Windows Serverでユーザーアカウント制御（UAC）を無効にする方法

• 2020年9月8日
• 読むのに8分
• • D
  • s

この記事では、Windows Serverでユーザーアカウント制御（UAC）を無効にする方法を紹介します。

元の製品バージョン：Windows Server 2012 R2
元のKB番号：2526083

概要

特定の制約された状況では、Windows ServerでUACを無効にすることは、許容され、推奨される方法です。これらの状況は、次のすべての条件が当てはまる場合にのみ発生します。

• 管理者のみが、コンソールで、またはリモートデスクトップサービスを使用して、Windowsベースのサーバーに対話的にサインインできます。
• 管理者はWindowsベースのサーバーにサインインして、サーバー上で正当なシステム管理機能を実行するだけです。

これらの条件のいずれかが当てはまらない場合は、UACを有効のままにしておく必要があります。たとえば、サーバーがリモートデスクトップサービスの役割を有効にして、管理者以外のユーザーがサーバーにサインインしてアプリケーションを実行できる場合、UACは有効のままにする必要があります。同様に、管理者がサーバー上でWebブラウザー、電子メールなどの危険なアプリケーションを実行する場合、UACは有効のままにする必要があります。クライアント、インスタントメッセージングクライアント、または管理者がWindows7などのクライアントオペレーティングシステムから実行する必要のある他の操作を実行する場合。

詳細情報

UACは、Windowsユーザーが標準の使用に移行できるように設計されています。デフォルトではユーザー権限。 UACには、これを実現するためのいくつかのテクノロジーが含まれています。これらのテクノロジには、次のものが含まれます。

• ファイルとレジストリの仮想化：レガシーアプリケーションがファイルシステムまたはレジストリの保護された領域に書き込もうとすると、Windowsはサイレントかつ透過的にアクセスをパーツにリダイレクトします。ユーザーが変更できるファイルシステムまたはレジストリの。これにより、以前のバージョンのWindowsで管理者権限を必要とした多くのアプリケーションを、Windows Server2008以降のバージョンでは標準のユーザー権限のみで正常に実行できます。
• 同じデスクトップの昇格：承認されたユーザーがプログラムを実行して昇格したとき、結果のプロセスには、インタラクティブデスクトップユーザーの権限よりも強力な権限が付与されます。管理者は、昇格をUACのフィルタートークン機能（次の箇条書きを参照）と組み合わせることで、標準のユーザー権限でプログラムを実行し、同じユーザーアカウントで管理者権限を必要とするプログラムのみを昇格できます（この同じユーザーの昇格機能は管理者承認モードとも呼ばれます。）管理者が標準ユーザーのデスクトップで管理タスクを実行できるように、別のユーザーアカウントを使用して、昇格された権限でプログラムを開始することもできます。
• フィルターされたトークン：管理者またはその他の強力な特権またはグループメンバーシップを持つユーザーがログオンすると、Windowsはユーザーアカウントを表す2つのアクセストークンを作成します。フィルタリングされていないトークンには、すべてのユーザーのグループメンバーシップと特権がありますが、フィルタリングされたトークンは、標準のユーザー権限と同等のユーザーを表します。デフォルトでは、このフィルタリングされたトークンは、ユーザーのプログラムを実行するために使用されます。フィルタリングされていないトークンは、昇格されたプログラムにのみ関連付けられます。 Administratorsグループのメンバーであり、ユーザーがログオンしたときにフィルター処理されたトークンを受け取るアカウントは、保護された管理者アカウントと呼ばれます。
• ユーザーインターフェイス特権の分離（UIPI）：UIPIは、特権の低いプログラムを防止します。合成マウスやキーボードイベントなどのウィンドウメッセージをより高い特権のプロセスに属するウィンドウに送信し、これを行うことでより高い特権のプロセスを制御します。
• 保護モードInternetExplorer（PMIE）：PMIEはWindows Internet Explorerが低特権の保護モードで動作し、ファイルシステムまたはレジストリのほとんどの領域に書き込めない、詳細な防御機能。デフォルトでは、ユーザーがサイトを閲覧すると保護モードが有効になります。インターネットまたは制限付きサイトゾーン。PMIEを使用すると、Internet Explorerの実行中のインスタンスに感染するマルウェアが、ユーザーがログオンするたびに起動するように構成するなど、ユーザーの設定を変更することがより困難になります。 PMIEは実際にはUACの一部ではありません。ただし、UIPIなどのUAC機能によって異なります。
• インストーラーの検出：管理者権限なしで新しいプロセスを開始しようとすると、Windowsはヒューリスティックを適用して、新しいプロセスがレガシーインストールである可能性が高いかどうかを判断します。プログラム。 Windowsは、レガシーインストールプログラムが管理者権限なしで失敗する可能性が高いと想定しています。したがって、Windowsは、対話型ユーザーに昇格を事前に要求します。ユーザーが管理者の資格情報を持っていない場合、ユーザーはプログラムを実行できません。

ユーザーアカウント制御を無効にした場合：すべての管理者を管理者承認モードポリシー設定で実行すると、すべての管理者が無効になります。このセクションで説明するUAC機能。このポリシー設定は、コンピューターのローカルセキュリティポリシー、セキュリティ設定、ローカルポリシー、およびセキュリティオプションから利用できます。保護されたフォルダまたはレジストリキーへの書き込みを期待する標準のユーザー権限を持つレガシーアプリケーションは失敗します。フィルタリングされたトークンは作成されず、すべてのプログラムは、コンピューターにログオンしているユーザーの完全な権限で実行されます。これには、すべてのセキュリティゾーンで保護モードが無効になっているため、InternetExplorerが含まれます。

