詳細設定
詳細設定には [管理] リボンからアクセスし、グローバル設定を Application Control 構成ファイルに割り当てることができます。[ポリシー設定] および [カスタム設定] タブを使用して、目的のグローバル コンポーネントを指定します。
このセクションの内容
ポリシー設定
Application Control ポリシー設定は [詳細設定] ダイアログで使用でき、すべてのアプリケーションおよびプロセス実行要求に適用する一般的な Application Control 設定を提供します。
一般機能
| オプション | 説明 |
|---|---|
| 既定でローカル ドライブを許可する | ローカル ドライブの構成の既定はブラックリストです。つまり、ローカル ドライブのすべての項目は、信頼できる所有権確認で失敗するか、拒否された項目 リストで指定されていないかぎり、許可されます。このオプションをオフにすると、構成をホワイトリストにし、許可された項目 リストで指定されていないかぎり、ローカル ドライブのすべての項目がブロックされるようにします。 |
| バッチ ファイルの cmd.exe を許可する | 管理者が Application Manager 構成で明示的に cmd.exe を禁止していることが想定されます。cmd.exe が拒否され、[バッチ ファイルの cmd.exe を許可する] が無効であるときには、バッチ ファイルが評価され、Application Manager ポリシーがない場合はブロックされます。オプションが未選択で、cmd.exe が明示的に拒否されている場合には、すべてのバッチ ファイルがブロックされ、評価されません。このオプションが選択され、cmd が明示的に拒否されている場合は、cmd.exe は実行できませんが、バッチ ファイルは Application Control ルールに対して評価されます。cmd.exe が明示的に拒否される場合は、このオプションのオン/オフに関係なく、すべてのバッチ ファイルが実行されます。 |
| ログオン中に制限を無視する | ログオン中には、コンピュータが多数の基本アプリケーションを実行する場合があります。これらを無視すると、コンピュータが正常に動作しないか、まったく動作しない可能性があります。このため、既定ではこのオプションは有効です。 |
| 自己解凍 ZIP ファイルを展開する | 自己解凍ファイルは、ZIP ファイルとそれを展開する小さいプログラムが含まれる実行ファイルです。これらのファイルは、MSI ファイルでアプリケーションをインストールする代わりに使用されることがあります。多くの管理者は、MSI ファイルでのみアプリケーションをインストールします。 ZIP 仕様を使用する自己展開型 EXE 形式のみがサポートされます。詳細については、「ZIP 仕様」をご参照ください。 [自己解凍 ZIP ファイルを展開する] オプションでは、自己解凍 ZIP ファイルである、拒否された実行ファイルを ZIP 解凍ツールで展開できます。このオプションがオフ (既定) の場合、ファイルには実行ファイルのように標準ルール処理が適用されます。内容が展開された後、含まれるすべての実行ファイルの内容にも標準の信頼できる所有権チェックが適用され、ユーザが信頼できる所有者でない場合、実行できません。これは、自己解凍 ZIP ファイルにユーザが必要な文書などの非実行ファイルが含まれる可能性がある場合に有用です。既定では、このオプションはオフです。自己解凍 ZIP ファイルは標準実行ファイルとして処理され、実行 (内容の展開) できなくなり、標準ルール処理が適用されます。 |
| Active Setup 中の制限を無視する | 既定では、Active Setup 中に実行されるすべてのアプリケーションに、Application Control ルールが適用されます。このオプションをオンにすると、Active Setup フェーズ中に、これらのアプリケーションのルール ルールが除外されます。 |
| リムーバブル メディアでファイルを拒否する |
このオプションをオフにすると、リムーバブル メディアの制限が削除されます。リムーバブル メディアは、GetDriveType の呼び出しによって決定されます。リムーバブル メディアの本質から、エンドポイントの設定方法によっては、ドライブ文字が変更される場合があります。例:リムーバブル メディアが E: ドライブになるドライブや、F: になるコンピュータがあります。 この設定有効なときには、リムーバブル メディアのファイルのみが署名ルールで許可されます。 |
| ネットワーク共有のファイルを拒否する | ネットワーク共有の構成の既定はホワイトリストです。つまり、ネットワーク共有のすべての項目は、許可された項目 リストで指定されていないかぎり、拒否されます。このオプションをオフにすると、構成がブラックリストになります。ネットワーク共有のすべての項目は、信頼できる所有権確認で失敗するか、拒否された項目 リストで指定されていないかぎり、許可されます。 |
