Windows Server 2003 でソフトウェアの制限のポリシーを使用する方法

文書翻訳 文書翻訳
文書番号: 324036 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Windows Server 2003 環境でソフトウェアの制限のポリシーを使用する方法について説明します。ソフトウェアの制限のポリシーを使用すると、実行を許可するソフトウェアを識別して指定することができます。これにより、信頼できないコードから使用中のコンピュータ環境を保護できます。ソフトウェアの制限のポリシーでは、グループ ポリシー オブジェクト (GPO) のデフォルトのセキュリティ レベルを [制限しない] または [許可しない] に設定することによって、ソフトウェアの実行をデフォルトで許可または拒否できます。デフォルトのセキュリティ レベルの例外を設定するには、特定のソフトウェアに対する規則を作成します。作成できる規則の種類は以下のとおりです。
  • ハッシュの規則
  • 証明書の規則
  • パスの規則
  • インターネット ゾーンの規則
ポリシーは、GPO に適用されるデフォルトのセキュリティ レベルとすべての規則で構成されます。このポリシーは、すべてのコンピュータに適用することも、個々のユーザーに適用することもできます。ソフトウェアの制限のポリシーにはソフトウェアを識別する多くの方法が用意されており、ソフトウェアの実行を許可するかどうかの決定を行うポリシー ベースのインフラストラクチャが提供されます。ソフトウェアの制限のポリシーを使用する環境では、プログラムの実行時に、管理者によって設定されたガイドラインに従う必要があります。

ソフトウェアの制限のポリシーでは、以下の処理を実行できます。
  • コンピュータで実行可能なプログラムを制御します。たとえば、電子メール経由でのウイルス感染を防止する場合、電子メール プログラムの添付ファイル フォルダで特定の種類のファイルを実行できないようにするポリシーを適用します。
  • 複数のユーザーで 1 つのコンピュータを使用している場合に、各ユーザーが特定のファイルのみを実行できるようにします。たとえば、複数のユーザーがコンピュータを使用している場合、各ユーザーが作業に必要なファイル用のソフトウェアのみにアクセスできるようにするソフトウェアの制限のポリシーを設定します。
  • 信頼された発行者をコンピュータに追加できるユーザーを指定します。
  • ソフトウェアの制限のポリシーを、コンピュータを使用するすべてのユーザーに適用するか、特定のユーザーのみに適用するかを制御します。
  • ローカル コンピュータ、組織単位、サイトまたはドメイン上で特定のファイルを実行できないようにします。たとえば、既知のウイルスが存在する場合、ソフトウェアの制限のポリシーを使用して、そのウイルスを含むファイルをコンピュータで開かないようにすることができます。

    重要 : マイクロソフトでは、ソフトウェアの制限のポリシーを、ウイルス対策ソフトウェアの代用として使用することは推奨しません。

ソフトウェアの制限のポリシーを起動する方法

ローカル コンピュータのみ

  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] を順にポイントして、[ローカル セキュリティ ポリシー] をクリックします。
  2. コンソール ツリーで [セキュリティの設定] を展開し、[ソフトウェアの制限のポリシー] を展開します。

ドメイン、サイトまたは組織単位 (ドメインに参加しているメンバ サーバーまたはワークステーション上)

  1. Microsoft 管理コンソール (MMC) を開きます。MMC を開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。
  2. [ファイル] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。
  3. [グループ ポリシー オブジェクト エディタ] をクリックし、[追加] をクリックします。
  4. [グループ ポリシー オブジェクトの選択] で、[参照] をクリックします。
  5. [グループ ポリシー オブジェクトの参照] で、適切なドメイン、サイトまたは組織単位のグループ ポリシー オブジェクト (GPO) を選択し、[OK] をクリックします。

    または、新しい GPO を作成して [完了] をクリックします。
  6. [閉じる] をクリックし、[OK] をクリックします。
  7. コンソール ツリーで、次の場所に移動します。
    グループ ポリシー オブジェクト Computer_name ポリシー/コンピュータの構成またはユーザーの構成/Windows の設定/セキュリティの設定/ソフトウェアの制限のポリシー

