MachineKeysフォルダーのアクセス許可設定

Question

この質問は

Windows10pro のFallCreatorsUpdateで動かなくなったアプリケーションの原因を調べていて気づいたことです。

「質問内容」

FallCreatorsへのUpdate前のWindows10の状態によって以下のフォルダのアクセス許可の設定が

異なってしまうことがあるようです

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

上記フォルダのアクセス権は通常どう設定されているべきか？

（FallCreatorsUpdateの適用後の状態にて）

ご存知方、おられましたらご教授のほど願います。

「質問の経緯」

Windows10 のFallCreatorsUpdateの適用したWin10ProのPCで特定のアプリケーションが、

　問題なく起動するPC

　起動時にエラーとなるPC

それぞれが発生する状況になりました。

両者の差異をを調べていくと、以下のフォルダのアクセス権に違いがありました。

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

具体的には以下の内容でした

①問題なく起動するPCのMachineKeysのアクセス権

　AdministratorsとEveryoneの２つのユーザグループがあり、

　Administratorsはフルコントロール

　Everyoneは特殊なアクセス権（読み書きは出来るが削除やアクセス権変更は出来ない設定になっていた）

　（フォルダの所有者はSYSTEMになっていました）

②問題なく起動するPCのMachineKeysのアクセス権

　AdministratorsとEveryoneの２つのユーザグループがあり、

　Administratorsはフルコントロール

　Everyoneは読み取りと実行は出来るが、編集と書込みには許可なし

　（フォルダの所有者はSYSTEMになっていました）

以上、よろしくお願いします

Answer 1

南谷さん、ご協力ありがとうございます。

MachineKeys フォルダーのアクセス許可がWindowsのUpdateで書き変わる現象の原因については、

情報収集できませんでしたが、遡及策として以下の方法で対応をしていくことにしました。

アクセス許可の正常なPCで、ACLの情報をとっておいて（ファイルに保存）、

アクセス許可が書き変わってしまったPCが発生した際には、そこから戻します。

【icaclsコマンドでのアクセス許可の復旧】※管理者として実行すること

①修正元となるPC-aでACL保存

>C:

>CD C:\ProgramData\Microsoft\Crypto\RSA

>icacls MachineKeys /SAVE C:\TEMP\MachineKeys.icacls

ファイル　C:\TEMP\MachineKeys.icacls にACLの情報が書き込まれる

②修正したいPC-bでACL復元（①で作成したファイルの適用）

　①で作成したファイルをC:\TEMP\MachineKeys.icacls としてコピーしておく

>C:

>CD C:\ProgramData\Microsoft\Crypto\RSA

>icacls . /RESTORE C:\TEMP\MachineKeys.icacls

当面、この方法を使って運用で回避するつもりです。

皆様、ご協力ありがとうございました。

Answer 2

[C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys]へのアクセスについては、[HPC Pack 2012 R2 Update 3 fixes]で不具合があって直しましたなんて記事が2018/02/27に出ているので、何か不具合があるのでしょう。Windows 10だから発生するとか、アップデートしたから発生するとかいう問題ではないようです。

何のアプリケーションを使っていて問題が起きているのか書かないと分からないこともあります。

Answer 3

南谷さん、レスポンスありがとうございます。

＞お困りの状況についてさらに詳しい情報があると、ほかの方からアドバイスが寄せられやすくなるかもしれません。

追加の情報ですが。

今回起動しなくなった、アプリケーションは、.NetFramework2.0＋C# で作成した

独自のアプリケーションになります。

OSSのCastle Dynamic Proxyというライブラリ(Verは2.1.0)を使用していました。

こちらで調べていったところ、

System.Reflection.StrongNameKeyPair　クラスのインスタンス初期でエラーが出ていました。

ネット上で情報収集すると、MachineKeysのアクセス権を見直して回避した事例が有りました。

その後、Windows10のFallCreatorsUpdateを適用したり、戻したりを繰り替えすと、

MachineKeysのアクセス権が質問にある②になったり、①になったりする様子が確認できました。

Windowsサーバー向けの資料のようですが、

MachineKeys フォルダーの既定のアクセス許可についての記述は見つけました。

https://support.microsoft.com/ja-jp/help/278381/default-permissions-for-the-machinekeys-folders

上記を見るに、質問にある①の状態が正しいのだろうと思っています。

只、FallCreatorsUpdateの適用によってMachineKeys フォルダーの既定のアクセス許可が

書き換わってしまう理由は分からないままなのです。

Answer 4

Kazu_St さん、こんにちは。

マイクロソフト コミュニティをご利用いただき、ありがとうございます。

Fall Creators Update 適用後動作しないアプリがあり、MachineKeys フォルダーのアクセス許可が影響している可能性があるのですね。

また、MachineKeys フォルダーの既定のアクセス許可の設定はどのようになっているのかということですね。

手元の環境の Fall Creators Update 適用マシンで確認したところ、MachineKeys フォルダーは書き込んでいただいた 1 のアクセス許可設定になっていました。

お困りの状況についてさらに詳しい情報があると、ほかの方からアドバイスが寄せられやすくなるかもしれません。

よろしければ次の点についても書き込んでいただければと思います。

・起動しないアプリ名

・起動しようとするとどのような状態になるのか

(〇〇というエラー メッセージが表示されるなど)

Answer 5

すいません、質問者より質問内容の訂正です。

誤）

②問題なく起動するPCのMachineKeysのアクセス権

　AdministratorsとEveryoneの２つのユーザグループがあり、

　Administratorsはフルコントロール

　Everyoneは読み取りと実行は出来るが、編集と書込みには許可なし

　（フォルダの所有者はSYSTEMになっていました）

訂正）

②アプリケーションが起動時にエラーとなるPCのMachineKeysのアクセス権

　AdministratorsとEveryoneの２つのユーザグループがあり、

　Administratorsはフルコントロール

　Everyoneは読み取りと実行は出来るが、編集と書込みには許可なし

　（フォルダの所有者はAdministratorsになっていました）