| ADComputerGroupMembershipTimeoutSecs |
数値 |
ネストされたコンピュータ グループ ルックアップのタイムアウト (秒)。既定設定は120秒です。この値を0にすると、タイムアウトが無効になります。 |
| ADQueriesEnabled |
数値 |
この設定は、システムの識別名とコンピュータ グループ メンバーシップを決定するために使用される AD クエリのタイプを制御します。 値を0にすると、AD へのクエリと、構成でのコンピュータ グループと OU の使用が無効になります。 既定値の1では、エージェントが識別名と直接 (ネストなし) コンピュータ グループ AD クエリの両方を実行します。構成のネストされたコンピュータ グループは無視されます。 値2では、エージェントが識別名、直接、ネストされたコンピュータ グループ AD クエリの両方を実行します。この設定では、高 CPU 利用率のため、DC でパフォーマンスの問題が発生する可能性があります。 |
| AlternateTOCheck |
数値 |
サードパーティ フィルタ ドライバがシステムにインストールされるときには、信頼できる所有権チェックで、SYSTEM プロセスの CPU 利用率が過剰になることがありました。この設定を有効にして、値1を使用すると、Application Control は信頼できる所有権を検索するための代替方法を使用します。これにより、この問題が軽減される場合があります。 |
| AMFileSystemFilterFailSafe |
数値 |
この設定は、ファイル システム フィルタ ドライバがフェールセーフまたはフェール セキュア モードのどちらで動作するかどうかを構成します。エージェントの問題があり、応答が停止した場合は、ドライバはフェールセーフ モードで切断し、これ以上要求を傍受しません。値1はフェールセーフ、0はフェールセキュアを示します。フェールセーフが既定です。この設定を変更するには、エージェントを再起動して、有効にする必要があります。 |
| AppHookDelayLoad |
テキスト |
この設定では、構成可能な遅延時間 (ミリ秒) 後に、AmAppHook Dll を読み込みます。この設定は、ファイル名単位で構成されます。形式は <filename+extension>,<delay> です。ファイル名と拡張子にはワイルドカードを使用できます。各ペアはセミコロン区切りです。たとえば、「calc.exe,2000;note*.exe,6000」です。 |
| AppHookEx |
テキスト |
Application Control は、Application Network Access Control (ANAC) 機能の一部として、Windows フックを使用します。ごくまれに、フック時に、予期しない動作が表示されることがあります。この設定は、ANAC 固有の関数がフックされないため、ANAC ルールが適用されないアプリケーションのリストです。 AppHookEx と UrmHookEx の両方でアプリケーション名が指定されている場合、AmAppHook.dll は読み込まれません。複数のエントリはセミコロン (;) で区切られます。 |
| AppInitDllPosition |
数値 |
この設定を使用して、AsModLdr ドライバまたは Appinit レジストリ キーが Application Control フックを挿入するために使用されるかどうかを指定します。この設定は、AppInit_DLL レジストリ値の AMLdrAppinit.dll の位置を決定するためにも使用されます。 次の値のいずれかを選択します。 この設定は、Ivanti サポート チームの指示に従って使用してください。 |
| baseconfigmergebehavior |
テキスト |
新しい configuration.aamp が既存の merged_configuration.aamp を置換または再マージするかどうかを制御するために使用します。この設定の許可された値は、replace および remerge です。 GPO を使用してマージすると、Replace 値が無視され、自動的に既定の Remerge になります。 |
| BrowserAppStorePort |
数値 |
ブラウザ制御 Chrome 拡張のインストールを許可するために使用されるポートを入力します。 |
| BrowserCommsPort |
数値 |
ブラウザ拡張がエージェントと通信するために使用されるポートを入力します。 |
| BrowserExtensionInstallHive |
数値 |
この技術設定により、管理者は、Application Control Chrome ブラウザ拡張がインストールされるレジストリ ハイブを選択できます。オプションは次のとおりです。- 0 - 拡張がインストールされない
- 1 - HKLM にインストール
- 2 - HKCU にインストール
0の場合、管理者は独自の企業アプリストアを手動で構成し、Application Control Chrome 拡張を配布する必要があります。既定の動作は2です。Chrome 拡張が HKCU にインストールされます。 |
| BrowserHookEx |
テキスト |