検証
機能
| オプション | 説明 |
|---|---|
| アプリケーション アクセス制御を有効にする | 選択すると、アプリケーション アクセス制御を有効にします。選択解除すると、実行ファイルを検証またはブロックしません。 |
| アプリケーション ネットワーク アクセス制御を有効にする | 選択すると、アプリケーション ネットワーク アクセス制御機能を有効にします。選択解除すると、送信ネットワーク接続を検証またはブロックしません。 |
| ユーザ権限管理を有効にする | 選択すると、ユーザ権限管理機能が有効になります。選択解除すると、ユーザ権限ポリシーを適用しません。このオプションをオフにすると、オペレーティング システムによって、すべてのアプリケーションを既定で提供されている権限と許可を許可使用して実行できます。Application Control はルールの [ユーザ権限] セクションのすべてを無視し、ユーザの権限を変更または修正しません。 |
| URL リダイレクトを有効にする | 選択すると、URL リダイレクト機能が有効になります。このオプションをオフにすると、構成されたリダイレクトは無視され、不審な URL または望ましくない URL を入力すると、ユーザはリダイレクトされません。構成した URL 許可も実行されません。このオプションをオフにすると、ブラウザ制御ポリシーで項目を設定せずに、この機能を選択する場合と同じ効果があります。この機能を無効にすると、ブラウザ拡張が無効になります。「ブラウザ制御」をご参照ください。 |
署名
| オプション | 説明 |
|---|---|
| アルゴリズム |
アルゴリズム タイプを選択します。3つのオプションがあります。 •SHA1 •SHA256 •Adler32 詳細については、「署名ハッシュ」をご参照ください。 |
カスタム設定
カスタム設定では、Application Control 構成が配布されるときに、管理されたエンドポイントで適用される追加の設定を構成できます。新しいカスタム設定を含む新しい構成が配布される場合は、エンドポイントの既存のカスタム設定が削除されます。
カスタム設定の管理
- Application Control コンソールで構成を開き、[管理] リボンに移動します。
-
[詳細設定] をクリックし、[カスタム設定] タブを選択します。
[詳細設定の構成] ダイアログが表示されます。
- [カスタム設定] タブを選択し、[追加] をクリックして、詳細設定のリストを表示します。
-
構成する設定を選択し、[OK] をクリックします。
-
選択した設定は、[詳細設定の構成] ダイアログに追加されます。
追加される設定は、エンドポイントで構成されます。ただし、既にエンドポイントに存在する設定は使用されます。
- 必要に応じて、値を設定します。
- OK をクリックします。
構成が管理されたエンドポイントに配布されると、設定が適用されます。
使用可能なカスタム設定
Application Control には、次の構成可能なカスタム設定があります。
| 設定 | データ型 | 説明 |
|---|---|---|
| ADComputerGroupMembershipTimeoutSecs | 数値 | ネストされたコンピュータ グループ ルックアップのタイムアウト (秒)。既定設定は120秒です。この値を0にすると、タイムアウトが無効になります。 |
| ADQueriesEnabled | 数値 | この設定は、システムの識別名とコンピュータ グループ メンバーシップを決定するために使用される AD クエリのタイプを制御します。 値を0にすると、AD へのクエリと、構成でのコンピュータ グループと OU の使用が無効になります。 既定値の1では、エージェントが識別名と直接 (ネストなし) コンピュータ グループ AD クエリの両方を実行します。構成のネストされたコンピュータ グループは無視されます。 値2では、エージェントが識別名、直接、ネストされたコンピュータ グループ AD クエリの両方を実行します。この設定では、高 CPU 利用率のため、DC でパフォーマンスの問題が発生する可能性があります。 |
|
AgentAssistWaitTime |
数値 |
Agent Assist プロセスの開始を待機する際のタイムアウト (秒)。この値を0に設定すると、タイムアウトは無効になります。 |
| AlternateTOCheck | 数値 | サードパーティ フィルタ ドライバがシステムにインストールされるときには、信頼できる所有権チェックで、SYSTEM プロセスの CPU 利用率が過剰になることがありました。この設定を有効にして、値1を使用すると、Application Control は信頼できる所有権を検索するための代替方法を使用します。これにより、この問題が軽減される場合があります。 |
