UAC

復活！インストーラー自動検出機能

はなおかじった — Mon, 14 Sep 2009 11:20:00 GMT

なんと！あの悪名高きインストーラー自動検出機能が、Windows 7で復活（いや、元々活きているから復活ではない）しました！！Windows Vista で出ないプログラムの互換性アシスタントが、Windows 7で出てくるんですよ（滝涙）

というわけで、Windows 7用に、マニフェストファイルに追加です。なお、マニフェストの元ネタは、ベースになるmanifestファイル（中の技術日誌ブログ）から勝手にいただきました。


<?xml version="1.0" encoding="utf-8"?>
<assembly
    xsi:schemaLocation="urn:schemas-microsoft-com:asm.v1 assembly.adaptive.xsd"
    manifestVersion="1.0"
    xmlns:asmv1="urn:schemas-microsoft-com:asm.v1"
    xmlns:asmv2="urn:schemas-microsoft-com:asm.v2"
    xmlns:asmv3="urn:schemas-microsoft-com:asm.v3"
    xmlns:compatv1="urn:schemas-microsoft-com:compatibility.v1"
    xmlns:dsig="http://www.w3.org/2000/09/xmldsig#"
    xmlns="urn:schemas-microsoft-com:asm.v1"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <asmv3:trustInfo>
        <asmv3:security>
            <requestedPrivileges>
                <requestedExecutionLevel level="asinvoker" uiAccess="false"/>
            </requestedPrivileges>
        </asmv3:security>
    </asmv3:trustInfo>
    <compatv1:compatibility>
        <application>
            <!--The ID below indicates application support for Windows Vista -->
            <supportedOS Id="{e2011457-1546-43c5-a5fe-008deee3d3f0}" />
            <!--The ID below indicates application support for Windows 7 -->
            <supportedOS Id="{35138b9a-5d96-4fbd-8e2d-a2440225f93a}"/>
        </application>
    </compatv1:compatibility>
    <assemblyIdentity name="filename.exe" type="win32" version="1.0.0.0" processorArchitecture="x86" />
</assembly>

色々と見ていると、"AdditiveRunAsHighest" というキーワードが出てくるんだけど、これがなんだかわからない。とあるところで、「開発者が「管理権限が必要」と言い張っても、IT-Pro は「NO!」と返事することもある」のようなフレーズを見つけた。ん～？何処で指定するんだろう？

9/18 application 要素は compatibility 要素の子要素でした。修正しました。

対策としては、イマイチだと思います。

はなおかじった — Tue, 20 Jan 2009 23:28:00 GMT

Windows 7のUACはVistaよりも柔軟経由。

ユーザーアカウント制御（マイクロソフトのEngineering Windows 7 ブログ）より：

画面が「セキュアデスクトップ」に切り替わるのは、悪意のあるソフトウェア攻撃が UAC インターフェイスを模倣して (UI スプーフィング)、ユーザーに UAC プロンプトで、 [はい] をクリックさせようとすることを避けるためです。デスクトップがこの「セキュアな」状態にある場合、そのような攻撃を行うことはできません。

E7ブログの下の方に書いてありますが、あまり頻繁に出てくると、ユーザーは確認せずに「はい」をクリックしてしまいます。そうすると、セキュアではなくなってしまいます。

そして、Vista の UAC は、よりセキュアになっているかというと、そうは思えない要因があります。

cmd ツールを、/c オプションを付けて実行すると、その後ろに書かれた実行ファイルを実行します。"cmd /c マルウェア" というコマンドに管理特権を要求すると、UAC プロンプトは cmd.exe に対して許可を求めます。昇格したプロセスから起動するプロセスは、すでに昇格しています。結果、ユーザーは cmd の動作を許可したのですが、マルウェアまで許可したことになってしまいます。しかし、マルウェアの実行を許可したことは、ユーザーにはわかりません。「何かを実行しようとしている」ということが、ユーザーに危険を知らせてはいます。しかし、「マイクロソフトのアプリケーションを実行するのだから」と思ってしまえば、それをすり抜けられるのではないでしょうか。

