拒否された項目

このセクションの内容

拒否された項目

拒否された項目ノードは、新しいルールを作成するときに、ルール ノードで自動的に作成されるサブノードです。これにより、ルールで指定されたグループ、ユーザ、およびデバイスのアクセスが拒否される項目を追加できます。

すべてのローカルにインストールされた信頼できる所有者アプリケーションを信頼する既定のオプションを使用する場合、実行させない特定のアプリケーションのみを追加する必要があります。たとえば、管理およびレジストリ編集ツールなどの管理ツールを追加できます。 

管理者が所有していないアプリケーションを拒否するためにこのリストを使用する必要はありません。これらは信頼できる所有権チェックでブロックされます。

Application Control ドラッグアンドドロップ機能を使用すると、ファイル、フォルダ、ドライブ、および署名項目を Windows エクスプローラから追加したり、メイン構成ノードのそれぞれで許可された項目ノードと拒否された項目ノードの間で項目をコピーまたは移動することができます。

次の項目を追加できます。

myapp.exe などのファイル名のみが指定される場合、アプリケーションの場所に関係なく、このすべてのインスタンスが拒否されます。ファイルが \\servername\sharename\myapp.exe などの完全パスで指定されている場合、アプリケーションのこのインスタンスのみが拒否されます。このアプリケーションの他のインスタンスは、実行が付与されるために、他の Application Control ルールを満たす必要があります。DFS 共有で項目を参照する Application Control のファイルとフォルダの場合、UNC パスの名前空間サーバではなく、ターゲット サーバを指定する必要があります。

詳細については、「分散ファイル システム」をご参照ください。

\\servername\servershare\myfolder などの完全なフォルダを指定できます。このフォルダ内のアプリケーションとすべてのサブフォルダが拒否されます。フォルダ内のファイルに対するチェックは行われないため、このフォルダにコピーされるファイルはすべて拒否されます。[サブディレクトリを含める] を選択すると、指定されたディレクトリの下にあるすべてのディレクトリが含まれます。ネットワーク ファイルまたはフォルダ パスを追加する場合は、UNC 名を使用する必要があります。Application Control エージェントは、ドライブ文字がローカルの固定ディスクではない構成されたパスを無視します。ユーザはネットワーク マッピングされたドライブ文字を使用してネットワーク アプリケーションにアクセスできます。パスは、構成設定に対して検証される前に、UNC 形式に変換されます。環境変数を自動的に適用するには、[ファイルの追加] または [フォルダの追加] ダイアログで、[可能な場合は環境変数を代入する] を選択します。これにより、別のコンピュータで適用するためにパスがより汎用的になります。ワイルドカード サポートは、汎用ファイルパスを指定するための制御を強化します。

W などの完全なドライブを指定でき、サブフォルダを含むこのドライブのすべてのアプリケーションが拒否されます。ドライブのファイルに対するチェックは行われないため、このドライブのフォルダにコピーされたファイルはすべて拒否されます。

ファイルは、ファイルのデジタル ハッシュとともに追加することができます。これにより、すべての場所から、特定のファイルのみを実行できることが保証されます。詳細については、「署名ハッシュ」をご参照ください。

ネットワーク接続項目を指定できます。ネットワークのすべてのファイルが拒否されます。

拒否される Windows Store アプリを選択します。次のいずれかを選択できます。

  • すべてのインストールされたアプリケーションを許可する
  • 選択した個別のアプリケーションを許可する
  • 指名された発行元のすべてのアプリケーションを許可する

グループには、特定のアプリケーションのファイル、フォルダ、ドライブ、署名、ネットワークなど、任意の数と組み合わせの項目を含めることができます。すべてのファイルが拒否されます。

拒否された項目の追加

項目を追加するには、拒否された項目ノードを選択し、[ルール項目] リボンの [項目の追加] ドロップダウン矢印をクリックして、[拒否] を選択してから、追加する拒否される項目の種類を選択します。

このタスクにより、すべてのユーザがネットワーク共有上のアプリケーションにアクセスできなくなります。

  1. [ルール] > [グループ] > [すべてのユーザ] で拒否された項目を選択します。
  2. [ルール項目] リボンの [項目の追加] をクリックし、[拒否] を選択します。

  3. ファイルなどの許可する項目を選択します。

  4. [ファイルの追加] ダイアログが表示されます。

    拒否するファイルを入力または参照します。

  5. [可能な場合は環境変数を代入する] チェックボックスは既定で選択されています。選択されていない場合は、環境変数は、汎用環境変数で置換されません。
  6. サイレントで項目を拒否するか、ユーザに警告メッセージを表示しないようにする場合は、[拒否するときにアクセス拒否メッセージを表示しない] を選択します。
  7. この項目ですべての9000イベントを無視する場合は、[監査イベント フィルタリングを無視する] を選択します。
  8. 項目は、[拒否された項目] 作業領域に追加されます。

特定のルール項目を無効にする場合は、項目をハイライト表示して右クリックし、[状態の変更] を選択します。無効と有効が切り替わります。これは、サポートによるトラブルシューティングが必要なときに役立ちます。

拒否された項目の削除

  1. 拒否された項目ノードで削除する項目を選択します。
  2. [ルール項目] リボンで、[項目の削除] をクリックします。
  3. 確認ダイアログで [はい] をクリックします。

項目がノードから削除されます。

関連トピック

ルール タイプ

ルール項目

許可された項目

信頼できるベンダ

ユーザ権限ルール

ブラウザ制御