ユーザーアカウント制御

ユーザーアカウント制御

consent.exeが信頼されたソフトウェアであるMMCに管理者特権を与えるかどうかをプロンプト。
開発元	マイクロソフト
対応OS	Windows Vista以降
種別	セキュリティ機能
テンプレートを表示

ユーザーアカウント制御（英語: User Account Control, UAC）は、オペレーティングシステムを不正な変更から保護するために設計された、Windows Vistaから導入されたWindowsのセキュリティ機能である。システムの変更に管理者レベルの許可（昇格）が必要な場合、UACはユーザーに通知し、変更を承認または拒否する機会を与える。

本稿では、UACとそれに付随する昇格と仮想化について解説する。また、特に断らない限り、管理者ユーザーとはBUILTIN\Administratorsグループに所属するユーザーを指し、標準ユーザーとはBUILTIN\Usersグループに所属するユーザーを指す。

Windows XPまでは、管理者アカウントは管理権限（英語: Administrative rights）を常に持っており、マルウェアを含む全てのソフトウェアは管理特権を持った状態で実行し、システム上の全てのリソースにアクセスすることができた。こうしたセキュリティ上の問題を解決するため、Windows Vistaからは、管理者ユーザーとしてログオンしていても既定で標準ユーザーとして操作を行い、昇格されたアプリケーションのみ管理者権限を使用可能になった。

Windows Vista以降、既定でアプリケーションを標準ユーザーの権限で実行するようになり、2つの問題が発生した^[1]。

一つ目は、ユーザーが標準ユーザー権限でのみ動作するアプリケーションのみを実行していたとしても、管理者権限が必要となる場合である。例えば、アプリケーションのインストール時はほとんどの場合、システム全体で共有されるディレクトリやレジストリキーを作成したり、サービスやデバイスドライバーをインストールしたりする必要がある。こうした操作を管理者アカウントに切り替えてから実行するといったこともあり得るが、非常に不便であり、管理者権限を必要としない操作が日常のほとんどでありながら、ユーザーが管理者アカウントに留まったままになる可能性がある^[1]。UACはこうした問題を解決するため、管理者ユーザーにログインする際に管理者権限を持つアクセストークンと制限付きトークンを作成（後述）して必要な場合に昇格させ、標準ユーザーの場合でも管理者ユーザーの資格情報を入力した場合に昇格可能にした。つまり、UACはセキュリティ境界ではなく、昇格を承認されたソフトウェアが管理者権限を利用してどういった操作をするかはUACの関知するところではない^[1]。

二つ目は、標準ユーザーと同じ権限で動作することを想定していない古いアプリケーションが、保護されたディレクトリやレジストリにアクセスする場合である。こうしたアプリケーションでも互換性を保つため、ファイルシステムとレジストリの仮想化を導入して一定の条件を満たす場合に限り、仮想化されたデータストアに自動的にリダイレクトする。

ログオンが成功したのち、LSASS（ローカルセキュリティ機関サブシステムサービス、英語: Local Security Authority Subsystem Service, Lsass.exe）は、フル管理者トークン（英語: Full admin token, privileged token）と制限付き管理者トークン（英語: Filtered admin token）の二つのトークンを作成する。ユーザーが起動するアプリケーションのプロセスには制限付きトークンが付与され、ユーザーが昇格を承認したプロセスにのみフル管理者トークンが付与される^[1]。

違いは以下の通りである。

ログオンが成功したのち、LSASSは、標準ユーザートークン（英語: Standard user token）のみ作成する。

昇格とは、ユーザーがアカウントを切り替えずにアプリケーションに管理者権限を付与するための技術である。ユーザーまたはアプリから管理権限を要求された場合、Windowsは昇格ダイアログを表示し、ユーザーに対してその承認を促すか、資格情報の入力を促す。

