ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格時のプロンプトを表示できるようにする

[ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格時のプロンプトを表示できるようにする] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。

リファレンス

このセキュリティ設定では、ユーザー インターフェイス アクセシビリティ (UIAccess または UIA) プログラムで、標準ユーザーが使用する昇格時のプロンプトに対して、セキュリティで保護されたデスクトップを自動的に無効にできるようにするかどうかを制御します。

  

この設定は、管理者に対する UAC 昇格時のプロンプトの動作を変更するものではありません。

 

背景

Windows サブシステムには、ユーザー インターフェイス特権の分離 (UIPI) により、低い特権のアプリケーションから高い特権のアプリケーションへのメッセージの送信やフックのインストールを防止する制限が実装されています。高い特権のアプリケーションは、低い特権のプロセスにメッセージを送信することが許可されます。特権レベル (または整合性レベル) が同じアプリケーション間では、UIPI によってメッセージの動作が干渉を受けたり変更されたりすることはありません。

Microsoft UI オートメーションは、Windows オペレーティング システムでアクセシビリティ要件をサポートする最新のモデルです。アクセシビリティに対応したユーザー エクスペリエンスをサポートするように設計されたアプリケーションが、ユーザーに代わって他の Windows アプリケーションの動作を制御します。オートメーション クライアント コンピューターとサーバー上のすべてのアプリケーションが標準ユーザーとして (つまり、中レベルの整合性レベルで) 実行されている場合、Microsoft UI オートメーション モデルは UIPI の制限の影響を受けません。

ただし、管理者承認モードを使って、管理ユーザーが UAC に基づいて昇格された特権でアプリケーションを実行する場合があります。Microsoft UI オートメーションでは、UIPI が実装する制限をバイパスする手段がない限り、デスクトップ上の昇格されたアプリケーションの UI グラフィックスを操作することができません。UIAccess を使うと、UI オートメーション プログラムで特権レベルを超えて UIPI の制限をバイパスできるようになります。

アプリケーションが特権の要求時に UIAccess 属性を指定した場合、そのアプリケーションは、特権レベルをまたいでメッセージを送信するために UIPI の制限をバイパスする必要があることを示しています。デバイスは、UIAccess 特権を持つアプリケーションを起動する前に、次のポリシー チェックを実装します。

  1. アプリケーションには、ローカル コンピューターの "信頼されたルート証明機関" ストアに関連付けられているデジタル証明書を使って検証できるデジタル署名が必要です。

  2. アプリケーションは、Program Files ディレクトリなど、管理者だけが書き込めるローカル フォルダーにインストールする必要があります。UI オートメーション アプリケーションに許可されているディレクトリは次のとおりです。

    1. %ProgramFiles% とそのサブディレクトリ。

    2. %WinDir% とそのサブディレクトリ。ただし、標準ユーザーが書き込みアクセス権を持つ一部のサブディレクトリを除きます。

結果の動作

この設定を有効にすると、Windows リモート アシスタンスなどの UIAccess プログラムが、昇格時のプロンプトに対してセキュリティで保護されたデスクトップを自動的に無効にできるようになります。この場合、昇格時のプロンプト自体も無効にされていない限り、セキュリティで保護されたデスクトップの代わりに、対話ユーザーのデスクトップにプロンプトが表示されます。プロンプトは、Windows リモート アシスタンス セッションを実行しているリモート管理者のデスクトップ ビューにも表示されます。リモート管理者は、昇格のための適切な資格情報を指定できます。

この設定が無効になっている場合、セキュリティで保護されたデスクトップは、対話型デスクトップのユーザー、または [ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] 設定 (デフォルトでは有効) を無効にすることによってのみ無効にできます。

