Universal Shield 技術ノート
~ローカル書込み禁止設定~
Rev. 1.0 更新 2012 年 5 月 株式会社ネクステッジテクノロジー http://www.nextEDGEtech.comはじめに
本ドキュメントは、データ保護ソフトウェア Universal Shield を使ってローカルディスクへの書き込みを制限 するための保護リストを作成する手順について解説しています。 製品に関する基本的な機能や操作方法に関しては、製品カタログやユーザガイドを参照してください。目次
製品概要 ...2 リファレンスPCの作成と準備...3 エクスプローラの設定 ... 3 ホットキーの設定 ... 6 信頼ユーザの登録...7 信頼プログラムの登録... 9 保護リストの作成...12 ステルスモードの設定 ...17 その他、考慮すべき点 ... 18 C:\ProgramDataのアクセス制御...18 ステルスモード...18 設定をすべてのPCに展開するには ...18 制限事項 ... 19 特定のファイルの書き込みを禁止する... 20 デスクトップへの書込み/削除を禁止する... 20 さらにアクセスを制限するには ... 22 Windows 7 PCネットワーク設定変更の制限... 22 Windows 7 PCコマンドコンソールの制限 ... 24
製品概要
「Universal Shield」は、ファイルやプログラムなどを OS 上から完全に隠す「非可視化」を中心とした独自 のアクセス制御と暗号化機能により、重要なデータを確実に保護する「データ非可視化&暗号化」ソフト ウェアです。 保護対象としたデータは、システムレベルで隠され完全に見えなくなるため、通常のユーザはもちろん、 Windows の管理者権限を持つユーザやローレベルで活動する悪意あるプログラムであっても、保護対象へ アクセスすることはできません。 保護対象へのアクセス許可は、ユーザ/グループの ALC 設定、およびアプリケーションファイアウォール(プロ グラム ホワイトリストの設定)による制御ができます。これにより保護対象へのアクセスも必要なマルウェア対 策ソフト、バックアップソフトなどとの併用も可能です。 著作権
Copyright 2004、2012 nextEDGE Technology K.K. All rights reserved.
本ドキュメントは、Universal Shield ソフトウェアと併せて使用することのみを目的として、株式会社ネクス テッジテクノロジーによって発行されています。本ドキュメントの印刷版および電子版は、すべてのライセンス 所有者が利用できます。株式会社ネクステッジテクノロジーによる事前の許可なしに、本ドキュメントの一 部またはすべてを複写、複製、再製造、または翻訳すること、電子的または機械的に読み取り可能な形 式に変換すること、および Web サイトに掲載することは禁じられています。 商標
Universal Shield および Everstrike Software は Everstrike Software の商標です。Microsoft、 Windows 、 Windows NT 、 Windows XP 、 Windows Vista 、 Word 、 お よ び Excel は Microsoft Corporation の 登 録 商 標 で す 。 Adobe 、 Acrobat 、 お よ び Acrobat Reader は Adobe Systems Incorporated の登録商標です。その他の会社名、製品名は、各社の商標または登録商標です。
リファレンス
PC の作成と準備
保護リストを作成するためにリファレンスとなる PC を準備します。リファレンス PC には業務で利用するもの を同じ環境を構築しておきます。 準備した PC で保護リストを作成するために、次の設定を行ってください。エクスプローラの設定
システムファイル、隠しフォルダ/ファイルの表示ができるようにエクスプローラの設定を変更します。 エクスプローラを開き、[整理]>[フォルダーと検索のオプション]を選択します。 [表示]タブを開き[ファイルとフォルダーの表示]設定を[隠しファイル、隠しフォルダー、および隠しドライブを表 示する]を選択します。
次に、「保護されたオペレーティング システム ファイルを表示しない(推奨)」の選択を解除します。
[OK]、または[適用]ボタンをクリックして、設定を変更して、エクスプローラを終了します。
Universal Shield を開く
Universal Shield をインストールして、システムを再起動したら、Universal Shield コンソール画面を開きま す。
作業を行う時には、常に[アンロック]状態で行ってください。[ロック]ボタンをクリックするとロックが解除されま す。
ホットキーの設定
ステルスモードで実行するには、ホットキーの設定が必要です。下記の手順でホットキーを設定してください。 [オプション]メニューから[ホットキーの設定…]を選択します。
[ホットキーを有効にする]をチェックします。
