何年もの間、特にWindows XP Service Pack 2(SP2)がリリースされてからというもの、MicrosoftはWindowsとInternet Explorer(IE)のセキュリティを厳しくしてきた。それは時として目に触れにくいものだが、同社は前進してきたと思う。それでもなお完全に新しいバージョンのWindowsには、同社がもっとずっと役に立つ徹底的な変更を加える機会がある。
SP2と同様に、これらの変更は既存のアプリケーションに障害を起こし、ISV(独立系ソフトベンダー)やデバイスドライバ開発者に変更を余儀なくさせることになるだろう。人生とはそういうものだ。SP2と同様に、ベンダーや開発者にはソフトのアップデートに取り組む時間がたっぷりある。Windows Vistaが来年末にリリースされた(そうなることを祈ろう)ときに製品が動作しなかったら、ほとんど例外なく、それはISVのせいだと言える。
これらの「新」機能の多くはほかのOSやサードパーティーの製品で提供されてきたが、それをWindowsの標準にすることは重要だ。ここではその重要な機能の幾つかに焦点を当ててみよう。
企業のIT担当者は以前から、ネットワークおよびローカルコンピュータで、許可を制限して自社のWindowsユーザーを管理する方法を知っている(そうでなければ無能だ)。平均的なホームユーザーにとって、そうしたアカウントを設定するのは難しくなかったが、Windows XPでLimited Userに提供される比較的大きな権限が必要なアプリケーションに出くわすことはよくある。
この問題は、Windows Vistaでは初めて考え方から変更されている。「Limited」という言葉はなくなり、「User Account」が制限されている。Administrator権限のあるアカウントを取得することは特殊なケースとなっているが、そうしたアカウントはおおむね不要となる。ファイアウォール設定の変更など管理者権限が必要な作業を行う場合は、同OSが十分な権限のあるアカウント証明書を入力する機会を提供する。このためユーザーは、通常は非管理者として実行できる。これは「User Account Protection」と呼ばれ、β1では手動でオンにしなくてはならない。
もちろん、このアプローチはMac OS Xにそっくりだ。Mac支持者はこれを正しいもののやり方だと言いたがるが、どこまでユーザーを保護できるかについては明確な限界がある。Windowsにインストールされるほとんどのスパイウェア・アドウェアは、軽率なユーザーによって意図的にインストールされる。クールなツールバーが欲しくてインストールしたら、もちろんユーザーはそのプログラムに管理者権限でも何でも必要なものを与えるだろう。合法的なプログラムをインストールには、それと同じことをしなくてはならない。その一方で、この機能はひそかにダウンロードされるプログラムから守ってくれるはずだ。ただし、ユーザーが愚かにもインストールを許してしまわなければの話だが。
別のUser Account Protection機能に、プログラムがファイルシステムやレジストリの保護された領域に書き込んだときに、その書き込みが実際には別の領域――ユーザーごとにメンテナンスされる「Virtual Store」――に格納されるというものがある。これはTerminal Serverの機能とよく似ている。実際わたしは、Virtual StoreがTerminal Serverのように各ユーザーの「Document & Settings」フォルダに格納されるのでなく、C:\Virtual Storeに格納されているのはどうしてなのかと疑問を抱いている。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR