MS、VistaにActiveXインストーラを追加

Vistaでは通常、標準ユーザーはActiveXコントロールをインストールできないが、事前に許可されたActiveXをインストールできる新機能が追加される。

[Ryan Naraine，eWEEK]

　米MicrosoftはWindows Vistaに、管理者権限なしで実行されているシステムにActiveXコントロールをロードできる新機能を追加する。

　この新機能「ActiveX Installer Service」は、次のVistaの公開リリースに搭載され、企業がUAC（ユーザーアカウントの制御）セキュリティ機構に対処するための方法を提供する。

　UACは以前「制限付きユーザーアカウント（LUA）」と呼ばれていたもので、Vistaではデフォルトで有効になっている。管理者権限の必要なユーザーと標準ユーザー権限を区別して、マルウェアや悪意を持ったハッカーの攻撃に対してシステムの守りを固めるためのものだ。

　しかし、UACは標準ユーザーシステムではActiveXコントロールのインストールを遮断するため、この技術を使うエンタープライズアプリケーションで問題が起きるとみられる。ActiveXコントロールは、ユーザーとアプリケーションのやり取りを強化するのに使われるオブジェクト。

　MicrosoftはこのサービスをTechEdカンファレンスで発表し、これはWindows VistaのUltimate、Business、Enterprise SKU版のオプションコンポーネントになると語った。このサービスはWindows Vista RC1（リリース候補第1版）でデビューし、Vistaがインストールされたクライアント上でのみ有効になる。

　eWEEKの取材の中で、Microsoftのセキュリティ責任者ベン・ファシ氏は、ActiveXインストーラを追加するという決定は、βテスターからの要望に応えたものだと語った。「当社に寄せられたフィードバックは、UACは素晴らしいが、企業には標準ユーザーシステムにアプリケーションをインストールする妥当な必要性があるというものだった。管理者パスワードなしで、アプリケーションを安全に事前承認する方法を作らなくてはならなかった」

　Microsoftのセキュリティテクノロジー部門副社長のファシ氏は、システム管理者はコンソールで事前承認するWebサイトとアプリケーションのリストを定義できると説明する。

　Windowsセキュリティコア部門のUAC担当リードプログラムマネジャー、スティーブ・ヒスキー氏は、標準ユーザーがActiveXコントロールをインストールできるHost URLを指定するためのグループポリシー機構が提供されるとしている。

　MicrosoftのUACブログのエントリーによると、ActiveX Installer ServiceはWindowsサービス、グループポリシーの管理用テンプレート、Internet Explorer（IE）の幾つかの変更で構成される。

　このInstaller ServiceはActiveXコントロールをインストールする前に、CODEBASEのHost URLがグループポリシーで、定義されているかどうか、許可されているかどうかをチェックする。ActiveXコントロールのインストールが認められている場合には、インストールに使用するIE ActiveXインストーラオブジェクトのインスタンスを作成する。

　グループポリシーでActiveXコントロールのインストールが認められていない場合は、Windows Vistaはデフォルトの動作を再開し、ActiveXコントロールのインストールには認証プロンプトが必要になる。

　Vistaの現行β版の認証プロンプトはいら立ちの元として批判されており、Microsoftはこれを受けて、大規模な調整を行ってエンドユーザーに表示される権限昇格ポップアップの数を減らすと発表した。

　MicrosoftはWindows Vista RC1に変更を施し、標準ユーザーアカウントで権限昇格プロンプトが必要なタスクを実行するための安全なシナリオを作成する計画だ。また標準ユーザーとして実行するのに助けが必要なアプリケーションには、アプリケーション互換性問題のフィックス「shim」を適用する。

　ファシ氏は、デフォルトUAC設定に対応するための変更が行われないかもしれないレガシーアプリケーションへの自動フィックスも検討していると語る。「さまざま理由からUACに対応しないであろう業務アプリケーションがある。おそらくこれらのアプリケーションは、もはやソースコードもなく、コードを書ける人もいない。こうしたアプリケーションが数百もある」

原文へのリンク