ルール項目
ルール項目には、ファイル、フォルダ、ネットワーク ドライブおよび接続、署名ファイル、Windows Store アプリ、グループがあり、許可された項目およびユーザ権限などのルール ノードに追加できます。
Application Control 2020.3では、アプリケーション権限を昇格させる前にユーザに確認のプロンプトを表示するように、ファイル、フォルダ、署名、およびグループのルール項目を構成できます。これにより、アプリケーション (または項目) を昇格させた状態で実行するか、通常の状態で実行するかを、ユーザが選択できるようになります。監査目的においては、昇格理由の入力をユーザに求めることが推奨されます。
メモ: 使用される監査イベント コードは9023 (自己昇格) です。
ファイル
ルールの許可または拒否された項目にファイルを追加する
- ナビゲーション ペインで、ルールの [許可された項目] または [拒否された項目] ノードを選択します。
- [ルール項目] リボンで、次のいずれかを選択します。
- [項目の追加] > [許可] > [ファイル]
[項目の追加] > [拒否] > [ファイル]
[ファイルの追加] ダイアログが表示されます。
- [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックし、追加するファイルに移動して、[OK] をクリックします。
- 必要な場合、次の項目を選択できます。
- 可能な場合は環境変数を代入する
- 正規表現を使用する
-
[引数] テキストボックスに、任意のコマンドライン引数を入力します。Process Explorer で表示されるすべての引数を入力します。
コマンドライン引数は、[ファイル] フィールドに入力されていない一致条件にも適用されます。引数が追加される場合、一致するには、ファイルと引数の両方を満たす必要があります。フラグ、スイッチ、ファイル、GUID などのプロセスのコマンドラインに表示される引数を追加できます。
有効な引数の例については、「引数の例」をご参照ください。
- メタデータをファイルに追加するには、[メタデータ] タブを選択します。
- [ファイルからメタデータを入力] をクリックします。
- 次のフィールドを入力できます。製品名、ベンダ、会社名、ファイル説明、ファイル バージョン、および製品バージョン。
メタデータのチェックボックスを選択すると、ファイルの条件を絞り込みます。
ベンダ メタデータが有効な場合は、[実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、証明書がファイルと一致するときに、証明書を検証します。[検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。
詳細については、 「検証オプション」をご参照ください。
- 特定のアクセス時にのみファイルを実行できるように指定するには、[アクセス時] タブを選択します。
- [特定のアクセス時にのみファイルの実行を許可する] を選択します。
- 特定の許可された期間を指定するには、カレンダー領域で期間を右クリックし、[新しい許可された期間] を選択します。
- ユーザのアプリケーションのインスタンス数を制限するには、[アプリケーション制限] タブを選択します。
- [アプリケーション制限を有効にする] を選択します。
- スピンボックスに制限を入力します。
- [追加] をクリックすると、ルールの許可/拒否された項目にファイルを追加します。
- 項目は、許可/拒否作業領域に追加されます。
特定のルール項目を無効にする場合は、項目をハイライト表示して右クリックし、[状態の変更] を選択します。これにより無効と有効が切り替わります。これは、サポートによるトラブルシューティングが必要なときに役立ちます。
ルールのユーザ権限管理のファイルを追加する
- ナビゲーション ペインで、ルールの [ユーザ権限] ノードを選択します。
-
[権限管理] リボンで、[項目の追加] > [アプリケーション] > [ファイル] を選択します。
[ユーザ権限管理のファイルを追加] ダイアログが表示されます。
- [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
- [開く] ダイアログで、追加するファイルに移動し、[OK] をクリックします。
- 必要な場合、次の項目を選択できます。
- 可能な場合は環境変数を代入する
- 正規表現を使用する
- ファイルを許可された項目にする
-
[引数] テキストボックスに、任意のコマンドライン引数を入力します。Process Explorer で表示されるすべての引数を入力します。
コマンドライン引数は、[ファイル] フィールドに入力されていない一致条件にも適用されます。引数が追加される場合、一致するには、ファイルと引数の両方を満たす必要があります。フラグ、スイッチ、ファイル、GUID などのプロセスのコマンドラインに表示される引数を追加できます。
有効な引数の例については、「引数の例」をご参照ください。
-
ポリシーを適用するには、[ポリシー] セクションのドロップダウンから、ポリシーを選択します。
ポリシーで次のオプションを選択できます。
- 子プロセスに適用
- 共有ダイアログに適用
- 信頼できる所有者としてインストール
- 昇格前に確認のプロンプトをユーザに表示 (これに関連して、昇格前に理由を要求)。「メッセージ設定」もご参照ください。
- 必要に応じて、将来に参照するためにファイルの任意の説明を入力します。
