にすると、正常に動作するために特定のコンポーネントを必要とする Web サイトをユーザーが参照したとき、Internet Explorer でそのコンポーネントを自動的にダウンロードできなくなります。無効または未構成にすると、コンポーネントを使用する Web サイトにアクセスするたびに、コンポーネントのダウンロードおよびインストールを求めるダイアログ ボックスが表示されます。

この章で説明している 2 つの環境では、[Internet Explorer コンポーネントの自動インストールを許可しない] の値を [有効] に設定します。

注 :このポリシー設定を有効にする前に、Microsoft Update や同様のサービスを使用して Internet Explorer を更新する方法を別途設定しておくことをお勧めします。

Internet Explorer ソフトウェアの更新の周期的なチェックを許可しない

このポリシー設定を有効にすると、Internet Explorer の最新バージョンを利用できるかどうかの確認、また利用できる場合のユーザーへの通知ができなくなります。無効または未構成にすると、Internet Explorer の最新バージョンを利用できるかどうかが既定で 30 日ごとに確認され、利用できる場合はユーザーに通知されます。

この章で説明している 2 つの環境では、[Internet Explorer ソフトウェアの更新の周期的なチェックを許可しない] の値を [有効] に設定します。

注 :このポリシーを有効にする前に、組織の管理者が、管理対象のクライアント コンピュータで Internet Explorer の最新バージョンを定期的に受け取れる方法を別途設定することをお勧めします。

プログラムの起動におけるソフトウェア更新チャンネルの通知を許可しない

このポリシー設定では、Microsoft ソフトウェア配布チャンネルを使用するプログラムで新しいコンポーネントがインストールされるときにユーザーに通知しないことを指定します。ソフトウェア配布チャンネルは、ユーザーのコンピュータ上のソフトウェアを動的に更新するために使用されます。この機能は公開ソフトウェア配布 (.osd) 技術に基づいています。

この章で説明している 2 つの環境では、[プログラムの起動におけるソフトウェア更新チャンネルの通知を許可しない] の値を [有効] に設定します。

ユーザーによるアドオンの有効化および無効化を許可しない

このポリシー設定を使用すると、ユーザーが [アドオンの管理] を使用してアドオンを許可または拒否できるかどうかを管理できます。このポリシー設定の値を [有効] に設定すると、ユーザーは [アドオンの管理] を使用してアドオンを有効または無効にできません。ただし、ユーザーがアドオンを引き続き管理できるように [アドオンの一覧] ポリシー設定にそのアドオンを入力した場合を除きます。この場合は、ユーザーが [アドオンの管理] を使用してそのアドオンを管理できます。このポリシー設定の値を [無効] に設定すると、ユーザーはアドオンを有効または無効にすることができます。

注 :Windows XP SP2 で Internet Explorer のアドオンを管理する方法については、http://support.microsoft.com/kb/883256/en-us のマイクロソフト サポート技術情報 883256 「Windows XP Service Pack 2 で Internet Explorer のアドオンを管理する方法」 (英語情報) を参照してください。

ユーザーは、組織のセキュリティ ポリシーで許可されていないアドオンをインストールすることがよくあります。このようなアドオンは、ネットワークにとってセキュリティ上およびプライバシー上の大きなリスクとなる可能性があります。したがって、このガイドで説明している 2 つの環境では、このポリシー設定の値を [有効]に設定します。

注 :Internet Explorer\セキュリティの機能\アドオン管理にある GPO 設定を確認し、許可された適切なアドオンを環境内で実行できることを確認する必要があります。たとえば、http://support.microsoft.com/default.aspx?kbid=555235 のマイクロソフト サポート技術情報「XP Service Pack 2 アドオン ブロックがグループ ポリシーを介して有効な場合、Outlook Web Access と Small Business Server リモート Web 職場が機能しません。」を参照してください。

コンピュータ別にプロキシを設定する (ユーザー別ではなく)

このポリシー設定を有効にすると、ユーザーが、ユーザー固有のプロキシ設定を変更できなくなります。ユーザーは、アクセスするコンピュータのすべてのユーザーに対して作成されたゾーンを使用する必要があります。

この章で説明している 2 つの環境のデスクトップ クライアント コンピュータでは、[コンピュータ別にプロキシを設定する (ユーザー別ではなく)] の値を [有効] に設定します。ラップトップ クライアント コンピュータでは、モバイル ユーザーが移動中にプロキシ設定を変更しなければならないことがあるので、この値を [無効] に設定します。

セキュリティ ゾーン:サイトの追加/削除を許可しない

このポリシー設定を有効にすると、セキュリティ ゾーンのサイト管理設定が無効になります(セキュリティ ゾーンのサイト管理設定を表示するには、Internet Explorer を開き、[ツール] メニューの [インターネット オプション] をクリックします。次に、[セキュリティ] タブをクリックし、[サイト] をクリックします)。このポリシー設定を無効または未構成にすると、ユーザーは [信頼済みサイト] ゾーンと [制限付きサイト] ゾーンの Web サイトを追加または削除したり、[ローカル イントラネット] ゾーンの設定を変更したりできます。

この章で説明している 2 つの環境では、[セキュリティ ゾーン: サイトの追加/削除を許可しない] の値を [有効] に設定します。

注 : [[セキュリティ] ページの使用を許可しない] 設定 (\ユーザーの構成\
管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル) を有効にすると、[インターネット オプション] ダイアログ ボックスに [セキュリティ] タブが表示されなくなります。[[セキュリティ] ページの使用を許可しない] 設定は、[セキュリティ ゾーン: サイトの追加/削除を許可しない] 設定に優先します。

セキュリティ ゾーン:ポリシーの変更を許可しない

このポリシー設定を有効にすると、[インターネット オプション] ダイアログ ボックスの [セキュリティ] タブにある [レベルのカスタマイズ] ボタンおよび [このゾーンのセキュリティのレベル] スライダが無効になります。無効または未構成にすると、ユーザーはセキュリティ ゾーンの設定を変更できます。この設定は、管理者が設定したセキュリティ ゾーンのポリシー設定をユーザーが変更できないようにします。