スタートメニューの「スタートアップ」や、レジストリの Run キーには、管理特権を要求するアプリケーションを記述できません。記述した場合、実行が阻害されます。しかし、タスクスケジューラには登録できます。スケジュールには、「ログオン時」「スタートアップ時」というタイミングがあります。

片手落ちだと思います。

とはいえ、そうすることが必要なものもあります。昇格済みプロセスから分岐するプロセスが昇格していなければ、インストーラーから何らかのタスクを実行するとき、昇格プロンプトが何度も出てきて困ることになります。サービスも、Windows がスタートするのと同じタイミングで実行してもらわないと困ります。

しかし、今の UAC の仕組みは、作成者が「管理特権を下さい」という仕組みになっています。ここの意識を変えなければならないのではないでしょうか。

Windows が、自分自身を守るという視点から見たとき、UAC の挙動は変えなければならないと思います。例えば、「＊＊というプロセスが、レジストリの○○に××という値を書き込もうとしている」というメッセージだったら。このメッセージにさらに、「ここに書き込むと、△△の時に◇◇のようになるリスクがあります」というメッセージが添えられていたら？

実際、Kaspersky Internet Security がやっていることなのですが、とても面倒。。。とはいえ、カスペルスキー教授も2009になって少しは学習したようです。メジャーなアプリケーションの挙動のいくつかは、すでにデータベース化されています。

面倒をどこまで省力化するか。。。う～ん。。。

それをいうと、「UNIX 系でいう root で常時ログオン」っていう使い方が、そもそも間違っているんじゃないか？Administrator 以外は一切さわれないようにしておいても、Administrator に偽装した何らかのツールを起動しておいて、そこからしか実行できないようにすれば、ほぼ問題ないんだし。。。（当然、このツールはユーザーの指示でなければ起動できない。その「指示」ってのが、難しいなぁ...）

そういうこと考えると、Program Files 以下に全てのソフトウェアがインストールされるっちゅうのも、どうなの？というのを、Google Chrome の件で思った。Chrome は、Users の下にインストールされるそうだ。全てのユーザーに対して公開するわけではないソフトウェアは、Users の下にインストールでもいいのでは？と、思ったので、インストーラーのないソフトウェアは、Users の下に Program Files を作って配置するようにしてみた。今のところ、不便はない。

あれれ？：れれ：マニフェストファイルの uiAccess

はなおかじった — Wed, 27 Feb 2008 23:07:00 GMT

hikenさんからのメール

Aアプリは、UACのボタン選択も可能です。しかし、UACの窓が閉じ、システムの復元の窓が開きますと、マウスイベントができなくなります。なぜか、キーボードイベントのAlt+F4は受け付け、むりやりシステムの復元の窓を閉じることはできます。

あれれ？てっきり昇格ダイアログのボタンが押せないだと思っていたら、押せる？！画面が暗くなったり、IME バーが出てきたりするので、UI があるところでしか動かない、別のコンテキストで動いているのだと思っていたのですが、押せてしまうの？！

それって、まずくないですか？

hikenさんは、たまたま「システムの復元」を行いました。でも、マルウェアが、自分自身を昇格させることができる、そんな想像をしてしまいましたよ？？

それで、元々の質問。これに答えてなかった。

マニフェストのuiAccess="true"と署名が必要なのでしょうか？と言う問いは、「yes」であり、「no」です。社本さんのコメントにあるように、マイクロソフトへの申請が必要です（なのだそうです）。

社本さんのコメントにある、UIPI（ユーザーインターフェイス特権の分離）について、調べてみてください。私も、この辺で、少しだけ取り上げています。元にしている文書は、ダウンロードセンターからダウンロードしてください。日本語では、アプリケーション互換性解説書に、記述があります。確認してください。ダウンロードページが見つからなかったのでリンクは張りませんが、『アプリケーション開発者向け Windows Vista 対応アプリケーションの互換性』（ファイル名 Windows_Vista_application_compatibility_paper.doc）という文書があります。これも、目を通しておかれることを勧めます。

