Hebikuzure's Tech Memo

2013年12月24日

Internet Explorer のセキュリティ ゾーン

Filed under: Yet Another Internet Explorer Advent Calendar 2013 — hebikuzure @ 8:37 PM

この記事は “Yet Another Internet Explorer Advent Calendar 2013” の 24 日目です。


Internet Explorer では Web サイトがネットワーク上のどのような場所にあるかによってセキュリティ関係の設定が変更される、「セキュリティ ゾーン」という機能が搭載されています。例えば一般的なインターネット上のサイトでは多くの Web ページの表示に支障がない程度にアクティブ コンテンツ (スクリプトや ActiveX など) の動作を制限しつつ、企業の LAN 内に存在するイントラネット サイトでは業務用 Web アプリケーションが円滑に動作するようより少ない制限に設定する、といった事ができます。これはは他のブラウザーでは類似の機能が無い、Internet Explorer の独自の機能です。

セキュリティ ゾーンは以下の4つに分けられています。

image

  • インターネット ゾーン
    通常のインターネット上のサイトです。安全でない可能性のあるコンテンツのダウンロードや実行には制限があります
    Windows Vista 以降では保護モードが既定で有効です
  • ローカル イントラネット ゾーン
    イントラネット内のサイトです。既定ではほとんどのコンテンツが警告なしに実行されます
    Windows Vista 以降では保護モードが既定で無効です
    Internet Explorer 8 以降では、このゾーンのサイトを互換モードで表示させる事ができます (IE8-10 では既定で有効、IE11 では既定で無効)
  • 信頼済みサイト ゾーン
    既定ではどのサイトも属してしません。
    ユーザーがサイトを登録する事で、インターネット上のサイトをより少ない制限で動作させる事のできるゾーンです
    Windows Vista 以降では保護モードが既定で無効です
  • 制限付きサイト ゾーン
    既定ではどのサイトも属してしません。
    ユーザーがサイトを登録する事で、インターネット上のサイトをより強い制限の下で動作させる事のできるゾーンです。安全性の低い機能は無効になります
    Windows Vista 以降では保護モードが既定で有効です

それぞれのゾーンのセキュリティ設定の詳細は、以下の資料を参照してください。

Internet Explorer 7 以降では、ドメインに参加している場合などを除き、既定の設定ではローカル インターネット ゾーンは利用されません。その状態で (インターネット上ではない) イントラネット内の Web サイト (“.” を含まない URL) にアクセスすると、「イントラネット設定は既定でオフになりました」という情報バーまたは通知バーが表示されます。
イントラネット ゾーンがオフになっている場合、信頼済みサイトまたは制限付きサイトに登録されていないサイトはすべてインターネット ゾーンに割り当てられます。
ローカル イントラネット ゾーンを有効にするには、以下の操作をします。

  1. [インターネット オプション] を開き、[セキュリティ] タブを表示します
  2. [ローカル イントラネット] アイコンをクリックし、[サイト] ボタンをクリックします
  3. [イントラネットのネットワークを自動的に検出する] のチェックを外します
  4. 他のすべてのチェック ボックスをオンにし、[OK] を 2 回クリックします

    image

参考 イントラネット セキュリティ設定の変更 (http://windows.microsoft.com/ja-jp/windows-vista/changing-intranet-security-settings)

上記の説明と少し重なりますが、Web サイトは以下の方法でインターネット ゾーンまたはローカル インターネット ゾーンとして認識されます。

  • コンピューターが接続しているネットワーク内に Active Directory ドメイン コントローラーが存在する場合、イントラネットのネットワークが自動的に検出され、ネットワーク内のサイトはイントラネット ゾーンと判定されます
  • [イントラネットのネットワークを自動的に検出する] のチェックが外れている場合、他の設定に応じてイントラネットのサイトかどうか判定されます
    • 他のゾーンに含まれていないすべてのローカル (イントラネット) サイトを含める
      ドット (“.”) の含まれない名前が割り当てられてられているサイト (http://localhost など) はイントラネットとして判定されます。反対に、ドットが含まれるサイト名 (http://www.microsoft.com など) はインターネット ゾーンに割り当てられます。
    • プロキシ サーバーを使用しないサイトすべてを含める
      多くのイントラネットではプロキシ サーバーを使ってインターネットにアクセスし、イントラネット サーバーには直接接続します。この情報を利用し、プロキシ サーバーを利用しないで接続できるサイトはイントラネットとして判定されます。逆にプロキシ サーバーを経由するサイトはインターネット ゾーンに割り当てられます。プロキシ サーバーがこのように構成されていない場合はこの設定を利用せず、別の方法でローカル イントラネット ゾーンを指定する必要があります。プロキシ サーバーが使われていないネットワークではこの設定は無効です。
    • すべてのネットワーク パス (UNC) を含める
      ネットワーク パス (\\servername\sharename\file.txt など) でアクセスされるコンテンツをイントラネットとして判定します。
  • イントラネット ゾーンに割り当てられないサイトで、信頼済みサイトまたは制限付きサイトに登録されていないサイトは、インターネット ゾーンに割り当てられます。

前述のようにインターネット ゾーンとイントラネット ゾーンではアクティブ コンテンツの動作や表示モードが異なる場合があるので、Web サイトの動作が意図通りではない場合、適切なセキュリティ ゾーンとして認識されているかどうか確認する事が必要です。例えば同じサイトでも、ホスト名 (http://hostname) でアクセスすればイントラネットとして認識されますが、FQDN (http://hostname.company.jp/) や IP アドレス (http://192.168.100.25/) でアクセスするとインターネット ゾーンに割り当てられます。

参考 : FQDN または IP アドレスを使用すると、イントラネット サイトがインターネット サイトとして識別される (http://wp.me/p160Sl-2C)

広告

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

WordPress.com で無料サイトやブログを作成.

%d人のブロガーが「いいね」をつけました。