Windows Vista

ユーザーアカウント制御(UAC)に関するセキュリティポリシー一覧

最終更新日:2008/2/24

Windows Vista の管理ツールにある「ローカル セキュリティ ポリシー」では、ユーザーアカウント制御(UAC)の動作に関して次のようなカスタマイズが可能です。

セキュリティオプション

レジストリ値は、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
の下にある DWORD値です。

アプリケーションのインストールを検出し、昇格をプロンプトする
説明このセキュリティ設定では、システム全体のアプリケーションのインストールの検出時の動作を決定します。
レジストリ値EnableInstallerDetection
オプション有効1インストールするのに特権の昇格を必要とするアプリケーションのインストール パッケージは、ヒューリスティックによって検出され、構成された昇格プロンプト UX をトリガします。
無効0Group Policy Software Install (GPSI) や SMS のような委任されたインストール技術を活用している、標準ユーザー デスクトップを実行するエンタープライズでは、この機能を無効にします。この場合、インストーラの検出は不要であるため、要求されません。
既定値有効 (ホーム ユーザー向け) / 無効 (エンタープライズ向け)
組み込みの管理者アカウント用の管理者承認モード
説明このセキュリティ設定は、組み込みの管理者アカウント用の管理者承認モードの動作を決定します。
レジストリ値FilterAdministratorToken
オプション有効1組み込みの管理者は管理者承認モードでログオンします。既定では、特権の昇格を必要とする操作はすべて、承認管理者に [許可] または [拒否] を選択するよう要求します。
無効0組み込みの管理者は XP 互換モードでログオンし、既定では完全な管理者特権ですべてのアプリケーションを実行します。
既定値無効
安全な場所にインストールされた UIAccess アプリケーションのみを昇格する
説明このセキュリティ設定は、UIAccess 整合性レベルでの実行を必要とする (アプリケーション マニフェストに UIAccess=true とマークすることによって) アプリケーションが、ファイル システム内の安全な場所に存在しなければならないという要件を強制します。安全な場所は、次のディレクトリに制限されます。

- …\Program Files\、サブディレクトリを含む
- …\Windows\system32\
- …\Program Files (x86)\、64 ビット バージョンの Windows のサブディレクトリを含む

注: Windows は、このセキュリティ設定の状態にかかわらず、UIAccess 整合性レベルでの実行を必要とする対話型アプリケーションすべてにおいて、PKI 署名チェックを強制します。
レジストリ値EnableSecureUIAPaths
オプション有効1アプリケーションは、それがファイル システム内の安全な場所に存在する場合のみ、UIAccess 整合性で起動されます。
無効0アプリケーションは、それがファイル システム内の安全な場所に存在していなくても、UIAccess 整合性で起動されます。
既定値有効
ファイルまたはレジストリへの書き込みエラーを各ユーザーの場所に仮想化する
説明このセキュリティ設定は、レガシ アプリケーションによるレジストリとファイル システムへの書き込みエラーを定義済みの場所へリダイレクトするようにします。この機能は、これまで管理者として実行され、アプリケーションの実行時データを %ProgramFiles%、%Windir%、%Windir%\system32、または HKLM\Software\.... に書き戻していたアプリケーションの問題を緩和します。

仮想化により、これまでは標準ユーザーとして実行できなかった Vista 以前の (レガシ) アプリケーションの実行が容易になります。Windows Vista 互換アプリケーションのみを実行する管理者は、この機能が不要な場合は無効にすることを選択できます。