この章で説明している 2 つの環境では、[セキュリティ ゾーン: ポリシーの変更を許可しない] の値を [有効] に設定します。

注 :[セキュリティ] ページの使用を許可しない設定 (\ユーザーの構成\
管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル) を有効にすると、[インターネット オプション] ダイアログ ボックスに [セキュリティ] タブが表示されなくなります。[セキュリティ] ページの使用を許可しない設定は、セキュリティ ゾーン: ポリシーの変更を許可しない設定に優先します。

セキュリティ ゾーン:コンピュータの設定のみ使用する

このポリシー設定では、セキュリティ ゾーンの変更を、他のユーザーにどのように適用するかを指定します。同じコンピュータでは統一されたセキュリティ ゾーン設定が使用されるようにし、ユーザーごとに設定が異なることがないようにします。このポリシー設定を有効にすると、あるユーザーがセキュリティ ゾーンに対して行った変更は、そのコンピュータを使用するすべてのユーザーに適用されます。無効または未構成にすると、同じコンピュータを使用するユーザーはそれぞれ独自のセキュリティ ゾーン設定を構成できます。

この章で説明している 2 つの環境では、[セキュリティ ゾーン: コンピュータの設定のみ使用する] の値を [有効] に設定します。

クラッシュの検出を無効にする

このポリシー設定を使用すると、Internet Explorer のアドオン管理のクラッシュ検出機能を管理できます。このポリシー設定を有効にすると、Internet Explorer でクラッシュが発生した場合、Windows XP Professional Service Pack 1 (SP1) 以前のバージョンを実行しているコンピュータの場合と同様に、Windows エラー報告が起動します。無効にすると、アドオン管理のクラッシュ検出機能が動作します。

Internet Explorer のクラッシュ レポート情報には、コンピュータのメモリに保存されている機密情報が含まれている場合があるので、この章で説明している 2 つの環境では、[クラッシュの検出を無効にする] の値を [有効] に設定します。クラッシュが頻繁に発生し、そのトラブルシューティングのために問題を報告する必要がある場合は、一時的に [無効] に設定することもできます。

Internet Explorer\インターネット コントロール パネル\セキュリティ ページ

これらのコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル\セキュリティ ページ

SP2 では、環境全体で Internet Explorer ゾーン構成のセキュリティを保護するための、複数の新しいポリシー設定が導入されています。これらの設定は、既定値でも、Windows の旧バージョンと比べてセキュリティが強化されます。ただし、これらの設定を見直して、環境内でこれらのポリシーを必須の設定に構成したり、利便性やアプリケーションの互換性を考慮して緩和したりすることもできます。

たとえば、SP2 では、Internet Explorer がすべてのインターネット ゾーンのポップアップをブロックするように既定で構成されます。この設定を環境内のすべてのコンピュータで適用することで、ポップアップ ウィンドウを排除し、インターネット Web サイトから悪質なソフトウェアやスパイウェアがインストールされる可能性を低減できます。反対に、環境内にポップアップ機能を使用する必要のあるアプリケーションが含まれる場合があります。この場合は、イントラネット内の Web サイトではポップアップを許可するようにポリシーを構成することもできます。

Internet Explorer\インターネット コントロール パネル\詳細設定ページ

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル\詳細設定ページ

表 4.4 [詳細設定ページ] の推奨設定

署名が無効であっても、ソフトウェアの実行またはインストールを許可する

Microsoft ActiveX コントロールとファイル ダウンロードには、多くの場合、ファイルの整合性およびソフトウェア署名者 (作成者) の ID を保証するデジタル署名が添付されています。署名により、ダウンロードしたソフトウェアが改変されていないことを確認でき、また署名者を特定することで、ソフトウェアを安心して実行できるかどうかを判断できます。

[署名が無効であっても、ソフトウェアの実行またはインストールを許可する] ポリシー設定を使用すると、ダウンロードされたソフトウェアの署名が無効であった場合に、ユーザーがそのソフトウェアをインストールまたは実行できるかどうかを管理できます。署名が無効であることは、ファイルが改ざんされている可能性があることを意味します。このポリシー設定を有効にすると、ユーザーが署名が無効なファイルをインストールまたは実行するときにダイアログが表示されます。無効にすると、ユーザーは署名が無効なファイルを実行またはインストールできません。

署名のないソフトウェアによってセキュリティ上の脆弱性が生じる可能性があるので、この章で説明している 2 つの環境では、このポリシー設定の値を [無効] に設定します。

注 :合法的なソフトウェアやコントロールの中には、署名が無効であっても問題のないものがあります。そのようなソフトウェアは、隔離された環境で慎重にテストしてから、組織のネットワーク上での使用を許可する必要があります。

Internet Explorer\セキュリティの機能\MK プロトコル セキュリティの制限

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\セキュリティの機能\MK プロトコル セキュリティの制限

表 4.5 [MK プロトコル セキュリティの制限] の推奨設定

Internet Explorer のプロセス (MK プロトコル)

このポリシー設定は、ほとんど使用されることのない MK プロトコルをブロックすることで、コンピュータの攻撃の対象となる面を縮小します。一部の古い Web アプリケーションでは、MK プロトコルを使用して、圧縮ファイルから情報が抽出されます。このポリシー設定の値を [有効] に設定すると、エクスプローラと Internet Explorer で MK プロトコルがブロックされるので、このプロトコルを使用するリソースは正常に動作しなくなります。無効にすると、他のアプリケーションで MK プロトコル API を使用できます。

MK プロトコルは一般的には使用されていないので、不要な場合はブロックする必要があります。この章で説明している 2 つの環境では、このポリシー設定の値を [有効] に設定します。環境で必要な場合以外は、MK プロトコルをブロックすることをお勧めします。

注 :この設定を有効にすると、MK プロトコルを使用するリソースは正常に動作しなくなるので、有効にする場合は、MK プロトコルを使用するアプリケーションがないことを確認してください。

