背景
Windowsを管理者権限のまま使うのは危険とはよく言われます。しかし、どうすれば管理者権限を外せるのかを教えてくれる記事は検索してもなかなか出てきませんでした。
最近自宅のWindows 11 Homeで普段使うアカウントを管理者ではない権限に変更できたので書きました。
免責事項
セキュリティの専門家でもWindowsの専門家でもないので、この施策によるセキュリティの向上及びWindowsの可用性を保証することはできません。施策の是非はご自身でご判断ください。
構成
- 普段使うアカウントは「標準ユーザー」に変更する(マイクロソフトのアカウントでもある)
- 新規にローカルアカウントを作り、「管理者」とする(マイクロソフトのアカウント不要)
- 普段使うアカウントで管理者権限が必要な時、UACプロンプトで管理者パスワードの入力を求める
ローカルアカウントを作成し、管理者にする
こちらの記事が参考になりました。ありがとうございます。
こちらの記事で作るローカルアカウントのパスワードが、UACプロンプトで入力するパスワードになります。
普段使うアカウントを標準ユーザーにする
管理者のローカルアカウントでWindowsにサインインし、先ほどと逆のことをします。つまり、普段使うアカウントの権限を標準ユーザーにします。
もし、普段使うアカウントを管理者に戻したい場合
こちらの記事も参考になりました。ありがとうございます。当然ながら、標準ユーザーはユーザーの権限の変更はできないので、「他のユーザー」メニューがありません。見当たらなくても慌てず以下の記事どおりに管理者のローカルアカウントにサインインして操作します。
注意点
以上の対策は万能ではありません。以下ような攻撃には相変わらず脆弱になりえます。
- UACバイパス
- ユーザーを巧妙に騙してUACプロンプトを操作させる攻撃
- 悪意あるブラウザ拡張機能(人気の拡張機能が買収され、アップデートとして悪意あるコードが侵入する場合も)
- そもそも管理者権限を必要としない攻撃(例:フィッシング詐欺)
本記事は対策の一つに過ぎないので、過信せずセキュリティの意識を高く持ち続けることが大事です。
Windows Storeは比較的安心
Windows Storeは審査を経ている上、特殊なソフトウェアを除きUACプロンプトを出さないので、比較的安心してソフトウェアを入手できます。
Abode系、GIMP、Visual Studio Codeなど、開発者向けソフトウェアも増えています。
管理者を普段使いしない利点
Windowsの脆弱性を突く悪意ある攻撃の大部分を退けられるそうです。