ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作
[ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、標準ユーザーの昇格時のプロンプトの動作を決定します。
設定可能な値
昇格の要求を自動的に拒否する
このオプションが選択されている場合、特権の昇格を必要とする操作を標準ユーザーが実行しようとすると、"アクセス拒否" エラー メッセージが返されます。デスクトップを標準ユーザーとして実行している組織では、多くの場合、このポリシーの構成によってヘルプ デスクへの問い合わせを減らすことができます。
セキュリティで保護されたデスクトップで資格情報を要求する
これが既定値です。特権の昇格を必要とする操作を実行しようとすると、セキュリティで保護されたデスクトップでユーザーにプロンプトが表示され、別のユーザー名とパスワードを入力するように求められます。有効な資格情報を入力すると、該当する特権で操作が続行されます。
資格情報を要求する
特権の昇格を必要とする操作を実行しようとすると、ユーザーにプロンプトが表示され、管理ユーザーの名前とパスワードを入力するように求められます。有効な資格情報を入力すると、該当する特権で操作が続行されます。
ベスト プラクティス
[ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作] を [昇格の要求を自動的に拒否する] に構成します。この設定では、特権の昇格を必要とするプログラムを実行する場合、ユーザーは管理アカウントでログオンする必要があります。
セキュリティのベスト プラクティスとして、標準ユーザーには管理パスワードを知らせないようにしてください。ただし、ユーザーが標準レベルと管理者レベルの両方のアカウントを持っている場合は、[資格情報を要求する] に設定して、ユーザーが常に管理者アカウントでログオンすることを防ぎ、標準ユーザー アカウントを使う習慣を付けてください。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
セキュリティで保護されたデスクトップで資格情報を要求する |
DC の有効な既定の設定 |
セキュリティで保護されたデスクトップで資格情報を要求する |
メンバー サーバーの有効な既定の設定 |
セキュリティで保護されたデスクトップで資格情報を要求する |
クライアント コンピューターの有効な既定の設定 |
セキュリティで保護されたデスクトップで資格情報を要求する |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。
グループ ポリシー
すべての監査機能がグループ ポリシーに統合されています。管理者は、ドメイン、サイト、または組織単位 (OU) のグループ ポリシー管理コンソール (GPMC) またはローカル セキュリティ ポリシー スナップインにこれらの設定を構成、展開、および管理できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
UAC 機能の目的の 1 つは、悪意のあるプログラムが、ユーザーや管理者に気付かれずに昇格された資格情報で実行されるリスクを軽減することです。この設定によって、昇格された特権を必要とする操作をプログラムが使おうとしていること、そのプログラムを実行するには管理者資格情報を提供する必要があることをユーザーに知らせることができます。
対策
[ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作] を [昇格の要求を自動的に拒否する] に構成します。この設定では、特権の昇格を必要とするプログラムを実行する場合、ユーザーは管理アカウントでログオンする必要があります。セキュリティのベスト プラクティスとして、標準ユーザーには管理パスワードを知らせないようにしてください。ただし、ユーザーが標準レベルと管理者レベルの両方のアカウントを持っている場合は、[資格情報を要求する] に設定して、ユーザーが常に管理者アカウントでログオンすることを防ぎ、標準ユーザー アカウントを使う習慣を付けることをお勧めします。
潜在的な影響
昇格された特権でプログラムを実行するには、ユーザーが管理パスワードを入力する必要があります。このため、影響を受けるプログラムが特定され、最小限の特権での操作をサポートするように標準の操作手順が変更されるまで、IT 担当者の負荷が増加する可能性があります。