Application Control の新機能

実行ファイルをブロックするときにメッセージを表示しない

ルール作成時の新しいオプション [拒否するときにアクセス拒否メッセージを表示しない]。管理者は、特定の実行ファイルを意図的にブロックし、「サイレント拒否」を実行することで、アクセス拒否メッセージがユーザに表示されないようにすることができます。

詳細については、拒否された項目をご参照ください。

グループのルール項目を無効にする

ルールを無効にするための新しい右クリック オプション。問題のトラブルシューティングに役立ち、管理者はルールを削除する必要がなくなります。このオプションは[無効]と[有効]を切り替えて、ルールを簡単に再度有効にすることができます。

詳細については、「ルール項目」、「拒否された項目、および「許可された項目」をご参照ください。

自己承認された項目の信頼できる DLL

アプリケーション exe を自己承認すると、すべての後続の DLL が自動的に許可されます。前のバージョンの Application Control では、各子 DLL で自己承認が必要であり、多くの場合、アプリケーションがクラッシュしていました。現在は、ワンクリックで自己承認を完了できます。

詳細については、ルールをご参照ください。

メッセージボックス ネットワーク ポート変数

必要に応じて、ネットワーク ポート番号が [ブロックされたポート] メッセージボックスに表示されます。これは問題のトラブルシューティングで役立ちます。

詳細については、 「メッセージ設定」をご参照ください。

ルール項目単位でイベント フィルタリングを無視する

新しいオプションが [イベント フィルタリング] に追加されました。特定のルールでこのオプションが選択されると、[監査] ダイアログでイベント ID が選択されている場合に、イベント フィルタリング設定に関係なく、このルールに対してこのイベントが発生します。このため、ファイル タイプが選択されていない場合でも、このルールのイベントが発生します。

詳細については、「許可された項目」と「拒否された項目」をご参照ください。

一時停止/再開の BitLocker コンポーネント サポート

[ユーザ権限] > [コンポーネント] に新しいオプションが追加され、BitLocker を無効化または一時停止することができます。有効化オプションは再開を含めるように拡張されました。これにより、BitLocker コンポーネントをより詳細に制御できます。

詳細については、「ユーザ権限制御コンポーネント」をご参照ください。

URL リダイレクト ホワイトリスト

URL リダイレクト機能を使用して、ユーザが指定された URL にアクセスしようとするときに自動的にユーザをリダイレクトします。禁止された URL のリストを定義することによって、リストの URL にアクセスしようとするユーザを既定の警告ページまたはカスタム Web ページにリダイレクトします。

この機能は、次の使用例に対応するために、特定の URL をホワイトリストに追加する機能とともに、10.1 FR3で拡張されました。

• 単一ドメイン内でアクセスを制御することもできます。ドメインへのアクセスを禁止しながら、サブドメインへのアクセスが許可されます。たとえば、www.company.com へのアクセスを拒否し、www.company.com/resources へのアクセスを許可することができます。
  

URL 許可動画

• 組織のインターネット アクセスを制御するためのホワイトリスト アプローチを実行します。すべてのインターネット サイトへのアクセスを禁止するリダイレクトを作成すると、項目を追加して、スタッフに使用させる Web サイトにアクセスできます。

URL ホワイトリスト動画

この機能の詳細については、「URL リダイレクト」をご参照ください。

255文字のメッセージの制限の削除

エンドユーザに表示されるメッセージの255文字の制限が削除されました。

Application Control コンソールの [メッセージ設定 & アプリケーションの終了] ダイアログで、管理者は、さまざまなメッセージ タイプについて、エンドユーザに表示されるテキストを構成できます。10.1 FR2以前のリリースでは、このテキストは255文字に制限されていました。このリリースでは、この制限が削除され、含めることができる情報が多くなりました。

詳細については、 「メッセージ設定」をご参照ください。

[アプリケーション拒否] メッセージボックスの追加の環境変数のサポート

追加の環境変数は、[アプリケーション拒否] メッセージボックスに表示できます。10.1 FR3以降では、アプリケーション拒否ログに含まれるすべての情報を使用できます。

詳細については、 「アクセス拒否」をご参照ください。

カスタム条件の PowerShell スクリプト

VBScript および JScript の他に、PowerShell スクリプトを作成し、カスタム条件で使用できます。

詳細については、「スクリプト化された条件」 をご参照ください。

ユーザ権限管理の昇格された子プロセスの監査

監査ログは、昇格された子プロセスの詳細を取り込みます。[子プロセスに適用する] オプションを構成で選択すると、主プロセスが昇格した後で、この昇格がすべての子プロセスに適用されます。ただし、10.1 FR2以前のリリースでは、これらの子プロセスの監査がなかったため、関連付けられたアクティビティを把握できませんでした。10.1 FR3監査ログは、主プロセスとすべての子プロセスの両方の詳細を取り込み、監査の可視性を高めます。

