2.1 何故Windows Vistaのみなのか
保護モードは、Windows Vistaのみに提供されているセキュリティ機能です。
何故なら、Windows Vistaの拡張機能を利用して動作しているからです。
Windows VistaはWindowsのアクセス制限セキュリティ機構を備えています。
アクセス制限
セキュリティ機構によって、プロセスおよび他のセキュリティオブジェクトには整合性レベルのラベルが付加されます。
整合性レベルとは、書き込みアクセスに必要な権限レベルを定義するものです。
整合性レベルのラベルを付加することで、プロセスやセキュリティオブジェクトに権限のレベルが設定されます。
権限が低いプロセスやセキュリティオブジェクトは、他のデータへの書き込みが行えません。
例えばダウンロードしたプログラムを実行する時など、他のプログラムよりも整合性レベルを低くして実行します。
すると悪意のあるプログラムであった場合でも、整合性レベルが低いためデータに書き込みが行えず、ユーザーPCへの脅威の可能性の低減を図ることができます。
保護モードはこの新しいアクセス制限セキュリティ機構、整合性レベルに基づいて構築されているため、Windows Vista以外のWindowsシリーズでは動作できません。
2.2 保護モードとは
従来のInternet Explorerでは、ゲストアカウントでWindowsにログオンしていてもInternet Explorerでは管理者と同じ権限が与えられていました。
この状態だと、
ユーザーの操作でファイルのダウンロードやインストールをする際には確認画面が出ましたが、確認画面が出ない、自動的にダウンロード・インストールする悪意のあるプログラムの脅威にさらされます。
Internet Explorer 7.0では、ゲストアカウントでも管理者アカウントでも、権限をスタンダードユーザー権限に統一するようになりました。
スタンダードユーザー権限とは、管理者権限を持たず、使える機能を限定されたユーザー権限です。
また、Internet Explorer 7.0の整合性レベルが低く設定されているので、既存のファイルの変更をしようとするとアクセス拒否エラーが表示されます。
整合性レベルの低いInternet Explorer 7.0では書き込みアクセスの権限を持っておらず、スタンダードユーザー権限では自動でのファイルや設定の変更ができなくなるからです。
ファイルや設定の変更をするには管理者ユーザーの確認と同意が必要なので、悪意のあるプログラムやファイルが自動的に知らない間にダウンロード、インストールされる事態を防ぐことができます。
悪意のあるプログラムを防ぐことで悪意のある第三者による脅威を防ぐことができます。
こうした防御システムを保護モードと言います。
