現在オフラインです。再接続するためにインターネットの接続を待っています

Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法

重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
概要
警告 : この資料に記載されている変更を行った場合、Windows のプログラムとコンポーネントの機能の一部が失われることがあります。そのため、運用環境でこれらの変更を加える前に、業務上必要なプログラムをすべてのユーザーが正常に実行できるかどうかを確認するために、変更による影響を広範にテストすることをお勧めします。

この資料では、管理者が Microsoft Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法について説明します。マイ コンピュータ ゾーンは、ローカル コンピュータ ゾーンとも呼ばれています。この資料の情報は、次の構成に適用されます。
  • 32 ビット版の Microsoft Windows 上の 32 ビット版の Internet Explorer
  • 64 ビット版の Microsoft Windows XP 上の 64 ビット版の Internet Explorer
  • 64 ビット版の Microsoft Windows Server 2003 上の 64 ビット版の Internet Explorer
: Microsoft Windows XP Service Pack 2 (SP2) ではマイ コンピュータ ゾーンに制限が課されています。そのため、Windows XP SP2 をインストールした場合、この資料に記載されている手順を実行する必要がない場合があります。詳細については、次のマイクロソフト Web サイトを参照してください。
詳細

Internet Explorer のユーザー インターフェイスを使用すると、次の 4 つのセキュリティ ゾーンを構成できます。
  • [インターネット]
  • [イントラネット]
  • [信頼済みサイト]
  • [制限付きサイト]
5 番目のゾーンとしてマイ コンピュータ ゾーンがあり、これはローカル コンピュータに存在する暗黙的なゾーンです。このゾーンのセキュリティ設定は、Internet Explorer では構成できません。また、コントロール パネルの [インターネット オプション] でも構成できません。ただし、Administrator のアクセス許可があれば、マイ コンピュータ ゾーンのセキュリティ設定をレジストリ設定を変更することで構成できます。

Internet Explorer では Web サイトをセキュリティ ゾーンに割り当てることができます。インターネット ゾーンの Web サイトには、信頼済みサイト ゾーンやローカル イントラネット ゾーンの Web サイトよりも高レベルのセキュリティが設定されます。Web サイトをセキュリティ ゾーンに割り当てることにより、コンピュータ上で Web サイトによって実行される操作を制御できます。たとえば、Web サイトをセキュリティの制限レベルが最も高いセキュリティ ゾーンに割り当てると、Web サイトによって安全でない可能性がある操作が実行されるのを防ぐことができます。

マイ コンピュータ ゾーンの Web サイトの場合、セキュリティ設定の制限レベルは他のどのゾーンにある Web サイトよりも低いレベルになります。ただし、Internet Explorer によってローカル コンピュータにキャッシュされるコンテンツは例外です。悪意のあるユーザーは、マイ コンピュータ ゾーンのセキュリティ設定の制限レベルが低いことを悪用してコンピュータ上で任意のコードを実行しようとすることがあります。

マイ コンピュータ ゾーンのセキュリティ設定を強化すると、次の 1 つ以上の現象が発生することがあります。
  • ユーザーが別のドメインのデータ ソースを開こうとすると、確認メッセージが表示される。
  • ユーザーがページ上でスクリプトを実行しようとすると、確認メッセージが表示される。
  • ActiveX コントロールと Java プログラムが実行されない。
  • ユーザーが開こうとしている Web ページが正しく表示されない。

マイ コンピュータ ゾーンのセキュリティ設定は、状況に応じて次のレジストリ サブキーに格納されます。
  • 各ユーザーが独自の Internet Explorer セキュリティ設定を適用している場合、マイ コンピュータ ゾーンのセキュリティ設定は次のサブキーに格納されます。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  • すべてのユーザーが同一の Internet Explorer セキュリティ設定を適用している場合、マイ コンピュータ ゾーンのセキュリティ設定は次のサブキーに格納されます。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

デフォルトでは、セキュリティ ゾーンの設定は次のレジストリ サブツリーに格納されます。
HKEY_CURRENT_USER
このサブツリーはユーザーごとに動的に読み込まれるため、各ユーザーの設定が別のユーザーの設定に影響することはありません。すべてのユーザーが同一のセキュリティ設定を適用しているかどうかを判断するには、次の条件のいずれかを確認してください。
  • グループ ポリシーで [セキュリティ ゾーン: コンピュータの設定のみ使用する] が有効になっている。
  • Security_HKLM_only の DWORD 値が存在し、値が 1 である。
Security_HKLM_only の DWORD 値は、次のレジストリ サブキーに格納されます。
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

コンピュータの設定とユーザーの設定は、次の条件のいずれかに該当する場合に使用されます。
  • グループ ポリシーで [セキュリティ ゾーン: コンピュータの設定のみ使用する] が無効になっている。
  • Security_HKLM_only の DWORD 値が存在しない。
  • Security_HKLM_only の DWORD 値が 0 に設定されている。