レジストリ値EnableVirtualization
オプション有効1ファイル システムとレジストリについて、アプリケーションの実行時の書き込みエラーを定義済みのユーザーの場所へリダイレクトします。
無効0データを保護された場所に書き込むアプリケーションは、これまでのバージョンの Windows と同様に失敗します。
既定値有効
管理者を含めすべてのユーザーを、標準ユーザーとして実行する
説明このセキュリティ設定は、システム全体のすべての UAC ポリシーの動作を決定します。
レジストリ値EnableLUA
オプション有効1管理者承認モードおよびその他の UAC ポリシーはすべて、このオプションが有効であることに依存します。この設定を変更するには、システムの再起動が必要です。
無効0管理者承認モードのユーザーの種類およびすべての関連する UAC ポリシーは無効にされます。注: オペレーティング システムの全体的なセキュリティが低下したことが、セキュリティ センターから通知されます。
既定値有効
管理者承認モードでの管理者に対する昇格時のプロンプトの動作
説明このセキュリティ設定は、管理者に対する昇格時のプロンプトの動作を決定します。
レジストリ値ConsentPromptBehaviorAdmin
オプション同意を要求する2特権の昇格を必要とする操作を実行すると、承認管理者に [許可] または [拒否] を選択するようプロンプトが表示されます。承認管理者が [許可] を選択すると、操作は利用可能な最高の特権で続行されます。このオプションにより、ユーザーは名前とパスワードを入力して、特権タスクを実行できます。
資格情報を要求する1特権の昇格を必要とする操作を実行すると、承認管理者にユーザーの名前とパスワードを入力するようプロンプトが表示されます。ユーザーが有効な資格情報を入力すると、操作は該当する特権で続行されます。
プロンプトを表示せずに昇格する0このオプションにより、承認管理者は、昇格を必要とする操作を、同意または資格情報を入力せずに実行できます。注: このシナリオは、最も制限的な環境でのみ使用する必要があります。
既定値同意を要求する
署名および検証された実行ファイルのみを昇格する
説明このセキュリティ設定は、特権の昇格を必要とする対話型アプリケーション上で PKI 署名チェックを強制します。エンタープライズ管理者は、ローカル コンピュータの信頼された発行元ストアに証明書を追加することによって、管理アプリケーション許可リストを制御できます。
レジストリ値ValidateAdminCodeSignatures
オプション有効1任意の実行ファイルに対して、その実行が許可される前に、PKI 証明書チェーン検証を強制します。
無効0任意の実行ファイルに対して、その実行が許可される前に、PKI 証明書チェーン検証を強制しません。
既定値無効
昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える
説明このセキュリティ設定は、昇格要求のプロンプトが、対話ユーザーのデスクトップで表示されるか、セキュリティで保護されたデスクトップで表示されるかを決定します。
レジストリ値PromptOnSecureDesktop
オプション有効1既定ですべての昇格要求は、セキュリティで保護されたデスクトップで行われます。
無効0すべての昇格要求は、対話ユーザーのデスクトップで行われます。
既定値有効
標準ユーザーに対する昇格時のプロンプトの動作
説明このセキュリティ設定は、標準ユーザーに対する昇格時のプロンプトの動作を決定します。
レジストリ値ConsentPromptBehaviorUser
オプション資格情報を要求する1特権の昇格を必要とする操作を実行すると、ユーザーに管理ユーザー名とパスワードを入力するようプロンプトが表示されます。ユーザーが有効な資格情報を入力すると、操作は該当する特権で続行されます。
昇格要求を自動的に拒否する0このオプションでは、標準ユーザーが特権の昇格を必要とする操作を実行しようとすると、アクセス拒否エラーが返されます。標準ユーザーとしてデスクトップを実行する多くのエンタープライズでは、このポリシーを構成することでヘルプ デスクへの電話を削減できます。
既定値資格情報を要求する (ホーム ユーザー向け) / 昇格要求を自動的に拒否する (エンタープライズ向け)


<サイト内関連URL>

  • ユーザーアカウント制御(UAC)に関するポリシー一覧(Windows 8)
  • ユーザーアカウント制御(UAC)に関するポリシー一覧(Windows 7)
  • 管理ツールの機能一覧(Windows 7)
  • 管理ツールの機能一覧(Windows Vista)
  • 「ユーザーアカウント制御の設定を確認してください」を表示させない方法
  • Windows Vista の UAC(ユーザーアカウント制御)機能を無効にしたい
  • Windows Vista のファイルの仮想化(Virtualization)について
  • Windows 7 の ユーザーアカウント制御の設定