・L1 OFFICE2016の共通設定

Last-modified: 2021-09-08 (水) 13:30:31

Top/・L1 OFFICE2016の共通設定

・レベル1セキュリティ構成（Windows 10）
・Windows Server 2016 Domain Controller

[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Microsoft Office 2016(マシン)]>[セキュリティ設定]>[IEのセキュリティ] †

以下のレジストリ設定はポリシーキーに格納されていないため、優先される設定であるとみなされます。そのため、この設定を実装するグループポリシーオブジェクトが削除された場合、このレジストリ設定は残ります。
ハイブ：HKLM
キー名：\Software\Microsoft\Internet Explorer\Main\FeatureControl
値は、各項目の説明にあります。
REG DWORD = 0 無効
REG DWORD = 1 有効

↑

[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Microsoft Office 2016(マシン)]>[セキュリティ設定]>[IEのセキュリティ] †

以下の設定を有効にし、対象となるアプリケーションのチェックボックスをチェックします。

ポリシー設定	値	説明
ActiveX のインストールを制限する	有効使用しているアプリケーションをチェックする	適切な制限のためにActiveXインストールを設定する必要があります。 \FEATURE_RESTRICT_ACTIVEXINSTALL
MIME スニッフィングの安全機能	有効使用しているアプリケーションをチェックする	MIMEファイルタイプのなりすましは、組織にとって潜在的な脅威です。ネットワークに感染する可能性のある悪意のあるファイルのダウンロードを防ぐために、これらのファイルが一貫して処理されるようにすることをお勧めします。 \MIME SNIFFING SAFETY FEATURE
URL からの保存	有効使用しているアプリケーションをチェックする	通常、Internet ExplorerがMark of the Web(MOTW)コメントを含むWebページをUniversal Naming Convention(UNC)共有からロードするとき、そのページがインターネット上のサイトから保存されたことを示すと、Internet Explorerは制限の緩いローカルイントラネットセキュリティゾーンではなく、インターネットセキュリティゾーンでページを実行します。この機能は、Officeアプリケーション(たとえば、ユーザーがOfficeドキュメント内のリンクをクリックするか、Webページをロードするメニューオプションを選択した場合)によって起動されるInternet Explorerのインスタンスに対して個別に制御できます。Internet ExplorerがページをMOTWとして評価しない場合、危険なコードの実行が許可される可能性があります。 \FEATURE_UNC_SAVEDFILECHECK
URL への移動	有効使用しているアプリケーションをチェックする	ユーザーを攻撃から保護するために、Internet Explorerは通常、不正なURLをロードしようとしません。この機能は、Officeアプリケーションによって生成されたInternet Explorerのインスタンスに対して個別に制御できます。 \FEATURE_VALIDATE_NAVIGATE_URL
アドオンの管理	有効使用しているアプリケーションをチェックする	アドオン管理機能を許可する必要があります。 \FEATURE_ADDON_MANAGEMENT
オブジェクトキャッシュ保護	有効使用しているアプリケーションをチェックする	悪意のあるWebサイトが、他のドメインからのオブジェクト参照を使用しようとする可能性があります。 \OBJECT CACHING PROTECTION
オブジェクトにバインドする	有効使用しているアプリケーションをチェックする	Internet Explorerは、ActiveXコントロールを初期化する前に、いくつかの安全性チェックを実行します。レジストリにコントロールのKill Bitが設定されている場合、またはコントロールが配置されているゾーンのセキュリティ設定でコントロールの初期化が許可されていない場合、コントロールは初期化されません。 \FEATURE_SAFE_BINDTOOBJECT
スクリプト化されたウィンドウのセキュリティ制限	有効使用しているアプリケーションをチェックする	この設定を無効にするか、構成しないと、不明なWebサイトで次のことが可能になります。ローカルオペレーティングシステムのブラウザウィンドウを作成します。キーボード入力をキャプチャする画面の表示可能領域の外側に表示されるアクティブなウィンドウを描画します。重要なシステム情報、選択、プロンプトを隠すために、親ウィンドウを独自のブラウザウィンドウでオーバーレイします。 \FEATURE_WINDOW_RESTRICTIONS
ゾーン昇格からの保護	有効使用しているアプリケーションをチェックする	この設定を無効にするか、構成しないと、インターネットゾーンのページがローカルコンピューターゾーンのページに移動して、コードを実行して特権を昇格させる可能性があります。これにより、悪意のあるコードまたはユーザーがユーザーのコンピューターまたはネットワークでアクティブになる可能性があります。 \FEATURE_ZONE_ELEVATION
ファイルのダウンロードを制限する	有効使用しているアプリケーションをチェックする	この設定を無効にすると、ユーザーが特にダウンロードを開始しなくても、Webサイトでコードを介してファイルのダウンロードプロンプトを表示できます。ユーザー設定により、プロンプトやユーザーとの対話なしでダウンロードを実行することもできます。 \FEATURE_RESTRICT_FILEDOWNLOAD
ポップアップをブロックする	有効使用しているアプリケーションをチェックする	Internet Explorerのポップアップブロッカー機能を使用して、ほとんどの不要なポップアップおよびポップアンダーウィンドウの表示をブロックできます。この機能は、Officeアプリケーションによって生成されたInternet Explorerのインスタンスに対して個別に制御できます（たとえば、ユーザーがOfficeドキュメント内のリンクをクリックするか、Webページを読み込むメニューオプションを選択した場合）。 \FEATURE_WEBOC_POPUPMANAGEMENT
ユーザー名とパスワードを無効にする	有効使用しているアプリケーションをチェックする	URL（Uniform Resource Locator）標準では、ユーザー認証をhttp://username:password@example.comの形式でURL文字列に含めることができます。悪意のあるユーザーは、このURL構文を使用して、正当なWebサイトを開くように見えるが、実際には偽の（なりすまし）Webサイトを開くハイパーリンクを作成する可能性があります。たとえば、URL http://www.wingtiptoys.com@example.comはhttp://www.wingtiptoys.comを開くように見えますが、実際にはhttp://example.comを開きます。ユーザーをこのような攻撃から保護するために、Internet Explorerは通常、この構文を使用してURLをブロックします。 \FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
ローカルコンピュータゾーンのロックダウンセキュリティ	有効使用しているアプリケーションをチェックする	ローカルマシンゾーンのセキュリティは、すべてのローカルファイルとコンテンツに適用されます。この機能は、ローカルマシンゾーンが悪意のあるHTMLコードをロードするための攻撃ベクトルとして使用される攻撃を軽減するのに役立ちます。 \FEATURE_LOCALMACHINE_LOCKDOWN
一貫性のある MIME 処理	有効使用しているアプリケーションをチェックする	ユーザーは、Internet Explorerを使用して、誤ったファイル名拡張子を装った、またはMIMEヘッダーに誤ってマークされた悪意のあるコンテンツを無意識のうちにダウンロードする可能性があります。ダウンロードされると、誤ったハンドラーがファイルを実行し、悪意のあるコンテンツがユーザーのシステムまたはネットワークに損害を与える可能性があります。 \FEATURE_MIME_HANDLING
情報バー	有効使用しているアプリケーションをチェックする	情報バーは、悪意のある可能性のあるコンテンツがいつブロックされたかをユーザーが理解するのに役立ちます。一方、一部のユーザーは、バーの外観に混乱したり、応答方法がわからない場合があります。 \FEATURE_SECURITYBAND

Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。