web-dev-qa-db-ja.com

AppDataフォルダーにインストールするアプリケーションはUACを使用できなくなりますか?

UACが最初に導入されたとき、正常に動作するアプリケーションのほとんどはProgram Filesフォルダーにインストールされていたため、ユーザーの明示的な同意なしに実行可能ファイルを改ざんすることは不可能になりました。したがって、ユーザーがマルウェアアプリケーションを実行すると、このユーザーのデータのみが破壊される可能性があります。

ただし、最近では多くのアプリケーションがAppDataにインストールされています。一部のアプリケーションは、制限されたユーザーのインストールを可能にしたい場合もあれば、自動更新されるたびにユーザーの同意を求めたくない場合もあります。他のアプリは、インストール中に管理者権限を要求し、ファイルをProgram Filesに配置しますが、フォルダーのアクセス許可を変更します。

いくつかの例:

  • Google ChromeはAppDataにインストールされています。ProgramFilesにインストールしましたが、後で実際にAppDataフォルダーの実行可能ファイルを使用していることがわかりました。
  • Valve Steamは、インストール中にすべてのユーザーがSteamAppsフォルダーに完全にアクセスできるようにします。このフォルダには、Steamが管理するすべてのゲームの実行可能ファイルとデータが含まれています。

わかりました、Google Chromeは管理者権限を要求しないようです。そのため、作業中にUACダイアログが黄色で表示される場合、それは非常に疑わしいでしょう。しかし、Steamゲームは定期的に管理者に要求します初回実行時の権限。インストール中に表示されるダイアログに対して、ユーザーは盲目的に「はい」と言うでしょう。その結果、すべてのユーザーのシステム全体が危険にさらされます。

このようなアプリケーションは、UACをさらに弱くし、バイパスをさらに容易にするようです。実行可能ファイルは、すべてのユーザーが使用する実行可能ファイルを変更できます。管理者権限を持つ複数のユーザーがいるPCは設計上安全ではないと思いますが、この場合UACは少なくともある程度の保護を提供しました。

これはセキュリティにどのように影響しますか、また心配する必要がありますか?はいの場合、それについて何かできますか?

8
Athari

「自分専用」オプションなどを使用してインストールされたアプリケーションは、そのユーザーのAppDataフォルダーに格納されます。

権限のない別のユーザーのアカウントから実行される悪意のあるソフトウェアは、システムのアクセス許可が正しく構成されていなければ、(脆弱性を悪用することなく)別のユーザーのAppDataフォルダー内のコンテンツに損害を与えることはできません。デフォルトでは、この場所は他のユーザーアカウントによる簡単な改ざんから保護されています。

UACを有効にしたい場合、モデルを壊すため、管理者(ローカル管理者も含む)として定期的にワークステーションにログインすることはできません。緊急のローカル管理者アカウントは実際的な理由で必要になる場合があり、 LAPS(ローカル管理者パスワードソリューション) を使用してそれを実現できます。

2
Alain O'Dea