ユーザー アカウント制御: 署名され検証された実行ファイルのみを昇格する
[ユーザー アカウント制御: 署名され検証された実行ファイルのみを昇格する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、特権の昇格を要求する対話型アプリケーションに対して、公開キー基盤 (PKI) 署名の確認を強制します。ローカル コンピューターの "信頼された発行元" ストアに証明書を追加することで、実行を許可するアプリを制御できます。
信頼された発行元は、コンピューターのユーザーによって信頼できると判断され、信頼された発行元のストアに証明書の詳細が追加されている証明書発行者です。
Windows は、証明書ストアに証明書を保持します。これらのストアは、ファイル システムまたはレジストリ内のコンテナーとして表されます。または、スマート カードなどの物理ストアとして実装されることもあります。証明書ストアは、コンピューター オブジェクトに関連付けられるか、そのコンピューター上にセキュリティ コンテキストとプロファイルを持つ特定のユーザーによって所有されます。さらに、サービスが証明書ストアを持つこともできます。多くの場合、証明書ストアには膨大な数の証明書が格納され、多数のさまざまな証明機関 (CA) から発行された証明書が含まれる可能性があります。
証明書パスの探索が開始されると、Windows は証明書の発行元 CA の特定を試み、信頼されたルート証明書への証明書パスを構築します。中間証明書は、アプリケーション プロトコルの一部として含められるか、グループ ポリシーから取得されるか、または機関情報アクセス (AIA) 拡張機能で指定された URL を通じて取り込まれます。パスが構築されると、パス内の各証明書が検証され、名前、時刻、署名、失効状態、その他の制約など、さまざまなパラメーターに関する有効性が確認されます。
設定可能な値
有効
指定された実行可能ファイルの実行を許可する前に、その PKI 証明書チェーンの検証を強制します。
無効
指定された実行可能ファイルの実行を許可する前に、その PKI 証明書チェーンの検証を強制しません。
ベスト プラクティス
- ベスト プラクティスは、セキュリティとパフォーマンスの目標によって異なります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。
グループ ポリシー
すべての監査機能がグループ ポリシーに統合されています。管理者は、ドメイン、サイト、または組織単位 (OU) のグループ ポリシー管理コンソール (GPMC) またはローカル セキュリティ ポリシー スナップインにこれらの設定を構成、展開、および管理できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
通常、知的財産権、個人を特定できる情報、その他の機密データは、コンピューター上のアプリケーションによって操作されますが、その情報にアクセスするには昇格された資格情報が必要です。ユーザーと管理者は、これらの情報ソースと共に使われるアプリケーションを本質的に信頼し、資格情報を提供します。このようなアプリケーションのいずれかが、信頼されているアプリケーションと同じ外観を持つにせのアプリケーションに置き換えられた場合、機密データが侵害され、ユーザーの管理者資格情報も侵害される可能性があります。
対策
[ユーザー アカウント制御: 署名され検証された実行ファイルのみを昇格する] を有効にします。
潜在的な影響
この設定を有効にするには、PKI インフラストラクチャが必要です。また、エンタープライズ管理者が、許可されているアプリケーションの証明書を "信頼された発行元" ストアにインストールしておく必要があります。一部の古いアプリケーションは署名されていないため、この設定で強化された環境では使用できません。この設定を実装する前に、運用環境で各アプリケーションを慎重にテストする必要があります。
デスクトップにインストールされるアプリケーションとドメインに参加するハードウェアを制御することでも、この設定による脆弱性への対策と同様の保護が提供されます。この設定によって提供される保護レベルは、悪意のあるすべてのアプリケーションの検出を保証するものではない点に注意が必要です。