ユーザー アカウント制御
ユーザー アカウント制御 (UAC) は、マルウェアによる PC 損傷を防いだり、適切に管理されたデスクトップを組織が展開できるように支援します。UAC を使用すると、アプリとタスクは、管理者がシステムに対する管理者レベルのアクセスを特別に承認しない限り、常に管理者以外のアカウントのセキュリティ コンテキストで実行されます。UAC は、承認されていないアプリの自動インストールをブロックし、システム設定に対する不注意による変更を防止できます。
UAC では、すべてのユーザーが、標準ユーザー アカウントを使って自身のコンピューターにログオンできます。標準ユーザー トークンを使って起動されたプロセスでは、標準ユーザーに付与されたアクセス権を使ってタスクが実行されます。たとえば、エクスプローラーでは、標準ユーザー レベルのアクセス許可が自動的に継承されます。また、エクスプローラーを使って (たとえば、ショートカットをダブルクリックして) 起動されたアプリも、標準のユーザー アクセス許可セットで実行されます。オペレーティング システム自体に含まれているアプリを含め、多くのアプリが、この方法で適切に動作するように設計されています。
他のアプリ、特にセキュリティ設定を考慮して設計されていないアプリについては、多くの場合、実行するときに追加のアクセス許可が必要です。この種類のアプリは、レガシ アプリと呼ばれます。さらに、新しいソフトウェアのインストール、Windows ファイアウォールへの構成変更などの操作には、標準ユーザー アカウントが利用できるものよりも多くのアクセス許可が必要です。
標準のユーザー権利を超える権利でアプリを実行する必要がある場合、UAC は、追加のユーザー グループをトークンに復元できます。これにより、ユーザーは、コンピューターまたはデバイスに対してシステム レベルの変更を行うアプリを明示的に制御できます。
実際の適用例
UAC の管理者承認モードは、管理者が知らないうちにマルウェアが自動インストールされるのを防ぐ際に役立ちます。また、不注意によってシステム全体が変更されるのを防ぐこともできます。最後に挙げるのは、このモードによる高度なコンプライアンスの実施です。この場合、管理者は積極的に同意するか、管理プロセスごとに資格情報を提供する必要があります。
新機能と変更された機能
Windows 10 向け UAC の新機能については、ユーザー アカウント制御に関するページをご覧ください。
このセクションの内容
トピック | 説明 |
---|---|
ユーザー アカウント制御 (UAC) は、Microsoft の全体的なセキュリティ ビジョンの基本的なコンポーネントです。 UAC は、マルウェアの影響を軽減するために役立ちます。 |
|
セキュリティ ポリシーを使用すると、組織内のユーザー アカウント制御の動作を構成できます。セキュリティ ポリシーをローカルで構成するには、ローカル セキュリティ ポリシー スナップイン (secpol.msc) を使います。グループ ポリシーによってドメイン、OU、または特定のグループに対してセキュリティ ポリシーを構成することもできます。 |