[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:00793] [XP] ソフトウェアの制限ポリシー
- To: port139@xxxxxxxxxxxxx
- Subject: [port139:00793] [XP] ソフトウェアの制限ポリシー
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Wed, 14 Nov 2001 15:46:13 +0900
Port139 伊原です。
XP Professinal では、ローカルセキュリティ設定に「ソフトウェアの制限の
ポリシー」という項目が増えてます。
簡単に言えば「許可されたアプリケーション以外実行を制限する」という機
能だといえると思いますが、なかなか興味深い機能です。
証明書とかゾーンとか全部で4種類の制限(規則)がありますが、
-ハッシュ値による制限
事前に登録したハッシュ値(SHAとMD5)を持つプログラムのみ実行可能
-パスによる制限
事前に登録したパスにあるプログラムのみ実行可能
というのがあります。
プログラムとして、.exe だけでなく .bat .vbs .reg とか様々なのが制限
できるみたいです。
セキュリティレベルを「許可しない」に設定後、「強制」のプロパティで
「ソフトウェアのファイルすべて」を指定します。これで、管理者が明示
的に許可したプログラムしかシステムでは実行できなくなります。
次に、「追加の規則」で試しに以下の「パスの規則」を追加します。
c:\windows 制限しない
c:\Program files\Outlook Express 制限しない
これで、Windows ディレクトリ配下にあるプログラムと、Outlook Express
は利用できるようになるはずです。
IE は c:\Program files\Internet Explorer にあるので、この状態だと実
行できません。
というシナリオなんですが、Outlook Express も実行できないんですよぉ。
具体的には実行すると、「MSOE.DLL を初期化できないため、Outlook
Exporess を起動できませんでした」となります。
「強制」にある「DLLなどのライブラリを除くソフトウェアのファイルすべて」
を指定すると Outlook Exporess は起動できます。
けど、これだと面白くなぁ〜い!
ヘルプを読む限り、必要な DLL とかがパスに含まれていればいけそうな
気がするんですけど...誰かいっしょにはまってください。
---
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/