組織単位またはドメイン (管理ツール パックがインストールされたドメイン コントローラまたはワークステーション上)

  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] を順にポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
  2. コンソール ツリーで、グループ ポリシーを設定するドメインまたは組織単位を右クリックします。
  3. [プロパティ] をクリックし、[グループ ポリシー] タブをクリックします。
  4. [グループ ポリシー オブジェクトのリンク] 内の項目をクリックして既存の GPO を選択し、[編集] をクリックします。

    または、[新規] をクリックして新しい GPO を作成した後、[編集] をクリックします。
  5. コンソール ツリーで、次の場所に移動します。
    グループ ポリシー オブジェクト Computer_name ポリシー/コンピュータの構成またはユーザーの構成/Windows の設定/セキュリティの設定/ソフトウェアの制限のポリシー

サイト (管理ツール パックがインストールされたドメイン コントローラまたはワークステーション上)

  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] を順にポイントし、[Active Directory サイトとサービス] をクリックします。
  2. コンソール ツリーで、以下のコンテナを展開し、グループ ポリシーを設定するサイトを右クリックします。
    • Active Directory サイトとサービス [Domain_Controller_Name.Domain_Name]
    • Sites
    • サイト

  3. [プロパティ] をクリックし、[グループ ポリシー] タブをクリックします。
  4. [グループ ポリシー オブジェクトのリンク] 内の項目をクリックして既存の GPO を選択し、[編集] をクリックします。

    または、[新規] をクリックして新しい GPO を作成した後、[編集] をクリックします。
  5. コンソール ツリーで、次の場所に移動します。
    グループ ポリシー オブジェクト Computer_name ポリシー/コンピュータの構成またはユーザーの構成/Windows の設定/セキュリティの設定/ソフトウェアの制限のポリシー
    重要 : ユーザーがログオンしているコンピュータにかかわらず、ユーザーに適用するポリシーを設定するには、[ユーザーの構成] をクリックします。ログオンしているユーザーにかかわらず、コンピュータに適用するポリシーを設定するには、[コンピュータの構成] をクリックします。

    グループ ポリシーの詳細設定でループバックを使用することにより、特定のユーザーが特定のコンピュータにログオンした場合にソフトウェアの制限のポリシーを適用することもできます。

ソフトウェアの制限のポリシーがローカル管理者に適用されないようにする方法

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。
  2. [ソフトウェアの制限のポリシー] を開きます。
  3. 詳細ウィンドウで、[強制] をダブルクリックします。
  4. [ソフトウェアの制限のポリシーの適用ユーザー] で、[ローカル管理者を除くすべてのユーザー] をクリックします。
  • GPO に対してソフトウェアの制限のポリシーの設定が作成されていない場合、新しい設定を作成する必要があります。
  • 通常、ユーザーは組織でそれぞれが使用するコンピュータのローカル管理者グループのメンバであるため、この設定を有効にすることはお勧めしません。この設定を有効にすると、ローカル管理者グループのメンバであるユーザーにはソフトウェアの制限のポリシーが適用されません。
  • ローカル コンピュータに対してソフトウェアの制限のポリシーの設定を定義している場合は、この手順を使用して、ローカル管理者にソフトウェアの制限のポリシーが適用されないようにします。ネットワークに対してソフトウェアの制限のポリシーの設定を定義している場合は、グループ ポリシーを使用して、セキュリティ グループのメンバシップを基にユーザー ポリシー設定にフィルタを設定します。