Internet Explorer\セキュリティの機能\整合性のある MIME 処理

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\セキュリティの機能\整合性のある MIME 処理

表 4.6 [整合性のある MIME 処理] の推奨設定

Internet Explorer のプロセス (整合性のある MIME 処理)

Internet Explorer では、Multipurpose Internet Mail Extensions (MIME) データを使用して、Web サーバー経由で受信したファイルの処理手順が決定します。[整合性のある MIME 処理] ポリシー設定では、Web サーバーから提供されるファイルの種類の情報すべてに整合性があることを Internet Explorer で必須にするかどうかを指定します。たとえば、ファイルの MIME の種類が text/plain であるのに、MIME データはファイルが実は実行可能ファイルであることを示す場合は、Internet Explorer によってファイルの拡張子が変更され、実行可能のステータスが反映されます。この機能により、実行可能コードを信頼できる他の種類のデータとして見せかけることができなくなります。

このポリシー設定を有効にすると、Internet Explorer ですべての受信ファイルが調べられ、受信ファイルの MIME データに整合性があることが必要条件とされます。このポリシー設定を無効にするか、構成しなかった場合は、Internet Explorer で受信ファイルの MIME データに整合性があることが必要条件とされず、ファイルによって提供される MIME データが使用されます。

ファイルの MIME の種類偽装は、組織にとって脅威となる可能性があります。受信ファイルに整合性があり、適切にラベル付けされていることを確認することで、ネットワークが悪意のあるファイルのダウンロードによって感染することを防止できます。この章で説明している 2 つの環境では、このポリシー設定の値を [有効] に設定します。

注 :このポリシー設定は、[MIME スニッフィングの安全機能] の設定と連動しますが、それに置き換わるものではありません。

Internet Explorer\セキュリティの機能\MIME スニッフィングの安全機能

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\セキュリティの機能\MIME スニッフィングの安全機能

表 4.7 [MIME スニッフィングの安全機能] の推奨設定

Internet Explorer のプロセス (MIME スニッフィング)

MIME スニッフィングとは、MIME ファイルの内容を調べ、それがデータ ファイルであるか、実行可能ファイルであるか、または他の種類のファイルであるかを判別するプロセスです。このポリシー設定では、Internet Explorer の MIME スニッフィング機能を使用して、1 つの種類のファイルがより危険な種類のファイルに昇格されることを防止するかどうかを指定します。このポリシーの値を [有効] に設定すると、MIME スニッフィングによって 1 つの種類のファイルがより危険な種類のファイルに昇格されることはありません。無効にすると、Internet Explorer のプロセスが、MIME スニッフィングによって 1 つの種類のファイルがより危険な種類のファイルに昇格されることを許可するように構成されます。たとえば、テキスト ファイルが実行可能ファイルに昇格されると、テキスト ファイル内のコードが実行されるので危険です。

ファイルの MIME の種類偽装は、組織にとって脅威となる可能性があります。これらのファイルの処理方法に一貫性を持たせることにより、ネットワークが悪意のあるファイルのダウンロードによって感染することを防止できます。

この章で説明している 2 つの環境では、[Internet Explorer のプロセス (MIME スニッフィング)] の値を [有効] に設定します。

注 :このポリシー設定は、[整合性のある MIME 処理] の設定と連動しますが、それに置き換わるものではありません。

Internet Explorer\セキュリティの機能\スクリプト化されたウィンドウのセキュリティ制限

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\セキュリティの機能\スクリプト化されたウィンドウのセキュリティ制限

表 4.8 [スクリプト化されたウィンドウのセキュリティ制限] の推奨設定

Internet Explorer のプロセス (スクリプト化されたウィンドウのセキュリティ制限)

Internet Explorer では、スクリプトのプログラムを使用してさまざまな種類のウィンドウを開いたり、ウィンドウのサイズや位置を変更したりすることが許可されています。悪質な Web サイトでは、他のウィンドウが隠れるようにウィンドウを拡大したり、悪意のあるコードを含むウィンドウの操作を強制したりすることがあります。

[Internet Explorer のプロセス (スクリプト化されたウィンドウのセキュリティ制限)] ポリシー設定では、ポップアップ ウィンドウを制限し、タイトル バーやステータス バーがユーザーに表示されないウィンドウ、または他のウィンドウのタイトル バーやステータス バーを隠すウィンドウがスクリプトによって表示されることを禁止します。このポリシー設定を有効にすると、エクスプローラおよび Internet Explorer のプロセスでポップアップ ウィンドウが表示されません。このポリシー設定を無効または未構成にした場合は、ポップアップ ウィンドウおよび他のウィンドウを隠すウィンドウをスクリプトで作成できます。

この章で説明している 2 つの環境では、[Internet Explorer のプロセス (スクリプト化されたウィンドウのセキュリティ制限)] の値を [有効] に設定します。有効にすると、悪意のある Web サイトで Internet Explorer のウィンドウが制御されたり、不正なウィンドウをクリックするようにユーザーがだまされたりすることを防止できます。

Internet Explorer\セキュリティの機能\ゾーン昇格からの保護

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\セキュリティの機能\ゾーン昇格からの保護

表 4.9 [ゾーン昇格からの保護] の推奨設定

Internet Explorer のプロセス (ゾーン昇格からの保護)

Internet Explorer では、開く Web ページに制限が適用されます。これらの制限は Web ページの場所 (インターネット ゾーン、イントラネット ゾーン、ローカル コンピュータ ゾーンなど) によって決まります。ローカル コンピュータにある Web ページはローカル コンピュータ セキュリティ ゾーンにあり、制限が最小限であるため、このゾーンは悪意のある攻撃者の一番の標的となります。

[Internet Explorer のプロセス (ゾーン昇格からの保護)] ポリシー設定を有効にすると、すべてのゾーンが Internet Explorer のプロセスによるゾーン昇格から保護されます。このアプローチにより、あるゾーンで実行しているコンテンツが、別のゾーンの昇格された特権を得ることができなくなります。このポリシー設定を無効にすると、ゾーンは Internet Explorer のプロセスに対するそのような保護を受けません。