- メタデータをファイルに追加するには、[メタデータ] タブを選択します。
- [ファイルからメタデータを入力] をクリックします。
- 次のフィールドを入力できます。製品名、ベンダ、会社名、ファイル説明、ファイル バージョン、および製品バージョン。
メタデータのチェックボックスを選択すると、ファイルの条件を絞り込みます。
ベンダ メタデータが有効な場合は、[実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、証明書がファイルと一致するときに、証明書を検証します。[検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。
詳細については、 「検証オプション」をご参照ください。
- [追加] をクリックすると、ルールのユーザ権限管理にファイルを追加します。
- 項目は、[ユーザ権限] 作業領域に追加されます。
特定のルール項目を無効にする場合は、項目をハイライト表示して右クリックし、[状態の変更] を選択します。これにより無効と有効が切り替わります。これは、サポートによるトラブルシューティングが必要なときに役立ちます。
引数の例
|
拒否されたファイル |
許可されたファイル |
結果 |
|---|---|---|
|
shutdown.exe |
shutdown.exe 引数: -r -t 30 |
shutdown.exe は、コマンドラインに -r -t 30が記述されているときにのみ実行されます。shutdown.exe によって実行されるその他のコマンドは拒否されます。 |
許可または拒否された項目の引数を正しく構成するには、プロセス エクスプローラなどに、表示されている必要があります。
ファイル: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE
コマンドライン: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx
次のように構成されます。
ファイル: winword.exe の絶対または相対パス
引数: /n C:\example.docx
フォルダ
ルールの許可または拒否された項目リストにフォルダを追加する
ナビゲーション ペインで、ルールの [許可された項目] または [拒否された項目] ノードを選択します。
- [ルール項目] リボンで、次のいずれかを選択します。
- [項目の追加] > [許可] > [フォルダ]
[項目の追加] > [拒否] > [フォルダ]
[フォルダの追加] ダイアログが表示されます。
- [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックし、追加するフォルダに移動して、[OK] をクリックします。
- 必要な場合、次の項目を選択します。
- 可能な場合は環境変数を代入する
- 正規表現を使用する
- サブフォルダを含む
- メタデータをフォルダに追加するには、[メタデータ] タブを選択します。
- [ファイルからメタデータを入力] をクリックします。
- 次のフィールドを入力できます。製品名、ベンダ、会社名、ファイル説明、ファイル バージョン、および製品バージョン。
メタデータのチェックボックスを選択すると、ファイルの条件を絞り込みます。
ベンダ メタデータが有効な場合は、[実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、証明書がファイルと一致するときに、証明書を検証します。[検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。
詳細については、 「検証オプション」をご参照ください。
- [追加] をクリックすると、ルールの許可/拒否された項目にフォルダを追加します。
- 項目は、許可/拒否作業領域に追加されます。
特定のルール項目を無効にする場合は、項目をハイライト表示して右クリックし、[状態の変更] を選択します。これにより無効と有効が切り替わります。これは、サポートによるトラブルシューティングが必要なときに役立ちます。
ルールのユーザ権限管理のフォルダを追加する
- ナビゲーション ペインで、ルールの [ユーザ権限] ノードを選択します。
-
[権限管理] リボンで、[項目の追加] > [アプリケーション] > [フォルダ] を選択します。
[ユーザ権限管理のフォルダを追加] ダイアログが表示されます。
- [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
- [開く] ダイアログで、追加するファイルに移動し、[OK] をクリックします。
- 必要な場合、次の項目を選択できます。
- 可能な場合は環境変数を代入する
- サブフォルダを含む
- 正規表現を使用する
- フォルダを許可された項目にする
-
ポリシーを適用するには、[ポリシー] セクションのドロップダウンから、ポリシーを選択します。
ポリシーで次のオプションを選択できます。
- 子プロセスに適用
- 共有ダイアログに適用
- 信頼できる所有者としてインストール
- 昇格前に確認のプロンプトをユーザに表示 (これに関連して、昇格前に理由を要求)。「メッセージ設定」もご参照ください。
- 必要に応じて、将来に参照するためにフォルダの任意の説明を入力します。
- メタデータをファイルに追加するには、[メタデータ] タブを選択します。
- [ファイルからメタデータを入力] をクリックします。
