Administratorsが危険ならPowerUsersも危険

少しセキュリティに詳しくなってくると、Administratorsでログオンする事を辞めたほうが良い事に気づきます。

しかし、その解決策としてPowerUsersに変更している人が多いのに驚きます。私はPowerUsersでも十分危険(※1)だと思います。

考えられる解決策を述べます。なお、対象はWindows 2000以上になります。


まず、WindowsユーザがAdministratorで作業をする人は大抵以下の3つの組み合わせが多いようです。

  • 古いプログラムの中にはProgram Filesに対して、ユーザデータの書き込みを行うものがあり、Users権限では動作しない
  • インストール作業や管理作業をする度にAdminstratorでログオンしなおすのは面倒
  • 危険性を理解していない

最初の問題はユーザのせいではありません。私としては、そんなプログラムは動作させるなといいたい所ですが、ここはローカルセキュリティポリシーで対処します。手順は以下のとおり。

  1. 「プログラム」→「管理ツール」→「ローカルセキュリティポリシー」
  2. 「セキュリティの設定」を右クリック、「ポリシーのインポート」
  3. インポートするファイルはWindowsフォルダ内のSecuritycompatws.inf

これで、Usersの権限が向上し、このような大抵のアプリケーションが動作します。アカウントの作成や、プリンタの管理など、権限が欠落したPowerUserと考えると良いでしょう。元に戻すのはsetup security.infをインポートすれば良いハズです。

2番目の問題ですが、これはSecondary Logonを知っていますか?という話になってしまいます。インストーラコントロールパネルのアイコンShiftを押しながら右クリックしてください。大抵は「別のユーザとして実行」のメニューがでるはずです。それを使ってください。

3番目の問題は、勉強不足というしかないでしょう。そもそもAdministratorは不便で危険なアカウントであり、常時作業をしたり、プログラムを起動するためのアカウントではないのです。セキュリティにおけるMicrosoftの最大の失敗はAdministratorを便利に作りすぎた事だと思います。

ちなみに、Windows2003のAdministratorはかなり耐え難く、Vista以降では、Administratorアカウントによるログオンを無効にして対処してきています。

何か欠落しているような気がしますが、大抵の事は書いたつもりです。



※1 ユーザのアカウント作り放題とか。デフォルトではレガシアプリケーションの実行を許すため、バックアップ特権(アクセス権を越えた読み込み)を取得する可能性もあります。考えただけで恐ろしいです。

Leave a Reply

3 コメント - "Administratorsが危険ならPowerUsersも危険"

更新通知を受け取る »
avatar
並び替え:   新しい順 | 古い順 | 最も評価の多い
STARDUST can be found.
ゲスト

"LISMO"はUsers権限でお願い

昨日、
ジラーチにお願い
しそこないました…orz
まあ、いいですが。
昨日の+Lhacaのセキュリティ関連エントリーで思い出したことが!
それは、
LISMOのセキュリティ
"LISMO"というのは、au by KDDIのケータイ電話の音楽サービスですが、それを管理するのにPCにLISMOのソフトをインストールします。
これが、Administrator(以下、Admin)権限でしかインストールできないのは良しとしても、使うのもAdmin権限がないと使えないという、セキュリティレベルを落とす…

通りすがり
ゲスト

まったくもってその通りだと思いますが、Power Usersが危険である指摘なのに、主文はAdministratorsが云々と、なんか論点がズレてる気がします。

konuma
ゲスト

コメントありがとうございます。ご指摘通り、題と本文があってませんね。話が離散していくのは私の悪い癖です。
今なら、昇格の話か
http://support.microsoft.com/kb/825069
PowerUserがデフォルトで持つ特権の話
http://technet.microsoft.com/ja-jp/library/bb456992.aspx
を纏めるべきかなぁ・・・。
VistaやWindows7では、改善された部分が多く、こういう記事が書きにくくなりました。良いことです。

wpDiscuz