プロセス ルール

[プロセス] ノードでは、セキュリティ制御ルールを特定の要求プロセスと照合できます。プロセス ルールでは、他のルールでは異なる方法で管理される場合がある子プロセスを実行するためにアプリケーションのアクセスを管理できます。許可された項目、拒否された項目、信頼できるベンダ、およびユーザ権限管理をルールに追加できます。

詳細については、「ルール項目」をご参照ください。

ファイル、フォルダ、ドライブ、署名項目、ネットワーク接続項目、アプリケーション グループを管理された項目として、プロセス ルールの許可された項目および拒否された項目リストに追加できます。

プロセス ルールは、子プロセスの子ではなく、アプリケーションで実行される子プロセスの最初のレベルのみを管理します。プロセスはアプリケーションを管理しません。アプリケーションが別のプロセス ルールの子プロセスで管理されないかぎり、これは他のルールで管理する必要があります。

プロセス ルールの作成

プロセス ルールは、アプリケションの起動、コンポーネントの読み込み、またはネットワーク リソースへのアクセスを試行しているアプリケーションに適用されます。プロセス ルールは、特定のアプリケーションの実行を許可しますが、特定のプロセスで起動されると実行を禁止します。

  • ルールは、アルファベット順ではなく、作成順に表示されます。
  • プロセス ルール名は一意である必要があります。同じ名前の2つのプロセス ルールを作成することはできません。
  • プロセスは重複できません。
  • プロセス ルールの切り取り、コピー、貼り付けはできません。

  1. [ルール] リボンで、[ルールの追加] > [プロセス ルール] を選択します。

    プロセス ルールが作成されます。次の4つのルール項目から構成されています。許可された項目、拒否された項目、信頼できるベンダ、ユーザ権限。

  2. 新しいプロセス ルール右クリックし、[名前の変更] を選択します。
  3. ルールに直感的な名前を指定します。

  4. 任意のセキュリティレベルを適用します。制限、監査のみ、無制限。

    詳細については、「セキュリティ レベル」 をご参照ください。

  5. プロセスをプロセス ルールに追加します。
  6. 項目をプロセスに追加します。

プロセスをプロセス ルールに追加

プロセス ルール作業領域を使用して、プロセスをプロセス ルールに追加します。この領域内のリストにあるプロセスは、ルール処理中に使用され、ルールを要求のプロセス発生元と照合します。

最初の例は、プロセス ファイルまたは署名の名前と場所を示します。2番目の列にはプロセスの署名 (該当する場合) があります。3番目の列は、プロセスの説明 (ある場合) を示します。

  1. プロセス ルールを選択します。

    プロセス ルール作業領域が表示されます。

  2. [ルール] リボンで [プロセスの追加] ドロップダウン矢印を選択し、必要なプロセスを追加することを選択します。

    ファイル

    フォルダ

    署名

    グループ

    1度に複数のファイルを追加できます。Windows エクスプローラまたは別のファイル マネージャからファイルをドラッグし、切り取り、コピー、貼り付けができます。

    一時的に無効にするプロセスがある場合は、状態を切り替えることができます。このためには、プロセスを選択し、右クリックして、[状態の変更] > [無効にする/有効にする] を選択します。 これでプロセスを削除して、もう一度追加する必要がなくなります。これはトラブルシューティングにも役立つツールです。

    プロセスは重複できません。

許可または拒否された項目をプロセス ルールに追加

許可された項目と拒否された項目には、ファイル、フォルダ、ドライブ、署名、Windows Store アプリ、およびネットワーク接続項目が含まれることがあります。これらにはグループを含めることもできます。

  1. 目的のプロセス ルールを選択します。
  2. [ルール項目] リボンの [項目の追加] ドロップダウン矢印をクリックして、[許可] または [拒否] を選択します。
  3. 次に、追加する項目のタイプを選択します。