- 次のフィールドを入力できます。製品名、ベンダ、会社名、ファイル説明、ファイル バージョン、および製品バージョン。
メタデータのチェックボックスを選択すると、フォルダの条件を絞り込みます。
ベンダ メタデータが有効な場合は、[実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、証明書がファイルと一致するときに、証明書を検証します。[検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。
詳細については、 「検証オプション」をご参照ください。
- [追加] をクリックすると、ルールのユーザ権限管理にファイルを追加します。
- 項目は、[ユーザ権限] 作業領域に追加されます。
特定のルール項目を無効にする場合は、項目をハイライト表示して右クリックし、[状態の変更] を選択します。これにより無効と有効が切り替わります。これは、サポートによるトラブルシューティングが必要なときに役立ちます。
ドライブ
ルールの許可または拒否された項目リストにドライブを追加する
- ルールの [許可された項目] または [拒否された項目] ノードを選択します。
- [ルール項目] リボンで、次のいずれかを選択します。
- [項目の追加] > [許可] > [ドライブ]
- [項目の追加] > [拒否] > [ドライブ]
- [ドライブの追加] ダイアログが表示されます。
- 将来の参照用にドライブ文字と任意の説明を入力します。
- [追加] をクリックすると、ルールの許可/拒否された項目のリストにドライブを追加します。
署名と署名項目
ルールの許可または拒否された項目リストに署名を追加する
- ナビゲーション ペインで、ルールの [許可された項目] または [拒否された項目] ノードを選択します。
- [ルール項目] リボンで、次のいずれかを選択します。
- [項目の追加] > [許可] > [署名項目]
[項目の追加] > [拒否] > [署名項目]
[署名の追加] ダイアログが表示されます。
-
[プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。[開く] ダイアログで、EXE ファイルなどの追加するファイルに移動し、[OK] をクリックします。
[署名ハッシュ値] フィールドには、ファイルの署名ハッシュ値が入力されます。
- 特定のアクセス時にのみファイルを実行できるように指定するには、[アクセス時] タブを選択します。
- [特定のアクセス時にのみファイルの実行を許可する] を選択します。
- 特定の許可された期間を指定するには、カレンダー領域で期間を右クリックし、[新しい許可された期間] を選択します。
- [追加] をクリックすると、ルールの許可/拒否された項目に署名ファイルを追加します。
ルールのユーザ権限管理の署名ファイルを追加する
- ナビゲーション ペインで、ルールの [ユーザ権限] ノードを選択します。
-
[権限管理] リボンで、[項目の追加] > [アプリケーション] > [署名] を選択します。
[ユーザ権限管理のフォルダを追加] ダイアログが表示されます。
- [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
- [開く] ダイアログで、追加するファイルに移動し、[OK] をクリックします。
- 必要に応じて、[署名を許可された項目にする] を選択できます。
- [引数] テキストボックスに、任意のコマンドライン引数を入力します。
-
ポリシーを適用するには、[ポリシー] セクションのドロップダウンから、ポリシーを選択します。
ポリシーで次のオプションを選択できます。
- 子プロセスに適用
- 共有ダイアログに適用
- 信頼できる所有者としてインストール
- 昇格前に確認のプロンプトをユーザに表示 (これに関連して、昇格前に理由を要求)。「メッセージ設定」もご参照ください。
- 必要に応じて、将来に参照するためにフォルダの任意の説明を入力します。
- [追加] をクリックすると、ルールのユーザ権限管理に署名ファイルを追加します。
ネットワーク接続項目
ネットワーク リソースのネットワーク接続項目を作成し、直接ルールに追加できます。より粒度の高い制御が必要なとき、または巣項目のみが必要なときには、単一のネットワーク接続項目を許可および拒否された項目リストに追加すると役立ちます。ただし、この方法を使用すると、時間がかかる場合があります。
ネットワーク接続項目は、ルール間で切り取り、コピー、ドラッグできます。構成には既定のネットワーク接続項目がありません。ネットワーク接続項目の完全パスは400文字以下でなければなりません。
ルールの許可または拒否された項目リストにネットワーク接続項目を追加する
- ナビゲーション ペインで、ルールの [許可された項目] または [拒否された項目] ノードを選択します。
- [ルール項目] リボンで、次のいずれかを選択します。
- [項目の追加] > [許可] > [ネットワーク接続]
[項目の追加] > [拒否] > [ネットワーク接続]
[ネットワーク接続の追加] ダイアログが表示されます。
- 接続タイプを選択:
- IP アドレス - 選択すると、特定の IP アドレスへのアクセスを制御します。
- ネットワーク共有 - 選択すると、UNC パスへのアクセスを制御します。プレフィックス \\ が [ホスト] フィールドに追加されます。
- ホスト名 - 選択すると、特定のホスト名へのアクセスを制御します。
