Universal Shield 技術ノート ~ ローカル書込み禁止設定 ~ Rev. 1.0 更新 2012 年 5 月株式会社ネクステッジテクノロジー http://www.nextedgetech.com はじめに本ドキュメントは データ保護ソフトウェア Universal Shield を使ってローカルディスクへの書き込みを制限するための保護リストを作成する手順について解説しています 製品に関する基本的な機能や操作方法に関しては 製品カタログやユーザガイドを参照してください 目次 製品概要...2 リファレンス PC の作成と準備...3 エクスプローラの設定...3 ホットキーの設定...6 信頼ユーザの登録...7 信頼プログラムの登録...9 保護リストの作成...12 ステルスモードの設定...17 その他 考慮すべき点... 18 C:\ProgramData のアクセス制御...18 ステルスモード...18 設定をすべての PC に展開するには...18 制限事項... 19 特定のファイルの書き込みを禁止する... 20 デスクトップへの書込み / 削除を禁止する... 20 さらにアクセスを制限するには... 22 Windows 7 PC ネットワーク設定変更の制限... 22 Windows 7 PC コマンドコンソールの制限... 24
製品概要 Universal Shield は ファイルやプログラムなどを OS 上から完全に隠す 非可視化 を中心とした独自のアクセス制御と暗号化機能により 重要なデータを確実に保護する データ非可視化 & 暗号化 ソフトウェアです 保護対象としたデータは システムレベルで隠され完全に見えなくなるため 通常のユーザはもちろん Windows の管理者権限を持つユーザやローレベルで活動する悪意あるプログラムであっても 保護対象へアクセスすることはできません 保護対象へのアクセス許可は ユーザ / グループの ALC 設定 およびアプリケーションファイアウォール ( プログラムホワイトリストの設定 ) による制御ができます これにより保護対象へのアクセスも必要なマルウェア対策ソフト バックアップソフトなどとの併用も可能です 著作権 Copyright 2004 2012 nextedge Technology K.K. All rights reserved. 本ドキュメントは Universal Shield ソフトウェアと併せて使用することのみを目的として 株式会社ネクステッジテクノロジーによって発行されています 本ドキュメントの印刷版および電子版は すべてのライセンス所有者が利用できます 株式会社ネクステッジテクノロジーによる事前の許可なしに 本ドキュメントの一部またはすべてを複写 複製 再製造 または翻訳すること 電子的または機械的に読み取り可能な形式に変換すること および Web サイトに掲載することは禁じられています 商標 Universal Shield および Everstrike Software は Everstrike Software の商標です Microsoft Windows Windows NT Windows XP Windows Vista Word および Excel は Microsoft Corporation の登録商標です Adobe Acrobat および Acrobat Reader は Adobe Systems Incorporated の登録商標です その他の会社名 製品名は 各社の商標または登録商標です
リファレンス PC の作成と準備 保護リストを作成するためにリファレンスとなる PC を準備します リファレンス PC には業務で利用するものを同じ環境を構築しておきます 準備した PC で保護リストを作成するために 次の設定を行ってください エクスプローラの設定 システムファイル 隠しフォルダ / ファイルの表示ができるようにエクスプローラの設定を変更します エクスプローラを開き [ 整理 ]>[ フォルダーと検索のオプション ] を選択します [ 表示 ] タブを開き [ ファイルとフォルダーの表示 ] 設定を [ 隠しファイル 隠しフォルダー および隠しドライブを表示する ] を選択します
次に 保護されたオペレーティングシステムファイルを表示しない ( 推奨 ) の選択を解除します [OK] または [ 適用 ] ボタンをクリックして 設定を変更して エクスプローラを終了します
Universal Shield を開く Universal Shield をインストールして システムを再起動したら Universal Shield コンソール画面を開きます 作業を行う時には 常に [ アンロック ] 状態で行ってください [ ロック ] ボタンをクリックするとロックが解除されます
ホットキーの設定 ステルスモードで実行するには ホットキーの設定が必要です 下記の手順でホットキーを設定してください [ オプション ] メニューから [ ホットキーの設定 ] を選択します [ ホットキーを有効にする ] をチェックします [Universal Shield を開く ] の入力フィールドにカーソルを移動し ここでは Ctrl+Alt+O キーを同時に押してこれをホットキーとして登録します * 任意にキーの組み合わせが可能です
