次の方法で共有

Windows XP セキュリティ ガイド

第 4 章 :Windows XP の管理用テンプレート

最終更新日: 2006年8月17日

ダウンロード

『Windows XP セキュリティ ガイド』のダウンロード

トピック

概要
[コンピュータの構成] 設定
ユーザーの構成の設定
まとめ

概要

この章では、管理用テンプレートを使用して、Microsoft® Windows® XP Professional Service Pack 2 (SP2) で追加のセキュリティ設定を構成および適用する方法について詳しく説明します。管理用テンプレート (.adm) ファイルは、サービス、アプリケーション、およびオペレーティング システムに関するさまざまなコンポーネントの動作を制御する、Windows XP のレジストリ設定を構成するときに使用します。

Windows XP SP2 に付属する 5 つの管理用テンプレートには数百もの追加設定が含まれ、Windows XP Professional のセキュリティを強化するために使用できます。Microsoft Windows Server™ 2003の管理用テンプレートには、Windows XP では正しく機能しない設定がいくつかあります。Windows XP で利用できる管理用テンプレートの全一覧については、この章の最後のセクション「関連情報」で紹介している Microsoft Excel® ブック「Policy Settings」を参照してください。

次の表に .adm ファイルの一覧と、各 .adm ファイルが作用するアプリケーションおよびサービスを示します。

表 4.1 管理用テンプレート ファイル

ファイル名 オペレーティング システム 説明
System.adm Windows XP Professional ユーザーのオペレーティング環境をカスタマイズするための各種設定が含まれます。
Inetres.adm Windows XP Professional Internet Explorer 6.0 用の設定が含まれます。
Conf.adm Windows XP Professional Microsoft NetMeeting® を構成するための設定が含まれます。
Wmplayer.adm Windows XP Professional Windows Media Player を構成するための設定が含まれます。
Wuau.adm Windows XP Professional Windows Update を構成するための設定が含まれます。
**注 :**環境内のコンピュータやユーザーに管理用テンプレートの設定を適用するためには、グループ ポリシー オブジェクト (GPO) に対して管理用テンプレートの設定を手動で構成する必要があります。 管理用テンプレートの設定は主に次の 2 つのグループに分けられます。 - \[コンピュータの構成\] 設定 (**HKEY\_Local\_Machine** レジストリ ハイブに格納) - \[ユーザーの構成\] 設定 (**HKEY\_Current\_User** レジストリ ハイブに格納) この章では、「第 3 章 Windows XP クライアントのセキュリティ設定」と同様、このガイドで定義しているエンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境で推奨される規定の設定を示します。 **注 :**ユーザー設定は、リンクしている GPO を介して、ユーザーが含まれる組織単位 (OU) に適用されます。OU の詳細については、「第 2 章 Active Directory ドメイン インフラストラクチャを構成する」を参照してください。 グループ ポリシー オブジェクト エディタで \[コンピュータの構成\] と \[ユーザーの構成\] の両方に対して使用できる設定もあります。コンピュータにログオンするユーザーに適用される設定が、グループ ポリシーを介して適用された \[コンピュータの構成\] 設定と同じ場合、\[ユーザーの構成\] 設定よりも \[コンピュータの構成\] 設定が優先されます。 このガイドの以前のバージョンには、Office XP の設定に関する情報が記載されていました。これらの設定は Office 2003 用に更新され、現在は Microsoft Web サイトで公開されています。この情報へのリンクについては、この章の最後にある「関連情報」セクションを参照してください。 この章では、Microsoft によって提供されている管理用テンプレートで利用可能な設定がすべて網羅されているわけではありません。管理用テンプレートの設定は、多くがユーザー インターフェイス (UI) 設定に関するものであり、個々のセキュリティ リスクを解決するためのものではありません。このガイドに記載された設定のうち、どれを環境に適用するかという決定は、組織が掲げるセキュリティ目標によって決まります。 グループ ポリシーを使用して Windows XP Professional に適用したい追加設定がある場合は、カスタム テンプレートを独自に作成できます。独自の管理用テンプレートを作成する方法については、この章の最後にある「関連情報」セクションに記載されている各種ホワイト ペーパーを参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### \[コンピュータの構成\] 設定 この後の各セクションでは、グループ ポリシー オブジェクト エディタの \[コンピュータの構成\] で規定される設定について説明します。次の項目について各種設定を構成します。 **コンピュータの構成\\管理用テンプレート** この場所を次の図に示します。 ![](images/Dd363022.SGFG0401(ja-jp,TechNet.10).gif) **図 4.1 \[コンピュータの構成\] のグループ ポリシー構造** [拡大表示する](https://technet.microsoft.com/ja-jp/dd363022.sgfg0401_big(ja-jp,technet.10).gif) この章の構成は、グループ ポリシーのコンテナ構造に基づいています。この後の各セクションの表では、\[コンピュータの構成\] のさまざまなオプションの推奨設定をまとめ、エンタープライズ クライアント (EC) 環境およびセキュリティ強化 - 機能制限 (SSLF) 環境の 2 つのセキュリティ保護された環境にあるデスクトップとラップトップのクライアント コンピュータに推奨される設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 環境内のコンピュータ アカウントが含まれる OU にリンクする GPO を介してこれらの設定を適用します。ラップトップの OU にリンクされた GPO にはラップトップ設定を、デスクトップの OU にリンクされた GPO にはデスクトップ設定を追加することになります。 #### Windows コンポーネント 次の図に、このセクションで行う設定変更の影響を受けるグループ ポリシーの各セクションを示します。 ![](images/Dd363022.SGFG0402(ja-jp,TechNet.10).gif) **図 4.2 \[コンピュータの構成\] の \[Windows コンポーネント\] のグループ ポリシー構造** [拡大表示する](https://technet.microsoft.com/ja-jp/dd363022.sgfg0402_big(ja-jp,technet.10).gif) ##### NetMeeting Microsoft NetMeeting では社内のネットワークを使用して仮想的な会議を行うことができます。以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\** **NetMeeting** **表 4.2 \[NetMeeting\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
リモート デスクトップ共有を無効にする 未構成 未構成 有効 有効
###### リモート デスクトップ共有を無効にする このポリシー設定では、NetMeeting のリモート デスクトップ共有機能を無効にします。このポリシー設定を有効にすると、ユーザーはローカル デスクトップをリモート制御できるように NetMeeting を構成することができなくなります。 \[リモート デスクトップ共有を無効にする\] の値は、EC 環境では \[未構成\] に設定します。SSLF 環境では \[有効\] に設定して、ユーザーが NetMeeting を使用してリモートからデスクトップを共有できないようにします。 ##### Internet Explorer Microsoft Internet Explorer のグループ ポリシーを使用すると、Windows XP ワークステーションのセキュリティ要件が適用され、Internet Explorer を介した不要なコンテンツの交換ができなくなります。次の基準に該当するか確認して、ユーザー環境のワークステーションで Internet Explorer を保護します。 - インターネットへの接続要求がユーザー アクションに対する直接的な結果としてのみ発生すること。 - 特定の Web サイトに送信される情報は、他の送信先への情報送信を許可する特別なユーザー アクションでない限り、そのサイトのみに送信されること。 - サーバーまたはサイトへのチャンネルが、各チャンネルのサーバーまたはサイトの所有者と共に、信頼できることが明確に識別できること。 - Internet Explorer で実行されるスクリプトまたはプログラムの実行環境が制限されていること。ただし、信頼されたチャンネルから配信されるプログラムであれば、制限された環境以外でも実行できるようにする場合があります。 以下に示す Internet Explorer の規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer** 次の表に、\[Internet Explorer\] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 4.3 \[Internet Explorer\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
Internet Explorer コンポーネントの自動インストールを許可しない 有効 有効 有効 有効
Internet Explorer ソフトウェアの更新の周期的なチェックを許可しない 有効 有効 有効 有効
プログラムの起動におけるソフトウェア更新チャンネルの通知を許可しない 有効 有効 有効 有効
ユーザーによるアドオンの有効化および無効化を許可しない 有効 有効 有効 有効
コンピュータ別にプロキシを設定する (ユーザー別ではなく) 有効 無効 有効 無効
セキュリティ ゾーン:サイトの追加/削除を許可しない 有効 有効 有効 有効
セキュリティ ゾーン:ポリシーの変更を許可しない 有効 有効 有効 有効
セキュリティ ゾーン:コンピュータの設定のみ使用する 有効 有効 有効 有効
クラッシュの検出を無効にする 有効 有効 有効 有効
###### Internet Explorer コンポーネントの自動インストールを許可しない このポリシー設定を有効にすると、正常に動作するために特定のコンポーネントを必要とする Web サイトをユーザーが参照したとき、Internet Explorer でそのコンポーネントを自動的にダウンロードできなくなります。無効または未構成にすると、コンポーネントを使用する Web サイトにアクセスするたびに、コンポーネントのダウンロードおよびインストールを求めるダイアログ ボックスが表示されます。 この章で説明している 2 つの環境では、\[Internet Explorer コンポーネントの自動インストールを許可しない\] の値を \[有効\] に設定します。 **注 :**このポリシー設定を有効にする前に、Microsoft Update や同様のサービスを使用して Internet Explorer を更新する方法を別途設定しておくことをお勧めします。 ###### Internet Explorer ソフトウェアの更新の周期的なチェックを許可しない このポリシー設定を有効にすると、Internet Explorer の最新バージョンを利用できるかどうかの確認、また利用できる場合のユーザーへの通知ができなくなります。無効または未構成にすると、Internet Explorer の最新バージョンを利用できるかどうかが既定で 30 日ごとに確認され、利用できる場合はユーザーに通知されます。 この章で説明している 2 つの環境では、\[Internet Explorer ソフトウェアの更新の周期的なチェックを許可しない\] の値を \[有効\] に設定します。 **注 :**このポリシーを有効にする前に、組織の管理者が、管理対象のクライアント コンピュータで Internet Explorer の最新バージョンを定期的に受け取れる方法を別途設定することをお勧めします。 ###### プログラムの起動におけるソフトウェア更新チャンネルの通知を許可しない このポリシー設定では、Microsoft ソフトウェア配布チャンネルを使用するプログラムで新しいコンポーネントがインストールされるときにユーザーに通知しないことを指定します。ソフトウェア配布チャンネルは、ユーザーのコンピュータ上のソフトウェアを動的に更新するために使用されます。この機能は公開ソフトウェア配布 (.osd) 技術に基づいています。 この章で説明している 2 つの環境では、\[プログラムの起動におけるソフトウェア更新チャンネルの通知を許可しない\] の値を \[有効\] に設定します。 ###### ユーザーによるアドオンの有効化および無効化を許可しない このポリシー設定を使用すると、ユーザーが \[アドオンの管理\] を使用してアドオンを許可または拒否できるかどうかを管理できます。このポリシー設定の値を \[有効\] に設定すると、ユーザーは \[アドオンの管理\] を使用してアドオンを有効または無効にできません。ただし、ユーザーがアドオンを引き続き管理できるように \[アドオンの一覧\] ポリシー設定にそのアドオンを入力した場合を除きます。この場合は、ユーザーが \[アドオンの管理\] を使用してそのアドオンを管理できます。このポリシー設定の値を \[無効\] に設定すると、ユーザーはアドオンを有効または無効にすることができます。 **注 :**Windows XP SP2 で Internet Explorer のアドオンを管理する方法については、https://support.microsoft.com/kb/883256/en-us のマイクロソフト サポート技術情報 883256 「[Windows XP Service Pack 2 で Internet Explorer のアドオンを管理する方法](https://support.microsoft.com/kb/883256/en-us)」 (英語情報) を参照してください。 ユーザーは、組織のセキュリティ ポリシーで許可されていないアドオンをインストールすることがよくあります。このようなアドオンは、ネットワークにとってセキュリティ上およびプライバシー上の大きなリスクとなる可能性があります。したがって、このガイドで説明している 2 つの環境では、このポリシー設定の値を \[有効\]に設定します。 **注 :**Internet Explorer\\セキュリティの機能\\アドオン管理にある GPO 設定を確認し、許可された適切なアドオンを環境内で実行できることを確認する必要があります。たとえば、https://support.microsoft.com/default.aspx?kbid=555235 のマイクロソフト サポート技術情報「[XP Service Pack 2 アドオン ブロックがグループ ポリシーを介して有効な場合、Outlook Web Access と Small Business Server リモート Web 職場が機能しません。](https://support.microsoft.com/default.aspx?kbid=555235)」を参照してください。 ###### コンピュータ別にプロキシを設定する (ユーザー別ではなく) このポリシー設定を有効にすると、ユーザーが、ユーザー固有のプロキシ設定を変更できなくなります。ユーザーは、アクセスするコンピュータのすべてのユーザーに対して作成されたゾーンを使用する必要があります。 この章で説明している 2 つの環境のデスクトップ クライアント コンピュータでは、\[コンピュータ別にプロキシを設定する (ユーザー別ではなく)\] の値を \[有効\] に設定します。ラップトップ クライアント コンピュータでは、モバイル ユーザーが移動中にプロキシ設定を変更しなければならないことがあるので、この値を \[無効\] に設定します。 ###### セキュリティ ゾーン:サイトの追加/削除を許可しない このポリシー設定を有効にすると、セキュリティ ゾーンのサイト管理設定が無効になります(セキュリティ ゾーンのサイト管理設定を表示するには、Internet Explorer を開き、\[ツール\] メニューの \[インターネット オプション\] をクリックします。次に、\[セキュリティ\] タブをクリックし、\[サイト\] をクリックします)。このポリシー設定を無効または未構成にすると、ユーザーは \[信頼済みサイト\] ゾーンと \[制限付きサイト\] ゾーンの Web サイトを追加または削除したり、\[ローカル イントラネット\] ゾーンの設定を変更したりできます。 この章で説明している 2 つの環境では、\[セキュリティ ゾーン: サイトの追加/削除を許可しない\] の値を \[有効\] に設定します。 **注 :** \[\[セキュリティ\] ページの使用を許可しない\] 設定 (\\ユーザーの構成\\ 管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\インターネット コントロール パネル) を有効にすると、\[インターネット オプション\] ダイアログ ボックスに \[セキュリティ\] タブが表示されなくなります。\[\[セキュリティ\] ページの使用を許可しない\] 設定は、\[セキュリティ ゾーン: サイトの追加/削除を許可しない\] 設定に優先します。 ###### セキュリティ ゾーン:ポリシーの変更を許可しない このポリシー設定を有効にすると、\[インターネット オプション\] ダイアログ ボックスの \[セキュリティ\] タブにある \[レベルのカスタマイズ\] ボタンおよび \[このゾーンのセキュリティのレベル\] スライダが無効になります。無効または未構成にすると、ユーザーはセキュリティ ゾーンの設定を変更できます。この設定は、管理者が設定したセキュリティ ゾーンのポリシー設定をユーザーが変更できないようにします。 この章で説明している 2 つの環境では、\[セキュリティ ゾーン: ポリシーの変更を許可しない\] の値を \[有効\] に設定します。 **注 :\[セキュリティ\] ページの使用を許可しない**設定 (\\ユーザーの構成\\ 管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\インターネット コントロール パネル) を有効にすると、\[インターネット オプション\] ダイアログ ボックスに \[セキュリティ\] タブが表示されなくなります。**\[セキュリティ\] ページの使用を許可しない**設定は、**セキュリティ ゾーン: ポリシーの変更を許可しない**設定に優先します。 ###### セキュリティ ゾーン:コンピュータの設定のみ使用する このポリシー設定では、セキュリティ ゾーンの変更を、他のユーザーにどのように適用するかを指定します。同じコンピュータでは統一されたセキュリティ ゾーン設定が使用されるようにし、ユーザーごとに設定が異なることがないようにします。このポリシー設定を有効にすると、あるユーザーがセキュリティ ゾーンに対して行った変更は、そのコンピュータを使用するすべてのユーザーに適用されます。無効または未構成にすると、同じコンピュータを使用するユーザーはそれぞれ独自のセキュリティ ゾーン設定を構成できます。 この章で説明している 2 つの環境では、\[セキュリティ ゾーン: コンピュータの設定のみ使用する\] の値を \[有効\] に設定します。 ###### クラッシュの検出を無効にする このポリシー設定を使用すると、Internet Explorer のアドオン管理のクラッシュ検出機能を管理できます。このポリシー設定を有効にすると、Internet Explorer でクラッシュが発生した場合、Windows XP Professional Service Pack 1 (SP1) 以前のバージョンを実行しているコンピュータの場合と同様に、Windows エラー報告が起動します。無効にすると、アドオン管理のクラッシュ検出機能が動作します。 Internet Explorer のクラッシュ レポート情報には、コンピュータのメモリに保存されている機密情報が含まれている場合があるので、この章で説明している 2 つの環境では、\[クラッシュの検出を無効にする\] の値を \[有効\] に設定します。クラッシュが頻繁に発生し、そのトラブルシューティングのために問題を報告する必要がある場合は、一時的に \[無効\] に設定することもできます。 ##### Internet Explorer\\インターネット コントロール パネル\\セキュリティ ページ これらのコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\インターネット コントロール パネル\\セキュリティ ページ** SP2 では、環境全体で Internet Explorer ゾーン構成のセキュリティを保護するための、複数の新しいポリシー設定が導入されています。これらの設定は、既定値でも、Windows の旧バージョンと比べてセキュリティが強化されます。ただし、これらの設定を見直して、環境内でこれらのポリシーを必須の設定に構成したり、利便性やアプリケーションの互換性を考慮して緩和したりすることもできます。 たとえば、SP2 では、Internet Explorer がすべてのインターネット ゾーンのポップアップをブロックするように既定で構成されます。この設定を環境内のすべてのコンピュータで適用することで、ポップアップ ウィンドウを排除し、インターネット Web サイトから悪質なソフトウェアやスパイウェアがインストールされる可能性を低減できます。反対に、環境内にポップアップ機能を使用する必要のあるアプリケーションが含まれる場合があります。この場合は、イントラネット内の Web サイトではポップアップを許可するようにポリシーを構成することもできます。 ##### Internet Explorer\\インターネット コントロール パネル\\詳細設定ページ 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\インターネット コントロール パネル\\詳細設定ページ** **表 4.4 \[詳細設定ページ\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
署名が無効であっても、ソフトウェアの実行またはインストールを許可する 無効 無効 無効 無効