Security_HKLM_only の DWORD 値が存在しない場合、または Security_HKLM_only の DWORD 値が 0 に設定されている場合、Internet Explorer により HKEY_LOCAL_MACHINE レジストリ キーと HKEY_CURRENT_USER レジストリ キーがそれぞれ読み取られます。ただし、コントロール パネルの [インターネット オプション] には HKEY_CURRENT_USER の設定のみが表示されます。

コントロール パネルの [インターネット オプション] に表示されるセキュリティ設定は、レジストリ内の数値と対応しています。次の表は、各セキュリティ設定のデフォルト値を示しています。また、マイ コンピュータ ゾーンの各セキュリティ設定を強化するために使用できる推奨値も示しています。
UI のセキュリティ設定名レジストリ値の数値名 (種類)デフォルトのレジストリ値のデータ推奨するレジストリ値のデータ
ActiveX コントロールとプラグインの実行1200 (DWORD)03
スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行1201 (DWORD)13
アクティブ スクリプト1400 (DWORD)01
ドメイン間でのデータ ソースのアクセス1406 (DWORD)01
Java のアクセス許可1C00 (バイナリ)00 00 02 0000 00 00 00
上記の表の DWORD 値の設定について、以下に説明します。
  • 0 は操作が有効であることを示します。これがデフォルトの設定です。
  • 1 は確認メッセージが表示されることを示します。
  • 3 は操作が無効であることを示します。
バイナリ値のデフォルトの設定である "00 00 02 00" はセキュリティ レベルが "中" であることを示します。"00 00 00 00" に設定すると、Java が無効になります。

: アクティブ スクリプトでは、設定を 1 にすると、非常に多くの確認メッセージが表示される場合があります。そのため、スクリプトを許可することをお勧めします。スクリプトを許可するには、アクティブ スクリプト値を 0 に設定します。アクティブ スクリプトの実行時に確認メッセージが表示されないようにするには、「マイ コンピュータ ゾーンのセキュリティ設定を変更する方法」の 1400 で始まる行を変更します。


警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

マイ コンピュータ ゾーンのセキュリティ設定を変更するには、DWORD 値またはバイナリ値を変更します。環境に応じた方法を使用してください。

マイ コンピュータ ゾーンのデフォルトの設定を強化する
Active Directory 環境では、グループ ポリシー オブジェクト エディタ (以前のグループ ポリシー エディタ) を使用します。マイ コンピュータ ゾーンのセキュリティ設定を強化するには、次の手順を実行します。
  1. 以下のテキストをコピーし、メモ帳などのテキスト エディタに貼り付けます。

    ユーザーが独自のセキュリティ設定を適用できる場合は、次のテキストを使用します。
    REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000003"1201"=dword:00000003"1400"=dword:00000001"1406"=dword:00000001"1C00"=hex:00,00,00,00
    すべてのユーザーが同一のセキュリティ設定を使用する必要がある場合は、次のテキストを使用します。
    REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000003"1201"=dword:00000003"1400"=dword:00000001"1406"=dword:00000001"1C00"=hex:00,00,00,00
  2. ADHardenLMZ.reg という名前でファイルを保存します。
  3. グループ ポリシー オブジェクト エディタを実行するコンピュータで ADHardenLMZ.reg ファイルを実行して、レジストリ設定をレジストリにインポートします。
  4. グループ ポリシー オブジェクト エディタで、変更する Active Directory オブジェクトを開きます。
  5. 次の操作に対して確認メッセージが表示されることがあります。
    • スクリプトの実行を許可する
    • スクリプトの実行を継続することを確認する
    確認メッセージが表示されたら、[はい] をクリックします。現在の設定では ActiveX コントロールが実行されないことを示すメッセージが表示された場合は、[OK] をクリックします。

    : マイ コンピュータ ゾーンのセキュリティ設定を強化すると、グループ ポリシー オブジェクト エディタにヘルプ ウィンドウが表示されなくなります。
  6. [ユーザーの構成]、[Windows の設定]、[Internet Explorer のメンテナンス]、[セキュリティ] の順に展開し、[セキュリティ ゾーンおよびコンテンツの規則] をダブルクリックします。
  7. [現行のセキュリティ ゾーンのプライバシーの設定をインポートする] をクリックし、[OK] をクリックします。
マイ コンピュータ ゾーンのデフォルトの設定を復元する
マイ コンピュータ ゾーンのデフォルトの設定を復元するには、次の手順を実行します。
  1. 以下のテキストをコピーし、メモ帳などのテキスト エディタに貼り付けます。

    ユーザーが独自のセキュリティ設定を適用できる場合は、次のテキストを使用します。
    REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000000"1201"=dword:00000001"1400"=dword:00000000"1406"=dword:00000000"1C00"=hex:00,00,02,00
    すべてのユーザーが同一のセキュリティ設定を使用する必要がある場合は、次のテキストを使用します。
    REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000000"1201"=dword:00000001"1400"=dword:00000000"1406"=dword:00000000"1C00"=hex:00,00,02,00
  2. ADDefaultLMZ.reg という名前でファイルを保存します。
  3. グループ ポリシー オブジェクト エディタを実行するコンピュータで ADDefaultLMZ.reg ファイルを実行して、デフォルトの設定をレジストリにインポートします。
  4. グループ ポリシー オブジェクト エディタで、変更する Active Directory オブジェクトを開きます。
  5. 次の操作に対して確認メッセージが表示されることがあります。
    • スクリプトの実行を許可する
    • スクリプトの実行を継続することを確認する
    確認メッセージが表示されたら、[はい] をクリックします。現在の設定では ActiveX コントロールが実行されないことを示すメッセージが表示された場合は、[OK] をクリックします。

