ユーザー アカウント制御の概要

ユーザー アカウント制御(UAC)はMicrosoftのセキュリティ ビジョン全般の基本コンポーネントです。 UAC は、悪意のあるプログラムの影響を軽減するのに役立ちます。

機能の説明

UAC では、すべてのユーザーが、標準ユーザー アカウントを使って自身のコンピューターにログオンできます。 標準ユーザー トークンを使って起動されたプロセスでは、標準ユーザーに付与されたアクセス権を使ってタスクが実行されます。 たとえば、エクスプローラーでは、標準ユーザー レベルのアクセス許可が自動的に継承されます。 さらに、エクスプローラーを使って実行されるプログラム (アプリケーションのショートカットをダブルクリックするなどして) も、ユーザー アクセス許可の標準セットで実行されます。 オペレーティング システム自体に含まれるアプリケーションものなど、多くのアプリケーションは、この方法で正しく動作するように設計されています。

他のアプリケーション (特に、明確にセキュリティ設定を考慮して設計されていないアプリケーション) では、多くの場合、正常に実行するために追加のアクセス許可が必要です。 この種類のプログラムは、レガシ アプリケーションと呼ばれます。 さらに、新しいソフトウェアのインストールや、Windows Firewall などのプログラムの構成変更などの操作には、標準ユーザー アカウントで利用できるアクセス許可より多くのアクセス許可が必要です。

アプリケーションの実行に標準ユーザーの権限より多くの権限が必要な場合、UAC は追加のユーザー グループをトークンに復元できます。 これにより、ユーザーは、コンピューターまたはデバイスにシステム レベルの変更を行うプログラムを明示的に制御できます。

実際の適用例

UAC の管理者承認モードは、管理者が知らないうちに悪意のあるプログラムが黙ってインストールされるのを防ぐのに役立ちます。 また、不注意によってシステム全体が変更されるのを防ぐこともできます。 最後に挙げるのは、このモードによる高度なコンプライアンスの実施です。この場合、管理者は積極的に同意するか、管理プロセスごとに資格情報を提供する必要があります。