グループポリシーの中の設定ですよね？＞[マイ コンピュータ]からドライブにアクセスできないようにする

TweakUIのマイコンピュータタブにあるドライブから、アクセスさせたくないドライブのチェックをはずせばよいと思います。これは、設定を行ったユーザのみに反映されるようです。

TweakUIの設定は窓の手のドライブを隠すと一緒ですね。これだと確かにドライブは隠れるのですがエクスプローラのアドレスの所に「D:」とか入れると隠したはずのドライブにアクセスできてしまいます。完全にアクセス不能にしたいのですが…

それだと、NTFS以外では無理かと思いますが・・・
真意がはかりかねますが、たとえば、USBメモリーキーやネットワークドライブなどの
最初からはプリセットされないドライブに対して行いたいのですか？

事の成り行きを説明すると長くなるのですが…

どる仲の方に書いてあるのですがもうそろそろADSL(Yahoo! BB)が入りそうなんです。これを機会に家族もインターネットを使えるようにしたいのですがウイルスやワームを呼び込まれられると大変なのでWin2000に作ってある家族用アカウントから接続させようと思っているのですが標準ではFATパテーションへのアクセスには制限ができないのですね。（うちはWin98SEも使っていますので…）Win2000の起動ドライブはNTFSなので制限を設けておけばウイルスやワームにシステムを破壊＆乗っ取りされる可能性は低いと思いますがWin98SEは無防備です。これを何とかしたいのですが…ウイルス対策ソフトも入っていますが新種だと対応できないこともありますし…

それで何とかFATパテーションへのアクセスを制限できないかと考えたのですが…

セキュリティにかなり気をつかっている割に、Ｗｉｎ９Ｘを使うというのはなんとも
訳わかりません。
>Win2000に作ってある家族用アカウントから接続
これ、どういう意味だろうか？
インターネットに接続するのに、なぜ無関係なWin2000のアカウントが必要なのだろうか？

＞セキュリティにかなり気をつかっている割に、Ｗｉｎ９Ｘを使うというのはなんとも
訳わかりません。
Win9xだから余計気になるのでは？

結構頻繁に「Win2000にしろ」的なレスを見かけますが、作業上旧OSが必須で移行できない場合だってありますし、OSの換装は環境の以降も含めてかなり大変ですし、またOSそのものも高価です。
この辺りは見ていて非常に気になるのですがどうなんでしょうか？

>作業上旧OSが必須で移行できない場合だってあります
だとしたら、プロクシを立て、外部からの攻撃を直接受けないようにするとか
そういう工夫は必要かも。（もちろん無料/安価のLinuxなぞを使って）

Ｗｉｎ９Ｘにセキュリティを求めるのは無理な気がする。確かに便利だけど、その分
セキュリティが甘いということだしね。

> 外部からの攻撃を直接受けないようにするとか
確かにこれに対する対策も必要ですがぼくが心配しているのはメールなどで送り込まれたウイルスやワームが内部で拡大感染したり破壊活動をしたりすることです。NTFSパテーションはアクセス制限を設定できますのでアクセス不能にしておけばまずこういう物の被害を受けることはないでしょうがFATパテーションは無防備なんですね。どの権限からもアクセスできますし。

家族には「パソコンを使うときにはWin2000から使ってくれ」と言ってあるんです。そのために家族用のアカウントを自分用とは別に制限ユーザーで作ってあるんです。そこからインターネットにもアクセスさせようと思っているのですがこのアカウントで家族が使用中に侵入させてしまった（Sircam or Nimdaなどメール＆Webブラウジングで）したウイルスがFATパテーションで増殖・破壊というのを避けたいのです。

Win9x系は全て自分用で使っています。完全にWin2000にするのは今のところ無理です。パッドを使うゲームはWin98SE + DPPでやっていますので…

なるほど。事情はよくわかりました。
しかし、それに対する対策だと、かなり難しいというのはあります。
ユーザが使う制限をするのはまだ手段があるかと思うのですが、システム全体でアクセス
を禁止するとなるとWindows9x系では厳しい物があるかと思います。

＞だとしたら、プロクシを立て、外部からの攻撃を直接受けないようにするとか

対策をもっと上位の（入り口）の方から考えるというのも確かに有効ですね。
メール等での破壊が気になるのであれば、OutlookExpressだとしたら厳しいかと。
設定で制限付きサイトゾーンでアクセスさせるとか、方法はありますが・・・。

Win2KとWin9xでHDDを独立させ、HDDをリムーバブルケースに入れてゲームをするときだけWin9xのHDDに差し替える、というのはダメですか？

>i96968さん
尭さんの使用しているのはXa10だそうですので、その方法は使えないと思います・・・(^^;)

で、話がウィルス対策ならば、添付ファイルやHTMLメール、駆除ソフトの扱いぐらいは、おうちの方にきっちり指導するのが結局は早道のような気がします。できるならOutlookExpress以外のメーラーを使ってもらうようにした方がよいですね。

Webブラウズ中に悪質ないたずらが仕掛けられたページに引っかかってしまうのが心配なら、Proxomitronとかのフィルタリングツールを使って、できるだけ危険な要素を取り除いた(且つ極端に不便にならない)環境を作ってやればよいのではないかと思います。

＞尭さんの使用しているのはXa10だそうですので
あうっ、Res.2を読んで別のマシンかと思ってました…。(T_T)ノ
それならCE9A さんに一票です。

> OutlookExpress以外のメーラー
Outlook系は使うつもりはないです。ついでにIEも。セキュリティホールが怖いので…たとえパッチをあてたとしても…

> Proxomitron
これも使うつもりでいます。今も使っていますし。ブラクラ程度ならこれで防げますね。
> リムーバブルケース
うちのシステムはIFC-USP-MでIDE HDDのSDAT接続なので難しいです。リムーバブルケースの置き場もないですし…

> おうちの方にきっちり指導するのが結局は早道のような気がします。
やっぱそれしかないのでしょうかねぇ…う〜ん…メカ（PC含む）音痴が多い…何とかなるかなぁ…

一応スレッドの質問の方は解決しました。がドライブを隠すと併用してもセキュリティ対策としてはあまり意味がないかもしれないです。

セキュリティポリシーの「ローカルセキュリティ設定」−＞「ユーザーの構成」−＞「管理用テンプレート」−＞「エクスプローラ」に「[マイ コンピュータ]からドライブにアクセスできないようにする」の設定がどこに保存されているか調べるために[HKEY_CURRENT_USER]の下をファイルに書き出して設定を変更しながらfcをかけたところ以外とあっさり見つかりました。

場所は、
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoViewOnDrive"=dword:xxxxxxxx
です。NoViewOnDriveの数値の２進数で１桁目がAドライブで26桁目がZドライブに対応し、1でアクセス拒否、0で許可のようです。

これを設定するとドライブ自体は表示されていますがエクスプローラからのディレクトリの取得が不能になります。しかしその他のファイラーからは問題なく読めてしまいますし、アドレスの欄にパスを入力するとファイルリストが表示されてしまうのでそんなにセキュリティ対策にならないかもしれません。もちろんNTFSパテーションのアクセス制限はちゃんと機能しますがこの設定がされているとフルアクセスになっていてもエクスプローラからディレクトリリストの表示ができなくなります。
＊＊＊＊＊＊＊＊＊＊＊間違っていたので修正しました＊＊＊＊＊＊＊＊＊＊＊