Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法

文書翻訳 文書翻訳
文書番号: 833633 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

概要

警告 : この資料に記載されている変更を行った場合、Windows のプログラムとコンポーネントの機能の一部が失われることがあります。そのため、運用環境でこれらの変更を加える前に、業務上必要なプログラムをすべてのユーザーが正常に実行できるかどうかを確認するために、変更による影響を広範にテストすることをお勧めします。

この資料では、管理者が Microsoft Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法について説明します。マイ コンピュータ ゾーンは、ローカル コンピュータ ゾーンとも呼ばれています。この資料の情報は、次の構成に適用されます。
  • 32 ビット版の Microsoft Windows 上の 32 ビット版の Internet Explorer
  • 64 ビット版の Microsoft Windows XP 上の 64 ビット版の Internet Explorer
  • 64 ビット版の Microsoft Windows Server 2003 上の 64 ビット版の Internet Explorer
: Microsoft Windows XP Service Pack 2 (SP2) ではマイ コンピュータ ゾーンに制限が課されています。そのため、Windows XP SP2 をインストールした場合、この資料に記載されている手順を実行する必要がない場合があります。詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windowsxp/sp2/technologiesoverview.mspx#EBAA
http://www.microsoft.com/japan/windowsxp/sp2/ieoeoverview.mspx

詳細

セキュリティ ゾーンについて

Internet Explorer のユーザー インターフェイスを使用すると、次の 4 つのセキュリティ ゾーンを構成できます。
  • [インターネット]
  • [イントラネット]
  • [信頼済みサイト]
  • [制限付きサイト]
5 番目のゾーンとしてマイ コンピュータ ゾーンがあり、これはローカル コンピュータに存在する暗黙的なゾーンです。このゾーンのセキュリティ設定は、Internet Explorer では構成できません。また、コントロール パネルの [インターネット オプション] でも構成できません。ただし、Administrator のアクセス許可があれば、マイ コンピュータ ゾーンのセキュリティ設定をレジストリ設定を変更することで構成できます。

Internet Explorer では Web サイトをセキュリティ ゾーンに割り当てることができます。インターネット ゾーンの Web サイトには、信頼済みサイト ゾーンやローカル イントラネット ゾーンの Web サイトよりも高レベルのセキュリティが設定されます。Web サイトをセキュリティ ゾーンに割り当てることにより、コンピュータ上で Web サイトによって実行される操作を制御できます。たとえば、Web サイトをセキュリティの制限レベルが最も高いセキュリティ ゾーンに割り当てると、Web サイトによって安全でない可能性がある操作が実行されるのを防ぐことができます。

マイ コンピュータ ゾーンの Web サイトの場合、セキュリティ設定の制限レベルは他のどのゾーンにある Web サイトよりも低いレベルになります。ただし、Internet Explorer によってローカル コンピュータにキャッシュされるコンテンツは例外です。悪意のあるユーザーは、マイ コンピュータ ゾーンのセキュリティ設定の制限レベルが低いことを悪用してコンピュータ上で任意のコードを実行しようとすることがあります。

マイ コンピュータ ゾーンのセキュリティ設定を強化する前に

マイ コンピュータ ゾーンのセキュリティ設定を強化すると、次の 1 つ以上の現象が発生することがあります。
  • ユーザーが別のドメインのデータ ソースを開こうとすると、確認メッセージが表示される。
  • ユーザーがページ上でスクリプトを実行しようとすると、確認メッセージが表示される。
  • ActiveX コントロールと Java プログラムが実行されない。
  • ユーザーが開こうとしている Web ページが正しく表示されない。

ローカル コンピュータのセキュリティ設定が格納されるレジストリの場所

マイ コンピュータ ゾーンのセキュリティ設定は、状況に応じて次のレジストリ サブキーに格納されます。
  • 各ユーザーが独自の Internet Explorer セキュリティ設定を適用している場合、マイ コンピュータ ゾーンのセキュリティ設定は次のサブキーに格納されます。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  • すべてのユーザーが同一の Internet Explorer セキュリティ設定を適用している場合、マイ コンピュータ ゾーンのセキュリティ設定は次のサブキーに格納されます。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

デフォルトでは、セキュリティ ゾーンの設定は次のレジストリ サブツリーに格納されます。
HKEY_CURRENT_USER
このサブツリーはユーザーごとに動的に読み込まれるため、各ユーザーの設定が別のユーザーの設定に影響することはありません。すべてのユーザーが同一のセキュリティ設定を適用しているかどうかを判断するには、次の条件のいずれかを確認してください。
  • グループ ポリシーで [セキュリティ ゾーン: コンピュータの設定のみ使用する] が有効になっている。
  • Security_HKLM_only の DWORD 値が存在し、値が 1 である。
Security_HKLM_only の DWORD 値は、次のレジストリ サブキーに格納されます。
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