昇格を必要とする実行可能ファイルを実行すると、SvcHost.exe上で実行されている^[2]アプリケーション情報サービス（英語: AIS, appinfo.dll）が呼び出され、consent.exeを実行する。セキュアデスクトップが有効になっている場合、consent.exeは現在のデスクトップの背景をWinlogonデスクトップ上に描画し、昇格が必要なアプリケーションの情報を表示したダイアログを表示する。ユーザーが昇格を承認、もしくは有効な資格情報を入力したら、AISはCreateProcessAsUser^[3]を通じて親プロセスよりも権限が高いアクセストークンを付与したプロセスを作成し、親プロセスを呼び出し元に設定し直して終了する^[1][4]。

ダイアログの隔離

マルウェア等がそのウィンドウオブジェクトにアクセスして外観等を変更することを防ぐために、consent.exeのダイアログは既定で隔離されたWinlogonデスクトップ上に表示される^[1][5]。

電子署名の有無によるビジュアルの差別化

有効な電子署名が付与された実行可能ファイルが昇格されようとしている場合、昇格ダイアログには空色の帯が描画される。電子署名がない場合、ダイアログには黄色の帯が表示され、発行元も「不明」と表示される^[1]。

ユーザーは昇格させたいアプリケーションをWindows Explorerの「管理者で実行」を使用するか、「プログラムの実行」においてControl+⇧ Shift+⏎ Enterを使用することで、Windowsに昇格を要求できる。

管理者ユーザーがアプリケーションを管理者権限で実行する際、昇格ダイアログはユーザーに「はい」か「いいえ」を表示して管理権限への昇格の承認または拒否を促す^[6]。こうした昇格を「承認昇格（英語: Consent elevation）」と呼ぶ^[1]。「はい」を押して許可した場合、アプリケーションには上記2つのうちのフル管理者トークンが付与され、管理権限を使用することが可能になる。

標準ユーザーがアプリケーションを管理者権限で実行する際、昇格ダイアログは管理者アカウントのユーザー名とパスワードの入力を促し、その資格情報から新たに管理権限をもつアクセストークンを作成しアプリケーションに付与する^[1]。管理者アカウントの資格情報を知る人物が標準ユーザーに代わって入力する必要があるため、こうした昇格を「肩越し昇格（英語: Over-the-shoulder elevation）」と呼ぶ^[1]。

アプリケーションが管理者権限を必要とする場合、アセンブリマニフェスト（requestedExecutionLevelノードに注目）を使用してアプリケーション側から実行時に昇格を要求することができる^[1][7]。

<?xml version="1.0" encoding="UTF-8"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" xmlns:asmv3="urn:schemas-microsoft-com:asm.v3" manifestVersion="1.0">
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
    <security>
      <requestedPrivileges>
        <requestedExecutionLevel level="requireAdministrator" uiAccess="false" />
      </requestedPrivileges>
    </security>
  </trustInfo>
</assembly>

UACは以下の条件を満たす場合、Windowsはアプリケーションを自動で昇格させ、ユーザーに昇格ダイアログを表示しない。

• 発行元が「Microsoft Windows」である（「Microsoft」ではいけない）電子署名が付随する。
• %SystemRoot%\System32やその複数のサブディレクトリ、%ProgramFiles%内のWindows DefenderやWindows Journal等のサブディレクトリのいずれかにその実行可能ファイルが存在する。
• アプリケーションマニフェストにautoElevateが定義されている。

  <?xml version="1.0" encoding="UTF-8"?>
  <assembly xmlns="urn:schemas-microsoft-com:asm.v1" xmlns:asmv3="urn:schemas-microsoft-com:asm.v3" manifestVersion="1.0">
    <asmv3:application>
      <asmv3:windowsSettings xmlns=”http://schemas.microsoft.com/SMI/2005/WindowsSettings">
        <autoElevate>true</autoElevate>
      </asmv3:windowsSettings>
    </asmv3:application>
  </assembly>
  

ファイルシステムとレジストリの仮想化は、Vista以降、ユーザーが実行するアプリケーションが標準ユーザー権限で実行するようにしたために、正常に動作しない可能性のあるWindows Vista以前のレガシーアプリケーションの後方互換性を保つための技術である。