[子プロセスに適用する] オプションが使用されるかどうかについては、「ルール項目」と「自己昇格」をご参照ください。

このリリースには、新しい機能はありません。

コンソールのブランドおよび名称変更

Application Manager コンソールが更新され、新しい会社名の Ivanti を反映します。詳細については、ここをご覧ください。AppSense から Ivanti へのブランド変更の他に、このリリースの時点では、Application Manager は Application Control となっています。

Application Control コンソールとエンドポイントのコンポーネントが更新され、これらの変更を反映します。

レジストリやサービスなどの特定の領域では、AppSense Application Manager という名前が使用されている場合があります。Application Control の既存のユーザにとって、移行による中断をできるかぎり少なくするために、このようにしています。

アイコンの更新

バージョン10では、User Workspace Manager コンソールの設計が大幅に変更されたため、フィードバックに耳を傾け、Application Control コンソールで使用されるアイコンの一部を更新することで、はっきりした色をコンソールに追加しました。

監査ログの拡張

Application Control イベント ログが拡張され、次の内容が含まれます。

• ユーザが停止および開始したサービスに関する新しいベント
• 親プロセスが9000イベントに含まれる
• ファイル所有者が9000イベントに含まれる
• 決定ルールがイベントに含まれる

Application Control Auditing の詳細については、「監査」をご参照ください。

Windows オペレーティング システム条件

Microsoft 更新モデルは、ビルド番号を使用して、機能リリースとサービスパックを特定します。コンピュータ オペレーティング システム ルールを作成するときには、ターゲット ビルド番号を指定し、入力された特定のビルド番号と一致するように構成するか、最大または最小ビルド リリースとして使用することができます。

詳細については、「コンピュータ条件」 をご参照ください。

デジタル証明書チェックで拡張されたメタデータ

メタデータを使用するファイルを検証するときには、管理者が証明書全体を比較し、ファイルの真正と、メタデータを信頼できるかどうかを判断できます。この機能には、リアルタイムの証明書検証が含まれ、異なる組み合わせまたは検証設定を選択することで、問題を診断できます。設定を構成すると、証明書ステータスが更新されます。

詳細については、「メタデータ」と「検証オプション」をご参照ください。

自己昇格の機能強化

自己昇格が拡張され、すべてのファイル タイプをサポートします。管理者は、特定のアプリケ－ションで開くときにのみ、特定のファイル拡張子を昇格できることを指定することもできます。たとえば、wscript.exe でのみ VBS ファイルを昇格できることを指定できます。

詳細については、「自己昇格」をご参照ください。

コマンドライン一致

Application Control は、起動しているアプリケーションだけではなく、任意のコマンドライン引数に基づいて、ルールを適用できます。これは、アプリケーションへのフルアクセスが必要ではなく、特定のユーザが特定のファイルを起動したり、特定の条件でアプリケーションを実行したりする必要がある場合に役立ちます。ファイルと署名ルール項目で、コマンドライン引数を追加できます。

この機能には、PowerShell スクリプトの確認と Java アーカイブの確認という2つの新しい詳細設定も含まれます。これらの設定がオンになると、powershell.exe、powershell_ise.exe、および java(w).exe がブロックされ、PS1および JAR ファイルに信頼できる所有権チェックが適用されません。信頼できる所有者が必要ではないルールに、特定のファイルを追加できます。powershell.exe または java(w).exe をルールに追加し、特定のユーザに対して許可しながら、すべての他のユーザに対してはブロックすることができます。たとえば、開発者に対して powershell.exe を許可し、PowerShell スクリプトを起動できるようにすることができます。

詳細については、「ルール項目」と「詳細設定」をご参照ください。

プロセス保護

Application Control のシステム制御機能が拡張され、プロセスの保護が含まれます。この機能強化を使用して、管理者を含むすべてのユーザが、ウイルス対策ソフトウェアなどの指定されたプロセスを終了しないように保護できます。

詳細については、「システム制御」をご参照ください。

Windows Storeアプリケーション サポートの強化

Windows Store アプリの制御にさらにサポートが追加されました。アプリケーションの発行元に基づいて、アプリケーションをブロックまたは許可できます。サイドロードされたアプリケーションの発行元を使用することは、複数のアプリを制御できることを意味します。これにより、すべてのストア アプリの制限を構成しながら、組織または IT 部門によってサイドロードされたアプリケーションを許可することができます。

詳細については、「ルール項目」をご参照ください。

ルール単位のポリシー変更要求

管理者は、ルール単位で、ポリシー変更要求機能を有効にできます。これにより、変更要求のタイプと使用可能な要求方法を、ユーザまたはユーザのグループごとに、異なる方法で構成できます。電子メール アドレスと共有キーの指定といった機能の一部の要素はグローバルのままです。

詳細については、 「ポリシー変更要求」をご参照ください。