| AMFileSystemFilterFailSafe | 数値 | この設定は、ファイル システム フィルタ ドライバがフェールセーフまたはフェール セキュア モードのどちらで動作するかどうかを構成します。エージェントの問題があり、応答が停止した場合は、ドライバはフェールセーフ モードで切断し、これ以上要求を傍受しません。値1はフェールセーフ、0はフェールセキュアを示します。フェールセーフが既定です。この設定を変更するには、エージェントを再起動して、有効にする必要があります。 |
| AppHookDelayLoad | テキスト | この設定では、構成可能な遅延時間 (ミリ秒) 後に、AmAppHook Dll を読み込みます。この設定は、ファイル名単位で構成されます。形式は <filename+extension>,<delay> です。ファイル名と拡張子にはワイルドカードを使用できます。各ペアはセミコロン区切りです。たとえば、「calc.exe,2000;note*.exe,6000」です。 |
| AppHookEx | テキスト | Application Control は、Application Network Access Control (ANAC) 機能の一部として、Windows フックを使用します。ごくまれに、フック時に、予期しない動作が表示されることがあります。この設定は、ANAC 固有の関数がフックされないため、ANAC ルールが適用されないアプリケーションのリストです。 AppHookEx と UrmHookEx の両方でアプリケーション名が指定されている場合、AmAppHook.dll は読み込まれません。複数のエントリはセミコロン (;) で区切られます。 |
| AppInitDllPosition | 数値 | この設定を使用して、AsModLdr ドライバまたは Appinit レジストリ キーが Application Control フックを挿入するために使用されるかどうかを指定します。この設定は、AppInit_DLL レジストリ値の AMLdrAppinit.dll の位置を決定するためにも使用されます。 次の値のいずれかを選択します。
この設定は、Ivanti サポート チームの指示に従って使用してください。 |
|
AssumeActiveSetupDespiteCitrix |
数値 |
この設定により、クライアントのログイン時に Citrix の関与を検出するために実行されるチェックを制御します。指定できる値は1または2です。 •1 - 拒否されたアプリが確実に妨げられるようにするための厳しいチェックを適用します。 •2 - Citrix が検出された場合は、除外されている Active Setup を信頼する メモ: クライアントがログオン時に Citrix を使用していることが検出された場合、Application Control は、(ユーザ ログオンの対象が Windows ではなく Citrix であるという理由から) Windows Active Setup が開始されないものと見なします。ただし、特定の状況下では、ブロックしたアプリの実行が許されている場合があります。つまり、[Active Setup 中の制限を無視する] が適用されている場合、クライアントは発行済みのアプリを使用していて、エクスプローラが実行されます。このキー値を1に設定することで、このシナリオに対処できます。 |
| BaseConfigMergeBehavior | テキスト | 新しい configuration.aamp が既存の merged_configuration.aamp を置換または再マージするかどうかを制御するために使用します。この設定の許可された値は、replace および remerge です。 GPO を使用してマージすると、Replace 値が無視され、自動的に既定の Remerge になります。 |
| BrowserAppStorePort | 数値 | ブラウザ制御 Chrome 拡張のインストールを許可するために使用されるポートを入力します。 |
| BrowserCommsPort | 数値 | ブラウザ拡張がエージェントと通信するために使用されるポートを入力します。 |
| BrowserExtensionInstallHive | 数値 | この技術設定により、管理者は、Application Control Chrome ブラウザ拡張がインストールされるレジストリ ハイブを選択できます。オプションは次のとおりです。
0の場合、管理者は独自の企業アプリストアを手動で構成し、Application Control Chrome 拡張を配布する必要があります。既定の動作は2です。Chrome 拡張が HKCU にインストールされます。 |
