製品概要

権限管理では、ルールに関連付けることができ、ファイル、フォルダ、ドライブ、署名、アプリケーション グループ、およびコントロール パネル コンポーネントへのアクセスを昇格または制限できる再利用可能なユーザ権限ポリシーを作成できます。より粒度の高い制御により、デバッグまたはソフトウェアのインストール用に特定の権限を割り当てたり、Microsoft Outlook や Microsoft Word などのさまざまな製品間の相互運用性を管理するための整合性レベルを設定したりすることができます。

権限管理には、次の4つの主な機能があります。

• アプリケーションのユーザ権限を昇格する。
• コントロール パネル コンポーネントと管理スナップインﾝユーザ権限を昇格する。
• アプリケーションのユーザ権限を降格する。
• コントロール パネル コンポーネントと管理スナップインﾝユーザ権限を降格する。

既定では、管理者またはローカル システムが所有するアプリケーション ファイルのみを実行できます。信頼できる所有権は、実行を試行する各ファイルの NTFS 権限を読み取ることによって決定されます。Application Manager は、非 NTFS ドライブ、リムーバブル ストレージ デバイス、ネットワーク上にあるファイルなど、所有権を確立できないファイルを自動的にブロックします。任意でこれらのファイルの実行を許可するには、許可された項目を指定するか、ユーザの自己承認ルールを構成します。信頼できる所有者リストを構成して、各環境に合わせることができます。

ユーザ名、グループ メンバーシップ、コンピュータまたは接続デバイス、スクリプト、親プロセス、これらの組み合わせに基づいて、ルールを適用することで、アプリケーションのアクセスを拡張します。許可された項目、拒否された項目、信頼できるベンダ、および権限管理を各ルールで指定できます。これは、ユーザの環境に基づいて、ユーザ セッションに適用されます。

スクリプト化されたルールでは、管理者が、Windows PowerShell または VBScript の結果に基づいて、許可された項目、拒否された項目、信頼できるベンダ、権限管理ポリシーをユーザに適用できます。スクリプトは各個別のユーザ セッションに対して実行するか、コンピュータにつき1回実行できます。

プロセス ルールは親プロセスに適用され、親プロセスの下の次のレベルで子プロセスへのアクセスを管理します。プロセス ルールには、許可された項目、拒否された項目、信頼できるベンダ、権限管理が含まれます。ルールは、親プロセスへのアクセスを管理しません。

信頼できるソースによって署名されたデジタル証明書があるときに、認証アプリケーションを許可します。そうでない場合は、信頼できる所有権チェックによって禁止されます。各ユーザ、グループ、デバイス、カスタム、スクリプト、プロセス ルールの信頼できるベンダ証明書のリストを構成で定義します。

アプリケーションの終了では、管理されたコンピュータでアプリケーションを終了するためのトリガ、動作、および警告を制御することができます。アプリケーションが終了する方法と、ユーザに通知する方法を制御することもできます。

IP、汎用命名規則 (UNC)、またはホスト名でアクセスされる特定のアプリケーションへのアクセスをブロックします。Application Control は、仮想プライベート ネットワーク (VPN) 経由または直接ネットワークに接続する場合などに、要求者の位置情報に基づいてアクセスを管理できます。

SHA-1、SHA-256、および Adler-32 署名チェックは任意の数の Application Control に適用することができ、NTFS 許可が脆弱であるか、存在しない場合、または非 NTFS でフォーマットされたドライブのアプリケーションに対してセキュリティを強化します。デジタル署名ウィザードでは、大きいデジタル署名リストを簡単に作成および管理できます。

Windows Store アプリへのアクセスは、Application Control によって制御できます。グループ ルールを1つ以上の Windows Store アプリに適用することで、アクセスを付与または制限します。構成を作成するために使用されているコンピュータが Windows Store アプリに対応していない場合には、アプリケーション スニペットをインポートしてルールを構成することもできます。

管理者は、任意のエンドポイントを参照し、そのエンドポイントにインストールされたアプリケーションのリストを取得できます。実行ファイルを検索し、構成に追加します。Application Control は、どのアプリケーションを誰が起動したのかを記録します。データの記録は、管理者が開始して停止します。ファイルを許可されたグループと許可されていないグループに整理すると、すばやくポリシーを作成できます。構成は、ユーザ、ユーザのグループ、コンピュータ、またはコンピュータのグループに対して配布できます。エンドポイント分析はオンデマンドで、既定では無効です。

ユーザのモバイル利用はますます増えています。このため、ユーザが企業ネットワークに接続していないときに、資格ルールが施行されることが重要です。Application Control は、エンドポイント デバイスで資格ルールを使用することによって、オフラインのときに、ユーザが権限を有するアプリケーションとリソースにのみアクセスできることを保証します。

Application Control は、ユーザのアプリケーション実行を妨げずに、アプリケーションの使用を監視できます。パッシブ監視は、ユーザ、デバイス、またはグループ単位で有効または無効にすることができます。また、完全に実装する前に、ユーザ動作を追跡したり、ソフトウェア ライセンス管理のアプリケーション使用を把握したりするためのツールがあります。

ユーザがシステムに導入したアプリケーションを実行するオプションがあります。オフィス外にいるときに、IT サポートに頼らずに、アプリケーションを安全なコンピュータに追加できます。包括的な監査は、アプリケーション名や実行日時、デバイスなどの詳細情報を提供します。また、アプリケーションのコピーを、検査のために、一元的に取得して、保存できます。

ポリシーを適用して、ユーザが実行できるアプリケーション インスタンス数と実行にかかる時間を制御します。ポリシーを作成して、ライセンス モデルを管理または施行するには、デバイス単位ではなく、ユーザ単位でアプリケーション制限を制御します。

ベストプラクティス構成テンプレートが提供され、Application Control にインポートできます。Application Control は多数の構成ファイルをインポートし、これらを組み合わせて使用できます。

エンドポイントを監視し、管理者権限を使用するアプリケーションを特定できます。Web サービスは、データを収集し、Application Control コンソールの権限検出モード作業領域にそのデータを中継するために使用されます。

イベントは、既定のイベント フィルタリング構成に従って、Application Control によって発生し、ローカル ファイル ログまたは Windows イベント ログに直接監査されます。あるいは、配布エージェント (CCA) 経由で、監査用にイベントを Management Center に転送できます。Management Center で使用可能な Application Control 監査イベント レポートを使用して、企業内の現在のアプリケーション使用状況の詳細を確認することもできます。

Application Control の既定の構成は、VBS などのすべての Windows Scripting Host (WSH) スクリプトを構成ルールに対して検証します。これにより、許可されたスクリプトのみを呼び出せることが保証され、ウイルスや悪意のあるコードを含む WSH スクリプトを導入するリスクを排除します。

検証設定は、cmd.exe、自己解凍 ZIP ファイル、レジストリ ファイル、Windows インストーラ (MSI) とともに、Application Control [オプション] ダイアログで無効にできます。

ZIP 仕様を使用する自己展開型 EXE 形式のみがサポートされます。詳細については、「ZIP 仕様」をご参照ください。

使用していないときや、構成の問題のトラブルシューティングを行っているときには、Application Control の特定の機能を有効または無効にできます。この方法で管理できる機能

• アプリケーション アクセス制御
• アプリケーション ネットワーク アクセス制御
• 権限管理