Redfox's Website

サイトアイコン

赤い狐グループの公式サイト

PCのセキュリティを向上するために――UAC、PC名、AppLockerの設定

PCのセキュリティを向上するために――UAC、PC名、AppLockerの設定

投稿日 2025年10月5日 12:50 投稿者 red fox

◇ Windowsの再インストールから

私の場合はWindowsの設定は一度すべてを削除したいため、このような場合はまずWindowsを再インストールします。基本的にはローカルのファイルは残しながらの再インストールで問題ありませんが、気になる方は外付けHDDやGoogle Driveなどのサービスにファイルを保存してから再インストールを行うのも良いでしょう。カスタムされたファイルを使っていない限りは、C:¥User以下をコピーすればバックアップは完了します(その他必要なアプリケーションや関連するアカウント、プロダクトキーは必ず把握してください)。

ローカルのユーザーアカウントの作成に移りますが、この際に少し裏技を使うと、インターネットに接続することなくWindowsアカウントを作成することができます。
「国または地域はこれでよろしいですか?」の画面で、「Shift + Fn + F10」キーを押下すると、コマンドプロンプトが起動されるため、「oobe\BypassNRO.cmd」と入力して再起動します。すると、インターネットの接続画面で「ネットワークに接続していない」という選択肢が出るため、そのまま進めていけば、マイクロソフトアカウント連携をせずに自身のPCを設定していくことができます。アカウント名は、例えば「privilegeduser」のように、自身の本名を入れないことがコツとなります。

PCの名前ですが、Windowsの設定が完了すると設定画面が開けるようになります。設定からPC名を変えることができます。
通常のインストールでは「DESKTOP-」+「ランダムな英数字」で構成されます。個人的にはこれも明示的に変えることをお勧めします(Windows環境であることが一目瞭然なため)。例えば「RHG-DK-1201-03」のように、組織に所属するPCのように装うことも一つの手だと考えます。

◇ 管理者権限と一般ユーザーの完全分離

ユーザーアカウント制御を最大限発揮する方法は次の癖付けが必要です。

  • 一般ユーザー権限で普段から操作する
    常に管理者権限でないといけない理由はありません。逆を返せば、権限を低くすることがセキュリティ向上の第一歩です。
  • 必要な時だけユーザーアカウント制御で重要な操作を行う
    管理者権限で操作しなければいけないときはユーザーアカウント制御が表示されます。そこで確認すれば特権昇格可能です。また、普通のアプリケーションのインストールも、右クリックすれば管理者権限で実行が表示されます。
  • ユーザーアカウント制御のさらなる厳格化
    後述します。

ユーザーアカウント制御はこれだけでも十分効果を発揮しますが、さらなる厳格化を進めていきます。

◇ 一般ユーザーの厳格化

管理者権限であれば、「設定」->「アカウント」で新たなアカウントを追加できますので、普段使いのアカウントを追加しましょう。ただ、この名前も本名を入れてはいけません。例えばアカウント名を「RHG-user-130-1201」のように、企業所属のアカウント名のように装います。このアカウントを普段使いに使用し、以降管理者権限での操作は極力ゼロを目指します。

コマンドプロンプトを管理者権限で起動し、「compmgmt」と入力するとコンピューターの管理が立ち上がります。「ローカルユーザーとグループ」―「グループ」と辿り、新しいグループを作成します。グループを作成したら、管理者権限を持たせないアカウントをすべて入れます。私の場合は「011」が普段の作業用アカウント。「guest」がもし他人にPCを触らせる際に使用させるアカウントだったため、RDP(リモートデスクトップ接続)などで使われるGuestも含めて3アカウントをnobody下に置きました。

◇ ユーザーアカウント制御の厳格化

ユーザーアカウント制御の厳格化は次のように行います。管理者権限で実行したコマンドプロンプトで、”regedit”と入力して実行します。
 レジストリエディタで「[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]」へアクセスし、次の値を有効にしてください。
“ConsentPromptBehaviorAdmin”=dword:00000001
“ConsentPromptBehaviorUser”=dword:00000001
“EnableLUA”=dword:00000001
“PromptOnSecureDesktop”=dword:00000001

管理者承認モードでの管理者の昇格のプロンプトの動作常に確認する(プロンプト)
標準ユーザーの昇格のプロンプトの動作ユーザー名とパスワードの入力
管理者承認モードをすべての管理者に適用する有効
ユーザーアカウント制御: 管理者承認モードでの昇格時にセキュリティで保護されたデスクトップを切り替える有効(推奨)

 これにより

  1. 一般ユーザーに考える時間を与える(パスワード入力が必須になる)
  2. 管理者であってもパスワード入力が必須になる(「はい」癖の脱却)
  3. UACのセキュア化(仮想デスクトップ保護)

が期待されます。しかしながら、まだWindowsPowerShellの穴は残ったままなので、これを潰す必要があります。通常の潰し方では、ファイルをコピーして実行するという穴が開きますので、これも潰してしまいます。

コメントを投稿する

メールアドレスは公開されませんのでご安心ください。 * が付いている欄は必須項目となります。

内容に問題なければ、下記の「コメントを送信する」ボタンを押してください。

ページの先頭