[port139:00793] [XP] ソフトウェアの制限ポリシー

[Hideaki Ihara <hideaki@xxxxxxxxxxxxx>]

Port139 伊原です。

XP Professinal では、ローカルセキュリティ設定に「ソフトウェアの制限の
ポリシー」という項目が増えてます。
簡単に言えば「許可されたアプリケーション以外実行を制限する」という機
能だといえると思いますが、なかなか興味深い機能です。

証明書とかゾーンとか全部で4種類の制限(規則)がありますが、

 -ハッシュ値による制限
  事前に登録したハッシュ値(SHAとMD5)を持つプログラムのみ実行可能
 -パスによる制限
  事前に登録したパスにあるプログラムのみ実行可能

というのがあります。
プログラムとして、.exe だけでなく .bat .vbs .reg とか様々なのが制限
できるみたいです。

セキュリティレベルを「許可しない」に設定後、「強制」のプロパティで
「ソフトウェアのファイルすべて」を指定します。これで、管理者が明示
的に許可したプログラムしかシステムでは実行できなくなります。
次に、「追加の規則」で試しに以下の「パスの規則」を追加します。

 c:\windows 制限しない
 c:\Program files\Outlook Express 制限しない

これで、Windows ディレクトリ配下にあるプログラムと、Outlook Express
は利用できるようになるはずです。
IE は c:\Program files\Internet Explorer にあるので、この状態だと実
行できません。

というシナリオなんですが、Outlook Express も実行できないんですよぉ。

具体的には実行すると、「MSOE.DLL を初期化できないため、Outlook
 Exporess を起動できませんでした」となります。
「強制」にある「DLLなどのライブラリを除くソフトウェアのファイルすべて」
を指定すると Outlook Exporess は起動できます。
けど、これだと面白くなぁ〜い！

ヘルプを読む限り、必要な DLL とかがパスに含まれていればいけそうな
気がするんですけど...誰かいっしょにはまってください。


---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/