最後に、昇格ダイアログのボタンを押せるというのは重大な脆弱性だと思うので、是非、マイクロソフトに連絡してください。窓口は、脆弱性に関する情報をお寄せくださいのページで良いと思います。

れれ：マニフェストファイルの uiAccess

はなおかじった — Tue, 26 Feb 2008 22:21:00 GMT

マニフェストファイルの uiAccessから、直メールをいただきました。

申し訳ありませんが、ブログや静的ページに対していただいた質問は、公開させていただきます。これは、ブログにしても静的ページにしても、公開しておくことで誰かの役に立つだろうと考えているからです。各ページへのリファラを見ると、検索サイトからのリファラが多くあります。このことから、実際に役に立っていると考えています。

hikenさんも、書かれているとおり、探し物していてこのページにたどり着かれたとのことです。ここで私が調べたことを、hikenさんにメールで送ると、hikenさんの役にしか立ちません。しかし、元のページはすずさんからいただいたコメントをもとに社本さんやすずさんの協力もあってなりたっている情報です。お二人にも情報の還元はしなければならないと考えます。そして、私一人じゃ手に負えないから...

hikenさんからのメール

私もUIアクセサビリティ"の為のAというソフトウエアを書いているところです。探しまわってたどり着きました。

SendInputで、マウスやキーボードのイベントを作っております。
たとえば、システムの復元を選択した場合、UACの窓が開きますね。Aアプリは、UACのボタン選択も可能です。しかし、UACの窓が閉じ、システムの復元の窓が開きますと、マウスイベントができなくなります。なぜか、キーボードイベントのAlt+F4は受け付け、むりやりシステムの復元の窓を閉じることはできます。マウスイベントをどのようにかして実現したいのですが、マニフェストのiAccess="true"と署名が必要なのでしょうか？

Loginのための登録がわかりませんでした。

私は、このオペレーションを自動化することには反対します。理由は、いくつかあります。

まず、このオペレーションは、開発者が「この先は昇格が必要」と提示するものです。これは、バグや脆弱性によって、乗っ取りを掛けられる対象となりえます。安全のためには、ここは OS などが「このプロセスは、このようなことをしようとしている。これは、君が意図した動作かい？」と尋ねるようになるべきだと考えています。現在のところ、昇格は runas コマンド（および verb）によってなされています。求められるべき姿となるためには、実行中の部分部分で昇格を求める（あるいは、昇格を学習する）必要があろうかと考えます。

そして、今のところ、ユーザーによるアクションによってしか、このプロンプトは表示されません。これが、うっとうしがられている最大の理由かと思います。しかし、よく考えてみてください。ユーザーによるアクションによってこのプロンプトが表示されるということは、コンピュータが安全に使えている証拠でもあります。勝手にこのプロンプトが出るということは、何らかのプロセスが昇格が必要な何かを起動させようとしている、ということです。（閑話：なんか、キーボー丼反応が鈍い。←こんな風になる）過去のエントリに、署名を偽装してマルウェアを起動させる方法を上げています。このように、攻撃可能点が存在しているので、それを広げる方法については（調べておかなくちゃいけないんだけど）調べたくないし、調べたとしても、それを誰かに教えることはしたくありません。

そんなわけで、この、「昇格プロンプトの［続行］ボタンをクリックするタスクを自動化すること」について、ご意見を伺いたいと思います。

Vista UAC：GUEST って

はなおかじった — Wed, 14 Nov 2007 22:30:00 GMT

不具合の問い合わせがきた。

「昇格動作の必要な××ですが、GUEST アカウントで実行すると、画面が暗くなったまま固まってしまいます」

Gusts グループならテストしたよ？ってことで、無効化されている GUEST アカウントを有効にし、やってみる。再現する。

でもこれ、昇格プロンプトが表示されずに固まっているから、アプリケーションの問題じゃないのでは？

試しにコントロールパネルから、いくつか実行してみる。再現する。うん。アプリケーションは悪くない。

でもなぁ。納得してくれないだろうなぁ。サポートに問い合わせてみるか？でも、インシデント番号、家に置いてきてるよ。そうだ、コンシェルジェだ。「GUEST アカウントで昇格プロンプトの表示に制限があるという情報の文書の所在」を聞けばいいや。

