| [基礎解説] Windowsセキュリティ・メカニズム入門(後編) 4.別のユーザーとして実行する機能とWindows Vista畑中 哲2006/06/16 |
 |
|
|
|
「別のユーザーとして実行」する機能
Windows 2000以降のOSでは、「別のユーザーとして実行」という機能(RunAs/Secondary Logon)がある。コマンド・プロンプト上でrunasというコマンドを利用するか、プログラムの起動時に[別のユーザーとして実行]を選択すると利用できる。
 |
|||
| 「別のユーザーとして実行する」機能 | |||
| プログラムを起動する場合、右クリックしてポップアップ・メニューから「別のユーザーとして実行する」を選択する(Windows XP/Windows Server 2003の場合)。すると実行するユーザー・アカウントとパスワードを問い合わせるダイアログが表示される。また、プログラムのショートカットのプロパティを表示させ、[ショートカット]タブにある[詳細設定]をクリックして表示されたダイアログでも設定することができる。Windows 2000の場合は、ショートカットのプロパティ・ダイアログにある[別のユーザーとして実行]をチェックする。コマンド・プロンプト上から利用する場合は、runasコマンドを利用する。 | |||
|
この機能で行っていることは、「デスクトップにログオンしたときに作成されたトークンとは別のトークンを新たに作成し、そのトークンを持つプロセスを実行する」ということである。
すでに解説したように、トークンの書き換えには特権が必要である。特権がない普通のユーザーは、トークンを書き換えることはできない。そのため、「別のユーザーとして実行」機能では、ユーザーの代わりに「RunAs Service(Windows 2000)」/「Secondary Logon(Windows XP以降)」というサービスがプロセスの起動を行う。これが可能なのは、RunAs/Secondary Logonサービスのプロセスが「私はローカル・システムです」というトークンを持っており、自由にトークンを書き換えられるからである(前回の最後の「トークンの書き換えとセキュリティ」参照)。
Windows NT 4.0には「別のユーザーとして実行」の機能はないが、仕組みとしては Windows NT 4.0でも可能なものであった(Windows NT 4.0で同様の機能を持つサード・パーティ製アプリケーションもある)。
そしてWindows Vistaへ
これまでの内容をまとめると、以下のようになる。
-
「誰」であるかの境界線は、プロセス。
-
身元と権利を示すのは、トークン。
-
各プロセスは独立したトークンを持ち、各プロセスのトークンは独立して書き換えられる。デスクトップに誰がログオンしているかは関係ない。
-
オブジェクトに対するアクセスは、トークンのユーザー/グループと、オブジェクトの ACL とによって、許可/拒否が決定される。デスクトップに誰がログオンしているかは関係ない。
-
特権的操作は、トークンに特権が与えられているかどうかによって、許可/拒否が決定される。デスクトップに誰がログオンしているかは関係ない。
-
いわゆる「管理者権限」というものはない。「管理者権限でログオンする」というのは、通常、ローカル Administrators グループに所属するユーザーとしてログオンすることをいう。
-
デフォルトのオブジェクトのACLでは、通常、ローカルAdministratorsグループに強力なアクセス権が認められている。
-
デフォルトでは、ローカルAdministratorsグループにさまざまな特権が与えられている。
-
そのため、ローカル Administrators に所属するユーザーとしてログオンすると、それ以降に起動するプロセスすべてで、さまざまなオブジェクトにフル・コントロールでアクセスでき、多くの特権的操作を行うことができる。だがそれは、ログオンしたユーザーに「管理者権限」というものがあるからではない。ローカルAdministrators にたまたま強力なアクセス権を認める ACL が付いているオブジェクトが多く、また、たまたまデフォルトで多くの特権が与えられているからにすぎない。
-
「管理者権限でログオン」したとしても、トークンから「ローカルAdministratorsグループに所属している」という情報や各種特権が削除されれば、そのプロセスは、「管理者権限を必要とする」ような操作は何もできない。
このような仕組みを利用すると、「Aliceがログオンしたら常にC:\Windowsフォルダへのフル・コントロールを認める」といったような静的な制御でなく、より柔軟な制御が可能になる。そのような柔軟性は、すでにこれまでのWindows OSでも活用されてきた。例えば、リモート・デスクトップ/ターミナル・サーバにログオンすると、同じユーザーがコンソールにログオンした場合とは異なるトークンがプロセスに与えられる。従って、同じユーザーが同じコンピュータ上の同じオブジェクトにアクセスする場合であっても、リモート接続かどうかによって、許可されるかどうかは動的に変化するのである(参照:Windows TIPS「リモート・ログオン・ユーザーからのファイル・アクセスを制限する」)。
一方では、Windows OSのユーザーが、「管理者権限でログオンする」のが常態となっているという問題がある。トークンには本来柔軟性があるのだが、互換性や利便性といった理由から、常日ごろどんなプロセスも同じ「管理者権限」で動作させるのが習慣になっている。これはセキュリティ上好ましい習慣ではない。
