[HKCU\Software\Adobe\<product name>\<version>\TrustManager]
"bEnhancedSecurityInBrowser"=dword:00000001
"bEnhancedSecurityStandalone"=dword:00000001
この情報は、米国アドビシステムズ社が提供している情報をもとにローカライズし、作成したものです。
Security パネルでは、拡張セキュリティ、保護モード、セキュリティ特権の場所などのセキュリティ設定をカスタマイズできます。ワークフローおよびファイルは、これらの機能が全て有効になっていることを前提に設計することを推奨します。つまり、信頼されていないコンテンツや場所を制限し、信頼済みのファイル、フォルダー、およびホストのみをセキュリティ特権の場所として明示的に指定します。
注意 : セキュリティ設定は複雑かつ影響が大きいため、Registry 機能から既存の設定を流用することも検討してください。インストール済みアプリケーションの設定をコピーしてから、Customization Wizard 上で編集することができます。
Protected View
保護されたビューは、より安全性の強固な「スーパーサンドボックス」で、基本的には読み取り専用モードです。保護されたビューでは、表示に関する機能(ズーム、ナビゲーション、リンク、検索など)以外のすべての機能が無効になります。ユーザーは、PDF の参照以外の操作を行う場合、「すべての機能を有効にする」を選択する必要があります。この操作によって信頼済みの文書として認識され、ユーザーの特権の場所リストに追加されます。保護されたビューは、Acrobat と Reader で機能の差異はなく、ブラウザーでもスタンドアロンでも同様に動作します。
注意 : Reader 11.0 において、保護されたビューは保護モードが有効な場合にのみサポートされます。保護されたビューが有効になった場合、HKCU または HKLM における保護モードのレジストリ設定が 0 (オフ)に設定されることはありません。
以下のオプションが指定可能です。
- Off : 保護されたビューを無効にします。
- Files from potentially unsafe locations : インターネットおよび不明なソースのファイルを保護されたビューで開きます。
- All Files : すべてのファイルを保護されたビューで開きます。
Enhanced Security
拡張セキュリティは、9.3/8.2 アップデート以降、初期設定で有効になりました。設定および動作は、プラットフォームによる差異がほとんどなく、ブラウザーでもスタンドアロンでも同様に動作します。弊社では、拡張セキュリティを有効にすることを推奨しています。拡張セキュリティにより、さまざまな種類の動作とコンテンツが制限されます。
- 無制限のクロスドメインアクセス
- バックグラウンドの印刷処理
- XObject(ストリーム)アクセス
- データインジェクション
- スクリプトインジェクション
Standalone/Browser の個別設定
PDF ファイルは、ブラウザーウィンドウ内で開くことも、スタンドアロンアプリケーションとして開くことも可能ですが、それぞれの動作を個別に設定することができます。初期設定で拡張セキュリティは有効に設定されています。
- Enable : 拡張セキュリティは有効ですが、ユーザーは設定を変更できます。(初期設定)
- Enable & Lock : 拡張セキュリティは有効ですが、UI がロックされるためユーザーは設定を変更できません。
- Disable : 拡張セキュリティは無効ですが、ユーザーは設定を変更できます。
- Disable & Lock : 拡張セキュリティは無効ですが、UI がロックされているためユーザーは設定を変更できません。
設定をロックした場合、HKLM 内のキーに反映されます。これは管理者のみが利用可能です。
レジストリ設定:拡張セキュリティを有効
|
レジストリ設定:拡張セキュリティの設定をロック
[HKLM\SOFTWARE\Policies\Adobe\<product name> \<version> \FeatureLockDown] "bEnhancedSecurityStandalone"=dword:00000001 "bEnhancedSecurityInBrowser"=dword:00000001 [HKLM\SOFTWARE\Policies\Adobe\ <product name>\<version> \FeatureLockDown] "bDisableTrustedFolders"=dword:00000001 "bDisableTrustedSites"=dword:00000001 |
注意: HKLM の FeatureLockDown でこの機能をロックする場合
"bDisableOSTrustedSites"=dword:00000001
特権の場所を指定
特権の場所とは、「信頼された場所」と同義です。ユーザーと管理者が特権の場所を指定することにより、セキュリティの制限を受けない信頼済みのコンテンツを指定することができます。Customization Wizard では、基本的な設定オプションが提供されていますが、レジストリから更に詳細な設定を行うことができます。この機能は以下のように動作します。
- 特権の場所には、ファイル、フォルダー、ホストの指定が可能です。
- HKCU または HKLM のリストが存在します。ユーザーが設定を変更できないようにする場合、管理者は HKLM の機能をロックダウンできます。
- 管理者は、特権の場所の有効/無効を設定し、ユーザーが変更できないようにすることができます。
- 信頼性マネージャーのレジストリ項目は、ユーザーインターフェースが操作されてから表示されますが、手動で作成することもできます。
- ユーザーインターフェースおよびレジストリのどちらからでも設定できます。
- ユーザーインターフェースから設定した場合、特権の場所 ID は対象 cab 配下に表示されることがあります。リリースによって機能の差異があるため、UI を検証して信頼が設定されるか確認してください。
- 例えば、クロスドメインのポリシー、信頼性マネージャーのインターネットアクセス設定、認証された文書の証明書信頼設定など、他の機能から設定されたアクセス権は重複することがあります。この場合、最も制限の少ない設定が優先されます。デプロイメントの前にテストを実施することを推奨します。
- cab 内のすべてのキー(tID)はユニークなキー名でなければなりません。
- 信頼済みの Win OS 領域は、特権の場所に設定することができます。
特権の場所を追加するには、以下の操作を行います。
- 「Add File」、「Add Folder」または「Add Host」ボタンをクリックします。
- 値を直接入力するか、または「Browse」ボタンをクリックして指定します。
- フォルダーおよびホストの信頼を「Recursive」にするかどうかを設定します。(初期設定では有効です。)
[HKLM\SOFTWARE\Policies\Adobe\<product name> \<version> \FeatureLockDown] "cTrustedFolder" "cTrustedSites" |
追加した項目を削除する場合は、対象の項目をクリックして選択し、「Remove」ボタンをクリックします。
特権の場所をロック
エンドユーザーが設定を変更できないようロックするには、以下の項目にチェックを入れます。
- Prevent end users from trusting file and folders : ファイルとフォルダーの信頼設定をロックします。
- Prevent end users from adding trusted hosts : ホストの信頼設定をロックします。
[HKLM\SOFTWARE\Policies\Adobe\<product name> \<version> \FeatureLockDown] "bDisableTrustedFolders"=dword:00000001 |
[HKLM\SOFTWARE\Policies\Adobe\ <product name>\<version> \FeatureLockDown] "bDisableTrustedSites"=dword:00000001 |
Acrobat/Customization Wizard の UI 比較
製品は定期的にアップデートされるため、Customization Wizard と Acrobat の UI に差異が生じることがあります。例えば、Customization Wizard 10.0 リリースでは 8 項目の環境設定が指定できましたが、10.x のアップデートにより、ユーザーが特権の場所を指定した場合に 12 項目の環境設定が指定されます。