ユーザー アカウント制御の概要

ユーザー アカウント制御(UAC)はMicrosoftのセキュリティ ビジョン全般の基本コンポーネントです。 UAC は、悪意のあるプログラムの影響を軽減するのに役立ちます。

機能の説明

UAC では、すべてのユーザーが、標準ユーザー アカウントを使って自身のコンピューターにログオンできます。 標準ユーザー トークンを使って起動されたプロセスでは、標準ユーザーに付与されたアクセス権を使ってタスクが実行されます。 たとえば、エクスプローラーでは、標準ユーザー レベルのアクセス許可が自動的に継承されます。 さらに、Windows エクスプローラーを使用して実行されるプログラム (アプリケーションショートカットをダブルクリックするなど) も、標準のユーザーアクセス許可セットを使用して実行されます。 多くのアプリケーション (オペレーティングシステム自体に含まれているものを含む) は、この方法で適切に動作するように設計されています。

特にセキュリティ設定を考慮して設計されていないその他のアプリケーションについては、正常に実行するために追加のアクセス許可が必要になることがよくあります。 これらの種類のプログラムは、レガシアプリケーションと呼ばれます。 また、新しいソフトウェアのインストールや Windows ファイアウォールなどのプログラムの構成変更などの操作を行うには、標準ユーザーアカウントで使用できるものよりも多くのアクセス許可が必要です。

アプリケーションを標準のユーザー権限で実行する必要がある場合、UAC はトークンに追加のユーザーグループを復元できます。 これにより、コンピューターまたはデバイスにシステムレベルの変更を加えるプログラムを、ユーザーが明示的に制御できるようになります。

実際の適用例

UAC の管理者承認モードは、管理者の知識がなくても、悪意のあるプログラムがサイレントインストールされるのを防ぐのに役立ちます。 また、不注意によってシステム全体が変更されるのを防ぐこともできます。 最後に挙げるのは、このモードによる高度なコンプライアンスの実施です。この場合、管理者は積極的に同意するか、管理プロセスごとに資格情報を提供する必要があります。