| BrowserHookEx | テキスト | 値を「Chrome.exe」に設定すると、Application Control ブラウザ フック (BrowserHook.dll) の挿入を停止することができます。ブラウザ フックにより、Chrome 拡張が Application Control エージェントとの接続を確立するまで、すべてのネットワーク通信が防止されます。 このカスタム設定によってコア機能が影響を受けることはありません。 |
|
BrowserInPrivatePolicyManage |
数値 |
既定では、サポートされている Chromium ベースのブラウザのプライベート ブラウジング* ポリシー設定は、次のように Application Control で管理されます。 •ブラウザ制御機能が構成されている場合は、プライベート ブラウジングが無効になります •ブラウザ制御機能が構成されていない場合は、プライベート ブラウジングが有効になります プライベート ブラウジング ポリシーを外部的に制御する場合は、値を0 (無効) に設定します。 * InPrivateModeAvailability (Edge) および IncognitoModeAvailability (Chrome)。 |
| BrowserNavigateEx | テキスト | ナビゲーション イベント処理を回避するナビゲーション URL のパイプ (|) 区切りのリスト。このリストの URL には URL リダイレクトが適用されません。 |
| ComputerOUThrottle | 数値 | この設定は、同時クエリ数を制限することによって、組織単位メンバーシップを確認するために、接続クライアントごとの Active Directory ルックアップを制限します。この調整により、多数の接続クライアントを処理する場合に、ドメイン上のクエリ トラフィック量を削減することができます。この値は0~65535に設定します。 |
| ConfigFileProtection | 数値 | 構成 AAMP ファイルとマージされた構成フォルダをロックし、不正ユーザによる構成の更新を防止します。この機能は既定では無効です。この機能は既定で無効になっています - 値を1に設定すると、有効になります。 テスト環境でこの設定を適用するときには注意してください。構成を更新できないため、オフにできない場合があります。この場合は、Ivanti サポートまでお問い合わせください。 |
| DFSLinkMatching | 数値 | DFS リンク パスをルールに追加できます。DFS リンクと DFS ターゲットは、一致する個別の独立した項目として処理されます。ルールを適用する前に、リンクからターゲットに変換されません。この値を1に設定すると、DFS リンク一致が有効になります。 |
| DirectHookNames | テキスト | Application Control の Windows フックは、既定で、user32.dll を読み込むすべてのプロセスに読み込まれます。この DLL を読み込まないアプリケーションはフックされません。user32.dll を読み込まないすべてのアプリケーションは、完全パスまたはファイル名のカンマ区切りリストの一部として、この設定に含めてください。 |
| DisableAppV5AppCheck | 数値 | 既定では、AppV5を使用して起動されるアプリケーションは、信頼できる所有権チェックから除外されます。この設定を使用すると、値1の場合に、この動作が無効になります。 |
| DisableCustomRulesPreCheck | 数値 | この設定により、各カスタム ルール コレクションのポリシー内で構成される項目のみが処理されるため、カスタム ルール チェックのパフォーマンスが向上します。既定では、この設定はオフであり、「0」に設定されています。値を「1」に設定すると、カスタム ルール経由ですべての潜在的な要求が許可されます。 |
| DisableDNSLookup | 数値 | Application Network Access Control (ANAC) コンポーネントは、プロキシ DNS サーバの形式によっては互換性がないことがあります。1に設定すると、Application Control は DNS ルックアップを実行せず、プロキシ DNS サーバが使用される場合の予期しないシャットダウンやエラーを削減します。 |
| DisableSESecondDesktop | 数値 | 既定では、自己昇格の監査ダイアログはメインデスクトップに表示されます。2番目のデスクトップにダイアログを表示し、Windows UAC の動作をエミュレートするには、値を0に設定します。 このカスタム設定は廃止予定であり、将来のリリースで削除されます。 |
| DoNotWalkTree | 数値 | 既定では、プロセス ルールは親キー全体の一致を確認します。この設定は、プロセス ルールに対して、プロセスの直接の親のみを確認し、ツリー全体を確認しないように指示します。値1はこの設定を有効にします。 |
