2008年01月26日 - ニュース過去ログ
ニュース過去ログ
2008/01/26
VistaはUACがウザいけど、OFFにするのはなんか怖いのでXPに戻したという話
知ってる人も多いと思うけど、Windows VistaにはUAC(User Account Control)という機能がある。
- 管理者ユーザでログオンしていても、普通のアプリは管理者権限を持たずに実行される。
- だから管理者権限が必要なこと(システムに影響を及ぼすような動作)ができない。
- 理由があってそういうことをする必要があるアプリを起動する場合は、明示的に「管理者として実行」を選んで、その後表示される警告ダイアログ(または確認ダイアログ)で手動で許可を出す必要がある。
- また、ファイル名がinstall.exeだったりsetup.exeだったりすると、自動的に管理者権限が必要だろうと判断され、普通に起動しても警告ダイアログ(または確認ダイアログ)が出る。
- ユーザは、この警告ダイアログ(または確認ダイアログ)が出たら、本当にそのアプリに管理者権限を与えても良いのかを判断して、許可を出すか出さないかを決めなければいけない。
- 例えば、何もしてないのに急にダイアログが出たら、ウイルスが危ないことをしようとしている瞬間かも知れない。何でもかんでも許可を出してはいけない。ファイヤーウォールの「通信を許可しますか?」のダイアログと同じ。
こんな感じの機能。とっても安全になる機能だとは思うけど、確かに面倒ではある。単純に手間が増えている。ただ、手間を減らすために自動で何でもやれるようにしていると、ウイルスが危ないことを勝手にやってしまうこともできて、それが今までのWindowsだったわけで、一応UACはその問題の解決策になっている。
プログラムに悪意があるか(とか、作った時点では悪意が無いプログラムを悪用されている状況とか)をコンピュータは判断できないわけで、人間に判断してもらって許可を出してもらうか、そもそも危ないことができないような低い権限で動かすか、どっちかしかない。これはわかる話だと思う。
まあそんなUACの説明はいいとして、タイトルに書いたような話があった。
VistaはUACがウザいけど、それをOFFにするのはなんか怖いのでXPに戻したんだそうだ。
いやいやいや。まいったな。UACがOFFのVistaが怖いなら、もともとUAC機能が無いXPも同様に怖いんじゃないのか。
UACがウザい時はどうすれば良いか
- UACが面倒ならOFFにすれば良い。そうすればアカウント制御の点ではXPと同程度のセキュリティレベルまで落ちる。その代わり、おかしなものがコッソリと実行されないように注意すれば良い。そっちの方が面倒だと思うけど。
- 管理者権限が無いと実行できないような面倒なアプリは使わなければ良い。インストーラーとかはたった一度なので我慢。
この2つはすぐに思い浮かぶ。私は今のところ後者ですが、どうしても毎日頻繁に使うアプリが管理者権限が必要だったりすると、イライラする気持ちもわかる。前に書いたNortonのLiveUpdateの件とか。
同じアプリは一度確認したらその内容を保存しておいて次からは勝手に管理者権限を持ってよ、とかも思ったけど、これには多数の穴があるのでダメ。同じアプリでも毎回管理者権限が必要かなんてわかんないし、そのアプリを悪用して悪いことができるかも知れないし。やっぱ、そういうのが不安な人は毎回UACのダイアログで許可を出すしか無く、そういうのを気にしない人は、そもそもUACをオフにすればいいってのが今のところの思想なんだろうとも言える。
まあUACには別な問題もあって、それらの問題が解決するまではオフにしても仕方ないとは思う。
私は開発者でもあるので、自分が作ったプログラムが出す警告に気付かないまま他人の環境で警告が出ると困るので、この手のセキュリティ設定はOSのデフォルトから変えないポリシーです。つまり、仕方なくオン(のまま)にしているということ。
- 今のところ「UACのおかげで助かった〜」という経験はないけど、それはウイルス対策ソフトも同様。UACはウイルス対策と違ってお金がかからないだけマシ
- いちいち一般ユーザと管理者ユーザを作って、作業ごとにユーザを切替えて使うよりはUACの方が手間が減ってる
などと思うことにしています。