[Universal Shield を開く]の入力フィールドにカーソルを移動し、ここでは Ctrl+Alt+O キーを同時に押して これをホットキーとして登録します。
*任意にキーの組み合わせが可能です。
信頼ユーザの登録
まず考慮しなくてはならない点として、Windows 7 のシステムやサービスなどにはファイルやフォルダへのアク セスを許可する必要があります。 Windows システムでは、下記の 3 つの特別なアカウントがあります。これらのアカウントにフルアクセスを許 可することで、Windows OS やサービスに影響を及ぼすことなく保護リストを作成することができます。 • System アカウント: 「SYSTEM」
• Local Service アカウント: 「LOCAL SERVICE」 • Network Service アカウント: 「NETWORK SERVICE」 下記の手順で信頼ユーザを登録します。
Universal Shield のメイン画面から[ユーザ]ボタンをクリックすると、[Universal Shield のアクセス許可]画面 が表示されます。
[追加]ボタンをクリックします。
[詳細設定]ボタンをクリックします。
[検索]ボタンをクリックします。
リストが表示されたら、[LOCAL SERVICE]を選択し[OK]ボタンをクリックします。 同じく、[検索]ボタンから[NETWORK SERVICE]を選択します。
選択が完了したら[OK]ボタンで戻ります。 [Universal Shield のアクセス許可]画面で次のように、これらのアカウントにフル権限を与えます。 [信頼ユーザリスト] 補足: ウィルス対策ソフトウェアや「秘文」のようなディスク暗号化システムもこれらのアカウントで実行されているた め、互換性を保つには、これらのアカウントにフル権限を与える必要があります。 重要(分かっている問題): 信頼ユーザ作成画面で、[適用]ボタンをクリックすると、リストが消去されます。[OK]ボタンをクリックして、再 度[ユーザ]ボタンで画面を開き、リストおよび設定が残っていることを確認してください。
信頼プログラムの登録
次に考慮すべき点として、Windows Update など特別な機能を実行するプログラムです。これらのアプリケ ーションにアクセス許可を与えるには、信頼プログラムのリストを作成します。 下記の手順で信頼プログラムを登録します。 メイン画面の[信頼]ボタンをクリックし、[信頼されたプロセスの選択]画面を表示します。[リストに追加]ボタ ンをクリックして追加します。
Copyright 2012 nextEDGE Technology K.K. All rights reserved.
ここでは、コントロールパネルなどを実行する際に必要な rundll32.exe および Windows Update で利用さ れる wuauclt.exe をリストに追加することでこれらのプロセスが保護リストに影響なく動作できるようにして います。
すべてのプロセスを追加したら、[OK]ボタンをクリックして終了します。
[信頼プロセスリスト]
補足: ご利用の環境によっては保護、バックアップソフトウェア、管理エージェント、ウィルス対策ソフトウェ アなどをリストに追加する必要があります。
保護リストの作成
次に保護リストを作成していきます。ここでは下記の設定を行っています。これによりローカルディスクのユー ザ領域以外へのファイルの書き込みが拒否されます。 • ローカルディスク C: ドライブへのファイル書き込みをブロック • ユーザ領域へフルアクセス ( この場合、アカウント名 nextedge ) • ゴミ箱 フォルダへのフルアクセス 下記の手順で保護リストを作成します。 C: ドライブ全体の保護を設定するために、メニューから[ファイル]>[オブジェクトのプロテクト…]を選択しま す。 マスクを選択し、C:\* を指定します。[詳細設定]を選択し、[書込み可能]のみを無効に設定し、[OK]ボ タンをクリックして閉じます
C: ドライブ全体の保護を設定するために、[プロテクト]ボタンから[マスク]を選択します。 重要: (分かっている問題)
C: ドライブ全体の保護を設定するために、[プロテクト]ボタンから[マスク]を選択すると正しく保護リス トを作成することができません。
ドライブ全体を保護する場合、必ず上記の手順でマスクを設定してください。
次に、ゴミ箱へのアクセス許可を追加するために、[プロテクト]>[フォルダ…]を選択します。
[フォルダーの参照]画面で C:\$Recycle.Bin フォルダを選択し、[OK]ボタンをクリックします。
リストに追加された状態では、[アクセスなし]になっています。リストからこれらを選択して、それぞれ編集し ます。 C:\$Recycle.Bin フォルダの編集を選択します。 [フォルダプロパティ]画面で、[含まれるファイルのプロテクト]および[フルアクセス]を選択します。[OK]ボタンで 画面を閉じます。 C:\$Recycle.bin\* ファイルの編集を選択します。 [フォルダプロパティ]画面で、 [フルアクセス]を選択します。
Copyright 2012 nextEDGE Technology K.K. All rights reserved.