ゾーン昇格攻撃は重大であり、また比較的頻繁に発生するので、この章で説明している 2 つの環境では、[Internet Explorer のプロセス (ゾーン昇格からの保護)] の値を [有効] に設定します。

Internet Explorer\セキュリティの機能\ActiveX のインストールの制限

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\セキュリティの機能\ActiveX のインストールの制限

表 4.10 [ActiveX のインストールの制限] の推奨設定

Internet Explorer のプロセス (ActiveX のインストールの制限)

このポリシー設定では、Internet Explorer のプロセスで ActiveX コントロールのインストールを確認するダイアログ ボックスが表示されるのをブロックできます。このポリシー設定を有効にすると、Internet Explorer のプロセスで ActiveX コントロールのインストールを確認するダイアログ ボックスの表示はブロックされます。無効にすると、ActiveX コントロールのインストールを確認するダイアログ ボックスの表示はブロックされず、ユーザーに表示されます。

ユーザーは、組織のセキュリティ ポリシーで許可されていない ActiveX コントロールなどのソフトウェアをインストールすることがよくあります。このようなソフトウェアは、ネットワークにとってセキュリティ上およびプライバシー上の大きなリスクとなる可能性があります。そのため、この章で説明している 2 つの環境では、[Internet Explorer のプロセス (ActiveX のインストールの制限)] の値を [有効] に設定します。

注 :このポリシー設定では、許可された正当な ActiveX コントロールのインストールもブロックされるので、Windows Update などの重要なシステム コンポーネントも妨げられます。この設定を有効にするときは、Windows Server Update Services (WSUS) など、セキュリティ アップデートを展開する別の方法を実装してください。
WSUS の詳細については、http://www.microsoft.com/japan/windowsserversystem/updateservices/evaluation/overview.mspx の「Windows Server Update Services 製品概要」ページを参照してください。
Windows Update の詳細については、http://windowsupdate.microsoft.com の「Windows Update ホーム」ページを参照してください。

Internet Explorer\セキュリティの機能\ファイル ダウンロードの制限

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\セキュリティの機能\ファイル ダウンロードの制限

表 4.11 [ファイル ダウンロードの制限] の推奨設定

Internet Explorer のプロセス (ファイル ダウンロードの制限)

特定の状況では、ユーザーが操作を行わなくても、Web サイトでファイル ダウンロードを確認するダイアログ ボックスを表示できます。Web サイトでは、この手法を使用して、ユーザーが間違ったボタンをクリックしてダウンロードを受け入れた場合に、ユーザーのハード ドライブに不正なファイルを保存できます。

[Internet Explorer のプロセス (ファイル ダウンロードの制限)] 設定の値を [有効] に設定すると、ユーザーが開始したのではないファイル ダウンロードを確認するダイアログ ボックスが Internet Explorer のプロセスでブロックされます。[無効] に設定すると、ユーザーが開始したのではないファイル ダウンロードを確認するダイアログ ボックスが Internet Explorer プロセスで表示されます。

この章で説明している 2 つの環境では、攻撃者がユーザーのコンピュータに任意のコードを保存することを防止するため、[Internet Explorer のプロセス (ファイル ダウンロードの制限)] の値を [有効] に設定します。

Internet Explorer\セキュリティの機能\アドオン管理

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\セキュリティの機能\アドオン管理

表 4.12 [アドオン管理] の推奨設定

アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する

このポリシー設定を [アドオンの一覧] 設定と共に使用して、Internet Explorer のアドオンを制御できます。[アドオンの一覧] 設定では、既定で、グループ ポリシーを通じて許可または拒否するアドオンの一覧が定義されます。[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] 設定では、[アドオンの一覧] 設定に指定されていないアドオンはすべて拒否するものと見なされます。

このポリシー設定を有効にすると、Internet Explorer では、[アドオンの一覧] に指定されている (許可されている) アドインだけが許可されます。無効にすると、ユーザーはアドオン マネージャを使用してアドオンを許可または拒否できます。

環境内で使用できるアドオンを制御するには、[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] および [アドオンの一覧] の両設定の使用を検討する必要があります。このアプローチにより、許可されたアドオンだけを使用できます。

アドオンの一覧

このポリシー設定を [アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] 設定と共に使用して、Internet Explorer のアドオンを制御できます。[アドオンの一覧] 設定では、既定で、グループ ポリシーを通じて許可または拒否するアドオンの一覧が定義されます。[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] 設定では、[アドオンの一覧] 設定に指定されていないアドオンはすべて拒否するものと見なされます。

[アドオンの一覧] 設定を有効にするには、Internet Explorer で許可または拒否するアドオンの一覧を入力する必要があります。この一覧に含めるアドオンは組織ごとに異なるので、このガイドでは具体的な一覧を示しません。一覧に追加するエントリごとに、次の情報を入力する必要があります。

[アドオンの一覧] 設定を無効にすると、一覧は削除されます。環境内で使用できるアドオンを制御するには、[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] および [アドオンの一覧] の両設定の使用を検討する必要があります。このアプローチにより、許可されたアドオンだけを使用できます。

ターミナル サービス\クライアント/サーバー データ リダイレクト

ターミナル サービス設定は、クライアント コンピュータがターミナル サービスを介してアクセスしているサーバーに、クライアント コンピュータのリソースをリダイレクトするためのオプションを提供します。ターミナル サービスに固有の設定を次に示します。

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス\クライアント/サーバー データ リダイレクト

表 4.13 [クライアント/サーバー データ リダイレクト] の推奨設定

ドライブのリダイレクトを許可しない

このポリシー設定では、ターミナル サーバー セッションでクライアント コンピュータのローカル ドライブを、ユーザーからは共有できないようにします。マップされたドライブは、エクスプローラまたは [マイ コンピュータ] のセッション フォルダ ツリーに次の形式で表示されます。