| DriverHookEx | テキスト |
Application Control Hook (AMAppHook.Dll) が挿入されないアプリケーションのセミコロン区切りのリスト。Application Control では、特定の機能が動作するために、フックを読み込む必要があります。このカスタム設定は、Ivanti テクニカル サポートの指示に従って使用してください。 メモ: 権限管理要求、アプリケーション ネットワーク アクセス制御要求、アプリケーション アクセス制御 - スクリプト ホスト処理要求、およびポリシー変更要求は、リスト内にあるアプリケーション、または親プロセスがリスト内にあるアプリケーションに対しては機能しません。 |
| EnableCustomRulesDllChecking | 数値 |
既定では、この設定はオフ (0に設定) であり、実行ファイルと URL のみが処理されます。この設定は、DLL がルール コレクション経由で許可されるかどうかを制御するため、カスタム ルール チェックのパフォーマンスが改善されます。値を1に設定すると、既定のほかに、すべての DLL の処理が許可されます。 メモ: この設定を有効にすると、パフォーマンスに影響する可能性があります。代替ソリューションとして、プロセス ルールを使用することをご検討ください。 |
| EnableScriptPreCheck | 数値 | スクリプト化されたルール内のスクリプトが処理されている間には、false 値を返したかのように処理されます。スクリプトの時間は、コンテンツに応じて変わります。この設定では、スクリプトの結果に依存するすべての項目が遅延しないため、コンピュータの起動中とユーザ ログオン中に最善のパフォーマンスを実現します。値を1に設定すると、該当するスクリプトが完了するまで、処理が待機します。これにより、コンピュータ起動時とユーザ ログオン時の速度が大幅に低下します。 Application Control はスクリプトの結果を無限に待機しません。30秒のタイムアウトが適用されます。 |
| EnableSignatureOptimization | 数値 | この設定により、署名を使用するときに、ルール チェックのパフォーマンスが改善されます。完全パスと一致しないファイルはハッシュ化されません。同じファイルではないと想定されるためです。1に設定すると、有効になります。 この設定と ExtendedAuditInfo を有効にすると、監査メタデータにハッシュ化されたファイル名が表示されません。 |
| ExplicitShellProgram | テキスト | この設定は、アプリケーション アクセス制御 (AAC) によって使用されます。Application Control は、セッションがログオン済みであると見なされるためのトリガとして、シェル プログラム (既定では explorer.exe) の起動を処理します。別の環境と技術ではシェル アプリケーションが変わることがあり、場合によっては、エージェントがシェル プログラムの内容を検出できないことがあります。Application Control は、既定のシェル アプリケーション以外に、このリストのアプリケーションを使用して、セッションがログイン済みであると見なされるときを判断します。これは、完全パスまたはファイル名へのセミコロン区切りのリストです。 |
| ExProcessNames | テキスト | フィルタ ドライバから除外されるスペース区切りのファイル名のリスト。 この設定を変更するには、エージェントを再起動して、有効にする必要があります。 |
| ExtendedAuditInfo | 数値 | この設定は、監査されたイベントのファイル情報を拡張します。監査されたイベントの各ファイルの Secure Hash Algorithm 1 (SHA-1) ハッシュ、ファイルサイズ、ファイルと製品バージョン、ファイル説明、ベンダ、会社名、製品名を報告します。この情報は、イベント ログのファイル名の直後に追加されます。既定ではこの設定はオンです。オフにするには、値0を入力します。 EnableSignatureOptimization 設定が有効なときには、ハッシュまたはチェックサムの生成は無効です。 |
| ForestRootDNQuery | 数値 | 値を1に設定すると、Application Control エージェントがフォレスト ルート クエリを実行できます。クエリには、デバイス ルールの OU およびコンピュータ グループ メンバーシップの目的で、接続デバイスの識別名を決定するための追跡参照が含まれます。 |