ファイルシステムの仮想化はLuafv.sysドライバで実装されており、以下の条件を満たす場合、保護されたストレージへのアクセスは自動的にリダイレクトされる^[1][8]。

• 32ビットアプリケーションである。
• 管理者権限で実行されていない。
• カーネルモードのイメージが呼び出し元でない。
• 呼び出し元が偽装をしていない。
• 実行可能イメージにUAC互換のあるマニフェストが付随していない。
• 管理者ユーザーがレジストリへの書き込み権限を持っている。
• 呼び出し元がサービスのような非対話型プロセスでない。

レジストリの仮想化はWindowsエグゼキュティブであるコンフィグレーションマネージャに実装されており、以下の条件を満たす場合、仮想化可能なレジストリキーへのアクセスは自動的にリダイレクトされる^[1][8]。

• 32ビットアプリケーションである。
• 管理者権限で実行されていない。
• カーネルモードのイメージが呼び出し元でない。
• 呼び出し元が偽装をしていない。
• 実行可能イメージにUAC互換のあるマニフェストが付随していない。
• 管理者ユーザーがレジストリへの書き込み権限を持っている。
• 呼び出し元がサービスのような非対話型プロセスでない。
• 以下のキーまたはサブキーでない。
  • HKLM\Software\Classes
  • HKLM\Software\Microsoft\Windows
  • HKLM\Software\Microsoft\Windows NT

1. ^ ^{a b c d e f g h i j k l m} Windows Internals 7th Part1 Chapter 7. Pearson Education. (May 5, 2017) 
2. ^ Ph.D., Shlomi Boutnaru,「The Windows Process Journey — svchost.exe (Host Process for Windows Services)」『Medium』2023年11月6日。2025年2月20日閲覧。
3. ^ karl-bridge-microsoft (2024年11月20日). “CreateProcessAsUserW 関数 (processthreadsapi.h) - Win32 apps”. learn.microsoft.com. 2025年2月20日閲覧。
4. ^ Ph.D., Shlomi Boutnaru, (2023年8月30日). “The Windows Process Journey — “consent.exe” (Consent UI for Administrative Applications)” (英語). Medium. https://medium.com/@boutnaru/the-windows-process-journey-consent-exe-consent-ui-for-administrative-applications-d8e6976e8e40 2025年2月20日閲覧。  {{cite news}}: |title=の28文字目に極細スペースが入力されています。 (説明)CS1メンテナンス: 余分な句読点 (カテゴリ) CS1メンテナンス: 複数の名前/author (カテゴリ)⚠
5. ^ vinaypamnani-msft (2024年3月26日). “ユーザー アカウント制御のしくみ”. learn.microsoft.com. 2025年2月20日閲覧。
6. ^ Microsoft TechNet - Windows Vista でのユーザー アカウント制御の理解と設定
7. ^ Archiveddocs (2016年9月7日). “Security: Inside Windows Vista User Account Control” (英語). learn.microsoft.com. 2025年2月22日閲覧。
8. ^ ^{a b} そもそも、アプリケーションはシステムレベルのディレクトリやレジストリに、ユーザー設定など用にファイルやキーを作成することは他のユーザーにも影響を及ぼすためするべきではない。しかし、多くのWindowsは一つのユーザーしか持たないため、そういったことをしても問題は少なかった。

• ユーザーインターフェイス特権の分離 (UIPI)

• Windows Vista デベロッパー センター - セキュリティ 開発者のための、Windows Vista における新しいセキュリティ機能に関する概要
• デベロッパー センター - セキュリティで保護する
• MSDN マガジン - 最小限の特権: アプリケーションで Windows Vista のユーザー アカウント制御を有効に活用する