\\TSClient\<driveletter>$

ローカル ドライブを共有すると、そこに保存されているデータを悪用しようとする侵入者に対して脆弱になります。

そのため、[ドライブのリダイレクトを許可しない] の値は、SSLF 環境では [有効] に設定します。EC 環境では [未構成] に設定します。

ターミナル サービス\暗号化とセキュリティ

以下に示す規定の設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス\暗号化とセキュリティ

表 4.14 [暗号化とセキュリティ] の推奨設定

クライアントが接続するたびにパスワードを要求する

このポリシー設定では、ターミナル サービスでクライアント コンピュータの接続時に必ずパスワードの入力を求めるかどうかを指定します。このポリシー設定を使用すると、リモート デスクトップ接続クライアントで既にパスワードを入力済みの場合も、ターミナル サービスへのログオンでパスワードの入力を求めるように構成することができます。既定では、ユーザーはリモート デスクトップ接続クライアントでパスワードを入力すれば、ターミナル サービスに自動的にログオンすることができます。

[クライアントが接続するたびにパスワードを要求する] の値は、SSLF 環境では [有効] に設定します。EC 環境では [未構成] に設定します。

注 :このポリシー設定が構成されていない場合、ローカル コンピュータの管理者はターミナル サービスの構成ツールを使用してパスワードの自動送信を許可または禁止できます。

クライアント接続の暗号化レベルを設定する

このポリシー設定では、リモート接続をホストするコンピュータで、リモート セッションの開始時に、クライアント コンピュータとの間で送信されるすべてのデータに対して暗号化レベルを適用するかどうかを指定します。

この章で説明している 2 つの環境では、暗号化レベルを [高レベル] に設定して、128 ビット暗号化を有効にします。

ターミナル サービス\クライアント

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

管理用テンプレート\Windows コンポーネント\ターミナル サービス\クライアント

表 4.15 [クライアント] の推奨設定

パスワードの保存を許可しない

このポリシー設定は、ターミナル サービス クライアントによってパスワードがコンピュータに保存されることを防止します。このポリシー設定を有効にすると、ターミナル サービス クライアントのパスワードを保存するためのチェック ボックスが使用できなくなり、ユーザーはパスワードを保存できなくなります。

パスワード保存の慣行はさらなるセキュリティ侵害につながるおそれがあるので、この章で説明している 2 つの環境では、[パスワードの保存を許可しない] の値を [有効] に設定します。

注 :このポリシー設定の値を以前に [無効] または [未構成] に設定していた場合は、ターミナル サービス クライアントが初めてサーバーから切断したときに、以前に保存されたパスワードがすべて削除されます。

Windows Messenger

Windows Messenger は、コンピュータ ネットワーク上の他のユーザーにインスタント メッセージを送信する場合に使用されます。メッセージにはファイルなどを添付できます。

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Windows Messenger

表 4.16 [Windows Messenger] の推奨設定

Windows Messenger の実行を許可しない

[Windows Messenger の実行を許可しない] 設定を有効にすると、Windows Messenger が無効になり、プログラムを実行できなくなります。このアプリケーションは、スパム、悪質なソフトウェアの配布、機密性の高いデータの漏えいなど、悪意のある目的で利用されているので、EC 環境と SSLF 環境では、[Windows Messenger の実行を許可しない] を [有効] に設定することをお勧めします。

注 :このポリシー設定の値を [有効] に設定すると、リモート アシスタンスで Windows Messenger を利用したり、ユーザーが MSN® Messenger を利用したりすることはできなくなります。

Windows Update

管理者は、Windows Update 設定を使用して、Windows XP ワークステーションに対する修正プログラムの適用方法を管理できます。更新の入手には、Microsoft Windows Update Web サイトを利用できるほか、適宜イントラネットに Web サイトを構築し、高度な管理の下で、Microsoft Windows Update の Web サイトと同様の方法で修正プログラムを配布することもできます。Windows Update 管理用テンプレート (WUAU.adm) は、Windows XP Service Pack 1 (SP1) で導入されました。

Windows Server Update Services (WSUS) は、Microsoft Windows Update テクノロジと Software Update Services (SUS) テクノロジの成果に基づいて開発されたインフラストラクチャ サービスです。WSUS では、既知のセキュリティの脆弱性や、Microsoft Windows オペレーティング システムで起こるその他の安定性に関する問題を解決するための重要な Windows の修正プログラムを管理および配布します。

WSUS では、イントラネット サーバーを通じて、利用可能な重要な更新を Windows クライアント コンピュータに動的に通知するシステムにより、手動での更新手順が不要になりました。このサービスを利用するクライアント コンピュータは、インターネットにアクセスする必要がありません。WSUS は Windows のワークステーションやサーバーに更新を配布するためのシンプルかつ自動化された方法を実現します。

Windows Server Update Services には、次の機能もあります。

Windows Update にはいくつかの設定があります。Windows Update が機能するには、[自動更新を構成する]、[自動更新のインストールで、システムを自動的に再起動しない]、および [自動更新のインストールの予定を変更する] の 3 つは、最低限設定する必要があります。4 つ目の [イントラネットの Microsoft の更新サービスの場所を指定する] は、組織の要件に応じて設定します。

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Windows Update

ここで説明する設定は、特定のセキュリティ リスクに対処するものではなく、管理者の個人的な方針に関係します。しかし、Windows Update を構成することは、環境のセキュリティにとって不可欠です。Microsoft がセキュリティ修正プログラムを公開した時点でクライアント コンピュータはそれを受け取ることができるからです。

注 :Windows Update は、Remote Registry サービスや Background Intelligence Transfer Service など、いくつかのサービスに依存しています。第 3 章「Windows XP クライアントのセキュリティ設定」では、SSLF 環境でこれらのサービスを無効にしました。これらのサービスが無効になっている場合、Windows Update は機能しないので、次の 4 つの設定に関する記述は SSLF 環境に限り無視できます。

