今回の記事では、ActiveDirectoryのグループポリシーや、Windowsのレジストリを編集して、Edgeの画面上部に表示される通知の許可要求を無効化する方法を紹介します。
ブラウザの通知許可要求が有効化されている場合のセキュリティリスク
ブラウザでウェブサイトにアクセスする際に、以下のような通知がブラウザの画面上部に表示されることが有るかと思います。
■Microsoft Edgeの場合
通知を表示する
「許可」を選択すると、OSの通知エリアに広告などの通知が表示されるようになります。
この事例については、以下のリンク先のIPA(情報処理推進機構)のページでも詳しく解説されております。
詳しい内容は以下のリンク先をご確認ください。
また、私の職場でも以下のような通知がWindowsの画面右側の通知エリアに表示されるようになってしまったパソコンが発生しました。
ブラウザのプッシュ通知を悪用した不正広告の実例
この通知は有名なセキュリティソフトのメーカーを装った偽通知であり、この通知をクリックすると、何らかの不正なソフトのダウンロードサイトに遷移したり、実際にファイルがダウンロードされるといった挙動になるかと思います。※怖くて試していませんが
パソコンに詳しくない人は、よくわからないまま「許可」を押してしまう可能性が高く、企業で使用するWindowsパソコンにおいて、ブラウザの通知許可要求を有効にしておくことはメリットよりデメリットの方が大きいと言えます。
有効な対策の一つとしては「ブラウザの通知許可の確認を表示させない(許可要求を無視する)」ことです。
この確認画面がそもそも表示されなければ、ユーザーが誤って「許可」を押してしまうこともなくなります。
当記事では、ActiveDirectoryのグループポリシーやWindowsのレジストリを編集することで、Edgeの通知の許可確認自体を表示させないようにする方法を紹介します。
Edgeの通知許可確認の表示を無効化する各方法
当項では、Edgeの画面上部に表示される「通知の許可確認」の表示を無効化する場合の各方法を紹介していきます。
手動で設定する方法
手動で設定する場合、Edgeの以下の設定画面から「通知の許可確認」の表示、非表示を変更することができます。
以下のスクリーンショットがEdgeの通知に関する既定の設定状態です。
矢印に指定した箇所をオフにすることで、通知要求を出してくるウェブサイトにアクセスした場合でも「通知の許可要求」は表示されなくなります。
企業で多くのパソコンを管理している場合、すべての端末でこの操作をすることは現実的ではないため、ActiveDirectoryを導入していれば、グループポリシーで管理下の端末に一斉に適用します。
また、ActiveDirectoryが導入されていない企業では、何らかのスクリプトを配信して、対応するレジストリの値を直接書き換えてもよいでしょう。
次項でそれぞれのやり方を紹介していきます。
ADのグループポリシーで適用する方法
ActiveDirectoryのグループポリシーで適用させる場合は、「グループポリシー管理エディター」の以下の場所に設定項目を編集します。
設定名:通知の既定の設定
「通知の既定の設定」画面の既定値は「未構成」が選択されています。
ここを「有効」に変更し、オプションの「通知の既定の設定」では[どのサイトに対してもデスクトップ通知の表示を許可しない]を選択して「適用」又は「OK」で反映します。
後は、このGPOを適用対象のOU(Organizational Unit)などにリンクさせれば、次回のログイン時などに反映されます。
もし、すぐにこの設定を端末に反映させたければ、対象の端末でコマンドプロンプトを起動して、以下のコマンドを実行してもらえれば強制的に現在のドメインコントローラーで設定されているグループポリシーを強制的に適用させます。
gpupdate /force
尚、グループポリシーが反映されると、Edgeの設定は以下のようになります。
ActiveDirectoryの管理対象の項目として追加されたため、「送信前に確認する」の項目はユーザー側で変更できなくなります。
もしユーザー側で「送信前に確認する」の項目を必要によって変えられるようにするのであれば、次項で解説したレジストリ編集方式で対応してください。
ADを導入済みの環境であれば、基本的にグループポリシーで反映させるようにしてください。
レジストリを直接編集する方法とスクリプトサンプル(batとVBS)
ActiveDirectoryを導入していない環境では、レジストリを編集することで、同様にEdgeの通知設定を変更することができます。
対象のレジストリ情報は以下です。
| ルートキー | HKEY_CURRENT_USER 又は、HKEY_LOCAL_MACHINE |
| サブキー | SOFTWARE\Policies\Microsoft\Edge |
| 値の名前 | DefaultNotificationsSetting |
| 値の種類 | DWORD |
| 値 | 1:サイトがデスクトップ通知を表示できるようにする 2:サイトがデスクトップ通知を表示できないようにする 3:サイトがデスクトップ通知を表示するたびに確認を求める |
尚、Edgeの通知設定を明示的に変更したことがなければ、対象のレジストリのキーも存在しないため、新しくキーを作成する必要があります。
このレジストリを「regedit.exe」などから編集しても設定変更が可能です。
コマンドライン(bat)で編集するサンプル
Windowsのコマンドから対象のレジストリを編集して通知を無効化する場合は以下のコマンドになります。
reg add HKCU\SOFTWARE\Policies\Microsoft\Edge /v DefaultNotificationsSetting /t REG_DWORD /d 2 /f
このコマンドを元にbat形式のファイルを作成してユーザーに配布する、又は何らかのスクリプト配信の仕組みでユーザーの端末に自動配布する場合は、過去に当ブログで紹介した以下の記事の「batファイル化する場合のポイント」を参考にしてください。
VBScriptで編集する場合のサンプル
VBScriptを使用してレジストリの編集する場合のサンプルコードは以下になります。
Option Explicit
Dim WshShell
Set WshShell = CreateObject("WScript.Shell")
WshShell.RegWrite "HKCU\SOFTWARE\Policies\Microsoft\Edge\DefaultNotificationsSetting",2, "REG_DWORD"
Set WshShell = Nothing
WScript.Shellオブジェクトの「RegWrite」メソッドでレジストリの作成や書き換えができます。
RegWriteメソッドでは、指定されたレジストリキーや値の名前が存在しなければ作成し、存在していれば値を書き換えます。
RegWriteメソッドに関する詳しい解説は、Microsoftの以下のリンクをご参照ください。
VBScriptはレジストリの編集も容易に実装できます。
是非活用してみてください。
最後に
今回の記事では、Edgeの「通知許可の確認」を無効化する方法を幾つかのやりかたで紹介しました。
冒頭で紹介した、ブラウザの通知機能を悪用する不正な広告の表示対策としては、一般的なセキュリティソフトでは回避は難しく、ウェブフィルタリング製品などを導入しないかぎり、なかなか有効な対策がとれないため、今回紹介したように、通知の許可要求があっても通知許可の確認自体を発生させないようにするのが効果的だと考えました。
但し、通知要求を完全に無視させることで業務に支障がでないかどうかは、個々の企業によって異なるかと思うので、十分検討したうえで実施してください。
当記事で紹介したグループポリシーの位置やレジストリの値については、Microsoftの以下のリンクを参考にまとめています。
必要によってこちらのリンク先も確認してください。
今回も当ブログの記事を読んでいただきましてありがとうございました。
それでは皆さまごきげんよう!