同様に、PC に登録されているユーザアカウントの領域へのフルアクセスを設定します。
[保護リスト] 注意:
保護リストの作成は、ロックを解除した状態で行ってください。
設定が完了したら、コンピュータを再起動してシステムの動作を確認してください。
ステルスモードの設定
保護リストの設定を確認したら、最後にステルスモードを有効にして、デスクトップ上に作成されている Universal Shield へのショートカットを削除します。 ステルスモードで実行することで、エンドユーザに Universal Shield で PC がアクセス制御していることを分 からなくします。 ホットキーの動作も確認してください。この例では、Ctrl+Alt+O キーを同時に押すと UniversalShield のコ ンソール画面が表示されます。 補足: この環境では、唯一設定したホットキーにより Universal Shield コンソールを開いて、ロックを解除する 方法です。 万が一、ユーザがホットキーを押してもパスワードで Universal Shield コンソールへのアクセスはパスワー ドで保護されています。
その他、考慮すべき点
C:\ProgramData のアクセス制御
Windows Vista 以降、アプリケーションは設定やログ情報を C:\ProgramData 下のフォルダに作成するよう になりました。上記の設定では、こうした動作をするアプリケーションに影響します。 信頼リストにアプリケーションを追加するか、または保護リストにフルアクセス権と共にアプリケーションの利用 するフォルダを追加する必要があります。
ステルスモード
ステルスモードで実行すると、エンドユーザが Universal Shield の存在を知ることはできません。また[アプリ ケーションのアンインストール]のリストからも隠されるため、Universal Shield をアンインストールすることはで きません。 これは、セーフモードで起動した場合でも同様です。UniversalShield をアンインストールすることはできませ ん。
設定をすべての
PC に展開するには
Universal Shield で作成した設定情報は、レジストリに保存されます、リファレンス PC で保護リストの設 定が完了したらこの PC から設定情報を取り出します。 レジストリエディタを起動し、HLM\SYSTEM\CurrentControlSet\services\US3Sys\US 内のデータをエ クスポートします。 ここで作成した REG ファイルをすべての PC で適用することで、同じ設定をすべての PC にコピーすることが できます。
制限事項
C:ドライブへのアクセスを禁止した設定では、ユーザはいくつかの制限を受けることのなります。 基本的に、ユーザアカウントで実行されるプログラムでユーザ領域以外の場所に書込みを必要とするツー ルやアプリケーションが該当します。 これらのツールの実行や作業を行うには、ロックを解除した状態で行う必要があります。 *もしくは、必要なプロセスを信頼プロセスリストに追加することで回避できます。 例として下記のツールがあります。 • 復元ポイントの作成とシステムの復元作業 • アプリケーションのインストール/アンインストール • Windows バックアップ • ディスクチェック ( CHKDSK コマンドなど)
特定のファイルの書き込みを禁止する
例えば、ショートカットの作成を禁止するには、*.lnk ファイルの書き込みを禁止するよう保護リストに追加し ます。 ユーザ領域およびそのサブフォルダに.lnk リンクファイルの作成を禁止するには、下記のリストを追加します。 アクセス権限は、詳細設定で「書き込み」のみ禁止します。 C:\Users\nextedge\*.lnk C:\Users\nextedge\*\*.lnk [.lnk ファイルの作成禁止] 注意: .lnk ファイルの作成を禁止した場合、タスクバーへのプログラムの登録が行えなくなります。
デスクトップへの書込み
/削除を禁止する
ユーザのデスクトップ画面の変更を禁止するには、下記のリストを追加します。 アクセス権限は、詳細設定で「書き込み可能」および[削除]の選択を解除します。 C:\Users\nextedge\Desktop\*さらにアクセスを制限するには
ご利用の環境によってはユーザ領域への書込みをさらに制限することができます。 下記の例では、ユーザ領域の AppData フォルダおよびそのサブフォルダにのみフルアクセス権を与えていま す。 ブラウザのキャッシュかその他アプリケーションにより一時的なデータの保存は AppData 以下のフォルダが利 用されるため、この領域にフルアクセスを残し、他の領域には[書き込み可能]を制限しています。 ヒント: ご利用の環境を分析し、さらに AppData 内の特定のフォルダにのみフルアクセスを許可することでより制 限を細かく設定することも可能です。
Windows 7 PC ネットワーク設定変更の制限
エンドユーザによる Windows 7 PC のネットワーク設定の変更を制限したい場合、下記のファイルをアクセ ス拒否します。
• C:\Windows\System32\netcenter.dll
これにより、「ネットワークと共有センター」へのアクセスができなくなります。