###### 署名が無効であっても、ソフトウェアの実行またはインストールを許可する Microsoft ActiveX コントロールとファイル ダウンロードには、多くの場合、ファイルの整合性およびソフトウェア署名者 (作成者) の ID を保証するデジタル署名が添付されています。署名により、ダウンロードしたソフトウェアが改変されていないことを確認でき、また署名者を特定することで、ソフトウェアを安心して実行できるかどうかを判断できます。 \[署名が無効であっても、ソフトウェアの実行またはインストールを許可する\] ポリシー設定を使用すると、ダウンロードされたソフトウェアの署名が無効であった場合に、ユーザーがそのソフトウェアをインストールまたは実行できるかどうかを管理できます。署名が無効であることは、ファイルが改ざんされている可能性があることを意味します。このポリシー設定を有効にすると、ユーザーが署名が無効なファイルをインストールまたは実行するときにダイアログが表示されます。無効にすると、ユーザーは署名が無効なファイルを実行またはインストールできません。 署名のないソフトウェアによってセキュリティ上の脆弱性が生じる可能性があるので、この章で説明している 2 つの環境では、このポリシー設定の値を \[無効\] に設定します。 **注 :**合法的なソフトウェアやコントロールの中には、署名が無効であっても問題のないものがあります。そのようなソフトウェアは、隔離された環境で慎重にテストしてから、組織のネットワーク上での使用を許可する必要があります。 ##### Internet Explorer\\セキュリティの機能\\MK プロトコル セキュリティの制限 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\セキュリティの機能\\MK プロトコル セキュリティの制限** **表 4.5 \[MK プロトコル セキュリティの制限\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
Internet Explorer のプロセス (MK プロトコル) 有効 有効 有効 有効
###### Internet Explorer のプロセス (MK プロトコル) このポリシー設定は、ほとんど使用されることのない MK プロトコルをブロックすることで、コンピュータの攻撃の対象となる面を縮小します。一部の古い Web アプリケーションでは、MK プロトコルを使用して、圧縮ファイルから情報が抽出されます。このポリシー設定の値を \[有効\] に設定すると、エクスプローラと Internet Explorer で MK プロトコルがブロックされるので、このプロトコルを使用するリソースは正常に動作しなくなります。無効にすると、他のアプリケーションで MK プロトコル API を使用できます。 MK プロトコルは一般的には使用されていないので、不要な場合はブロックする必要があります。この章で説明している 2 つの環境では、このポリシー設定の値を \[有効\] に設定します。環境で必要な場合以外は、MK プロトコルをブロックすることをお勧めします。 **注 :**この設定を有効にすると、MK プロトコルを使用するリソースは正常に動作しなくなるので、有効にする場合は、MK プロトコルを使用するアプリケーションがないことを確認してください。 ##### Internet Explorer\\セキュリティの機能\\整合性のある MIME 処理 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\セキュリティの機能\\整合性のある MIME 処理** **表 4.6 \[整合性のある MIME 処理\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
Internet Explorer のプロセス (整合性のある MIME 処理) 有効 有効 有効 有効
###### Internet Explorer のプロセス (整合性のある MIME 処理) Internet Explorer では、Multipurpose Internet Mail Extensions (MIME) データを使用して、Web サーバー経由で受信したファイルの処理手順が決定します。\[整合性のある MIME 処理\] ポリシー設定では、Web サーバーから提供されるファイルの種類の情報すべてに整合性があることを Internet Explorer で必須にするかどうかを指定します。たとえば、ファイルの MIME の種類が text/plain であるのに、MIME データはファイルが実は実行可能ファイルであることを示す場合は、Internet Explorer によってファイルの拡張子が変更され、実行可能のステータスが反映されます。この機能により、実行可能コードを信頼できる他の種類のデータとして見せかけることができなくなります。 このポリシー設定を有効にすると、Internet Explorer ですべての受信ファイルが調べられ、受信ファイルの MIME データに整合性があることが必要条件とされます。このポリシー設定を無効にするか、構成しなかった場合は、Internet Explorer で受信ファイルの MIME データに整合性があることが必要条件とされず、ファイルによって提供される MIME データが使用されます。 ファイルの MIME の種類偽装は、組織にとって脅威となる可能性があります。受信ファイルに整合性があり、適切にラベル付けされていることを確認することで、ネットワークが悪意のあるファイルのダウンロードによって感染することを防止できます。この章で説明している 2 つの環境では、このポリシー設定の値を \[有効\] に設定します。 **注 :**このポリシー設定は、\[MIME スニッフィングの安全機能\] の設定と連動しますが、それに置き換わるものではありません。 ##### Internet Explorer\\セキュリティの機能\\MIME スニッフィングの安全機能 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\セキュリティの機能\\MIME スニッフィングの安全機能** **表 4.7 \[MIME スニッフィングの安全機能\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
Internet Explorer のプロセス (MIME スニッフィング) 有効 有効 有効 有効
###### Internet Explorer のプロセス (MIME スニッフィング) MIME スニッフィングとは、MIME ファイルの内容を調べ、それがデータ ファイルであるか、実行可能ファイルであるか、または他の種類のファイルであるかを判別するプロセスです。このポリシー設定では、Internet Explorer の MIME スニッフィング機能を使用して、1 つの種類のファイルがより危険な種類のファイルに昇格されることを防止するかどうかを指定します。このポリシーの値を \[有効\] に設定すると、MIME スニッフィングによって 1 つの種類のファイルがより危険な種類のファイルに昇格されることはありません。無効にすると、Internet Explorer のプロセスが、MIME スニッフィングによって 1 つの種類のファイルがより危険な種類のファイルに昇格されることを許可するように構成されます。たとえば、テキスト ファイルが実行可能ファイルに昇格されると、テキスト ファイル内のコードが実行されるので危険です。 ファイルの MIME の種類偽装は、組織にとって脅威となる可能性があります。これらのファイルの処理方法に一貫性を持たせることにより、ネットワークが悪意のあるファイルのダウンロードによって感染することを防止できます。 この章で説明している 2 つの環境では、\[Internet Explorer のプロセス (MIME スニッフィング)\] の値を \[有効\] に設定します。 **注 :**このポリシー設定は、\[整合性のある MIME 処理\] の設定と連動しますが、それに置き換わるものではありません。 ##### Internet Explorer\\セキュリティの機能\\スクリプト化されたウィンドウのセキュリティ制限 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\セキュリティの機能\\スクリプト化されたウィンドウのセキュリティ制限** **表 4.8 \[スクリプト化されたウィンドウのセキュリティ制限\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
Internet Explorer のプロセス (スクリプト化されたウィンドウのセキュリティ制限) 有効 有効 有効 有効
###### Internet Explorer のプロセス (スクリプト化されたウィンドウのセキュリティ制限) Internet Explorer では、スクリプトのプログラムを使用してさまざまな種類のウィンドウを開いたり、ウィンドウのサイズや位置を変更したりすることが許可されています。悪質な Web サイトでは、他のウィンドウが隠れるようにウィンドウを拡大したり、悪意のあるコードを含むウィンドウの操作を強制したりすることがあります。 \[Internet Explorer のプロセス (スクリプト化されたウィンドウのセキュリティ制限)\] ポリシー設定では、ポップアップ ウィンドウを制限し、タイトル バーやステータス バーがユーザーに表示されないウィンドウ、または他のウィンドウのタイトル バーやステータス バーを隠すウィンドウがスクリプトによって表示されることを禁止します。このポリシー設定を有効にすると、エクスプローラおよび Internet Explorer のプロセスでポップアップ ウィンドウが表示されません。このポリシー設定を無効または未構成にした場合は、ポップアップ ウィンドウおよび他のウィンドウを隠すウィンドウをスクリプトで作成できます。 この章で説明している 2 つの環境では、\[Internet Explorer のプロセス (スクリプト化されたウィンドウのセキュリティ制限)\] の値を \[有効\] に設定します。有効にすると、悪意のある Web サイトで Internet Explorer のウィンドウが制御されたり、不正なウィンドウをクリックするようにユーザーがだまされたりすることを防止できます。 ##### Internet Explorer\\セキュリティの機能\\ゾーン昇格からの保護 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\セキュリティの機能\\ゾーン昇格からの保護** **表 4.9 \[ゾーン昇格からの保護\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
Internet Explorer のプロセス (ゾーン昇格からの保護) 有効 有効 有効 有効
###### Internet Explorer のプロセス (ゾーン昇格からの保護) Internet Explorer では、開く Web ページに制限が適用されます。これらの制限は Web ページの場所 (インターネット ゾーン、イントラネット ゾーン、ローカル コンピュータ ゾーンなど) によって決まります。ローカル コンピュータにある Web ページはローカル コンピュータ セキュリティ ゾーンにあり、制限が最小限であるため、このゾーンは悪意のある攻撃者の一番の標的となります。 \[Internet Explorer のプロセス (ゾーン昇格からの保護)\] ポリシー設定を有効にすると、すべてのゾーンが Internet Explorer のプロセスによるゾーン昇格から保護されます。このアプローチにより、あるゾーンで実行しているコンテンツが、別のゾーンの昇格された特権を得ることができなくなります。このポリシー設定を無効にすると、ゾーンは Internet Explorer のプロセスに対するそのような保護を受けません。 ゾーン昇格攻撃は重大であり、また比較的頻繁に発生するので、この章で説明している 2 つの環境では、\[Internet Explorer のプロセス (ゾーン昇格からの保護)\] の値を \[有効\] に設定します。 ##### Internet Explorer\\セキュリティの機能\\ActiveX のインストールの制限 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\セキュリティの機能\\ActiveX のインストールの制限** **表 4.10 \[ActiveX のインストールの制限\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
Internet Explorer のプロセス (ActiveX のインストールの制限) 有効 有効 有効 有効
###### Internet Explorer のプロセス (ActiveX のインストールの制限) このポリシー設定では、Internet Explorer のプロセスで ActiveX コントロールのインストールを確認するダイアログ ボックスが表示されるのをブロックできます。このポリシー設定を有効にすると、Internet Explorer のプロセスで ActiveX コントロールのインストールを確認するダイアログ ボックスの表示はブロックされます。無効にすると、ActiveX コントロールのインストールを確認するダイアログ ボックスの表示はブロックされず、ユーザーに表示されます。 ユーザーは、組織のセキュリティ ポリシーで許可されていない ActiveX コントロールなどのソフトウェアをインストールすることがよくあります。このようなソフトウェアは、ネットワークにとってセキュリティ上およびプライバシー上の大きなリスクとなる可能性があります。そのため、この章で説明している 2 つの環境では、\[Internet Explorer のプロセス (ActiveX のインストールの制限)\] の値を \[有効\] に設定します。 **注 :**このポリシー設定では、許可された正当な ActiveX コントロールのインストールもブロックされるので、Windows Update などの重要なシステム コンポーネントも妨げられます。この設定を有効にするときは、Windows Server Update Services (WSUS) など、セキュリティ アップデートを展開する別の方法を実装してください。 WSUS の詳細については、https://www.microsoft.com/japan/windowsserversystem/updateservices/evaluation/overview.mspx の「[Windows Server Update Services 製品概要](https://www.microsoft.com/japan/technet/windowsserver/wsus/20/updateservices/evaluation/overview.mspx)」ページを参照してください。 Windows Update の詳細については、https://windowsupdate.microsoft.com の「[Windows Update ホーム](https://windowsupdate.microsoft.com/)」ページを参照してください。 ##### Internet Explorer\\セキュリティの機能\\ファイル ダウンロードの制限 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\セキュリティの機能\\ファイル ダウンロードの制限** **表 4.11 \[ファイル ダウンロードの制限\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
Internet Explorer のプロセス (ファイル ダウンロードの制限) 有効 有効 有効 有効
###### Internet Explorer のプロセス (ファイル ダウンロードの制限) 特定の状況では、ユーザーが操作を行わなくても、Web サイトでファイル ダウンロードを確認するダイアログ ボックスを表示できます。Web サイトでは、この手法を使用して、ユーザーが間違ったボタンをクリックしてダウンロードを受け入れた場合に、ユーザーのハード ドライブに不正なファイルを保存できます。 \[Internet Explorer のプロセス (ファイル ダウンロードの制限)\] 設定の値を \[有効\] に設定すると、ユーザーが開始したのではないファイル ダウンロードを確認するダイアログ ボックスが Internet Explorer のプロセスでブロックされます。\[無効\] に設定すると、ユーザーが開始したのではないファイル ダウンロードを確認するダイアログ ボックスが Internet Explorer プロセスで表示されます。 この章で説明している 2 つの環境では、攻撃者がユーザーのコンピュータに任意のコードを保存することを防止するため、\[Internet Explorer のプロセス (ファイル ダウンロードの制限)\] の値を \[有効\] に設定します。 ##### Internet Explorer\\セキュリティの機能\\アドオン管理 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\セキュリティの機能\\アドオン管理** **表 4.12 \[アドオン管理\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する 推奨 推奨 推奨 推奨
アドオンの一覧 推奨 推奨 推奨 推奨
###### アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する このポリシー設定を \[アドオンの一覧\] 設定と共に使用して、Internet Explorer のアドオンを制御できます。\[アドオンの一覧\] 設定では、既定で、グループ ポリシーを通じて許可または拒否するアドオンの一覧が定義されます。\[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する\] 設定では、\[アドオンの一覧\] 設定に指定されていないアドオンはすべて拒否するものと見なされます。 このポリシー設定を有効にすると、Internet Explorer では、\[アドオンの一覧\] に指定されている (許可されている) アドインだけが許可されます。無効にすると、ユーザーはアドオン マネージャを使用してアドオンを許可または拒否できます。 環境内で使用できるアドオンを制御するには、\[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する\] および \[アドオンの一覧\] の両設定の使用を検討する必要があります。このアプローチにより、許可されたアドオンだけを使用できます。 ###### アドオンの一覧 このポリシー設定を \[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する\] 設定と共に使用して、Internet Explorer のアドオンを制御できます。\[アドオンの一覧\] 設定では、既定で、グループ ポリシーを通じて許可または拒否するアドオンの一覧が定義されます。\[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する\] 設定では、\[アドオンの一覧\] 設定に指定されていないアドオンはすべて拒否するものと見なされます。 \[アドオンの一覧\] 設定を有効にするには、Internet Explorer で許可または拒否するアドオンの一覧を入力する必要があります。この一覧に含めるアドオンは組織ごとに異なるので、このガイドでは具体的な一覧を示しません。一覧に追加するエントリごとに、次の情報を入力する必要があります。 - **値の名前**。一覧に追加するアドオンの CLSID (クラス識別子)。CLSID は、「{000000000-0000-0000-0000-0000000000000}」のように、波かっこで囲む必要があります。アドオンの CLSID は、アドオンが参照されている Web ページの OBJECT タグから取得できます。 - **値**。Internet Explorer がアドオンの読み込みを拒否または許可するかどうかを示す数値です。有効な値を次に示します。 - **0** このアドオンを拒否します。 - **1** このアドオンを許可します。 - **2** このアドオンを許可し、ユーザーが \[アドオンの管理\] を使用してこのアドオンを管理することを許可します。 \[アドオンの一覧\] 設定を無効にすると、一覧は削除されます。環境内で使用できるアドオンを制御するには、\[アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する\] および \[アドオンの一覧\] の両設定の使用を検討する必要があります。このアプローチにより、許可されたアドオンだけを使用できます。 ##### ターミナル サービス\\クライアント/サーバー データ リダイレクト ターミナル サービス設定は、クライアント コンピュータがターミナル サービスを介してアクセスしているサーバーに、クライアント コンピュータのリソースをリダイレクトするためのオプションを提供します。ターミナル サービスに固有の設定を次に示します。 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\ターミナル サービス\\クライアント/サーバー データ リダイレクト** **表 4.13 \[クライアント/サーバー データ リダイレクト\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
ドライブのリダイレクトを許可しない 未構成 未構成 有効 有効
###### ドライブのリダイレクトを許可しない このポリシー設定では、ターミナル サーバー セッションでクライアント コンピュータのローカル ドライブを、ユーザーからは共有できないようにします。マップされたドライブは、エクスプローラまたは \[マイ コンピュータ\] のセッション フォルダ ツリーに次の形式で表示されます。 \\\\TSClient\\*<driveletter>$* ローカル ドライブを共有すると、そこに保存されているデータを悪用しようとする侵入者に対して脆弱になります。 そのため、\[ドライブのリダイレクトを許可しない\] の値は、SSLF 環境では \[有効\] に設定します。EC 環境では \[未構成\] に設定します。 ##### ターミナル サービス\\暗号化とセキュリティ 以下に示す規定の設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\ターミナル サービス\\暗号化とセキュリティ** **表 4.14 \[暗号化とセキュリティ\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
クライアントが接続するたびにパスワードを要求する 未構成 未構成 有効 有効
クライアント接続の暗号化レベルを設定する [高レベル] [高レベル] [高レベル] [高レベル]
###### クライアントが接続するたびにパスワードを要求する このポリシー設定では、ターミナル サービスでクライアント コンピュータの接続時に必ずパスワードの入力を求めるかどうかを指定します。このポリシー設定を使用すると、リモート デスクトップ接続クライアントで既にパスワードを入力済みの場合も、ターミナル サービスへのログオンでパスワードの入力を求めるように構成することができます。既定では、ユーザーはリモート デスクトップ接続クライアントでパスワードを入力すれば、ターミナル サービスに自動的にログオンすることができます。 \[クライアントが接続するたびにパスワードを要求する\] の値は、SSLF 環境では \[有効\] に設定します。EC 環境では \[未構成\] に設定します。 **注 :**このポリシー設定が構成されていない場合、ローカル コンピュータの管理者はターミナル サービスの構成ツールを使用してパスワードの自動送信を許可または禁止できます。 ###### クライアント接続の暗号化レベルを設定する このポリシー設定では、リモート接続をホストするコンピュータで、リモート セッションの開始時に、クライアント コンピュータとの間で送信されるすべてのデータに対して暗号化レベルを適用するかどうかを指定します。 この章で説明している 2 つの環境では、暗号化レベルを \[高レベル\] に設定して、128 ビット暗号化を有効にします。 ##### ターミナル サービス\\クライアント 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **管理用テンプレート\\Windows コンポーネント\\ターミナル サービス\\クライアント** **表 4.15 \[クライアント\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
パスワードの保存を許可しない 有効 有効 有効 有効
###### パスワードの保存を許可しない このポリシー設定は、ターミナル サービス クライアントによってパスワードがコンピュータに保存されることを防止します。このポリシー設定を有効にすると、ターミナル サービス クライアントのパスワードを保存するためのチェック ボックスが使用できなくなり、ユーザーはパスワードを保存できなくなります。 パスワード保存の慣行はさらなるセキュリティ侵害につながるおそれがあるので、この章で説明している 2 つの環境では、\[パスワードの保存を許可しない\] の値を \[有効\] に設定します。 **注 :**このポリシー設定の値を以前に \[無効\] または \[未構成\] に設定していた場合は、ターミナル サービス クライアントが初めてサーバーから切断したときに、以前に保存されたパスワードがすべて削除されます。 ##### Windows Messenger Windows Messenger は、コンピュータ ネットワーク上の他のユーザーにインスタント メッセージを送信する場合に使用されます。メッセージにはファイルなどを添付できます。 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Windows Messenger** **表 4.16 \[Windows Messenger\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
Windows Messenger の実行を許可しない 有効 有効 有効 有効
###### Windows Messenger の実行を許可しない \[Windows Messenger の実行を許可しない\] 設定を有効にすると、Windows Messenger が無効になり、プログラムを実行できなくなります。このアプリケーションは、スパム、悪質なソフトウェアの配布、機密性の高いデータの漏えいなど、悪意のある目的で利用されているので、EC 環境と SSLF 環境では、\[Windows Messenger の実行を許可しない\] を \[有効\] に設定することをお勧めします。 **注 :**このポリシー設定の値を \[有効\] に設定すると、リモート アシスタンスで Windows Messenger を利用したり、ユーザーが MSN® Messenger を利用したりすることはできなくなります。 ##### Windows Update 管理者は、Windows Update 設定を使用して、Windows XP ワークステーションに対する修正プログラムの適用方法を管理できます。更新の入手には、Microsoft Windows Update Web サイトを利用できるほか、適宜イントラネットに Web サイトを構築し、高度な管理の下で、Microsoft Windows Update の Web サイトと同様の方法で修正プログラムを配布することもできます。Windows Update 管理用テンプレート (WUAU.adm) は、Windows XP Service Pack 1 (SP1) で導入されました。 Windows Server Update Services (WSUS) は、Microsoft Windows Update テクノロジと Software Update Services (SUS) テクノロジの成果に基づいて開発されたインフラストラクチャ サービスです。WSUS では、既知のセキュリティの脆弱性や、Microsoft Windows オペレーティング システムで起こるその他の安定性に関する問題を解決するための重要な Windows の修正プログラムを管理および配布します。 WSUS では、イントラネット サーバーを通じて、利用可能な重要な更新を Windows クライアント コンピュータに動的に通知するシステムにより、手動での更新手順が不要になりました。このサービスを利用するクライアント コンピュータは、インターネットにアクセスする必要がありません。WSUS は Windows のワークステーションやサーバーに更新を配布するためのシンプルかつ自動化された方法を実現します。 Windows Server Update Services には、次の機能もあります。 - **管理者がイントラネット内でコンテンツの同期を管理できる**。この同期サービスは、Windows Update から重要な更新を取得するサーバー サイド コンポーネントです。Windows Update に新しい更新が追加されると、管理者が定義したスケジュールに従って、WSUS を実行しているサーバーが自動的にその更新をダウンロードして格納します。 - **Windows Update サーバーをイントラネットでホストできる**。このサーバーはクライアント コンピュータに更新を提供する仮想的な Windows Update サーバーとして機能し、更新を管理するための管理ツールや同期サービスが含まれています。HTTP プロトコルを使用してクライアント コンピュータからの要求を処理し、承認済みの更新をクライアントに提供します。また、このサーバーは、同期サービスからダウンロードした重要な更新をホストし、クライアント コンピュータにその更新を適用するよう促します。 - **管理者が更新を管理できる**。管理者は、組織のイントラネットに更新を配置する前に、公開された Windows Update のサイトからダウンロードした更新をテストして承認することができます。更新の配置は、管理者が作成したスケジュールに沿って行われます。複数のサーバーで WSUS を実行している場合、管理者はサービスを実行する特定のサーバーにアクセスできるコンピュータを設定できます。このレベルの制御は、Active Directory® のディレクトリ サービス環境にあるグループ ポリシー、またはレジストリ キーを設定することによって行うことができます。 - **コンピュータ (ワークステーションまたはサーバー) を自動更新できる**。自動更新は Windows Update に公開されている更新を自動的にチェックする Windows の機能です。WSUS ではこの機能を使用して、管理者が承認した更新をイントラネット上に公開します。 **注 :**Microsoft Systems Management Server (SMS) など、別の方法を使用して修正プログラムを配布する場合は、\[自動更新を構成する\] ポリシー設定を無効にすることをお勧めします。 Windows Update にはいくつかの設定があります。Windows Update が機能するには、\[自動更新を構成する\]、\[自動更新のインストールで、システムを自動的に再起動しない\]、および \[自動更新のインストールの予定を変更する\] の 3 つは、最低限設定する必要があります。4 つ目の \[イントラネットの Microsoft の更新サービスの場所を指定する\] は、組織の要件に応じて設定します。 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Windows Update** ここで説明する設定は、特定のセキュリティ リスクに対処するものではなく、管理者の個人的な方針に関係します。しかし、Windows Update を構成することは、環境のセキュリティにとって不可欠です。Microsoft がセキュリティ修正プログラムを公開した時点でクライアント コンピュータはそれを受け取ることができるからです。 **注 :**Windows Update は、Remote Registry サービスや Background Intelligence Transfer Service など、いくつかのサービスに依存しています。第 3 章「Windows XP クライアントのセキュリティ設定」では、SSLF 環境でこれらのサービスを無効にしました。これらのサービスが無効になっている場合、Windows Update は機能しないので、次の 4 つの設定に関する記述は SSLF 環境に限り無視できます。 次の表に、\[Windows Update\] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 4.17 \[Windows Update\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
[Windows シャットダウン] ダイアログ ボックスで [更新をインストールしてシャットダウン] オプションを表示しない 無効 無効 無効 無効
[Windows シャットダウン] ダイアログ ボックスの既定のオプションを [更新をインストールしてシャットダウン] に調整しない 無効 無効 無効 無効
自動更新を構成する 有効 有効 有効 有効
自動更新のインストールで、システムを自動的に再起動しない 無効 無効 無効 無効
自動更新のインストールの予定を変更する 有効 有効 有効 有効
イントラネットの Microsoft の更新サービスの場所を指定する 有効 有効 有効 有効
###### \[Windows シャットダウン\] ダイアログ ボックスで \[更新をインストールしてシャットダウン\] オプションを表示しない このポリシー設定を使用すると、\[Windows シャットダウン\] ダイアログ ボックスに \[更新をインストールしてシャットダウン\] オプションを表示するかどうかを指定できます。このポリシー設定を無効にすると、ユーザーが \[スタート\] メニューの \[シャットダウン\] をクリックするか、**Ctrl** + **Alt** + **Del** キーを押すと表示されるウィンドウで \[シャットダウン\] をクリックしたときに更新が利用可能だった場合に、\[Windows シャットダウン\] ダイアログ ボックスに \[更新をインストールしてシャットダウン\] オプションが表示されます。 すべてのコンピュータの全体的なセキュリティにとって更新をインストールすることは重要なので、この章で説明している 2 つの環境では、\[\[Windows シャットダウン\] ダイアログ ボックスで \[更新をインストールしてシャットダウン\] オプションを表示しない\] の値を \[無効\] に設定します。このポリシー設定は、次の \[Windows シャットダウン\] ダイアログ ボックスの既定のオプションを \[更新をインストールしてシャットダウン\] に調整しない\] 設定と連動します。 ###### \[Windows シャットダウン\] ダイアログ ボックスの既定のオプションを \[更新をインストールしてシャットダウン\] に調整しない このポリシー設定を使用すると、\[更新をインストールしてシャットダウン\] を \[Windows シャットダウン\] ダイアログ ボックスの既定のオプションにするかどうかを指定できます。このポリシー設定を無効にすると、ユーザーが \[スタート\] メニューの \[シャットダウン\] をクリックしたときに更新が使用可能な場合に、\[更新をインストールしてシャットダウン\] が \[Windows シャットダウン\] ダイアログ ボックスの既定のオプションになります。 すべてのコンピュータの全体的なセキュリティにとって更新をインストールすることは重要なので、この章で説明している 2 つの環境では、\[\[Windows シャットダウン\] ダイアログ ボックスの既定のオプションを \[更新をインストールしてシャットダウン\] に調整しない\] の値を \[無効\] に設定します。 **注 :コンピュータの構成\\管理用テンプレート\\Windows コンポーネント\\Windows Update\\\[Windows シャットダウン\]** ダイアログ ボックスで \[更新をインストールしてシャットダウン\] オプションを表示しない の値が \[有効\] に設定されている場合、このポリシー設定は効果がありません。 ###### 自動更新を構成する このポリシー設定では、管理対象のコンピュータで Windows Update または WSUS からセキュリティの更新を受け取るかどうかを指定します。このポリシー設定の値を \[有効\] に設定すると、いつネットワーク接続を利用できるかをオペレーティング システムが認識し、そのネットワーク接続を使用して、適用可能な更新が置かれている Windows Update の Web サイトまたは指定されたイントラネット サイトを検索できます。 このポリシー設定の値を \[有効\] にした後、\[自動更新を構成するのプロパティ\] ダイアログ ボックスで、次の 3 つのオプションのいずれかを選択してサービスの動作を指定する必要があります。 - **更新をダウンロードする前、およびインストールする前に通知する** - **自動的にダウンロードし、インストールの前に通知する (既定の設定)** - **自動的にダウンロードし、インストールのスケジュールをたてる** このポリシー設定を無効にした場合は、https://windowsupdate.microsoft.com の [Windows Update ホーム](https://windowsupdate.microsoft.com/) Web サイトで、入手可能な更新をダウンロードして、手動でインストールする必要があります。 この章で説明している 2 つの環境では、\[自動更新を構成する\] の値を \[有効\] に設定します。 ###### 自動更新のインストールで、システムを自動的に再起動しない このポリシー設定を有効にすると、インストールの完了時にログオンしているユーザーがコンピュータを手動で再起動する必要があります。有効にしないと、システムは自動的に再起動されます。この設定が有効になっていると、自動更新がスケジュール設定されている場合でも、コンピュータの自動再起動は実行されなくなります。ただし、コンピュータにログオンしているユーザーがいる場合は、インストールを完了するにはコンピュータの再起動が必要であることを示すメッセージが必要に応じて表示されます。自動更新では、コンピュータを再起動するまで新しい更新は検出されません。 **自動更新のインストールで、システムを自動的に再起動しない**設定の値が \[無効\] または \[未構成\] に設定されている場合は、インストールを完了するためにコンピュータが 5 分以内に自動的に再起動されることがユーザーに通知されます。再起動が自動的に行われることが心配な場合は、\[自動更新のインストールで、システムを自動的に再起動しない\] 設定 の値を \[有効\] に設定できます。このポリシー設定を有効にする場合、通常の業務時間外にクライアント コンピュータを再起動してインストールを完了できるようスケジュールを設定してください。 この章で説明している 2 つの環境では、\[自動更新のインストールで、システムを自動的に再起動しない\] の値を \[無効\] に設定します。 **注 :**このポリシー設定は、更新がスケジュールに従ってインストールされるように自動更新を構成している場合にのみ適用されます。\[自動更新を構成する\] 設定の値が \[無効\] に構成されている場合、このポリシー設定は効果がありません。更新のインストールを完了するには、通常再起動が必要になります。 ###### 自動更新のインストールの予定を変更する このポリシー設定では、予定されていた自動更新に失敗したクライアントが、システム起動後にインストールを実行するまでの経過時間を指定します。このポリシー設定の値を \[有効\] に設定すると、コンピュータを次回起動した後、指定した時間が経過すると前回実行されなかったインストールが開始されます。\[無効\] または \[未構成\] に設定すると、実行されなかったインストールは次回の予定インストール時刻に実行されます。 この章で説明している 2 つの環境では、\[自動更新のインストールの予定を変更する\] の値を \[有効\] に設定します。このポリシー設定を有効にした後で、既定の待機時間を自分の環境に適した時間に適宜変更してください。 **注 :**このポリシー設定は、更新がスケジュールに従ってインストールされるように自動更新を構成している場合にのみ適用されます。\[自動更新を構成する\] 設定の値が \[無効\] に設定されている場合、\[自動更新のインストールの予定を変更する\] 設定は効果がありません。両方の設定を有効にして、前回実行されなかったインストールが、コンピュータを再起動するたびに実行されるようにスケジュール設定できます。 ###### イントラネットの Microsoft の更新サービスの場所を指定する このポリシー設定では、Microsoft Update Web サイトにある更新をホストするイントラネット サーバーを指定します。この更新サービスを使用して、ネットワーク上のコンピュータを自動的に更新できます。このポリシー設定を使用すると、内部の更新サービス サイトとして機能する、ローカル ネットワーク上の WSUS サーバーを指定できます。自動更新のクライアント側は、WSUS サーバーが展開するサービスを使用して、ネットワーク上のコンピュータに適用する必要のある更新を検索します。 この章で説明している 2 つの環境では、\[イントラネットの Microsoft の更新サービスの場所を指定する\] の値を \[有効\] に設定します。 **注 :**\[自動更新を構成する\] 設定が無効になっている場合、\[イントラネットの Microsoft の更新サービスの場所を指定する\] 設定を有効にしても効果がありません。 #### システム 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\システム** 次の図に、このセクションで行う設定変更の影響を受けるグループ ポリシーの各セクションを示します。 ![](images/Dd363022.SGFG0403(ja-jp,TechNet.10).gif) **図 4.3 \[コンピュータの構成\] の \[システム\] のグループ ポリシー構造** [拡大表示する](https://technet.microsoft.com/ja-jp/dd363022.sgfg0403_big(ja-jp,technet.10).gif) 次の表に、\[システム\] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 4.18 \[システム\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
自動再生機能をオフにする 未構成 未構成 有効 -
すべてのドライブ		 有効 -
すべてのドライブ
Windows Update でのデバイス ドライバ検索についての確認をしない 無効 無効 有効 有効
##### 自動再生機能をオフにする 自動再生とは、ドライブにメディアを挿入すると同時にドライブからの読み込みを開始する機能で、プログラムのセットアップ ファイルやオーディオ メディアの再生をすぐに開始します。攻撃者は、この機能を利用してコンピュータやコンピュータのデータを破壊するプログラムを起動できます。自動再生機能を無効にするには、\[自動再生機能をオフにする\] ポリシー設定を有効にします。既定では、自動再生は、フロッピー ディスクやネットワーク ドライブなどのリムーバブル ドライブでは無効になっていますが、CD-ROM ドライブでは有効になっています。 \[自動再生機能をオフにする\] の値は、SSLF 環境では \[有効 - すべてのドライブ\] に設定します。EC 環境では \[未構成\] に設定します。 **注 :**フロッピー ディスクやネットワーク ドライブなど、既定で自動再生機能が無効になっているコンピュータ ドライブについては、このポリシー設定を使用しても自動再生機能は有効になりません。 ##### Windows Update でのデバイス ドライバ検索についての確認をしない このポリシー設定では、管理者がインターネットを使用して Windows Update でデバイス ドライバを検索するかどうかを確認するダイアログ ボックスを表示するかどうかを指定します。このポリシー設定の値を \[有効\] に設定すると、Windows Update でのドライバ検索を確認するダイアログ ボックスは管理者に表示されません。このポリシー設定と \[Windows Update でのデバイス ドライバの検索をオフにする\] の両方の値を \[無効\] または \[未構成\] に設定した場合は、Windows Update でのデバイス ドライバ検索を確認するダイアログ ボックスが管理者に表示されます。 インターネットからデバイス ドライバをダウンロードすることにはリスクが伴うので、\[Windows Update でのデバイス ドライバ検索についての確認をしない\] の値は、SSLF 環境では \[有効\]、EC 環境では \[無効\] に設定します。この設定が推奨される理由は、ドライバのダウンロードを悪用する可能性のある種類の攻撃は、通常は適切なエンタープライズ リソース管理によって軽減されるからです。 **注 :**このポリシー設定は、**管理用テンプレート\\システム\\インターネット通信の管理\\インターネット通信の設定**の \[Windows Update でのデバイス ドライバの検索をオフにする\] 設定の値が \[無効\] または \[未構成\] の場合にのみ効果があります。 ##### ログオン 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\システム\\ログオン** 次の表に、\[ログオン\] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 4.19 \[ログオン\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
レガシの実行の一覧を処理しない 未構成 未構成 有効 有効
一度だけ実行するコマンドの一覧を処理しない 未構成 未構成 有効 有効
###### レガシの実行の一覧を処理しない このポリシー設定では、Windows XP の起動時に自動的に実行されるプログラムの一覧が無視されます。Windows XP 用のカスタマイズされた実行プログラムの一覧は、次の場所にあるレジストリ キーに格納されています。 - **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run** - **HKEY\_CURRENT\_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run** \[レガシの実行の一覧を処理しない\] 設定を有効にすると、悪意のあるユーザーが Windows XP の起動時にコンピュータのデータを侵害したり被害を及ぼしたりする可能性のあるプログラムを実行できなくなります。また、ウイルス対策ソフト、ソフトウェア配布用ソフト、監視ソフトなど、特定のシステム プログラムが実行できなくなります。このポリシー設定は、環境に対する脅威レベルを評価してから、組織で使用するかどうかを決定することをお勧めします。 \[レガシの実行の一覧を処理しない\] の値は、EC 環境では \[未構成\]、SSLF 環境では \[有効\] に設定します。 ###### 一度だけ実行するコマンドの一覧を処理しない このポリシー設定では、Windows XP の起動時に自動的に実行されるプログラムの一覧が無視されます。この一覧にあるプログラムは、クライアント コンピュータの次回起動時に一度だけ実行されます。この点で、このポリシー設定は \[レガシの実行の一覧を処理しない\] 設定とは異なります。クライアント コンピュータの再起動後にインストールを完了するために、この一覧にはセットアップ プログラムやインストール プログラムが適宜追加されます。このポリシー設定を有効にすると、過去に一般的な攻撃方法であった、一度だけ実行するコマンドの一覧を利用して悪質なアプリケーションを起動することができなくなります。悪意のあるユーザーは、一度だけ実行するコマンドの一覧を悪用して Windows XP クライアント コンピュータのセキュリティを侵害するプログラムをインストールできます。 **注 :**カスタマイズされた一度だけ実行するコマンドの一覧は、**HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce** のレジストリ キーに格納されています。 \[一度だけ実行するコマンドの一覧を処理しない\] 設定を有効にする場合、それ以前にグループ ポリシーを使用して、組織の標準的なソフトウェアがすべてクライアント コンピュータで構成されていれば、環境での機能の損失が最小限にとどめられます。 \[一度だけ実行するコマンドの一覧を処理しない\] の値は、EC 環境では \[未構成\]、SSLF 環境では \[有効\] に設定します。 ##### グループ ポリシー 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\システム\\グループ ポリシー** **表 4.20 \[グループ ポリシー\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
レジストリ ポリシーの処理 有効 有効 有効 有効
###### レジストリ ポリシーの処理 このポリシー設定では、レジストリ ポリシーを更新するタイミングを指定します。この設定は、\[管理用テンプレート\] フォルダ内のすべてのポリシー、およびレジストリ内に値が保存されているその他のポリシーに影響します。このポリシー設定を有効にすると、以下のオプションを選択できます。 - **バックグラウンドで定期的に処理しているときは適用しない** - **グループ ポリシー オブジェクトが変更されていなくても処理する** 管理用テンプレートを使用して構成する設定の中には、ユーザーがアクセス可能なレジストリの領域に作成されるものがあります。このポリシー設定を有効にすると、ユーザーがこれらの設定を変更しても元の設定で上書きされます。 この章で説明している 2 つの環境では、\[レジストリ ポリシーの処理\] の値を \[有効\] に設定します。 ##### リモート アシスタンス 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\システム\\リモート アシスタンス** 次の表に、\[リモート アシスタンス\] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 4.21 \[リモート アシスタンス\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
リモート アシスタンスを提供する 未構成 未構成 無効 無効
要請されたリモート アシスタンス 未構成 未構成 無効 無効
###### リモート アシスタンスを提供する このポリシー設定では、ユーザーがチャンネル、電子メール、またはインスタント メッセンジャーを介して支援を要求していない場合に、サポート担当者または IT 管理者が環境内のコンピュータにリモート アシスタンスを提供できるかどうかを指定します。 **注 :**サポート担当者は、通知せずにコンピュータに接続したり、ユーザーの許可なしにコンピュータを操作したりすることはできません。サポート担当者が接続を試みた場合、ユーザーは、接続を拒否するか、読み取り専用アクセス権をサポート担当者に与えることができます。**リモート アシスタンスを提供する**設定の値が \[有効\] に設定された後で、サポート担当者がワークステーションをリモート制御できるようにするには、そのワークステーションのユーザーが \[はい\] をクリックする必要があります。 このポリシー設定を有効にすると、以下のオプションを選択できます。 - **ヘルパーにコンピュータの参照のみを許可する** - **ヘルパーにコンピュータのリモート制御を許可する** このポリシー設定を構成するとき、リモート アシスタンスを提供できるユーザーやユーザー グループ (ヘルパー) の一覧を指定することもできます。 **ヘルパーの一覧を構成するには** 1. \[リモート アシスタンスを提供する\] 設定構成ウィンドウの \[表示\] をクリックします。ヘルパーの名前を入力するための新しいウィンドウが開きます。 2. \[ヘルパー\] の一覧に、ユーザーまたはグループの名前を次の形式で追加します。 - *<ドメイン名>*\\*<ユーザー名>* - *<ドメイン名>*\\*<グループ名>* このポリシー設定を無効または未構成にすると、ユーザーやグループは要請されていないリモート アシスタンスを環境内のコンピュータ ユーザーに提供できません。 \[リモート アシスタンスを提供する\] の値は、EC 環境では \[未構成\] に設定します。SSLF 環境では、ネットワーク経由で Windows XP クライアント コンピュータにアクセスできないようにするため、\[無効\] に設定します。 ###### 要請されたリモート アシスタンス このポリシー設定では、環境内の Windows XP コンピュータからリモート アシスタンスを要請できるかどうかを指定します。このポリシー設定を有効にすると、ユーザーはサポート担当者や IT 管理者にリモート アシスタンスを要請できます。 **注 :**サポート担当者は、通知せずにユーザーのコンピュータに接続したり、ユーザーの許可なしにコンピュータを操作したりすることはできません。サポート担当者が接続を試みた場合、ユーザーは、接続を拒否するか、読み取り専用アクセス権をサポート担当者に与えることができます。サポート担当者がワークステーションをリモート制御できるようにするには、そのワークステーションのユーザーが \[はい\] をクリックする必要があります。 \[要請されたリモート アシスタンス\] 設定を有効にすると、以下のオプションを選択できます。 - **ヘルパーにコンピュータのリモート制御を許可する** - **ヘルパーにコンピュータの参照のみを許可する** さらに、次のオプションを使用して、ユーザーのヘルプ要求が有効な期間を構成することもできます。 - **チケットの最大有効時間 (値)** - **チケットの最大有効時間 (単位): 時間、分、または日** チケット (ヘルプの要求) の期限が経過した場合、サポート担当者がユーザーのコンピュータに接続するには、そのユーザーが新しい要求を送信する必要があります。\[要請されたリモート アシスタンス\] 設定を無効にすると、ユーザーはヘルプの要求を送信できず、サポート担当者はユーザーのコンピュータに接続できません。 未構成にすると、ユーザーはコントロール パネルを使用して、リモート アシスタンスの要請を構成できます。コントロール パネルでの既定の設定は、\[要請されたリモート アシスタンス\]、\[友人によるサポート\]、および \[リモート制御\] が有効になっていて、\[チケットの最大有効時間\] は \[30 日\] です。このポリシー設定を無効にすると、どのユーザーもネットワーク経由で Windows XP クライアント コンピュータにアクセスすることができなくなります。 \[要請されたリモート アシスタンス\] の値は、EC 環境では \[未構成\]、SSLF 環境では \[無効\] に設定します。 ##### エラー報告 これらの設定では、オペレーティング システムのエラーおよびアプリケーションのエラーを報告する方法を制御します。既定の構成では、エラーが発生すると、ユーザーは Microsoft にエラー報告を送信するかどうかを指定するためのポップアップ ダイアログ ボックスによる通知を受け取ります。Microsoft は、これらの報告で受けたデータを保護するための厳しいポリシーを持っていますが、データそのものがプレーンテキストで転送されるため、セキュリティのリスクにさらされる可能性があります。 エラー報告をローカルで収集し、インターネット経由で Microsoft に送信しない、組織向けの企業内エラー報告ツールが用意されています。機密情報がインターネット上に流出しないようにするために、SSLF 環境では企業内エラー報告ツールを使用することをお勧めします。このツールの詳細については、この章の最後にある「関連情報」セクションを参照してください。 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **コンピュータの構成\\管理用テンプレート\\システム\\エラーの報告** 次の表に、\[エラーの報告\] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 4.22 \[エラーの報告\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
エラーの通知を表示する 有効 有効 有効 有効
エラー報告を構成する 有効 有効 有効 有効
###### エラーの通知を表示する このポリシー設定では、エラー メッセージをユーザーのコンピュータ画面に表示するかどうかを指定します。このポリシー設定を有効にすると、エラーが発生した場合にユーザーはエラー メッセージ通知を受け取り、その詳細を参照できます。無効にすると、ユーザーはエラーの通知を表示できません。 エラーが発生した場合、ユーザーがその問題を認識することが重要です。\[エラーの通知を表示する\] 設定を無効にした場合、ユーザーは問題を認識できません。そのため、この章で説明している 2 つの環境では、\[エラーの通知を表示する\] の値を \[有効\] に設定します。 ###### エラー報告を構成する このポリシー設定では、エラーを報告するかどうかを指定します。このポリシー設定を有効にすると、エラーが発生したときに、ユーザーがそのエラーを報告するかどうかを選択できます。エラーは、インターネット経由で Microsoft に報告するか、またはローカルのファイル共有に報告できます。このポリシー設定を有効にすると、以下のオプションを選択できます。 - **Microsoft が提供している "詳細情報" Web サイトへのリンクを表示しない** - **そのほかのファイルを収集しない** - **そのほかのコンピュータ データを収集しない** - **アプリケーション エラーにキュー モードを強制する** - **企業ファイル アップロード パス** - **'Microsoft' という言葉と置き換える言葉** \[エラー報告を構成する\] 設定を無効にすると、ユーザーはエラーを報告できません。\[エラーの通知を表示する\] 設定を有効にすると、ユーザーはエラー通知を受け取りますが、そのエラーを報告できません。\[エラー報告を構成する\] 設定を使用すると、組織でのエラーの報告方法をカスタマイズでき、ローカルで分析するため報告を収集できます。 この章で説明している 2 つの環境では、\[エラー報告を構成する\] の値を \[有効\] に設定します。また、SSLF 環境では以下のオプションを選択します。 - **\[そのほかのファイルを収集しない\]** - **\[そのほかのコンピュータ データを収集しない\]** - **\[アプリケーション エラーにキュー モードを強制する\]** また、\[企業ファイル アップロード パス\] オプションを選択して、企業内エラー報告ツールをインストールしてあるサーバーへのパスを入力することもできます。組織のニーズを評価して、使用するオプションを決定してください。 ##### Remote Procedure Call 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **管理用テンプレート\\システム\\リモート プロシージャ コール** 次の表に、\[リモート プロシージャ コール\] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 4.23 \[リモート プロシージャ コール\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
認証されていない RPC クライアントの制限 有効 - 認証済み 有効 - 認証済み 有効 - 認証済み 有効 - 認証済み
RPC エンド ポイント マッパー クライアント認証 無効 無効 有効 有効
