VistaのUACを改善する無料ソフト「Norton UAC Tool」 68
ストーリー by soara
NortonのUAC Toolはユーザを 部門より
NortonのUAC Toolはユーザを 部門より
あるAnonymous Coward 曰く、
窓の杜で知ったのだが、SymantecがVistaのUACを改善する「Norton UAC Tool」というソフトを無料で公開している。
Windows VistaのUAC(User Account Control機能)は、管理者権限が必要な操作を行う際に許可を求めるダイアログを表示するものだが、操作ごとにいちいちダイアログが表示されるため頻繁に「許可」をクリックする必要があり、そのためUACを無効にしたり、内容確認せずに「許可」をクリックするユーザーも多かった。Norton UAC Toolではこのような不満を解決するもので、たとえば表示されるダイアログの「Don't ask me again」にチェックを入れると、同種の操作の場合は以降は自動的に承認作業が行われるようになる。また、標準のUACとは異なり「どの操作に、なぜ承認作業が必要なのか」という理由も表示されるとのこと。
本来なら、マイクロソフトがここまでやるべきだと思うが……。なお、このツールは現在テスト目的での公開と言うステータスなので、使用にはご注意ください。
本末転倒 (スコア:5, 興味深い)
PowerToysのような位置づけでわかっている人には提供する機能というなら
良いのかもしれませんが、それをUAC機能の「改善」と呼ぶのは本末転倒
では無いかと思います。Vista自体にもUACを無効にするオプションが用意されて
いますが、これもできることなら一定時間後にはUACが有効な状態に
強制的に戻るような設計であったほうが良かったのではないかと思います。
UACは最終的に判断をユーザに委ねるわけで、ユーザをだます方法 [itmedia.co.jp]は
いくらでもあり、完全なセキュリティ境界ではありませんが、
何の障壁も無いよりはある程度の防御になっていると思うのです。
それにそもそも「VistaのUACはユーザーをいらいらさせるために搭載した」 [cnet.com]
ものであって、本来なら安全なアプリケーションであればUACにより
ユーザの手を頻繁に煩わせることなくインストールおよび使用できてしかるべきで、
UACによるダイアログボックスが頻繁に出るということは
「その運用方法は何か間違っている」と思って原因を探すほうが健全ではないでしょうか。
屍体メモ [windy.cx]
Re:本末転倒 (スコア:1, すばらしい洞察)
>いくらでもあり、完全なセキュリティ境界ではありませんが、
>何の障壁も無いよりはある程度の防御になっていると思うのです。
UACはセキュリティ的な問題が起きた時の責任をユーザーに押し付けるものにしか見えない今日この頃。
Re:本末転倒 (スコア:1, おもしろおかしい)
解ってないな。
ユーザが欲しているのはOSが勝手に判断してくれる機能。ぶっちゃけMSのせいに出来るOSだよ。
そーゆー観点から見るとWindows7も変わらないから、
リリース後「何だよコノ糞マイチェン」とか言われるのが今から目に見えています。
MSの方々無駄な努力ご苦労様です。貴方方が作ってるのは2代目XPではありません。2代目98SEです。
Re: (スコア:0)
Re:本末転倒 (スコア:1)
XP 以前と違って、Vista ではコントロールパネル上から設定可能なユーザ固有設定の範囲では昇格不要ですよ。
全てのコントロールパネルのアプレットが常に昇格を求めるのは「管理ツール」くらいです。ここが昇格なしにいじれる方がおかしいでしょう。
一般ユーザが NIC の IP アドレス指定を変えたり、システム時刻を変更するような運用は間違ってると言わざるを得ません。
UACの自動昇格機能は最初からある (スコア:4, 参考になる)
週アスとかの雑誌だとUACを無効にする技ばっかり紹介されてるけど、割と初期にこの技は知れ渡ってたはず。
Vista発売当初から使ってるけど、最初の内だけだったな、UAC見たのって。
Re:UACの自動昇格機能は最初からある (スコア:2, 参考になる)
ただしレジストリいじらないといけませんが・・・。
インストーラに署名されていない (スコア:4, 興味深い)
さらに窓の杜のスクリーンショット [impress.co.jp]を見る限りでは、署名されていないインストーラのリソースか何かに含まれるソフトウェア名の文字列を鵜呑みにして表示してしまうようです。ここに「年齢認証」とか入れるという手口がはやったことから、そんなことをしてはならないというのは常識になったと思っていたのですが…。もし純正のUACダイアログがこんな仕様だったら、Symantec Researchあたりが大喜びで「脆弱性」として叩いていたでしょう。
