ネットワーク&セキュリティコミュの使用制限の為の方法を教えてください。

WindowsXP/Vistaの環境において、以下の操作をさせないための手段を模索中です。
どなたか良きアドバイスを御願いできますでしょうか？

* 以下のようなショートカットキーを無効にする
・「Ctrl + Alt + Del」
・「ウィンドウズキー + E」
・「Alt + F4」
など

* エクスプローラなどの起動をさせない（ファイル操作をさせない、実行させない為に）

Usersグループで基本的にはログオンし、特定のアプリケーション専用の端末として使用したいと思っています。
しかし、必要があればAdministratorsグループでログオンし、操作したいと考えています。

要するに、クライアントに余計な操作は一切させたくないのです。

どなたか良いお知恵を御願いいたしますｎ(_ _)ｎ

コメント(23)

最初
全て
最新の40件

[1] mixiユーザー 05月02日 16:31

専用アプリケーションのみでの運用なら、いっそのことシェルをその専用アプリケーションにしてしまう、という手もあります。

ご参考)シェル変更の例
http://www.geocities.co.jp/Milano-Killer/2015/litestep/lsinstw2k.html

それでもCtrl+Alt+Delは無効にできなかったような気もしますが…

[2] mixiユーザー 05月02日 17:18

キーボード取っ払って、タッチパネル操作にさせちゃうとか。
あとは Windows XP Embedded でがんばるとか。。。

[3] mixiユーザー 05月02日 17:42

> 安藤＠大分
ご意見ありがとうございます。
でも、シェルをこのアプリにするという部分で、ちょっと無理っぽいです･･･
（このアプリは土台が出来てしまっているので･･･）

> Farsse
実は、このアプリは元々タッチパネル/キーボード入力の両方を必要としているので･･･
そして、OSも、XP Pro SP2とVista（将来的に）という制約の中でのものなのです･･･

レジストリの操作などで出来ないものでしょうか･･･

[4] mixiユーザー 05月02日 17:48

レジストリを書き換えることで特定のキーを無効化できるようです。

http://www.vector.co.jp/soft/winnt/util/se228667.html

ただしこれでもCtrl+Alt+Delは無効にできません。

[5] mixiユーザー 05月02日 17:49

Vista環境は対応できるか不明だけど、「窓の手」を使えば実行可能なアプリを制限できるけどそれじゃダメでしょか？

[6] mixiユーザー 05月02日 17:50

レジストリだけでの制御は無理ではないかと思います。

予算の問題があるかと思いますが、SmartOnとかInfoBarrierみたいなデスクトップ制御の出来るプロダクトの導入を検討してみるとかどうでしょうか。
(Vistaにはまだ対応していなかったと思いますが)

[11] mixiユーザー 05月02日 18:20

＃修正投稿。

　セキュリティの話に詳しいわけではないのですが．．．

＞ 6: まくら様
> レジストリだけでの制御は無理ではないかと思います。

　気になったので、ちょっとだけ調べたんですけど
「Ctrl + Alt + Del」の禁止というのは
「タスクマネージャの禁止」
と同じ意味ではないのでしょうかね？

　もしそのような意味だったら

・タスクマネージャの「プロセスの終了」を禁止
http://questionbox.msn.co.jp/qa2951438.html
・Ctrl+Alt+Del禁止方法について
http://oshiete1.goo.ne.jp/qa2753582.html
・TaskMgr_kanri
http://vector.aol.co.jp/soft/winnt/util/se384797.html
・Re:CTRL+ALT+DEL の無効化
http://forums.belution.com/ja/vc/000/308/54.shtml

この辺あたりのやりとりは参考になりませんでしょうかね。
＃ちなみに当方で確認したわけではありません。

[12] mixiユーザー 05月02日 18:25

ちなみに「Ctrl+Alt+Del」の無効化にはGINAといわれるWindowsのログオンシステムに関するシステムファイルをカスタマイズする必要があります。

http://nienie.com/~masapico/doc_DisableSAS.html

これはかなり高度なスキルを必要とします。

[13] mixiユーザー 05月02日 18:37

　ああ、その後

Ctrl+Alt+Del考案者が新たな人生に向けリスタート：セキュリティ向上？
http://slashdot.jp/comments.pl?sid=153292&op=&threshold=1&commentsort=3&mode=thread&pid=483882

というスラド内のやりとりを見つけましたが、
そこでの記述によれば、
仮にパソコンが不正プログラムに乗っ取られても
「Ctrl + Alt + Del」
によりログインし直すことが出来る、という点で
「Ctrl + Alt + Del」の存在自体が
セキュリティ対策になっている、
という意味があるのでしょうかね？

　今もそういう意味があるなら
ちょっとやそっとでは禁止しにくいかもしれませんね。

[16] mixiユーザー 05月02日 18:53

その特定アプリの操作に必要なキー以外、キーボード内の配線を物理的に切断して無効にするってのは駄目なのかな?
で、どうしても必要なときは別のキーボードに差し替えて操作。

