【構成】レジストリ編集
作成日:2021年9月13日 | 更新日:2024年5月28日
この記事では、Windows向け構成機能の筆頭であるレジストリ編集機能について説明しています。
【構成】レジストリ編集
Endpoint Centralのレジストリ編集機能を使用して、コンピューター/ユーザーに対してレジストリの 値の変更 / 値の削除 / キーの追加 / キーの削除 が可能です。また、手動での設定に加えてレジストリファイル(.reg 形式のファイル)をインポートすることも可能です。
お客様の責任において実施し、本番環境への構成配布前に、かならずテスト端末をご用意いただき、ご検証ください。
レジストリとは
レジストリとは、Windows OSやアプリケーションの設定情報を保存するデータベースです。直接操作する場合はレジストリエディタ(regedit.exe)を使用します。
例えば、Windows 10でコンピューター名の情報が保存されているレジストリは以下の通りです。
(例) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
名前 種類 データ (既定) REG_SZ mnmsrvc ComputerName REG_SG PC-01
このとき、キー、サブキー、値、種類は以下の通りです。
キー(ヘッダーキー): HKEY_LOCAL_MACHINE
サブキー: SYSTEM\CurrentControlSet\Control\ComputerName
データタイプ: REG_SG
値の名前: ComputerName
値のデータ: PC-01
類似の機能
レジストリを閲覧・編集する機能
- 「ツール」タブから利用できる「システムマネージャー」機能では、電源が入っており通信可能な端末に対して、レジストリの表示(閲覧)や編集(キーおよび値の追加・削除)を遠隔で実行することが可能です。レジストリを表示させる(Endpoint Centralのコンソール画面上から対象端末のレジストリを閲覧する)際には、エクスポートすることも可能です。
「システムマネージャー」はサーバーと通信可能な特定の1台の端末に対してリアルタイムで遠隔から操作する機能であるのに対し、「構成」タブから利用できるレジストリ編集機能では、複数端末に対して構成を配布します。
- 構成機能のテンプレート機能を使用すると、特定のレジストリについて、値を変更することが可能です。
テンプレート機能では、カテゴリ別・目的別にレジストリ等を編集可能です。
レジストリ編集を制限する機能
- 構成機能の権限管理機能を使用すると、ユーザーによるレジストリ編集を制限できます。
- 構成機能のセキュリティポリシーを使用すると、ユーザーによるレジストリエディタの使用を制限できます。構成タブ > セキュリティポリシー > ユーザー > システム > レジストリ編集ツールの使用を制限する を「有効」としてユーザーに配布します。
レジストリ値をもとにアクションを実行する機能
- レジストリ値をもとに条件に一致する管理対象PCをネットワークから切断(隔離)するには、ネットワークアクセス制御(NAC)機能を使用します。
- ソフトウェア配布において、レジストリ値が一致するか/レジストリ値が存在するかチェックするには、パッケージ作成時の配布前アクティビティ/配布後アクティビティにおいて「レジストリ値のデータチェック」「レジストリキー/値のチェック」を追加します。
レジストリ編集の設定方法
- 構成タブ > 構成の追加 > 構成 > Windows をクリックして開き、「レジストリ」 > ユーザー構成 または コンピューター構成 を選択します。
ユーザーを選択すると、 HKEY_CLASSES_ROOT 、 HKEY_CURRENT_CONFIG 、 HKEY_CURRENT_USER 、 HKEY_USERS\.Default 以下のレジストリを編集可能です。
コンピューターを選択すると、 HKEY_LOCAL_MACHINE 以下および HKEY_USERS\.Default 以下のレジストリを編集可能です。ヘッダーキー 構成の種類 HKEY_CLASSES_ROOT ユーザー構成 HKEY_CURRENT_CONFIG HKEY_CURRENT_USER HKEY_USERS\.Default コンピューター構成 HKEY_LOCAL_MACHINE - レジストリ編集構成の名前、説明を入力します。