値を「Chrome.exe」に設定すると、Application Control ブラウザ フック (BrowserHook.dll) の挿入を停止することができます。ブラウザ フックにより、Chrome 拡張が Application Control エージェントとの接続を確立するまで、すべてのネットワーク通信が防止されます。 このカスタム設定によってコア機能が影響を受けることはありません。 |
| BrowserNavigateEx |
テキスト |
ナビゲーション イベント処理を回避するナビゲーション URL のパイプ (|) 区切りのリスト。このリストの URL には URL リダイレクトが適用されません。 |
| ComputerOUThrottle |
数値 |
この設定は、同時クエリ数を制限することによって、組織単位メンバーシップを確認するために、接続クライアントごとの Active Directory ルックアップを制限します。この調整により、多数の接続クライアントを処理する場合に、ドメイン上のクエリ トラフィック量を削減することができます。この値は0~65535に設定します。 |
| ConfigFileProtection |
数値 |
構成 AAMP ファイルとマージされた構成フォルダをロックし、不正ユーザによる構成の更新を防止します。この機能は既定では無効です。この機能は既定で無効になっています - 値を1に設定すると、有効になります。 テスト環境でこの設定を適用するときには注意してください。構成を更新できないため、オフにできない場合があります。この場合は、Ivanti サポートまでお問い合わせください。 |
| DFSLinkMatching |
数値 |
DFS リンク パスをルールに追加できます。DFS リンクと DFS ターゲットは、一致する個別の独立した項目として処理されます。ルールを適用する前に、リンクからターゲットに変換されません。この値を1に設定すると、DFS リンク一致が有効になります。 |
| DirectHookNames |
テキスト |
Application Control の Windows フックは、既定で、user32.dll を読み込むすべてのプロセスに読み込まれます。この DLL を読み込まないアプリケーションはフックされません。user32.dll を読み込まないすべてのアプリケーションは、完全パスまたはファイル名のカンマ区切りリストの一部として、この設定に含めてください。 |
| DisableAppV5AppCheck |
数値 |
既定では、AppV5を使用して起動されるアプリケーションは、信頼できる所有権チェックから除外されます。この設定を使用すると、値1の場合に、この動作が無効になります。 |
| DisableCustomRulesPreCheck |
数値 |
この設定により、各カスタム ルール コレクションのポリシー内で構成される項目のみが処理されるため、カスタム ルール チェックのパフォーマンスが向上します。既定では、この設定はオフであり、「0」に設定されています。値を「1」に設定すると、カスタム ルール経由ですべての潜在的な要求が許可されます。 |
| DisableDNSLookup |
数値 |
Application Network Access Control (ANAC) コンポーネントは、プロキシ DNS サーバの形式によっては互換性がないことがあります。1に設定すると、Application Control は DNS ルックアップを実行せず、プロキシ DNS サーバが使用される場合の予期しないシャットダウンやエラーを削減します。 |
| DisableSESecondDesktop |
数値 |
既定では、自己昇格の監査ダイアログは2番目のデスクトップに表示されます。1に設定すると、主デスクトップにダイアログが表示されます。 |
| DoNotWalkTree |
数値 |
既定では、プロセス ルールは親キー全体の一致を確認します。この設定は、プロセス ルールに対して、プロセスの直接の親のみを確認し、ツリー全体を確認しないように指示します。値1はこの設定を有効にします。 |
| DriverHookEx |
テキスト |
Application Control Hook (AMAppHook.Dll) が挿入されないアプリケーションのセミコロン区切りのリスト。Application Control では、特定の機能が動作するために、フックを読み込む必要があります。このカスタム設定は、Ivanti サポート チームの指示に従って使用してください。 |
| EnableCustomRulesDllChecking |
数値 |
既定では、この設定はオフ (0に設定) であり、実行ファイルと URL のみが処理されます。この設定は、DLL がルール コレクション経由で許可されるかどうかを制御するため、カスタム ルール チェックのパフォーマンスが改善されます。値を1に設定すると、既定のほかに、すべての DLL の処理が許可されます。 |
| EnableScriptPreCheck |
数値 |
スクリプト化されたルール内のスクリプトが処理されている間には、false 値を返したかのように処理されます。スクリプトの時間は、コンテンツに応じて変わります。この設定では、スクリプトの結果に依存するすべての項目が遅延しないため、コンピュータの起動中とユーザ ログオン中に最善のパフォーマンスを実現します。値を1に設定すると、該当するスクリプトが完了するまで、処理が待機します。これにより、コンピュータ起動時とユーザ ログオン時の速度が大幅に低下します。 Application Control はスクリプトの結果を無限に待機しません。30秒のタイムアウトが適用されます。 |