###### 認証されていない RPC クライアントの制限 このポリシー設定では、RPC サーバーの RPC ランタイムを構成して、認証されていない RPC クライアントが RPC サーバーに接続できないように制限します。クライアントは、名前付きパイプを使用してサーバーと通信するか、RPC セキュリティを使用している場合に、認証済みと見なされます。このポリシーで選択する値によっては、認証されていないクライアントがアクセスできるよう明示的に要求した RPC インターフェイスは、この制限から除外される場合もあります。このポリシー設定を有効にすると、以下の値を選択できます。 - **なし**。このポリシーが適用されているコンピュータ上で実行されている RPC サーバーにすべての RPC クライアントが接続することを許可します。 - **認証済み**。このポリシーが適用されているコンピュータ上で実行されている RPC サーバーに、認証済みの RPC クライアントだけが接続することを許可します。この制限から除外されるよう要求したインターフェイスは、除外されます。 - **認証済み (例外なし)**。このポリシーが適用されているコンピュータ上で実行されている RPC サーバーに、認証済みの RPC クライアントだけが接続することを許可します。例外は許可されません。 認証されていない RPC 通信によってセキュリティ上の脆弱性が生じる可能性があるので、この章で説明している 2 つの環境では、\[認証されていない RPC クライアントの制限\] の値を \[有効\] に設定し、\[適用する RPC ランタイム未認証クライアント制限\] の値を \[認証済み\] に設定します。 **注 :**この構成を適用すると、不要な受信接続要求を認証しない RPC アプリケーションが正常に動作しなくなる場合があります。このポリシー設定を環境内で展開する前に、必ずアプリケーションをテストしてください。この設定の \[認証済み\] の値が完全に安全というわけではありませんが、環境内でのアプリケーションの互換性の確保に役立つ場合があります。 ###### RPC エンド ポイント マッパー クライアント認証 このポリシー設定を有効にすると、このコンピュータと通信するクライアント コンピュータは、RPC 通信を確立する前に、認証情報を提供することが強制されます。既定では、RPC クライアントは RPC サーバーのエンド ポイントを要求するとき、RPC エンド ポイント マッパー サービスとの通信で認証されません。SSLF 環境ではこの既定値を変更し、RPC 通信が許可される前にクライアント コンピュータの認証を必要とします。 ##### インターネット通信の管理\\インターネット通信の設定 インターネット通信の設定グループには、複数の設定があります。主にコンピュータ システムに保存されているデータの機密性を高めるため、これらの設定の多くを制限することを推奨します。これらの設定を制限しないと、情報が攻撃者に傍受され、使用される可能性があります。今日、このような攻撃が実際に発生するケースはまれですが、これらの設定を適切に構成することで、将来の攻撃から環境を保護できます。 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **管理用テンプレート\\システム\\インターネット通信の管理\\インターネット通信の設定** 次の表に、\[インターネット通信の設定\] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 4.24 \[インターネット通信の設定\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
ファイルとフォルダのタスクから [Web に公開する] を削除する 有効 有効 有効 有効
Web 発行およびオンライン注文ウィザードのインターネット ダウンロードをオフにする 有効 有効 有効 有効
Windows Messenger カスタマ エクスペリエンス向上プログラムをオフにする 有効 有効 有効 有効
検索コンパニオンのコンテンツ ファイルの更新をオフにする 有効 有効 有効 有効
HTTP 経由の印刷をオフにする 有効 有効 有効 有効
プリンタ ドライバの HTTP 経由でのダウンロードをオフにする 有効 有効 有効 有効
Windows Update でのデバイス ドライバの検索をオフにする 無効 無効 有効 有効
###### ファイルとフォルダのタスクから \[Web に公開する\] を削除する このポリシー設定では、Windows フォルダのファイルとフォルダのタスクで \[このファイルを Web に公開する\]、\[このフォルダを Web に公開する\]、および \[選択した項目を Web に発行する\] の各タスクを使用可能にするかどうかを指定します。Web 発行ウィザードを使用して、プロバイダの一覧がダウンロードされ、ユーザーが内容を Web に公開できます。 **ファイルとフォルダのタスクから \[Web に公開する\] を削除する**設定の値を \[有効\] に設定すると、これらのオプションは Windows フォルダのファイルとフォルダのタスクから削除されます。既定では、Web に公開するオプションは使用可能です。この機能を使用して、セキュリティ保護された内容が、認証されていない Web クライアント コンピュータに公開される可能性があるので、EC 環境と SSLF 環境では、このポリシー設定の値を \[有効\] に設定します。 ###### Web 発行およびオンライン注文ウィザードのインターネット ダウンロードをオフにする このポリシー設定では、Web 発行およびオンライン注文ウィザードで、プロバイダの一覧をダウンロードするかどうかを指定します。このポリシー設定を有効にすると、プロバイダはダウンロードされず、ローカル レジストリにキャッシュされたサービス プロバイダのみが表示されます。 EC 環境と SSLF 環境では、**ファイルとフォルダのタスクから \[Web に公開する\] を削除する**設定を有効にしたので (前の設定を参照)、このオプションは必要ありません。ただし、クライアント コンピュータの攻撃の対象となる面を最小化し、この機能が他の方法で悪用できないようにするため、\[Web 発行およびオンライン注文ウィザードのインターネット ダウンロードをオフにする\] の値は \[有効\] に設定します。 ###### Windows Messenger カスタマ エクスペリエンス向上プログラムをオフにする このポリシー設定では、Windows Messenger ソフトウェアおよびサービスがどのように使用されているかについて、匿名の情報を収集するかどうかを指定します。このポリシー設定を有効にすると、Windows Messenger で使用情報は収集されず、使用情報の収集を有効にするユーザー設定は表示されません。 大規模なエンタープライズ環境では、管理対象のクライアント コンピュータから情報を収集することが望ましくない場合があります。情報が収集されないようにするため、この章で説明している 2 つの環境では、\[Windows Messenger カスタマ エクスペリエンス向上プログラムをオフにする\] の値を \[有効\] に設定します。 ###### 検索コンパニオンのコンテンツ ファイルの更新をオフにする このポリシー設定では、ローカル検索およびインターネット検索時に、検索コンパニオンでコンテンツの更新を自動的にダウンロードするかどうかを指定します。このポリシー設定の値を \[有効\] に設定すると、検索中に検索コンパニオンでコンテンツの更新がダウンロードされません。 不要なネットワーク通信を各管理対象クライアント コンピュータから制御できるようにするため、EC 環境と SSLF 環境では、\[検索コンパニオンのコンテンツ ファイルの更新をオフにする\] の値を \[有効\] に設定します。 **注 :**インターネット検索時には、検索文字列と検索情報が、Microsoft および選択された検索プロバイダに送信されます。クラシック検索を選択すると、検索コンパニオンの機能は使用できなくなります。クラシック検索を選択するには、\[スタート\] ボタンをクリックし、\[検索\] をクリックします。次に、\[設定を変更する\] をクリックし、\[インターネット検索の動作を変更する\] をクリックします。 ###### HTTP 経由の印刷をオフにする このポリシー設定を使用すると、クライアント コンピュータからの HTTP 経由の印刷を無効にすることができます。HTTP 経由の印刷では、クライアントはイントラネットおよびインターネット上のプリンタで印刷できます。このポリシー設定を有効にすると、クライアント コンピュータは HTTP を経由してインターネット プリンタで印刷できません。 この機能を使用して HTTP 経由で送信される情報は保護されないので、悪意のあるユーザーによって傍受される可能性があります。そのため、HTTP 経由の印刷は通常はエンタープライズ環境では使用しません。安全ではない印刷ジョブによるセキュリティの侵害を防止するため、EC 環境と SSLF 環境では、\[HTTP 経由の印刷をオフにする\] の値を \[有効\] に設定します。 **注 :**このポリシー設定は、インターネット印刷のクライアント側のみに影響します。構成方法に関係なく、コンピュータがインターネット プリント サーバーとして機能し、共有プリンタが HTTP 経由で使用可能になる可能性があります。 ###### プリンタ ドライバの HTTP 経由でのダウンロードをオフにする このポリシー設定では、コンピュータが HTTP 経由でプリンタ ドライバ パッケージをダウンロードできるかどうかを指定します。HTTP 経由の印刷をセットアップするには、オペレーティング システムの標準インストールには付属していないドライバを HTTP 経由でダウンロードしなければならない場合があります。 プリンタ ドライバが HTTP 経由でダウンロードされないように、\[プリンタ ドライバの HTTP 経由でのダウンロードをオフにする\] の値は \[有効\] に設定します。 **注 :**このポリシー設定では、クライアントが HTTP を経由してイントラネットやインターネット上のプリンタで印刷することは防止できません。まだローカルでインストールされていないドライバのダウンロードが禁止されるだけです。 ###### Windows Update でのデバイス ドライバの検索をオフにする このポリシー設定では、デバイス ドライバがローカルにない場合に、Windows Update でデバイス ドライバを検索するかどうかを指定します。 インターネットからデバイス ドライバをダウンロードすることにはリスクが伴うので、\[Windows Update でのデバイス ドライバの検索をオフにする\] の値は、SSLF 環境では \[有効\]、EC 環境では \[無効\] に設定します。この設定が推奨される理由は、ドライバのダウンロードを悪用する可能性のある種類の攻撃は、通常は適切なエンタープライズ リソース管理および構成管理によって軽減されるからです。 **注 :管理用テンプレート\\システム**の**Windows Update でのデバイス ドライバ検索についての確認をしない**ポリシー設定も参照してください。このポリシー設定では、デバイスがローカルにない場合、Windows Update でデバイス ドライバを検索する前に管理者に確認するダイアログ ボックスを表示するかどうかを指定します。 #### ネットワーク グループ ポリシーのネットワーク コンテナには、セキュリティ関連の設定はありません。ただし、**ネットワーク接続\\Windows ファイアウォール** コンテナには多数の重要な設定があります。これらの設定について、この後のセクションで説明します。 次の図に、このセクションで行う設定変更の影響を受けるグループ ポリシーの各セクションを示します。 ![](images/Dd363022.SGFG0404(ja-jp,TechNet.10).gif) **図 4.4 \[コンピュータの構成\] の \[ネットワーク接続\] のグループ ポリシー構造** [拡大表示する](https://technet.microsoft.com/ja-jp/dd363022.sgfg0404_big(ja-jp,technet.10).gif) #### ネットワーク接続\\Windows ファイアウォール Windows ファイアウォール設定は、ドメイン プロファイルと標準プロファイルの 2 つのプロファイルで行います。ドメイン環境が検出された場合はドメイン プロファイルが使用され、ドメイン環境が検出されなかった場合は標準プロファイルが使用されます。 この後の 2 つの表のいずれかで Windows ファイアウォールの設定が**推奨**と示されていても、適切な値は組織ごとに異なります。たとえば、Windows ファイアウォールの例外を定義する必要があるアプリケーションの一覧は組織によって異なります。そのため、多くの組織に幅広く役に立つ一覧をこのガイドで定義することは不可能です。 例外が必要なアプリケーションまたはポートを決定しなければならないときは、Windows ファイアウォールのログ、Windows ファイアウォールの監査、およびネットワーク トレースを有効にすると役に立つ場合があります。詳細については、technet2.microsoft.com/windowsserver/en/library/bfdeda55-46fc-4b53-b4cd-c71838ef4b411033.mspx の「[Configuring a Computer for Windows Firewall Troubleshooting](https://technet2.microsoft.com/windowsserver/en/library/bfdeda55-46fc-4b53-b4cd-c71838ef4b411033.mspx)」(英語情報) を参照してください。 Windows XP で Network Location Awareness (NLA) を使用して接続先のネットワークの種類を判別するしくみについては、https://www.microsoft.com/japan/technet/community/columns/cableguy/cg0504.mspx の「[ネットワーク関連のグループ ポリシー設定におけるネットワークの決定動作](https://www.microsoft.com/japan/technet/community/columns/cableguy/cg0504.mspx)」を参照してください。 多くの場合、ドメイン環境には他の保護手段があるので、ドメイン プロファイルは標準プロファイルよりも制限を少なくすることができます。 ポリシー設定の名前は、両方のプロファイルで同じです。この後の 2 つの表に、各プロファイルのポリシー設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 ##### ネットワーク接続\\Windows ファイアウォール\\ドメイン プロファイル このセクションのポリシー設定では、Windows ファイアウォールのドメイン プロファイルを構成します。 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **管理用テンプレート\\ネットワーク\\ネットワーク接続\\Windows ファイアウォール\\ドメイン プロファイル** **表 4.25 \[Windows ファイアウォール\] の \[ドメイン プロファイル\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
ネットワーク接続をすべて保護する 有効 有効 有効 有効
例外を許可しない 非推奨 非推奨 非推奨 非推奨
プログラムの例外を定義する 推奨 推奨 推奨 推奨
ローカル プログラムの例外を許可する 非推奨 非推奨 無効 無効
リモート管理の例外を許可する 推奨 推奨 無効 無効
ファイルとプリンタの共有の例外を許可する 無効 無効 無効 無効
ICMP の例外を許可する 非推奨 非推奨 非推奨 非推奨
リモート デスクトップの例外を許可する 推奨 推奨 無効 無効
UPnP フレームワークの例外を許可する 非推奨 非推奨 非推奨 非推奨
通知を禁止する 非推奨 非推奨 非推奨 非推奨
マルチキャストまたはブロードキャスト要求に対するユニキャスト応答を禁止する 有効 有効 有効 有効
ポートの例外を定義する 非推奨 非推奨 非推奨 非推奨
ローカル ポートの例外を許可する 無効 無効 無効 無効
**注 :**この表で Windows ファイアウォールの設定が**推奨**と示されていても、適切な値は組織ごとに異なります。たとえば、Windows ファイアウォールの例外を定義する必要があるアプリケーションの一覧は組織によって異なります。そのため、多くの組織に幅広く役に立つ一覧をこのガイドで定義することは不可能です。 ##### ネットワーク接続\\Windows ファイアウォール\\標準プロファイル このセクションのポリシー設定では、Windows ファイアウォールの標準プロファイルを構成します。多くの場合、標準プロファイルはドメイン プロファイルよりも制限が強くなります。これは、ドメイン環境では基本レベルのセキュリティが提供されると見なされるからです。標準プロファイルは、コンピュータが、ホテルのネットワークや公共のワイヤレス アクセス ポイントなど、信頼されていないネットワークに接続されているときに使用することを目的としています。このような環境には未知の脅威があるので、セキュリティ保護対策を強化する必要があります。 以下に示す規定のコンピュータ設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **管理用テンプレート\\ネットワーク\\ネットワーク接続\\Windows ファイアウォール\\標準プロファイル** **表 4.26 \[Windows ファイアウォール\] の \[標準プロファイル\] の推奨設定**
設定 EC デスクトップ EC ラップトップ SSLF デスクトップ SSLF ラップトップ
ネットワーク接続をすべて保護する 有効 有効 有効 有効
例外を許可しない 推奨 推奨 推奨 推奨
プログラムの例外を定義する 推奨 推奨 推奨 推奨
ローカル プログラムの例外を許可する 非推奨 非推奨 無効 無効
リモート管理の例外を許可する 無効 無効 無効 無効
ファイルとプリンタの共有の例外を許可する 無効 無効 無効 無効
ICMP の例外を許可する 無効 無効 無効 無効
リモート デスクトップの例外を許可する 有効 有効 無効 無効
UPnP フレームワークの例外を許可する 無効 無効 無効 無効
通知を禁止する 非推奨 非推奨 非推奨 非推奨
マルチキャストまたはブロードキャスト要求に対するユニキャスト応答を禁止する 有効 有効 有効 有効
ポートの例外を定義する 非推奨 非推奨 非推奨 非推奨
ローカル ポートの例外を許可する 無効 無効 無効 無効
