必須整合性コントロ?ル

Windows > Windowsのセキュリティ機能 > 必須整合性コントロ?ル

必須整合性コントロ?ル ( 英語 : Mandatory Integrity Control , MIC ) ^[1] は Windows Vista で追加されたコアセキュリティ機能で、 Windows シリ?ズのデスクトップOSに??されており、?行プロセスを整合性レベル ( Integrity Levels , IL ) で?分する。ILはオブジェクトの信?度を表す。この仕組みの目的は、?存の整合性制御ポリシ?と?連オブジェクトのILを使うことで、信??みとされている同じユ?ザ?アカウントのコンテキストで?行することに比べ、低レベルの信?性を持つと考えられるコンテキストのアクセス?限を選?的に制限することにある。

?? [ 編集 ]

必須整合性コントロ?ルはオブジェクトのILを表すために新しいアクセス制御エントリ? （ access control entry , ACE）タイプを使って定義づけられる。Windowsでは、アクセス制御リスト (ACL) はユ?ザ?またはグル?プに?限（?取り、書き?み、?行許可）を付?するものである。ILは?象の初期化時にそのアクセスト?クンに割り?てられる。?象がファイルなどのオブジェクトにアクセスを試みたとき、セキュリティ?照モニタ? ( Security Reference Monitor ) は?象のアクセスト?クンとオブジェクトのセキュリティディスクリプタにある整合性レベルを比較する。Windowsは?象のILがオブジェクトよりも高いか低いか、および新しいアクセス制御エントリ? (ACE) の整合性ポリシ?フラグで許可アクセス?限を制限する。整合性レベルを含むセキュリティサブシステムはACLが提供するユ?ザ?制御の下で任意のアクセスを?別するために必須ラベルとして整合性レベルを??している。

Windows Vistaでは4つの整合性レベルを定義している。低 ( SID : S-1-16-4096 )、中 ( SID: S-1-16-8192 ) 、高 ( SID: S-1-16-12288 )、システム ( SID: S-1-16-16384 ) である ^[2] 。?定では、標準ユ?ザ?によって開始されたプロセスには中ILが?えられ、?限昇格プロセスは高ILを持つ ^[3]。整合性レベルの登場によって、MICはアプリケ?ションの階級を?別することを可能にし、インタ?ネットに接するアプリケ?ションなど?在的脆弱性を持つアプリケ?ションをサンドボックス上で?行するようなシナリオを可能にする。低ILのプロセスは低整合性プロセス ( low-integrity processes ) と呼ばれ、Windowsのアクセス制御?施下にある高いILのプロセスよりも低いアクセス?を持つ。

ファイル、レジストリキ?、プロセスやスレッドなど、名前が付けられたオブジェクトといったACLのオブジェクトはそれらへのアクセスを管理するシステムアクセス制御リスト ( System Access Control List ) にエントリを持ち、オブジェクトを使用できる最小整合性レベルを定義している。Windowsはオブジェクトによって特定される要求整合性レベルと等しいかそれよりも高い整合性レベルを持つプロセスに、オブジェクトの書き?みや削除を認めている ^[3]。また、プライバシ?の理由からより高いILを持つプロセスオブジェクトは低い整合性レベルを持つプロセスからの?み取りアクセスも禁じている ^[4]。

その結果、プロセスはより高いILを持つプロセスと?話することができない。そのためプロセスは CreateRemoteThread()APIファンクション ^[5]を使ってより高いILプロセスに?して DLLインジェクションを行ったり、 WriteProcessMemory()ファンクション ^[6]を使って異なるプロセスへデ?タを送ったりすることはできない。

?連項目 [ 編集 ]

脚注 [ 編集 ]

^ “ Windows Vista 開?者スト?リ?用語集 - MSDNライブラリ ”. MSDN . 2016年7月3日 ??。
^ Matthew Conover. “ Analysis of the Windows Vista Security Model ”. シマンテック . 2007年10月8日 ??。
^ ^a ^b Steve Riley. “ Mandatory Integrity Control in Windows Vista ”. 2007年10月8日 ??。
^ Mark Russinovich. “ PsExec, User Account Control and Security Boundaries ”. 2007年10月8日 ??。
^ “ CreateRemoteThread Function (Windows) ”. MSDN . 2007年10月8日 ??。
^ “ WriteProcessMemory Function ”. MSDN . 2007年10月8日 ??。

?考文? [ 編集 ]

“ イベント 1047 - 標準の整合性レベルのイントラネット - TechNet ”. Microsoft (2010年6月). 2016年7月3日 ??。
“ プログラマが知っておくべきWindows 7の仕組み - Windows 7時代のセキュリティと互換性の常識を身につけよう ”. 日?BP (2010年10月14日). 2016年7月3日 ??。

外部リンク [ 編集 ]

[1] “ Windows Vista 開?者スト?リ?用語集 - MSDNライブラリ ”. MSDN . 2016年7月3日 ??。

[symantec-2] Matthew Conover. “ Analysis of the Windows Vista Security Model ”. シマンテック . 2007年10月8日 ??。

[steve-3] Steve Riley. “ Mandatory Integrity Control in Windows Vista ”. 2007年10月8日 ??。

[mark-4] Mark Russinovich. “ PsExec, User Account Control and Security Boundaries ”. 2007年10月8日 ??。

[5] “ CreateRemoteThread Function (Windows) ”. MSDN . 2007年10月8日 ??。

[6] “ WriteProcessMemory Function ”. MSDN . 2007年10月8日 ??。

[1]

[2]

[3]

[4]

[5]

[6]

表話編 ? Windowsのセキュリティ機能
（括弧?の番?は初版がリリ?スされた年）
Windows向け	Windows Defender Firewall [2001] Baseline Security Analyzer [2004] ?意のあるソフトウェアの削除ツ?ル [2005] Windows Defenderウィルス?策 [2005] Windows Defendert SmartScreen （英語版） [2006] Microsoft Security Essentials [2009] Microsoft Safety Scanner [2011]
Windows Server 向け	Exchange Online Protection （英語版） [2007] Identity Manager （英語版） [2010] System Center Data Protection Manager （英語版） [2007]
デジタル著作?管理	Protected Media Path （英語版） PlayReady
暗?化	BitLocker DPAPI Cryptographic API Host Guardian Service
?連項目	セキュリティとメンテナンスセキュリティアカウントマネ?ジャ?（SAM）（英語版） Kernel Patch Protection（KPP）デ?タ?行防止（DEP）必須整合性コントロ?ル（MIC）ユ?ザ?インタ?フェイス特?の分離（UIPI）ユ?ザ?アカウント制御（UAC） MS Antivirus （英語版）
開?終了	MSAV [1993] Internet Security and Acceleration Server [1997] Threat Management Gateway [1997] OneCare Safety Scanner [2006] RootkitRevealer [2006] Windows Live OneCare [2006] Unified Access Gateway [2007] Enhanced Mitigation Experience Toolkit [2009] Microsoft Forefront