Windows XP におけるソフトウェア制限のポリシーの説明

文書翻訳 文書翻訳
文書番号: 310791 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Windows XP のソフトウェア制限のポリシーについて説明します。

管理者は、ソフトウェアの実行を許可するためにソフトウェア制限のポリシーを使用することができます。ソフトウェア制限のポリシーを使用すると、管理者は不必要なプログラムが実行されるのを防ぐことができます。これには、ウイルス、トロイの木馬、および問題を引き起こすことが知られている他のソフトウェアが含まれます。

詳細

ソフトウェア制限ポリシーを実装するために Windows XP のグループ ポリシー ツールを使用することができます。ソフトウェア制限ポリシーを有効にするには、以下のいずれかの方法を使用します。
  • グループ ポリシーを使用する
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
    2. gpedit.msc」と入力し、[OK] をクリックします。
    3. 次の項目を展開します。
      コンピューターの構成
      Windows の設定
      セキュリティの設定
      ソフトウェア制限のポリシー
  • ローカル セキュリティ ポリシーを使用する
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
    2. secpol.msc」と入力し、[OK] をクリックします。
    3. ポリシーを有効にする手順を実行します。

既定のセキュリティ レベルと例外

既定のセキュリティ レベルを構成し、さらに既定の規則に例外を設定する追加の規則を定義できます。既定のセキュリティ レベルですべてのプログラムの動作を定義し、追加の規則では既定のセキュリティ レベルの例外を定義します。次の 2 つのセキュリティ レベルがあります。
  • [許可しない] - 既定の規則に [許可しない] を設定した場合、どのプログラムも実行を許可されません。追加の規則を作成して、特定のプログラムの実行を許可する必要があります。

    管理者が、許可するプログラムの完全な一覧を持っている場合以外は、既定の規則に [許可しない] を設定することは推奨されません。
  • [制限しない] - 既定の規則に [制限しない] を設定した場合、すべてのプログラムの実行が許可されます。個別のプログラムの実行を制限する場合は、追加の規則を作成する必要があります。

    管理者が、許可するプログラムの完全な一覧を持っていない場合は [制限しない] に設定しますが、特定のプログラムが実行されないよう制限する必要があります。

追加の規則

構成可能な追加の規則には、次の種類があります。
  • ハッシュ - ハッシュの規則では、管理者はブロックするかまたは明示的に許可するプログラム ファイルを指定します。そのプログラム ファイルはハッシュされ、ファイル名または場所によって変化することのない暗号化指紋が生成されます。この方法により、プログラムの特定のバージョンが実行されるのを防ぐことや、プログラムがその場所に関係なく実行されるのを防ぐことができます。Windows XP (すべてのサービス パック レベル) では、ある問題が原因でハッシュの規則が DLL ファイルに対して機能しません。Windows Server 2003 および以降のバージョンの Windows では、ハッシュの規則は正常に機能しません。Windows XP では、次のコマンドを使用して関連する DLL ファイルを登録解除するログオン スクリプトを作成することで、問題を回避できる場合があります。
    regsvr32 /u filename.dll
  • 証明書 - コード署名されたソフトウェア発行者の証明書を使用して、証明書の規則を作成できます。ハッシュの規則と同様に、証明書の規則もプログラム ファイルの場所や名前に関係なく適用されます。
  • パス - パスの規則は、特定のローカルまたはネットワーク パス、あるいはそのサブフォルダーで実行されるすべてのプログラムに適用されます。
  • インターネット ゾーン - インターネット ゾーンの規則を使用して、プログラムが実行される Microsoft Internet Explorer セキュリティ ゾーンに基づいたソフトウェア制限のポリシーの規則を適用できます。現在、この規則はそのゾーンで実行される Microsoft Windows インストーラー パッケージにのみ適用されます。インターネット ゾーンの規則は、Internet Explorer によりダウンロードされたプログラムには適用されません。

全般的な構成規則

既定のセキュリティおよび追加の規則に加えて、全般的な構成規則を定義してコンピューター上でソフトウェア制限のポリシーをどのように適用するかを定義できます。次の規則があります。
  • 強制 - 強制設定を使用すると、セキュリティ制限のポリシー構成をどのファイルで強制し、どのユーザーに適用するかを決定できます。既定では、ライブラリ (ダイナミック リンク ライブラリや DLL など) を除くすべてのソフトウェア ファイルがセキュリティ制限のポリシー設定の対象となります。セキュリティ制限のポリシーをすべてのソフトウェア ファイルに適用するように構成することもできます。この場合、プログラムが必要とする各ライブラリ ファイルに対する規則を追加する必要がある点に注意してください。

    既定では、すべてのユーザーがコンピューター上のセキュリティ制限のポリシー設定の対象となります。ローカル管理者を除くすべてのユーザーに適用するように構成することもできます。その場合、ローカル管理者は、許可されていないプログラムを実行できます。
  • 専用ファイルの種類 - このポリシーを使用すると、ソフトウェア制限のポリシー設定を適用するファイルの種類を設定できます。
  • 信頼できるプロバイダー - 信頼できるプロバイダーのプロパティを使用すると、信頼できるプロバイダーの選択をどのユーザーに許可するかを構成できます。必要な場合は、プロバイダーを信頼する前に実行する証明書の失効検査を指定することもできます。

Windows 7 および Windows Server 2008 R2 の AppLocker

ソフトウェア制限のポリシーと AppLocker は、目的は同じですが、AppLocker ではソフトウェア制限のポリシーが全面的に改訂されています。AppLocker は Windows 7 および Windows Server 2008 R2 で導入されました。AppLocker を使用してソフトウェア制限のポリシー設定を管理することはできません。AppLocker の規則は、Windows 7 Ultimate Edition、Windows 7 Enterprise Edition、または Windows Server 2008 R2 のすべてのバージョンを実行しているコンピューターのみに適用されます。一方、ソフトウェア制限のポリシーの規則は、これらのバージョンおよび以前のバージョンに適用されます。

さらに、AppLocker とソフトウェア制限のポリシー設定が同じグループ ポリシー オブジェクト (GPO) で構成されている場合、Windows 7 を実行しているコンピューターおよび Windows Server 2008 R2 を実行しているコンピューターでは、AppLocker の設定のみが適用されます。したがって、組織でソフトウェア制限のポリシーおよび AppLocker の両方を使用する必要がある場合は、AppLocker ポリシーを使用できるコンピューターを対象にした AppLocker の規則を作成し、以前のバージョンの Windows を実行しているコンピューターを対象にしたソフトウェア制限のポリシーの規則を作成することをお勧めします。

これら 2 つのソフトウェア制限技術を使用する方法の詳細については、Microsoft TechNet テクニカル ライブラリで AppLocker に関するトピックを参照してください。
http://technet.microsoft.com/ja-jp/library/dd723678(WS.10).aspx

プロパティ

文書番号: 310791 - 最終更新日: 2009年10月14日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows XP Professional
キーワード:?
kbenv kbinfo KB310791
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com