ネタもと:Windows Vista: UAC の抜け道を考える3
Administrators グループのアカウントを作るときにパスワードを指定しないと、昇格ダイアログでパスワードを入力しなくても昇格できてしまいます。
8/28 現在、「設計による」として、「解決済み」になっています。せめて「再現せず」であって欲しかった。(「再現せず」には、「開発中最新ビルドで再現せず」が含まれる)
RunAs の場合、パスワード無しのアカウントを選択することは出来ません。
しかし、UAC の昇格ダイアログでは、パスワードなしアカウントでも、警告も何もなしに昇格されてしまいます。
UAC の昇格ダイアログには、どんな資格のアカウントでログインしていても、Administrators グループのアカウントが列挙されますから、パスワード無しの Administrators グループに所属するアカウントを作成していると、コンピュータの操作者=コンピュータの管理者になってしまいます。
複数の人がコンピュータを使う可能性がある場合は、「めんどくさい」など言わず、せめて Adiminstrators グループのアカウントには、パスワードを付けましょう。
結局 UAC って、「コンピュータの全体に関わる操作が行われようとしているけど、実行していいんだね?」と尋ねる意味しかないのね。
Windows Vista は、従来の Windows の権限モデルを変更して、ユーザーの意図しない操作、または許可するつもりのない操作を実行しようとするプログラムの起動を防ぎます。そのため、User Account Control (UAC) によって、ユーザーは最低レベルに近い権限でアプリケーションを実行できます。また必要であれば、より高い権限を必要とするアプリケーションを容易に実行できます。UAC を使用したアプリケーションを作成する場合は、権限指定モデルと標準 UAC 実行モデルの 2 つの重要な事項を検討する必要があります。
UAC が担当するのは、権限を落とすことだけだと。権限を上げることは、管理者自身の裁量で保護しなさいよ、と。そう考えると、納得できないこともありません。
Windows 2000 Server は、デフォルトですべての機能が有効となっているため、機能を縮小して防御をしなければなりませんでした。ロック ダウンといいます。Windows 2003 Server では、デフォルトではほとんどの機能が無効で、攻撃可能面を最小にしていました。
Vista では、また、ロック ダウンの考え方を取り入れなければならないようです。デフォルトで、パスワード無しのアカウントが作成できます。おそらく、自動ログインの機能も提供されているのでしょう。管理者の憂鬱は、まだまだ変わらないようです。
投稿日時 : 2006年8月29日 23:18