セキュリティ対策の要点解説
第 16 回 Windows Vista のセキュリティ機能 ~ User Access Control Part 2 ~
公開日: 2007年4月25日
.gif)
マイクロソフト株式会社
セキュリティ レスポンス チーム
小野寺 匠 著
前回は、管理者権限などの使用を制限するユーザー アクセス制御 (UAC: User Access Control) について触れ、UACをオフにすることを推奨しない事を書きました。今回は、オフにしたいような状況への対処方法について触れます。
UAC は、セキュリティと利便性を語る上での実例なのかもしれません。今まで管理者権限を無制限に使えたところに、管理者権限を制限したわけですから不便を感じる場合もあるでしょう。これが、いわゆるアプリケーションの互換性につながってきます。不便を感じるだけであれば、まだしも権限が完全に不足して動作しないアプリケーションがある可能性があります。その様なアプリケーションは、日常的に管理者権限を必要とするような処理をしてしまっているのだと思われます。例えば、ユーザーデータを、Program files以下に格納するとか、Local Machine レジストリを書きかえるとか・・・
この様な、アプリケーションでも使えなければ困ります。セキュリティを考えても全く利用できないのは、過剰なトレードオフが発生しているとしかいえません。その様な場合に、全体としてのセキュリティレベルを落とすことなく、そのアプリケーションに付いてのみセキュリティを弱める等の措置ができれば、利便性とのバランスを確保できるわけです。
そのためのツールが、Application Compatibility Tool Kit (ACT) になります。このツール自体は、Vistaよりも前から提供されており、Vista にも対応した最新版が、ACT 5.0 となります。OS のバージョンアップにより既存のアプリケーションの動作が期待通りではないときに、このツールで原因の分析と対策が行なえます。対策の方法は、アプリケーションに影響を与えている特定の機能をそのアプリケーションに対してのみ、以前のバージョンと類似した動作への変更、機能自体のオフが可能です。ACT をインストールし、[Microsoft Application Compatibility Toolkit 5.0] - [Compatibility Administrator] を使って、Compatibility Fix として、UAC の動作で管理権限が常に要求される RunAsAdmin を指定する事で、権限不足で動作しないケースを回避できます。
.gif)
図 1
ためしに、メモ帳 (notepad) に対して、RunAsAdmin の Fix を適用してみると画面 2 の様に、メモ帳の起動ごとに、UAC を通じて管理者権限が与えられます。
.gif)
図 2
しかし、安易にこの Fix をアプリケーションに適用すると折角 UAC により権限を抑えて実行している意味がなくなってしまいますので、他に方法が無い場合の最後の手段とて使うようにしたいですね。他の Fix で対応できる場合もありますので、Standard User Analyzer を使って分析してみる事からはじめてみるのも面白いかもしれません。
.jpg)
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。
購読無料
.gif)
セキュリティ ニュースレターでは、セキュリティに関する様々な情報を毎月お届けしています。 セキュリティ ニュースレターを購読する。
バックナンバー