Microsoft、Windows 11 の Sudo が既存の runas と異なる理由を説明

Sudo は、Windows 11 Build 26052以降で利用できます。これは、コマンド プロンプトまたは PowerShell の別のインスタンスを手動で開かずに、昇格されたアクセス許可でコマンドまたはプログラムを実行する手段です。しかし、Microsoft は、これは Windows で runas コマンドを使用するのと同じではないと明言しています。

Windows Updated によって最初に発見されたサポート文書の中で、Microsoft は Sudo と runas の違いを明確に述べています。ドキュメントによると、Runas を使用すると、Windows の任意のユーザー (管理者も含む) としてコマンドまたはプログラムを実行できます。一方、Sudo は他のユーザーのようにコマンドやプログラムを実行できません。

ただし、Microsoft は、将来的には Sudo を使用して別のユーザーとしてコマンドを実行できる可能性を示唆しました。 runas コマンドの使用中にパスワードの入力が必要になる場合があります。ただし、Sudo を使用する場合は、UAC プロンプトを受け入れて管理者権限を付与するだけで済みます。

上の図からわかるように、Microsoft は、ターミナル プロセスでコマンドを入力したときに Sudo が OS とどのように対話するかを説明しています。たとえば、sudo を使用して netstat -ab を実行しようとすると (例: sudo netstat -ab)、ターミナルはコマンドを CLI シェル (PowerShell やコマンド プロンプトなど) に送信します。

次に、シェルはコンソール ドライバー (ConDrv) と通信して入出力を処理します。
sudo.exe プログラムが呼び出され、netstat -ab コマンドを実行するための RPC 接続が確立されます。知らない人のために説明すると、RPC は Remote Procedure Call の略で、基本的には同じマシン上のプロセス間の通信に使用されます。

昇格した権限を持つ Sudo.exe は netstat -ab を実行し、管理者権限でタスクを実行できるようにします。InlineまたはInputdisabled構成では、昇格されていない Sudo.exe プロセスは、昇格されたアクセス許可を持つ新しい Sudo.exe プロセスとの RPC 接続を作成します。

楽しそうですよね？ただし、Inline または Inputdisabled 構成で Sudo を使用する場合は、セキュリティが複雑になることを知っておく必要があります。 Microsoft では、3 つのオプションの中で最も安全な新しいウィンドウ構成を Sudo で使用することをお勧めします。

Sudo の構成を変更する方法は次のとおりです。

1. 設定アプリの「開発者向け」セクションにアクセスしてください。
2. 「sudo によるアプリケーションの実行方法を構成する」オプションをクリックします。
3. ドロップダウン リストから [新しいウィンドウで]オプションを選択します。

Sudo はコンシューマ版専用です

Microsoft は、Sudo が Canary チャネルと Dev チャネルのビルド 26052 で Windows 11 に最初に導入されることを正式に認めました。 Sudo は Windows Server Insider ビルドにも含まれていましたが、Microsoft はブログ投稿を修正して、Sudo がコンシューマー エディション専用であることを明らかにしました。

したがって、この機能を利用できるのは Windows 11 Home、Pro、Enterprise、および Edu バージョンのみです。さらに、Microsoft は、Sudo for Windows がオープンソースであり、GitHub で維持されることも明らかにしました。