表 話 編 歴 Windows コンポーネント
管理ツール	アプリインストーラ コマンドプロンプト コントロールパネル アプレット デバイスマネージャ ディスク クリーンアップ デフラグ Driver Verifier DxDiag イベントビューア IExpress 管理コンソール Netsh パフォーマンスモニタ リソースモニタ 設定 Sysprep システム構成 システム ファイル チェッカー システム情報 システムポリシーエディター システムの復元 タスクマネージャ Windows エラー報告 Windows Ink Windowsインストーラ PowerShell Windows Update Windows Insider WinRE WMI スキャンディスク CHKDSK 問題の報告と解決
アプリ	3Dビューアー アラーム & クロック 電卓 カメラ 外字エディタ Clipchamp Cortana Edge FAX とスキャン フィードバック Hub サポートに問い合わせる 拡大鏡 メール/カレンダー 地図 メッセージング 映画&テレビ モビリティセンター ナレーター メモ帳 OneDrive OneNote ペイント ペイント3D Pay アドレス帳 People フォト フォト ビューアー クイック アシスト スマホ同期 Snipping Tool 切り取り & スケッチ 音声認識 Skype Sticky Notes Microsoft Store メディア プレーヤー Windows Media Player Legacy ボイスレコーダ ワードパッド WinSAT 文字コード表 リモート アシスタンス Windows DVD プレイヤー
シェル	Aero ClearType エクスプローラ Windows サーチ スタートメニュー タスクバー 特殊フォルダ 関連付け シェル名前空間（英語版）
サービス	サービス コントロール マネージャー CLFS BITS Wireless Zero Configuration シャドウ コピー 自動再生 タスク スケジューラ マルチメディア クラス スケジューラ
ファイルシステム	CDFS DFS exFAT FAT12 FAT16 FAT32 IFS NTFS ジャンクション マウント ポイント リパース ポイント シンボリック リンク TxF EFS ReFS UDF
サーバ	Active Directory DFS レプリケーション DNS IIS MSDTC NAP AD RMS SharePoint Windows Media Services WSUS 移動ユーザー プロファイル グループ ポリシー ドメイン リモート デスクトップ サービス (Remote Desktop Protocol)
アーキテクチャ	NT系のアーキテクチャ スタートアップ プロセス (Vista) CSRSS DLL EXE HAL I/O Ntoskrnl.exe Svchost.exe WinPE NTLDR/ブート マネージャー アイドル プロセス カーネル パッチ保護 レジストリ IRP KTM LSASS SMSS Windows リソース保護 オブジェクト マネージャー Win32コンソール Winlogon セキュリティアカウントマネージャー（SAM）（英語版） 論理ディスク マネージャー
セキュリティ	Defender ファイアウォール Security Essentials 悪意のあるソフトウェアの削除ツール Safety Scanner DEP MIC UAC UIPI KPP セキュリティとメンテナンス BitLocker
互換性	互換モード COMMAND.COM 仮想DOSマシン WOW WOW64 Windows Subsystem for Linux
API	.NET Framework COM OLE OLE オートメーション（英語版） DCOM ActiveX 構造化ストレージ MTS DirectX DWM GDI Protected Media Path（英語版） PlayReady Windows Imaging Component Windows Imaging Format Windows Script Host VBScript JScript
開発終了	ゲーム リバーシ ピンボール インクボール Chess Titans Mahjong Titans Purble Place スパイダ ソリティア ソリティア ハーツ フリーセル マインスイーパ アプリ Windowsアドレス帳 Anytime Upgrade Windows Calendar(Vista) CardSpace DVD メーカー Grooveミュージック Internet Explorer Windows Journal 画像とFAXビューア(XP) Windows Mail(Vista) Media Center Messenger Microsoft ActiveSync Windows Mobile デバイス センター NetMeeting Outlook Express WinHelp Write サウンド レコーダー デスクトップ ガジェット ハイパーターミナル バックアップと復元センター ファイルマネージャー フォト ギャラリー プログラムマネージャ ミーティング スペース ムービー メーカー リソースメーター その他 UNIX サブシステム Interix Video for Windows
カテゴリ