Application Control の新機能

コードの強化およびバグ修正に加えて、以下の機能が組み込まれました。

UAC 置換

UAC 置換機能は、Application Control 内での既存の自己昇格の機能を補完するものです。UAC 置換がオンになっていると、標準 Windows UAC の昇格時のプロンプトが Application Control の構成可能な同意ダイアログに置き換えられます。これは、アプリケーションの起動元が [スタート] メニュー、エクスプローラ、デスクトップ、またはコマンド プロンプトの場合に適用されます。

詳細については、「UAC 置換」をご参照ください。

2020.2グローバル スタイルの更新

2020.2リリースで、既定のグローバル スタイルのデザインが更新されました。新しいスタイルでは、より詳細な情報が収まるように形式が大きくなり、既定のメッセージにはロゴではなく、色分けされたバナーが示されます。

この更新は下位互換性がありますので、以前のクラシック スタイルを引き続き使用することも、必要に応じて既存の構成にスタイル更新を適用することもできます。

詳細については、「メッセージ設定」をご参照ください。

新しい信頼できる所有者によってブロックされるイベント

9060および9061という2つのイベント ID が追加されました。既定では、どちらのイベントも無効です。必要に応じて、これらのイベント ID を使用することで、「信頼できる所有権」によってブロックされた実行要求と、「ルール ポリシー」によって明示的にブロックされた実行要求とを区別できます。

詳細については、「監査」をご参照ください。

新しい管理者プロセス開始イベント

フル管理者権限を使用して開始されたプロセスを識別するためのイベントが追加されています。ID 9062は、要求された昇格された権限を識別する (ことにより、それを評価する) 際に有用である可能性があります。

詳細については、「監査」をご参照ください。

URL リダイレクトでの Edge のサポート

新しい Microsoft Edge (Chromium) ブラウザがサポートされるようになりました。

詳細については、「ブラウザ制御」をご参照ください。

Windows 10の 「アプリと機能」の起動

Windows 10設定の [アプリと機能] ビューで、割り当てられたアクセス許可が適用されます。

詳細については、「システム制御」をご参照ください。

利用しやすくなった詳細情報

このオンライン ヘルプ システムに加え、Ivanti ではオンライン ドキュメント、ヘルプ ビデオ、収集・整理されたコミュニティ記事といった形式で、豊富なサポート情報を提供しています。2020.2リリースでは、これらのリソースを1つの要約表にまとめ、リリースノートやオンライン ヘルプのランディング ページからこの要約表を入手できるようにしました。

コードの強化およびバグ修正に加えて、以下の機能が組み込まれました。

ローカライゼーション

Application Control 2020.1 リリースがローカライズされ、次の5言語に対応するようになりました。

•英語

•ドイツ語

•日本語

•中国語 (簡体字)

•中国語 (繁体字)

必須の言語設定の選択については、 内の「言語設定」ヘルプ トピックに記載されていますUser Workspace Manager。

検索設定

グループやルールセットが追加されるにつれ、構成は非常に大規模になります。ナビゲートしやすいように、テキスト検索を行い、目的の項目が構成内のどこで設定されているかを見つけることができます。

詳細については、「構成の管理」をご参照ください。

Microsoft Windows Server 2019 のサポート

管理サーバ、コンソール、ライセンス コンソール、およびエージェントのコンポーネントはすべて、Microsoft Windows Server 2019 と互換性があります。

サポートされるソフトウェアの詳細については、「管理対象のプラットフォーム マトリクス」をご参照ください。

グループをプロセス ルールに追加

フォルダおよびグループをプロセス ルールに追加することを選択できます。これにより、1つのグループ内のすべてのルールを更新することができます。1つずつ個別に更新する必要はありません。

詳細については、「プロセス ルール」 をご参照ください。

ライブラリへの項目単位の監査サポート

グループのイベント フィルタリングを無効にする新しいオプション。これにより、各グループ項目インスタンスのイベントを記録できるようになりました。このため、グループが複数の場所で使用される場合、各インスタンスには独自の設定があります。この設定は、設定されたすべてのイベント フィルタリングを無効にします。

詳細については、「許可された項目」と「拒否された項目」をご参照ください。

ネットワーク共有をアクセス可能にする

ネットワーク共有のファイルを拒否する新しい既定の設定。ファイルを許可するには、このオプションを選択解除するか、特定の項目を許可リストに追加できます。

詳細については、 「詳細設定」をご参照ください。

Rules Analyzer コマンドライン情報

許可、拒否、および昇格された実行ファイルに関して、Rules Analyzer 結果に含まれるコマンドライン引数。これはトラブルシューティングと、対象が設定されたルールを作成するうえで役立ちます。

ポリシー変更要求

ポリシー変更要求の互換性に対する変更により、Application Control エージェントと Application Control Web サービスは同じバージョンでなくてはならなくなりました。