    ファイル

    フォルダ

    ドライブ

    署名項目

    ネットワーク接続項目

    Windows Store アプリ

    グループ

    グループには多数の項目を含めることができます。たとえば、特定のアプリケーションのすべてのファイル、フォルダ、ドライブ、および署名ファイル項目です。

    一時的に無効にする項目がある場合は、状態を切り替えることができます。このためには、項目を選択し、右クリックして、[状態の変更] > [無効にする/有効にする] を選択します。 これで項目を削除して、もう一度追加する必要がなくなります。これはトラブルシューティングにも役立つツールです。

例:プロセス ルールを使用して FTP へのアクセスを制限

たとえば、特定のアプリケーションによる FTP のアクセスなどを許可するには、プロセス ルールを使用できます。

この例は、プロセス ルールを使用して、特定のアプリケーションにのみ FTP ポート20および21へのアクセスを許可する方法について示します。最初の手順では、指定するグループを作成します

  1. グループ管理ノードを選択します。
  2. [グループ] リボンで [グループの追加] を選択します。
  3. 新しいグループを選択して右クリックし、[名前の変更] を選択します。
  4. 「FTP ポートの指定」などのわかりやすい名前にグループ名を変更します。

  5. [グループ] リボンで [項目の追加] ドロップダウン矢印を選択し、[ネットワーク接続] を選択します。

    [ネットワーク接続の追加] ダイアログが表示されます。

  6. [ホスト] フィールドでホストを指定します。
  7. [ポート] フィールドの右側で [ポート] ボタンを選択します。[共通ポート] ダイアログが表示されます。
  8. ポート20および21を選択します。[FTP - データ ポートおよび FTP - 制御ポート] を選択し、[追加] をクリックします。
  9. [テキストにワイルドカード文字を含める] オプションを選択し、[追加] をクリックします。
  1. 最上位のプロセス ルール ノードを選択します。
  2. [ルール] リボンで [ルールの追加] ドロップダウン矢印を選択し、[プロセス ルール] を選択します。
  3. 新しいプロセス ルールを選択して右クリックし、[名前の変更] を選択します。
  4. 「FTP アクセス不可」などのわかりやすい名前をルールに付けます。

  5. プロセス作業領域内を右クリックし、[追加] > [ファイル] を選択します。

    [ファイルの追加] ダイアログが表示されます。

  6. [ファイル] フィールドに * を入力し、[追加] をクリックします。これは、すべてのファイルがFTP20および21ポートにアクセスできないようにブロックすることを示します。の使用
  7. 新しいプロセス ルール ノードを展開します。
  8. 拒否された項目ノードを選択します。
  9. [項目の追加] ドロップダウン矢印を選択し、[拒否] > [グループ] を選択します。ダイアログボックスのグループ選択が表示されます。
  10. グループの作成手順で作成されたグループを選択し、[追加] をクリックします。このルールにより、すべてのアプリケーションのFTP ポート20および21へのアクセスが禁止されます。
  1. 最上位のプロセス ルール ノードを選択します。
  2. [ルール] リボンで [ルールの追加] ドロップダウン矢印を選択し、[プロセス ルール] を選択します。
  3. 新しいプロセス ルールを選択して右クリックし、[名前の変更] を選択します。
  4. 「FTP アクセス可」などのわかりやすい名前をルールに付けます。

  5. [プロセス] 作業領域で、[追加] > [ファイル] を右クリックして選択します。

    [ファイルの追加] ダイアログが表示されます。

  6. Internet Explorer など、FTP へのアクセスを許可するファイルを参照して選択します。
  7. 必要な場合、新しいプロセス ルール ノードを展開します。
  8. 許可された項目ノードを選択します。
  9. [項目の追加] ドロップダウン矢印を選択し、[許可] > [グループ] を選択します。ダイアログのグループ選択が表示されます。
  10. グループの作成手順で作成されたグループを選択し、[OK] をクリックします。このルールにより、指定されたアプリケーションが FTP 20および21ポートにアクセスできるようになります。
  1. グループ ノードを展開し、BUILTIN\Administrators を選択します。グループ ルール作業領域が表示されます。
  2. セキュリティ レベル スライダを制限までドラッグします。

構成を保存します。手順で指定されたアプリケーションのみ FTP ポート20および21にアクセスできます。他のアプリケーションはいずれもアクセスできません。

関連トピック

許可された項目

拒否された項目