・

やっぱりなかった。ついでに検索中に見つけた TechNET の DNS ポイズンらしきサイトの報告もしておく。

う～ん、どうしよう？バグか、仕様か、判断つかない。やっぱ、使うべか．．．．．．

VC++ まにふぇすとめも

はなおかじった — Sat, 10 Nov 2007 21:09:00 GMT

この先使うかどうかわからないけど、嵌ったのでメモ。

VC++ 7.1 でマネージドでない C++ プロジェクトを作る。これを Vista で動かすことも視野に入れ、manifest ファイルを埋め込みたい。

ところが、プロジェクト作成時にマニフェストを作る設定にしても、作るだけで埋め込んでくれない。

以前、「mt.exe で埋め込む」ことを教えていただいたが、このツールは「差し替え」はしてくれるけど、ないところに埋め込むことはできないようだ？ああ！方法 : マニフェストを C/C++ アプリケーションに埋め込む（MSDN ライブラリ）に書いてある。「-outputresource」って奴ですか？なんすか、これ？「mt.exe /?」だと出てこないんですけど？VS.NET 2003 の MSDN にも載っていないのですが？．．．．．やられたorz

ええ、まぁ、そうやってもいい。Windows XP ビジュアルスタイルの使用（MSDN > Windows デベロッパーセンター > Windows 技術資料）のように、リソースにおまじないを書いてインクルードしちゃってもいい。そういうことでした。

ええ、メモしておこうと、これを書きながら調べ直して判明したことです。なので、投げやり.....

マニフェストファイルの uiAccess

はなおかじった — Tue, 22 May 2007 23:22:00 GMT

せっかくなので、エントリに昇格。

re: Windows Vista における、マニフェストを使用したアプリケーションのマーキング：すずさんのコメントより：

マニフェストは丁度はまっていた部分だったので本記事は大変参考になりました。ところで、まさに"UIアクセサビリティ"の為のソフトウエアを書いているところなのですが、
uiAccess="true"
とすると「サーバーから紹介が返ってきました」(Err:8235)というエラーになってしまいます。コードに対する署名が必要とか、そういう理由なのでしょうか。ご存知でしたら教えてください。

困りました。全く調べていません。（ぉ

こんな時は、検索！！

まず、「サーバーから紹介が返ってきました」の、「紹介」が誤変換だと思ったので（失礼しました）、「Err:8235」だけで検索。わからん。

じゃぁ、「8235」だけで検索。Win32API のエラーコードっぽい。

じゃぁ、「サーバーから紹介が返ってきました」で検索。→Google による検索結果

先頭2つが support.microsoft.com サイトのものだと思いますが（検索結果は時間によって変わるからね）、これによると、サーバへ何かの識別名を解決する依頼を行ったところ、サーバがエラーを返してきたようです。

「[XADM] セットアップを実行中、エラーメッセージ "Active Directory スキーマを更新するアクセス許可がない" が表示される」こちらか、「管理者がセットデータを生成しようとすると、エラーメッセージ」こちらの原因と、すずさんの環境を比べ、同じようなことがないか確認してみてください。

たとえば、Active Directory 環境で、ドメインに所属するコンピュータに、ローカルアカウントでログオンしていることが考えられます。この場合、現在のアカウントの権限をドメインサーバへ照会し、サーバに登録されていないため、エラーが返ってくると思います。（その後、ローカルコンピュータをサーバとして問い合わせに行くと思うけど）

ようやく終わるか：自動昇格なんていらない

はなおかじった — Tue, 08 May 2007 22:48:00 GMT

結局、力関係は「埋め込みマニフェスト＞インストーラ判定＞外付けマニフェスト」ということでした。

"asInvorker" であれ "requireAdministrator" であれ、埋め込まれていれば、インストーラ判定による自動昇格よりも優先して処理されます。

