Windows 7
ユーザーアカウント制御(UAC)に関するセキュリティポリシー一覧
最終更新日:2009/8/29
Windows 7 の管理ツールにある「ローカル セキュリティ ポリシー」では、ユーザーアカウント制御(UAC)の動作に関して次のようなカスタマイズが可能です。
レジストリ値は、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
の下にある DWORD値です。
| アプリケーションのインストールを検出し、昇格をプロンプトする | |||
| 説明 | このポリシー設定は、コンピューターへのアプリケーションのインストールを検出したときの動作を決定します。 | ||
| レジストリ値 | EnableInstallerDetection | ||
| オプション | 有効 | 1 | インストールするのに特権の昇格を必要とするアプリケーションのインストール パッケージを検出した場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。 |
| 無効 | 0 | アプリケーションのインストール パッケージを検出せず、昇格を求めるプロンプトも表示しません。標準ユーザー デスクトップを実行し、Group Policy Software Install や Systems Management Server (SMS) のような委任されたインストール技術を使用する企業では、このポリシー設定を無効にしてください。そのような場合には、インストーラーの検出は必要ありません。 | |
| 既定値 | 有効 (ホーム ユーザー向け) / 無効 (エンタープライズ向け) | ||
| ビルトイン Administrator アカウントのための管理者承認モードを使用する | |||
| 説明 | このポリシー設定は、ビルトイン Administrator アカウントのための管理者承認モードの動作を決定します。 | ||
| レジストリ値 | FilterAdministratorToken | ||
| オプション | 有効 | 1 | ビルトイン Administrator アカウントは管理者承認モードを使用します。既定では、特権の昇格を必要とする操作が試みられた場合はすべて、ユーザーに操作の承認を求めるメッセージを表示します。 |
| 無効 | 0 | ビルトイン Administrator アカウントはすべてのアプリケーションを完全な管理者特権で実行します。 | |
| 既定値 | 無効 | ||
| 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ | |||
| 説明 | このポリシー設定は、ユーザー インターフェイス アクセシビリティ (UIAccess) 整合性レベルでの実行を必要とするアプリケーションが、ファイル システム内の安全な場所に存在する必要があるかどうかを決定します。安全な場所は、次のディレクトリに限定されます。
- …\Program Files\、サブディレクトリを含む | ||
| レジストリ値 | EnableSecureUIAPaths | ||
| オプション | 有効 | 1 | アプリケーションは、ファイル システム内の安全な場所に存在する場合のみ、UIAccess 整合性レベルで実行されます。 |
| 無効 | 0 | アプリケーションは、ファイル システム内の安全な場所に存在していなくても、UIAccess 整合性レベルで実行されます。 | |
| 既定値 | 有効 | ||
| 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する | |||
| 説明 | このポリシー設定は、アプリケーションによる書き込みエラーが、定義されたレジストリおよびファイル システムの場所にリダイレクトされるかどうかを決定します。このポリシー設定は、管理者として実行される、実行時アプリケーション データを %ProgramFiles%、%Windir%、%Windir%\system32、または HKLM\Software に書き込むアプリケーションの問題を緩和します。 | ||
| レジストリ値 | EnableVirtualization | ||
| オプション | 有効 | 1 | ファイル システムとレジストリについて、アプリケーションの実行時の書き込みエラーを定義済みのユーザーの場所へリダイレクトします。 |
| 無効 | 0 | 保護された場所にデータを書き込むアプリケーションは失敗します。 | |
| 既定値 | 有効 | ||
| 管理者承認モードを有効にする | |||
| 説明 | このポリシー設定は、コンピューターのユーザー アカウント制御 (UAC) ポリシー設定の動作を決定します。このポリシー設定を変更した場合は、コンピューターを再起動する必要があります。 | ||
| レジストリ値 | EnableLUA | ||
| オプション | 有効 | 1 | 管理者承認モードが有効になっています。ビルトイン Administrator アカウントと、Administrators グループに属するその他のすべてのユーザーを管理者承認モードで実行できるようにするには、このポリシーが有効になっていること、関連する UAC ポリシー設定が適切に設定されていることが必要です。 |