設定可能な値

  • 有効

    UIA プログラムは、昇格時のプロンプトに対して、セキュリティで保護されたデスクトップを自動的に無効にすることができます。この場合、昇格時のプロンプト自体も無効にされてない限り、セキュリティで保護されたデスクトップの代わりに、対話ユーザーのデスクトップにプロンプトが表示されます。プロンプトは、Windows リモート アシスタンス セッションを実行しているリモート管理者のデスクトップ ビューにも表示されます。リモート管理者は、昇格のための適切な資格情報を指定できます。

  • 無効

    セキュリティで保護されたデスクトップは、対話型デスクトップのユーザーが無効にするか、または [ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にする方法でのみ無効にできます。

ベスト プラクティス

  • ベスト プラクティスは、セキュリティ ポリシーやリモートの運用要件によって異なります。

場所

コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション

既定値

次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。

サーバーの種類または GPO 既定値

既定のドメイン ポリシー

未定義

既定のドメイン コントローラー ポリシー

未定義

スタンドアロン サーバーの既定の設定

無効

DC の有効な既定の設定

無効

メンバー サーバーの有効な既定の設定

無効

クライアント コンピューターの有効な既定の設定

無効

 

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。

再起動の必要性

なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。

グループ ポリシー

すべての監査機能がグループ ポリシーに統合されています。管理者は、ドメイン、サイト、または組織単位 (OU) のグループ ポリシー管理コンソール (GPMC) またはローカル セキュリティ ポリシー スナップインにこれらの設定を構成、展開、および管理できます。

ポリシーの相互作用

この設定を有効にすることを計画している場合、[ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作] 設定の効果も確認してください。その設定が [昇格の要求を自動的に拒否する] に構成されていると、昇格の要求はユーザーに表示されません。この設定が無効になっている場合、セキュリティで保護されたデスクトップは、対話型デスクトップのユーザー、または [ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] 設定 (デフォルトでは有効) を無効にすることによってのみ無効にできます。

セキュリティに関する考慮事項

このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。

脆弱性

UIA プログラムは、ユーザーに代わって Windows やアプリケーション プログラムと対話するように設計されています。この設定を使うと、UIA プログラムがセキュリティで保護されたデスクトップをバイパスできるようになり、特定の状況における操作性が向上します。ただし、その場合の昇格要求は、セキュリティで保護されたデスクトップではなく標準の対話型デスクトップに表示されます。これにより、UI とアプリケーションの間で転送されるデータが悪意のあるプログラムによって傍受されるリスクが増大します。UIA プログラムは、UAC の昇格時のプロンプトなど、セキュリティの問題に関するプロンプトに応答できなければならないため、高度に信頼されている必要があります。信頼済みと見なされるために、UIA プログラムはデジタル署名されている必要があります。既定では、UIA プログラムは以下の保護されたパスからのみ実行できます。

  • ..\Program Files\ (およびサブフォルダー)

  • ..\Program Files (x86)\ (およびサブフォルダー、64 ビット版の Windows のみ)

  • ..\Windows\System32\

保護されたパス内に存在するという要件は、[ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ] 設定によって無効にできます。この設定はすべての UIA プログラムに適用されますが、主に特定の Windows リモート アシスタンスのシナリオで使われます。

対策

[ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格時のプロンプトを表示できるようにする] 設定を無効にします。

潜在的な影響

ユーザーが管理者にリモート アシスタンスを要求し、リモート アシスタンス セッションが確立されると、対話ユーザーのセキュリティで保護されたデスクトップに昇格時のプロンプトが表示され、管理者のリモート セッションは一時停止されます。リモート アシスタンス セッションをセットアップするときにユーザーが [IT エキスパートがユーザー アカウント制御プロンプトに応答することを許可する] チェック ボックスをオンにすると、昇格の要求時にリモート管理者のセッションが一時停止されるのを回避できます。ただし、このチェック ボックスをオンにすると、セキュリティで保護されたデスクトップに表示される昇格時のプロンプトに対話ユーザーが応答する必要があります。対話ユーザーが標準ユーザーである場合、そのユーザーは昇格を許可するために必要な資格情報を持っていません。

関連トピック

セキュリティ オプション