コンピュータの設定とユーザーの設定は、次の条件のいずれかに該当する場合に使用されます。
  • グループ ポリシーで [セキュリティ ゾーン: コンピュータの設定のみ使用する] が無効になっている。
  • Security_HKLM_only の DWORD 値が存在しない。
  • Security_HKLM_only の DWORD 値が 0 に設定されている。

Security_HKLM_only の DWORD 値が存在しない場合、または Security_HKLM_only の DWORD 値が 0 に設定されている場合、Internet Explorer により HKEY_LOCAL_MACHINE レジストリ キーと HKEY_CURRENT_USER レジストリ キーがそれぞれ読み取られます。ただし、コントロール パネルの [インターネット オプション] には HKEY_CURRENT_USER の設定のみが表示されます。

コントロール パネルの [インターネット オプション] に表示されるセキュリティ設定は、レジストリ内の数値と対応しています。次の表は、各セキュリティ設定のデフォルト値を示しています。また、マイ コンピュータ ゾーンの各セキュリティ設定を強化するために使用できる推奨値も示しています。
元に戻す全体を表示する
UI のセキュリティ設定名レジストリ値の数値名 (種類)デフォルトのレジストリ値のデータ推奨するレジストリ値のデータ
ActiveX コントロールとプラグインの実行 1200 (DWORD) 0 3
スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行 1201 (DWORD) 1 3
アクティブ スクリプト 1400 (DWORD) 0 1
ドメイン間でのデータ ソースのアクセス 1406 (DWORD) 0 1
Java のアクセス許可 1C00 (バイナリ) 00 00 02 00 00 00 00 00
上記の表の DWORD 値の設定について、以下に説明します。
  • 0 は操作が有効であることを示します。これがデフォルトの設定です。
  • 1 は確認メッセージが表示されることを示します。
  • 3 は操作が無効であることを示します。
バイナリ値のデフォルトの設定である "00 00 02 00" はセキュリティ レベルが "中" であることを示します。"00 00 00 00" に設定すると、Java が無効になります。

: アクティブ スクリプトでは、設定を 1 にすると、非常に多くの確認メッセージが表示される場合があります。そのため、スクリプトを許可することをお勧めします。スクリプトを許可するには、アクティブ スクリプト値を 0 に設定します。アクティブ スクリプトの実行時に確認メッセージが表示されないようにするには、「マイ コンピュータ ゾーンのセキュリティ設定を変更する方法」の 1400 で始まる行を変更します。

マイ コンピュータ ゾーンのセキュリティ設定を変更する方法


警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

マイ コンピュータ ゾーンのセキュリティ設定を変更するには、DWORD 値またはバイナリ値を変更します。環境に応じた方法を使用してください。

Active Directory ディレクトリ サービス環境の場合

マイ コンピュータ ゾーンのデフォルトの設定を強化する
Active Directory 環境では、グループ ポリシー オブジェクト エディタ (以前のグループ ポリシー エディタ) を使用します。マイ コンピュータ ゾーンのセキュリティ設定を強化するには、次の手順を実行します。
  1. 以下のテキストをコピーし、メモ帳などのテキスト エディタに貼り付けます。

    ユーザーが独自のセキュリティ設定を適用できる場合は、次のテキストを使用します。
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    すべてのユーザーが同一のセキュリティ設定を使用する必要がある場合は、次のテキストを使用します。
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
  2. ADHardenLMZ.reg という名前でファイルを保存します。
  3. グループ ポリシー オブジェクト エディタを実行するコンピュータで ADHardenLMZ.reg ファイルを実行して、レジストリ設定をレジストリにインポートします。
  4. グループ ポリシー オブジェクト エディタで、変更する Active Directory オブジェクトを開きます。
  5. 次の操作に対して確認メッセージが表示されることがあります。
    • スクリプトの実行を許可する
    • スクリプトの実行を継続することを確認する
    確認メッセージが表示されたら、[はい] をクリックします。現在の設定では ActiveX コントロールが実行されないことを示すメッセージが表示された場合は、[OK] をクリックします。

    : マイ コンピュータ ゾーンのセキュリティ設定を強化すると、グループ ポリシー オブジェクト エディタにヘルプ ウィンドウが表示されなくなります。
  6. [ユーザーの構成]、[Windows の設定]、[Internet Explorer のメンテナンス]、[セキュリティ] の順に展開し、[セキュリティ ゾーンおよびコンテンツの規則] をダブルクリックします。
  7. [現行のセキュリティ ゾーンのプライバシーの設定をインポートする] をクリックし、[OK] をクリックします。
マイ コンピュータ ゾーンのデフォルトの設定を復元する
マイ コンピュータ ゾーンのデフォルトの設定を復元するには、次の手順を実行します。
  1. 以下のテキストをコピーし、メモ帳などのテキスト エディタに貼り付けます。