正式版で予告されているSymantecのパターンデータベースとの連動機能が実装されるならともかく、現状では怖すぎてちょっと使う気になれません。
頻繁に出ること自体が問題では (スコア:3, すばらしい洞察)
そんなプログラム自体が問題あるような気がします。
それと、Don't ask me again チェックを付けたときの「同種の操作」ってのが何を表すのか気になります。
例えば、あるインストーラを実行したときに出たダイアログでこのチェックボックスを付けたら、別のインストーラを実行したときに聞かれるのか。
わたし自身は UAC がうざいなーと思うのはいろんなソフトのインストール時が多いんですが、だからといって別のインストーラで UAC が出なくなってしまうと、知らないプログラムがインストールされようとしていても気づかないわけで UAC の意味がないですよね。
ただ、なぜ UAC が出てるのかの理由を教えてくれるのはいいと思います。
Re:頻繁に出ること自体が問題では (スコア:1)
> そもそもUACが頻繁に出るようなプログラムって頻繁に管理者権限を要求するわけですよね。
> そんなプログラム自体が問題あるような気がします。
私もUACはonにしていますが、イライラするほど頻繁に出てくる、という印象はないですね。書類作成やプログラミング、アプリケーションのインストールなどを行なっていますが、UACのダイアログを見るのはやはり、同様のことをするのに、UNIX系だとsudo使う、MacOSXだと同様のダイアログが出る、のと同じような場面ですね。
sudoだと5分以内だとパスワードが要らなかったり、とかありますがUACはもともと要らないですし。パスワードを打たない分だけ他のOSよりイライラしなくて良いと思うのです。これ以上ダイアログ減らしてどうすんの?それって改悪では、と思うのですが...。
「UACが鬱陶しいアプリ」に出会ったことがありません。Windowsでゲームをやらないからなのだろうか?(私にとってコンピュータの娯楽は主に「パズルを解くプログラミングをすること」なので...。)
Best regards, でぃーすけ
では、たとえばUbuntuではどのくらいsudoが必要か? (スコア:1)
その前にsudo fdisk -l /dev/sdcとかもしました。
nvidia-settingsもsudoで行っときました。
たいていディスク操作と、Xの設定変更ですね。
あとは、apt-getでのシステムのアップグレード操作くらい。
あまり日常的にsudoが必要ってことは無いですね。
Windowsの場合、sudo実行という手段がないから
逆に起動してから管理者パスワード要求というインターフェイスになるのがクソだと思います。
が、もちろんLinux等でも、alt+f2とかから呼び出したり、独自スクリプト内でsudoを使うとしたら
その都度認証が必要になるので、大差は無い気もしますが…
(Ubuntuではsudoが標準で設定され、X上で同じコンソールウィンドウからsudo付き操作を繰り返す場合パスワードは最初の一度だけ要求される。連続したシステム管理関連のコマンド操作が効率よく行なえ、rootでktermを起動したりする必要はない。ちなみにsuは通常使えないようになっている。なお、そのまま放置してあると、時限でパスワードキャッシュは無効になる)
Re: (スコア:0)
それはそうなんだけど、
「問題なので改善してね」ってMSが手取り足取りやんないと、
現在の状況は改善されないと思うんだ。
Re:頻繁に出ること自体が問題では (スコア:3, すばらしい洞察)
何度も UAC ダイアログが表示されて、エンドユーザーがいらっとさせられる状態そのものが、
MS からプログラム開発者に向けた「問題なので改善してね」というメッセージだと思いますよ。
むしろ、Norton UAC Tool のようなものが普及する方が、問題が解決しないと思います。
Re:頻繁に出ること自体が問題では (スコア:3, すばらしい洞察)
この前のバルマーの発言ストーリーでも、Win2000のガイドラインに従ってれば問題ないって話がでてたけど、本当なら2000当時に対処しなけりゃならない問題を、今まで引きずってるんだしねぇ
よっぽどアプリ開発者が意識改革をしないと駄目だと思うよ
#いまだにWin9xレベルのプログラミングしかできない奴をこの世から葬ればなんとか…?
