ユーザー アカウント制御: ファイルおよびレジストリの書き込みエラーを各ユーザーの場所に仮想化する
[ユーザー アカウント制御: ファイルおよびレジストリの書き込みエラーを各ユーザーの場所に仮想化する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、以前のアプリケーションの書き込みエラーを、定義済みのレジストリとファイル システムの場所にリダイレクトする動作を有効または無効にします。この機能は、これまで管理者として実行され、アプリケーションの実行時データを %ProgramFiles%、%Windir%、%Windir%\system32、または HKEY_LOCAL_MACHINE\Software\ に書き込んでいたアプリケーションの問題を緩和するものです。
Windows Vista 以降を実行するデバイスを対象としたアプリケーションでは、この機能は不要なため、無効にすることができます。
設定可能な値
有効
この値を設定すると、ファイル システムやレジストリに対するアプリケーションの書き込みエラーを、定義済みのユーザーの場所に実行時にリダイレクトできます。
無効
保護された場所にデータを書き込むアプリケーションが失敗します。
ベスト プラクティス
Windows Vista に準拠していないアプリケーションを実行する場合は、古いアプリケーションが安全でない場所にデータを書き込むことを防ぐために、このセキュリティ ポリシーを有効にします。
Windows Vista 以降に準拠したアプリケーションだけを実行している場合は、この機能は不要なため、このポリシーを無効にすることができます。
場所
\コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
有効 |
DC の有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
有効 |
クライアント コンピューターの有効な既定の設定 |
有効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
すべての監査機能がグループ ポリシーに統合されています。管理者は、ドメイン、サイト、または組織単位 (OU) のグループ ポリシー管理コンソール (GPMC) またはローカル セキュリティ ポリシー スナップインにこれらの設定を構成、展開、および管理できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
以前のアプリケーションでは、データが安全な場所に書き込まれるとは限りません。
対策
[ユーザー アカウント制御: ファイルおよびレジストリの書き込みエラーを各ユーザーの場所に仮想化する] 設定を有効にします。
潜在的な影響
なし。これは既定の構成です。