(Mark Joseph Edwards)

 私は前回,本当に必要なとき以外は管理用アカウントを使わないようにすべきだ,という理由について書いた(「管理者アカウントは日常業務に使ってはいけない」)。何人かの読者は,特定の作業に管理用でないアカウントを使ったときに遭遇する様々なシナリオと問題を詳しく教えてくれた。そういう問題のいくつかは,「エクスプローラ」の使用中やデバッガを使っている場合,「Data Source Name(DSN)」を作る場合,そして[コントロールパネル]のアイテムにアクセスする場合に伴って起きている。明らかにいくつかのインスタンスには,管理者としてログオンする必要があるのだ。「RunAs」コマンドを「/netonly」スイッチ付きで使っても,十分というわけではないようである。

安全に使える管理者権限ツールあれこれ
 RunAsコマンド以外に,この問題を解決する方法はいくつかある。例えば,MicrosoftのWindowsのリソース・キットに入っているコマンド「su.exe」を使えば,権限を上げられる。

 別のツールとしては,私が以前述べたことがあるAaron Margosis氏が作成した「MakeMeAdmin」である(該当サイト)。このツールはあなたのアカウントを[ローカル・アドミニストレータ]グループに追加して,新しく上げられた権限でコマンド・シェルを生成して,その後にそのグループからあなたのアカウントを取り除くものだ。

 MakeMeAdminは,このように効果的にあなたが新しいセキュリティ・トークンで走るコマンド・シェルを使えるようにする。あなたはそのシェル内では必要な活動を,何でも実行できる。ネットワーク内での権限も必要な場合は,何らかのネットワーク・アクセスを開始させて,何でも使いたいアカウントを使って認証を受けられる。

 例えば,次のコマンドを使って必要な権限を持つアカウントを指定するとドライブをマップできる。

net use

 これ以外に,「/root」スイッチを使うことで上昇させた権限で,デスクトップ上でエクスプローラを起動できるはずだ。[コントロールパネル]のアプレットを,そのアプレットの名前と拡張子(.cpl)を入力するだけで,あたかもそれがほかの実行可能プログラムであるかのように起動することもできる。上昇させた権限で,Internet Explorerを起動すると,Margosis氏の[PrivBar]アドオンが使える。これはあなたのブラウザがどのセキュリティ・レベル下で稼働しているかを表示するものだ(該当サイト)。

 別の読者は,管理用でないアカウントでデスクトップ上のアプリケーションを稼働する場合に遭遇するかもしれない問題をMicrosoftが解説して公開していると教えてくれた(該当サイト)。この中で,開発者がそういう問題のいくつかに対処できる方法についてのコツを紹介している。なおかつ次期Windows「Longhorn」(開発コード名)が,この問題をどのように処理するかということを若干垣間見せてくれる。変更点の1つは,[Protected Administrator]権限の追加である。私が理解では,これは特定ユーザーの特定作業に対して,管理者アカウントを使うことを許すものだ。

ルートキット発見ツールが続々と登場
 今回,私が論じたいもう1つの話題は,ルートキットだ。これはご存知の通り,大きな問題になりかねない。Microsoftのある文書は,そんな厄介な問題を見つける方法として,同社が実施した調査を論じている。この文書は自社のラボ内で開発して,まだ一般には公開していない関連ツール「Strider Ghostbuster」のことに触れている(該当サイト)。

 これとは別に,米Sysinternalsは,多分あなたが役立つと思うルートキット発見ツールを提供している。この新しいツール「RootkitRevealer」は,まだ開発中だが,コピーをダウンロードして試せる(該当サイト)。

 米F-Secureは3月9日,新しいルートキット検出ツールである「BlackLight」のベータ版を公開した。そのツールと関連する話題についてはわれわれのWebサイトで詳細を知ることができる(該当サイト)。

Windows IT Pro, (C)2005. Penton Media, Inc.