- レジストリ編集の詳細内容を設定します。レジストリを編集する対象を手動で指定する場合は「手動」を、レジストリファイルをインポートする場合は「インポート」を選択します。
- 手動を選択した場合:
アクション: 操作の種類を以下から選択し、続いてヘッダーキー、サブキー、データタイプ、値などを指定します。値の変更
レジストリの値(データ)を変更します(新規に値を追加する場合も含まれます)。ヘッダーキーを選択し、サブキーを入力します(対象端末に既に存在するサブキー以外を入力することもできます。その場合、入力した内容で新たなサブキーが作られることになります)。続いてデータタイプを選択し、値の名前、値を入力します。各項目については上記「レジストリとは」の例をご覧ください。
値の削除
レジストリの値(データ)を削除します。ヘッダーキー、サブキー、値の名前を指定します。
キーの追加
レジストリに新たなキー(サブキー)を追加します。ヘッダーキー、サブキーを指定します。
キーの削除
- インポートを選択した場合:
レジストリファイルをアップロードする場合は 「HTTPを使用」 を選択し、[参照] をクリックしてファイルを選択します(またはファイルをドラッグ&ドロップします)。
共有フォルダーに保存されたレジストリファイルを使用する場合は、 「ネットワーク共有/ローカルパスを使用」 を選択し、パスを入力します。
ユーザーを選択した場合、実行ユーザーを選択可能です。必要に応じて対象ユーザー(配布対象として指定したユーザー)、実行ユーザー(ユーザー名を選択)から選択します。
また、複数のレジストリ編集を実行する場合は[レジストリ設定の追加]をクリックして、同様にレジストリ編集の詳細を入力します。 - 手動を選択した場合:
- 適用対象を設定します。
- 必要に応じて実行設定を入力します。
- 配布をクリックします。
以上で、レジストリを編集することができます。
レジストリ編集の利用例
ここでは例として、メモ帳(notepad.exe)とMicrosoft Edge(msedge.exe)をブロックします。
- まず、実行ファイルのブロックを有効化するためのレジストリ編集を行います。以下の内容で構成(ユーザー構成)を作成し、ユーザーを指定して配布します。
- アクション: 値の変更
- ヘッダーキー: HKEY_CURRENT_USER
- サブキー: Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- データタイプ: REG_DWORD
- 値の名前: DisallowRun
- 値のデータ: 1
- 続いて、ブロックの対象となる実行ファイル名を指定するためのレジストリ編集を行います。メモ帳をブロックするには、以下の内容で構成(ユーザー構成)を作成し、ユーザーを指定して配布します。
- アクション: 値の変更
- ヘッダーキー: HKEY_CURRENT_USER
- サブキー: Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
- データタイプ: REG_SZ
- 値の名前: 1 (※ 管理しやすいように、通し番号を付けます。)
- 値のデータ: notepad.exe
- 続いて、さらにMicrosoft Edgeをブロックするには、以下の内容で構成(ユーザー構成)を作成し、ユーザーを指定して配布します。
- アクション: 値の変更
- ヘッダーキー: HKEY_CURRENT_USER
- サブキー: Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
- データタイプ: REG_SZ
- 値の名前: 2 (※ メモ帳をブロックする際に値の名前として「1」を既に使用したので、他の値を指定します。)
- 値のデータ: msedge.exe
- 以上でメモ帳(notepad.exe)とMicrosoft Edge(msedge.exe)をブロックすることができます。
構成が配布・適用された後、ブロック対象の実行ファイルを起動しようとした時点(対象の実行ファイルがすでに実行中の場合は、一旦閉じて再度起動しようとした時点)より、ブロックが有効化されて起動失敗となります。以下のようなエラーが表示されます。
※ 上記の例では3つの構成に分けて配布しましたが、1つの構成として一度に実行することも可能です。設定方法の手順で説明したとおり、「レジストリ設定の追加」ボタンを使用することで1つの構成で複数のレジストリ値を設定できます。