次の表に、[Windows Update] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。

表 4.17 [Windows Update] の推奨設定

[Windows シャットダウン] ダイアログ ボックスで [更新をインストールしてシャットダウン] オプションを表示しない

このポリシー設定を使用すると、[Windows シャットダウン] ダイアログ ボックスに [更新をインストールしてシャットダウン] オプションを表示するかどうかを指定できます。このポリシー設定を無効にすると、ユーザーが [スタート] メニューの [シャットダウン] をクリックするか、Ctrl + Alt + Del キーを押すと表示されるウィンドウで [シャットダウン] をクリックしたときに更新が利用可能だった場合に、[Windows シャットダウン] ダイアログ ボックスに [更新をインストールしてシャットダウン] オプションが表示されます。

すべてのコンピュータの全体的なセキュリティにとって更新をインストールすることは重要なので、この章で説明している 2 つの環境では、[[Windows シャットダウン] ダイアログ ボックスで [更新をインストールしてシャットダウン] オプションを表示しない] の値を [無効] に設定します。このポリシー設定は、次の [Windows シャットダウン] ダイアログ ボックスの既定のオプションを [更新をインストールしてシャットダウン] に調整しない] 設定と連動します。

[Windows シャットダウン] ダイアログ ボックスの既定のオプションを [更新をインストールしてシャットダウン] に調整しない

このポリシー設定を使用すると、[更新をインストールしてシャットダウン] を [Windows シャットダウン] ダイアログ ボックスの既定のオプションにするかどうかを指定できます。このポリシー設定を無効にすると、ユーザーが [スタート] メニューの [シャットダウン] をクリックしたときに更新が使用可能な場合に、[更新をインストールしてシャットダウン] が [Windows シャットダウン] ダイアログ ボックスの既定のオプションになります。

すべてのコンピュータの全体的なセキュリティにとって更新をインストールすることは重要なので、この章で説明している 2 つの環境では、[[Windows シャットダウン] ダイアログ ボックスの既定のオプションを [更新をインストールしてシャットダウン] に調整しない] の値を [無効] に設定します。

注 :コンピュータの構成\管理用テンプレート\Windows コンポーネント\Windows Update\[Windows シャットダウン] ダイアログ ボックスで [更新をインストールしてシャットダウン] オプションを表示しない の値が [有効] に設定されている場合、このポリシー設定は効果がありません。

自動更新を構成する

このポリシー設定では、管理対象のコンピュータで Windows Update または WSUS からセキュリティの更新を受け取るかどうかを指定します。このポリシー設定の値を [有効] に設定すると、いつネットワーク接続を利用できるかをオペレーティング システムが認識し、そのネットワーク接続を使用して、適用可能な更新が置かれている Windows Update の Web サイトまたは指定されたイントラネット サイトを検索できます。

このポリシー設定の値を [有効] にした後、[自動更新を構成するのプロパティ] ダイアログ ボックスで、次の 3 つのオプションのいずれかを選択してサービスの動作を指定する必要があります。

このポリシー設定を無効にした場合は、http://windowsupdate.microsoft.com の Windows Update ホーム Web サイトで、入手可能な更新をダウンロードして、手動でインストールする必要があります。

この章で説明している 2 つの環境では、[自動更新を構成する] の値を [有効] に設定します。

自動更新のインストールで、システムを自動的に再起動しない

このポリシー設定を有効にすると、インストールの完了時にログオンしているユーザーがコンピュータを手動で再起動する必要があります。有効にしないと、システムは自動的に再起動されます。この設定が有効になっていると、自動更新がスケジュール設定されている場合でも、コンピュータの自動再起動は実行されなくなります。ただし、コンピュータにログオンしているユーザーがいる場合は、インストールを完了するにはコンピュータの再起動が必要であることを示すメッセージが必要に応じて表示されます。自動更新では、コンピュータを再起動するまで新しい更新は検出されません。

自動更新のインストールで、システムを自動的に再起動しない設定の値が [無効] または [未構成] に設定されている場合は、インストールを完了するためにコンピュータが 5 分以内に自動的に再起動されることがユーザーに通知されます。再起動が自動的に行われることが心配な場合は、[自動更新のインストールで、システムを自動的に再起動しない] 設定 の値を [有効] に設定できます。このポリシー設定を有効にする場合、通常の業務時間外にクライアント コンピュータを再起動してインストールを完了できるようスケジュールを設定してください。

この章で説明している 2 つの環境では、[自動更新のインストールで、システムを自動的に再起動しない] の値を [無効] に設定します。

注 :このポリシー設定は、更新がスケジュールに従ってインストールされるように自動更新を構成している場合にのみ適用されます。[自動更新を構成する] 設定の値が [無効] に構成されている場合、このポリシー設定は効果がありません。更新のインストールを完了するには、通常再起動が必要になります。

自動更新のインストールの予定を変更する

このポリシー設定では、予定されていた自動更新に失敗したクライアントが、システム起動後にインストールを実行するまでの経過時間を指定します。このポリシー設定の値を [有効] に設定すると、コンピュータを次回起動した後、指定した時間が経過すると前回実行されなかったインストールが開始されます。[無効] または [未構成] に設定すると、実行されなかったインストールは次回の予定インストール時刻に実行されます。

この章で説明している 2 つの環境では、[自動更新のインストールの予定を変更する] の値を [有効] に設定します。このポリシー設定を有効にした後で、既定の待機時間を自分の環境に適した時間に適宜変更してください。

注 :このポリシー設定は、更新がスケジュールに従ってインストールされるように自動更新を構成している場合にのみ適用されます。[自動更新を構成する] 設定の値が [無効] に設定されている場合、[自動更新のインストールの予定を変更する] 設定は効果がありません。両方の設定を有効にして、前回実行されなかったインストールが、コンピュータを再起動するたびに実行されるようにスケジュール設定できます。

イントラネットの Microsoft の更新サービスの場所を指定する

このポリシー設定では、Microsoft Update Web サイトにある更新をホストするイントラネット サーバーを指定します。この更新サービスを使用して、ネットワーク上のコンピュータを自動的に更新できます。このポリシー設定を使用すると、内部の更新サービス サイトとして機能する、ローカル ネットワーク上の WSUS サーバーを指定できます。自動更新のクライアント側は、WSUS サーバーが展開するサービスを使用して、ネットワーク上のコンピュータに適用する必要のある更新を検索します。