証明書の規則を作成する方法

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。
  2. [ソフトウェアの制限のポリシー] を開きます。
  3. コンソール ツリーまたは詳細ウィンドウのいずれかで [追加の規則] を右クリックし、[新しい証明書の規則] をクリックします。
  4. [参照] をクリックして証明書を選択します。
  5. セキュリティ レベルを選択します。
  6. [説明] ボックスにこの規則の説明を入力し、[OK] をクリックします。
  • MMC でソフトウェアの制限のポリシーを開く方法については、Windows Server 2003 のヘルプとサポートで関連トピックの「ソフトウェアの制限のポリシーを開くには」を参照してください。
  • GPO に対してソフトウェアの制限のポリシーの設定が作成されていない場合、新しい設定を作成する必要があります。
  • デフォルトでは、証明書の規則は無効になっています。証明書の規則を有効にするには、以下の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedit と入力し、[OK] をクリックします。
    2. 次のレジストリ キーを見つけてクリックします。
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. 詳細ウィンドウで [AuthenticodeEnabled] をダブルクリックし、値のデータを 0 から 1 に変更します。
  • 証明書の規則によって影響を受けるのは、[専用ファイルの種類] に一覧表示されたファイルの種類のみです。すべての規則で共有される専用ファイルの種類の一覧は 1 つです。
  • ソフトウェアの制限のポリシーを適用するには、ユーザーがコンピュータからログオフしてからログオンし直すことにより、ポリシー設定を更新する必要があります。
  • ポリシー設定に複数の規則が適用されている場合、規則の競合を処理するための優先順位があります。

ハッシュの規則を作成する方法

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。
  2. [ソフトウェアの制限のポリシー] を開きます。
  3. コンソール ツリーまたは詳細ウィンドウのいずれかで [追加の規則] を右クリックし、[新しいハッシュの規則] をクリックします。
  4. [参照] をクリックしてファイルを選択するか、[ファイル ハッシュ] ボックスに計算済みのハッシュを貼り付けます。
  5. [セキュリティ レベル] ボックスで、[許可しない] または [制限しない] のいずれかをクリックします。
  6. [説明] ボックスにこの規則の説明を入力し、[OK] をクリックします。
  • GPO に対してソフトウェアの制限のポリシーの設定が作成されていない場合、新しい設定を作成する必要があります。
  • ウイルスまたはトロイの木馬に対するハッシュの規則を作成して、悪質なソフトウェアが実行されないようにすることができます。
  • 他のユーザーがハッシュの規則を使用してウイルスが実行されないようにするには、ソフトウェアの制限のポリシーを使用してウイルスのハッシュを計算し、ハッシュ値を他のユーザーに電子メールで送信します。決してウイルス自体を電子メールで送信しないでください。
  • 電子メール経由でウイルスが送信された場合、ユーザーが電子メールの添付ファイルを実行しないようにするパスの規則を作成することもできます。
  • ファイル名を変更したり、ファイルを別のフォルダに移動したりしても、ハッシュは変わりません。
  • ファイルに変更を加えるとハッシュは変わります。
  • ハッシュの規則によって影響を受けるのは、[専用ファイルの種類] に一覧表示されたファイルの種類のみです。すべての規則で共有される専用ファイルの種類の一覧は 1 つです。
  • ソフトウェアの制限のポリシーを適用するには、ユーザーがコンピュータからログオフしてからログオンし直すことにより、ポリシー設定を更新する必要があります。
  • ポリシー設定に複数の規則が適用されている場合、規則の競合を処理するための優先順位があります。

インターネット ゾーンの規則を作成する方法

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。
  2. [ソフトウェアの制限のポリシー] を開きます。
  3. コンソール ツリーで、[ソフトウェアの制限のポリシー] をクリックします。
  4. コンソール ツリーまたは詳細ウィンドウのいずれかで [追加の規則] を右クリックし、[新しいインターネット ゾーンの規則] をクリックします。
  5. [インターネット ゾーン] ボックスの一覧で、インターネット ゾーンをクリックします。
  6. [セキュリティ レベル] ボックスで、[許可しない] または [制限しない] のいずれかをクリックします。
  • GPO に対してソフトウェアの制限のポリシーの設定が作成されていない場合、新しい設定を作成する必要があります。
  • ゾーンの規則が適用されるのは Windows インストーラ パッケージのみです。
  • ゾーンの規則によって影響を受けるのは、[専用ファイルの種類] に一覧表示されたファイルの種類のみです。すべての規則で共有される専用ファイルの種類の一覧は 1 つです。
  • ソフトウェアの制限のポリシーを適用するには、ユーザーがコンピュータからログオフしてからログオンし直すことにより、ポリシー設定を更新する必要があります。
  • ポリシー設定に複数の規則が適用されている場合、規則の競合を処理するための優先順位があります。

