コントロールパネル等を別の資格情報で動かす

Administratorとしてログオンする事が悪い理由を端的に述べると

  • 実行するアプリケーションが全てAdministratorと同等な権限を持つ(※1)

分かりやすい例だと、ブラウザを実行して、ブラウザ内で悪意のあるファイルを直接ダブルクリックしてしまった場合、Administrator権限で実行される可能性がある(※2)。それでなくても、最近流行っているスパイウェアの殆どがインストールにAdministrator権限を必要とする事もあり、最小権限でプログラムを実行する事による恩恵は大きいです。

そこで、普段はユーザ権限でログオンするわけですが・・・



runasを直接叩いたり、実行ファイルをShift+右クリックしても全ての作業がうまくいくわけでは無いのです。そこで私が使っているちょっとしたコツを紹介します。

うまくいかなくて、困るものは主に以下の2つです。

  • マイコンピュータ→管理
  • コントロールパネルでShift+右クリックが効かないもの

1番目の問題はmmcをrunasしましょう。

> runas /user:Administrator mmc

この後に、ローカルコンピュータの管理等をスナップインとして追加したら大抵の事は出来ます。逆からいうと、mmcで出来ない事を探す方が難しいでしょう。

2番目の問題はexplorerを別の資格情報で動かせれば良いのです。なぜなら、エクスプローラのツリーにはコントロールパネル全体が含まれるように設定出来るから。プリンタの管理なんかはこっちの手段が有効ですね。

つまり、エクスプローラの「フォルダオプション→表示」から「別のプロセスでフォルダウィンドウを開く」「マイコンピュータにコントロールパネルを追加する」をAdministratorアカウントで有効にするのです。その後に

> runas /user:Administrator explorer

で、エクスプローラを立ち上げると、コントロールパネルが丸ごと、管理者権限で利用できます。

ここで紹介した方法は動作の保証があるわけではありませんが、私は困ったことがありません。また、アプリケーションによってはプロファイルを必要とするため、runasの引数を適切なものに設定する必要があります。

まぁ皆様も管理者で対話ログオンすることは辞めましょう。



※1 例えば現在実行しているプログラム経由で権限の昇格を伴わない攻撃が行われた場合、攻撃者はなんの工夫もせずにAdministatorとして任意の関数を実行してくるということです。

※2 XPのSP2以上をいれたIEだと、これを防止する措置があったりします。かなりウザイのでOffにする人も見かけますけど。



[MS TechNet] runas

Leave a Reply

Be the First to Comment!

Notify of
avatar
wpDiscuz