構成
このセクションの内容
構成
Application Control 構成ファイル (AAMP) には、システムを保護するためのルール設定があります。構成ファイルは管理されたデバイスにインストールされ、Application Control エージェントがファイル実行要求を処理する方法を評価するためのポリシー チェックリストとして機能します。ファイルが実行されるときに、Application Control が要求を傍受し、構成をチェックして、適切な一致ルールと実行する必要な処理を検索します。構成で指定された他の既定のポリシーも適用されます。たとえば、特定のファイル実行タイプのイベント フィルタリングまたは処理のほかに、既定のルールルール、監査ルール、メッセージ通知の表示方法、アーカイブ オプションなどの一般ポリシーなどが適用されます。
構成はオペレーティング システムによって異なる場所にローカルで保存され、NTFS セキュリティによって保護されます。Windows 7以上:C:\ProgramData\AppSense\Application Manager\Configuration
スタンドアロン モードでは、構成変更が Application Control から直接ローカル AAMP ファイルに書き込まれます。エンタープライズ モードでは、構成を作成し、Management Center データベースに一元的に保存して、管理サーバ経由で MSI 形式でエンドポイントに配布できます。構成を MSI ファイル形式間でエクスポートおよびインポートすることもできます。これは、サードパーティの配布システムを使用してテンプレートを作成したり、構成を配布したりする際に役立ちます。
構成を作成または修正した後に、最新の設定を含む構成を保存し、設定が実装されていることを確認する必要があります。
構成要素
ライブラリ
アプリケーション マネージャ ライブラリ ノードでは、構成ルールで使用できる項目のグループを作成できます。ライブラリを使用して、管理する類似した項目のグループを作成します。ライブラリが作成されると、ルールに割り当て、ユーザのグループを統制するために使用できます。ライブラリ ノードには次の項目があります。
-
グループ管理 - グループ管理ノードでは、ファイル、フォルダ、ドライブ、署名ファイル、Windows Store アプリ、1つの特定のアプリケーションのネットワーク接続など、多数の項目をグループ化できます。このグループをルールの許可および拒否された項目リストに追加できます。
- ユーザ権限ポリシー - ユーザ ノードでは、ユーザ権限ポリシーを追加して、個別のアプリケーションの管理者権限を選択的に昇格または降格することができます。
ルール
ルール ノードには、ファイル実行を処理するための既定の設定と、特定のユーザ、グループ、またはデバイスに適用される特定の設定があります。グループ、ユーザ、デバイス、カスタム、スクリプト、およびプロセス ルールでは、ルールと一致するユーザ、グループ、デバイスに適用される制限を指定するセキュリティレベル設定を指定できます。カスタム ルールは、特定のデバイスの集合で動作する特定のユーザまたはグループの組み合わせを対象にします。スクリプト化されたルールでは、管理者が、Windows PowerShell または VBScript スクリプトの結果に基づいて、許可された項目または拒否された項目をユーザに適用できます。スクリプトは各個別のユーザ セッションに対して実行するか、コンピュータにつき1回実行できます。プロセス ルールでは、他のルールでは異なる方法で管理される場合がある子プロセスを実行するためにアプリケーションのアクセスを管理できます。許可された項目、拒否された項目、信頼できるベンダ、ユーザ権限、ブラウザ制御ノードを追加できます。
- 許可された項目と拒否された項目 — 特定のファイル、フォルダ、ドライブ、デジタル署名を入力して管理できる、各ルールのサブノード リスト。さらに詳細なレベルでファイル実行要求を制御できます。たとえば、ルールで対象となるユーザまたはデバイスの、通常は信頼できる所有権チェックが拒否する項目を許可できます。同様に、通常は許可される項目を拒否できます。
- 信頼できるベンダ — 信頼できるソースによって発行されたデジタル証明書を入力できる各ルールのサブノード リスト。信頼できる所有権チェックが失敗したファイルは、デジタル証明書の存在が確認され、信頼できるベンダ リストとの一致があるときに実行が許可されます。たとえば、非常に制限されたユーザは、通常のルール条件では、システムでの実行ファイルの実行が禁止されていますが、時々特定のソースからのソフトウェア更新のダウンロードと実行が必要になる場合があります。ダウンロードされたファイルに信頼できるベンダ リストの証明書と一致するデジタル証明書が含まれる場合、ファイルの実行が許可されます。
- ユーザ権限 - ユーザ権限ポリシーを適用するために、アプリケーション、コンポーネント、Web インストールを入力できる各ルールのサブノード リスト。ユーザ権限ポリシーでは、個別のアプリケーション、コンポーネント、Web インストールの管理者権限を選択的に昇格または降格できます。
- ブラウザ制御 - URL リダイレクトを適用できる URL を入力する各ルールのサブノード リスト。Internet Explorer の昇格されたインスタンスを開く URL を指定して、特定のドメインから ActiveX インストーラの管理者権限への昇格を許可できます。
既定の構成
Application Control は、クライアント コンピュータにエージェントと構成をインストールするとすぐに、セキュリティを管理する準備ができています。コンソールを実行するときに既定の構成が読み込まれ、構成が配布されるすべてのクライアント コンピュータで即時保護を行うために使用できます。この構成は信頼できない所有者のファイルをブロックし、ネットワーク ロケーションやリムーバブル メディアなどの安全ではない場所で非管理者ユーザが実行ファイルにアクセスすることを防止します。
既定の構成は、コンソール経由で、直接スタンドアロン モードでクライアント コンピュータに保存するか、配布準備が完了したエンタープライズ モードで動作しているときには配布メカニズムのデータベースに保存することができます。
保護
- すべてのアプリケーションとプロセス実行要求は、アクセスが付与される前に、Application Control ルールに対して確認されます。
- Application Control ルールで許可されていない場合、すべてのアプリケーションとプロセス ネットワーク アクセス要求は禁止されます。
- Local Administrators グループのメンバーは、アプリケーションへの無制限アクセスが付与されます。
- 非管理者ユーザ グループのメンバーは、アプリケーションへの制限付きアクセスが付与されます。
- バッチ ファイルで実行されるときには、CMD.exe がブロックされます。
- MSI、WSH、レジストリ ファイルは、Application Control ルールに対して検証されます。
- Windows インストーラ (msiexec.exe) は、DLL および EXE 拡張子のすべての子プロセスを実行できます。
既定の構成設定
| 設定 | 値 | 説明 | |
|---|---|---|---|
| 詳細設定
|
ポリシー設定
|
一般機能
|
|
検証
|
一部のプロセス検証はパフォーマンスに影響する可能性があり、既定では無効です。
|
||
機能
|
|
||
| アプリケーションの終了 | アプリケーションを閉じて終了する設定。 トリガ、ユーザへの警告メッセージ動作、および警告メッセージ通知を設定します。 |
既定では無効です。 | |
| ライブラリ
|
グループ管理ノード | ルールに割り当てるためのアプリケーションの再利用可能なグループを作成します。 | 既定の設定がありません。 |
| ユーザ権限ポリシー | ユーザ権限を昇格または制限する、再利用可能なユーザ権限ポリシー。 ファイル、フォルダ、署名、ドライブ、およびルールのアプリケーション グループに割り当てます。 |
既定の設定がありません。 | |
| 管理者 | Local Administrator グループ ルールは、ローカル管理者のアプリケーションへのアクセスを管理します。 |
|
|
| すべてのユーザ | ユーザが優先度の高い設定の他のルールと一致しないかぎり、すべてのシステム ユーザ用のグループ ルール。 |
|
|
| プロセス | Windows インストーラ (msiexec.exe)
|
|