Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

Windows Server 2003のIEのセキュリティ設定を緩和させる

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2005/11/05
 
対象OS
Windows Server 2003
Windows Server 2003のInternet Explorerでは、「Internet Explorerセキュリティ強化の構成」という機能が導入され、有効化されている。
この機能が有効になっていると、ゾーンごとのセキュリティ・レベルの緩和操作が制限され、例えばインターネット・ゾーンのセキュリティ・レベルを「高」から「低」へ変更できない。
このままではインターネット・アクセスが制限され、使いづらいことがある。
ゾーンごとの設定を緩和したい場合は、信頼済みサイトに登録するか、この機能を無効化すればよい。
 
解説

 Windows Server 2003では、インターネット・アクセスに関するセキュリティを強化するため、「Internet Explorerセキュリティ強化の構成」という機能が新たに導入された。これはInternet Explorer(以下IE)のセキュリティ設定をより強化し(よりセキュアにし)、不用意なWebアクセスによってシステムにダメージを与えたり、情報漏えいなどの事態を招いたりしないようにするためのものである。具体的には、IEのゾーンごとのセキュリティ・レベルの変更を制限し、例えば「インターネット・ゾーン」のセキュリティのレベル設定を「高」から「中」や「低」に変更できないようにする機能である。IEのゾーンやセキュリティ・レベル機能の詳細については、関連記事のTIPSを参照していただきたい。

IEのセキュリティ設定を変更してセキュリティ機能を強化する(Windows TIPS)

 この機能はWindows Server 2003のインストール直後はデフォルトで有効になっており、IEを起動すると次のようなダイアログが表示され、機能が有効になっていることが分かる。

Windows Server 2003の「Internet Explorerセキュリティ強化の構成」機能
Windows Server 2003では、インターネット・アクセスに対するセキュリティが強化され、IEのゾーン設定の変更が制限されるようになった。IEを起動するとこのようなダイアログが表示される。
  IEを起動すると、このような警告メッセージが表示される。
  これをオンにすると、以後表示されなくなる。
  「Internet Explorerセキュリティ強化の構成」機能の詳細は、これをクリックすると表示される。

 この状態で、ゾーンごとのセキュリティ・レベルを変更(緩和)しようとすると、警告メッセージが表示される。例えば以下は、管理者アカウントでログオンして、インターネット・ゾーンのセキュリティ・レベル設定を下げようとしたところであるが、警告のダイアログ・メッセージが表示されている。

ゾーンのセキュリティ・レベルを変更(緩和)しようとしたところ。
これはWindows Server 2003 Service Pack 1(SP1)のIEで、インターネット・ゾーンのデフォルト・セキュリティ・レベルを変更(緩和)しようとしたところ。このようなダイアログが表示され、緩和できない。
  全部で4つのゾーンがあり、それぞれにデフォルトのセキュリティ・レベルが決められている。
  レベル設定をデフォルトの「高」から「中」に変更しようとしたところ。
  エラー・メッセージが表示され、変更することができない。
  [OK]を押すと、設定がデフォルトのレベルに戻されてしまう。Windows Server 2003のSP1未適用版では、ダイアログは表示されるものの、変更操作そのものは可能であった。これに比べると、SP1ではより制限が強くなっている。

 Windows Server 2003のService Pack 1未適用版では、このダイアログが表示されても、それを無視してレベルを変更することは可能であるが、SP1ではさらにセキュリティが強化され、レベルを変更することができなくなっている。また、一般ユーザー・アカウントでログオンしている場合は、この変更操作そのものも禁止される(セキュリティ・レベルのスライド・バーを動かすことができない)。ユーザー・アカウントごとに可能な操作をまとめると次のようになる。

操作 操作が実行できるかどうか
グループ Administrators Power Users Limited Users Restricted Users
IEセキュリティ強化の構成の有効/無効の切り替え
×
×
×
ゾーンごとのセキュリティ・レベルの変更(緩和)
×
×
信頼済みサイト・ゾーンへのサイトの追加
ローカル・イントラネット・ゾーンへのサイトの追加
「Internet Explorerセキュリティ強化の構成」有効時に可能な操作
この機能が有効になっていると、ログオンしているアカウントごとに、IEで可能な操作に制限が加えられる(○=操作可能、×=操作不能)。

