Remove From My Forums

コンソールログオンは拒否して runas ではログオンを許可

質問
0

サインインして投票

皆様お世話になります。

変な質問で恐縮ですが、Windows10 で、特定のローカルユーザに対し、コンソールではログオンを拒否して、RUNAS ではログオンを許可するような器用な設定はできないでしょうか？

ニーズとしては、会社でドメインユーザの使用を強制していますが、インターネット接続でユーザが危険なサイトにアクセスしてしまったときにファイルサーバー(シングルサインオン)への被害を抑えるため、ブラウザのみをアクセス制限したローカルユーザで起動して使って貰うのはどうかと考えています。

よろしくお願いします。

2019年6月15日 4:36

返信

|

引用

回答

0

サインインして投票
Web ブラウザーでのアクセスからの攻撃を懸念されるのであれば、Windows Defender Application Guard を利用する（許可済み以外のサイトはサンドボックス実行する）と良いかと思います。

Hebikuzure aka Murachi Akira
- 回答の候補に設定 FarenaMicrosoft contingent staff, Moderator 2019年6月18日 6:36
- 回答としてマーク M14Cluster 2019年6月18日 14:18
2019年6月17日 1:15

返信

|

引用

すべての返信

0

サインインして投票
Web ブラウザーでのアクセスからの攻撃を懸念されるのであれば、Windows Defender Application Guard を利用する（許可済み以外のサイトはサンドボックス実行する）と良いかと思います。

Hebikuzure aka Murachi Akira
- 回答の候補に設定 FarenaMicrosoft contingent staff, Moderator 2019年6月18日 6:36
- 回答としてマーク M14Cluster 2019年6月18日 14:18
2019年6月17日 1:15

返信

|

引用
0

サインインして投票

Hebikuzure aka Murachi Akira 様、コメントありがとうございます。

Windows Defender Application Guard の紹介記事を確認しましたが、完璧です。

ありがとうございました。

2019年6月18日 14:21

返信

|

引用
0

サインインして投票

折角ご紹介頂いたところ、残念ながら導入に至っていません。

現状 Professional 版のため、WDAG でダウンロードしたファイルの受け取りはおろか、URLのテキストコピーすらできません。
これを許可するには Enterprise 版が必要ですが、会社で導入するのは厳しいです。

実際のところ、これで効果を出せるのはセキュリティ意識の高いごく一部の人だけなので、会社を説得する以前に、私自身がコスト対効果を見出せません。

一方、当初案に関しては、特定のローカルユーザのパスワードを暗号化・非公開とし、専用の起動ツールを配布し、CreateProcessWithLogonW() でブラウザを起動する方法で実質的に解決できそうです。

お騒がせしました。

2019年8月10日 2:24

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

コンソールログオンは拒否して runas ではログオンを許可

質問

回答

すべての返信