    ユーザーが独自のセキュリティ設定を適用できる場合は、次のテキストを使用します。
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    すべてのユーザーが同一のセキュリティ設定を使用する必要がある場合は、次のテキストを使用します。
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    
  2. ADDefaultLMZ.reg という名前でファイルを保存します。
  3. グループ ポリシー オブジェクト エディタを実行するコンピュータで ADDefaultLMZ.reg ファイルを実行して、デフォルトの設定をレジストリにインポートします。
  4. グループ ポリシー オブジェクト エディタで、変更する Active Directory オブジェクトを開きます。
  5. 次の操作に対して確認メッセージが表示されることがあります。
    • スクリプトの実行を許可する
    • スクリプトの実行を継続することを確認する
    確認メッセージが表示されたら、[はい] をクリックします。現在の設定では ActiveX コントロールが実行されないことを示すメッセージが表示された場合は、[OK] をクリックします。

    : マイ コンピュータ ゾーンのセキュリティ設定を強化すると、グループ ポリシー オブジェクト エディタにヘルプ ウィンドウが表示されなくなります。
  6. [ユーザーの構成]、[Windows の設定]、[Internet Explorer のメンテナンス]、[セキュリティ] の順に展開し、[セキュリティ ゾーンおよびコンテンツの規則] をダブルクリックします。
  7. [現行のセキュリティ ゾーンのプライバシーの設定をインポートする] をクリックし、[OK] をクリックします。

Active Directory 以外の環境の場合

マイ コンピュータ ゾーンのデフォルトの設定を強化する
マイ コンピュータ ゾーンのセキュリティ設定を強化するには、更新されたセキュリティ設定をレジストリにインポートします。この操作を行うには、次の手順を実行します。
  1. 以下のテキストをコピーし、メモ帳などのテキスト エディタに貼り付けます。

    ユーザーが独自の Internet Explorer セキュリティ設定を適用できる場合は、次のテキストを使用します。
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    すべてのユーザーが同一のセキュリティ設定を適用している場合は、次のテキストを使用します。
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
  2. HardenLMZ.reg という名前でファイルを保存します。
  3. すべてのクライアント コンピュータで HardenLMZ.reg ファイルを実行して、設定をレジストリにインポートします。
マイ コンピュータ ゾーンのデフォルトの設定を復元する
マイ コンピュータ ゾーンのデフォルトの設定を復元するには、次の手順を実行します。
  1. 以下のテキストをコピーし、メモ帳などのテキスト エディタに貼り付けます。

    ユーザーが独自の Internet Explorer セキュリティ設定を適用できる場合は、次のテキストを使用します。
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    すべてのユーザーが同一のセキュリティ設定を適用している場合は、次のテキストを使用します。
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
    
  2. DefaultLMZ.reg という名前でファイルを保存します。
  3. すべてのクライアント コンピュータで DefaultLMZ.reg ファイルを実行して、設定をレジストリにインポートします。

マイ コンピュータ ゾーンに配置された HTML ファイルのインターネット ゾーンへの割り当て

マイ コンピュータ ゾーンのセキュリティ設定を強化すると、スクリプト、ActiveX コントロール、または Java プログラムを含んでいるローカルの HTML ファイルをインターネット ゾーンに割り当てることができます。Internet Explorer で HTML ファイルを開くと、Internet Explorer により "saved from URL" コメントが検索されます。"saved from URL" コメントが検出された場合、マイ コンピュータ ゾーンのセキュリティ設定ではなく、インターネット ゾーンのセキュリティ設定が使用されます。インターネット ゾーンがスクリプト、ActiveX コントロール、Java プログラムを実行するように構成されている場合、これらのアイテムは実行されます。実行時に、「マイ コンピュータ ゾーンのセキュリティ設定を強化する前に」で説明した現象は発生しません。

ローカルの HTML ファイルをインターネット ゾーンに割り当てるために、"saved from URL" コメントをローカルの HTML ファイルに追加できます。このコメントを追加すると、Internet Explorer はインターネット ゾーンのセキュリティ設定をハード ディスクに保存された HTML ファイルに適用するように指示されます。このコメントは次のような形式にする必要があります。

			<!-- saved from url=(0023)http://www.contoso.com/ -->


等号 (=) に続くかっこ内の値は URL 内の文字数を表します。この例では、0023 です。Contoso はインターネット Web サイトの名前を表します。

関連情報

.reg ファイルを使用して、複数のコンピュータにレジストリ変更を展開する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
310516 [HOW TO] 登録エントリ (.reg) ファイルを使用してレジストリ サブキーおよび値を追加、変更、または削除する方法
Internet Explorer のセキュリティ ゾーン関連のレジストリ エントリの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
182569 Internet Explorer のセキュリティ ゾーン関連のレジストリ エントリについて
URL セキュリティ ゾーンのテンプレートの関連情報については、次のマイクロソフト Web サイトを参照してください。
http://msdn.microsoft.com/library/default.asp?url=/workshop/security/szone/overview/templates.asp

プロパティ

文書番号: 833633 - 最終更新日: 2005年10月19日 - リビジョン: 3.1
この資料は以下の製品について記述したものです。
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.0
キーワード:?
KB833633
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com