    : マイ コンピュータ ゾーンのセキュリティ設定を強化すると、グループ ポリシー オブジェクト エディタにヘルプ ウィンドウが表示されなくなります。
  6. [ユーザーの構成]、[Windows の設定]、[Internet Explorer のメンテナンス]、[セキュリティ] の順に展開し、[セキュリティ ゾーンおよびコンテンツの規則] をダブルクリックします。
  7. [現行のセキュリティ ゾーンのプライバシーの設定をインポートする] をクリックし、[OK] をクリックします。

マイ コンピュータ ゾーンのデフォルトの設定を強化する
マイ コンピュータ ゾーンのセキュリティ設定を強化するには、更新されたセキュリティ設定をレジストリにインポートします。この操作を行うには、次の手順を実行します。
  1. 以下のテキストをコピーし、メモ帳などのテキスト エディタに貼り付けます。

    ユーザーが独自の Internet Explorer セキュリティ設定を適用できる場合は、次のテキストを使用します。
    REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000003"1201"=dword:00000003"1400"=dword:00000001"1406"=dword:00000001"1C00"=hex:00,00,00,00
    すべてのユーザーが同一のセキュリティ設定を適用している場合は、次のテキストを使用します。
    REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000003"1201"=dword:00000003"1400"=dword:00000001"1406"=dword:00000001"1C00"=hex:00,00,00,00[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]"Security_HKLM_only"=dword:00000001
  2. HardenLMZ.reg という名前でファイルを保存します。
  3. すべてのクライアント コンピュータで HardenLMZ.reg ファイルを実行して、設定をレジストリにインポートします。
マイ コンピュータ ゾーンのデフォルトの設定を復元する
マイ コンピュータ ゾーンのデフォルトの設定を復元するには、次の手順を実行します。
  1. 以下のテキストをコピーし、メモ帳などのテキスト エディタに貼り付けます。

    ユーザーが独自の Internet Explorer セキュリティ設定を適用できる場合は、次のテキストを使用します。
    REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000000"1201"=dword:00000001"1400"=dword:00000000"1406"=dword:00000000"1C00"=hex:00,00,02,00
    すべてのユーザーが同一のセキュリティ設定を適用している場合は、次のテキストを使用します。
    REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000000"1201"=dword:00000001"1400"=dword:00000000"1406"=dword:00000000"1C00"=hex:00,00,02,00[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]"Security_HKLM_only"=dword:00000001
  2. DefaultLMZ.reg という名前でファイルを保存します。
  3. すべてのクライアント コンピュータで DefaultLMZ.reg ファイルを実行して、設定をレジストリにインポートします。

マイ コンピュータ ゾーンのセキュリティ設定を強化すると、スクリプト、ActiveX コントロール、または Java プログラムを含んでいるローカルの HTML ファイルをインターネット ゾーンに割り当てることができます。Internet Explorer で HTML ファイルを開くと、Internet Explorer により "saved from URL" コメントが検索されます。"saved from URL" コメントが検出された場合、マイ コンピュータ ゾーンのセキュリティ設定ではなく、インターネット ゾーンのセキュリティ設定が使用されます。インターネット ゾーンがスクリプト、ActiveX コントロール、Java プログラムを実行するように構成されている場合、これらのアイテムは実行されます。実行時に、「マイ コンピュータ ゾーンのセキュリティ設定を強化する前に」で説明した現象は発生しません。

ローカルの HTML ファイルをインターネット ゾーンに割り当てるために、"saved from URL" コメントをローカルの HTML ファイルに追加できます。このコメントを追加すると、Internet Explorer はインターネット ゾーンのセキュリティ設定をハード ディスクに保存された HTML ファイルに適用するように指示されます。このコメントは次のような形式にする必要があります。

			<!-- saved from url=(0023)http://www.contoso.com/ -->


等号 (=) に続くかっこ内の値は URL 内の文字数を表します。この例では、0023 です。Contoso はインターネット Web サイトの名前を表します。

関連情報
.reg ファイルを使用して、複数のコンピュータにレジストリ変更を展開する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
310516 [HOW TO] 登録エントリ (.reg) ファイルを使用してレジストリ サブキーおよび値を追加、変更、または削除する方法
Internet Explorer のセキュリティ ゾーン関連のレジストリ エントリの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
182569 Internet Explorer のセキュリティ ゾーン関連のレジストリ エントリについて
URL セキュリティ ゾーンのテンプレートの関連情報については、次のマイクロソフト Web サイトを参照してください。
locked down lockdown local security zone q833633
プロパティ

文書番号:833633 - 最終更新日: 10/19/2005 08:24:00 - リビジョン: 3.1

  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.0
  • KB833633
フィードバック