UACおよび特にSame-desktopElevationに関する一般的な誤解は、マルウェアのインストールや管理者権限の取得を妨げることです。まず、マルウェアは管理者権限を必要としないように記述でき、マルウェアは内の領域にのみ書き込むように記述できます。ユーザーのプロファイル。さらに重要なのは、UACの同じデスクトップの高度はセキュリティ境界ではなく、同じデスクトップで実行される非特権ソフトウェアによってハイジャックされる可能性があることです。同じデスクトップの高度は便利な機能と見なす必要があり、セキュリティの観点から、保護された管理者を考慮する必要があります。管理者と同等です。対照的に、高速ユーザー切り替えを使用して管理者アカウントを使用して別のセッションにサインインするには、管理者アカウントと標準ユーザーセッションの間にセキュリティ境界があります。

Windowsベースの場合対話型ログオンの唯一の理由がシステムの管理であるサーバーでは、昇格プロンプトを少なくするという目標は実現可能または望ましくありません。システム管理ツールには、合法的に管理者権限が必要です。すべての管理ユーザーのタスクに管理者権限が必要であり、各タスクが昇格プロンプトをトリガーする可能性がある場合、プロンプトは生産性の妨げになります。このコンテキストでは、このようなプロンプトは、アプリケーションの開発を促進するという目標を促進することはできません。標準のユーザー権限が必要です。また、このようなプロンプトはセキュリティ体制を改善しません。代わりに、これらのプロンプトは、ユーザーがダイアログボックスを読まずにクリックするように促すだけです。

このガイダンスは、管理ユーザーのみがインタラクティブまたはリモートデスクトップサービスを介してログオンできる適切に管理されたサーバーにのみ適用されます。正当な管理機能を実行します。管理者がWebブラウザ、電子メールクライアント、インスタントメッセージングクライアントなどの危険なアプリケーションを実行したり、クライアントオペレーティングシステムから実行する必要のあるその他の操作を実行したりする場合、サーバーはクライアントシステムと同等であると見なす必要があります。この場合、UACは、防御の詳細な手段として有効のままにしておく必要があります。

また、標準ユーザーがコンソールでサーバーにサインインするか、リモートデスクトップサービスを介してアプリケーション、特にWebブラウザーを実行する場合はUACは、ファイルとレジストリの仮想化、および保護モードのInternet Explorerをサポートするために、有効のままにしておく必要があります。

UACを無効にせずに昇格プロンプトを回避する別のオプションは、ユーザーアカウント制御を設定することです。プロンプトなしで昇格するための承認モードセキュリティポリシー。この設定を使用すると、ユーザーがAdministratorsグループのメンバーである場合、昇格要求がサイレントに承認されます。このオプションでは、PMIEおよびその他のUAC機能も有効のままになります。ただし、管理者権限を必要とするすべての操作が昇格を要求するわけではありません。この設定を使用すると、ユーザーのプログラムの一部が昇格される場合と昇格されない場合があり、それらを区別する方法がありません。たとえば、管理者権限を必要とするほとんどのコンソールユーティリティは、コマンドプロンプトまたは他のプログラムで起動されることを期待しています。このようなユーティリティは、昇格されていないコマンドプロンプトで起動すると失敗するだけです。

UACを無効にした場合の追加の影響

• Windowsエクスプローラを使用して読み取り権限がないディレクトリを参照すると、エクスプローラーはディレクトリの権限を変更して、ユーザーアカウントに永続的にアクセスを許可するよう提案します。結果はUACが有効になっているかどうかによって異なります。詳細については、「いつWindowsエクスプローラーでフォルダーにアクセスするには、[続行]をクリックします。ユーザーアカウントがフォルダーのACLに追加されます。
• UACが無効になっている場合、Windowsエクスプローラーは引き続き昇格が必要なアイテムのUACシールドアイコンを表示し、実行を含めますの管理者としてアプリケーションのコンテキストメニューとアプリケーションのショートカット。 UAC昇格メカニズムが無効になっているため、これらのコマンドは効果がなく、アプリケーションはサインインしているユーザーと同じセキュリティコンテキストで実行されます。
• UACが有効になっている場合、コンソールユーティリティRunasの場合。exeは、トークンフィルタリングの対象となるユーザーアカウントを使用してプログラムを起動するために使用され、プログラムはユーザーのフィルタリングされたトークンで実行されます。UACが無効になっている場合、起動されるプログラムはユーザーの完全なトークンで実行されます。
• UACが有効になっている場合、トークンフィルタリングの対象となるローカルアカウントは、リモートデスクトップ以外のネットワークインターフェイス（NET USEやWinRMなど）を介したリモート管理には使用できません。認証を行うローカルアカウント。このようなインターフェイスを介して、アカウントのフィルタリングされたトークンに付与された特権のみを取得します。 UACが無効になっている場合、この制限は削除されます。 （この制限は、KB951016で説明されているLocalAccountTokenFilterPolicy設定を使用して削除することもできます。）この制限を削除すると、多くのシステムに管理ローカルがある環境でシステムが侵害されるリスクが高まる可能性があります。同じユーザー名とパスワードを持つアカウント。このリスクに対して他の緩和策が採用されていることを確認することをお勧めします。推奨される緩和策の詳細については、Pass-the-Hash（PtH）攻撃およびその他の資格情報の盗難の緩和バージョン1および2を参照してください。
• PsExec、ユーザーアカウント制御、およびセキュリティ境界
• Windowsエクスプローラーでフォルダーアクセスに[続行]を選択すると、ユーザーアカウントがフォルダーのACLに追加されます（KB 950934）