そういうわけで、マニフェストを埋め込みましょう。埋め込むマニフェストには、"requestedExecutionLevel" 要素を追加しましょう。

大阪#8 補足

はなおかじった — Mon, 30 Apr 2007 20:41:00 GMT

説明し忘れていたところの補足。

まず、デモでグダッたところ。NTFS 上でコンパイルし、NTFS 上のみで行き来した .NET 製実行ファイルは、仮想化されません。SaveFiledialog で、Program Files や、Windows 以下に書き込もうとすると、SaveFileDialog が警告メッセージを出します。ZIP 圧縮したあとに解凍したものも、警告が出ます。

が、一旦 FAT （USB メモリなど）にコピーすると、そのための情報が落ちる？ここ、検証必要ですね。

仮想化されると、エクスプローラからは見えません。よって、ログなどをアプリケーションがあるディレクトリに書き込んでいる場合は注意が必要です。.NET アプリであれば昇格しなければ書き込めないし、マニフェストがない（昇格情報がついていない）Win32 アプリの場合は、仮想化されてしまうのでログを見ることが出来ません。

昇格するためのコードは、実はエバンジェリストの松崎さんのところにあるコードと同じです（http://blogs.msdn.com/tsmatsuz/archive/2007/01/25/windows-vista-uac-part-2.aspx）。松崎さんが、自分自身を昇格して実行しているのに対し、昇格して実行する部分を外に出すことで、昇格が必要な機能だけ実行しています。

private void DoElevation(string command, string argument) {
    ProcessStartInfo info = new ProcessStartInfo(command, argument);
    info.CreateNoWindow = false;
    info.WorkingDirectory = System.IO.Path.GetDirectoryName(Application.ExecutablePath);
    info.Verb = "runas"; /* ここ */
    try {
        Process.Start(info);
    } catch (Win32Exception ex) {
        if (ex.NativeErrorCode != 1223 /* ユーザによる取り消し */) {
            throw;
        }
    }
}

この様に、verb に runas を指定することで、昇格ダイアログが表示されるようになります。XP で実行すると、「別のユーザとして実行」になります。

証明書の偽装については、cmd.exe のコマンドラインオプションを調べてください（コマンドプロンプト上で cmd /?）。

「昨日書き換えました」というスライドについて、説明しておきます。

ここ、最初は「開発者が情報を提供しなければならない」として、「ヘルプやインフォチップで情報を提供する」と書いていました。しかし、よく考えてみると、他人をだまそうと考えている人が正確なことを書くわけがありません。では、どうしよう？ちょっと待てよ？アクセスを禁止できると言うことは、システムは、アプリケーションが何をしようとしているかわかるわけじゃないか。それなら、システム側が「このアプリケーションは、c:/Windows/System32/comctl32.dll を書き換えようとしています。許可しますか？」と聞くことが出来るんじゃないか？・・・そう考えて、書き換えました。

「この機能は昇格が必要」という、シールドアイコンについては、開発者が追加するとしても、触られるとまずいところを触るのをカットするのは、実はシステムの役目何じゃないか？もっとも、互換性の問題が大きいこと、しょっちゅう昇格ダイアログを表示しなければならなくなることが、そうなっていない原因だとは思いますが。

反応が遅くなりましたが、コード署名について

はなおかじった — Thu, 19 Apr 2007 21:35:00 GMT

以前のエントリで、「昇格には署名が必要になります」ということについて、シャノンさんから
これはまぢで？
いよいよ強硬策に出てきましたね…MS。
Authenticode署名なんて個人じゃ取得できねぇってのに。
と、コメントをいただいていました。

まぢです。

「昇格する」ということは、「コンピュータの管理に関わる動作をする」ということです。ここで署名が必要なのは、「連絡先が明らかである必要がある」ということです。

つまり、「オレオレ証明書」であっても、そのアプリケーションが第三者によって改変されていないことが保証でき、作成者に連絡ができる証明書が添付されているなら、ホビープログラマが配布するアプリケーションが「オレオレ証明書」であってもかまわないのです。

そういえば、わんくま内で Thawte かどこかの証明ネットワークを作ろうって話があったよね？手を挙げるの忘れてた。ごめん、今挙げる。見てたら連絡ちょうだい（ぉぃ

UAC