Q&A
「鍵をかける」とは、どういう意味でしょうか?
webサイトのブロックリストを記載する
C:\Windows\system32\drivers\etc\hosts
というファイルの機能を失わずにこのファイルに鍵をかけたいのですが、どのようにすればそれが可能になるのでしょうか?
「鍵をかける」とはファイルを開くときにパスワードを要求して、そのパスワードがないとファイルを編集できなくすることを意味しています。
例えば、通常鍵をかけるといったら、フォルダに鍵をかけることが多いのですが、今回はフォルダではなくファイルに直接それをしたいです。しかし、ファイルに鍵をかけるソフトを試したところそのファイル自体が隠しファイルとなってしまい、hostsが機能しなくなってしまった。という経緯があります。
管理者が自身に対してパスワードがないと開けないというアクセス制限をしたいということです。
マシン起動時にいちいちパスワード入れるって話でしょうか
起動時、じゃないね。ネットアクセス時に、だな。。
y_waiwaiさんのおっしゃる方法でも問題ないと思います。
奇妙な設定ですが、管理者がパスワードを知らない限りhostファイルを編集できなくしたいのです。そのパスワードを管理者ではない他人に管理してもらえれば、管理者はhostファイルをいじれないはずです。
hostsファイルでなければならないのでしょうか。
「別途プロキシサーバを立てて、そこ経由でしか外部にアクセスできないようにする」など別な手段も考えられますし、そちらのほうが自然に実装できるかと思います。
「別途プロキシサーバを立てて、そこ経由でしか外部にアクセスできないようにする」など別な手段も考えられますし、そちらのほうが自然に実装できるかと思います。
>>>hostファイルに鍵をかけるのではなく、hostファイルにアクセスするサーバを限定し、そのサーバに入るときに鍵をかけるということでしょうか?
もしそうであれば、maisumakunさんのおっしゃる方法でも問題ないと思います。
違います。ローカルのhostsにそもそも頼らず、DNS制御もプロキシサーバで行う、という話です。
プロキシサーバーでDNS制御を行う場合でも、管理者がDNA制御をできてしまうならば困ります。この場合、パスワードはどこにかけられるのでしょうか?
そこまでファイル単位にこだわるなら、Windows を捨てて Linux でやればいいのに……
まあ、ACL を駆使すれば Windows でだってできますけどね。
※ Everyone には読み取りのみとし、通常のユーザーとは異なる管理者ユーザーにのみ書き込み権限を与える
> プロキシサーバーでDNS制御を行う場合でも、管理者がDNA制御をできてしまうならば困ります。
どのような状況を想定していますか?
> この場合、パスワードはどこにかけられるのでしょうか?
プロキシサーバへのコンソールログイン自体にパスワードを要求するようにしておきます。
ACL を駆使すれば Windows でだってできますけどね。
※ Everyone には読み取りのみとし、通常のユーザーとは異なる管理者ユーザーにのみ書き込み権限を与える
>>>この方法も考えたのですが、この方法を使うと使用者が通常のユーザーに成り下がってしまい、かつ使用者が管理者パスワードを知らない状態でなければなりません。これは、windows上でほかの管理者権限が必要な動作をするとき不便です。
どのような状況を想定していますか?
>管理者がwebサイトアクセスブロックリストを作製しそれをPCに導入するが(管理者本人が知らないパスワードにしてもらい、編集時はその他人にパスワードを入力してもらう)、管理者本人がブロックリストを編集できないようにしたいのです。
その状況でしたら「管理者がDNA制御をできてしまう」ことにはならないです。
プロキシサーバへのログイン自体にパスワードを要求するようにしておきます。
>プロキシサーバーへのログイン自体にパスワードを要求するように設定した場合、「普通にブラウジングする分にはパスワードは要求されないが、プロキシサーバーの設定に何らかの設定をしようとしたときにパスワードが必要」という状況になるのでしょうか?
そのとおりです。
maisumakunさん。ありがとうございました。
「別途プロキシサーバを立てて、そこ経由でしか外部にアクセスできないようにする」
という方針でいろいろいじってみます。
squidを用いて
・プロキシサーバを必ず経由するようにする
・ブラックリストの登録
・Basic認証などでpasswordを登録
という手順でやろうとしていますが、結局のところsquidに管理者権限でアクセスしてしまえば、squidを自由に編集できてしまうのではないでしょうか?
> 結局のところsquidに管理者権限でアクセスしてしまえば、squidを自由に編集できてしまうのではないでしょうか?
それは当然ですが、プロキシサーバの管理者権限を別途管理することも可能ですし、何が問題なのですか?
プロキシサーバの管理者権限を別途管理すればよいのですね。ありがとうございます。
squidをいろいろと使い試しました。
しかしながら、windowsでは「プロキシサーバ経由でのみインターネットにアクセスできるように設定する。」という設定を管理者権限の確認もなく容易に解除できてしまいます。Squidを経由せずにネットワークにアクセスできてしまうのであれば、squidの中にあるblacklistをすり抜けてWebサイトを閲覧できてしまうことになります。このような理由から「自分で設定したblacklistを解除できないようにWebサイトの閲覧を制限する」という目的を満たせないため、この方針は諦めます。
何かコメントがあればくださると助かります。
近いうちにまた別の質問を立てるかもしれません。
回答1件
0
ベストアンサー
HOSTSファイルをZIPファイルのように鍵をかけるような事は出来ません。
HOSTSファイルの読み取りは許可するが、変更を禁止させたいことが要件でしたら、アクセス権で制御する手法がベストプラクティスではないでしょうか?
投稿2020/06/10 08:00
総合スコア369
回答ありがとうございます。ですが、この方法を使うと使用者が通常のユーザーに成り下がってしまい、かつ使用者が管理者パスワードを知らない状態でなければなりません。これは、windows上でほかの管理者権限が必要な動作をするとき不便です。
端末利用者が「通常のユーザー」であることは従うべき規則であると考えます。
セキュリティ上、端末の利用者と管理者は分離するべきです。
ファイルにパスワードを設定する事と、管理者ユーザーを新設し固有のパスワードを設定して運用することに違いは無いと感じますがいかがでしょうか?
前者と後者の違いは、Windowsの一般的な機能で後者は実現可能である、という点です。
また後者、HOSTSファイルにパスワードを設定した場合、Windows OSが自動的にHOSTSファイルを読み込みますが、そのときはどう対処するのでしょうか?
結局のところこの方法が一番いいのかもしれません。
私は現在非常に雑な方法ですが、「自分で設定したblacklistを解除できないようにWebサイトの閲覧を制限する」という目的を達成するために、自分でhostファイルを編集した後管理者権限ごとなくすという方法で乗り切っています。
あなたの回答
tips
プレビュー