私は基本的にハード屋なので、↑こんな手法を真っ先に思いつきました。笑

[17] mixiユーザー 05月02日 20:07

> 11: 高崎(梯子の高！) 様

私的にはあんまり深く考えず、"Ctrl+Alt+Del"は、OSに横取りされてしまうだろうから、多分拾えない、と書きました。

あとは、本当は「どこまで」制御したいのか、次第かと思います。

他、考慮すべき点があるとしたら、コアな(GINAとか)変更をした場合、リリース後に禁止された操作の仕様変更やモレがあった場合の再配布をどうするか、とか。（思いつき全開）

[18] mixiユーザー 05月02日 21:27

こんばんは。
途中参加で失礼いたします。

＞ちゃっぴ～さんへ
皆さんが書かれているように、かなり難しい（不可能というかイタチごっこになると思われます）ので、別の方向から考えてみるのも、ひとつの解決方法になるのではないでしょうか。

防げない理由：
-------------------------------
command.comやcmd.exe、wscript.exeやcscript.exe、mshta.exeや、iexplore.exe、taskmgr.exe、explorer.exeなど･･･。DLLなどにも特殊な機能を持ったものもあると思います。JavaScriptなんかも禁止しなくてはなりませんよね。
こういったWindowsに標準で搭載されているファイルへのアクセスも禁止しなくてはなりません。
それから、schtasks.exeやat.exeなんかも制御の対象ですよね。
キリがない？ほどたくさんのファイルを制御しなくてはなりませんよね？
すべて禁止できたとしても、「特定のアプリケーション」すら正常に動作しなくなるかもしれませんよね。
-------------------------------

恐らく業務で使うものと思われます。
十分にご存知でしょうが、社会人として、使用者側のモラルという面もあるのではないでしょうか。

実際に端末で制御するというよりも、ある程度はアナログ管理でも良いと思います。
6: まくらさんが、お書きになっているようにログ機能の付いたシステムを導入するのも良いと思います。

あとは、取得したログできちんとした管理(状況に応じて処罰なども必要になると思います)をしていけば、何とかなるはずです。

参考に･･･なると良いです･･･。

[19] mixiユーザー 05月02日 21:55

書き込んだ後で、１つ方法を思いつきました。
内容が内容なので、悪意のあるプログラムっぽいことをすれば良いのではないでしょうか。

＞ちゃっぴ～さんへ

※ちゃっぴ～さんが管理者権限のパスワードをご存知で、使用者は管理者権限パスワードをご存知ないというのが前提条件です。
※それぞれの詳細は、ご自分でお調べください･･･。
※もちろん、これでも抜け道があります･･･。

1.
まず、特定アプリケーションに、「Windowsのシャットダウン機能」と「AppActivateなどの機能で定期的に特定アプリをアクティブにする処理」と、特定アプリを「フル画面で起動する処理」を付けておきます。(または、最大化でボタン非表示)
それと、「Alt + F4」を無効にする処理を追加しておきます。

2.
特定アプリケーションが複数であれば、独自の切り替え(連動)機能を追加します。切り替え機能は、独立したアプリではなく特定アプリのメニューに組み込んだ方が良いです。

3.
特定のアプリケーション専用の端末である、Windowsは一般ユーザ権限で自動ログオンに設定します。

4.
スタートアップなどを使い起動時に実行する処理に、runas機能を使って管理者権限で「特定アプリ」と必要があれば「独自切り替え専用アプリ」を起動させます。

これでタスクマネージャは起動されてしまいますが、一般権限のアカウントでは、管理者権限で起動したアプリを終了することはできませんので良いと思います。

特定アプリの「最大化」+「アクティブ」機能により、「ウィンドウズキー + E」などを実行しても、特定アプリの背面に隠れるので操作は困難(ほぼ不可能？)です。

[Windowsのシャットダウン]などの必要な操作は、(上記「1.」のところで)特定アプリーションから行えるようにしてある･･･はずなので問題ないでしょう。

といった方法もあります。
いかがでしょうか･･･。

[20] mixiユーザー 05月03日 00:09

無効　とは、ちと違いますが
僕は、プロセスを監視するプログラムで
タスクマネージャの起動を確認したら
落とす　と言う方法で対処しています。

そんなに難しいプログラムではありませんので
試してみてはいかがでしょ？

[21] mixiユーザー 05月03日 12:27

みなさん、たくさんのアドバイス有り難うございますｎ(_ _)ｎ
まだ、ざーっとしか読んでいないので、リンク先までは確認しておりませんが、どれもが私にとって役に立ちそうです！

「Ctrl + Alt + Del」により、シャットダウンなどはセキュリティ上確かに出来た方が良いのですが、タスクマネージャから特定のプロセスやアプリケーションを削除させたくなかったので、この点は検討してみます。

エクスプローラの非表示に関しては、任意のファイルなどを実行させないためです。USB接続を制限するつもりなので。

更に考えていることは、"スタートボタン"を押したときに、シャットダウンのみを表示させようかとも思っています（この点に関しては、まだ何も調べてなどしていませんが…）

[22] mixiユーザー 05月03日 14:26

全く試してないですが、linux の上で vmware 等を使うとか。
ctrl+alt+del はトラップできますので。

ログインすると、残り7件のコメントが見れるよ