ルール オプション
許可された項目、拒否された項目、信頼できるベンダ、ユーザ権限は、ファイル、フォルダ、ドライブ、デジタル署名、署名項目、ネットワーク接続項目、Windows Store アプリ、グループ項目に敵意用できます。
項目の追加の詳細については、「ルール項目」をご参照ください。
各ルール オプションは、1つ以上のルール タイプに関連付けられる必要があります。
このセクションの内容
ルールの一致
Application Control がファイル実行要求を傍受すると、ルールの一致が発生し、構成ポリシーを確認して、ファイルの実行が許可されているかどうかを判断します。
ルール ポリシーの適用
最も緩いセキュリティ ポリシーは、複数のルールによって影響を受けるユーザ プロファイルに適用されます。たとえば、制限セキュリティレベルが割り当てられたユーザ ルールと、自己承認セキュリティレベルを割り当てるグループ ルールの両方と一致するユーザは、すべての決定およびアプリケーションの使用において、自己承認能力が与えられます。
一致するファイルとルール
Application Control エージェントは、ファイル タイプの適切な一致を行うことで、ルールを適用します。
一致は3段階のアプローチに基づき、セキュリティ、一致順序、ポリシー決定が考慮されます。
- セキュリティ:
- ユーザが制限されているか。
- 実行ファイル項目の所有権は信頼できるか。
- 実行ファイルはどこにあるか。
- 一致:
- 実行ファイルは署名と一致するか。
- 実行ファイルは許可または拒否された項目と一致するか。
- ポリシー:
- 信頼できる所有権チェックは有効か。
- 時間制限付きの例外があるか。
- アプリケーション制限があるか。
例:「confidential.doc」ファイルは「common」フォルダにあります。ルールは「confidential.doc」ファイルが拒否されることを指定していますが、「common」フォルダは許可されています。より粒度が高いルールが優先されるため、「confidential.doc」が拒否されます。
信頼できる所有権チェック
ルールの一致処理中に、ファイル、フォルダ、ドライブに対して信頼できる所有権チェックが実行され、項目の所有権が既定のルール構成で指定された信頼できる所有者のリストと一致することが保証されます。チェックが失敗すると、信頼できるベンダ チェックが開始します。
構成されている場合、実行ファイルが許可された項目の定義済みリストと一致したときに、追加のセキュリティ チェックにより、所有権が信頼できる所有者リストと一致することが保証されます。このチェックが失敗すると、Application Control はファイルのデジタル署名を信頼できるベンダ リストと照合しようとします。一致が見つからない場合、実行ファイルはブロックされます。
これらを模倣できないため、デジタル署名の項目では、信頼できる所有権チェックは必要ではありません。
既定の構成が使用されるときには、上書きまたは名前変更される、システムに導入された新規または既存のファイルの所有権が現在のユーザに変更されます。結果として、信頼できないユーザが変更を行う場合、将来の実行要求は信頼できる所有者チェックで失敗します。
信頼できる所有権チェックは、グローバル ルールまたは項目単位で使用できます。Application Control の信頼できる所有権チェックを停止するには、[信頼できる所有権チェックを有効にする] が [グローバル設定] > [信頼できる所有者] で選択されていなことを確認します。
ルールの適用と削除
グループ ルール ノードでは、セキュリティ制御ルールを、企業内の特定のユーザ グループに照合することができます。
グループ サマリには、グループ名、Textual Security Identifier (SID)、およびルールのセキュリティ レベルが表示されます。SID は、ユーザ、グループ、コンピュータ アカウントを識別する、可変長のデータ構造です。アカウントが最初に作成されたときに、ネットワークのすべてのアカウントには一意の SID が発行されます。Windows の内部プロセスは、アカウント ユーザまたはグループ名ではなく、アカウント SID を参照します。同様に、構成に追加されるときに、SID が見つからない場合を除き、Application Control はユーザまたはグループ SID も参照します。
ルールの適用
- [ルール項目] リボンで、[追加] をクリックします。
- 作成するルールのタイプを選択します。
- グループ
- ユーザ
- デバイス
- カスタム
- スクリプト化
プロセス
[ルールの追加] ダイアログが表示されます。
- 関連する情報を選択し、[OK] をクリック入力ます。
ルールの削除
-
グループ ルールを削除するには、ルールをハイライトし、[ルール] リボンの [ルールの削除] をクリックします。
確認メッセージが表示されます
- [はい] をクリックして、削除を確定します。
メタデータ
メタデータは、ファイルまたはフォルダ プロパティとの一致が発生した時点で、一致するファイルとフォルダの別の条件を追加します。たとえば、ベンダのメタデータを追加すると、ファイルが特定の検証された発行元によって署名されていることを検証できます。
メタデータは、許可、拒否、ユーザ権限アプリケーション ルール項目のファイルとフォルダで使用できます。メタデータは手動で入力するか、既存のファイルから追加できます。互換性があるルール 項目のファイルまたはフォルダで、[メタデータ] タブを選択します。
- ファイルからメタデータを追加するには、[メタデータ] タブを選択し、[ファイルからメタデータを入力] をクリックして、メタデータを使用するファイルを選択します。任意のメタデータのチェックボックスをオンにします。
- メタデータを手動で追加するには、チェックボックスを選択し、任意のデータを追加します。
Windows エクスプローラを使用してファイルのメタデータを表示するには、ファイルを右クリックして、[プロパティ] を選択します。メタデータは、[詳細] タブに表示されます。
ファイルとフォルダ項目の次のメタデータを構成できます。
全般
-
製品名 - 製品の名前。
-
ベンダ - ファイルがデジタル署名されている場合、署名に関連付けられたベンダ名。ファイルのベンダ メタデータが信頼できるかどうかをテストする別のオプションがあります。
ベンダ メタデータが有効な場合は、[実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、証明書がファイルと一致するときに、証明書を検証します。[検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。
詳細については、「検証オプション」をご参照ください。
-
会社名 - 製品を製造した会社の名前。
-
ファイル説明 - ベンダまたは会社が定義さいたファイルまたはフォルダ説明。
表示される情報は条件に合わせて修正できます。これには、メタデータのセグメントがあり、ワイルドカード文字 (*) を使用できます。
ファイル バージョン
-
最小バージョン - 選択したファイルの最小バージョンを表示します。
-
最大バージョン - 選択したファイルの最大バージョンを表示します。
表示される情報は、バージョン範囲を導入するために修正できます。この場合、最大および最小バージョン番号をワイルドカードで定義できます。範囲内のすべてのファイルのバージョンを監視できます。
製品バージョン
-
最小バージョン - 選択したファイルの最小製品バージョンを表示します。
-
最大バージョン - 選択したファイルの最大製品バージョンを表示します。
表示される情報は、バージョン範囲を導入するために修正できます。この場合、最大バージョン番号をワイルドカードで定義できます。範囲内のすべての製品のバージョンを監視できます。
ワイルドカードを使用すると、メタデータ情報の一部を代入し、選択したメタデータのセグメントに基づいて、任意の一致を指定できます。たとえば、ベンダが Microsoft Corporation で、Microsoft に関連するすべての項目が必要な場合、「Corporation」の部分をワイルドカード (*) に置換し、「Microsoft Corporation」ではなく「Microsoft」に関連付けられたすべての項目と一致させることができます。
ルール項目は、選択したメタデータと一致するファイルにのみ適用されます。