Windows 7

ユーザーアカウント制御(UAC)に関するセキュリティポリシー一覧

最終更新日:2009/8/29

Windows 7 の管理ツールにある「ローカル セキュリティ ポリシー」では、ユーザーアカウント制御(UAC)の動作に関して次のようなカスタマイズが可能です。

セキュリティオプション

レジストリ値は、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
の下にある DWORD値です。

アプリケーションのインストールを検出し、昇格をプロンプトする
説明このポリシー設定は、コンピューターへのアプリケーションのインストールを検出したときの動作を決定します。
レジストリ値EnableInstallerDetection
オプション有効1インストールするのに特権の昇格を必要とするアプリケーションのインストール パッケージを検出した場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。
無効0アプリケーションのインストール パッケージを検出せず、昇格を求めるプロンプトも表示しません。標準ユーザー デスクトップを実行し、Group Policy Software Install や Systems Management Server (SMS) のような委任されたインストール技術を使用する企業では、このポリシー設定を無効にしてください。そのような場合には、インストーラーの検出は必要ありません。
既定値有効 (ホーム ユーザー向け) / 無効 (エンタープライズ向け)
ビルトイン Administrator アカウントのための管理者承認モードを使用する
説明このポリシー設定は、ビルトイン Administrator アカウントのための管理者承認モードの動作を決定します。
レジストリ値FilterAdministratorToken
オプション有効1ビルトイン Administrator アカウントは管理者承認モードを使用します。既定では、特権の昇格を必要とする操作が試みられた場合はすべて、ユーザーに操作の承認を求めるメッセージを表示します。
無効0ビルトイン Administrator アカウントはすべてのアプリケーションを完全な管理者特権で実行します。
既定値無効
安全な場所にインストールされている UIAccess アプリケーションの昇格のみ
説明このポリシー設定は、ユーザー インターフェイス アクセシビリティ (UIAccess) 整合性レベルでの実行を必要とするアプリケーションが、ファイル システム内の安全な場所に存在する必要があるかどうかを決定します。安全な場所は、次のディレクトリに限定されます。

- …\Program Files\、サブディレクトリを含む
- …\Windows\system32\
- …\Program Files (x86)\、64 ビット バージョンの Windows のサブディレクトリを含む

注意: Windows は、このセキュリティ設定の状態にかかわらず、UIAccess 整合性レベルでの実行を必要とする対話型アプリケーションすべてにおいて、公開キー基盤 (PKI) 署名チェックを強制します。
レジストリ値EnableSecureUIAPaths
オプション有効1アプリケーションは、ファイル システム内の安全な場所に存在する場合のみ、UIAccess 整合性レベルで実行されます。
無効0アプリケーションは、ファイル システム内の安全な場所に存在していなくても、UIAccess 整合性レベルで実行されます。
既定値有効
各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する
説明このポリシー設定は、アプリケーションによる書き込みエラーが、定義されたレジストリおよびファイル システムの場所にリダイレクトされるかどうかを決定します。このポリシー設定は、管理者として実行される、実行時アプリケーション データを %ProgramFiles%、%Windir%、%Windir%\system32、または HKLM\Software に書き込むアプリケーションの問題を緩和します。
レジストリ値EnableVirtualization
オプション有効1ファイル システムとレジストリについて、アプリケーションの実行時の書き込みエラーを定義済みのユーザーの場所へリダイレクトします。
無効0保護された場所にデータを書き込むアプリケーションは失敗します。
既定値有効
管理者承認モードを有効にする
説明このポリシー設定は、コンピューターのユーザー アカウント制御 (UAC) ポリシー設定の動作を決定します。このポリシー設定を変更した場合は、コンピューターを再起動する必要があります。
レジストリ値EnableLUA
オプション有効1管理者承認モードが有効になっています。ビルトイン Administrator アカウントと、Administrators グループに属するその他のすべてのユーザーを管理者承認モードで実行できるようにするには、このポリシーが有効になっていること、関連する UAC ポリシー設定が適切に設定されていることが必要です。
無効0管理者承認モードと、関連する UAC ポリシーの設定すべてが無効になっています。注意: このポリシー設定が無効な場合、オペレーティング システムの全体的なセキュリティが低下したことが、セキュリティ センターから通知されます。
既定値有効
管理者承認モードでの管理者に対する昇格時のプロンプトの動作
説明このポリシー設定は、管理者承認モードでの管理者に対する昇格時のプロンプトの動作を決定します。
レジストリ値ConsentPromptBehaviorAdmin
オプション確認を要求しないで昇格する0特権のあるアカウントに対して、特権の昇格を必要とする操作を、同意または資格情報を要求せずに実行することを許可します。注意: このオプションは、最も制約の厳しい環境でのみ使用するようにしてください。
セキュリティで保護されたデスクトップで資格情報を要求する1特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、特権のあるユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、そのユーザーが利用できる最高の特権で操作を続行します。
セキュリティで保護されたデスクトップで同意を要求する2特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。
資格情報を要求する3特権の昇格を必要とする操作が試みられた場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。
同意を要求する4特権の昇格を必要とする操作が試みられた場合、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。
Windows 以外のバイナリに対する同意を要求する5Windows 以外のアプリケーションで特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。
既定値Windows 以外のバイナリに対する同意を要求する
署名および検証された実行ファイルのみを昇格する
説明このポリシー設定は、特権の昇格を必要とする対話型アプリケーションに対して、公開キー基盤 (PKI) 署名チェックを強制します。エンタープライズ管理者は、ローカル コンピューター上の信頼された発行元証明書ストアに証明書を追加することによって、どのアプリケーションを許可するかを管理できます。
レジストリ値ValidateAdminCodeSignatures
オプション有効1任意の実行ファイルに対して、その実行が許可される前に、PKI 証明のパス検証を強制します。
無効0任意の実行ファイルに対して、その実行が許可される前に、PKI 証明のパス検証を強制しません。
既定値無効
昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える
説明このポリシー設定は、昇格要求のプロンプトが、対話ユーザーのデスクトップで表示されるか、セキュリティで保護されたデスクトップで表示されるかを決定します。
レジストリ値PromptOnSecureDesktop
オプション有効1管理者および標準ユーザー用のプロンプトの動作ポリシー設定にかかわらず、すべての昇格要求は、セキュリティで保護されたデスクトップで行われます。
無効0すべての昇格要求は、対話ユーザーのデスクトップで行われます。管理者および標準ユーザー用のプロンプトの動作ポリシー設定が使用されます。
既定値有効
標準ユーザーに対する昇格時のプロンプトの動作
説明このポリシー設定は、標準ユーザーに対する昇格時のプロンプトの動作を決定します。
レジストリ値ConsentPromptBehaviorUser
オプション資格情報を要求する3特権の昇格を必要とする操作が試みられた場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。
昇格の要求を自動的に拒否する0特権の昇格を必要とする操作が試みられた場合、構成可能なアクセス拒否エラー メッセージを表示します。デスクトップを標準ユーザーとして実行している企業は、ヘルプ デスクへの電話の数を削減するために、このオプションを選択した方がよい場合があります。
セキュリティで保護されたデスクトップで資格情報を要求する1特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、別のユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、そのユーザーに適用される特権で操作を続行します。
既定値セキュリティで保護されたデスクトップで資格情報を要求する


<サイト内関連URL>

  • ユーザーアカウント制御(UAC)に関するポリシー一覧(Windows 7)
  • 管理ツールの機能一覧(Windows 7)
  • 管理ツールの機能一覧(Windows Vista)
  • Windows 7 の ユーザーアカウント制御の設定
  • Windows Vista のファイルの仮想化(Virtualization)について