連載
» 2012年02月16日 00時00分 公開

Windows Thin PCで本格的なシンクライアントを実現する:第2回 Windows Thin PCを“本物の”シンクライアントに仕上げる (3/5)

[小川大地(Microsoft MVP for Virtual Machine),日本ヒューレット・パッカード株式会社]

 前ページで設定したWinTPCにいくつかカスタマイズを加えて、利便性を向上しよう。

接続ツールの終了と連動してシャットダウンなどができるようにする

 前述のログイン・シェルの設定では、ログオン時に指定した接続ツールを立ち上げるだけなので、接続ツールを終了すると画面には何もない状態になってしまう。[Ctrl]+[Alt]+[Del]キーを押せばシャットダウンなどは可能であるが、例えばリモート接続の終了と連動してWinTPCを自動的にシャットダウンするなどのアクションを選択できると便利だ。

 これは、ログイン・シェルで接続ツールを直接起動させるのではなく、ラッパー・プログラム*1経由で間接的に起動させることで実現できる。

*1 実際の処理を行うメイン・プログラム(ここでは接続ツール)の起動前や終了後に、補助的な処理をするプログラムのこと。ラップ(wrap)とは「包む」といった意味で、ラッパーがメイン・プログラムを包み込む形で外部から起動されることを表している。


ラッパー・プログラムを経由して接続ツールを起動する
ログイン・シェルとして接続ツールを直接起動させるのではなく、ラッパー・プログラム経由で間接的に起動させることにより、接続ツールの終了後にシャットダウンするか、再び接続ツールを起動するか選択するといった柔軟な対応が可能になる。

 ラッパー・プログラムを経由させることで、接続ツールの起動前に無線LANやVPNなどの認証ツールの実行も可能になるだろう。ラッパー・“プログラム”と書いたが、実際はスクリプトで十分だ。筆者の方でWSH (Windows Scripting Host) ベースのサンプル・スクリプトを用意したので参考にしていただきたい。

 具体的なカスタマイズ方法についても、上記ページの「Usage」以下に記している。

接続ツールの終了を検知してアクションを実行する
筆者が作成したWSHベースのサンプル・プログラムを利用した例。接続ツールの終了をラッパー・プログラムが自動検知することで、もう一度接続ツールを呼び出したり、シャットダウンやログオフを実行させたりすることが可能になる。

他のアプリケーションを起動する“抜け道”をふさぐ

 ログイン・シェルをロックダウンしても、実はまだ接続ツール以外のアプリケーションを起動できてしまう“抜け道”が残っている。

 例えば、IEをログイン・シェルにしている場合、アドレス・バーから「C:\Windows\System32\cmd.exe」と入力して[Enter]キーを押すと、コマンド・プロンプトが起動できてしまう。IE以外でも、ファイル・オープン・ダイアログやファイル保存ダイアログ、タスク・マネージャの[ファイル]−[新しいタスクの実行]などから任意のアプリケーションが起動できてしまう。

IEのアドレス・バーからローカル・ファイルを起動する
このようにIEのアドレス・バーにフルパスで入力すると、指定したアプリケーションやファイルが起動できてしまう。IEのセキュリティは年々厳しくなっているが、この操作はエンドユーザー自らの入力であるため制限されない。IEに限らず、一般的なアプリケーションのファイル・オープン・ダイアログなども“抜け道”となっている。
  (1)コマンド・プロンプトの実行ファイルを指定すると、起動できてしまう。

 IT担当者以外にこういった“抜け道”を知る者がどれほどいるか微妙ではあるが、管理者のメンテナンス・フリーを目指すためにもふさいでおきたい。その方法はレジストリ設定やグループ・ポリシー、次ページで解説するAppLockerなど設定項目によっていくつかあるが、ここではスクリプト化への応用も可能なレジストリによる設定方法を紹介する。

 以下の設定はいずれもユーザー個別のレジストリ設定となるため、前ページで説明した「レジストリ・ハイブのロード」操作が必要だ。また、いずれもデフォルトで用意されていないため、エントリ自身も作成する必要がある。

機能 値の名前 値の内容
HKEY_USERS\<ロード時のサブ・キー名>\Software\Microsoft\
Windows\CurrentVersion\Policies\Explorer
ローカル・ファイルの呼び出しを禁止する NoFileUrl、NoRun
(両方とも作成)
REG_DWORD 0→無効
1→有効
指定したドライブのフォルダ・アクセスを禁止する NoDrives REG_DWORD 0→無効
7→A:〜C:ドライブ
15→A:〜D:ドライブ
67108863→A:〜Z:ドライブ
*1
指定したドライブを非表示にする NoViewOnDrive REG_DWORD 同上
デスクトップ上での右クリックを禁止する NoViewContextMenu REG_DWORD 0→無効
1→有効
スタート・メニューからのログオフを禁止する NoLogoff REG_DWORD 0→無効
1→有効
[Ctrl]+[Alt]+[Del]のセキュリティ画面からのログオフを禁止する StartMenuLogoff REG_DWORD 0→無効
1→有効
エクスプローラの機能を制限するレジストリ設定項目
*1 値の内容と対象のドライブとの関係については、グループ ポリシー オブジェクトで指定ドライブを非表示にする(マイクロソフト サポート技術情報 KB231289)を参照していただきたい。

機能 値の名前 値の内容
HKEY_USERS\<ロード時のサブ・キー名>\Software\Policies\Microsoft\
Internet Explorer\Restrictions
[File]−[Open]を使用禁止にする NoFileOpen REG_DWORD 0→無効
1→有効
[File]−[Save]を
使用禁止にする
NoBrowserSaveAs REG_DWORD 0→無効
1→有効
右クリック・メニューの[Save Target As]を使用禁止にする NoSelectDownloadDir REG_DWORD 0→無効
1→有効
HKEY_USERS\<ロード時のサブ・キー名>\Software\Policies\Microsoft\
Internet Explorer\Toolbars\Restrictions
アドレス・バーを削除する NoNavBar REG_DWORD 0→無効
1→有効
アドレス・バー以外のツール・バーを削除する NoCommandBar REG_DWORD 0→無効
1→有効
Internet Explorerの機能を制限するレジストリ設定項目

機能 値の名前 値の内容
HKEY_USERS\<ロード時のサブ・キー名>\Software\Microsoft\
Windows\CurrentVersion\Policies\System
レジストリ・エディタの起動を禁止する DisableRegistryTools REG_DWORD 0→無効
1→有効
タスク・マネージャの起動を禁止する DisableTaskMgr REG_DWORD 0→無効
1→有効
レジストリ・エディタやタスク・マネージャの起動を制限するレジストリ設定項目

IEのアドレス・バーからローカル・ファイルの起動を禁止した場合の挙動
前述のエクスプローラ関連のレジストリ設定項目である「NoFileUrl」値と「NoRun」値を有効(「1」を設定)にすると、IEのアドレス・バーなどからのローカル・ファイル起動をブロックできる。

 これらのレジストリ設定についても、一括設定・解除するサンプル・スクリプトを筆者の方で用意したので参考にしていただきたい。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。