| EnableSignatureOptimization |
数値 |
この設定により、署名を使用するときに、ルール チェックのパフォーマンスが改善されます。完全パスと一致しないファイルはハッシュ化されません。同じファイルではないと想定されるためです。1に設定すると、有効になります。 この設定と ExtendedAuditInfo を有効にすると、監査メタデータにハッシュ化されたファイル名が表示されません。 |
| ExplicitShellProgram |
テキスト |
この設定は、アプリケーション アクセス制御 (AAC) によって使用されます。Application Control は、セッションがログオン済みであると見なされるためのトリガとして、シェル プログラム (既定では explorer.exe) の起動を処理します。別の環境と技術ではシェル アプリケーションが変わることがあり、場合によっては、エージェントがシェル プログラムの内容を検出できないことがあります。Application Control は、既定のシェル アプリケーション以外に、このリストのアプリケーションを使用して、セッションがログイン済みであると見なされるときを判断します。これは、完全パスまたはファイル名へのセミコロン区切りのリストです。 |
| ExProcessNames |
テキスト |
フィルタ ドライバから除外されるスペース区切りのファイル名のリスト。 この設定を変更するには、エージェントを再起動して、有効にする必要があります。 |
| ExtendedAuditInfo |
数値 |
この設定は、監査されたイベントのファイル情報を拡張します。監査されたイベントの各ファイルの Secure Hash Algorithm 1 (SHA-1) ハッシュ、ファイルサイズ、ファイルと製品バージョン、ファイル説明、ベンダ、会社名、製品名を報告します。この情報は、イベント ログのファイル名の直後に追加されます。既定ではこの設定はオンです。オフにするには、値0を入力します。 EnableSignatureOptimization 設定が有効なときには、ハッシュまたはチェックサムの生成は無効です。 |
| ForestRootDNQuery |
数値 |
値を1に設定すると、Application Control エージェントがフォレスト ルート クエリを実行できます。クエリには、デバイス ルールの OU およびコンピュータ グループ メンバーシップの目的で、接続デバイスの識別名を決定するための追跡参照が含まれます。 |
| ImageHijackDetectionInclude |
テキスト |
子イメージが破損または修正されずに実行され、最初に要求されたイメージと一致することを保証するために、すべての子プロセスが検証されるプロセス名のリスト。子プロセスが検証されない場合は中断されます。これは、完全パスまたはファイル名へのセミコロン区切りのリストです。 |
| MultipleHostsSameIP |
数値 |
Application Network Access Control (ANAC) が同じ IP アドレスの複数のホストで動作できます。ドメイン名と IP アドレスへのキャッシュを取得し、同じサーバから実行されるときには別のドメインの動作が許可されます。値1に設定すると、有効になります。 |
| NetEnableRevDNS |
数値 |
この設定は Application Network Access Control (ANAC) によって使用され、ネットワーク リソースへの各アクセス要求に対して、グローバルに逆 DNS ルックアップを有効にします。この設定を有効にすると、NetEnabledRevDNSList および RevDNSList 設定が上書きされます。値1に設定すると、有効になります。 この機能には、管理者が企業の DNS サーバで逆ルックアップ ゾーンを有効にし、構成する必要があります。 |
| NetEnableRevDNSList |
数値 |
この設定は Application Network Access Control (ANAC) によって使用され、RevDNSList にある IP アドレスのみを対象とした逆 DNS ルックアップを有効にします。この設定は、RevDNSList 設定とともに使用する必要があります。値1を設定すと、有効になります。 この機能には、管理者が企業の DNS サーバで逆ルックアップ ゾーンを有効にし、構成する必要があります。 |
| OwnershipChange |
数値 |
Application Control は、信頼できる所有者以外によって信頼できるファイルが変更されたかどうかを検出します。このような場合、ファイル所有者は信頼できないユーザに変更され、実行要求はブロックされます。一部のアプリケーションは、Application Control が既定で検出しない方法でファイルを上書きするため、ファイルの所有者が変更されません。有効にすると、Application Control は追加チェックを実行し、すべてのファイル変更を取得し、変更があった場合は上書きします。値1に設定すると、有効になります。 |
| PCRRetainOnNewConfig |
数値 |