**注 :**この表で Windows ファイアウォールの設定が**推奨**と示されていても、適切な値は組織ごとに異なります。たとえば、Windows ファイアウォールの例外を定義する必要があるアプリケーションの一覧は組織によって異なります。そのため、多くの組織に幅広く役に立つ一覧をこのガイドで定義することは不可能です。 ###### Windows ファイアウォール: ネットワーク接続をすべて保護する このポリシー設定は、Windows XP SP2 を実行しているすべてのコンピュータで Windows ファイアウォールを有効にします。Windows ファイアウォールは、インターネット接続ファイアウォールの後継です。このガイドで説明しているすべての環境で、コンピュータのすべてのネットワーク接続を保護するため、このポリシー設定の値を \[有効\] に設定することをお勧めします。 \[無効\] に設定すると、Windows ファイアウォールは無効になり、Windows ファイアウォールの他のすべての設定が無視されます。 **注 :**このポリシー設定を有効にすると、Windows ファイアウォールが実行され、**コンピュータの構成\\管理用テンプレート\\ネットワーク\\ネットワーク接続\\DNS ドメイン ネットワーク上でのインターネット接続ファイアウォールの使用を禁止する**設定は無視されます。 ###### Windows ファイアウォール: 例外を許可しない このポリシー設定では、Windows ファイアウォールですべての不要な着信メッセージをブロックすることを指定します。このポリシー設定は、不要な着信メッセージを許可する他のすべての Windows ファイアウォールのポリシー設定に優先します。このポリシー設定を有効にすると、コントロール パネルの Windows ファイアウォールのコンポーネントで \[例外を許可しない\] チェック ボックスがオンになり、管理者がオフにすることはできなくなります。 多くの環境には、不要な受信通信を通常運用の一環として許可する必要のあるアプリケーションやサービスが含まれます。このような環境では、アプリケーションやサービスが正常に実行されるように、\[Windows ファイアウォール: 例外を許可しない\] 設定の値を \[無効\] に設定することを検討する必要があります。このポリシー設定を構成するときは、事前に環境をテストして、許可する必要のある通信を決定する必要があります。 **注 :**このポリシー設定は外部攻撃者に対する強力な防御になります。新しいネットワーク ワームの発生など、外部からの攻撃に対する完全な保護が必要な場合は、\[有効\] に設定する必要があります。このポリシー設定の値を \[無効\] に設定すると、Windows ファイアウォールで、不要な着信メッセージを許可する他のポリシー設定が適用されます。 ###### Windows ファイアウォール: プログラムの例外を定義する 一部のアプリケーションでは、通常は Windows ファイアウォールで許可されないネットワーク ポートを開いて使用しなければならない場合があります。**Windows ファイアウォール: プログラムの例外を定義する**設定を使用すると、グループ ポリシーで定義されたプログラムの例外一覧を表示および変更できます。 このポリシー設定の値を \[有効\] に設定すると、プログラムの例外一覧を表示および変更できます。この一覧にプログラムを追加し、その状態を \[有効\] に設定すると、そのプログラムは、Windows ファイアウォールに開くように要求するすべてのポートで不要な着信メッセージを受信できます。これは、そのポートが別の設定でブロックされている場合も同じです。このポリシー設定の値を \[無効\] に設定すると、グループ ポリシーで定義されたプログラムの例外一覧は削除されます。 **注 :**無効な定義文字列を入力すると、エラーが確認されずに一覧に追加されます。入力が確認されないので、まだインストールしていないプログラムを追加できます。また、スコープや状態の値が競合する、同じプログラムの例外を誤って複数作成する可能性もあります。 ###### Windows ファイアウォール: ローカル プログラムの例外を許可する このポリシー設定では、管理者がコントロール パネルの Windows ファイアウォール コンポーネントを使用してローカル プログラムの例外一覧を定義できるかどうかを指定します。このポリシー設定を無効にすると、管理者はローカル プログラムの例外一覧を定義できないので、プログラムの例外はグループ ポリシーだけで決定します。有効にすると、ローカル管理者はコントロール パネルを使用してプログラムの例外をローカルで定義できます。 エンタープライズ クライアント コンピュータの場合、プログラムの例外をローカルで定義できるようにしたほうがいい場合があります。たとえば、組織のファイアウォール ポリシーの作成時に分析されなかったアプリケーションまたは非標準のポート構成を必要とする新しいアプリケーションが含まれることがあります。このような状況で \[Windows ファイアウォール: ローカル プログラムの例外を許可する\] 設定を有効にする場合は、そのコンピュータの攻撃の対象となる面が拡大することに留意してください。 ###### Windows ファイアウォール: リモート管理の例外を許可する 多くの組織では、日常の運用でリモート コンピュータ管理を利用します。しかし、リモート管理プログラムに通常使用されるポートが一部の攻撃で悪用されています。Windows ファイアウォールでは、これらのポートをブロックできます。 リモート管理を柔軟に行うことができるように、\[Windows ファイアウォール: リモート管理の例外を許可する\] ポリシー設定が用意されています。このポリシー設定を有効にすると、リモート管理に関連付けられた不要な着信メッセージをコンピュータの TCP ポート 135 および 445 で受信できます。また、このポリシー設定によって、Svchost.exe および Lsass.exe で不要な着信メッセージを受信でき、またホストされるサービスで動的に割り当てられる追加ポートを開くことができます。追加ポートは通常は 1024 ~ 1034 の範囲内ですが、1024 ~ 65535 の任意のポートを使用可能です。この設定を有効にするときは、着信メッセージを許可する IP アドレスまたはサブネットを指定する必要もあります。 \[Windows ファイアウォール: リモート管理の例外を許可する\] 設定の値を \[無効\] に設定すると、これらの例外は許可されません。\[無効\] に設定した場合の影響は、多くの組織の許容範囲を超えます。多数のリモート管理ツールおよび脆弱性をスキャンするツールが正常に動作しなくなるからです。そのため、このポリシー設定は、特にセキュリティを重視している組織のみ有効にすることをお勧めします。 ドメイン プロファイルの場合、\[Windows ファイアウォール: リモート管理の例外を許可する\] の値は、EC 環境のコンピュータでは \[有効\] (可能な場合)、SSLF 環境のコンピュータでは \[無効\] に設定することをお勧めします。環境内のコンピュータでは、できる限り少ない数のコンピュータからリモート管理要求を受け入れるようにする必要があります。Windows ファイアウォールによる保護を最大限に高めるには、リモート管理に使用するコンピュータの IP アドレスとサブネットだけを指定してください。 TCP ポート 135 および 445 を悪用する既知の攻撃を回避するため、標準プロファイルのすべてのコンピュータでは、\[Windows ファイアウォール: リモート管理の例外を許可する\] の値を \[無効\] に設定することをお勧めします。 **注 :**任意のポリシー設定によって TCP ポート 445 が開かれると、**Windows ファイアウォール: ICMP の例外を許可する**ポリシー設定でブロックするように設定した場合でも、受信 ICMP エコー要求メッセージ (Ping ユーティリティから送信されるメッセージなど) は許可されます。TCP ポート 445 を開くことのできるポリシー設定には、\[Windows ファイアウォール: ファイルとプリンタの共有の例外を許可する\]、\[Windows ファイアウォール: リモート管理の例外を許可する\]、\[Windows ファイアウォール: ポートの例外を定義する\] などがあります。 ###### Windows ファイアウォール: ファイルとプリンタの共有の例外を許可する このポリシー設定では、ファイルとプリンタの共有を許可する例外を作成します。UDP ポート 137 と 138 および TCP ポート 139 と 445 が開くように Windows ファイアウォールが構成されます。このポリシー設定を有効にすると、Windows ファイアウォールでこれらのポートが開かれ、コンピュータで印刷ジョブや、共有ファイルへのアクセス要求を受信できます。この設定を有効にするときは、このようなメッセージを許可する IP アドレスまたはサブネットを指定する必要があります。 \[Windows ファイアウォール: ファイルとプリンタの共有の例外を許可する\] 設定を無効にすると、これらのポートはブロックされ、コンピュータでファイルとプリンタの共有ができなくなります。 通常は、環境内の Windows XP を実行しているコンピュータでファイルやプリンタを共有することはないので、この章で説明している 2 つの環境では、\[Windows ファイアウォール: ファイルとプリンタの共有の例外を許可する\] の値を \[無効\] に設定することをお勧めします。 **注 :**任意のポリシー設定によって TCP ポート 445 が開かれると、\[Windows ファイアウォール: ICMP の例外を許可する\] ポリシー設定でブロックするように設定した場合でも、受信 ICMP エコー要求メッセージ (Ping ユーティリティから送信されるメッセージなど) は許可されます。TCP ポート 445 を開くことのできるポリシー設定には、**Windows ファイアウォール: ファイルとプリンタの共有の例外を許可する**、**Windows ファイアウォール: リモート管理の例外を許可する**、**Windows ファイアウォール: ポートの例外を定義する**などがあります。 ###### Windows ファイアウォール: ICMP の例外を許可する このポリシー設定では、Windows ファイアウォールで許可する Internet Control Message Protocol (ICMP) メッセージの種類を定義します。ユーティリティでは、ICMP メッセージを使用して他のコンピュータの状態を判断できます。たとえば、Ping ではエコー要求メッセージが使用されます。 \[Windows ファイアウォール: ICMP の例外を許可する\] 設定の値を \[有効\] に設定する場合は、コンピュータで受送信を許可する ICMP メッセージの種類を指定する必要があります。\[無効\] に設定すると、すべての不要な受信 ICMP メッセージおよび一覧内の送信 ICMP メッセージがブロックされます。その結果、ICMP に依存するユーティリティは、正常に動作しなくなる場合があります。 数多くの攻撃ツールは ICMP メッセージを受け入れるコンピュータを利用し、これらのメッセージを使用してさまざまな攻撃を仕掛けます。ただし、アプリケーションの中には、正常に動作するために ICMP メッセージが必要なものもあります。また、ICMP メッセージは、グループ ポリシーがダウンロードおよび処理されるときのネットワーク パフォーマンスの測定に使用されます。ICMP メッセージがブロックされると、グループ ポリシーが対象のシステムに適用されない場合があります。そのため、\[Windows ファイアウォール: ICMP の例外を許可する\] の値は、できる限り \[無効\] に設定することをお勧めします。環境内で特定の ICMP メッセージが Windows ファイアウォールを通過するようにする必要がある場合は、適切なメッセージの種類を指定します。 信頼されていないネットワークにコンピュータがある場合は、\[無効\] に設定する必要があります。 **注 :**任意のポリシー設定によって TCP ポート 445 が開かれると、\[Windows ファイアウォール: ICMP の例外を許可する\] ポリシー設定でブロックするように設定した場合でも、受信 ICMP エコー要求メッセージ (Ping ユーティリティから送信されるメッセージなど) は許可されます。TCP ポート 445 を開くことのできるポリシー設定には、**Windows ファイアウォール: ファイルとプリンタの共有の例外を許可する**、**Windows ファイアウォール: リモート管理の例外を許可する**、**Windows ファイアウォール: ポートの例外を定義する**などがあります。 ###### Windows ファイアウォール: リモート デスクトップの例外を許可する 多くの組織では、通常のトラブルシューティングの手順または操作でリモート デスクトップ接続を使用します。しかし、リモート デスクトップに通常使用されるポートを悪用する攻撃が発生しています。 リモート管理を柔軟に行うことができるように、\[Windows ファイアウォール: リモート デスクトップの例外を許可する\] ポリシー設定が用意されています。このポリシー設定を有効にすると、Windows ファイアウォールで受信接続用に TCP ポート3389 が開かれます。また、このポリシー設定を有効にするときは、受信メッセージを許可する IP アドレスまたはサブネットを指定する必要があります。 このポリシー設定を無効にすると、このポートはブロックされ、コンピュータでリモート デスクトップ要求を受信できなくなります。管理者がローカル ポートの例外一覧にポートを追加することでポートを開こうとしても、Windows ファイアウォールでポートは開かれません。 一部の攻撃で、開いているポート 3389 が悪用される可能性があるので、\[Windows ファイアウォール: リモート デスクトップの例外を許可する\] の値は、SSLF 環境では \[無効\] に設定することをお勧めします。リモート デスクトップが提供する強化された管理機能を維持するため、EC 環境では \[有効\] に設定する必要があります。この設定を有効にするときは、リモート管理に使用するコンピュータの IP アドレスおよびサブネットを指定する必要があります。環境内のコンピュータでは、できる限り少ない数のコンピュータからリモート デスクトップ要求を受け入れるようにする必要があります。 ###### Windows ファイアウォール: UPnP フレームワークの例外を許可する このポリシー設定では、ファイアウォールが組み込まれたルーターなどのネットワーク デバイスから送信された、不要なプラグ アンド プレイ メッセージをコンピュータで受信することを許可します。これらのメッセージを受信するため、Windows ファイアウォールによって TCP ポート 2869 および UDP ポート 1900 が開かれます。 \[Windows ファイアウォール: UPnP フレームワークの例外を許可する\] 設定を有効にすると、これらのポートが開かれ、コンピュータでプラグ アンド プレイ メッセージを受信できます。この設定を有効にするときは、受信メッセージを許可する IP アドレスまたはサブネットを指定する必要があります。このポリシー設定を無効にすると、これらのポートはブロックされ、プラグ アンド プレイ メッセージを受信できなくなります。 UPnP ネットワーク トラフィックをブロックすると、環境内でコンピュータの攻撃の対象となる面が実質的に縮小します。信頼されているネットワークでは、UPnP デバイスを使用する場合を除いて、\[Windows ファイアウォール: UPnP フレームワークの例外を許可する\] の値を \[無効\] に設定することをお勧めします。信頼されていないネットワークでは、常に \[無効\] に設定する必要があります。 ###### Windows ファイアウォール: 通知を禁止する Windows ファイアウォールでは、プログラムの例外一覧にプログラムを追加する要求を受け取ったときに、ユーザーに対して通知を表示できます。このような状況は、プログラムがポートを開こうとしたときに、Windows ファイアウォールの現在の規則によって開くことができない場合に発生します。 \[Windows ファイアウォール: 通知を禁止する\] 設定では、これらの設定をユーザーに対して表示するかどうかを指定します。このポリシー設定の値を \[有効\] に設定すると、通知は表示されません。\[無効\] に設定すると、通知は表示されます。 EC 環境または SSLF 環境では、通常はユーザーがこれらのメッセージへの応答としてアプリケーションやポートを追加することを許可しません。このような場合、メッセージではユーザーが権限を持っていない内容が通知されるので、\[Windows ファイアウォール: 通知を禁止する\] の値を \[有効\] に設定する必要があります。環境内で一部のユーザーに例外を許可する場合は、\[無効\] に設定する必要があります。 ###### Windows ファイアウォール: マルチキャストまたはブロードキャスト要求に対するユニキャスト応答を禁止する このポリシー設定では、コンピュータからのマルチキャスト メッセージおよびブロードキャスト メッセージに対するユニキャスト応答の受信を禁止します。このポリシー設定を有効にして、他のコンピュータにマルチキャスト メッセージまたはブロードキャスト メッセージを送信すると、これらのコンピュータから送信されるユニキャスト応答はブロックされます。このポリシー設定を無効にして、他のコンピュータにマルチキャスト メッセージまたはブロードキャスト メッセージを送信すると、Windows ファイアウォールでは、これらのコンピュータからのユニキャスト応答を最大で 3 秒間待ってから、その後の応答はすべてブロックされます。 通常は、マルチキャスト メッセージまたはブロードキャスト メッセージに対するユニキャスト応答は受信しません。ユニキャスト応答は、サービス拒否 (DoS) 攻撃、または攻撃者が既知のコンピュータを調査しようとしていることを意味する場合があります。このような攻撃を防止するため、\[Windows ファイアウォール: マルチキャストまたはブロードキャスト要求に対するユニキャスト応答を禁止する\] の値は \[有効\] に設定することをお勧めします。 **注 :**ユニキャスト メッセージが、コンピュータから送信された DHCP ブロードキャスト メッセージへの応答である場合、このポリシー設定の効果はありません。Windows ファイアウォールでは、DHCP ユニキャスト応答は常に許可されます。ただし、このポリシー設定は、名前の競合を検出する NetBIOS メッセージを妨げる可能性があります。 ###### Windows ファイアウォール: ポートの例外を定義する Windows ファイアウォールのポートの例外一覧はグループ ポリシーで定義する必要があります。それにより、ポートの例外を一元的に管理および展開し、ローカル管理者が強度の低いセキュリティ設定を行わないようにできます。 \[Windows ファイアウォール: ポートの例外を定義する\] 設定を有効にすると、グループ ポリシーで定義されたポートの例外一覧を表示および変更できます。ポートの例外一覧を表示して変更するには、このポリシー設定の値を \[有効\] に設定し、\[表示\] をクリックします。無効な定義文字列を入力すると、エラーは確認されずに一覧に追加されます。このため、スコープや状態の値が異なる同じポートのエントリを誤って複数作成する可能性があります。 \[Windows ファイアウォール: ポートの例外を定義する\] 設定を無効にすると、グループ ポリシーで定義されたポートの例外一覧は削除されますが、他のポリシー設定で引き続きポートを開いたりブロックしたりすることができます。また、ローカル ポートの例外一覧が存在する場合でも、\[Windows ファイアウォール: ローカル ポートの例外を許可する\] 設定を有効にしない限り、一覧は無視されます。 特定のポートを開く必要のある非標準アプリケーションがある環境では、ポートの例外ではなく、プログラムの例外を検討する必要があります。プログラムの例外を定義できない場合に限り、\[Windows ファイアウォール: ポートの例外を定義する\] の値を \[有効\] に設定し、ポートの例外一覧を指定することをお勧めします。プログラムの例外を指定すると、指定したプログラムの実行中にのみ不要なネットワーク トラフィックを受け付けることができます。ポートの例外を指定すると、指定したポートが常に開いた状態になります。 **注 :**任意のポリシー設定によって TCP ポート 445 が開かれると、\[Windows ファイアウォール: ICMP の例外を許可する\] ポリシー設定でブロックするように設定した場合でも、受信 ICMP エコー要求メッセージ (Ping ユーティリティから送信されるメッセージなど) は許可されます。TCP ポート 445 を開くことのできるポリシー設定には、**Windows ファイアウォール: ファイルとプリンタの共有の例外を許可する**、**Windows ファイアウォール: リモート管理の例外を許可する**、**Windows ファイアウォール: ポートの例外を定義する**などがあります。 ###### Windows ファイアウォール: ローカル ポートの例外を許可する このポリシー設定を使用すると、管理者はコントロール パネルの Windows ファイアウォール コンポーネントを使用してローカル ポートの例外一覧を定義できます。Windows ファイアウォールではポートの例外一覧を 2 つ使用できます。もう 1 つは \[Windows ファイアウォール: ポートの例外を定義する\] 設定で定義します。 \[Windows ファイアウォール: ローカル ポートの例外を許可する\] 設定を有効にすると、管理者はコントロール パネルの Windows ファイアウォール コンポーネントを使用してローカル ポートの例外一覧を定義できます。無効にすると、管理者はコントロール パネルの Windows ファイアウォール コンポーネントを使用して、例外一覧を作成できません。 EC 環境または SSLF 環境では、通常は組織全体のポリシーに優先する、独自のポート例外一覧を作成する権限がローカル管理者にはありません。そのため、\[Windows ファイアウォール: ローカル ポートの例外を許可する\] の値は \[無効\] に設定することをお勧めします。 [](#mainsection)[ページのトップへ](#mainsection) ### ユーザーの構成の設定 この章の残りのセクションでは、\[ユーザーの構成\] の推奨設定について説明します。これらの設定は、コンピュータではなく、ユーザーに適用する必要があります。設定は、構成対象のユーザーを含む OU にリンクするグループ ポリシーで実装する必要があります。OU とグループ ポリシーについては、第 2 章の図 2.3 "Windows XP ベースのデスクトップ コンピュータとラップトップ コンピュータを含む、拡張された OU 構造" を参照してください。これらの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **ユーザーの構成\\管理用テンプレート** この場所を次の図に示します。 ![](images/Dd363022.SGFG0405(ja-jp,TechNet.10).gif) **図 4.5 \[ユーザーの構成\] のグループ ポリシー構造** [拡大表示する](https://technet.microsoft.com/ja-jp/dd363022.sgfg0405_big(ja-jp,technet.10).gif) ユーザーのアカウントが含まれる OU にリンクする GPO を介してこれらの設定を適用します。 **注 :**ユーザーの構成の設定は、Active Directory ドメインでユーザーがログオンするすべての Windows XP ベースのコンピュータに適用されますただし、コンピュータの構成の設定は、クライアント コンピュータにログオンするユーザーに関係なく、Active Directory の GPO で管理しているすべてのコンピュータに適用されます。そのため、このセクションの表では、この章で説明している EC 環境と SSLF 環境で推奨される設定のみを示しています。これらの設定には、デスクトップごとおよびラップトップごとの規定はありません。 #### Windows コンポーネント 次の図に、\[Windows コンポーネント\] セクションで行う設定変更の影響を受けるグループ ポリシーの各セクションを示します。 ![](images/Dd363022.SGFG0406(ja-jp,TechNet.10).gif) **図 4.6 \[ユーザーの構成\] の \[Windows コンポーネント\] のグループ ポリシー構造** [拡大表示する](https://technet.microsoft.com/ja-jp/dd363022.sgfg0406_big(ja-jp,technet.10).gif) ##### Internet Explorer 以下に示す規定のユーザー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **ユーザーの構成\\管理用テンプレート\\Windows コンポーネント\\** **Internet Explorer** 次の表に、\[ユーザーの構成\] の \[Internet Explorer\] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 4.27 \[ユーザーの構成\] の \[Internet Explorer\] の推奨設定**
設定 EC コンピュータ SSLF コンピュータ
