Windows 7 において、UAC を [通知しない] に設定した場合、ソフトウェア制限ポリシーが正しく動作しない

皆様、こんにちは。Windows プラットフォーム サポートの高田です。今回は、Windows 7 におけるソフトウェア制限ポリシーが UAC に関する設定の状態によっては、正しく機能しない問題について取り上げます。

 

概要

Windows 7 において、UAC を [通知しない] に設定した場合、ソフトウェア制限ポリシーが正しく動作しません。

詳細

例えば、次のような設定を実施します。

  • ソフトウェア制限ポリシーをユーザーの構成として作成し、"リモートデスクトップ接続" (mstsc.exe)
    の利用を禁止します。
  •  ポリシーの適用対象ユーザーが Windows 7 マシンにログオンし、UAC を [通知しない] に指定します。

このような状況において、そのユーザーが mstsc.exe を管理者として実行すると、本来ポリシーで制限されている mstsc.exe が起動できる場合があります。

この事象は、UAC ならびにソフトウェア制限ポリシーの内部動作に製品の問題があるため発生することがわかっています。製品への修正を検討しましたが、 UAC という OS 全体のセキュリティ メカニズムに影響範囲が及ぶことから問題の修正は困難であるとの判断で見送りとなり、Windows 7 での修正予定はありません。なお、Windows 8 など他の OS では同様の報告は寄せられておりません。

回避策

この事象は以下の方法にて回避が可能です。

  1.  AppLocker など代替となるテクノロジーを使用する
  2. UAC を有効にする