Windows Vista & 7のUAC対策について

　Windows Vista/7では、セキュリティ強化機能として、User Account Control(略称:UAC) がサポートされています。

　具体的には、管理者権限が与えられているユーザーでも、一般ユーザーと同じく、フォルダに対してファイルの書き込み や更新の保護を行う目的の対策が行なわれます。この影響で、従来と同じ感覚でWindowsを利用しようとすると、どうしても自由度が拘束されて しまい、使い方に注意を配っていないと様々なトラブルを 経験することになります。そもそもこの背景には、XPまでの従来のアプリケーションがユーザーに管理者権限が与えられていることを前提にしていたり、また特に意識してこなかったことがあります。

　弊社内のVista上でのテストも、このUACの設定や性格を無視していたことによりエラーになるケースを色々と経験することに なってしまいました。これらの問題はマイクロソフトも認識していて、Windows 7においてはUACの取扱を一部変更し、警告 レベルを指定できるようにしてきましたが、依然としてUACの基本的な構造はそのままです。

※マイクロソフトは、これら問題(UAC以外にも互換性の問題は多い)を回避するために、Windows XP Mode という仮想OSもWindows 7用に無償リリ ースしていますが、Windows XP Modeでの対応は本ページの対象外とさせていただきます。

　本ページは、トラブルの回避だけでなく、UACのセキュリティ思想とTRYCUTファミリーの柔軟性の双方を 活かすことを目的に用意した次第です。この内容は、TRYCUTファミリーとの連動エディタなど、他のアプリ ケーションの運用時にも役立つ部分も多いと思われますので、既にWindows Vista/7を導入されている 方、もしくは今後導入予定の方もご一読下さい。

　UACを考慮していないで、不用意な使い方をしていると、どのようなトラブルを経験するか？
例えば、TRYCUTファミリーではケースにもよりますが以下のような問題に遭遇する場合があります。

�@ DMFやDME保存で書き込みエラー(原因:UACによりDMFやDMEファイルが書き込めない)
�A 帳票出力でエラー(原因:UACにより"Verify.txt"が書き込めない)
�B /x6オプションでエラー(原因:UACにより"trycut.log"ファイルが書き込めない)
�C 作成したはずのファイルが見つからない(原因:ファイルの仮想化の副作用)
�D 初期設定ファイルの日付けを見ると更新されていないのに参照時は更新されている(原因:ファイルの仮想化の副作用)
etc...

　弊社の経験ではTRYCUTを"Program Files"下にインストールした場合にのみ、これらの問題に 遭遇しましたが、UACの仕様では"Windows"フォルダなどOSの管理下におかれているフォルダにアプリ ケーションをインストールしようとしたり書き込もうとすると同様の問題が出ます。
　UACの初期状態では、これらのフォルダ下へのファイルの書き込みや更新に対して保護を行うため、TRYCUT稼動中の様々なファイル 操作が全て問題の対象になってしまいます。

※現状TRYCUT2000では、セットアップモジュールを強制的に管理者権限で実行しない限り、Windows Vistaや7の"Program Files"下に はインストールできません。
※TRYCUT3000/5000のセットアップモジュールやアップグレードモジュールでは、初期のバージョンにおいてはインス トールフォルダの初期表示が"Program Files"下のフォルダになっていましたが、TRYCUT3000ではVersion1.60より、 同じくTRYCUT5000ではVersion1.12より、OSのインストールドライブ直下のフォルダに変更しています。

　UAC(ユーザーアカ ウント制御)は、もともとウイルスやスパイウェアなどマルウェア(悪意あるソフト)を、うっかりしたミスでインス トールしてしまうことに対抗することから生まれた保護機能です。
　新しい概念のセキュリティ機能で従来のWindowsに慣れている人ほど違和感を持ってしまう側面がありますが、 慣れれば、マルウェアが氾濫している状況の中、必要不可欠だという認識が広まるかもしれません。賛否両論もあ ったようですが、マイクロソフトが出したひとつの結論です。
　Vistaリリースに伴い様々な ページで紹介されています。その全貌を把握するためには一度Yahoo!などの検索エンジンで 検索してみて下さい。また以下 サイトなども参考になります。

　問題を引き起こしているのは、ひとつはUACのフォルダの書き込み保護機能なのですが、 もうひとつ重要なのは、この問題の救済策として仕組まれた32bitアプリケーション動作 時のファイルとレジストリの仮想化の弊害もあることです。
　具体的な仕様として、"Program Files"下にインストールされてあっても、変更/書き込みが許されていな い場合には、新たに更新されたファイルの内容が、仮想化先のフォルダに書き込まれてしまいます。 エクスプローラ(コンピュータ)の通常設定では見つからないので、ファイルの実体がどこに行ってしまった のか判らなくなることが あります。これはアプリケーション側から見ても同様のことが言え、テキストエディタとの連携機能などで弊害が 出てしまいます。
　このファイルとレジストリの仮想化は、32bitアプリケーションだけの一時的な仕様で、マイクロソフトは将来的に はこの仕様を無くしてゆく可能性があることをアナウンスしています。64bit(x64)アプリーケーションにはこの仕様は反映され ませんので、64bit OSで、TRYCUT3000やTRYCUT5000のx64版を利用しているときにはこの弊害は発生しません。ただし32bitアプリケー ションとの連携動作を行なうような場合にはやはり意識しておく必要があります。


