(Mark Joseph Edwards)

 私は8月に書いた記事「アカウントの権限管理に便利な2つのツール」の中で,Aaron Margosis氏が開発した「PrivBar」と「MakeMeAdmin」という2つのツールについて説明した。今回はその追加情報を紹介する。

 まずは簡単なおさらいをすると,PrivBarは,本質的にはInternet Explorer(IE)とエクスプローラのアドオンである。PrivBarをインストールすると,双方のアプリケーションに,各ブラウザがどんなセキュリティ・コンテキストの下で稼働しているかを示すツールバーが追加される。このツールバーは,ドメインとユーザー名もそのアカウントが属するグループと一緒に表示する。あなたがあるインスタンスを,Administratorsグループに属するアカウントのような,高い特権を持つアカウントの下で稼働する場合,このツールバーはあなたの注意を引くため,色分けされる。

 MakeMeAdminは,アプリケーションをより高いセキュリティ・コンテキスト内で動かすのに役立つWindows用のコマンド・ライン・スクリプトである。MakeMeAdminは,RunAsコマンドを使ってあなたの特権を上げる手順を自動化してくれる。このスクリプトは3つのアクションをする。あなたの現在のユーザー・アカウントをローカル・アドミニストレータ・グループに追加し,コマンド・シェルを立ち上げてあなたが動かしたいアプリケーションを起動し,ローカル・アドミニストレータ・グループからあなたのアカウントを削除する。

 MakeMeAdminはアドミニストレータ・グループのメンバーとしてログオンしている間に,あらゆるタスクを行うことで,自分のシステムを他の人にさらしたくないと人には,特に有用なツールだ。しかし,あなたが(必要がないのに)管理者としてログオンしていて,あなたのどのアプリケーションも,1つとして管理者アカウントのセキュリティ・コンテキスト内で動かしたくない場合には,そういうインスタンスをどうすればいいのか?

Safer APIを使う「DropMyRights」が便利
 Michael Howard氏(Microsoftで上級セキュリティ・プログラマの職にあり「Writing Secure Code」という本の共著者でもある)は,「DropMyRights」という便利なツールを開発した。これはWindows Server 2003やWindows XPを使っているなら,そういったインスタンスの実行に役立つツールだ。これら2つのOSは,「Safer API」をサポートしている。MSDN(Microsoft Developer Network)によれば,「Safer APIの機能は,外部のソースからプログラムを起動するどんなアプリケーションにも,実行が開始される前に許可を得るためにセキュリティ・ポリシーを問い合わせる能力を提供する。Safer APIの機能は,実行可能形式またはアクティブなコンテンツ・アプリケーションをロードして,起動する前に呼び出すことができる。Safer APIが役立つアプリケーションは,添付物(メール・クライアントやインスタント・メッセンジャーなどはファイルを転送できる)を処理するアプリケーションとインタプリタを書くアプリケーションを含む」(該当サイト)。

 DropMyRightsは,アプリケーションを管理者権限のないユーザーや制限されたユーザーや信頼されないユーザーのセキュリティ・コンテキストの下で,起動するのに使える。ほんの少しのコマンド・ライン・スイッチで,簡単にインストールや操作ができるので,アプリケーションをすぐ起動するショートカットを簡単に作れる。IEを普通のユーザー(デフォルトのまま何もコマンド・ライン・オプションを指定しない)で起動するためのDropMyRightsのサンプル・コマンドは
c:\tools\dropmyrights "c:\program files\Internet Explorer\iexplore.exe"
である。

 DropMyRightsのコピーをダウンロードしてさらにソース・コードも見たければ,Webページ「Browsing the Web and Reading E-mail Safely as an Administrator」に行くとよい。