FF11で毎回UACがでる (スコア:2, 興味深い)
マクロの設定ファイルがProgram Files下にあるために管理者権限になる必要があるのでしょうが、My Documentsに移動すれば解決すると思ってます。
Vista発売後しばらくは未対応になっていて、MSのサポートを受けてVista対応したようなことが書いてあったのですが、何か複雑な事情で仕組みを変えれないのかな。
Re:FF11で毎回UACがでる (スコア:1)
マクロの設定はユーザ固有の情報でしょうから Documents 以下や AppData 以下が望ましいでしょう。
ProgramData 以下に置くのはそのマシン全員で共有するデータです。
ついでに言うと、ProgramData 以下に通常ユーザが書き込みを行うような状況は異常です。それ Program Files 以下への書き込みと、やってること変わりませんから。
# /usr/local/libdata 以下とか /usr/local/share 以下にユーザ用のファイルを置いて書き込み権限与えるって言ってるようなもの。
Re:頻繁に出ること自体が問題では (スコア:1, 興味深い)
あまりにも少なかったことかも知れません。
「普段からAdminで」という人は少なくないと思いますが、
プログラムがAdmin権限を要求するからなのか、
Admin権限での操作が当たり前になったからプログラムが変わらないのかはよく判らないですが。
いずれにせよ、本来はシステムにあまり手を入れることなく利用できるUser権限というのが当時からあるわけで、
「頻繁にUACの確認を求められる事態そのものが異常」というのは同感ですし、
UACを「回避する」方向に行くのは本末転倒という気がします。
Re:頻繁に出ること自体が問題では (スコア:3)
Re:頻繁に出ること自体が問題では (スコア:3, 参考になる)
Re:頻繁に出ること自体が問題では (スコア:1, 興味深い)
# runasでちゃんと動くソフトは大抵User権限でもちゃんと動くという状況。
Re:頻繁に出ること自体が問題では (スコア:1, 既出)
# よく利用していたのでID
Re:頻繁に出ること自体が問題では (スコア:1)
> あまりにも少なかったことかも知れません。
システムをいじるわけでもないのに、いまだに「管理者権限のあるユーザで実行してください」
とパッケージに書かれているソフトを見ると、なんだかなぁとは思いますね。
似たような例としてつい先日、Vista対応と言いながらデータ移行方法に
Virtual Storeへデータをコピーさせる説明のあるソフトを見かけましたし。
#互換確保のためとはいえ、Virtual Storeは話をややこしくしていて良くないような気がします。
XP Homeが癌 (スコア:0)
ローカルポリシーでUAC時の動きを軽くできますよ (スコア:3, 参考になる)
ただし、マウスや画面に対してちょっかいを出すソフトウェアに対するセキュリティは悪くなります。
開発ツールのデバッガ類で細かい所まで追う必要がある関係上昇格を何度もするのにブラックアウトは重すぎるので設定してますが、普通の人にはお勧めしません。
UACが毎度プロンプトするようなアプリケーションは出来が悪いという事でまず捨てるべきですね。
ついでですが、「C:\を作業領域に使ってて、何をするにもUACがでてうざい」とか言うネタがありました。
そこはあなたの作業場所じゃないってばよぉ…
Re: (スコア:0)
マイドキュメントをC:\に設定すればいいんですね?
