Windows のユーザーアカウント制御 (UAC) の強化設定について解説します。
UAC を Administrator に適用することで、攻撃の阻止、遅延を狙います。 通常、既定値で UAC は組み込みの管理者アカウントには適用されず、すべてのアプリケーションを完全な管理者権限で実行することができます。そのため、ユーザーが組み込みの管理者グループ(Administrators)に所属している状態でウイルスが混入すると、ウイルスはシステムに対して管理者権限で設定の変更や外部との通信が可能になってしまいます。
組込の管理者に UAC を適用することで、組み込みの管理者であっても、通常は標準ユーザーで運用し、昇格が必要な時だけ UAC を表示させることで、ウイルスの活動を阻止、若しくは実行の遅延を狙います。
検討事項
UAC を表示させた時のオプションとして、マウスでの操作による昇格と、ID/Password の入力による昇格が選択できます。後者を選択すると、攻撃に強くなりますが、通常の運用・管理業務が煩わしくなります。安定稼働し、管理者権限を必要とする運用・管理が少ない場合は、ID/Password の入力による昇格を選択するのも一つの方法といえます。
グループポリシーの場合
ドメインコントローラーで [グループポリシーの管理] を起動し、 [コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[ユーザーアカウント制御] から、設定を行います。
ローカルポリシーの場合
端末で [コントロール パネル]>[システムとセキュリティ]>[管理ツール]>[ローカル セキュリティ ポリシー] を起動し、[セキュリティの設定]>[ローカルポリシー]>[セキュリティ オプション]>[ユーザーアカウント制御] から、設定を行います。
設定値
- アプリケーションのインストールを検出し、昇格をプロンプトする
値:有効 - ビルトイン Administrator アカウントのための管理者承認モード
値:有効 - 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ
値:有効 - 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する
値:有効 - 管理者承認モードですべての管理者を実行する
値:有効 - 管理者承認モードでの管理者に対する昇格時のプロンプトの動作
値:[セキュリティで保護されたデスクトップで同意を要求する]
もしくは
[セキュリティで保護されたデスクトップで資格情報を要求する]