- 接続詳細を入力します。すべての3つのフィールドのホスト、ポート、パスを合わせた文字数は、400文字以下でなければなりません。
ホスト: ネットワーク接続の IP アドレスまたはホスト名。これは、選択した接続タイプによって異なります。? および * ワイルドカードを使用できます。また、ハイフン (-) を使用して、IP アドレスの範囲を使用できます。IP アドレスは IP4オクテット形式でなければなりません (例: n.n.n.n)。ネットワーク共有が接続タイプとして選択されている場合、\\ プレフィックスが必要です。
ターゲット リソースの完全パスをホストで入力できます (例: http://server1.company.local:80/resource1/)。
ホストからフォーカスを移動します。パスは自動的に別の接続オプションに分割されます。
- http:// は [ホスト] フィールドから削除され、server1.company.local が残ります。
- : が削除され、80がポートに移動します。
- /resource1/ はパスに移動します。
- ポート: ネットワーク接続のポート番号。これは IP アドレスまたはホスト名と組み合わせて使用し、特定のポートへのアクセスを制御できます。範囲とカンマ区切り値はポート番号の一部として許可されています。[ポート] をクリックして、一般的に使用されるポートのリストを表示します。必要な数のポートを選択します。
パス: ネットワーク接続のパス。? および * ワイルドカードを使用できます。パスでワイルドカードを使用するには、[テキストにワイルドカード文字を含める] オプションを選択します。
パスは、HTTP の制御でのみ使用できます
- 説明: ネットワーク接続を説明するわかりやすい説明を入力します。
- [追加] をクリックすると、ルールの許可/拒否された項目のリストにネットワーク接続を追加します。
Windows Store アプリ
ルールの許可または拒否された項目リストに Windows Store アプリを追加する
- ナビゲーション ペインで、ルールの [許可された項目] または [拒否された項目] ノードを選択します。
- [ルール項目] リボンで、次のいずれかを選択します。
- 項目の追加 > 許可 > Windows Store アプリ。
- 項目の追加 > 拒否 > Windows Store アプリ。
- 必要なオプションを選択:
- すべてのインストール済みアプリ: ユーザがインストールしたすべてのアプリが含まれます。
- 個々のアプリ - ビルトイン スニペット、 および Ivanti マーケットプレースからダウンロードされたスニペットから選択された特定のアプリが含まれます。[バージョン一致] ドロップダウンを使用して、任意のアプリ バージョンを設定します。
- 発行者: 名前付き発行者からのすべてのアプリが含まれます。発行者は手動で入力するか、ローカルにインストールされたアプリから詳細を抽出できます。
- [OK] をクリックします。
グループ
グループをユーザ権限に追加し、ファイル、フォルダ、ドライブ、署名ファイル、ネットワーク接続項目の論理コレクションを保有して管理できます。ルールの許可/拒否された項目のリストに項目を追加することもできます。
ルールの許可または拒否された項目リストにグループを追加する
- ナビゲーション ペインで、ルールの [許可された項目] または [拒否された項目] ノードを選択します。
- [ルール項目] リボンで、次のいずれかを選択します。
- [項目の追加] > [許可] > [グループ]
[項目の追加] > [拒否] > [グループ]
[グループの選択] ダイアログに使用可能なグループが表示されます。
- 追加するグループを選択します。
- 所有者に関係なく、すべてのリストのルール項目を実行する場合は、アプリの [信頼できない所有者を許可する] チェックボックスをオンにします。
- OK をクリックします。
ルールのユーザ権限管理にグループを追加する
- ナビゲーション ペインで、ルールの [ユーザ権限] ノードを選択します。
-
[権限管理] リボンで、[項目の追加] > [アプリケーション] > [グループ] を選択します。
[グループの選択] ダイアログが表示されます。使用可能なグループが一覧表示されます。
- ユーザ権限ルールを選択したグループに割り当てるには、[ルールに追加] を選択します。
- 次のオプションを選択することもできます。
- ポリシー: ドロップダウンリストからポリシー (例: [ビルトイン昇格]) を選択します。
- 許可する: 選択したグループを許可し、関連付けられた許可された項目を上書きします。
- 信頼できない所有者を許可する: 所有者に関係なく、すべてのリストのルール項目を実行します。[アクセス可能にする] が選択されているときに、このオプションを使用できます。
- 子プロセスに適用: すべての子と親プロセスの他の下位プロセスにポリシーを適用します。
- 共有ダイアログに適用: 昇格されたプロセスから選択されたときに、ダイアログを開いて保存し、管理権限で実行できます。
- 信頼できる所有者としてインストールする: ローカル管理者を定義済みアプリケーションによって作成されたすべてのファイルの所有者にします。
- 昇格前に確認のプロンプトをユーザに表示 (これに関連して、昇格前に理由を要求) - 権限を昇格させるかどうかをユーザが判定する際に役立つ、構成済みのメッセージを表示します。このプロンプトで、権限を昇格させる前に理由の入力をユーザに要求できます。「メッセージ設定」もご参照ください。
- OK をクリックします。