● 古典OSセキュリティ:特定のソフトの起動を禁止する設定
※まだ書きかけです。すみません。
※間違ってたらすみません。
※メモ書きなので、自分でも意味不明な箇所も多いです。ごめんなさい。
目次
★ はじめに
★ Windows2000の管理者ユーザーの場合(Windows10でも使えます。)
・【Windows2000の場合でIEとOutlookExpressを起動禁止にする例】
・【設定01(起動禁止設定)】
・【設定02(起動禁止ソフトのリストの作成)】
★ Winsows2000の制限ユーザーの場合(多分Windows10でも使えると思います)
※Shift+TABキー、もしくは、Homeキー、Homeキー+TAB数回、を押すと、目次付近に戻れます。
レジストリをいじりますので注意をしてください。
レジストリの意味が分からない方はやらないでください。
パソコンが起動できなくなっても自己責任でよろしくお願いいたします。
この設定をすることで、例えばファイルサーバのIEやメールソフトを起動できなくすることができます。
プログラム本体の名前を変えられてしまうと起動できてしまいますが、でも例えば零細企業などの小さな組織ではそこまでやろうとすると「あいつパソコン壊した」とか「あいつ勝手に変なことしてる」とか言われることが多いのでまず普通の人はそこまでやりません。
また、「起動できませんよ」という旨のエラーが出るので、一回そんなものを見ると、ほとんどの人が「やべ!なんかやっちまったか?」と勘違いして触らなくなります。
だからといって絶対に安心とは言えませんが、でもむやみに起動されるよりはいいので、零細等においては、そこそこ有効な対策にはなると思います。
もっと言うと、一番ヤバいのは「自分自身」です。
「管理者自身」です。
管理者の「オレはダイジョブ。変なことしないから」という「おごり」です。
コイツが一番危険です。
「ついうっかり」
で、とんでもないことになります。
自分が一番信用できません!!!!!
初心者のミスは表面的なものが多いのでかわいいものが多いですが、管理者のミスは(深いところをいじるがゆえに)「致命的」なものが多いです。これはベテランも新人も、関係ありません。人間である以上、必ずミスをしますので・・・。
もちろん、初心者でも致命的なものがありますが、「制限」をかけることでだいぶ安心できます。でも、管理者は作業のために「制限を一時的に解除した上でミスする」わけですので、本当に怖いです。
なので、「自分のためにも」多くのソフトを起動できない設定にしておいたほうが、色々と使いにくくてもいいのです。(特にマイクロソフトさんやセキュリティ各社のサポート切れのOSをやむをえず無理に使う場合は。)
また、アクロバットリーダー(やDC)など、PDFを読むソフトなど、JAVA関連のランタイム、その他ランタイム、などは最初からインストールしないようにして対応します。
そんなものは例えば「ファイルサーバ」などにはもともと必要のないものですので。
ちなみに、なぜ、いちいち起動禁止にするかというと、例えばIEなどは本体ファイルを削除しても、また復活してくるからです。何か復活させない技もあるのかもしれませんが、でもまあ、起動しない方法を手段のひとつとして覚えておくのも絶対に悪くはないので、お伝えさせていただきました。
では、以下、設定例です。
★ Windows2000の管理者ユーザーの場合(Windows10でも使えます。)
・【Windows2000の場合でIEとOutlookExpressを起動禁止にする例】
Windowsキーを押しながらRキーを押します。
「ファイル名を指定して実行」のボックスが表示されます。
「regedit」と入力して「OK」ボタンをクリックします。
レジストリエディタが起動します。
レジストリエディタ起動したら画面左側のツリーで、以下のように展開していきます。
HKEY_CURRENT_USER→Software→Microsoft
→Windows→CurrentVersion→Policies→Explorer
展開できたら「Explorer」を右クリックして「新規」→「DWORD値」にて、画面右側に「新しい値 #1」というアイコンを作成します。
それを右クリックして名前の変更にて半角で「DisallowRun」という名前に変更します。
今度はできた「DisallowRun」をダブルクリックして、「値のデータ」に半角の「1」を入力します。
「OK」します。
・【設定02(起動禁止ソフトのリストの作成)】
そのまま、再度「Explorer」を右クリックして、「新規」→「キー」にて「新しいキー #1」というキー(フォルダのアイコン)を作ります。
それを右クリックで「名前の変更」を押して半角で「DisallowRun」と入力します。
この「DisallowRun」を右クリックして、「新規」→「文字列」にて、半角の「1」と入れてEnterします。
「1」という名前のアイコンができます。
これをダブルクリックして、「値のデータ」に実行を禁止したいアプリケーションの実行ファイル名を入力します。
例えば「インターネットエクスプローラ」なら「IEXPLORE.EXE」ですし、
「アウトルックエクスプレス」なら「msimn.exe」です。
ここではまず、IEXPLORE.EXEと入力してOKします。
以上で禁止対象のソフトの、1つ目のリストができました。
ではここにリストの2つ目のソフトとして、OutlookExpressを追加します。
IEの時とほぼ同じ操作です。
再度「Explorer」を右クリックして、「新規」→「キー」にて「新しいキー #1」というキー(フォルダのアイコン)を作ります。
それを右クリックで「名前の変更」を押して半角で「DisallowRun」と入力します。
この「DisallowRun」を右クリックして、「新規」→「文字列」にて、今度は半角で「2」と入れてEnterします。
これをダブルクリックして、「値のデータ」に「msimn.exe」と入力します。
これで2つ目のリストができました。
この要領で、3つ目、4つ目、と追加することができます。
以上ができたらパソコンを再起動するか、いったんユーザーをログアウトしてから再度、ログインします。
IEやOutlookExpressを立ち上げてみます。
以下のエラーが出て起動できなければ成功です。
「このコンピュータの制限により、処理は取り消されました。システム管理者に連絡してください。」
この設定を、他のすべてのユーザーでもやればいいです。
ただ、一つ一つレジストリエディタを開いて入力していくのは面倒ですので、「reg」拡張子のファイルを作ってダブルクリックするとラクちんです。
例えば以下のような内容のregファイルを作ってダブルクリックすればOKです。