仮想化先は、

　例としてCドライブにWindows Vistaや7がインストールされている環境でユーザーが"naka"の場合。32bit環境(OS)と64bit環境(OS)との それぞれにおける例として、

　仮想化のフォルダ(AppData以下)は、エクスプローラ(コンピュータ)の通常設定では参照できません。「すべてのファイルとフォ ルダを表示する」の設定にして下さい。
　設定方法は、「エクスプローラ」にて"Alt"キーを押して表示されたポップアップメニューの 「ツール(T)」→「フォルダオプション(O)」→「表示」タブにて「すべてのファイルとフォルダを表示する」に チェックを入れて「適用」して下さい。

　それぞれ一長一短はありますが対応策が5つほどあります。どれを推奨するというものでもありません。ご利用の環境に 合わせたもので対応して下さい。

1. "Program Files"下にインストールしない

　Windows Vistaや7のセキュリティー思想とTRYCUTファミリーの柔軟性の双方を、活かした状態にするには"Program Files"下への インストールを行わないで、ドライブ直下のフォルダ(例: C:\TRYCUT5000)などにインストールすることをお薦めします。これ だけで問題は一掃されます。(※あくまでもTRYCUTファミリーの話で、他のアプリケーションの場合は判りません。)
　そもそも"Program Files"はマイクロソフトがアプリケーションのインストール先として推奨しているだけで、従来から 制約を受けていたわけではありません。Vista7でもこの点に関しては自由度があります。
　また、TRYCUTファミリーは全て初期設定ファイルの考え方や、起動オプションによる ひとつのコマンドとしての利用など、様々な環境で柔軟に利用できるように進化してきたツールです。固定さ れた"Program Files"下にだけ存在させる意義は特にありません。
　また些細なことですが、ドライブ直下のフォルダなどにインス トールした方が、コマンドラインの作業では、"cd"コマンドの作業フォルダ変更も楽だというメリットもあります。

※以下の2〜5の対応策は、どうしても"Program Files"下にインストールしたい方向けのものです。

2. 関連フォルダに「フル コントロール」属性を与える

　インストールしたフォルダや、関連作業フォルダ全てに、ユーザーの「フル コントロール」属性を与えることに より、問題なく使えるようになります。
　「フル コントロール」を与える方法は、インストール先など関連するフォルダを、右クリックして「プロパティ」の 「セキュリティ」タブの編集でUsersを選択し、「フル コントロール」の許可にチェックを入れて「適用」を すれば属性の更新が行われます。
　この方法で注意を払わなくてはいけないのは、「フル コントロール」属性を与えても、この設定前に仮想 化先に作成されたファイルが存在すると、アプリケーション側から見て、そのファイルを優先して参照して しまうという仕様になっているようで、実体がどこに行ってしまったのか混乱を招く場合があります。
　「フル コントロール」属性をインストール直後から与えている場合は問題ありませ んが、途中から与えた場合には、必ず仮想化先のファイル群をインストー ル先にコピーして、仮想化先のフォルダは削除しておいて下さい。これを忘れると いつまでもトラブルを引きずることになります。この点だけ配慮するならば、この方法がベストかもしれません。

3. UAC機能の無効化

　懸念はありますがUACを無効化すると一番副作用がなくスッキリと解決します。せっかくのセキュリティー強化機能が 活かされない状態にはなりますが、UACの本来の目的からすると、ウィルスチェックが徹底されている環境や、ネット ワークから切り離されている場合には、やや過剰なセキュリティ機構と言えなくもありません。マイクロソフトが「UACを 無効化する機能」を用意したのも様々な環境を配慮してのことだろうと思われます。
　UAC無効化の方法は、「コントロールパネル」の「ユーザーアカウント」を 開き、Vistaにおいては「ユーザーアカウント制御の有効化または無効化」という設定項目があります。ここを開い てチェックボックスをオフにして下さい。7の場合は、４段階の警告レベルの設定ができるようになっています。 このレベルを最下位(UAC無効化と同義)にして下さい。それぞれOSを再起動すればUACが無効化されます。

4. 管理者権限で起動

　TRYCUTファミリー起動時に「管理者権限で実行」を行います。毎回起動時に確認ダイアログが出てきて面倒ですが それ以外は特に問題はありません。
　一番の問題は管理者権限にするのを忘れてしまった場合ですが、ショート カットに「管理者権限で実行」のチェック入れておけば忘れることはありません。また、管理者権限で起動した場合 には、仮想化先のファイル群は見えなくなるので関連ファイルが2重になってしまうことによる弊害は起き ません。
　ただし、この方法は、セキュリティー上は一番良くても、確認ダイアログの問題は避けられず起動オプションを 利用したバッチファイルからの連続実行など使いにくくなる面もあります。

5. 作業フォルダを作成する

　"Program Files"下のインストールフォルダを作業フォルダにしないで、インストール後に関連ファイルをコピーし てドライブ直下などに別途作業フォルダを作成します。この場合、TRYCUT3000や5000ではインストーラーが自動生成する ショートカットをそのままでは利用できません。
　もともとTRYCUTファミリーの各実行モジュールは、適用NCマシンごとに作業フォルダを 用意して利用できるように柔軟な仕様にしてきた経緯があります。この考え方で運用する ならば、自ずと問題が解決されてゆきます。

トップページへ　　[応答なし]対策はこちら