ブラウザのメニュー\[このプログラムをディスクに保存する] オプション ボタンの使用を許可しない 未構成 有効
インターネット コントロール パネル\[詳細設定] ページの使用を許可しない 未構成 有効
インターネット コントロール パネル\[セキュリティ] ページの使用を許可しない 未構成 有効
オフライン ページ\チャンネルの追加を許可しない 有効 有効
オフライン ページ\オフライン ページへのスケジュールの追加を許可しない 有効 有効
オフライン ページ\すべてのスケジュール済オフライン ページの使用を許可しない 有効 有効
オフライン ページ\チャンネル ユーザー インターフェイスの使用を許可しない 有効 有効
オフライン ページ\サイト購読のコンテンツのダウンロードを許可しない 有効 有効
オフライン ページ\スケジュール グループの編集および作成を許可しない 有効 有効
オフライン ページ\オフライン ページへのスケジュールの編集を許可しない 有効 有効
オフライン ページ\オフライン ページへのヒット ログの使用を許可しない 有効 有効
オフライン ページ\チャンネルの削除を許可しない 有効 有効
オフライン ページ\オフライン ページへのスケジュールの削除を許可しない 有効 有効
Outlook Express を構成する 有効 有効
[詳細設定] ページの設定の変更を許可しない 未構成 有効
自動構成の変更を許可しない 未構成 有効
証明書の設定の変更を許可しない 未構成 有効
接続の設定の変更を許可しない 未構成 有効
プロキシの設定の変更を許可しない 未構成 有効
オートコンプリートにパスワードの保存を許可しない 有効 有効
###### ブラウザのメニュー\\\[このプログラムをディスクに保存する\] オプション ボタンの使用を許可しない このポリシー設定では、Internet Explorer を使用してダウンロードしたプログラムまたはファイルをハード ディスクに保存できないようにします。このポリシー設定を有効にすると、ユーザーは \[このプログラムをディスクに保存する\] オプションを使用してプログラムをディスクに保存することができなくなります。プログラム ファイルはダウンロードされず、ユーザーにはこのコマンドを使用できないことが通知されます。このポリシー設定を使用すると、ユーザーは Internet Explorer を使用して有害なプログラムをダウンロードしてディスクに保存できないので、高セキュリティ環境の保護に役立ちます。 \[ブラウザのメニュー\]\\\[\[このプログラムをディスクに保存する\] オプション ボタンの使用を許可しない\] の値は、SSLF 環境でのみ \[有効\] に設定します。EC 環境では \[未構成\] に設定します。 ###### インターネット コントロール パネル\\\[詳細設定\] ページの使用を許可しない このポリシー設定は、他の設定と連動して、Internet Explorer UI の \[詳細設定\] タブで構成する設定をユーザーが変更できないようにします。 \[インターネット コントロール パネル\]\\\[\[詳細設定\] ページの使用を許可しない\] の値は、SSLF 環境でのみ \[有効\] に設定します。EC 環境では \[未構成\] に設定します。 ###### インターネット コントロール パネル\\\[セキュリティ\] ページの使用を許可しない このポリシー設定は、他の設定と連動して、グループ ポリシーを使用して構成されている設定をユーザーが変更できないようにします。このポリシー設定を有効にすると、\[インターネット オプション\] ダイアログ ボックスに \[セキュリティ\] タブが表示されません。また、ユーザーは、スクリプトの実行、ダウンロード、ユーザー認証などのセキュリティ ゾーンの設定を参照したり変更したりできなくなります。ユーザーが Internet Explorer の他のセキュリティ設定を脆弱にするような設定変更を行えないように、このポリシー設定を有効にすることをお勧めします。 \[インターネット コントロール パネル\]\\\[\[セキュリティ\] ページの使用を許可しない\] の値は、SSLF 環境でのみ \[有効\] に設定します。EC 環境では \[未構成\] に設定します。 ###### オフライン ページ\\チャンネルの追加を許可しない このポリシー設定では、ユーザーが Internet Explorer にチャンネルを追加できないようにします。チャンネルとは、Internet Explorer を実行しているコンピュータ上で自動的に更新される Web サイトのことで、その更新スケジュールはチャンネル プロバイダによって指定されます。このポリシー設定は、コンテンツを自動的にダウンロードする Internet Explorer の機能をブロックする設定の 1 つです。ユーザーがコンピュータから直接ダウンロードを要求した場合のみ、インターネットからページをダウンロードできるようにすることをお勧めします。 そのため、この章で説明している 2 つの環境では、\[オフライン ページ\]\\\[チャンネルの追加を許可しない\] の値を \[有効\] に設定します。 ###### オフライン ページ\\オフライン ページへのスケジュールの追加を許可しない このポリシー設定では、ユーザーが Web ページをダウンロードして、オフラインで表示することを指定できないようにします。このポリシー設定を無効にすると、ユーザーは、コンピュータがインターネットに接続されていなくても、Web ページを表示できます。 この章で説明している 2 つの環境では、\[オフライン ページ\]\\\[オフライン ページへのスケジュールの追加を許可しない\] の値を \[有効\] に設定します。 ###### オフライン ページ\\すべてのスケジュール済オフライン ページの使用を許可しない このポリシー設定では、Web ページをオフラインで表示できるようにダウンロードする既存のスケジュールを無効にします。このポリシー設定を有効にすると、Web ページのプロパティ ダイアログ ボックスの \[スケジュール\] タブで、スケジュールのチェック ボックスがオフになり、ユーザーがオンにすることはできません。\[スケジュール\] タブを表示するには、\[ツール\] メニューの \[同期\] をクリックし、Web ページを選択します。次に、\[プロパティ\] をクリックし、\[スケジュール\] タブをクリックします。このポリシー設定は、コンテンツを自動的にダウンロードする Internet Explorer の機能をブロックする設定の 1 つです。 この章で説明している 2 つの環境では、\[オフライン ページ\]\\\[すべてのスケジュール済オフライン ページの使用を許可しない\] の値を \[有効\] に設定します。 ###### オフライン ページ\\チャンネル ユーザー インターフェイスの使用を許可しない このポリシー設定では、ユーザーがチャンネル バー インターフェイスを表示できないようにします。チャンネルとは、コンピュータ上で自動的に更新される Web サイトのことで、そのスケジュールはチャンネル プロバイダによって指定されます。このポリシー設定を有効にすると、ユーザーはチャンネル バー インターフェイスにアクセスして、\[画面のプロパティ\] ダイアログ ボックスの \[Web\] タブにある \[Internet Explorer チャンネル バー\] チェック ボックスをオンにすることができなくなります。このポリシー設定は、コンテンツを自動的にダウンロードする Internet Explorer の機能をブロックする設定の 1 つです。 この章で説明している 2 つの環境では、\[オフライン ページ\]\\\[チャンネル ユーザー インターフェイスの使用を許可しない\] の値を \[有効\] に設定します。 ###### オフライン ページ\\サイト購読のコンテンツのダウンロードを許可しない このポリシー設定では、ユーザーが、購読している Web サイトからコンテンツをダウンロードできないようにします。ただし、ユーザーが以前にアクセスした Web ページに再びアクセスしてそのコンテンツが更新されているかどうかを確認しようとすると、Web ページの同期が実行されます。このポリシー設定は、コンテンツを自動的にダウンロードする Internet Explorer の機能をブロックする設定の 1 つです。 この章で説明している 2 つの環境では、\[オフライン ページ\]\\\[サイト購読のコンテンツのダウンロードを許可しない\] の値を \[有効\] に設定します。 ###### オフライン ページ\\スケジュール グループの編集および作成を許可しない このポリシー設定では、ユーザーが、購読している Web ページおよび Web ページ グループをオフラインで表示するスケジュールを追加、編集、または削除できないようにします。この場合の購読グループとは、お気に入りの Web ページと、そのページにリンクしている Web ページのことです。このポリシーを有効にすると、Web ページのプロパティ ダイアログ ボックスにある \[スケジュール\] タブで、\[追加\]、\[削除\]、および \[編集\] の各ボタンが使用不可の状態になります。このタブを表示するには、Internet Explorer で \[ツール\] メニューの \[同期\] をクリックし、Web ページを選択します。次に、\[プロパティ\] をクリックし、\[スケジュール\] タブをクリックします。このポリシー設定は、コンテンツを自動的にダウンロードする Internet Explorer の機能をブロックする設定の 1 つです。 これらの理由から、この章で説明している 2 つの環境では、\[オフライン ページ\]\\\[スケジュール グループの編集および作成を許可しない\] の値を \[有効\] に設定します。 ###### オフライン ページ\\オフライン ページへのスケジュールの編集を許可しない このポリシー設定では、ユーザーが、Web ページをオフラインで表示するためにダウンロードする既存のスケジュールを編集できないようにします。このポリシー設定を有効にすると、ユーザーはオフライン表示用に設定されたページのスケジュール プロパティを表示できなくなります。ユーザーが Internet Explorer で \[ツール\] メニューの \[同期\] をクリックし、Web ページを選択してから、\[プロパティ\] をクリックしても、プロパティは表示されません。このとき、このコマンドが使用できないことは通知されません。このポリシー設定は、コンテンツを自動的にダウンロードする Internet Explorer の機能をブロックする設定の 1 つです。 この章で説明している 2 つの環境では、\[オフライン ページ\]\\\[オフライン ページへのスケジュールの編集を許可しない\] の値を \[有効\] に設定します。 ###### オフライン ページ\\オフライン ページへのヒット ログの使用を許可しない このポリシー設定では、オフラインのユーザーがチャンネル ページを表示する頻度をチャンネル プロバイダが記録できないようにします。このポリシー設定は、コンテンツを自動的にダウンロードする Internet Explorer の機能をブロックする設定の 1 つです。 この章で説明している 2 つの環境では、\[オフライン ページ\]\\\[オフライン ページへのヒット ログの使用を許可しない\] の値を \[有効\] に設定します。 ###### オフライン ページ\\チャンネルの削除を許可しない このポリシー設定では、ユーザーが Internet Explorer でチャンネルの同期を無効にできないようにします。ユーザーがコンピュータから直接ダウンロードを要求した場合のみ、インターネットからページをダウンロードできるようにすることをお勧めします。 そのため、この章で説明している 2 つの環境では、\[オフライン ページ\]\\\[チャンネルの削除を許可しない\] の値を \[有効\] に設定します。 ###### オフライン ページ\\オフライン ページへのスケジュールの削除を許可しない このポリシー設定では、オフラインで表示するためにダウンロードする Web ページの事前に構成された設定を、ユーザーが消去できないようにします。このポリシー設定を有効にすると、Web ページの事前に構成された設定が保護されます。このポリシー設定は、コンテンツを自動的にダウンロードする Internet Explorer の機能をブロックする設定の 1 つです。 この章で説明している 2 つの環境では、\[オフライン ページ\]\\\[オフライン ページへのスケジュールの削除を許可しない\] の値を \[有効\] に設定します。 ###### Outlook Express を構成する このポリシー設定を使用すると、ウイルスを含む可能性のある添付ファイルを Microsoft Outlook® Express ユーザーが保存したり、開いたりできる機能を、管理者側で有効/無効にできます。ユーザー側で \[Outlook Express を構成する\] を無効にして添付ファイルがブロックされないようにすることはできません。このポリシー設定を有効にするには、\[有効\] をクリックし、\[ウイルスを含む可能性のある添付ファイルをブロックする\] チェック ボックスをオンにします。 この章で説明している 2 つの環境では、\[Outlook Express を構成する\] の値を \[有効\] に設定し、\[ウイルスを含む可能性のある添付ファイルをブロックする\] チェック ボックスをオンにします。 ###### \[詳細設定\] ページの設定の変更を許可しない このポリシー設定では、ユーザーが Internet Explorer の \[インターネット オプション\] ダイアログ ボックスにある \[詳細設定\] タブの設定を変更できないようにします。このポリシー設定を有効にすると、ユーザーはブラウザでセキュリティ、マルチメディア、および印刷に関連する詳細設定を変更できなくなります。また、\[インターネット オプション\] ダイアログ ボックスの \[詳細設定\] タブにある、これらのオプションのチェック ボックスをオンまたはオフにすることができなくなります。このポリシー設定を有効にすると、ユーザーは、グループ ポリシーを使用して構成されている設定も変更できません。 \[\[詳細設定\] ページの設定の変更を許可しない\] の値は、SSLF 環境でのみ \[有効\] に設定します。EC 環境では \[未構成\] に設定します。 **注 :**\[\[詳細設定\] ページの使用を許可しない\] 設定 (\\ユーザーの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\インターネット コントロール パネル) を有効にすると、\[インターネット オプション\] ダイアログ ボックスに \[詳細設定\] タブが表示されなくなるので、この設定を有効にする必要はありません。 ###### 自動構成の変更を許可しない このポリシー設定では、ユーザーが自動構成設定を変更できないようにします。自動構成設定とは、管理者がブラウザの設定を定期的に更新するために使用する機能です。このポリシー設定を有効にすると、Internet Explorer で自動構成設定が選択不可の状態になります (これらの設定は、\[ローカル エリア ネットワーク (LAN) の設定\] ダイアログ ボックスの \[自動構成\] にあります)。このポリシー設定を有効にすると、ユーザーは、グループ ポリシーを使用して構成されている設定も変更できません。 **\[ローカル エリア ネットワーク (LAN) の設定\] ダイアログ ボックスを表示するには** 1. \[インターネット オプション\] ダイアログ ボックスを表示し、\[接続\] タブをクリックします。 2. \[LAN の設定\] をクリックすると、この設定が表示されます。 \[自動構成の変更を許可しない\] の値は、SSLF 環境でのみ \[有効\] に設定します。EC 環境では \[未構成\] に設定します。 **注 :**\[\[接続\] ページの使用を許可しない\] 設定 (\\ユーザーの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\インターネット コントロール パネル) を有効にすると、\[インターネット オプション\] ダイアログ ボックスに \[接続\] タブが表示されなくなります。\[\[接続\] ページの使用を許可しない\] 設定は、\[自動構成の変更を許可しない\] 構成オプションに優先します。\[\[コンテンツ\] ページの使用を許可しない\] 設定を有効にすると、\[証明書の設定の変更を許可しない\] 設定は無視されます。 ###### 証明書の設定の変更を許可しない このポリシー設定では、ユーザーが Internet Explorer で証明書の設定を変更できないようにします。証明書はソフトウェア発行者の識別情報を検証するために使用します。このポリシー設定を有効にすると、\[インターネット オプション\] ダイアログ ボックスの \[コンテンツ\] タブにある \[証明書\] グループ内の証明書の設定が使用不可の状態になります。このポリシー設定を有効にすると、ユーザーは、グループ ポリシーを使用して構成されている設定も変更できません。 \[証明書の設定の変更を許可しない\] の値は、SSLF 環境でのみ \[有効\] に設定します。EC 環境では \[未構成\] に設定します。 **注 :**このポリシー設定を有効にしても、ソフトウェア発行元証明 (.spc) ファイルをダブルクリックすると、証明書マネージャのインポート ウィザードを実行できます。このウィザードを使用すると、Internet Explorer で構成されていないソフトウェア発行元の証明書の設定をインポートしたり構成したりできます。 **注 :**\[\[コンテンツ\] ページの使用を許可しない\] 設定 (\\ユーザーの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\インターネット コントロール パネル) を有効にすると、\[インターネット オプション\] ダイアログ ボックスに \[コンテンツ\] タブが表示されなくなります。\[\[コンテンツ\] ページの使用を許可しない\] 設定は、\[証明書の設定の変更を許可しない\] 構成オプションに優先します。\[\[コンテンツ\] ページの使用を許可しない\] 設定を有効にすると、\[証明書の設定の変更を許可しない\] 設定は無視されます。 ###### 接続の設定の変更を許可しない このポリシー設定では、ユーザーがダイヤルアップ設定を変更できないようにします。このポリシー設定を有効にすると、\[インターネット オプション\] ダイアログ ボックスの \[接続\] タブにある \[設定\] ボタンが使用不可の状態になります。このポリシー設定を有効にすると、ユーザーは、グループ ポリシーを使用して構成されている設定も変更できません。移動により接続の設定を変更しなければならないラップトップ ユーザーの場合、このポリシー設定を無効にする必要があります。 \[接続の設定の変更を許可しない\] の値は、SSLF 環境でのみ \[有効\] に設定します。EC 環境では \[未構成\] に設定します。 **注 :**\[\[接続\] ページの使用を許可しない\] 設定 (\\ユーザーの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\インターネット コントロール パネル) を有効にする場合、このポリシー設定を構成する必要はありません。