ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする
[ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、システム全体におけるアプリケーション インストールの検出に関する動作を決定します。
ソフトウェアの中には、実行許可が与えられた後に自身のインストールを試みるものがあります。ユーザーは、プログラムを信頼して実行許可を与えます。ところがその後、不明なコンポーネントのインストールを要求されることがあります。このセキュリティ ポリシーは、このようなソフトウェア インストールの試みを特定し、損害が与えられる前に阻止する手段を提供します。
設定可能な値
有効
インストールに特権の昇格を必要とするアプリケーション インストール パッケージは検出され、ユーザーに管理者資格情報を求めるプロンプトが表示されます。
無効
インストールに特権の昇格を必要とするアプリケーション インストール パッケージは検出されず、ユーザーに管理者資格情報を求めるプロンプトが表示されることはありません。
ベスト プラクティス
グループ ポリシー ソフトウェア インストール (GPSI) や構成マネージャーなどの委任型インストール テクノロジを利用する標準ユーザー デスクトップを実行している企業では、インストーラーを検出する必要はありません。この場合は、このセキュリティ ポリシーを [無効] に設定できます。
[ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする] 設定を有効にして、ソフトウェアをインストールする前に、標準ユーザーに管理者資格情報の入力が要求されるようにします。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
有効 |
DC の有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
有効 |
クライアント コンピューターの有効な既定の設定 |
有効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
悪意のあるソフトウェアの中には、実行許可が与えられた後に自身のインストールを試みるものがあります。たとえば、悪意のあるソフトウェアが、信頼されたアプリケーションに偽装している場合があります。ユーザーは、プログラムを信頼して実行許可を与えます。ところがその後、不明なコンポーネントのインストールを要求されることがあります。このポリシーは、損害が与えられる前にそのようなソフトウェアを検出する手段を提供します。
対策
[ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする] 設定を有効にします。
潜在的な影響
プログラムをインストールするには、ユーザーが管理パスワードを入力する必要があります。