 インターネット・ゾーンのデフォルトの「高」レベルでは、ActiveXやスクリプトの実行、ファイルのダウンロードなどが禁止されるため、例えばプログラムやパッチをダウンロードしてインストールするという操作すらできなくなっている。そのため、一般のWebサイトの閲覧などはサーバ上では実行できない(もしくは著しく制限される)ことになるが、そのような操作はサーバ上では実行しないのが望ましいとされている。IEの使用はイントラネット・サイトや信頼済みのサイトの閲覧のみに限定し(デフォルトではMicrosoft社のサイトやWindows Updateのサイトのみが信頼済みサイトに登録されている)、もしパッチのダウンロードなどが必要ならクライアント・コンピュータ上で行うことが推奨されている。詳細については、IE起動時に表示されるダイアログのヘルプを見るか、以下のドキュメントなどを参照していただきたい。

 だが、これでは制限がきつく、使いづらい場合もあるだろう。そのような場合の解決方法としては、次の2つの方法が推奨されている。1つは、アクセスしたいサイトを信頼済みサイトとして登録して利用する方法である。もちろん一般のサイトを登録するのではなく、サーバ管理業務に必要な、必要最小限のサイトのみを手動で登録するのである。ゾーンの設定画面で「信頼済みサイト」を選択すると、サイトを追加するボタン([サイト]ボタン)が表示されるので、それをクリックしてサイト(アクセス先ドメインの名前)を追加すればよい。具体的な方法については先のWindows TIPSなどを参照していただきたい。

 Windows Server 2003のIEのセキュリティ設定を緩和するもう1つの方法は、この機能そのものを無効化してしまう方法である。これにより、従来のWindows XPやWindows 2000と同等のセキュリティ設定になり、ユーザーがゾーンごとのセキュリティ・レベルを変更することが可能となる。以下では、この方法について解説する。


操作方法

「Internet Explorerセキュリティ強化の構成」を無効化する

 「Internet Explorerセキュリティ強化の構成」機能を無効化するには、まず管理者権限のあるアカウントでログオンし、[プログラム]−[コントロール パネル]の[プログラムの追加と削除]を実行する。そしてウィンドウの左側にあるボタンから[Windows コンポーネントの追加と削除]をクリックして、[Windows コンポーネント ウィザード]を起動する。

[Internet Explorer セキュリティ強化の構成]の無効化
この機能を無効にするには、[コントロール パネル]の[プログラムの追加と削除]で[Windows コンポーネントの追加と削除]をクリックし、[Windows コンポーネント ウィザード]を起動する。
  デフォルトではこの機能が有効になっているので、チェック・ボックスをオフにして、無効化する。
  より詳細な設定を行うためにはこれをクリックする。

 デフォルトでは、上から2つ目に[Internet Explorer セキュリティ強化の構成]という項目があるので、このチェック・ボックスをオフにして[次へ]をクリックし、操作を完了すればよい。

 以上の操作で無効化作業は完了であるが、例えば、一般ユーザーに対してはこの機能を有効にしておき、管理者にだけ無効にする(制限を緩和する)には、上の画面にある[詳細]ボタンをクリックする。すると次のようなダイアログ・ボックスが表示される。

アカウント・グループごとの設定
管理者グループと一般ユーザーとで[Internet Explorer セキュリティ強化の構成]の有効/無効を分けたい場合は、それぞれ個別に設定することができる。
  管理者グループ(AdministratorsとPower Users)に対する設定。デフォルトはオン。
  一般ユーザー(Limited UsersとRestricted Users)に対する設定。こちらもデフォルトはオン。

 この画面において、無効にしたい方のチェック・ボックスだけをオフにすればよい(デフォルトは両方ともオン)。通常は、管理者(AdministratorsとPower Users)の制限を緩和し、一般ユーザー(Limited UsersとRestricted Users)に対してはこの機能を有効のままにしておくのがよいだろう。End of Article

  関連リンク
  Internet Explorer セキュリティ強化の構成による Internet Explorer のユーザー操作の変更(マイクロソフト サポート技術情報)
  Managing Internet Explorer Enhanced Security Configuration[英文](マイクロソフト)
     
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間