ビデオとディスプレイの設定
「ビデオとディスプレイの設定」フォルダに含まれているポリシーは4つある(実際には、コンピュータが商用電源に接続されている場合と、バッテリ稼働している場合それぞれのポリシーに2つの設定が用意されている)。これらのポリシーは以下の通りである。
- ディスプレイの電源がオフになるまでの時間の調節:この設定によって、コンピュータが非アクティブ状態になってからディスプレイの電源がオフになるまでの時間が制御されるようになる。Windowsは、ユーザーによる入力機器の操作に基づいて設定を自動的に調節する
- ディスプレイの電源をオフにする:このポリシーを有効にする場合、コンピュータが非アクティブ状態になってからディスプレイの電源がオフになるまでの時間を秒単位で指定する
User Account Controlの設定
Vistaにおける最も重要なセキュリティ強化策の1つとしてUser Account Control(UAC)がある。「セキュリティオプション」フォルダには、この機能の動作を変更するために使用できるポリシーが9つある。これらのポリシーの設定を変更するには、グループポリシーオブジェクトエディタ(GPOE)の左ペインにある「コンピュータの構成」ノードの下にある「Windowsの設定」を展開した後、「セキュリティの設定」、そして「ローカルポリシー」を展開する。その後、「セキュリティオプション」をクリックする(図F)。
【図F:グループポリシーを通じてUACの動作におけるさまざまな側面を制御することができる】
Vistaにおいて設定できるUAC関連のポリシーは以下の通りである。
- ビルトインAdministratorアカウントのための管理者承認モード:このポリシーを有効にすると、ビルトインAdministratorアカウントは管理者承認モードでログオンすることになり、権限の昇格時に同意を求めるプロンプトが表示される。このポリシーはデフォルトで無効になっているため、ビルトインAdministratorアカウント(Vistaにおける他の管理アカウントとは異なる)はXP互換モードでログオンすることなる。つまり、デフォルトではすべてのアプリケーションが完全な管理者権限で実行できるようになっている。このポリシーを無効にしておくことでセキュリティが強化される
- 管理者承認モードでの管理者に対する昇格時のプロンプトの動作:デフォルトでは、すべての管理者(ビルトインAdministratorアカウントを除く)に対して、権限の昇格時に同意を求めるプロンプトが表示される。このポリシーを有効にすると、管理者に対して権限の昇格時に資格情報を要求することでセキュリティを強化するか、資格情報や同意を求めるプロンプトを表示させることなく昇格を許すかを選択することができる。これらの選択を図Gに示している
【図G:管理者に対する昇格プロンプトの動作によって、セキュリティレベルを向上させることも、低下させることもできる】
- 標準ユーザーに対する昇格時のプロンプトの動作:デフォルトでは、標準ユーザーアカウントでログオンするユーザーに対して、権限の昇格を行うために管理者の資格情報を入力するよう求めるプロンプトが表示される。このポリシーを有効にすると、標準ユーザーが権限の昇格を必要とする操作を行おうとした場合に「アクセス拒否」メッセージを返すことでセキュリティ施策を強化できるようになる
- アプリケーションのインストールを検出し、昇格をプロンプトする:このポリシーを有効にすると、権限の昇格を要求するアプリケーションインストールパッケージが発見的アルゴリズムを用いて検出され、設定に基づいた権限の昇格プロンプトが表示される
- 署名・検証された実行ファイルのみを昇格する:このポリシーを用いることで、権限の昇格を要求するインタラクティブなアプリケーションに対してPKI証明書のチェックを強制することにより、セキュリティを強化することができる。デフォルトでは、PKI証明書チェインの検証は強制されない
- 安全な場所にインストールされているUIAccessアプリケーションの昇格のみ:このポリシーを有効にすると、安全な場所にインストールされているUIAccessアプリケーションしか起動されなくなる。安全な場所には、Program FilesディレクトリやWindows\System32\r-_\Program Files(x86)ディレクトリが含まれる。このポリシーはデフォルトで有効であるが、UIAccessアプリケーションを他の場所にインストールして実行できるようにしたい場合には無効にすることもできる
- 管理者承認モードですべての管理者を実行する:このポリシーはデフォルトで有効であり、VistaのUAC保護の核となるものである。このポリシーを無効にすると、すべてのUACポリシーが無効となり、セキュリティレベルが低下することになる。このポリシーの変更を適用するにはコンピュータを再起動する必要がある
- 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える:このポリシーはデフォルトで有効であり、権限の昇格が要求されるとデスクトップがロックダウンされ、アプリケーションはデスクトップと対話できなくなる。このポリシーを無効にすることで、権限の昇格要求が通常のインタラクティブなデスクトップ上に表示されるようにすることも可能だが、その場合にはセキュリティレベルが低下することになる
追加されたその他数多くの設定
以上、Vistaで新たに提供された800のグループポリシー設定のほんの一部を解説した。これら以外にも、Vistaのセキュリティが強化されたファイアウォールの制御や、物理的な場所に基づいたプリンタの割り当て、DVDビデオディスクのオーサリングのカスタマイズ、QoS(Quality of Service)を確保するためのネットワークトラフィックの集中管理、NAP(Network Access Protection)の管理、シェルアプリケーションへのアクセスの管理、ターミナルサービスおよびリモートデスクトップの新しいセキュリティ機能の設定などを行うための新たな設定が提供されている。また、Internet Explorer 7向けの新たなポリシーも提供されている。