Internet Explorer の拡張保護モード: 有効にする方法

Windows Vista以降、保護モードInternet Explorer の新機能として追加されました。この保護モードでは、ブラウザが通常使用する必要のないオペレーティング システムの部分をロックダウンすることで保護層が追加され、攻撃者がエクスプロイト コードを実行できた場合でも、ソフトウェアのインストールやシステム設定の変更を防ぐことができます。

Windows 8 では、Internet Explorer 10 を使用して、Microsoft は追加の制限を導入することにより、保護モードをさらに強化および強化しました。 Metro スタイルの Internet Explorer は、常に拡張保護モードが有効になった状態で実行されます。

拡張保護モード

拡張保護モードユーザーが許可を与えるまで、個人情報が含まれる場所への Internet Explorer のアクセスを制限します。これにより、悪用コードが許可なく個人情報にアクセスするのを防ぐことができます。強化された保護モード (EPM) が何をするのか見てみましょう。

個人ファイルを保護します

Web ベースの電子メールを考えてみましょう。ドキュメント フォルダーのファイルを電子メールに添付する場合、Internet Explorer には、ファイルにアクセスして電子メール プロバイダーにアップロードするためのアクセス許可が必要です。拡張保護モードでは、「ブローカープロセス」は、実際にファイル アップロード ダイアログで [開く] をクリックした場合にのみ、Internet Explorer にファイルへの一時的なアクセスを許可します。ファイルを開くことを選択すると、仲介は自動的に行われます。これは、金庫全体へのアクセスを常に許可するのではなく、要求に応じて Internet Explorer に単一の金庫を提供するようなものです。

企業ネットワークリソースへのアクセスを制限します

拡張保護モードは、企業ネットワーク リソースにアクセスするエクスプロイトの機能を 3 つの方法で制限します。まず、信頼できないインターネット ページが読み込まれるインターネット タブ プロセスでは、ユーザーのドメイン資格情報にアクセスできません。第二に、ローカルとして動作することはできません。ウェブサーバーこれにより、イントラネット サイトになりすますことがより困難になります。第三に、インターネット タブはイントラネット サーバーに接続できません。

64ビットプロセス

IE10では64ビットプロセスが導入されています。 64 ビットのメモリ アドレスにより、保護機能は 32 ビットのメモリ アドレスよりも効果的となり、攻撃者が予測可能な場所に悪意のあるコードを仕掛けるために使用するヒープ スプレー攻撃などの攻撃がはるかに困難になります。

Windows 7 および Windows Server 2008R2 上の Internet Explorer 10 では、拡張保護モードを有効にしても、64 ビット コンテンツ プロセスが有効になるだけです。ただし、Windows 8 で実行する場合、EPM オプションは、コンテンツ プロセスを新しいセキュリティ サンドボックスで実行することにより、さらにセキュリティを強化します。アプリコンテナとMSDNのブログ投稿で述べている。

Metro スタイルの Internet Explorer は、常に拡張保護モードが有効になった状態で実行されます。 IE デスクトップ バージョンではこれを有効にする必要があります。

IEデスクトップ版で拡張保護モードを有効にする

これを行うには、インターネット オプションを開き、[詳細設定] タブで [セキュリティ] まで参照します。ここで、「拡張保護モードを有効にする」オプションをチェックします。 「適用/OK」をクリックします。

拡張保護モードを有効にすると、互換性のないアドオンは自動的に無効になります。さらに、このオプションを有効にすると、保護モードで実行されているすべてのコンテンツ プロセス (デフォルトではインターネット ゾーンや制限付きゾーンなど) が 64 ビット コンテンツ プロセスの使用を開始します。

特定のアドオンを必要とする Web サイトにアクセスすると、メッセージが表示されます。 Web サイトを信頼する場合は、EPM を無効にして、サイトでコントロールまたはプラグインを実行できるようにします。そのため、すべてまたはほとんどのプラグインが EPM で実行されるようになるまでは、EPM が有効になっている場合、ブラウジング エクスペリエンスが制限されることがあります。