USBメモリをフォーマットできる人、できない人その知識、ホントに正しい? Windowsにまつわる都市伝説(79)(1/2 ページ)

Windows XP以前は、USBメモリなどのリムーバブルメディアをフォーマットするには、管理者権限が必要でした。Windows Vista以降は標準ユーザーでもフォーマットできますが、まれに管理者権限を要求されることがあります。今回は、その理由と背景を探ります。

» 2017年03月22日 05時00分 公開
[山市良テクニカルライター]
「Windowsにまつわる都市伝説」のインデックス

Vistaで緩和されたリムーバブルメディアのアクセス許可

 Windows XPでは、USBメモリなどの書き込み可能なリムーバブルメディアをフォーマット(初期化)するには、「管理者権限」(Administratorsローカルグループのメンバー)が必要でした。この仕様は、Windows NTまでさかのぼることができます。

 とはいっても、Windows NTのころ、USBは登場したばかりの先進の規格であり、OS標準では対応していませんでした。Windows NT時代の書き込み可能なリムーバブルメディアといえば、フロッピーディスク(FD)ですが、フロッピーディスクのフォーマットにも管理者権限が必要でした。

 企業の一般的なドメイン環境では、社員を標準ユーザーの権限でクライアントPCにログオンさせていることが多いと思います。「メディアのフォーマットには管理者権限が必要」という理由だけで、“ローカルの管理者権限”は付与したくないでしょう。でも、メディアのフォーマットをIT部門の仕事にさせられるのも面倒ですよね。

 ご安心ください。この仕様は、Windows Vistaで緩和され、標準ユーザー(Usersローカルグループのメンバー)でもリムーバブルメディアのフォーマットが可能になりました(画面1)。しかし、時と場合によっては、メディアをフォーマットしようとするとローカル管理者の資格情報を要求されることがあります(画面2)。それはなぜでしょう。画面2の中に答えのヒントがあります。

画面1 画面1 Windows Vista以降は標準ユーザーでもリムーバブルメディアのフォーマットが可能になった
画面2 画面2 ある条件下ではWindows XP以前と同じように管理者権限が必要になる

アクセス許可が緩和された背景とは?

 答えを教える前に、ここで少しばかり背景となるお話など。

 先ほども触れましたが、企業のドメイン環境では、社員を標準ユーザーの権限でクライアントPCにログオンさせることが、セキュリティ面から推奨されます。個人であっても、日常的な作業で利用するユーザーは、標準ユーザーの方がセキュリティリスクは少なくて済みます。

 しかし、Windows XP以前は、標準ユーザーとして作業中に管理者権限を必要とするシステム変更やインストール要求があると、管理者権限を持つユーザーで再度ログオンし直す必要があり、何かと面倒でした。セキュリティよりも利便性を優先すると、ログオンユーザーにローカルの管理者権限を付与してしまうということになります。

 Windows XP(およびWindows Server 2003)では、ローカルコンソールにログオンすると、常に「セッション0」というターミナルサービスセッション(後にリモートデスクトップサービスセッション)にログオンすることになります。このセッション0では、システムアカウント(SYSTEM)がサービスを実行するのにも使用されます。そのため、ログオンユーザーが管理者権限を持つと、ユーザーが誤って取り込んでしまったウイルスや悪意のあるコードの実行が、システム全体に影響してしまうリスクが非常に高くなってしまいます。

 Windows Vistaでは、ログオンしたまま管理者特権を行使できる利便性を維持しながら、セキュリティを強化するために、幾つか設計変更が行われました。その1つが「セッション0の分離」です。Windows Vista以降では、セッション0はシステムがサービスを実行するために専用で使用し、ログオンユーザーは常に「セッション1」以降にログオンするようになりました。

 もう1つは「ユーザーアカウント制御(User Account Control:UAC)」の導入です。UACにより、管理者ユーザー(Administratorsローカルグループのメンバー)であっても、ログオン時に特権グループや特権が制限された、標準ユーザー相当の権限で日常的な作業を行うことになり、特権が必要なときにUACの昇格プロンプトで明示的に許可するようになりました。

 一方で、標準ユーザーでログオンしている場合でも、特権が必要な操作をしようとすると、UACの昇格プロンプトに管理者ユーザーの資格情報を入力するように要求されるので、企業のIT部門や家庭のPCを管理する人は、管理者ユーザーでログオンし直すという手間を省けます。

 この他、「整合性レベル(Integrity Level)」や「ファイルシステムとレジストリの仮想化」など、Windows Vistaには今日のWindows 10へとつながる、多数のセキュリティ強化機能が導入されました。

 Windows Vistaにおけるセキュリティ強化と利便性の向上の結果、企業では標準ユーザーが以前よりも導入しやすくなったはずです。リムーバブルメディアを標準ユーザーでもフォーマットできるという「アクセス許可の緩和」は、そんな背景があってのことだと、私は勝手に想像しています。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。