ユーザーアカウント制御(UAC)

ユーザーアカウント制御(UAC)はWindows Vista以降に追加されたセキュリティです。
アプリを起動するときに表示されるアレですね。


このUACかなりうっとうしがられたりします。だったらUACを無効にしたらいいのに…
でもセキュリティをわざわざ無効するなんて…という考えの方はいらっしゃるのでは？？

私は結構あいまいな知識でしかUACは知りませんでした、が！システム屋さんとしてはちゃんと
理解しておかないとお客さんに尋ねられたとき困っちゃいます。
なのでまずはUACがどんなものかを調査したいと思いました。その結果を簡単ですが記録として
残します。

まずはどんなものかご紹介しているサイトがあったので、理解しながら内容をまとめました。
今やパソコンは一家に一台の考えではなく個人でパソコン持つ時代になっています。
個々で管理するパソコンでは、当たり前のように管理者権限のユーザーでログインします。
わざわざ機能が制限される標準ユーザーでログインする人は稀ではないでしょうか？
自分のパソコンだから何でもできる管理者権限のユーザーでログインすると考えます。
ただ、何でもできるが故に悪意のあるアプリケーション(マルウェア)でも制限なく動いて
しまいます。このようなマルウェアはシステムを改変し、さらに悪質なものは他のユーザー
に影響を与える可能性があります。
なんとか防ぎたいですが管理者権限のため制御することはほぼ不可能です。


UACが有効だとプロセスの起動時に管理者特有の情報を取り除いた権限で動作します。
標準ユーザーの権限とイコールではありませんが、近い権限に落とされます。
この状態だと"C:\"直下や、WindowsフォルダのDLLやEXEなどのファイルアクセスに制限が
かかります。つまりプロセスからファイル変更を行うと、権限がないという旨の例外が発生し
失敗に終わります。裏でマルウェアが起動しても権限がないのでシステムの書き換えができない
のです。


全てのプロセスがマルウェアではありません。システムによってはWindowsフォルダにファイルを
作成したりする必要があったりします。その場合はどうしたらよいのでしょうか？
あれです。右クリックして"管理者として実行"


つまり、現在は管理者としての権限がないから管理者権限へ昇格して起動すればいいのです。
ここではファイルに対して説明しましたが、他にもプロセス、レジストリキーなどの
セキュリティ対象のオブジェクトに対して適応されます。

　参考：
　http://blogs.msdn.com/b/tsmatsuz/archive/2009/06/12/windows-7-uac-compatibility.aspx
　http://www.atmarkit.co.jp/fwin2k/vista_feature/08uac02/08uac02_01.html
　http://www.atmarkit.co.jp/fwin2k/tutor/winsecurity01/winsecurity01_02.html
　http://msdn.microsoft.com/ja-jp/library/windows/apps/hh920287