| ImageHijackDetectionInclude | テキスト | 子イメージが破損または修正されずに実行され、最初に要求されたイメージと一致することを保証するために、すべての子プロセスが検証されるプロセス名のリスト。これは、完全パスまたはファイル名へのセミコロン区切りのリストです。 子プロセスが検証されていないは終了され、イベント (ID 8005) がローカル アプリケーション イベント ログで監査されます。 |
| MultipleHostsSameIP | 数値 | Application Network Access Control (ANAC) が同じ IP アドレスの複数のホストで動作できます。ドメイン名と IP アドレスへのキャッシュを取得し、同じサーバから実行されるときには別のドメインの動作が許可されます。値1に設定すると、有効になります。 |
| NetEnableRevDNS | 数値 | この設定は Application Network Access Control (ANAC) によって使用され、ネットワーク リソースへの各アクセス要求に対して、グローバルにリバース DNS ルックアップを有効にします。この設定を有効にすると、NetEnabledRevDNSList および RevDNSList 設定が上書きされます。値1に設定すると、有効になります。 この機能には、管理者が企業の DNS サーバで逆ルックアップ ゾーンを有効にし、構成する必要があります。 |
| NetEnableRevDNSList | 数値 | この設定は Application Network Access Control (ANAC) によって使用され、RevDNSList にある IP アドレスのみを対象としたリバース DNS ルックアップを有効にします。この設定は、RevDNSList 設定とともに使用する必要があります。値1を設定すと、有効になります。 この機能には、管理者が企業の DNS サーバで逆ルックアップ ゾーンを有効にし、構成する必要があります。 |
| OwnershipChange | 数値 | Application Control は、信頼できる所有者以外によって信頼できるファイルが変更されたかどうかを検出します。このような場合、ファイル所有者は信頼できないユーザに変更され、実行要求はブロックされます。一部のアプリケーションは、Application Control が既定で検出しない方法でファイルを上書きするため、ファイルの所有者が変更されません。有効にすると、Application Control は追加チェックを実行し、すべてのファイル変更を取得し、変更があった場合は上書きします。値1に設定すると、有効になります。 |
| PCRRetainOnNewConfig | 数値 |
新しい構成が発行されるときに、ポリシー変更要求 (PCR) が処理される方法を制御します。この機能は既定では無効です。許可された PCR は新しい構成の受信時に削除されます。 値を1に設定すると、新しい構成が発行されるときに、許可されたポリシー変更要求を保持します。 |
| RdmHookEx | テキスト | 権限検出モード (PDM) で使用されるアプリケーションのリスト、PDM 固有の機能は Application Control の Windows フックでフックされません。この値はファイル名のセミコロン区切りのリストにしてください。 |
| RemoveDFSCheckOne | 数値 | DFS ドライブにファイルが保存されるときに、Application Control エージェントは多数の戦略を使用して、現在の UNC パスを評価します。これらの戦略の1つでは、多数のスクリプトと実行ファイルが Active Directory に保存され、Active Directory によってレプリケーションされる場合に、ログイン中に遅延が生じることがあります。値を1に設定すると有効になり、Application Control はこの戦略を無視して、この状況でのパフォーマンスが向上します。 |
| RevDNSList | 不定 | この設定は、NetEnableRevDNSList とともに使用され、Application Network Access Control (ANAC) によって使用されるときに適用されます。リバース DNS ルックアップ チェックがある IP アドレスが含まれます。IP アドレスは IPv4のドット区切りの数字 (n.n.n.n) で、各 IP アドレスはセミコロン区切りのリストにします。 この設定には、管理者が企業の DNS サーバで逆ルックアップ ゾーンを有効にし、構成する必要があります。 |
| SECancelButtonText | テキスト | [自己昇格] ダイアログで [キャンセル] ボタンによって表示されるテキスト。 |
| SelfElevatePropertiesEnabled | 数値 | この値を「1」に設定すると、プロパティの自己昇格を有効にします。この機能は既定で無効になっています。 |
