グループ ルール

グループ ルール ノードでは、セキュリティ制御ルールを、企業内の特定のユーザ グループに照合することができます。

グループ サマリには、グループ名、Textual Security Identifier (SID)、およびルールのセキュリティ レベルが表示されます。Application Control では、4つのセキュリティレベルをグループ ルールに割り当てることができます。SID は、ユーザ、グループ、コンピュータ アカウントを識別する、可変長のデータ構造です。アカウントが最初に作成されたときに、ネットワークのすべてのアカウントには一意の SID が発行されます。Windows の内部プロセスは、アカウント ユーザまたはグループ名ではなく、アカウント SID を参照します。同様に、構成に追加されるときに、SID が見つからない場合を除き、Application Control はユーザまたはグループ SID も参照します。

2つの定義済みグループ ルールがあります。

• BUILTIN\Administrators - BUILTIN\Administrators のユーザには無制限のセキュリティレベルが割り当てられます。BUILTIN\Administrators グループは、ローカル管理者のアプリケーションへのアクセスを管理します。

• すべてのユーザ - ユーザが他のグループまたは優先度設定が高いユーザ ルールと一致する場合を除き、すべてのユーザ グループ ルールおよびすべての追加グループ ルールのセキュリティレベルは [制限] です。管理者を含むすべてのユーザは、すべてのユーザ グループのメンバーです。つまり、管理者は2つのグループ ルールに属しています。制限されない BUILTIN\Administrators グループと制限される すべてのユーザ グループです。Application Control は最も制限されないルールを使用するため、すべての管理者要求は無制限です。

  一般的に、すべてのファイル、フォルダ、ドライブ、署名項目、ネットワーク接続項目、およびグループを指定し、 すべてのユーザに対して禁止します。次に、新しいグループまたはユーザを作成し、グループまたはユーザがアクセスできる項目を指定できます。これにより、アクセスできる対象を制御できます。

次のように、グループ ルールを管理します。

• グループ ルールを追加するには、[ルール] リボンの [ルールの追加] をクリックし、[グループ ルール] を選択します。

  [グループ ルールの追加] ダイアログが表示されます。アカウントを入力するか、参照して選択します。

• グループ ルールを削除するには、ルールをハイライトし、[ルール] リボンの [ルールの削除] をクリックします。

  確認メッセージが表示されます。[はい] をクリックすると、削除を確認します。

各グループ ルール ノードの許可された項目、拒否された項目、信頼できるベンダ、ユーザ権限、ブラウザ制御ノードに項目を追加できます。

詳細については、「ルール項目」をご参照ください。