連載
» 2008年08月01日 05時00分 UPDATE

Tech TIPS:Windows Server 2008のInternet Explorerのセキュリティ設定を緩和させる

Windows Server 2008のInternet Explorerでは、「Internet Explorerセキュリティ強化の構成」という機能が導入され、有効化されている。この機能が有効になっていると、スクリプトの実行やダウンロードなどが禁止され、サーバーシステムのセキュリティが向上する。だがこのままではインターネットアクセスが制限され、使いづらいことがある。この設定を緩和するには、サーバーマネージャーでIE ESCの構成を変更する。

[打越浩幸,デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

対象OS:Windows Server 2008



解説

 Windows Server 2003やWindows Server 2008には、「Internet Explorerセキュリティ強化の構成(Internet Explorer Enhanced Security Configuration:IE ESC)」という機能が用意されている。Webサーバーやアプリケーションサーバーとして利用しているWindows Serverコンピューターが、Webコンテンツやスクリプトなどを介して攻撃されたり、システムを乗っ取られたりしないようにするための機能である。

 この機能が有効になっていると(デフォルトで有効になっている)、例えばInternet Explorerを起動したときに次のような画面が表示されるし、ステータスバーにIE ESCのアイコンが表示される。

Internet Explorerセキュリティ強化の構成が有効な場合の起動画面 Internet Explorerセキュリティ強化の構成が有効な場合の起動画面
Internet Explorerセキュリティ強化の構成(IE ESC)が有効になっている場合、Internet Explorerを起動するとこのような画面が表示され(デフォルトのホームページを変更していない場合)、IE ESCが有効であることが分かる。
  (1)IE ESCが有効な場合のメッセージ。
  (2)IE ESCの解説。
  (3)IE ESCが有効な場合は、このようなアイコンが表示される。

 この機能が有効な場合は、Webブラウザーによるインターネットアクセスなどに制限が加えられる。例えばActiveXコントロールやスクリプトなどが実行されなくなるし、マルチメディアコンテンツが再生されなくなったり、ファイルのダウンロードなどが行えなくなったりする(詳細は先のサポート技術情報参照)。

 サーバーシステムのセキュリティを確保するためにはこの機能は有用であるが、場合によっては不便であり、一時的に機能を停止したい場合もあるだろう。例えばServer OSをインストールした後、不足しているデバイスドライバーやアプリケーションのパッチなどをインターネットからダウンロードしようとしても、IE ESCによってブロックされてしまう。サイトによってはJavaScriptなどを多用しているが、IE ESCが有効だとスクリプトを使って記述されたポップアップメニューなどが実行、選択できず、目的の場所(ダウンロードセンターなど)へ移動できなくなったりする。

 IE ESCはWindows Server 2003で導入された機能であるが、この機能をオン/オフする方法は異なっている。本TIPSではWindows Server 2008におけるIE ESC機能の有効化/無効化について解説する。Windows Server 2003での操作方法やIE ESC機能の概要についてはTIPS「Windows Server 2003のIEのセキュリティ設定を緩和させる」を参照していただきたい。

操作方法

 Windows Server 2008におけるIE ESC機能の制御方法は(Windows Server 2003の場合よりも)簡単であり、サーバーマネージャーから操作できるようになっている。サーバーマネージャーを起動し(デフォルトではログオン時に表示されるようになっている。[管理ツール]−[サーバー マネージャー]でも起動可能)、[サーバーの概要]グループの下にある[セキュリティ情報]部分に注目する。この右側に[IE ESCの構成]というボタンがあるので、これをクリックする。

IE ESCの設定を変更する IE ESCの設定を変更する
IE ESCの設定を変更するには、サーバーマネージャーを使う。
  (1)サーバーマネージャーを起動後、ツリーのトップを選択してサーバーの概要を表示させる。
  (2)サーバーの概要グループには、現在のサーバーの名前や状態などが表示される。
  (3)セキュリティ情報グループに注目する。
  (4)これが現在のIE ESCの設定内容。IE ESCは管理者と一般のユーザーのそれぞれに対して個別に設定できる。デフォルトではどちらもIE ESCが有効となっている。
  (5)IE ESCの設定を変更するには、これをクリックする。

 上の画面にある[IE ESCの構成]ボタンをクリックすると、次のようなダイアログが表示される。これが現在のIE ESCの設定の内容である。画面から分かるように、IE ESCは管理者と一般のユーザーのそれぞれに対して個別に設定できる。

IE ESCの設定の変更 IE ESCの設定の変更
  (1)管理者(Administratorsグループ)に対してIE ESCを有効にする。デフォルトではこちらが選択されている。
  (2)これを選択すると、管理者に対してIE ESCが無効になる。セキュリティを確保したければ、Webブラウザーのセキュリティを各ゾーンごとに適切に設定する必要がある。
  (3)ユーザーに対するIE ESCの設定。

 デフォルトでは管理者とユーザー(非管理者)の両方に対し、どちらもIE ESCが有効となっている。例えば管理者向けの制限を緩和させたければ、[管理者]の側の設定を[オン]から[オフ]に変更し、[適用]ボタンをクリックする。

 IE ESCが無効になると、Webブラウザーの起動画面は次のようになる。

IE ESCが無効な場合の起動画面 IE ESCが無効な場合の起動画面
IE ESCが有効になっている場合、Internet Explorerを起動するとこのような画面が表示され、IE ESCが無効であることが分かる。
  (1)IE ESCが無効な場合のメッセージ。
  (2)IE ESCを有効にするための設定手順。
  (3)IE ESCが無効な場合は、ここにIE ESCのアイコンは表示されない。

 なおIE ESCを無効にしたからといって、Internet Explorerの全ての制限が緩和されるわけではない。接続するネットワーク(ゾーン)に応じて、スクリプトの実行やダウンロードの許可などのセキュリティポリシーを適切に設定/変更する必要がある(TIPS「IEのセキュリティ設定を変更してセキュリティ機能を強化する」参照)。またサーバーシステムのセキュリティのため、インターネットへのアクセスやダウンロードなどの作業が終わったら、元のIE ESC設定に戻しておくのが望ましい。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

Touch Barという新UIを得た「MacBook Pro」、プレゼント!

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。