Administratorsが危険ならPowerUsersも危険
少しセキュリティに詳しくなってくると、Administratorsでログオンする事を辞めたほうが良い事に気づきます。
しかし、その解決策としてPowerUsersに変更している人が多いのに驚きます。私はPowerUsersでも十分危険(※1)だと思います。
考えられる解決策を述べます。なお、対象はWindows 2000以上になります。
まず、WindowsユーザがAdministratorで作業をする人は大抵以下の3つの組み合わせが多いようです。
- 古いプログラムの中にはProgram Filesに対して、ユーザデータの書き込みを行うものがあり、Users権限では動作しない
- インストール作業や管理作業をする度にAdminstratorでログオンしなおすのは面倒
- 危険性を理解していない
最初の問題はユーザのせいではありません。私としては、そんなプログラムは動作させるなといいたい所ですが、ここはローカルセキュリティポリシーで対処します。手順は以下のとおり。
- 「プログラム」→「管理ツール」→「ローカルセキュリティポリシー」
- 「セキュリティの設定」を右クリック、「ポリシーのインポート」
- インポートするファイルはWindowsフォルダ内のSecurity\compatws.inf
これで、Usersの権限が向上し、このような大抵のアプリケーションが動作します。アカウントの作成や、プリンタの管理など、権限が欠落したPowerUserと考えると良いでしょう。元に戻すのはsetup security.infをインポートすれば良いハズです。
2番目の問題ですが、これはSecondary Logonを知っていますか?という話になってしまいます。インストーラやコントロールパネルのアイコンをShiftを押しながら右クリックしてください。大抵は「別のユーザとして実行」のメニューがでるはずです。それを使ってください。
3番目の問題は、勉強不足というしかないでしょう。そもそもAdministratorは不便で危険なアカウントであり、常時作業をしたり、プログラムを起動するためのアカウントではないのです。セキュリティにおけるMicrosoftの最大の失敗はAdministratorを便利に作りすぎた事だと思います。
ちなみに、Windows2003のAdministratorはかなり耐え難く、Vista以降では、Administratorアカウントによるログオンを無効にして対処してきています。
何か欠落しているような気がしますが、大抵の事は書いたつもりです。
---
※1 ユーザのアカウント作り放題とか。デフォルトではレガシアプリケーションの実行を許すため、バックアップ特権(アクセス権を越えた読み込み)を取得する可能性もあります。考えただけで恐ろしいです。
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/147973/11654016
この記事へのトラックバック一覧です: Administratorsが危険ならPowerUsersも危険:
» "LISMO"はUsers権限でお願い トラックバック STARDUST can be found.
昨日、
ジラーチにお願い
しそこないました...orz
まあ、いいですが。
昨日の+Lhacaのセキュリティ関連エントリーで思い出したことが!
それは、
LISMOのセキュリティ
"LISMO"というのは、au by KDDIのケータイ電話の音楽サービスですが、それを管理するのにPCにLISMOのソフトをインストールします。
これが、Administrator(以下、Admin)権限でしかインストールできないのは良しとしても、使うのもAdmin権限がないと使えないという、セキュリティレベルを落とす... 続きを読む
受信: 2007/07/03 16:27:02
コメント