パスの規則を作成する方法

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。
  2. [ソフトウェアの制限のポリシー] を開きます。
  3. コンソール ツリーまたは詳細ウィンドウのいずれかで [追加の規則] を右クリックし、[新しいパスの規則] をクリックします。
  4. [パス] ボックスにパスを入力するか、[参照] をクリックしてファイルまたはフォルダを検索します。
  5. [セキュリティ レベル] ボックスで、[許可しない] または [制限しない] のいずれかをクリックします。
  6. [説明] ボックスにこの規則の説明を入力し、[OK] をクリックします。

    重要 : Windows フォルダなどの特定のフォルダでセキュリティ レベルを [許可しない] に設定すると、オペレーティング システムの動作に悪影響を与える可能性があります。オペレーティング システムの重要なコンポーネントまたはそのコンポーネントが依存するプログラムでは、セキュリティ レベルを [許可しない] に設定しないでください。
  • GPO に対してソフトウェアの制限のポリシーの設定が作成されていない場合、新しい設定を作成する必要があります。
  • プログラムに対して [許可しない] のセキュリティ レベルでパスの規則を作成した場合、ユーザーがそのプログラムを他の場所にコピーすると実行することができます。
  • パスの規則でサポートされているワイルドカード文字は、アスタリスク (*) と疑問符 (?) です。
  • パスの規則では、%programfiles% や %systemroot% などの環境変数を使用できます。
  • ソフトウェアの保存場所が不明でレジストリ キーがわかっている場合、そのソフトウェアに対してパスの規則を作成するには、レジストリのパスの規則を作成します。
  • ユーザーが電子メールの添付ファイルを実行できないようにするには、電子メール プログラムの添付ファイル フォルダに対して、ユーザーが電子メールの添付ファイルを実行できないようにするパスの規則を作成します。
  • パスの規則によって影響を受けるのは、[専用ファイルの種類] に一覧表示されたファイルの種類のみです。すべての規則で共有される専用ファイルの種類の一覧は 1 つです。
  • ソフトウェアの制限のポリシーを適用するには、ユーザーがコンピュータからログオフしてからログオンし直すことにより、ポリシー設定を更新する必要があります。
  • ポリシー設定に複数の規則が適用されている場合、規則の競合を処理するための優先順位があります。

レジストリ パスの規則を作成する方法

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedit と入力し、[OK] をクリックします。
  2. コンソール ツリーで、規則を作成するレジストリ キーを右クリックし、[キー名のコピー] をクリックします。
  3. 詳細ウィンドウに表示された値の名前を記録しておきます。
  4. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。
  5. [ソフトウェアの制限のポリシー] を開きます。
  6. コンソール ツリーまたは詳細ウィンドウのいずれかで [追加の規則] を右クリックし、[新しいパスの規則] をクリックします。
  7. [パス] ボックスに、レジストリ キーの名前と値の名前を貼り付けます。
  8. 次の例のように、レジストリ パスをパーセント記号 (%) で囲みます。
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. [セキュリティ レベル] ボックスで、[許可しない] または [制限しない] のいずれかをクリックします。
  10. [説明] ボックスにこの規則の説明を入力し、[OK] をクリックします。
  • GPO に対してソフトウェアの制限のポリシーの設定が作成されていない場合、新しい設定を作成する必要があります。
  • この手順を実行するには、Administrators グループのメンバでなければなりません。
  • レジストリ パスの書式は次のとおりです。
    % Registry Hive\ Registry Key Name\ Value Name%
  • レジストリ ハイブには正式な名前を入力する必要があります。省略形は使用できません。たとえば、HKEY_CURRENT_USER の代わりに HKCU を使用することはできません。
  • レジストリ パスの規則では、パーセント記号 (%) で囲んだ部分の後ろにサフィックスを付けることができます。サフィックスには円記号 (\) を使用しないでください。たとえば、レジストリ パスの規則を以下のように指定できます。
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • パスの規則によって影響を受けるのは、[専用ファイルの種類] に一覧表示されたファイルの種類のみです。すべての規則で共有される専用ファイルの種類の一覧は 1 つです。
  • ソフトウェアの制限のポリシーを適用するには、ユーザーがコンピュータからログオフしてからログオンし直すことにより、ポリシー設定を更新する必要があります。
  • ポリシー設定に複数の規則が適用されている場合、規則の競合を処理するための優先順位があります。