実行ファイルをブロックするときにメッセージを表示しない

ルール作成時の新しいオプション [拒否するときにアクセス拒否メッセージを表示しない]。管理者は、特定の実行ファイルを意図的にブロックし、「サイレント拒否」を実行することで、アクセス拒否メッセージがユーザに表示されないようにすることができます。

詳細については、拒否された項目をご参照ください。

グループのルール項目を無効にする

ルールを無効にするための新しい右クリック オプション。問題のトラブルシューティングに役立ち、管理者はルールを削除する必要がなくなります。このオプションは[無効]と[有効]を切り替えて、ルールを簡単に再度有効にすることができます。

詳細については、「ルール項目」、「拒否された項目、および「許可された項目」をご参照ください。

自己承認された項目の信頼できる DLL

アプリケーション exe を自己承認すると、すべての後続の DLL が自動的に許可されます。前のバージョンの Application Control では、各子 DLL で自己承認が必要であり、多くの場合、アプリケーションがクラッシュしていました。現在は、ワンクリックで自己承認を完了できます。

詳細については、ルールをご参照ください。

メッセージボックス ネットワーク ポート変数

必要に応じて、ネットワーク ポート番号が [ブロックされたポート] メッセージボックスに表示されます。これは問題のトラブルシューティングで役立ちます。

詳細については、「メッセージ設定」をご参照ください。

ルール項目単位でイベント フィルタリングを無視する

新しいオプションが [イベント フィルタリング] に追加されました。特定のルールでこのオプションが選択されると、[監査] ダイアログでイベント ID が選択されている場合に、イベント フィルタリング設定に関係なく、このルールに対してこのイベントが発生します。このため、ファイル タイプが選択されていない場合でも、このルールのイベントが発生します。

詳細については、「許可された項目」と「拒否された項目」をご参照ください。

一時停止/再開の BitLocker コンポーネント サポート

[ユーザ権限] > [コンポーネント] に新しいオプションが追加され、BitLocker を無効化または一時停止することができます。有効化オプションは再開を含めるように拡張されました。これにより、BitLocker コンポーネントをより詳細に制御できます。

詳細については、「ユーザ権限制御コンポーネント」をご参照ください。

URL リダイレクト ホワイトリスト

URL リダイレクト機能を使用して、ユーザが指定された URL にアクセスしようとするときに自動的にユーザをリダイレクトします。禁止された URL のリストを定義することによって、リストの URL にアクセスしようとするユーザを既定の警告ページまたはカスタム Web ページにリダイレクトします。

この機能は、次の使用例に対応するために、特定の URL をホワイトリストに追加する機能とともに、10.1 FR3で拡張されました。

• 単一ドメイン内でアクセスを制御することもできます。ドメインへのアクセスを禁止しながら、サブドメインへのアクセスが許可されます。たとえば、www.company.com へのアクセスを拒否し、www.company.com/resources へのアクセスを許可することができます。
  
  

URL 許可動画

• 組織のインターネット アクセスを制御するためのホワイトリスト アプローチを実行します。すべてのインターネット サイトへのアクセスを禁止するリダイレクトを作成すると、項目を追加して、スタッフに使用させる Web サイトにアクセスできます。

URL ホワイトリスト動画

この機能の詳細については、「URL リダイレクト」をご参照ください。

255文字のメッセージの制限の削除

エンドユーザに表示されるメッセージの255文字の制限が削除されました。

Application Control コンソールの [メッセージ設定 & アプリケーションの終了] ダイアログで、管理者は、さまざまなメッセージ タイプについて、エンドユーザに表示されるテキストを構成できます。10.1 FR2以前のリリースでは、このテキストは255文字に制限されていました。このリリースでは、この制限が削除され、含めることができる情報が多くなりました。

詳細については、 「メッセージ設定」をご参照ください。

[アプリケーション拒否] メッセージボックスの追加の環境変数のサポート

追加の環境変数は、[アプリケーション拒否] メッセージボックスに表示できます。10.1 FR3以降では、アプリケーション拒否ログに含まれるすべての情報を使用できます。

詳細については、 「アクセス拒否」をご参照ください。

カスタム条件の PowerShell スクリプト

VBScript および JScript の他に、PowerShell スクリプトを作成し、カスタム条件で使用できます。

詳細については、「スクリプト化された条件」 をご参照ください。

ユーザ権限管理の昇格された子プロセスの監査

監査ログは、昇格された子プロセスの詳細を取り込みます。[子プロセスに適用する] オプションを構成で選択すると、主プロセスが昇格した後で、この昇格がすべての子プロセスに適用されます。ただし、10.1 FR2以前のリリースでは、これらの子プロセスの監査がなかったため、関連付けられたアクティビティを把握できませんでした。10.1 FR3監査ログは、主プロセスとすべての子プロセスの両方の詳細を取り込み、監査の可視性を高めます。

