 |
|
IEAK 5 では、特定のゾーンでどの ActiveX コントロールを実行可能にするかを管理者が指定できるようになりました。この機能により、ActiveX コントロールの使用を効果的に制御して高いセキュリティを確保するには、次の 2 つの方法があります。
方法 1 : インターネット上の ActiveX コントロールの使用を制限する
多くの組織では、ローカル イントラネット上では ActiveX コントロールを多用していても、ファイヤウォールの外側 (インターネット ゾーン内) での ActiveX コントロールの使用に対しては制限を設けています。これは、ローカル イントラネット上では、コントロールは悪用されないという前提でコンテンツを作成できますが、インターネット上の Web ページではこの前提は成立しないからです。管理者は、インターネット上での使用を認可する一般的なコントロールを指定することにより、コントロールを使用するサイトをサポートしながら、そのゾーン内でその他のコントロールが不適切に使用されるのを防ぐことができます。
たとえば、管理者としては、ActiveX コントロールの使用を制限しながら、ビジネス パートナーやサービス プロバイダのサイトなど、重要なインターネット サイトについては ActiveX コントロールの使用を許可することができます。この場合、まず最初に目的のサイトにアクセスし、[Windows] フォルダ内の [Downloaded Program Files] フォルダに新たに追加されたエントリを調べることにより、そのサイトで使用している ActiveX コントロールを特定します。次に、このトピックの最後に示す手順に従って、それらのコントロールを管理者認可コントロールとして指定します。
このように構成すると、サイト上では管理者認可コントロールだけが実行できるようになります。イントラネット用のコントロールなど、管理者認可コントロール以外のコントロールをインターネット上で使用することはできなくなります。
方法 2 : 特定の ActiveX コントロールだけを使用できるように制限する
認可する ActiveX コントロールを列挙し、それらのコントロールだけをブラウザから実行できるように設定すると、ActiveX コントロールの使用をさらに厳密に制御できます。ただし、この方法では、使用を許可するコントロールをすべて具体的に列挙する必要があるため、比較的少数のコントロールに対して使用を許可する場合に適しています。
どのコントロールを任意のサイトで使用できるようにするかを決定します。これらのコントロールの使用を許可するサイトが含まれているゾーンについては、このトピックの最後に示す手順に従って、それらのコントロールを管理者認可コントロールに指定します。これらのコントロールの使用を禁止するサイトが含まれているゾーンについては、[ActiveX コントロールとプラグインの実行] の [無効にする] を選択します。これにより、指定したコントロールだけが、指定したゾーンの Web ページ上でのみ実行できるようになります。
ActiveX コントロールの選択
IEAK に付属している Axaa.adm ファイル (ActiveX コントロール管理者認可ファイル) には、代表的な ActiveX コントロールのリストが示されています。これは、推薦コントロールのリストではなく、あくまで Web 上でよく使われている ActiveX コントロールのリストです。これらのコントロールのうち、どのコントロールを実際に組織内で使用するかは、管理者が決定します。このファイルは、必要に応じて編集したり、新しいコントロールを追加したりできます。既定では、どのコントロールも認可コントロールとして指定されていません。ユーザーが Internet Explorerをインストールした後で、新しいコントロールを追加する場合は、自動構成を使用します。