« 水曜日に思う事 | Main | 多分オレの方が上手 »

より低い権限でIEを起動するには

 セキュリティホール memo さん を見て。

Neohapsis Archives - NTBugtraq - #0031 - Running IE with decreased privileges

 ふむふむ・・・
TOEICで「最低限の英会話にも支障のある英語能力」
と判定された orz 私が泣きそうになりなりながら訳すと・・・


 Runasを使ってIEをWin2000/XP/2003で権限を低くして
実行するにはこんな感じに設定します。

・通常使用するアカウント以外にIE起動専用のアカウントを1つ作る。

・そのアカウントは "guest" グループにのみ所属する。
 絶対に "Administrators" はもちろん "Users"等にも所属しない事。
 (じゃないと意味無い)

・グループポリシーにて作成したユーザに対して、
 「ネットワーク経由でコンピュータにアクセスを拒否する」
 ように設定する事(デフォルトでは guest ユーザグループがこの設定)
 また、「ローカルログオン」を明示的に設定しておく。

・IE起動用に以下のコマンドラインを定義したショートカットを作成する。

%SystemRoot%\SYSTEM32\runas.exe /u:(作成したアカウント名) /SaveCred
"C:\Program Files\Internet Explorer\iexplore.exe"

 (訳者注:/SaveCred オプションが使われている事、ACL設定などからも
  この手法はWinXP Home Editionだとちょっと不便、あるいは多少
  限定的な物になると思います)

・ショートカットのアイコンをIEの物にするなり好きな物に変更する。

・作成したショートカットからIEを起動する。初回はパスワード入力が
 求められるが、それ以降は保存された情報(/SaveCred)が参照されるので
 パスワード確認を求められずに起動できます。

・これでこのショートカットから起動すればあなたのユーザー権限より
 ずっと危険性の低い(ゼロじゃないよ)アカウントにてIEが起動される
 ようになる。

・あんたがものすげぇ凝り性なら・・・
 作成したアカウントに対してデータファイルなどへのアクセス権限を
 禁止と設定したり、レジストリへのアクセスを禁止しておけばより安全。
 そこまでいかなくてもスタートアップフォルダやレジストリの
 Run (自動起動)に関するキーへのアクセスを制限すると良いかも。

・この手法はもちろん万能じゃない
 o アプリケーション内にてIEのコンポーネントを使用するケースは対象外
 o 同様にすでに起動されているIE(やそのコンポーネント)から起動される場合
   (URLをクリックした場合等)は対象外
 o Webの証明書などは自分のアカウントでは無い場所に保存される

 等の弱点や不便な点があります。過信や過大な期待はしないように。

・マイクロソフトもこの件に関しては似たような提案をしている
 http://msdn.microsoft.com/security/securecode/columns/default.aspx?pull=/library/en-us/dncode/html/secure11152004.asp
 けれど、こんなに大げさな事したくない場合はこっちの手法を
 検討してみて下さい。

 こんな感じ?!/SaveCred使うのは気をつけないといけない
ですが、用途次第で便利になる、ってことですね。

 あ、訳や解釈が間違っていたらこっそり教えて下され。
こっそり直します(こらこら)。

|

« 水曜日に思う事 | Main | 多分オレの方が上手 »

Comments

Thanks in favor of sharing such a fastidious opinion, post is nice, thats why i have read it completely

Posted by: rencontrer des gay | 2015.02.12 at 02:50

Remarkable issues here. I'm very glad to peer your post. Thank you so much and I'm taking a look forward to contact you. Will you kindly drop me a e-mail?

Posted by: chicas sexys imagenes | 2015.01.29 at 05:00

Hello! I know this is kind of off topic but I was wondering if you knew where I could find a captcha plugin for my comment form? I'm using the same blog platform as yours and I'm having difficulty finding one? Thanks a lot!

Posted by: esfrance.net | 2015.01.28 at 08:30

Hi, I would like to subscribe for this website to take hottest updates, thus where can i do it please help out. blogesaurus.com quest protein bars

Posted by: quest bars discount code canada | 2015.01.24 at 23:58

I am really enjoying the theme/design of your blog. Do you ever run into any browser compatibility problems? A handful of my blog visitors have complained about my blog not operating correctly in Explorer but looks great in Safari. Do you have any solutions to help fix this problem?

Posted by: best dating sites | 2015.01.06 at 19:43

Thank you for the auspicious writeup. It in fact was a amusement account it. Look advanced to more added agreeable from you! By the way, how can we communicate?

Posted by: best dating sites | 2014.12.19 at 05:33

Greate post. Keep writing such kind of info on your blog. Im really impressed by your blog. Hello there, You've performed a great job. I will definitely digg it and in my view suggest to my friends. I am sure they'll be benefited from this website.

Posted by: http://rencontretransfr.info/ | 2014.11.30 at 09:04

Hi there! I know this is somewhat off topic but I was wondering if you knew where I could get a captcha plugin for my comment form? I'm using the same blog platform as yours and I'm having trouble finding one? Thanks a lot!

Posted by: esfrance.net | 2014.11.25 at 20:52

Hello! Someone in my Myspace group shared this site with us so I came to look it over. I'm definitely loving the information. I'm book-marking and will be tweeting this to my followers! Outstanding blog and outstanding design and style.

Posted by: option binaire | 2014.11.02 at 23:44

Hey! Would you mind if I share your blog with my zynga group? There's a lot of folks that I think would really enjoy your content. Please let me know. Cheers

Posted by: duflot-2014.info | 2014.09.26 at 12:42

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/2143/2860126

Listed below are links to weblogs that reference より低い権限でIEを起動するには:

« 水曜日に思う事 | Main | 多分オレの方が上手 »