この章で説明している 2 つの環境では、[イントラネットの Microsoft の更新サービスの場所を指定する] の値を [有効] に設定します。

注 :[自動更新を構成する] 設定が無効になっている場合、[イントラネットの Microsoft の更新サービスの場所を指定する] 設定を有効にしても効果がありません。

システム

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\システム

次の図に、このセクションで行う設定変更の影響を受けるグループ ポリシーの各セクションを示します。

図 4.3 [コンピュータの構成] の [システム] のグループ ポリシー構造
画像を画面全体に表示

次の表に、[システム] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。

表 4.18 [システム] の推奨設定

自動再生機能をオフにする

自動再生とは、ドライブにメディアを挿入すると同時にドライブからの読み込みを開始する機能で、プログラムのセットアップ ファイルやオーディオ メディアの再生をすぐに開始します。攻撃者は、この機能を利用してコンピュータやコンピュータのデータを破壊するプログラムを起動できます。自動再生機能を無効にするには、[自動再生機能をオフにする] ポリシー設定を有効にします。既定では、自動再生は、フロッピー ディスクやネットワーク ドライブなどのリムーバブル ドライブでは無効になっていますが、CD-ROM ドライブでは有効になっています。

[自動再生機能をオフにする] の値は、SSLF 環境では [有効 - すべてのドライブ] に設定します。EC 環境では [未構成] に設定します。

注 :フロッピー ディスクやネットワーク ドライブなど、既定で自動再生機能が無効になっているコンピュータ ドライブについては、このポリシー設定を使用しても自動再生機能は有効になりません。

Windows Update でのデバイス ドライバ検索についての確認をしない

このポリシー設定では、管理者がインターネットを使用して Windows Update でデバイス ドライバを検索するかどうかを確認するダイアログ ボックスを表示するかどうかを指定します。このポリシー設定の値を [有効] に設定すると、Windows Update でのドライバ検索を確認するダイアログ ボックスは管理者に表示されません。このポリシー設定と [Windows Update でのデバイス ドライバの検索をオフにする] の両方の値を [無効] または [未構成] に設定した場合は、Windows Update でのデバイス ドライバ検索を確認するダイアログ ボックスが管理者に表示されます。

インターネットからデバイス ドライバをダウンロードすることにはリスクが伴うので、[Windows Update でのデバイス ドライバ検索についての確認をしない] の値は、SSLF 環境では [有効]、EC 環境では [無効] に設定します。この設定が推奨される理由は、ドライバのダウンロードを悪用する可能性のある種類の攻撃は、通常は適切なエンタープライズ リソース管理によって軽減されるからです。

注 :このポリシー設定は、管理用テンプレート\システム\インターネット通信の管理\インターネット通信の設定の [Windows Update でのデバイス ドライバの検索をオフにする] 設定の値が [無効] または [未構成] の場合にのみ効果があります。

ログオン

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\システム\ログオン

次の表に、[ログオン] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。

表 4.19 [ログオン] の推奨設定

レガシの実行の一覧を処理しない

このポリシー設定では、Windows XP の起動時に自動的に実行されるプログラムの一覧が無視されます。Windows XP 用のカスタマイズされた実行プログラムの一覧は、次の場所にあるレジストリ キーに格納されています。

[レガシの実行の一覧を処理しない] 設定を有効にすると、悪意のあるユーザーが Windows XP の起動時にコンピュータのデータを侵害したり被害を及ぼしたりする可能性のあるプログラムを実行できなくなります。また、ウイルス対策ソフト、ソフトウェア配布用ソフト、監視ソフトなど、特定のシステム プログラムが実行できなくなります。このポリシー設定は、環境に対する脅威レベルを評価してから、組織で使用するかどうかを決定することをお勧めします。

[レガシの実行の一覧を処理しない] の値は、EC 環境では [未構成]、SSLF 環境では [有効] に設定します。

一度だけ実行するコマンドの一覧を処理しない

このポリシー設定では、Windows XP の起動時に自動的に実行されるプログラムの一覧が無視されます。この一覧にあるプログラムは、クライアント コンピュータの次回起動時に一度だけ実行されます。この点で、このポリシー設定は [レガシの実行の一覧を処理しない] 設定とは異なります。クライアント コンピュータの再起動後にインストールを完了するために、この一覧にはセットアップ プログラムやインストール プログラムが適宜追加されます。このポリシー設定を有効にすると、過去に一般的な攻撃方法であった、一度だけ実行するコマンドの一覧を利用して悪質なアプリケーションを起動することができなくなります。悪意のあるユーザーは、一度だけ実行するコマンドの一覧を悪用して Windows XP クライアント コンピュータのセキュリティを侵害するプログラムをインストールできます。

注 :カスタマイズされた一度だけ実行するコマンドの一覧は、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce のレジストリ キーに格納されています。

[一度だけ実行するコマンドの一覧を処理しない] 設定を有効にする場合、それ以前にグループ ポリシーを使用して、組織の標準的なソフトウェアがすべてクライアント コンピュータで構成されていれば、環境での機能の損失が最小限にとどめられます。

[一度だけ実行するコマンドの一覧を処理しない] の値は、EC 環境では [未構成]、SSLF 環境では [有効] に設定します。

グループ ポリシー

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\システム\グループ ポリシー

表 4.20 [グループ ポリシー] の推奨設定

レジストリ ポリシーの処理

このポリシー設定では、レジストリ ポリシーを更新するタイミングを指定します。この設定は、[管理用テンプレート] フォルダ内のすべてのポリシー、およびレジストリ内に値が保存されているその他のポリシーに影響します。このポリシー設定を有効にすると、以下のオプションを選択できます。

管理用テンプレートを使用して構成する設定の中には、ユーザーがアクセス可能なレジストリの領域に作成されるものがあります。このポリシー設定を有効にすると、ユーザーがこれらの設定を変更しても元の設定で上書きされます。