\[\[接続\] ページの使用を許可しない\] 設定により、インターフェイスに \[接続\] タブが表示されなくなります。 ###### プロキシの設定の変更を許可しない このポリシー設定では、ユーザーがプロキシ設定を変更できないようにします。このポリシー設定を有効にすると、プロキシ設定は使用不可の状態になります(プロキシ設定は、\[ローカル エリア ネットワーク (LAN) の設定\] ダイアログ ボックスの \[プロキシ サーバー\] にあります。このダイアログ ボックスは、\[インターネット オプション\] ダイアログ ボックスの \[接続\] タブをクリックし、\[LAN の設定\] をクリックすると表示されます)。このポリシー設定を有効にすると、ユーザーは、グループ ポリシーを使用して構成されている設定も変更できません。移動により接続の設定を変更しなければならないラップトップ ユーザーの場合、このポリシー設定を無効にする必要があります。 \[プロキシの設定の変更を許可しない\] の値は、SSLF 環境でのみ \[有効\] に設定します。EC 環境では \[未構成\] に設定します。 **注 :**\[\[接続\] ページの使用を許可しない\] 設定 (\\ユーザーの構成\\管理用テンプレート\\Windows コンポーネント\\Internet Explorer\\インターネット コントロール パネル) を有効にする場合、このポリシー設定を構成する必要はありません。\[\[接続\] ページの使用を許可しない\] 設定により、インターフェイスに \[接続\] タブが表示されなくなります。 ###### オートコンプリートにパスワードの保存を許可しない このポリシー設定では、Web ページのフォーム上でのユーザー名およびパスワードのオートコンプリートを無効にし、パスワードの保存の確認が表示されないようにします。このポリシー設定を有効にすると、\[フォームのユーザー名およびパスワード\] チェック ボックスおよび \[パスワードを保存する確認をする\] チェック ボックスが選択不可の状態になり、ユーザーはパスワードをローカルで保存できなくなります。これらのチェック ボックスを表示するには、\[インターネット オプション\] ダイアログ ボックスの \[コンテンツ\] タブをクリックし、\[オートコンプリート\] をクリックします。 この章で説明している 2 つの環境では、\[オートコンプリートにパスワードの保存を許可しない\] の値を \[有効\] に設定します。 ##### 添付ファイル マネージャ 以下に示す規定のユーザー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **ユーザーの構成\\管理用テンプレート\\Windows コンポーネント\\** **添付ファイル マネージャ** 次の表に、\[ユーザーの構成\] の \[添付ファイル マネージャ\] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 4.28 \[ユーザーの構成\] の \[添付ファイル マネージャ\] の推奨設定**
設定 EC コンピュータ SSLF コンピュータ
ゾーン情報を添付ファイルに保存しない 無効 無効
ゾーン情報を削除する方法を非表示にする 有効 有効
添付ファイルを開くとき、ウイルス対策プログラムに通知する 有効 有効
###### ゾーン情報を添付ファイルに保存しない このポリシー設定を使用すると、Internet Explorer または Outlook Express から送られた添付ファイルに元のゾーン情報 (制限付き、インターネット、イントラネット、ローカルなど) をマークするかどうかを管理できます。このポリシー設定が正しく機能するには、ファイルが NTFS ディスク パーティションにダウンロードされる必要があります。ゾーン情報を保存しなかった場合、Windows で添付ファイルの送信元ゾーンに基づく適切なリスク評価ができなくなります。 \[ゾーン情報を添付ファイルに保存しない\] 設定を有効にすると、添付ファイルにはゾーン情報がマークされません。無効にすると、添付ファイルがそのゾーン情報と共に保存されます。危険な添付ファイルは、インターネット ゾーンなどの信頼されていない Internet Explorer ゾーンからダウンロードされることが多いので、各ファイルと共にできるだけ多くのセキュリティ情報が保存されるように、このポリシー設定の値を \[無効\] に設定することをお勧めします。 この章で説明している 2 つの環境では、\[ゾーン情報を添付ファイルに保存しない\] の値を \[無効\] に設定します。 ###### ゾーン情報を削除する方法を非表示にする このポリシー設定を使用すると、保存された添付ファイルからユーザーがゾーン情報を手動で削除できるかどうかを管理できます。通常は、ファイルのプロパティ シートの \[ブロックの解除\] をクリックするか、\[セキュリティの警告\] ダイアログ ボックスのチェック ボックスをオンにできます。ゾーン情報を削除すると、ユーザーは、Windows によって開くことを禁止されていた、危険な可能性のある添付ファイルを開くことができます。 \[ゾーン情報を削除する方法を非表示にする\] 設定を有効にすると、このチェック ボックスと \[ブロックの解除\] ボタンは表示されません。無効にすると、このチェック ボックスと \[ブロックの解除\] ボタンが表示されます。危険な添付ファイルは、インターネット ゾーンなどの信頼されていない Internet Explorer ゾーンからダウンロードされることが多いので、各ファイルと共にできるだけ多くのセキュリティ情報が保存されるように、このポリシー設定の値を \[有効\] に設定することをお勧めします。 この章で説明している 2 つの環境では、\[ゾーン情報を削除する方法を非表示にする\] の値を \[有効\] に設定します。 **注 :**ファイルと共にゾーン情報を保存するかどうかを構成するには、前の \[ゾーン情報を添付ファイルに保存しない\] 設定を参照してください。 ###### 添付ファイルを開くとき、ウイルス対策プログラムに通知する ウイルス対策プログラムは、多くの環境で使用が義務付けられており、攻撃に対する強力な防御になっています。 \[添付ファイルを開くとき、ウイルス対策プログラムに通知する\] 設定を使用すると、登録されたウイルス対策プログラムに通知する方法を管理できます。このポリシー設定を有効にすると、ユーザーが添付ファイルを開くときに、登録されたウイルス対策プログラムが呼び出され、そのプログラムによってファイルがスキャンされます。ウイルス対策プログラムによるスキャンが失敗した場合は、添付ファイルを開くことができません。無効にすると、ユーザーが添付ファイルを開くとき、登録されたウイルス対策プログラムは呼び出されません。すべてのファイルが開かれる前にウイルス対策プログラムによって調べられるように、すべての環境でこのポリシー設定の値を \[有効\] に設定することをお勧めします。 この章で説明している 2 つの環境では、\[添付ファイルを開くとき、ウイルス対策プログラムに通知する\] の値を \[有効\] に設定します。 **注 :**このポリシー設定が正常に機能するには、更新されたウイルス対策プログラムをインストールする必要があります。更新された多くのウイルス対策プログラムでは、SP2 に付属する新しい API が使用されます。 ##### エクスプローラ エクスプローラは、Windows XP Professional を実行しているクライアント コンピュータでファイル システム間を移動するためのものです。 以下に示す規定のユーザー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **ユーザーの構成\\管理用テンプレート\\Windows コンポーネント\\** **エクスプローラ** 次の表に、\[ユーザーの構成\] の \[エクスプローラ\] の推奨設定を示します。各設定の詳細については、表の後の各サブセクションを参照してください。 **表 4.29 \[ユーザーの構成\] の \[エクスプローラ\] の推奨設定**
設定 EC コンピュータ SSLF コンピュータ
CD 焼き付け機能を削除する 未構成 有効
[セキュリティ] タブを削除する 未構成 有効
###### CD 焼き付け機能を削除する このポリシー設定では、ユーザーがエクスプローラを使用して CD に焼き付けることができる、Windows XP の組み込み機能を削除します。Windows XP では、コンピュータに CD 書き込みデバイスが接続されている場合、再書き込み可能な CD を作成または修正できます。この機能を使用して、大容量のデータをハード ドライブから CD にコピーし、コンピュータから削除できます。 \[CD 焼き付け機能を削除する\] の値は、EC 環境では \[未構成\] に設定します。SSLF 環境では \[有効\] に設定します。 **注 :**このポリシー設定を有効にしても、CD 書き込みデバイスを使用するサードパーティ製アプリケーションを使用すれば、CD を作成または修正できます。ソフトウェア制限ポリシーを使用して、サードパーティ製アプリケーションを使用しても CD を作成または修正できないようにすることをお勧めします。詳細については、第 6 章「Windows XP クライアントのソフトウェア制限ポリシー」を参照してください。 CD の焼き付け機能をユーザーには使用できないようにする別の方法として、環境内のクライアント コンピュータから CD 書き込みデバイスを取り外すか、または読み取り専用の CD-ROM ドライブに交換できます。 ###### \[セキュリティ\] タブを削除する このポリシー設定では、エクスプローラのファイルまたはフォルダのプロパティ ダイアログ ボックスに \[セキュリティ\] タブが表示されないようにします。この設定を有効にすると、ユーザーがフォルダ、ファイル、ショートカット、ドライブなどすべてのファイル システム オブジェクトの \[プロパティ\] ダイアログ ボックスを開いたときに、\[セキュリティ\] タブにアクセスできなくなります。\[セキュリティ\] タブにアクセスできないので、ユーザーは設定を変更したり、ユーザーの一覧を表示したりすることができません。 そのため、\[\[セキュリティ\] タブを削除する\] の値は、EC 環境では \[未構成\] に設定します。SSLF 環境では \[有効\] に設定します。 #### システム 次の図に、\[システム\] セクションで行う設定変更の影響を受けるグループ ポリシーの各セクションを示します。 ![](images/Dd363022.SGFG0407(ja-jp,TechNet.10).gif) **図 4.7 \[ユーザーの構成\] の \[システム\] のグループ ポリシー構造** [拡大表示する](https://technet.microsoft.com/ja-jp/dd363022.sgfg0407_big(ja-jp,technet.10).gif) 以下に示す規定のユーザー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **ユーザーの構成\\管理用テンプレート\\システム** ##### レジストリ編集ツールへアクセスできないようにする 次の表に、\[ユーザーの構成\] の \[システム\] の推奨設定を示します。 **表 4.30 \[ユーザーの構成\] の \[システム\] の推奨設定**
設定 EC コンピュータ SSLF コンピュータ
レジストリ編集ツールへアクセスできないようにする 未構成 有効
このポリシー設定では、Windows レジストリ エディタ Regedit.exe および Regedt32.exe を無効にします。このポリシー設定を有効にすると、ユーザーがレジストリ エディタを使おうとしたときに、エディタを使用できないことを示すメッセージが表示されます。このポリシー設定を有効にすると、ユーザーも侵入者もこれらのツールを使用してレジストリにアクセスすることはできなくなりますが、レジストリ自体にはアクセスできます。 \[レジストリ編集ツールへアクセスできないようにする\] の値は、EC 環境では \[未構成\] に設定します。SSLF 環境では \[有効\] に設定します。 ##### システム\\電源の管理 以下に示す規定のユーザー設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。 **ユーザーの構成\\管理用テンプレート\\システム\\電源の管理** ###### 休止状態やサスペンドが解除されたときにパスワードの入力を求める 次の表に、\[ユーザーの構成\] の \[電源の管理\] の推奨設定を示します。 **表 4.31 \[ユーザーの構成\] の \[電源の管理\] の推奨設定**
設定 EC コンピュータ SSLF コンピュータ
休止状態やサスペンドが解除されたときにパスワードの入力を求める 有効 有効
このポリシー設定では、環境内のクライアント コンピュータの休止状態やサスペンド状態が解除されたときに、これらのコンピュータをロックするどうかを指定します。このポリシー設定を有効にすると、クライアント コンピュータは休止状態やサスペンド状態が解除されたときにロックされ、ユーザーがロックを解除するにはパスワードを入力する必要があります。このポリシー設定を無効または未構成にすると、休止状態やサスペンド状態が解除されたクライアント コンピュータにはだれでもアクセスできるので、重大なセキュリティの侵害につながる可能性があります。 そのため、この章で説明している 2 つの環境では、\[休止状態やサスペンドが解除されたときにパスワードの入力を求める\] の値を \[有効\] に設定します。 [](#mainsection)[ページのトップへ](#mainsection) ### まとめ この章では、Windows XP に付属の管理用テンプレートで使用できる多くの重要なセキュリティ設定について説明しました。これらのテンプレートを使用すれば、組織で Windows XP を実行しているデスクトップ コンピュータやラップトップ コンピュータのセキュリティを保護できます。組織のセキュリティ ポリシーを検討するときは、セキュリティとユーザーの生産性とのトレードオフに留意することが重要です。最終的な目標は、ユーザーの作業を妨げるほど過剰なセキュリティを設定せずに、作業の継続を確保しつつ、ユーザーを悪質なプログラムやウイルスから保護し、安全なコンピュータ環境を構築することにあります。 #### 関連情報 次のリンク先には、Windows XP Professional のセキュリティに関する追加情報があります。 - Windows XP および Windows Server 2003 で使用できる管理用テンプレートのグループ ポリシー設定の一覧については、www.microsoft.com/downloads/details.aspx?FamilyId=7821C32F-DA15-438D-8E48-45915CD2BC14 の「[Group Policy Settings Reference for Windows Server 2003 with Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en)」ブック (英語情報) をダウンロードしてください。 - 独自の管理用テンプレートの作成については、https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/management/gp/admtgp.mspx のホワイト ペーパー「 [Using Administrative Template Files with Registry-Based Group Policy](https://technet.microsoft.com/ja-jp/library/68f3e6d2-9732-4675-bf5b-f67d5091c378(v=TechNet.10))」 (英語情報) を参照してください。 - エラー報告の詳細については、www.microsoft.com/resources/satech/cer/ の Windows [Corporate Error Reporting](https://download.microsoft.com/download/5/9/2/592d2308-a6a2-48ad-ae8f-72f888b9d361/cer_implementation_plan.pdf) の Web サイト (英語情報) を参照してください。 - Windows Server Update Service (WSUS) の一般的な情報については、https://www.microsoft.com/japan/windowsserversystem/updateservices/evaluation/overview.mspx の「[Windows Server Update Services 製品概要](https://www.microsoft.com/japan/technet/windowsserver/wsus/20/updateservices/evaluation/overview.mspx)」を参照してください。 - WSUS の展開方法については、https://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/library/wsus/wsusdeploymentguidetc/ace052df-74e7-4d6a-b5d4-f7911bb06b40.mspx?mfr=true の『[Microsoft Windows Server Update Services 展開ガイド](https://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/library/wsus/wsusdeploymentguidetc/ace052df-74e7-4d6a-b5d4-f7911bb06b40.mspx?mfr=true)』を参照してください。 - グループ ポリシー管理の詳細については、https://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx の「[グループ ポリシー管理コンソールによる企業システムの管理](https://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx)」を参照してください。 - https://office.microsoft.com/en-us/assistance/HA011403061033.aspx にある Office 2003 の「[Security](https://office.microsoft.com/en-us/assistance/ha011403061033.aspx)」サイト (英語情報) には、Office 2003 のセキュリティの設定と機能の利用方法を説明している文書へのリンクがあります。 - 「[Microsoft Office 2003 SP1 ADM、OPA、および説明文の更新プログラム](https://www.microsoft.com/download/details.aspx?displaylang=ja&familyid=ba8bc720-edc2-479b-b115-5abb70b3f490)」には、Office のグループ ポリシー管理用テンプレート ファイルと、使用可能なすべての設定をまとめたスプレッドシートがあります。これらのツールは、 https://www.microsoft.com/download/details.aspx?displaylang=ja&FamilyID=ba8bc720-edc2-479b-b115-5abb70b3f490 から入手できます。 - https://www.microsoft.com/download/details.aspx?FamilyId=4BB7CB10-A6E5-4334-8925-3BCF308CFBAF&displaylang=ja の「[Office 2003 Editions Resource Kit Tools](https://www.microsoft.com/download/details.aspx?familyid=4bb7cb10-a6e5-4334-8925-3bcf308cfbaf&displaylang=ja)」には、"Microsoft Office 2003 SP1 ADM、OPA、および説明文の更新プログラム" および Office 2003 を展開または管理するための多数の便利なツールがあります。 - [*Internet Explorer 管理者キット (IEAK)*](https://www.microsoft.com/technet/prodtechnol/ie/ieak/ja/default.mspx) の詳細については、https://www.microsoft.com/technet/prodtechnol/ie/ieak/ja/default.mspx を参照してください。 [](#mainsection)[ページのトップへ](#mainsection)