信頼ユーザの登録 まず考慮しなくてはならない点として Windows 7 のシステムやサービスなどにはファイルやフォルダへのアクセスを許可する必要があります Windows システムでは 下記の 3 つの特別なアカウントがあります これらのアカウントにフルアクセスを許可することで Windows OS やサービスに影響を及ぼすことなく保護リストを作成することができます System アカウント : SYSTEM Local Service アカウント : LOCAL SERVICE Network Service アカウント : NETWORK SERVICE 下記の手順で信頼ユーザを登録します Universal Shield のメイン画面から [ ユーザ ] ボタンをクリックすると [Universal Shield のアクセス許可 ] 画面が表示されます [ 追加 ] ボタンをクリックします
[ 詳細設定 ] ボタンをクリックします [ 検索 ] ボタンをクリックします リストが表示されたら [LOCAL SERVICE] を選択し [OK] ボタンをクリックします 同じく [ 検索 ] ボタンから [NETWORK SERVICE] を選択します
選択が完了したら [OK] ボタンで戻ります [Universal Shield のアクセス許可 ] 画面で次のように これらのアカウントにフル権限を与えます [ 信頼ユーザリスト ] 補足 : ウィルス対策ソフトウェアや 秘文 のようなディスク暗号化システムもこれらのアカウントで実行されているため 互換性を保つには これらのアカウントにフル権限を与える必要があります 重要 ( 分かっている問題 ): 信頼ユーザ作成画面で [ 適用 ] ボタンをクリックすると リストが消去されます [OK] ボタンをクリックして 再度 [ ユーザ ] ボタンで画面を開き リストおよび設定が残っていることを確認してください
信頼プログラムの登録 次に考慮すべき点として Windows Update など特別な機能を実行するプログラムです これらのアプリケーションにアクセス許可を与えるには 信頼プログラムのリストを作成します 下記の手順で信頼プログラムを登録します メイン画面の [ 信頼 ] ボタンをクリックし [ 信頼されたプロセスの選択 ] 画面を表示します [ リストに追加 ] ボタンをクリックして追加します ここでは コントロールパネルなどを実行する際に必要な rundll32.exe および Windows Update で利用される wuauclt.exe をリストに追加することでこれらのプロセスが保護リストに影響なく動作できるようにしています
すべてのプロセスを追加したら [OK] ボタンをクリックして終了します [ 信頼プロセスリスト ] 補足 : ご利用の環境によっては保護 バックアップソフトウェア 管理エージェント ウィルス対策ソフトウェアなどをリストに追加する必要があります
保護リストの作成 次に保護リストを作成していきます ここでは下記の設定を行っています これによりローカルディスクのユーザ領域以外へのファイルの書き込みが拒否されます ローカルディスク C: ドライブへのファイル書き込みをブロック ユーザ領域へフルアクセス ( この場合 アカウント名 nextedge ) ゴミ箱フォルダへのフルアクセス 下記の手順で保護リストを作成します C: ドライブ全体の保護を設定するために メニューから [ ファイル ]>[ オブジェクトのプロテクト ] を選択します マスクを選択し C:\* を指定します [ 詳細設定 ] を選択し [ 書込み可能 ] のみを無効に設定し [OK] ボタンをクリックして閉じます
重要 : ( 分かっている問題 ) C: ドライブ全体の保護を設定するために [ プロテクト ] ボタンから [ マスク ] を選択すると正しく保護リストを作成することができません ドライブ全体を保護する場合 必ず上記の手順でマスクを設定してください C: ドライブ全体の保護を設定するために [ プロテクト ] ボタンから [ マスク ] を選択します
次に ゴミ箱へのアクセス許可を追加するために [ プロテクト ]>[ フォルダ ] を選択します [ フォルダーの参照 ] 画面で C:\$Recycle.Bin フォルダを選択し [OK] ボタンをクリックします
リストに追加された状態では [ アクセスなし ] になっています リストからこれらを選択して それぞれ編集します C:\$Recycle.Bin フォルダの編集を選択します [ フォルダプロパティ ] 画面で [ 含まれるファイルのプロテクト ] および [ フルアクセス ] を選択します [OK] ボタンで画面を閉じます C:\$Recycle.bin\* ファイルの編集を選択します [ フォルダプロパティ ] 画面で [ フルアクセス ] を選択します [OK] ボタンで画面を閉じます
同様に PC に登録されているユーザアカウントの領域へのフルアクセスを設定します [ 保護リスト ] 注意 : 保護リストの作成は ロックを解除した状態で行ってください 設定が完了したら コンピュータを再起動してシステムの動作を確認してください
