発表資料置き場 yuma no memo

強い Windows の応用

ばい yumano3<at>gmail.com

・しかし、これをやると次から自動更新 までブロックされるという危険も伴う、 諸刃の剣。

素人にはお薦め出来ない。

です。

このドキュメントでは

 あえて Windows を不便にしてみた結果報 告です

 _{実際、不便でした}

 不便だ！不便だ！という方は真似しない でください

 企業では ActiveDirectory を使ってやっ ているところがあるかもしれません

材料

 ローカルセキュリティポリシー

以上

ローカルセキュリティポリシーと

は

コントロールパネル→ 管理ツール→

ローカル セキュリティ ポリシー にあり ます。

今回はソフトウェアの制限のポリシーを使います

ソフトウェアの制限のポリシーと

は

 証明書、パス、ハッシュを用いてソフト ウェアの実行を制限できます

 どんな場合に使えるのかというと・・・

例

 _{特定ドライブを制限}

USB ウィルスもへっちゃら！

だって、このドライブで実行できない・・・

他にも

 こんな設定いれてみたら・・・

こんな感じになります。

 ₍ 色んな意味で ) クリックしたらダメな

クリックしても大丈夫♪

ここから本編です

 _{デフォルトの設定は}

当然、「制限しない」 (BL 方式 ) なんだけど・・・

「許可しない」にしてしまいます

ｗｗ

気になるお年頃なので

 Microsoft Update

 FireFox とか Adobe の Update

やっぱり、更新系が気になりますよね？



そもそも、ちゃんと動く

の？？

基本的な動作について

 SystemRoot あたりを許可しないと死ぬ

 特にローカルセキュリティポリシーを開 けないと即死

 XP SP2 以降からはデフォルトでいくつか のフォルダが許可されるようになってい ます♪（ XP 無印だと動作が怪しい）デフォルトで追加される許可設定

•%SystemRoot%

•%SystemRoot%*.exe

•%SystemRoot%System32\*.exe

こんだけ守れば使えるかも？！

 lnk ( ショートカットリンク ) は制限

ファイルに入っているのでショートカッ トが使えない

 スクリプト言語使っている人は pl とか p y などの拡張子を登録しないといけない

「ソフトウェア制限のポリシー→専用ファイルの種類」で 登録されている拡張子を修正しましょう

MS Update _{してみました}

 ダメでした・・・ orz

 XP 無印→ SP2 、 SP2→SP3 は無理

 SP3 内での推奨パッチはだいたい OK ３つくらいアップデートできなかった

Update _{できないパターン}

 システムドライブのルート直下にテンポラリ フォルダを生成！！

→ルート直下を許可するのはありえない！！

 ローカルユーザの temp フォルダを使うやつ とか！！→ temp フォルダなんてもっとありえな

い！！

 _{だめじゃ～ん}

非 MS 系も Update してみました

 adobe と FireFox と Java

 ローカルユーザフォルダ直下の Applicati on Data で実行されるのでダメです

 以下のパスに対して制限しない設定を追加

 _{めんどくさいっす}

・ %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ 　 Explorer\User Shell Folders\AppData%Mozilla/Firefox/Profiles

・ %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ 　 Explorer\User Shell Folders\AppData%Sun/Java

・ %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ 　 Explorer\User Shell Folders\Local AppData%Adobe

おしまい

 _{だめじゃん！}

 _{あ～あ、残念・・・}

 _{ではありません}

プログラム作るしかないかな～と

　 　 　　 　 　 ＿＿＿ _

　　　　　　　／ :::::::::::::::: ＼ 　　　　 　／ ::::::─ 三三─＼

　　　　／ :::::::: （ ○）三（○）＼

　　　　 |:::::::::::::::::::: （ __ 人 __ ） :::: 　 | 　　＿＿＿＿＿＿＿ _ 　 　　 ＼ ::::::::: 　 　 |r┬-| 　 , ／　 .| | 　　　　　　 | 　　　　ノ :::::::::::: 　　 ` ー '´ 　　　＼　 | | 　　　　　　 | 　 ／ ::::::::::::::::::::: 　　 　 　 　　 　　 | | 　　　　　　 | 　 |::::::::::::::::: ｌ 　　 　 　 　 　　　　　 | | 　　　　　　 |

http://d.hatena.ne.jp/ripjyr/20090414/1239692740 _ここ見て http://www.lacrima.info/diary/?date=20090413#p03 _ここ見た

悩んでいました・・・

いや、マジで update のたびにポリシー設定するの不便・・・

runas 使えば、制限ユーザーでも不便さ軽減できるかも！！

実はこんな設定があります

 ソフトウェアの制限のポリシーの適用ユ ーザー

 _{全てのユーザー}

 ローカル管理者を除くすべてのユーザー

ほかにも

 証明書を使って許可すればいいのでは！ ほら、はじめにいったよね？！

残念ながら、これも検証中です

というわけで

次回に続く・・

・

いや～、問題が多くて終わらなかったです 他にもいいアイデアあったら教えて♪