新しい構成が発行されるときに、ポリシー変更要求 (PCR) が処理される方法を制御します。この機能は既定では無効です。許可された PCR は新しい構成の受信時に削除されます。
値を1に設定すると、新しい構成が発行されるときに、許可されたポリシー変更要求を保持します。
|
| RdmHookEx |
テキスト |
権限検出モード (PDM) で使用されるアプリケーションのリスト、PDM 固有の機能は Application Control の Windows フックでフックされません。この値はファイル名のセミコロン区切りのリストにしてください。 |
| RemoveDFSCheckOne |
数値 |
DFS ドライブにファイルが保存されるときに、Application Control エージェントは多数の戦略を使用して、現在の UNC パスを評価します。これらの戦略の1つでは、多数のスクリプトと実行ファイルが Active Directory に保存され、Active Directory によってレプリケーションされる場合に、ログイン中に遅延が生じることがあります。値を1に設定すると有効になり、Application Control はこの戦略を無視して、この状況でのパフォーマンスが向上します。 |
| RevDNSList |
不定 |
この設定は、NetEnableRevDNSList とともに使用され、Application Network Access Control (ANAC) によって使用されるときに適用されます。逆 DNS ルックアップ チェックがある IP アドレスが含まれます。IP アドレスは IPv4のドット区切りの数字 (n.n.n.n) で、各 IP アドレスはセミコロン区切りのリストにします。 この設定には、管理者が企業の DNS サーバで逆ルックアップ ゾーンを有効にし、構成する必要があります。 |
| SECancelButtonText |
テキスト |
[自己昇格] ダイアログで [キャンセル] ボタンによって表示されるテキスト。 |
| SelfElevatePropertiesEnabled |
数値 |
この値を「1」に設定すると、プロパティの自己昇格を有効にします。この機能は既定で無効になっています。 |
| SelfElevatePropertiesMenuText |
テキスト |
プロパティの自己昇格のコンテキスト メニュー オプションのテキスト。 |
| SEOkButtonText |
テキスト |
[自己昇格] ダイアログで [OK] ボタンによって表示されるテキスト。 |
| TVChecking |
数値 |
この設定を有効にすると、構成に信頼できるベンダのエントリが含まれている場合であっても、Application Control はすべてのファイルの信頼できるベンダ チェックを無視します。値を0に設定すると、この設定が有効になります。 この設定はトラブルシューティング用です。 |
| UrlRedirectionSecPolicy |
数値 |
既定では、セキュリティ ポリシーは、URL リダイレクト機能によって無視されます。この技術設定により、管理者は、強制的に URL リダイレクトを構成されたセキュリティ ポリシーに従わせることができます。値1に設定すると、有効になります。 自己承認はサポートされていません。 |
| UrmForceMediumIntegrityLevel |
テキスト |
ユーザ権限が昇格されたアプリケーション (既定の整合性レベルが高) のときに、整合性レベルを上書きするために使用されるユーザ権限管理 (UPM) カスタム設定。この設定が使用されるときには、レベルが中に低減されます。この値はファイル名のセミコロン区切りのリストにしてください。 |
| UrmHookEx |
テキスト |
Application Control は、ユーザ権限管理機能の一部として、Windows フックを使用します。ごくまれに、フック時に、予期しない動作が表示されることがあります。この設定は、ユーザ権限管理固有の機能がフックされないアプリケーションを一覧表示します。 AppHookEx と UrmHookEx の両方でアプリケーション名が指定されている場合、AmAppHook.dll は読み込まれません。複数のエントリはセミコロンで区切られます。 |
| UrmPauseConsoleExit |
テキスト |
ユーザ権限管理機能によって使用されます。コンソール アプリケーションが昇格するときには、新しいアプリケーションが新しいコンソール ウィンドウに表示されることがあります。アプリケーションは完了まで実行され、その後に閉じます。ユーザがプログラムの結果を出力したい場合、これが問題になります。この設定は、キーが押下されるまで、アプリケーションをそのままにします。これは、完全パスまたはファイル名へのセミコロン区切りのリストです。 |
| UrmSecPolicy |
数値 |
既定では、セキュリティ ポリシーは、ユーザ権限管理機能によってほとんど無視されます。ユーザ権限管理ルールは、監査のみモードが選択される場合を除き、すべての場合に適用されます。このカスタム設定により、管理者は、強制的にユーザ権限管理を構成されたセキュリティ ポリシーに従わせることができます。無制限および自己承認セキュリティレベルの場合、ユーザ権限管理ルールが適用されません。制限レベルの場合、ユーザ権限管理ルールが適用されます。 値を1に設定すると、この設定が有効になります。 |
Application Control には、次の構成可能なカスタム設定があります。