”改善する”っていうタイトルはまずいんじゃない? (スコア:3, すばらしい洞察)
>「どの操作に、なぜ承認作業が必要なのか」という理由も表示される (スコア:2, すばらしい洞察)
という話はともかく、一般人がこの理由を読んで理解出来るのかなぁという気も。
そもそも「Not signed」だけで理解出来るような人なら適切にUACを使えるような…
それよりもそういう事がわからない人(≒そもそもPCの管理って何?って人)が
正しい方向にむかうようになってないとあまり意味がないような気がします。
Re: (スコア:0)
変にアプリと干渉したり
正常にアンインストールできない懸念がある。
知人のサポートしたくないなぁ
改善? (スコア:2, すばらしい洞察)
これは確かに改善だけど
>「Don't ask me again」にチェックを入れると、同種の操作の場合は以降は自動的に承認作業が行われるようになる
は改善とは言えない。
改善?それとも改悪? (スコア:1, 興味深い)
確認の回数が減りました。
NortonのUACがどうなのかわかりませんが、UACを無効にすることよりは
安全を保てるんでしょうか?
"Don't ask me again"で聞いてこなくなるなら、UACを無効にするのと
同じってことでしょうか。
それともアプリケーション毎に設定できるとか?
"Don't ask me again"にしたせいで、マルウェアが勝手にシステムを改変
したりすることがないような仕組みが施されているんですよね、もちろん。
Windows Firewallを切れとかWindows Defenderを切れとか (スコア:1)
You receive errors relating to "SMC.exe" during startup on Windows Vista and the Symantec Endpoint Protection (SEP)11.0 icon does not display in the taskba [symantec.com]
そりゃ両機能共にEndpoint Protectionで提供される機能だから
切っちゃってもいいよ、ってスタンスなのだろうけど、たとえば
アンインストールしたときのことも考えるならば、そこは協調動作
するようにしてくれたほうがユーザにとってはわかりやすい。
屍体メモ [windy.cx]
Re:Windows Firewallを切れとかWindows Defenderを切れとか (スコア:2, すばらしい洞察)
…と陰謀論を唱えてみる。
署名スパムがウザい?アカウント作って非表示に設定すればスッキリさ。
Re: (スコア:0)
同種の機能を常時提供するソフトが2つもONになっていたらおかしい…というか、どう考えても無駄でしょう。
ソフトのアンインストーラというものは原状復帰すべきで、インストール前の状態に戻してくれればそれでいいです。
もし何かを深読みしてWindows標準機能を(インストール前はOFFになっていたが)ONにしてくれるアンインスト
Re:Windows Firewallを切れとかWindows Defenderを切れとか (スコア:1)
>インストール前の状態に戻してくれればそれでいいです。
そうです.だからWindows標準のファイアウォール機能のON/OFFは
インストーラとアンインストーラが自動的にやるべきであって,
ユーザに手動でやれと指示するのは分かりにくいです.
協調動作というのはWindows標準のファイアウォール機能であれば
アプリケーションが明示的に自身を登録するなどのAPIが用意
されているので,単純にOFFにするのではなくそういう情報を
見ながらサードパーティのセキュリティ製品はフィルタリングの
プラットフォーム上で動いてくれればいいということです.
屍体メモ [windy.cx]
Re: (スコア:0)
自動復帰する(または、設定するように求めてくる)と思うが、そういう話じゃないのか?
(Norton側の挙動というよりはWindows側がやってる処理だとは思うが...)
細かいレス付ける前に確認してみれば?
