この内容は、ベータ版を元にしています。製品版では変更になっている可能性があります。

アプリケーションのインストールと検出

Windows には、たくさんのソフトウェアがあります。そして、そのほとんどのソフトウェアが、インストールするために Administrator としてログインしなければなりません。アプリケーションはシステム ディレクトリにロードされ、システム リソース（レジストリなど）を書き換えるからです。

Windows Vista では、管理者承認モードでの管理者（Administrator in Admin Approval Mode）がソフトウェアをインストールためには、セットアップ プログラムが実行される前に、承認しなければなりません。インストーラ検出機能は、"setup", "install" などのファイル名を「アプリケーションのインストール プログラムである」と自動的に識別して、ユーザの承認を求めるダイアログを表示します。ユーザの承認が得られれば、プログラムは管理権限へ昇格して実行されます。

ん～？なんだか「一緒やん？」という気がしないでもないですね。しかし、Winny などで問題になっている、フォルダのアイコンを持った実行ファイルなどでも、ダブル クリックすると「実行しますか？」と聞かれるわけですから、「アレ？変だな？」と疑問を挟む余地があるわけです。

また、出所が不明なプログラムについては、次のようなダイアログが表示されます。

これは、共有フォルダに、他の PC から置いた実行ファイルです。Administrators グループに所属しないアカウントで置いたのですが、UAC 保護の対象となっています。Administrators グループに所属するアカウントで置くと、UAC 保護の対象にはなりません。つまり、Administrators グループのアカウント名とパスワードは、厳重に管理しなければなりません。

ダイアログには、「承認されていない、コンピュータを変更するかもしれない動作を停止した。このプログラムの出所と目的が不明。以前に使ったことがあったり、どこから持ってきたのか知っていないなら、実行しないことを勧める。」と書かれています。そして「キャンセル」がデフォルトです。また、単に「キャンセル」「許可」とだけ書かれているのではないことにも注目です。「キャンセル　私はなんのための、またはどこから来たプログラムか知らない」「許可　以前使ったことがあるか、どこから来たものか知っているのでプログラムを信頼する」と書かれています。日本語で、どう訳されているのでしょう？

UAC 環境でアプリケーションにパッチを当てる

アプリケーションにパッチを当てることを考慮すると、Microsoft Windows Installer (MSI) 3.1 および 4.0 を使うことが推奨されます。MSI 3.1 を導入すると、アプリケーションのもっとも新しいバージョンを再インストールすることなく、パッチを適用することが出来ます。アプリケーションが個々のマシンにインストールされており、管理特権を必要としないユーザによってパッチが適用される必要があるなら、この方法が理想的です。

UIPI 概要

ユーザ インターフェイス特権の分離は、同じ対話型デスクトップ上で実行中の、より低い特権しかないプロセスから、上位の特権を持つ管理アプリケーションを遠ざける機構のひとつです。UIPI は、ウインドウと UI コントロールをサポートする、USER として知られるウインドウ作成とグラフィクス サブシステムに対して働きます。UIPI は、低い特権で動作するプロセスが、メッセージを使って、より高い特権で動作するプロセスに対して入力を送るのを阻止します。これは、キーボードやマウスを使わずに、プロセスからプロセスに入力を送ることを阻止するということです。

つまり、インストール プログラムは「高い特権」で動作しますから、プロダクト キーを「低い特権」で動作しているプログラムから送ることが出来なくなる、ということです。

UIPI の背景は単純です。Windows Vista は、UI 特権レベルを階層として定義します。レベルの性質はそういうことです。すなわち、高い特権レベルから低い特権レベルのアプリケーションにメッセージを送ることは出来ます。しかし、低い特権レベルのアプリケーションが、高い特権レベルにメッセージを送ることは出来ません。

UI 特権レベルは、プロセスレベルで存在します。プロセスが初期化されるとき、ユーザ サブシステムは、セキュリティ サブシステムに対して、プロセス セキュリティ トークンに割り当てられたデスクトップ一貫性レベルを要求します。プロセスが作成されると、デスクトップ一貫性レベルは、セキュリティ サブシステムによって設定されます。その為、プロセスが作成されてから変化しないなら、UI 特権レベルはユーザ サブシステムによって設定されます。

制限されたユーザによって実行されたすべてのアプリケーションは、同じ UI 特権レベルを持っています。UIPI は、同じ特権レベルにおけるアプリケーション間で、ウインドウ メッセージが交換されることに、干渉したり、変更したりしません。UIPI は、管理特権で実行しているプロセスと同じデスクトップにて、最少特権でアプリケーションを実行している、Administrators グループに属しているユーザのために効力を発揮します。UIPI は、より低い特権プロセスが、より高い特権プロセスに、次のようなアクセスをすることを阻止します。

• より高いプロセス特権の、ウインドウ ハンドルを確認する。

• より高い特権アプリケーション ウインドウに、SendMessage あるいは PostMessage を行う。これらの API は「成功」を返しますが、ウインドウ メッセージはドロップされます。

• より高い特権プロセスに対して、スレッド フックを行う。

• より高い特権プロセスをモニタするために、ジャーナル フックを使う。

• より高い特権プロセスに対して、DLL インジェクションを行う。

UIPI が有効であっても、次の共有ユーザ リソースは、異なった特権レベルのプロセス間で共有されます。

• 実際に表示されているスクリーンを所有するデスクトップ ウインドウ。

• デスクトップの、読み取り専用共有メモリ ヒープ。

• グローバル アトム。

• クリップボード。

Windows Vista Beta 1 の UIPI

Windows Vista Beta 1 では、UIPI は無効にされています。レジストリに DWORD 値 1 を書き込むことで、有効に出来ます（HKLM > SOFTWARE > Microsoft > Windows > CurrentVersion > Policies > System > enablemic）。UAC が無効なら、UIPI を有効にしても、ウインドウ メッセージの挙動は変わりません。