==================================
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"DisallowRun"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="IEXPLORE.EXE"
"2"="msimn.exe"
==================================
このファイルを作るには、いったん適当な名前のテキストファイルを新規作成します。
そして上記の内容の、「Windows Registry Editor Version 5.00」から「"2"="msimn.exe"」までをコピペします。「Windows Registry Editor Version 5.00」の行の上には空白行を入れないようにします。
できたら、それを「特定ソフトの起動禁止設定.reg」という名前に変えてEnterします。
エラーが出ますが構わず「はい」します。
他のユーザーでは、この出来上がった「特定ソフトの起動禁止設定.reg」をダブルクリックすれば、いちいちレジストリを開かなくてもそのまま設定できます。
UACメッセージが出ますが構わずはいやOKなどをしていきます。
できたらログアウトしてログインすれば完了です。
==================
ON・OFFのみをしたい場合は次のようなregファイルを作り、実行、ログインしなおし、をします。
ONの場合
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"DisallowRun"=dword:00000001
OFFの場合("DisallowRun"=dword:00000001 の1を0に変えるだけです。)
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"DisallowRun"=dword:00000001
==================
禁止リストに新たにソフト追加したい場合は次のようにregファイルを作って、実行、ログインしなおし、をします。
例えば3つ目のソフトのリストへの追加のみの場合(追加のみ。削除はできません。)
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"3"="3つ目のソフトのexeファイルの名前"
以上を、一応すべての管理者ユーザーの画面上で行います。
参考URL
とにかく社内でWinnyの起動をやめさせたい ~Windows制限とRetina Winny Monitor~ (3/4)
http://www.atmarkit.co.jp/ait/articles/0606/20/news125_3.html
特定のアプリケーションの実行を禁止する
http://trendy.nikkeibp.co.jp/article/tec/winxp/20041119/110124/?rt=nocnt
検索語句:「特定のソフト 起動させない」
★ Winsows2000の制限ユーザーの場合(多分Windows10でも使えると思います)
ユーザー名が「test99」の場合の例です。
「test99」を制限ユーザとして使いたい場合です。
そして、そのレジストリを編集し、IEやOEを起動禁止にしたい場合です。
すでに「test99」は作られている前提です。
作ってなかったら、適当にパスワードを決めて作っておきます。
(A)…バッチファイルでの一括での複数ユーザー作成と複数管理者権限の変更
もしくは他のWeb記事などを参考に作っておいてください。
(普通にユーザー作成すれば、何もしなくても自動的に制限ユーザーになります。)
ここでは(A)のページを参考に行います。
まず(A)の(02)の「Admin-On-User-Off.bat」を、「test99」用に書き換えます。
(ここではパスワードは必要ありません。)
今回の「Admin-On-User-Off.bat」の内容は以下のとおりとなります。
(「test01」を「test01」に書き換えるだけです)
net localgroup "Administrators" "test99" /add
net localgroup "Users" "test99" /delete
次に、(A)の(03)の「Admin-Off-User-On.bat」も、「test99」用に書き換えます。
(こちらも「test01」を「test01」に書き換えるだけです)
net localgroup "Administrators" "test99" /delete
net localgroup "Users" "test99" /add
以上ができましたら、まず、管理者ユーザーであればどの管理者ユーザーでもいいので、適当な管理者ユーザーでログインします。
冒頭で作った「Admin-On-User-Off.bat」をダブルクリックして「test99」を管理者ユーザーにします。
管理者権限になったか確認します。
Windowsキー+Rキーでファイルを指定して実行にて
「C:\WINNT\system32\rundll32.exe netplwiz.dll,UsersRunDll」
を実行すると確認しやすいです。
(あるいはこの内容のショートカットを作っても早いです。作り方は以下です。
「簡易的なユーザー設定」のアイコンの作成)
「test99」を管理者にできたら、現在のユーザーをいったんログアウト(サインアウト)して、今度は「test99」にログインしなおします。
「test99」上で「特定ソフトの起動禁止設定.reg」を作成します。
以下の内容で作成します。コピペでOKです。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"DisallowRun"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="IEXPLORE.EXE"
"2"="msimn.exe"
作れたら、「test99」上でこの「特定ソフトの起動禁止設定.reg」を実行します。ダブルクリックでOKです。
メッセージが出ますが構わずOK(はい)します。
「test99」をログオフして、前回ログインしていた管理者ユーザーにログインしなおします。
冒頭で作った「Admin-Off-User-On.bat」をダブルクリックして「test99」を管理者ユーザーから制限ユーザーに戻します。
「test99」にログインしなおします。
IEとOEがエラーで起動できなくなっていれば正常です。
- 投稿タグ
- 古典OSセキュリティ