ここの方々が大好きなLinuxよりはよっぽど親切な挙動してるよ。
逆に (スコア:1, 興味深い)
Re:逆に (スコア:3, すばらしい洞察)
[スタート]→[ログオフ]→[ユーザーの切り替え]→管理者のアカウントでログイン→(なんか知らないけどHDDがすげーガリガリ鳴る)→管理作業を行う→ログオフ
とかさせられていたのと比べると、クリック or パスワード入力一発でOKのUACは涙が出るほど便利です。
「UACがウザい」と言っている人は、XPを制限ユーザーで使ったことがないのでしょう。
Re:逆に (スコア:2, 興味深い)
カレンダー見たいだけなのに制限ユーザだと拒否されるという大問題がありました。
Re:逆に (スコア:1)
カレンダー確認しようと思いきや、制限ユーザでいじれなくて不便、はよく聞きました。
時計クリックでカレンダーを表示できるほか、アプレットを呼び出すだけならば
権限を要求しなかったり、地味に改良されている部分ではありますね。>Vistaのそれ
Re:逆に (スコア:1)
確かにそうである。が、
そもそもXPを制限ユーザで使うメリットが、普通の人にはないのでは?
Re:逆に (スコア:1, 参考になる)
えー。
マルウェアにシステムを改変される心配を自分でしなくていいのはものすごいメリットだと思いますが。管理してくれる人がいればの話ですけど。
私が家族にPCを使わせるなら、OSが出す呪文めいたダイアログの意味を理解して適切な選択ができるよう教育するという絶望的な試みをする前に、管理者権限のないアカウントを渡すことを検討します。管理者権限がない状態でどの程度実用的に使えるかはかなり切実です。
Re:逆に (スコア:1)
→パスワード入力
(表示されたコマンドプロンプトで)timedate.cpl
ではダメですか?
appwiz.cpl でアプリケーションの追加と削除、
sysdm.cpl でシステムのプロパティ
あたりは良く使います。
他にも mmc でMMCを起動して「ファイル」→「スナップインの追加と削除」から
「コンピュータの管理」を追加して使う、ということもよくあります。
Power Usersで (スコア:1)
管理ツールのローカルセキュリティポリシーを見ると判りますよ。
Re:Power Usersで (スコア:1, 参考になる)
Windows Server 2003、Windows 2000、または Windows XP で Power Users グループのメンバが管理者権限およびアクセス許可を取得できる場合がある [microsoft.com]
> 解決方法
> この問題を防止するには、次の方法を使用します。
> • Power Users グループを使用しないようにします。
(「回避策」ではなく「解決方法」であることに注意)
ExplorerをAdminでRunAsして (スコア:1, 参考になる)
Re:逆に (スコア:1)
Vistaさわりはじめの頃をなんとか (スコア:1)
必要に応じて自動的にダイアログが出てくるってのは以前より便利。
環境構築が終わった後であれば
UACがことさら不快に感じるのは、OSを入れた直後、
OSの設定を変更したりアプリケーションをインストールしたりという作業で
何度も何度もUACダイアログを見る羽目になるところではないかと。
そんな時期にはUACダイアログに
「次回再起動までUACを一時的に無効」という選択肢があるといいなとは思ってます。
いっそ管理者権限のあるユーザーを自動昇格にするとか、
Administratorアカウントを有効にしてそれ使うとかの手はあるんですが。
Re:Vistaさわりはじめの頃をなんとか (スコア:2, おもしろおかしい)
環境構築って終わるんですか? (ぉぃ
同種の操作でも (スコア:0)
ただ、「なんでも続行」癖が付いてしまうよりは、断然マシなので、管理者権限を持つユーザーがなんでも続行してしまいそうな場合は、セキュリティに詳しい人がこのようなプログラムで予め一定の操作に許可を与えておき、ユーザーには「何でもキャンセル」としてもらったほうがいいかもしれません。
# 本当はそういうユーザーは管理者権限を持たないほうがよいのですが、個人宅で一人1PC時代だとそれも難しい
Re:世の中には (スコア:1)
少し前に動かしたゲームに nProtect GameGuard が付いていましたが、実行時に UAC で昇格するだけでしたよ。
UAC を切らないといけない、というのはかなり昔の情報だと思われます。