「別のユーザーとして実行」するという機能は、そのような習慣から脱却し、セキュリティ機能を有効に利用する助けとなるはずのものだが、あくまでユーザーが意識して使用しなければならず、利便性が十分ではない。また、「別のユーザーとして実行」機能はトークンを書き換えすぎるきらいがあり、互換性や実用上の問題もある。
そこでマイクロソフトは、次期OSであるWindows Vistaに「ユーザー アカウント制御(User Account Control)」という機能を搭載することにした(ただしこれは現時点での予定であり、最終的な製品版でどのようになるかは不明)。これは基本的には、ログオン時に与えられるトークンから自動的に多くのグループや特権を取り除き、必要なときにだけすべてのグループと特権を書き戻す機能である。トークンを書き戻すには、ユーザーは、画面上に自動的に現れるダイアログにクリックで応答するだけでよい。残念ながら現時点ではダイアログがあまりに頻繁に現れるために、便利とはいえないようである。だが、互換性を保ちつつ、よりOSを安全に使用するための次の一歩であるとはいえるだろう。
 |
|||||||||
| Windows Vistaのユーザー・アカウント制御ダイアログ画面 | |||||||||
| これは、Windows Vistaで新たに導入される「ユーザー アカウント制御」の確認ダイアログの例(これはビルド5384のベータ版の画面)。「リモートの設定」ダイアログ([システムのプロパティ]にある[リモート]タブ画面)を起動しようとしたところ。たとえ管理者グループに属するアカウントでログオンしていても、特権的な操作を行おうとすると、画面全体がこのようにフェードアウトし、前面にこのような確認ダイアログが表示される。[続行]をクリックしない限り、特権的な操作は行えないので、知らないうちにシステムが書き換えられたり、間違って操作してしまうなどのミスを防ぐことができる。ただしこのベータ版では、このようなダイアログが非常に頻繁に表示されるため、うるさいと感じるユーザーも多いだろう。 | |||||||||
|
■
Windowsのセキュリティ・メカニズムの基礎についてこれまで解説してきた。実は今回の記事は、Windows Vistaのユーザー・アクセス制御を解説する前段階として作成されたものだ。Vistaのユーザー・アカウント制御については、別途記事を公開する予定である。
 |
| INDEX | ||
| [基礎解説] | ||
| Windowsセキュリティ・メカニズム入門(前編) | ||
| 1.セキュアなOSに必要なこと | ||
| 2.プロセスとトークンとACL | ||
| 3.トークンと特権的操作 | ||
| 4.トークンの作成と書き換え | ||
| Windowsセキュリティ・メカニズム入門(後編) | ||
| 1.管理者権限でログオンするとは? | ||
| 2.トークンの内容を確認する | ||
| 3.トークンの内容を書き換えてみる | ||
 |
4.別のユーザーとして実行する機能とWindows Vista | |
 |
||
 |
「基礎解説」 |
ホワイトペーパー(TechTargetジャパン)
- 第207話 究極の人事システム (2010/2/9)
部長、わが人事部が開発した究極の人事評価システムがついに完成しました! これで不要な社員が一発で分かります! - WindowsTIPS (2010/2/5)
− netshコマンドでTCP/IPのパラメータを設定する
− Virtual PC 2007の共有NATで利用可能なアドレス範囲
− スタンバイ復帰でパスワード入力を要求されないように - 仮想環境でActive Directoryを利用する (2010/2/4)
仮想環境にADをインストールすれば、自由にActive Directoryドメイン・ネットワークを構築して実験できる - 第206話 バナー広告案 (2010/2/2)
いまどきWebマーケティングが不可欠なのは分かるが、強烈な競合に並べてバナーなんか出して、勝ち目はあるのか?
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | 企業の仮想化に足りない“発想”とは? 仮想化運用管理のキモは意外なところに! New! |
| ◆ | 操作もマニュアルも分かりやすい! ユーザー視点で開発されたPC管理ツール New! |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | セキュリティを知り尽くす上野氏が登壇! @ITメールソリューションLive! in Tokyo |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 世界に通用するストレージの作り方とは? 製品に込めた思いを富士通の開発者に聞く |
| ◆ | OSSで手間も時間も、障害も減った―― 「マピオンの事例」オープンソース活用法 |
| ◆ | 「ノートPCの持ち出し禁止」で大丈夫? 情報漏えいを防ぐ管理手法とインフラは? |
| ◆ | 1日の処理を1秒に――MySQLの達人が語る 「コスト削減」できるチューニング |
| ◆ | ドキュメント作成を自動化して、SEの作業 効率を大幅アップ! Visio 2007の魅力 |
| ◆ | 急速に広がるHyper-Vでのサーバ仮想化 そのベストプラクティスをデルが解説 |
| ◆ | @IT主催セミナーで語られた、「担当者に 求められるセキュリティ対策」をレポート |
| ◆ | @IT「Windows 7」 特設サイトオープン! 最新情報・移行ノウハウを公開しています |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。