Microsoft を注意深くフォローしているブロガーによると、Microsoft が物議を醸している https://www.pcworld.com/video/id,904-page,1-bid,0/video.html?tk=rel_news を改善するために https://www.pcworld.com/article/id,158537/article.html?tk=rel_news に加えた変更によって、新しい OS のセキュリティが低下したとのことです。
Microsoft は、Windows 7 でよりユーザーフレンドリーにするために https://www.pcworld.com/article/id,127629/article.html?tk=rel_news で導入された機能である UAC に変更を加えました。しかし、長年の Microsoft ウォッチャーである Long Zheng 氏が執筆した I Started Something ブログによると、この変更によって、ユーザー側で何も操作しなくても UAC を無効にする「シンプルだが巧妙なオーバーライド」が可能になったとのことです。
Microsoftは、セキュリティを強化し、PCの主要ユーザーがアプリケーションや設定をより細かく制御できるようにするため、VistaにUACを追加しました。UACは、管理者権限を持たないユーザーがシステムに不正な変更を加えることを防ぎます。しかし、Vistaでの設定により、UAC https://www.pcworld.com/article/id,140134/article.html?tk=rel_newsfrom は、本来アクセスできるはずのアプリケーションや機能にアクセスできてしまう可能性があります。
UACは、ユーザーに権限の確認を求める一連の画面プロンプトを表示することでこれを実行し、タスクを実行するためにパスワードの入力を要求する場合もあります。ローカル管理者として設定されていない限り、これはユーザーのワークフローを中断させる可能性があり、たとえ日常的なタスクの実行中であっても中断される可能性があります。UACプロンプトは非常に問題視され、AppleはテレビCMでこれを模倣したほどでした。また、MicrosoftはWindows 7でこの機能を改善することを約束しました。
Windows 7 はまだベータ版であり、https://www.pcworld.com/article/id,158656/article.html?tk=rel_news へのアップグレードは予定されていません。Microsoft は今月初めにベータ版をリリースし、Engineering Windows 7 ブログで UAC の変更点について説明しました。
この変更により UAC のデフォルト設定が改訂され、そこにセキュリティ上のリスクが存在すると Zheng 氏は指摘する。
彼の投稿で説明されているように、Windows 7 の UAC のデフォルト設定は、「プログラムがコンピューターに変更を加えようとした場合にのみ通知する」と「Windows の設定を変更したときには通知しない」です。
UAC は、サードパーティのプログラムとセキュリティ証明書を持つ Windows 設定を区別し、コントロール パネルの項目はこの証明書で署名されているため、ユーザーがシステム設定を変更してもプロンプトは表示されません、と彼は書いています。
しかし、鄭氏によると、Windows 7ではUACの変更は「Windows設定の変更」とみなされる。これと新しいUACのデフォルトセキュリティレベルの組み合わせにより、UACが無効化されている場合も含め、UACに変更が加えられてもユーザーに確認メッセージは表示されない。
Zheng 氏は、いくつかのキーボード ショートカットとコードを使用することで、エンド ユーザーに知られずにリモートで UAC を無効にできると述べています。
「私の開発仲間であるラファエル・リベラの協力を得て、VBScriptで(C++ EXEでも同様に簡単に)完全に機能する概念実証を作成しました。UACを起動せずに、いくつかのキーボード入力をエミュレートすることができました」と彼は書いています。「こちらからダウンロードして試すことができますが、実際にはUACを無効にすることをご承知おきください。」
鄭氏はまた、この問題の回避策だと主張するものを自身のブログに投稿した。
マイクロソフト社は金曜日、広報会社を通じて、この問題を調査中だがすぐにはコメントできないと述べた。
