このページはコメント投稿用に一時的に作成された物です。リンクは固定リンクURLにお願いします。
UACを活用する
Windows 7 の発売前に、Vistaから搭載されたユーザアカウント制御(UAC)について書いておこうかと思います。
UNIXの世界では、普段は制限(一般)ユーザでログインするのが一般的です。歴史的な背景としては複数のユーザで1台のマシンを共有していたことがあるのでしょう。制限ユーザはアクセスできるファイルがかなり制限され、これによって、ユーザが重要なファイルを書き換えたりして、システムが破壊されないようになっています。アプリケーションをインストールしたり、システムの設定を変えるには、rootという特殊な管理者アカウントでログインして作業します。
Windows でも普段はコンピュータの管理者ではなく、制限ユーザでログインすることが、Windows NT系列(2000、XP、2003、Vistaなど)では推奨されていました。しかし、あまり普及しませんでした。その原因としては、インストールや設定の度にユーザを切り替えるのが、かなり面倒だったからです。
UNIXでは、suコマンドやsudoコマンドで現在ログインしているユーザからrootに簡単に切り替えて作業を継続できます。一方でWindowsでは、「別の資格情報で実行する」という機能があったのですが、どこにあるか分からないくらいのものでした。(XPではショートカットのプロパティなどにあります)
この状況を改善すべく、VistaになってUACが追加されました。大抵の人は管理者権限でログインしているので、UACの機能と言えば重要な変更をするときに、薄暗い画面の上に確認ダイアログが表示されるというものと認識している人が多いと思います。
UACの機能は、制限ユーザとしてログインしているときに発揮されます。管理者権限が必要な場面で、自動的にパスワードの入力画面を表示して、suコマンドのように管理者に切り替えることができます。制限ユーザからの切り替えの不便さはかなり解消され、あとはセキュリティとのトレードオフだと思います。
さて、制限ユーザでログインすることで本当にセキュリティは向上するのか?という疑問もあるかと思います。確かに、制限ユーザでもマルウェアをばらまいたり、他のシステムに攻撃したりできてしまいます。ただ、もしこのような状態になっても、制限ユーザならユーザアカウントを削除するだけで対処できる可能性も高くなるでしょう。また、セキュリティソフトの制御も管理者権限が要求されるので、マルウェアがセキュリティソフトを止めたりすることが難しくなります。
Windows 7では、UACの確認ダイアログの何段階かで抑制できるようになるようです。この流れはMac OS Xが既に通った道でもあります。時代の流れと逆行する感もありますが、セキュリティを高めたい人には便利な機能なので、制限ユーザでログインしUACを最大限活用してみるのはいかがでしょうか?
17:51
固定リンク
このエントリーの固定リンクURL:
http://www.functiont.info/diary/200909.html#000127
トラックバック
このエントリーのトラックバックURL:
http://www.functiont.info/mt/mt-tb.cgi/126