専用ファイルの種類を追加または削除する方法

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。
  2. [ソフトウェアの制限のポリシー] を開きます。
  3. 詳細ウィンドウで、[専用ファイルの種類] をダブルクリックします。
  4. 必要に応じて、以下のいずれかの操作を実行します。
    • ファイルの種類を追加するには、[ファイルの拡張子] ボックスにファイル名の拡張子を入力し、[追加] をクリックします。
    • ファイルの種類を削除するには、[専用ファイルの種類] ボックスでそのファイルの種類をクリックし、[削除] をクリックします。
  • GPO に対してソフトウェアの制限のポリシーの設定が作成されていない場合、新しい設定を作成する必要があります。
  • 専用ファイルの種類の一覧は、各構成のすべての規則で共有されます。コンピュータのポリシー設定に対する専用ファイルの種類の一覧と、ユーザーのポリシー設定に対する専用ファイルの種類の一覧は異なります。

ソフトウェアの制限のポリシーのデフォルト セキュリティ レベルを変更する方法

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。
  2. [ソフトウェアの制限のポリシー] を開きます。
  3. 詳細ウィンドウで、[セキュリティ レベル] をダブルクリックします。
  4. デフォルトとして設定するセキュリティ レベルを右クリックし、[既定値として設定] をクリックします。

    注意 : 特定のフォルダでデフォルトのセキュリティ レベルを [許可しない] に設定すると、オペレーティング システムの動作に悪影響を与える可能性があります。
  • GPO に対してソフトウェアの制限のポリシーの設定が作成されていない場合、新しい設定を作成する必要があります。
  • 詳細ウィンドウでは、現在のデフォルトのセキュリティ レベルの横に、チェック マーク入りの黒丸が表示されます。現在のデフォルトのセキュリティ レベルを右クリックしても、メニューに [既定値として設定] は表示されません。
  • 規則は、デフォルトのセキュリティ レベルの例外を指定するために作成します。デフォルトのセキュリティ レベルが [制限しない] に設定されている場合は、実行を許可しないソフトウェアを規則で指定します。デフォルトのセキュリティ レベルが [許可しない] に設定されている場合は、実行を許可するソフトウェアを規則で指定します。
  • デフォルトのレベルを変更すると、ソフトウェアの制限のポリシーが適用されているコンピュータのすべてのファイルに影響します。
  • インストール時点では、コンピュータ上のすべてのファイルで、ソフトウェアの制限のポリシーのデフォルトのセキュリティ レベルが [制限しない] に設定されています。

信頼された発行者のオプションを設定する方法

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。
  2. [ソフトウェアの制限のポリシー] を開きます。
  3. [信頼された発行者] をダブルクリックします。
  4. 信頼する証明書を決定するユーザーをクリックし、[OK] をクリックします。
  • GPO に対してソフトウェアの制限のポリシーの設定が作成されていない場合、新しい設定を作成する必要があります。
  • 信頼された発行者、ユーザー、管理者またはエンタープライズ管理者を追加できるユーザーを選択できます。たとえば、このツールを使用すると、ActiveX コントロールの発行者を信頼するかどうかをユーザーが決定できないようにできます。
  • ローカル コンピュータの管理者には、そのローカル コンピュータ上で信頼された発行者を指定する権限がありますが、エンタープライズ管理者には、組織単位レベルで信頼された発行者を指定する権限があります。

プロパティ

文書番号: 324036 - 最終更新日: 2005年12月20日 - リビジョン: 5.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
キーワード:?
kbhowto kbhowtomaster kbmgmtservices KB324036
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com