Title:

ソフトウェア制限のポリシーで P2P ファイル共有ソフトを実行させない方法

Date:

2006年5月11日 (Last modified: 20060511)

Author:

Eiji James Yoshida (ptrs-ejy@bp.iij4u.or.jp)
penetration technique research site 

Version:

Microsoft Windows XP
Microsoft Windows Server 2003

Details:

 Windows XP および Windows Server 2003 には、「ソフトウェア制限のポリシー」というソフトウェアの実行を設定されたポリシーに従って制限する機能がある。この機能を利用することで、Windows XP や Windows Server 2003 で Winny や Share などの P2P ファイル共有ソフトを実行させないように制限することができる。

 ソフトウェア制限のポリシーで P2P ファイル共有ソフトを実行させない方法としては、下記の 2 つが考えられる。

■ パスの規則で制限する

 パスの規則を設定して、ファイル名が "winny.exe" というファイルを実行させないようにする。

  1. [スタート] から [ファイル名を指定して実行] を選択して「ファイル名を指定して実行」画面を表示する。
  2. "secpol.msc" と入力して [OK] を押して「ローカル セキュリティ設定」画面を表示する。
  3. 画面左側の [ソフトウェア制限のポリシー] をクリックする。
  4. 画面右側に「ソフトウェアの制限のポリシーが定義されていません」と表示されている場合は、画面左側の [ソフトウェア制限のポリシー]を右クリックすると表示されるメニューから [新しいポリシーの作成] をクリックする。
  5. 画面右側に [セキュリティ レベル] や [追加の規則] などが表示されている場合は、[追加の規則] をダブルクリックする。
  6. 画面右側で右クリックすると表示されるメニューから、[新しいパスの規則] をクリックして、「新しいパスの規則」画面を表示する。
  7. パスに "winny.exe" と入力する。
  8. セキュリティ レベルは [許可しない] を選択する。
  9. 説明に "P2Pファイル共有ソフト実行制限ポリシー" と入力して [OK] を押す。
  10. 「ローカル セキュリティ設定」画面右側に追加したパスの規則が表示されていることを確認する。表示されていない場合は、手順 3 からやりなおす。
  11. Windows を再起動する。

 以上でパスの規則の設定は終了である。これで "winny.exe" というファイル名のファイルを実行するような命令が出されても、警告画面が表示されるだけでファイルは実行されない。

 パスに入力したファイル名が異なると、ファイルの実行を許してしまうので注意が必要である。異なるファイル名のファイルも実行させないようにするには、上記手順にしたがって新しいパスの規則を追加すれば良い。

■ ハッシュの規則で制限する

 ハッシュの規則を設定して、バージョン 2b71 の Winny を実行させないようにする。

  1. [スタート] から [ファイル名を指定して実行] を選択して「ファイル名を指定して実行」画面を表示する。
  2. "secpol.msc" と入力して [OK] を押して「ローカル セキュリティ設定」画面を表示する。
  3. 画面左側の [ソフトウェア制限のポリシー] をクリックする。
  4. 画面右側に「ソフトウェアの制限のポリシーが定義されていません」と表示されている場合は、画面左側の [ソフトウェア制限のポリシー]を右クリックすると表示されるメニューから [新しいポリシーの作成] をクリックする。
  5. 画面右側に [セキュリティ レベル] や [追加の規則] などが表示されている場合は、[追加の規則] をダブルクリックする。
  6. 画面右側で右クリックすると表示されるメニューから、[新しいハッシュの規則] をクリックして、「新しいハッシュの規則」画面を表示する。
  7. ファイル ハッシュに "0d53d1782fb2009f953fa68b4ff7ef2d:663040:32771" と入力する。
  8. ファイル情報に "Winny2b71" と入力する。
  9. セキュリティ レベルは [許可しない] を選択する。
  10. 説明に "P2Pファイル共有ソフト実行制限ポリシー" と入力して [OK] を押す。
  11. 「ローカル セキュリティ設定」画面右側に追加したハッシュの規則が表示されていることを確認する。表示されていない場合は、手順 3 からやりなおす。
  12. Windows を再起動する。

 以上でハッシュの規則の設定は終了である。これでバージョン 2b71 の Winny を実行するような命令が出されても、警告画面が表示されるだけでファイルは実行されない。

 ファイル ハッシュに入力した値が異なると、ファイルの実行を許してしまうので注意が必要である。異なるファイル ハッシュも実行させないようにするには、上記手順にしたがって新しいハッシュの規則を追加すれば良い。

 パスの規則でもハッシュの規則でも実行を制限することはできるが、パスの規則では制限できない場合でもハッシュの規則で制限できる場合もあり、逆にハッシュの規則で制限できない場合でもパスの規則で制限できる場合もあることから、両方とも設定されることをお勧めする。

 ソフトウェア制限のポリシーは、設定によってはシステムに致命的な問題を発生させることもあるので、各自の責任で十分に注意して設定されることをお勧めする。

Related Links:

P2P ファイル共有ソフトの「ソフトウェア制限のポリシー」用ハッシュ値一覧

セキュリティ対策の要点解説 第 3 回 そもそもアレの動作を禁止したい 〜 Software Restriction Policy 〜

 Copyright(c) 2006 Eiji James Yoshida. All rights reserved