我々には直感的に理解できない単語が用いられることが多いコンピューターの世界。新たに登場するWindows 8を踏まえつつ、Windows OSで用いられる単語(=キーワード)を個別にピックアップし、詳細な解説をお送りする。今回取り上げるキーワードは、Windows OS上で意図せず設定を変更するマルウェアの行動を未然に防ぐ「ユーザーアカウント制御」だ。

Windows 8キーワード一覧

「アイコン」とは
「デバイス」とは
「パス」とは
「ボリューム」とは
「共有フォルダー」とは
「ホームグループ」とは
「カーネル」とは
「プライベートネットワーク」とは
「レジストリ」とは
「ピン留め」「ジャンプリスト」とは
「デスクトップ」とは
「タスクバー」とは
「エクスプローラー」とは
「Windowsストアアプリ」「デスクトップアプリ」とは
「チャーム(Charm)」とは
「スタート画面(Start Screen)」とは
「タイル/ライブタイル(Tile/Live Tile)」とは
「アプリバー(App Bar)/ナビゲーションバー(Navigation Bar)」とは

「ユーザーアカウント制御(User Account Control)」

「ユーザーアカウント制御(User Account Control)」

本来OSは全体を管理する「管理者」と、OS上でアプリケーションを実行する「標準」ユーザーなど、ニーズに合わせたグループ分けが必要だ。Windows NT系に属するWindows XPは同機能を用意したものの、デバイスドライバーのインストールや管理者権限を必要とするアプリケーションが少なくないため、必然的にユーザーは自身のアカウントに管理者として運用することになる。

その一方で当時流行し始めたマルウェア(ウイルスなど悪意を持つプログラムの総称)が、管理者権限を持つアカウント上で実行されると、システムが簡単に乗っ取られる、もしくはウイルスに感染する脆弱性が露呈するようになった。この問題を解決するため、Windows Vistaから搭載されたのがユーザーアカウント制御OSの設定変更時に、動作の確認をうながすモーダルダイアログが現れる機能名だ(図01)。

図01 コントロールパネルから「アカウントの種類の変更」を起動することで、アカウントの種類を変更できる

ユーザーアカウント制御による通知は、同名の設定ダイアログから通知範囲を調整可能だが、Windows 8は完全に無効にすることが不可能になった。また、Windows 8で使用中のアカウントの種類が「管理者」だった場合は、確認をうながす「昇格プロンプト」が現れるだけだが、標準ユーザーの場合、管理者の資格情報を入力し、権限を昇格することで初めて操作が可能になる。なお、「昇格プロンプト」はデスクトップが暗転する「セキュアデスクトップ」と呼ばれる状態に、他の操作を行えない「モーダルダイアログ」が現れる仕組みを採用。セキュアデスクトップの採用はユーザーに操作を強調する狙いがある(図02~03)。

図02 「標準」ユーザーの場合は、管理者の資格情報を求められる

図03 「管理者」ユーザーの場合は、確認をうながされるだけだ

ユーザーアカウント制御が有効な環境では、ファイルおよびレジストリの仮想化が自動的に有効になる。ファイルに関しては「%SystemRoot%」「%ProgramData%」「%ProgramFiles%」「%ProgramFiles(x86)%」と各フォルダーに対するアクセスが仮想化され、「%%LOCALAPPDATA%\VirtualStore」フォルダーへリダイレクトされる仕組みだ。レジストリはHKEY_LOCAL_MACHINE\Softwareキー下への書き込みが、HKEY_CURRENT_USER\Software\Classes\VirtualStore\Machine\Softwareキーにリダイレクト。いくつか例外はあるものの、これらの仕組みによりWindows 8は保護されている(図04~05)。

図04 「ユーザーアカウント制御」が有効な環境では、ファイルおよびレジストリの仮想化が自動的に有効になる。例えば、HKEY_LOCAL_MACHINE\Softwareキー下への書き込みは、HKEY_CURRENT_USER\Software\Classes\VirtualStore\Machine\Softwareにリダイレクトされる

図05 レジストリからの設定で「ユーザーアカウント制御」を強制的に無効化することも可能だが、その場合Windowsストアアプリは実行できなくなる

阿久津良和(Cactus