ユーザー アカウント制御
ユーザー アカウント制御(UAC)は、PC をマルウェアによるダメージから守り、社内により高度に管理されたデスクトップを配置することができます。 UAC を使用すると、アプリとタスクは、管理者がシステムに対する管理者レベルのアクセスを特別に承認しない限り、常に管理者以外のアカウントのセキュリティ コンテキストで実行されます。 UAC は、承認されていないアプリの自動インストールをブロックし、システム設定に対する不注意による変更を防止できます。
UAC では、すべてのユーザーが、標準ユーザー アカウントを使って自身のコンピューターにログオンできます。 標準ユーザー トークンを使って起動されたプロセスでは、標準ユーザーに付与されたアクセス権を使ってタスクが実行されます。 たとえば、エクスプローラーでは、標準ユーザー レベルのアクセス許可が自動的に継承されます。 また、エクスプローラーを使って (たとえば、ショートカットをダブルクリックして) 起動されたアプリも、標準のユーザー アクセス許可セットで実行されます。 オペレーティング システム自体に含まれているアプリを含め、多くのアプリが、この方法で適切に動作するように設計されています。
他のアプリ、特にセキュリティ設定を考慮して設計されていないアプリについては、多くの場合、実行するときに追加のアクセス許可が必要です。 この種類のアプリは、レガシ アプリと呼ばれます。 さらに、新しいソフトウェアのインストール、Windows ファイアウォールへの構成変更などの操作には、標準ユーザー アカウントが利用できるものよりも多くのアクセス許可が必要です。
アプリを標準以上のユーザー権限で実行する必要がある場合、UAC を使用すると、ユーザーは既定の標準ユーザー アクセス トークンではなく、管理者トークン (管理グループと特権を持つ) を使用してアプリを実行できます。 ユーザーは引き続き標準のユーザー セキュリティ コンテキストで動作し、必要に応じて特定のアプリを管理者特権で実行できるようにします。
実際の適用例
UAC の管理者承認モードは、管理者が知らないうちにマルウェアが自動インストールされるのを防ぐ際に役立ちます。 また、不注意によってシステム全体が変更されるのを防ぐこともできます。 最後に挙げるのは、このモードによる高度なコンプライアンスの実施です。この場合、管理者は積極的に同意するか、管理プロセスごとに資格情報を提供する必要があります。
このセクションの内容
| トピック | 説明 |
|---|---|
| ユーザー アカウント制御の機能 | ユーザー アカウント制御(UAC)はMicrosoftのセキュリティ ビジョン全般の基本コンポーネントです。 UAC はマルウェアの影響を軽減させます。 |
| ユーザー アカウント制御 セキュリティ ポリシー設定 | セキュリティポリシーを使って、ユーザー アカウント制御が企業でどのように機能するか設定できます。 ローカル セキュリティ ポリシー スナップイン(secpol.msc)、もしくは構築されたドメイン、OU を使用するか、グループポリシーを設定することで、ローカルで構成できます。 |
| ユーザー アカウント制御 グループ ポリシーとレジストリ キー設定 | 組織が UAC の管理に使用できる UAC グループ ポリシーとレジストリ キー設定の一覧を次に示します。 |