第2回 Windows Thin PCを“本物の”シンクライアントに仕上げる:Windows Thin PCで本格的なシンクライアントを実現する(3/5 ページ)
前ページで設定したWinTPCにいくつかカスタマイズを加えて、利便性を向上しよう。
接続ツールの終了と連動してシャットダウンなどができるようにする
前述のログイン・シェルの設定では、ログオン時に指定した接続ツールを立ち上げるだけなので、接続ツールを終了すると画面には何もない状態になってしまう。[Ctrl]+[Alt]+[Del]キーを押せばシャットダウンなどは可能であるが、例えばリモート接続の終了と連動してWinTPCを自動的にシャットダウンするなどのアクションを選択できると便利だ。
これは、ログイン・シェルで接続ツールを直接起動させるのではなく、ラッパー・プログラム*1経由で間接的に起動させることで実現できる。
*1 実際の処理を行うメイン・プログラム(ここでは接続ツール)の起動前や終了後に、補助的な処理をするプログラムのこと。ラップ(wrap)とは「包む」といった意味で、ラッパーがメイン・プログラムを包み込む形で外部から起動されることを表している。
ラッパー・プログラムを経由して接続ツールを起動するログイン・シェルとして接続ツールを直接起動させるのではなく、ラッパー・プログラム経由で間接的に起動させることにより、接続ツールの終了後にシャットダウンするか、再び接続ツールを起動するか選択するといった柔軟な対応が可能になる。
ラッパー・プログラムを経由させることで、接続ツールの起動前に無線LANやVPNなどの認証ツールの実行も可能になるだろう。ラッパー・“プログラム”と書いたが、実際はスクリプトで十分だ。筆者の方でWSH (Windows Scripting Host) ベースのサンプル・スクリプトを用意したので参考にしていただきたい。
- Windows ログイン・シェルのラッパースクリプト(マイクロソフト TechNet Script Center)
具体的なカスタマイズ方法についても、上記ページの「Usage」以下に記している。
接続ツールの終了を検知してアクションを実行する筆者が作成したWSHベースのサンプル・プログラムを利用した例。接続ツールの終了をラッパー・プログラムが自動検知することで、もう一度接続ツールを呼び出したり、シャットダウンやログオフを実行させたりすることが可能になる。
他のアプリケーションを起動する“抜け道”をふさぐ
ログイン・シェルをロックダウンしても、実はまだ接続ツール以外のアプリケーションを起動できてしまう“抜け道”が残っている。
例えば、IEをログイン・シェルにしている場合、アドレス・バーから「C:\Windows\System32\cmd.exe」と入力して[Enter]キーを押すと、コマンド・プロンプトが起動できてしまう。IE以外でも、ファイル・オープン・ダイアログやファイル保存ダイアログ、タスク・マネージャの[ファイル]−[新しいタスクの実行]などから任意のアプリケーションが起動できてしまう。
IEのアドレス・バーからローカル・ファイルを起動するこのようにIEのアドレス・バーにフルパスで入力すると、指定したアプリケーションやファイルが起動できてしまう。IEのセキュリティは年々厳しくなっているが、この操作はエンドユーザー自らの入力であるため制限されない。IEに限らず、一般的なアプリケーションのファイル・オープン・ダイアログなども“抜け道”となっている。
(1)コマンド・プロンプトの実行ファイルを指定すると、起動できてしまう。
IT担当者以外にこういった“抜け道”を知る者がどれほどいるか微妙ではあるが、管理者のメンテナンス・フリーを目指すためにもふさいでおきたい。その方法はレジストリ設定やグループ・ポリシー、次ページで解説するAppLockerなど設定項目によっていくつかあるが、ここではスクリプト化への応用も可能なレジストリによる設定方法を紹介する。
以下の設定はいずれもユーザー個別のレジストリ設定となるため、前ページで説明した「レジストリ・ハイブのロード」操作が必要だ。また、いずれもデフォルトで用意されていないため、エントリ自身も作成する必要がある。
| 機能 | 値の名前 | 型 | 値の内容 | |
|---|---|---|---|---|
| HKEY_USERS\<ロード時のサブ・キー名>\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer |
||||
| ローカル・ファイルの呼び出しを禁止する | NoFileUrl、NoRun (両方とも作成) |
REG_DWORD | 0→無効 1→有効 |
|
| 指定したドライブのフォルダ・アクセスを禁止する | NoDrives | REG_DWORD | 0→無効 7→A:〜C:ドライブ 15→A:〜D:ドライブ 67108863→A:〜Z:ドライブ *1 |
|
| 指定したドライブを非表示にする | NoViewOnDrive | REG_DWORD | 同上 | |
| デスクトップ上での右クリックを禁止する | NoViewContextMenu | REG_DWORD | 0→無効 1→有効 |
|
| スタート・メニューからのログオフを禁止する | NoLogoff | REG_DWORD | 0→無効 1→有効 |
|
| [Ctrl]+[Alt]+[Del]のセキュリティ画面からのログオフを禁止する | StartMenuLogoff | REG_DWORD | 0→無効 1→有効 |
|
| エクスプローラの機能を制限するレジストリ設定項目 *1 値の内容と対象のドライブとの関係については、グループ ポリシー オブジェクトで指定ドライブを非表示にする(マイクロソフト サポート技術情報 KB231289)を参照していただきたい。 | ||||
| 機能 | 値の名前 | 型 | 値の内容 | |
|---|---|---|---|---|
| HKEY_USERS\<ロード時のサブ・キー名>\Software\Policies\Microsoft\ Internet Explorer\Restrictions |
||||
| [File]−[Open]を使用禁止にする | NoFileOpen | REG_DWORD | 0→無効 1→有効 |
|
| [File]−[Save]を 使用禁止にする |
NoBrowserSaveAs | REG_DWORD | 0→無効 1→有効 |
|
| 右クリック・メニューの[Save Target As]を使用禁止にする | NoSelectDownloadDir | REG_DWORD | 0→無効 1→有効 |
|
| HKEY_USERS\<ロード時のサブ・キー名>\Software\Policies\Microsoft\ Internet Explorer\Toolbars\Restrictions |
||||
| アドレス・バーを削除する | NoNavBar | REG_DWORD | 0→無効 1→有効 |
|
| アドレス・バー以外のツール・バーを削除する | NoCommandBar | REG_DWORD | 0→無効 1→有効 |
|
| Internet Explorerの機能を制限するレジストリ設定項目 | ||||
| 機能 | 値の名前 | 型 | 値の内容 | |
|---|---|---|---|---|
| HKEY_USERS\<ロード時のサブ・キー名>\Software\Microsoft\ Windows\CurrentVersion\Policies\System |
||||
| レジストリ・エディタの起動を禁止する | DisableRegistryTools | REG_DWORD | 0→無効 1→有効 |
|
| タスク・マネージャの起動を禁止する | DisableTaskMgr | REG_DWORD | 0→無効 1→有効 |
|
| レジストリ・エディタやタスク・マネージャの起動を制限するレジストリ設定項目 | ||||
IEのアドレス・バーからローカル・ファイルの起動を禁止した場合の挙動前述のエクスプローラ関連のレジストリ設定項目である「NoFileUrl」値と「NoRun」値を有効(「1」を設定)にすると、IEのアドレス・バーなどからのローカル・ファイル起動をブロックできる。
これらのレジストリ設定についても、一括設定・解除するサンプル・スクリプトを筆者の方で用意したので参考にしていただきたい。
- Windows のユーザーセッションをロックダウンする WSH スクリプト(マイクロソフト TechNet Script Center)
Copyright© Digital Advantage Corp. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。