これは、医療関係や顧客システムなど、インターネットに接続されていないクローズドな環境
からでもセキュアに情報取得を行いという点が主な目的になっていると思います。
公開アプリのIE側だけインターネットに接続させ、手元のセキュアな環境にはIEの画面情報
だけを転送することで、セキュリティを維持したまま、外部からの情報取得が行えます。
もちろんそれ以外にも昨今基盤システムもWEB化されていることも多く、ブラウザさえあれば仕事が出来るお客さんが増えてきたようにも感じています。
そんな引っ張りだこ(?)な公開IEですが、デフォルトのまま使うと、アドレスバーやメニューからエクスプローラが起動出来てしまい、Cドライブの内容が参照出来たり、様々なアプリが起動出来たりと、セキュリティ的にはあまりいい状態ではありません。
レジストリエディタでさえ起動出来てしまいます。。
普通にIEを使っている方であれば、このようなことは行わないとは思いますが、出来ることなら無効にしておくに越したことはないと思います。
これらはレジストリを使えば簡単に防ぐことが出来ますので紹介しておきます。
まずは、エクスプローラの実行を防止する方法ですが、以下のレジストリで制御可能です。
キー:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
値:NoFileUrl
値のデータ:1(REG_DWORD)
説明:Web ページ上で "//file:" リンクを使用してファイルを参照する機能を無効にする。
値のデータ:1(REG_DWORD)
説明:[スタート] メニューの [ファイル名を指定して実行] コマンドを無効にする。
アドレスバーに"C:\"と入力してエクスプローラを起動しようとすると、、ちゃんと怒られます。(笑
続いて、メニュー関連の無効化もご紹介。
昨今のIEはデフォルトではメニューバーが隠れていますが、「Alt」キーを押すと、メニューバーを表示することが可能で、色々な操作やインターネットオプションの変更も出来てしまいます。
出来ればこちらも無効にしておきたいですね。
これもレジストリを使えば簡単に防ぐことが出来ます。
キー:HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
値:NoFileOpen
値のデータ:1(REG_DWORD)
説明:[ファイル] メニューの [開く] コマンドを無効にする。
値:NoBrowserSaveAs
値のデータ:1(REG_DWORD)
説明:[ファイル] メニューの[上書き保存] および [名前を付けて保存] を無効にする。
値:NoBrowserOptions
値のデータ:1(REG_DWORD)
説明:[表示] メニューの [インターネット オプション] を無効にする。
インターネットオプションの変更を試みると、、こちらもちゃんと怒られます。(笑
おまけに、IEを使う場合、PDFなどのファイルをダウンロードするケースが多いと思いますが、既定のダウンロードフォルダを指定することも可能です。
キー:HKCU\Software\Microsoft\Internet Explorer\Main
値:Default Download Directory
値のデータ:任意のパス(REG_SZ)
説明:デフォルトのダウンロード先を指定する。
宣伝ではありませんが、こちらの投稿にてCドライブなどを「見せない」「アクセスさせない」
方法についても紹介していますので、組み合わせて利用されるとよいかなと思います。
複数ユーザーへのレジストリの設定もグループポリシーを使えば簡単です。
今回は『HKEY_CURRENT_USER』を使ってユーザーに適用する方法をご紹介しましたが、『HKEY_LOCAL_MACHINE』を使ってコンピュータに適用することも可能です。
どちらに適用するかはケースバイケースで使い分けるのがよいかなと思います。
0 件のコメント:
コメントを投稿