| SelfElevatePropertiesMenuText | テキスト | プロパティの自己昇格のコンテキスト メニュー オプションのテキスト。 |
| SEOkButtonText | テキスト | [自己昇格] ダイアログで [OK] ボタンによって表示されるテキスト。 |
| TVChecking | 数値 | この設定を有効にすると、構成に信頼できるベンダのエントリが含まれている場合であっても、Application Control はすべてのファイルの信頼できるベンダ チェックを無視します。値を0に設定すると、この設定が有効になります。 この設定はトラブルシューティング用です。 |
| UrlRedirectionSecPolicy | 数値 | 既定では、セキュリティ ポリシーは、URL リダイレクト機能によって無視されます。この技術設定により、管理者は、強制的に URL リダイレクトを構成されたセキュリティ ポリシーに従わせることができます。値1に設定すると、有効になります。 自己承認はサポートされていません。 |
| UrmForceMediumIntegrityLevel | テキスト |
ユーザ権限が昇格されたアプリケーション (既定の整合性レベルが高) のときに、整合性レベルを上書きするために使用されるユーザ権限管理 (UPM) カスタム設定。この設定が使用されるときには、レベルが中に低減されます。この値はファイル名のセミコロン区切りのリストにしてください。 このカスタム設定は構成全体に適用されます。トークンごとに割り当てるには、「ユーザ権限」をご参照ください。 |
| UrmHookEx | テキスト |
Application Control は、ユーザ権限管理機能の一部として、Windows フックを使用します。ごくまれに、フック時に、予期しない動作が表示されることがあります。この設定では、ユーザ権限管理固有の関数がフックされないアプリケーションがリストされます。 AppHookEx と UrmHookEx の両方でアプリケーション名が指定されている場合、AmAppHook.dll は読み込まれません。複数のエントリはセミコロンで区切ります。 メモ: 権限管理要求、アプリケーション アクセス制御 - スクリプト ホスト処理要求、およびポリシー変更要求は、リスト内にあるアプリケーション、または親プロセスがリスト内にあるアプリケーションに対しては機能しません。 |
| UrmPauseConsoleExit | テキスト |
ユーザ権限管理機能によって使用されます。コンソール アプリケーションが昇格するときには、新しいアプリケーションが新しいコンソール ウィンドウに表示されることがあります。アプリケーションは完了まで実行され、その後に閉じます。ユーザがプログラムの結果を出力したい場合、これが問題になります。この設定は、キーが押下されるまで、アプリケーションをそのままにします。これは、完全パスまたはファイル名へのセミコロン区切りのリストです。 |
| UrmSecPolicy | 数値 | 既定では、セキュリティ ポリシーは、ユーザ権限管理機能によってほとんど無視されます。ユーザ権限管理ルールは、監査のみモードが選択される場合を除き、すべての場合に適用されます。このカスタム設定により、管理者は、強制的にユーザ権限管理を構成されたセキュリティ ポリシーに従わせることができます。無制限および自己承認セキュリティレベルの場合、ユーザ権限管理ルールが適用されません。制限レベルの場合、ユーザ権限管理ルールが適用されます。 値を1に設定すると、この設定が有効になります。 |
追加の技術キー - GroupSidRefresh
Application Control では、ルールの一致を正常に実行するために、すべてのグループ ルールのセキュリティ ID (SID) が必要です。この技術キーが設定されると、エージェントは、エンドポイントがオンラインの間に、実行時にグループ ルールの SID を解決し、構成に書き込みます (AAMP ファイル)。これは、構成に保存される SID が使用されるため、エンドポイントが後からオフラインで使用される場合に有効です。
構成が保存されるときに、可能な場合は、Application Control コンソールが SID を解決します。この設定は、コンソールがグループ SID ルックアップを実行できなかった場合にのみ必要です。
設定
HKLM\Software\Appsense Technologies\Application Control\Engineering
名前
GroupSidRefresh
タイプ
String (REG_SZ)
パラメータ
0 - Off
1 - 現在 SID 値がないグループのみを解決します
2 - すべてのグループ SID を解決します。ドメインが環境変数で指定され、変更が適用される場合に有用です。
自己昇格ファイル関連付け
詳細については、「自己昇格ファイル関連付け」をご参照ください。