| 無効 | 0 | 管理者承認モードと、関連する UAC ポリシーの設定すべてが無効になっています。注意: このポリシー設定が無効な場合、オペレーティング システムの全体的なセキュリティが低下したことが、セキュリティ センターから通知されます。 | |
| 既定値 | 有効 | ||
| 管理者承認モードでの管理者に対する昇格時のプロンプトの動作 | |||
| 説明 | このポリシー設定は、管理者承認モードでの管理者に対する昇格時のプロンプトの動作を決定します。 | ||
| レジストリ値 | ConsentPromptBehaviorAdmin | ||
| オプション | 確認を要求しないで昇格する | 0 | 特権のあるアカウントに対して、特権の昇格を必要とする操作を、同意または資格情報を要求せずに実行することを許可します。注意: このオプションは、最も制約の厳しい環境でのみ使用するようにしてください。 |
| セキュリティで保護されたデスクトップで資格情報を要求する | 1 | 特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、特権のあるユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、そのユーザーが利用できる最高の特権で操作を続行します。 | |
| セキュリティで保護されたデスクトップで同意を要求する | 2 | 特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。 | |
| 資格情報を要求する | 3 | 特権の昇格を必要とする操作が試みられた場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。 | |
| 同意を要求する | 4 | 特権の昇格を必要とする操作が試みられた場合、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。 | |
| Windows 以外のバイナリに対する同意を要求する | 5 | Windows 以外のアプリケーションで特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、[許可] または [拒否] を選択するように求めるプロンプトを表示します。[許可] が選択された場合は、そのユーザーが利用できる最高の特権で操作を続行します。 | |
| 既定値 | Windows 以外のバイナリに対する同意を要求する | ||
| 署名および検証された実行ファイルのみを昇格する | |||
| 説明 | このポリシー設定は、特権の昇格を必要とする対話型アプリケーションに対して、公開キー基盤 (PKI) 署名チェックを強制します。エンタープライズ管理者は、ローカル コンピューター上の信頼された発行元証明書ストアに証明書を追加することによって、どのアプリケーションを許可するかを管理できます。 | ||
| レジストリ値 | ValidateAdminCodeSignatures | ||
| オプション | 有効 | 1 | 任意の実行ファイルに対して、その実行が許可される前に、PKI 証明のパス検証を強制します。 |
| 無効 | 0 | 任意の実行ファイルに対して、その実行が許可される前に、PKI 証明のパス検証を強制しません。 | |
| 既定値 | 無効 | ||
| 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える | |||
| 説明 | このポリシー設定は、昇格要求のプロンプトが、対話ユーザーのデスクトップで表示されるか、セキュリティで保護されたデスクトップで表示されるかを決定します。 | ||
| レジストリ値 | PromptOnSecureDesktop | ||
| オプション | 有効 | 1 | 管理者および標準ユーザー用のプロンプトの動作ポリシー設定にかかわらず、すべての昇格要求は、セキュリティで保護されたデスクトップで行われます。 |
| 無効 | 0 | すべての昇格要求は、対話ユーザーのデスクトップで行われます。管理者および標準ユーザー用のプロンプトの動作ポリシー設定が使用されます。 | |
| 既定値 | 有効 | ||
| 標準ユーザーに対する昇格時のプロンプトの動作 | |||
| 説明 | このポリシー設定は、標準ユーザーに対する昇格時のプロンプトの動作を決定します。 | ||
| レジストリ値 | ConsentPromptBehaviorUser | ||
| オプション | 資格情報を要求する | 3 | 特権の昇格を必要とする操作が試みられた場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。 |
| 昇格の要求を自動的に拒否する | 0 | 特権の昇格を必要とする操作が試みられた場合、構成可能なアクセス拒否エラー メッセージを表示します。デスクトップを標準ユーザーとして実行している企業は、ヘルプ デスクへの電話の数を削減するために、このオプションを選択した方がよい場合があります。 | |
| セキュリティで保護されたデスクトップで資格情報を要求する | 1 | 特権の昇格を必要とする操作が試みられた場合、セキュリティで保護されたデスクトップに、別のユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、そのユーザーに適用される特権で操作を続行します。 | |
| 既定値 | セキュリティで保護されたデスクトップで資格情報を要求する | ||
<サイト内関連URL>