Windows TIPS

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ Windows Server 2008のInternet Explorerのセキュリティ設定を緩和させる → 解説をスキップして操作方法を読む デジタルアドバンテージ　打越 浩幸 2008/08/01 対象OS Windows Server 2008

■ Windows Server 2008のInternet Explorerでは、「Internet Explorerセキュリティ強化の構成」という機能が導入され、有効化されている。この機能が有効になっていると、スクリプトの実行やダウンロードなどが禁止され、サーバ・システムのセキュリティが向上する。 ■ だがこのままではインターネット・アクセスが制限され、使いづらいことがある。 ■ この設定を緩和するには、サーバ・マネージャでIE ESCの構成を変更する。

解説

　Windows Server 2003やWindows Server 2008には、「Internet Explorerセキュリティ強化の構成（Internet Explorer Enhanced Security Configuration：IE ESC）」という機能が用意されている。Webサーバやアプリケーション・サーバとして利用しているWindows Serverコンピュータが、Webコンテンツやスクリプトなどを介して攻撃されたり、システムを乗っ取られたりしないようにするための機能である。

• Internet Explorer セキュリティ強化の構成による Internet Explorer のユーザー操作の変更（マイクロソフト サポート技術情報）

　この機能が有効になっていると（デフォルトで有効になっている）、例えばInternet Explorerを起動したときに次のような画面が表示されるし、ステータス・バーにIE ESCのアイコンが表示される。

Internet Explorerセキュリティ強化の構成が有効な場合の起動画面

Internet Explorerセキュリティ強化の構成（IE ESC）が有効になっている場合、Internet Explorerを起動するとこのような画面が表示され（デフォルトのホーム・ページを変更していない場合）、IE ESCが有効であることが分かる。

IE ESCが有効な場合のメッセージ。 IE ESCの解説。 IE ESCが有効な場合は、このようなアイコンが表示される。

　この機能が有効な場合は、Webブラウザによるインターネット・アクセスなどに制限が加えられる。例えばActiveXコントロールやスクリプトなどが実行されなくなるし、マルチメディア・コンテンツが再生されなくなったり、ファイルのダウンロードなどが行えなくなったりする（詳細は先のサポート技術情報参照）。

　サーバ・システムのセキュリティを確保するためにはこの機能は有用であるが、場合によっては不便であり、一時的に機能を停止したい場合もあるだろう。例えばServer OSをインストールした後、不足しているデバイス・ドライバやアプリケーションのパッチなどをインターネットからダウンロードしようとしても、IE ESCによってブロックされてしまう。サイトによってはJavaScriptなどを多用しているが、IE ESCが有効だとスクリプトを使って記述されたポップアップ・メニューなどが実行、選択できず、目的の場所（ダウンロード・センターなど）へ移動できなくなったりする。

　IE ESCはWindows Server 2003で導入された機能であるが、この機能をオン／オフする方法は異なっている。本TIPSではWindows Server 2008におけるIE ESC機能の有効化／無効化について解説する。Windows Server 2003での操作方法やIE ESC機能の概要についてはTIPS「Windows Server 2003のIEのセキュリティ設定を緩和させる」を参照していただきたい。

操作方法

　Windows Server 2008におけるIE ESC機能の制御方法は（Windows Server 2003の場合よりも）簡単であり、サーバ・マネージャから操作できるようになっている。サーバ・マネージャを起動し（デフォルトではログオン時に表示されるようになっている。［管理ツール］−［サーバー マネージャ］でも起動可能）、［サーバの概要］グループの下にある［セキュリティ情報］部分に注目する。この右側に［IE ESCの構成］というボタンがあるので、これをクリックする。

IE ESCの設定を変更する

IE ESCの設定を変更するには、サーバ・マネージャを使う。

サーバ・マネージャを起動後、ツリーのトップを選択してサーバの概要を表示させる。 サーバの概要グループには、現在のサーバの名前や状態などが表示される。 セキュリティ情報グループに注目する。 これが現在のIE ESCの設定内容。IE ESCは管理者と一般のユーザーのそれぞれに対して個別に設定できる。デフォルトではどちらもIE ESCが有効となっている。 IE ESCの設定を変更するには、これをクリックする。

　上の画面にある［IE ESCの構成］ボタンをクリックすると、次のようなダイアログが表示される。これが現在のIE ESCの設定の内容である。画面から分かるように、IE ESCは管理者と一般のユーザーのそれぞれに対して個別に設定できる。

IE ESCの設定の変更

管理者（Administratorsグループ）に対してIE ESCを有効にする。デフォルトではこちらが選択されている。 これを選択すると、管理者に対してIE ESCが無効になる。セキュリティを確保したければ、Webブラウザのセキュリティを各ゾーンごとに適切に設定する必要がある。 ユーザーに対するIE ESCの設定。

　デフォルトでは管理者とユーザー（非管理者）の両方に対し、どちらもIE ESCが有効となっている。例えば管理者向けの制限を緩和させたければ、［管理者］の側の設定を［オン］から［オフ］に変更し、［適用］ボタンをクリックする。

　IE ESCが無効になると、Webブラウザの起動画面は次のようになる。

IE ESCが無効な場合の起動画面

IE ESCが有効になっている場合、Internet Explorerを起動するとこのような画面が表示され、IE ESCが無効であることが分かる。

IE ESCが無効な場合のメッセージ。 IE ESCを有効にするための設定手順。 IE ESCが無効な場合は、ここにIE ESCのアイコンは表示されない。

　なおIE ESCを無効にしたからといって、Internet Explorerのすべての制限が緩和されるわけではない。接続するネットワーク（ゾーン）に応じて、スクリプトの実行やダウンロードの許可などのセキュリティ・ポリシーを適切に設定／変更する必要がある（TIPS「IEのセキュリティ設定を変更してセキュリティ機能を強化する」参照）。またサーバ・システムのセキュリティのため、インターネットへのアクセスやダウンロードなどの作業が終わったら、元のIE ESC設定に戻しておくのが望ましい。

この記事と関連性の高い別のWindows TIPS Windows Server 2003のIEのセキュリティ設定を緩和させる Webページの仕事妨害攻撃に対処する方法 Internet Explorerのバージョンを確認する方法 IEのセキュリティ設定を変更してセキュリティ機能を強化する Internet Explorerの使用メモリ量を節約する方法 このリストは、（株）デジタルアドバンテージが開発した 自動関連記事探索システム Jigsaw（ジグソー） により自動抽出したものです。 generated by

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）