[子プロセスに適用する] オプションが使用されるかどうかについては、「ルール項目」と「自己昇格」をご参照ください。

このリリースには、新しい機能はありません。

コンソールのブランドおよび名称変更

Application Manager コンソールが更新され、新しい会社名の Ivanti を反映します。詳細については、ここをご覧ください。AppSense から Ivanti へのブランド変更の他に、このリリースの時点では、Application Manager は Application Control となっています。

Application Control コンソールとエンドポイントのコンポーネントが更新され、これらの変更を反映します。

レジストリやサービスなどの特定の領域では、AppSense Application Manager という名前が使用されている場合があります。Application Control の既存のユーザにとって、移行による中断をできるかぎり少なくするために、このようにしています。

アイコンの更新

バージョン10では、User Workspace Manager コンソールの設計が大幅に変更されたため、フィードバックに耳を傾け、Application Control コンソールで使用されるアイコンの一部を更新することで、はっきりした色をコンソールに追加しました。

監査ログの拡張

Application Control イベント ログが拡張され、次の内容が含まれます。

• ユーザが停止および開始したサービスに関する新しいベント
• 親プロセスが9000イベントに含まれる
• ファイル所有者が9000イベントに含まれる
• 決定ルールがイベントに含まれる

Application Control Auditing の詳細については、「監査」をご参照ください。

Windows オペレーティング システム条件

Microsoft 更新モデルは、ビルド番号を使用して、機能リリースとサービスパックを特定します。コンピュータ オペレーティング システム ルールを作成するときには、ターゲット ビルド番号を指定し、入力された特定のビルド番号と一致するように構成するか、最大または最小ビルド リリースとして使用することができます。

詳細については、「コンピュータ条件」 をご参照ください。

デジタル証明書チェックで拡張されたメタデータ

メタデータを使用するファイルを検証するときには、管理者が証明書全体を比較し、ファイルの真正と、メタデータを信頼できるかどうかを判断できます。この機能には、リアルタイムの証明書検証が含まれ、異なる組み合わせまたは検証設定を選択することで、問題を診断できます。設定を構成すると、証明書ステータスが更新されます。

詳細については、「メタデータ」と「検証オプション」をご参照ください。

自己昇格の機能強化

自己昇格が拡張され、すべてのファイル タイプをサポートします。管理者は、特定のアプリケ－ションで開くときにのみ、特定のファイル拡張子を昇格できることを指定することもできます。たとえば、wscript.exe でのみ VBS ファイルを昇格できることを指定できます。

詳細については、「自己昇格」をご参照ください。

コマンドライン一致

Application Control は、起動しているアプリケーションだけではなく、任意のコマンドライン引数に基づいて、ルールを適用できます。これは、アプリケーションへのフルアクセスが必要ではなく、特定のユーザが特定のファイルを起動したり、特定の条件でアプリケーションを実行したりする必要がある場合に役立ちます。ファイルと署名ルール項目で、コマンドライン引数を追加できます。

この機能には、PowerShell スクリプトの確認と Java アーカイブの確認という2つの新しい詳細設定も含まれます。これらの設定がオンになると、powershell.exe、powershell_ise.exe、および java(w).exe がブロックされ、PS1および JAR ファイルに信頼できる所有権チェックが適用されません。信頼できる所有者が必要ではないルールに、特定のファイルを追加できます。powershell.exe または java(w).exe をルールに追加し、特定のユーザに対して許可しながら、すべての他のユーザに対してはブロックすることができます。たとえば、開発者に対して powershell.exe を許可し、PowerShell スクリプトを起動できるようにすることができます。

詳細については、「ルール項目」と「詳細設定」をご参照ください。

プロセス保護

Application Control のシステム制御機能が拡張され、プロセスの保護が含まれます。この機能強化を使用して、管理者を含むすべてのユーザが、ウイルス対策ソフトウェアなどの指定されたプロセスを終了しないように保護できます。

詳細については、「システム制御」をご参照ください。

Windows Storeアプリケーション サポートの強化

Windows Store アプリの制御にさらにサポートが追加されました。アプリケーションの発行元に基づいて、アプリケーションをブロックまたは許可できます。サイドロードされたアプリケーションの発行元を使用することは、複数のアプリを制御できることを意味します。これにより、すべてのストア アプリの制限を構成しながら、組織または IT 部門によってサイドロードされたアプリケーションを許可することができます。

詳細については、「ルール項目」をご参照ください。

ルール単位のポリシー変更要求

管理者は、ルール単位で、ポリシー変更要求機能を有効にできます。これにより、変更要求のタイプと使用可能な要求方法を、ユーザまたはユーザのグループごとに、異なる方法で構成できます。電子メール アドレスと共有キーの指定といった機能の一部の要素はグローバルのままです。

詳細については、 「ポリシー変更要求」をご参照ください。