futuremix

Windows で特定の名前の実行ファイルを起動できないようにする方法です。また、特定フォルダ内のすべてのファイルの実行を抑制する方法も示します。なお、Windows 2000/XP Professional, 2000/2003 Server, WIndows Vista Business 以上が対象です。

まず「ファイル名を指定して実行」で gpedit.msc と入力し、グループポリシーエディタを起動します。XP Home Edition にはグループポリシーエディタがありませんのでエラーとなります。

「コンピュータの構成」-「Windowsの設定」-「セキュリティの設定」-「ソフトウェアの制限ポリシー」の階層を開きます。このときに「ソフトウェア制限のポリシーが定義されていません」という表示が出たら、右クリックメニューから「新しいポリシーの作成」を選びます。

次に 「追加の規則」の階層を選びます。

表示されるダイアログボックスで、「パス」にファイル名を記述します。たとえば、open.exe（最近のマルウェアによく使われる名前）を指定します。ファイル名だけでも、フルパスの指定どちらでも構いません。

また、ワイルドカードも使えまので、C:\hoge\*.* のよな指定方法もできます。拡張子を *.exe にしただけでは、スクリーンセーバー(*.scr) や、コントロールパネルアプレット (*.cpl) に偽装したウィルスなどを拒否できませんので *.* とした方がよいでしょう。

一方、ファイル名で指定した場合、リネームすると実行できてしまいます。たとえばグループポリシーで Winny.exe を規制しても、実行ファイル名を winny123.exe と変えられてしまうと起動できてしまいます。そのため、実行ファイルのハッシュで制限することもできます。

今回は右クリックメニューから「新しいハッシュの規則」を選びます。

制限したいソフトウェアを選びます。ファイルハッシュが登録されるので、ファイル名が変更されても実行を阻止することができます。ただし、バージョンアップによりファイルハッシュが変更されると当然すり抜けられますので、ファイル名とハッシュを両方とも指定したほうが、制限を強化できます。

実際に、制限したアプリケーションを起動しようとすると、以下のようなダイアログボックスが出て、実行が阻止されます。