ステルスモードの設定 保護リストの設定を確認したら 最後にステルスモードを有効にして デスクトップ上に作成されている Universal Shield へのショートカットを削除します ステルスモードで実行することで エンドユーザに Universal Shield で PC がアクセス制御していることを分からなくします ホットキーの動作も確認してください この例では Ctrl+Alt+O キーを同時に押すと UniversalShield のコンソール画面が表示されます 補足 : この環境では 唯一設定したホットキーにより Universal Shield コンソールを開いて ロックを解除する方法です 万が一 ユーザがホットキーを押してもパスワードで Universal Shield コンソールへのアクセスはパスワードで保護されています
その他 考慮すべき点 C:\ProgramData のアクセス制御 Windows Vista 以降 アプリケーションは設定やログ情報を C:\ProgramData 下のフォルダに作成するようになりました 上記の設定では こうした動作をするアプリケーションに影響します 信頼リストにアプリケーションを追加するか または保護リストにフルアクセス権と共にアプリケーションの利用するフォルダを追加する必要があります ステルスモード ステルスモードで実行すると エンドユーザが Universal Shield の存在を知ることはできません また [ アプリケーションのアンインストール ] のリストからも隠されるため Universal Shield をアンインストールすることはできません これは セーフモードで起動した場合でも同様です UniversalShield をアンインストールすることはできません 設定をすべての PC に展開するには Universal Shield で作成した設定情報は レジストリに保存されます リファレンス PC で保護リストの設定が完了したらこの PC から設定情報を取り出します レジストリエディタを起動し HLM\SYSTEM\CurrentControlSet\services\US3Sys\US 内のデータをエクスポートします ここで作成した REG ファイルをすべての PC で適用することで 同じ設定をすべての PC にコピーすることができます
制限事項 C: ドライブへのアクセスを禁止した設定では ユーザはいくつかの制限を受けることのなります 基本的に ユーザアカウントで実行されるプログラムでユーザ領域以外の場所に書込みを必要とするツールやアプリケーションが該当します これらのツールの実行や作業を行うには ロックを解除した状態で行う必要があります * もしくは 必要なプロセスを信頼プロセスリストに追加することで回避できます 例として下記のツールがあります 復元ポイントの作成とシステムの復元作業 アプリケーションのインストール / アンインストール Windows バックアップ ディスクチェック ( CHKDSK コマンドなど )
特定のファイルの書き込みを禁止する 例えば ショートカットの作成を禁止するには *.lnk ファイルの書き込みを禁止するよう保護リストに追加します ユーザ領域およびそのサブフォルダに.lnk リンクファイルの作成を禁止するには 下記のリストを追加します アクセス権限は 詳細設定で 書き込み のみ禁止します C:\Users\nextedge\*.lnk C:\Users\nextedge\*\*.lnk [.lnk ファイルの作成禁止 ] 注意 :.lnk ファイルの作成を禁止した場合 タスクバーへのプログラムの登録が行えなくなります
デスクトップへの書込み / 削除を禁止する ユーザのデスクトップ画面の変更を禁止するには 下記のリストを追加します アクセス権限は 詳細設定で 書き込み可能 および [ 削除 ] の選択を解除します C:\Users\nextedge\Desktop\*
さらにアクセスを制限するには ご利用の環境によってはユーザ領域への書込みをさらに制限することができます 下記の例では ユーザ領域の AppData フォルダおよびそのサブフォルダにのみフルアクセス権を与えています ブラウザのキャッシュかその他アプリケーションにより一時的なデータの保存は AppData 以下のフォルダが利用されるため この領域にフルアクセスを残し 他の領域には [ 書き込み可能 ] を制限しています ヒント : ご利用の環境を分析し さらに AppData 内の特定のフォルダにのみフルアクセスを許可することでより制限を細かく設定することも可能です
Windows 7 PC ネットワーク設定変更の制限 エンドユーザによる Windows 7 PC のネットワーク設定の変更を制限したい場合 下記のファイルをアクセス拒否します C:\Windows\System32\netcenter.dll これにより ネットワークと共有センター へのアクセスができなくなります
Windows 7 PC コマンドコンソールの制限 エンドユーザによる Windows 7 PC のコマンドコンソールの実行を制限したい場合 下記のファイルをアクセス拒否します C:\Windows\System32\cmd.exe これにより ユーザは コマンドプロンプトを実行することができなくなります 注意 : コマンドプロンプトの実行を無効にした場合 ネットワーク上の PC への接続ができなくなりますがネットワーク上の共有リソースへのアクセスは可能です ( ドライブのマップなど )