この章で説明している 2 つの環境では、[レジストリ ポリシーの処理] の値を [有効] に設定します。

リモート アシスタンス

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\システム\リモート アシスタンス

次の表に、[リモート アシスタンス] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。

表 4.21 [リモート アシスタンス] の推奨設定

リモート アシスタンスを提供する

このポリシー設定では、ユーザーがチャンネル、電子メール、またはインスタント メッセンジャーを介して支援を要求していない場合に、サポート担当者または IT 管理者が環境内のコンピュータにリモート アシスタンスを提供できるかどうかを指定します。

注 :サポート担当者は、通知せずにコンピュータに接続したり、ユーザーの許可なしにコンピュータを操作したりすることはできません。サポート担当者が接続を試みた場合、ユーザーは、接続を拒否するか、読み取り専用アクセス権をサポート担当者に与えることができます。リモート アシスタンスを提供する設定の値が [有効] に設定された後で、サポート担当者がワークステーションをリモート制御できるようにするには、そのワークステーションのユーザーが [はい] をクリックする必要があります。

このポリシー設定を有効にすると、以下のオプションを選択できます。

このポリシー設定を構成するとき、リモート アシスタンスを提供できるユーザーやユーザー グループ (ヘルパー) の一覧を指定することもできます。

ヘルパーの一覧を構成するには

このポリシー設定を無効または未構成にすると、ユーザーやグループは要請されていないリモート アシスタンスを環境内のコンピュータ ユーザーに提供できません。

[リモート アシスタンスを提供する] の値は、EC 環境では [未構成] に設定します。SSLF 環境では、ネットワーク経由で Windows XP クライアント コンピュータにアクセスできないようにするため、[無効] に設定します。

要請されたリモート アシスタンス

このポリシー設定では、環境内の Windows XP コンピュータからリモート アシスタンスを要請できるかどうかを指定します。このポリシー設定を有効にすると、ユーザーはサポート担当者や IT 管理者にリモート アシスタンスを要請できます。

注 :サポート担当者は、通知せずにユーザーのコンピュータに接続したり、ユーザーの許可なしにコンピュータを操作したりすることはできません。サポート担当者が接続を試みた場合、ユーザーは、接続を拒否するか、読み取り専用アクセス権をサポート担当者に与えることができます。サポート担当者がワークステーションをリモート制御できるようにするには、そのワークステーションのユーザーが [はい] をクリックする必要があります。

[要請されたリモート アシスタンス] 設定を有効にすると、以下のオプションを選択できます。

さらに、次のオプションを使用して、ユーザーのヘルプ要求が有効な期間を構成することもできます。

チケット (ヘルプの要求) の期限が経過した場合、サポート担当者がユーザーのコンピュータに接続するには、そのユーザーが新しい要求を送信する必要があります。[要請されたリモート アシスタンス] 設定を無効にすると、ユーザーはヘルプの要求を送信できず、サポート担当者はユーザーのコンピュータに接続できません。

未構成にすると、ユーザーはコントロール パネルを使用して、リモート アシスタンスの要請を構成できます。コントロール パネルでの既定の設定は、[要請されたリモート アシスタンス]、[友人によるサポート]、および [リモート制御] が有効になっていて、[チケットの最大有効時間] は [30 日] です。このポリシー設定を無効にすると、どのユーザーもネットワーク経由で Windows XP クライアント コンピュータにアクセスすることができなくなります。

[要請されたリモート アシスタンス] の値は、EC 環境では [未構成]、SSLF 環境では [無効] に設定します。

エラー報告

これらの設定では、オペレーティング システムのエラーおよびアプリケーションのエラーを報告する方法を制御します。既定の構成では、エラーが発生すると、ユーザーは Microsoft にエラー報告を送信するかどうかを指定するためのポップアップ ダイアログ ボックスによる通知を受け取ります。Microsoft は、これらの報告で受けたデータを保護するための厳しいポリシーを持っていますが、データそのものがプレーンテキストで転送されるため、セキュリティのリスクにさらされる可能性があります。

エラー報告をローカルで収集し、インターネット経由で Microsoft に送信しない、組織向けの企業内エラー報告ツールが用意されています。機密情報がインターネット上に流出しないようにするために、SSLF 環境では企業内エラー報告ツールを使用することをお勧めします。このツールの詳細については、この章の最後にある「関連情報」セクションを参照してください。

以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\システム\エラーの報告

次の表に、[エラーの報告] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。

表 4.22 [エラーの報告] の推奨設定

エラーの通知を表示する

このポリシー設定では、エラー メッセージをユーザーのコンピュータ画面に表示するかどうかを指定します。このポリシー設定を有効にすると、エラーが発生した場合にユーザーはエラー メッセージ通知を受け取り、その詳細を参照できます。無効にすると、ユーザーはエラーの通知を表示できません。

エラーが発生した場合、ユーザーがその問題を認識することが重要です。[エラーの通知を表示する] 設定を無効にした場合、ユーザーは問題を認識できません。そのため、この章で説明している 2 つの環境では、[エラーの通知を表示する] の値を [有効] に設定します。

エラー報告を構成する

このポリシー設定では、エラーを報告するかどうかを指定します。このポリシー設定を有効にすると、エラーが発生したときに、ユーザーがそのエラーを報告するかどうかを選択できます。エラーは、インターネット経由で Microsoft に報告するか、またはローカルのファイル共有に報告できます。このポリシー設定を有効にすると、以下のオプションを選択できます。

[エラー報告を構成する] 設定を無効にすると、ユーザーはエラーを報告できません。[エラーの通知を表示する] 設定を有効にすると、ユーザーはエラー通知を受け取りますが、そのエラーを報告できません。[エラー報告を構成する] 設定を使用すると、組織でのエラーの報告方法をカスタマイズでき、ローカルで分析するため報告を収集できます。

この章で説明している 2 つの環境では、[エラー報告を構成する] の値を [有効] に設定します。また、SSLF 環境では以下のオプションを選択します。