Windows 10 の 1703 (Creators Update) および 1709 (fall Creators Update) バージョンの IE には、ダウンロード ファイルの実行に関するセキュリティ チェックの強化を行っております。
セキュリティ チェックの詳細なロジックにつきましては伏せさせていただきますが、この強化の影響により IE から .bat ファイルの実行はできないようになっております。
そのため、当該環境をご利用の場合は、.bat ファイルをダウンロードしローカル環境に保存した後に .bat ファイルを実行ください。
Windows 10 1703 未満の環境では [実行] をクリックすると .bat ファイルを実行できました。
一方、Windows 10 1703 以降の環境では [実行] をクリックしても何も表示されず .bat ファイルが実行されません。
<補足>
セキュリティの強化による影響でこのような動作となりますが、運用での回避が難しいなどのお客様からのフィードバックをいただき検討した結果、
Windows 10 の 1709 (fall Creators Update) バージョンでは、以下の条件を満たすことで IE から .bat ファイルを実行できるよう動作の見直しを行いました。
・ 以下のレジストリの設定を行う事
キー:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{aff735eb-cdf9-4894-aa69-3e3131128618}
名前:Policy
種類:REG_DWORD
値:3 (既定は 0)
・ "信頼済みサイト ゾーン" もしくは "ローカル イントラネット ゾーン" でダウンロード ページを表示している事
※ 注意 ※
これらの設定をいただく場合には以下のようなセキュリティ観点での注意が必要となり、弊社といたしましては当該設定を行うことは積極的に推奨するものではございません。
出来る限り一度ダウンロードしてから実行する運用での回避をお願いしたいところではございますが、どうしても IE 上から直接実行する必要がある場合に設定いただくことをご検討ください。
- ElevationPolicy について -
Windows Vista 以降の OS では、プロセスに実行権限を付与し動作できる範囲を抑止/制御しています。
IE では保護モードが有効な場合、低い権限で動作し OS 全体に変更を行うような操作が悪意を持って行われないように制御しています。
ElevationPolicy はこのような IE から別のプロセスを起動する場合に、より高い権限で動作する際の昇格方法を制御することができるレジストリです。
3 の値に設定した場合、ユーザーに通知することなく起動対象の別プロセスが中間の整合性 (通常の IL) のプロセスとして起動されます。
中間の整合性のプロセスとは通常多くのプロセスが動作するものですが、保護モードが有効な状態で動作した場合の IE の低い整合性 (低 IL) で起動した場合と比較し、起動したプロセスで実行できる内容が増えるため、
発行元の不明なファイルを開いてしまったような場合、悪意のあるコマンドが実行される可能性も相対的に増加いたします。
- 信頼済みサイトへの追加について -
IE にはセキュリティ ゾーンと呼ばれる機能が存在し、そのセキュリティ ゾーン毎にセキュリティ設定をすることで Web サイトが実行可能な操作を制御することができます。
一般的に、信頼済みサイトはインターネット ゾーンよりセキュリティの設定のレベルが低くなっており、実行可能となる動作が増えます。
ゾーンに追加することそのものが直接的に脅威となるわけではありませんが、任意のサイトを .bat ファイルを直接実行する目的のみで追加する必要があるのか(信頼される提供元のコンテンツであるのか)についてご検討ください。
<参考資料>
整合性 (IL) の概要につきましては、以下ブログ記事をご確認ください。
※ 「保護モードの本質」セクションをご参照ください。
ElevationPolicy につきましては、以下弊社技術資料をご確認ください。
保護モードの Internet Explorer の理解と機能
※ 「ブローカー プロセスの昇格」セクションをご参照ください。
セキュリティ ゾーンについては、以下ブログ記事をご確認ください。