Security Tips
 

添付ファイルの自動実行を抑止する

たかはしもとのぶ
2004/7/7

 Windows XP以降のOSでは、「ソフトウェア制限のポリシー」を使用して、さまざまな条件を設定することで、管理者がプログラムの実行を禁止できる。このポリシーは、グループポリシーオブジェクト(GPO)として設定することも、ローカルポリシーとして設定することも可能だ。

 このポリシーを使用して、メールなどの添付ファイルやWebサイト上にある実行プログラムを、ユーザーが不注意に「実行」してしまっても、プログラムが実行されないようにしてみよう。なお、一般的に、こうした設定は、ドメイ ンの管理者がGPOを用いてクライアントマシンに一括適用するケースが多いと思われるが、今回は説明を簡単にするため、ローカルポリシーを用いて、特定のマシンに設定を行う例を紹介する。

 ローカルポリシーによる設定は、[コントロールパネル]−[管理ツール]−[ローカル セキュリティ ポリシー]を順に開くと現れる図1の画面[追加の規則]フォルダに設定を追加することによって行う。

図1 ローカルセキュリティポリシー画面。デフォルトで、既に4つの規則が設定されている

 ここで、[追加の規則]フォルダを右クリックする。図2の画面が表示され、4種類の規則が選択できる。おのおのの規則の意味は表1のようになっている。

図2 [追加の規則]フォルダを右クリックすると現れるメニュー

名称 意味
証明書の規則 電子署名されたプログラムについて、署名に使われた証明書によって実行可否を判定する
ハッシュの規則 プログラムごとに計算したハッシュ値を使って実行可否を判定する
パスの規則 プログラムが存在するパス名によって実行可否を判定する
インターネットゾーンの規則 MSIファイルをダウンロードして実行(インストール)する際に、MSIファイルのダウンロード元がインターネットの設定におけるインターネットゾーン(制限されているサイト/インターネット/ローカルコンピュータなど)のどこにあるかによって、実行(インストール)可否を判定する
表1 規則の種類と意味

 ここでは[パスの規則]を使用する。

 Outlook Expressで添付ファイルを直接実行しようとした場合や、Internet Explorerで実行形式のファイルをダウンロードせず、そのまま実行しようとした場合、ファイルは一度以下のフォルダにダウンロードされたうえで、実行される。

%HOMEDRIVE%%HOMEPATH%\Local Settings\Temporary Internet Files

 なお、%HOMEDRIVE%や%HOMEPATH%は、あらかじめOSによって定義される環境変数だ。%HOMEDRIVE%は、ホームディレクトリのあるドライブ名に置き換えられ、通常「C:」となる。%HOMEPATH%は、同じくホームディレクトリに置き換えられ、通常「\Document and Settings\<ユーザー名>」となる。

 先ほどの図2の画面から、「新しいパスの規則」を選択すると現れる図3の画面で上記のパスを入力して「OK」ボタンを押す。「説明」欄には規則の説明を適宜入力する。

図3 新しいパスの規則

 これで新しい規則が追加され、図4のように一覧にも表示される。

図4 規則の一覧

 ここでgpupdateコマンドを実行して、ローカルポリシーの設定を反映させることにより、確実に規則が適用される。実際にOutlook Expressから添付ファイルを直接実行しようとすると、図5のようなメッセージが表示されて実行できない。

図5 ファイルの実行が抑止された際に出力されるウィンドウ

 また、このときイベントログのシステムログには、図6のようなメッセージが出力される。

図6 イベントログへの出力

なお「ソフトウェア制限のポリシー」では、このほかにもさまざまな設定が可能だ。例えば、ユーザーの誤操作による管理者が意図しないソフトの実行を禁止することができる。だが、ユーザーがファイルの作成を自由にできる環境にあれば、この設定を単独で行っても悪意があるユーザーには簡単に回避されてしまう。

 もし、悪意があるユーザーのソフト実行を防ぐ手段として「ソフトウェア制限のポリシー」を用いる場合は、かなり厳格にコンピュータの環境を管理する必要がある。

Security Tips Index



Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間